现代密码学理论与实践.ppt

现代密码学理论与实践-09 Cryptography and Network SecurityChapter 9 公开密钥密码学与RSA Fourth Edition by William Stallings Lecture slides by Shoubao Yang syang@ 1/~syang September 2006 9.1 公开密钥密码体制的基本原理 对称密码体制的问题 加密能力与解密能力是捆绑在一起的 密钥更换、传递和交换需要可靠信道，密钥分发困难 如有N用户，则需要C=N (N-1)/2个密钥，n=1000时，C(1000, 2)≈500000, 密钥管理困难 无法满足不相识的人之间通信的保密要求 不能实现数字签名 非对称密码体制的基本特点 加密能力与解密能力是分开的 密钥分发简单 需要保存的密钥量大大减少，N个用户只需要N个密钥 可满足不相识的人之间保密通信 可以实现数字签名 公开密钥密码体制 公钥算法依赖于一个加密密钥和一个与之相关的不同的解密密钥，算法有如下特点： 仅根据密码算法和加密密钥来确定解密密钥在计算上是不可行的 两个密钥的任何一个都可用来加密，另一个用来解密 公钥密码体制的组成 明文：算法的输入，可读信息或数据 加密算法：对明文进行各种转换 公钥和私钥：算法的输入，分别用于加密和解密 密文：算法的输出，依赖于明文和密钥 解密算法：根据密文和密钥，还原明文 公钥算法的主要步骤 每一用户产生密钥，用来加密和解密消息 每个用户将其中一个密钥(公钥)存于公开的寄存器或其他可访问的文件中，另一密钥私有，每个用户可以拥有若干其他用户的公钥 若Bob要发消息给Alice，则Bob用Alice的公钥对消息加密 Alice收到消息后，用其私钥对消息解密，由于只有Alice知道其自身的私钥，所以其他的接收者均不能解密消息 需要认证时示证方用自己的私钥加密消息(签名) 验证方用示证方的公钥解密消息(验证)，如果结果证实公钥与示证方的私钥相吻合，则可以确认示证方确为合法的用户(认证) 加密和认证可以结合起来，同时实现保密性和认证 公开密钥加密过程 公开密钥鉴别过程 常规和公开密钥加密的重要特征 公开密钥密码系统: 保密性 C = KUb(M) M = KRb(C) 公开密钥密码系统: 认证 公开密钥密码系统: 保密和认证 公钥密码体制的应用 加密/解密：发送方用接收方的公钥对消息加密 数字签名：发送方用其私钥对消息签名，可以对整体消息签名或对消息的摘要签名 密钥交换：通信双方交换会话密钥 对公开密钥密码编码系统的要求 产生一对密钥(公钥ke和私钥kd)在计算上是容易的 不难计算C=E(ke, m)和m=D(kd, c) 知道ke, 计算kd不可行 不知道kd，即使知道ke, E, D及c，计算m也不可行 对明文m, E(ke, m)有定义，且D(kd, E(ke, m))=m 对密文c, D(kd, c)有定义，且E(ke, D(kd, c))=c 加密变换和解密变换可以互换顺序，即 D(E(m))=E(D(m)) 1976年，Whitfield Diffie和Martin Hellman提出这样的设想：每个用户A有一加密密钥ka，不同于解密密钥ka’，可将加密密钥ka公开，ka’保密，要求ka的公开不影响ka’的安全。若B要向A秘密发送明文m，可查A的公开密钥ka，加密得密文C＝Eka (m) A收到C后用只有A才拥有的解密密钥ka’对C进行解密得m＝Dka’(C). 实用方案的发展依赖于单向陷井函数 公钥密码的分析 公钥密码易受穷举攻击，解决方法是使用长密钥；同时为了便于实现加密和解密，又希望密钥足够短，目前仅限于密钥管理和签名。 找出一种从给定的公钥计算出私钥是第二种攻击方法，尚未在数学上证明对一特定公钥算法这种攻击是不可行的，因此包括RSA在内的任何算法都是值得怀疑的。 穷举消息攻击是第三种攻击形式，攻击者用公钥对所有可能的消息加密，并与传送的密文匹配，从而解密任何消息；抵抗的方法是在要发送的消息后附加随机数。 9.2 RSA 算法 概述 1977年，Rivest、Shamir、Adleman提出的非对称密码体制，是基于大合数的质因子分解问题的困难性。目前人类已能分解十进制150位的特殊类型的大合数第9个费马数， 1994年4月一个小组通过Internet合作，8个月时间成功分解129位的数，大约428比特，最新的记录是1999年分解155位合数。RSA专利于2000年9月20日到期。 RSA密码体制基本原理 算法流程 随机选择两个秘密大质数p和q； 计算公开模数n=p*q； 计算秘密的欧拉指数函数φ(n)=