第二部分 密码学.ppt

零知识证明协议的一般结构 2.4.4 零知识证明与鉴别(续) 零知识证明协议的一般结构(续) 2.4.4 零知识证明与鉴别(续) Fiat-Shamir鉴别协议 2.4.4 零知识证明与鉴别(续) Fiat-Shamir 鉴别协议(续) 2.4.4 零知识证明与鉴别(续) 2.4.1 RSA体制(续) RSA-OAEP(续) 2.4.1 RSA体制(续) RSA-OAEP (续) 2.4.1 RSA体制(续) RSA签名 2.4.1 RSA体制(续) 2.4.1 RSA体制(续) 2.4.1 RSA体制(续) 2.4.2 RSA体制的参数选择与执行 (1) 参数选择 模的大小 根据分解整数算法特别是数域筛法的进展，RSA中的模n应该至少为1024比特。从长远的安全考虑，应该使用2048比特或更大的模。 素数的选择 素数p和q的选择原则是使分解整数n =p?q在计算上不可能。主要对p和q的限制是它们必须有足够的长度，并且有差不多相等的比特长度。例如，如果使用1024比特的模n，那么，p和q应该都是在512比特左右。 2.4.2 RSA体制的参数选择与执行(续) 另一个对素数p和q的限制是p-q不能太小。如果p和q是随机选择产生，则p-q将会以压倒的概率比较大。 许多地方推荐使用强素数p和q。一个素数p是强素数需要满足以下三个条件： * p-1 有大的素数因子，称为r； ** p+1 也有大的素数因子； *** r -1 仍然有大的素数因子。 2.4.2 RSA 加密的参数选择与执行(续) 指数 加密时指数可以选择e=216+1，这样及既可以保证效率，又可以保证安全。签名方案时公开指数e可以选择3或216+1。 不推荐通过限制秘密指数d来达到改善解密签名操作效率的方法，通常指数dn0.5。 2.4.2 RSA 加密的参数选择与执行 (续) (2) 执行 素性测试 存在一个奇妙的事实，就是分解大整数虽然十分困难，但测试整数的素性并不困难。也就是说，证明一个数为合数要比分解它容易得多。我们知道很多大整数是合数，但却并不能分解它们。 2.4.2 RSA 加密的参数选择与执行(续) 2.4.2 RSA 加密的参数选择与执行(续) 模幂 2.4.3 ElGamal体制 (1) 离散对数问题 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) (2) ElGamal公钥加密算法 ElGamal公钥加密方案依赖于离散对数问题的困难性。基本的ElGamal公钥加密方案是ElGamal于1985年提出的。 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) DSA算法 1991年8月，美国国家标准与技术研究所(NIST)提出了数字签名算法(DSA)。DSA成为美国联邦信息处理标准(FIPS 186)称为数字签名标准(DSS)，这是第一个为政府所认可的数字签名方案。DSA是ElGamal数字签名方案的一种形式。方案安全的基本要求是mod p上的离散对数问题不可计算。但是，这一条件并不是保证这些方案安全的充分条件。 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.3 ElGamal体制(续) 2.4.4 零知识证明与鉴别 Peggy：“我知道联邦储备系统计算机的口令，McDonald的秘密调味汁的成分，以及Knuth第5卷的内容。” Victor：“不，你不知道。” Peggy：“我知道。” Victor：“你不知道！” Peggy：“我确实知道！” Victor：“请你证明这一点！” Peggy：“好吧，我告诉你！”她悄悄地说出了口令。 Victor： “太有趣了！现在我也知道了。我要告诉《华盛顿邮报》。” 2.4.4 零知识证明与鉴别(续) 如何避免这一情况发生？在很多情况下需要出示鉴别身份的秘密或口令来完成交易。任何人在得到这个秘密再附加一些(几乎公开的)身份信息之后，就可以冒充这个人。我们需要解决的问题就是使用秘密但在使用的过程中不留给攻击者任何可以重复使用的信息。这就产生了零知识证明技术。 2.4.4 零知识证明与鉴别(续) 思想 思想(续) Peggy知道这个洞穴的秘密。她想对Victor证明这一点，但她不想泄露咒语。下面是她如何使Vi