古典密码教学资料-chap9-公钥密码.pptVIP

第9讲 公钥密码 （1）密钥管理量的困难 传统密钥管理：两两分别用一对密钥时，则n个用户需要C(n,2)=n(n-1)/2个密钥，当用户量增大时，密钥空间急剧增大。如: n=100 时， C(100,2)=4,995 n=5000时， C(5000,2)=12,497,500 （2）数字签名的问题 传统加密算法无法实现抗抵赖的需求。 （3）密钥必须经过安全的信道分配 问题的提出 9.1.1 公钥密码机制 公开密钥算法是非对称算法，即密钥分为公钥和私钥，因此称双密钥体制 双钥体制的公钥可以公开，因此也称公钥算法 基于数学函数而不是代替和换位，密码学历史上唯一的一次真正的革命 公钥密码学是1976年由Diffie和Hellman在其“密码学新方向”一文中提出的公钥算法的出现，给密码的发展开辟了新的方向。公钥算法虽然已经历了20多年的发展，但仍具有强劲的发展势头，在鉴别系统和密钥交换等安全技术领域起着关键的作用 9.1 公钥密码学 从最初一直到现代，几乎所有密码系统都建立在基本的替代和置换工具的基础上。 在用了数千年的本质上可以手算完成的算法之后，常规的密码学随着转轮加密/解密机的发展才出现了一个重大进步。 机电式变码旋转软件使得极其复杂的密码系统被研制出来。有了计算机后，更加复杂的系统被设计出来。 但是不管是转轮机还是后来的DES（数据加密标准），虽然代表了重要的进展，却仍然依赖于替代和置换这样的基本工具。 密码学历史上唯一的一次真正的革命 9.1.2 公钥密码的应用 加密/解密 数字签名 密码交换 公钥密码系统的加密原理 每个通信实体有一对密钥（公钥，私钥）。公钥公开，用于加密和验证签名，私钥保密，用作解密和签名 PlainText 加密 算法 解密 算法 A B C的公钥 任何人向B发送信息都可以使用同一个密钥(B的公钥)加密 没有其他人可以得到B 的私钥，所以只有B可以解密 公钥密码体制的加密功能 A向B发消息X， B的公钥为KUb,私钥为KRb 加密 Y = EKUb(X) 解密 X = DKRb(Y) 公钥密码体制的加密 公钥密码系统的签名/认证原理 A向B 发送消息，用A的私钥加密（签名） B收到密文后，用A的公钥解密（验证） PlainText 加密 算法 解密 算法 cipher PlainText A B A的私钥 A的公钥 公钥密码体制的认证 A向B发送消息X A的公钥为KUa，私钥为KRa “加密”： Y = EKRa(X) （数字签名） “解密”： X = DKUa(Y) 注意：不能保证消息的保密性 公钥密码体制的认证 具有保密与认证的公钥体制 鉴别＋保密 对称密码 公钥密码 一般要求： 1、加密解密用相同的密钥 2、收发双方必须共享密钥 安全性要求： 1、密钥必须保密 2、没有密钥，解密不可行 3、知道算法和若干密文不足以确定密钥 一般要求： 1、加密解密算法相同，但使用不同的密钥 2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥 安全性要求： 1、两个密钥之一必须保密 2、无解密密钥，解密不可行 3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥 对公钥密码算法的误解 公开密钥算法比对称密钥密码算法更安全？ 任何一种算法都依赖于密钥长度、破译密码的工作量，从抗分析角度，没有一方更优越 公开密钥算法使对称密钥成为过时了的技术？ 公开密钥很慢，只能用在密钥管理和数字签名，对称密钥密码算法将长期存在 使用公开密钥加密，密钥分配变得非常简单？ 事实上的密钥分配既不简单，也不有效 公钥密钥的应用范围 加密/解密： 数字签名(身份鉴别) 密钥交换 公钥密钥遭受穷举攻击，密码越长越好；但为了加解密，密钥又要足够短；因此公钥密码仅限于密钥管理和签名中 算法 加/解密 数字签名 密钥交换 RSA 是 是 是 Diffie-Hellman 否 否 是 DSS 否 是 否 9.1.3 公钥密码的要求 涉及到各方：发送方、接收方、攻击者 涉及到数据：公钥、私钥、明文、密文 公钥算法的条件： 产生一对密钥是计算可行的 已知公钥和明文，产生密文是计算可行的 接收方利用私钥来解密密文是计算可行的 对于攻击者，利用公钥来推断私钥是计算不可行的 已知公钥和密文，恢复明文是计算不可行的 (可选)加密和解密的顺序可交换 满足下列条件的函数f： (1) 给定x，计算y=f(x)是容易的 (2) 给定y, 计算x使y=f(x)是困难的 (3) 存在z，已知z 时, 对给定的任何y，若相应的x存 在，则计算x使y=f(x)是容易的 所谓计算x= f-