04网络信息安全技术第3章.ppt

3) 高次幂的求模算法C=Me mod p  RSA加、解密变换都要进行高次幂的求模运算。求C=Memodp可通过对指数e的二进制化来实现。例如, 求117 mod 17， 7=(111)2即7=22+21+20 117mod 17=(11) 22×112×11mod 17 具体步骤如下：将e用二进制表示, e=kl, kl-1, …, k0, ki∈{0, 1}, 0≤i≤l c=1 For i=1~0 C=C2 mod p 若ki=1，则C=C(M modp)。 3.4.3 RSA算法的安全性 RSA算法之所以具有安全性，是基于数论中的一个特性事实，即将两个大的素数合成一个大数很容易，而逆过程则非常困难，即若n=pq被分解，则RSA便被攻击; 若p, q已知，则φ(n)=(p-1)(q-1)便可算出，解密密钥d和e满足d×e=1≡mod φ(n), 故d便求出。 由此可见，RSA的安全性依赖于大数分解。目前，进行大数分解速度最快的方法，其时间复杂度为 exp(sqrt(ln(n)lnln(n))) 由时间复杂度可见，RSA的安全性是依赖于作为公钥的大数n的位数长度。为保证足够的安全性，三位数学家建议取p, q为100位的十进制数，这样n为200位十进制数，若按每秒10+7次运算的超高速电子计算机计算，也要10+8年，但在实际中，一般认为现在的个人应用需要用512 bit的n，公司需要用1024 bit的n，极其重要的场合应该用2048 bit的n。 RSA的安全性依赖于大数分解, 公钥和私钥都是两个大素数的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积, 但是否等同于大数分解一直未能得到理论上的证明，也并没有从理论上证明破译RSA的难度与大数分解难度等价。因为没有证明破解RSA就一定需要作大数分解， 所以，假设存在一种无须分解大数的算法，那它肯定可以修改成为大数分解算法。即RSA的重大缺陷是无法从理论上把握它的保密性能如何，而且密码学界多数人士倾向于因子分解不是NPC问题。 目前，RSA的一些变种算法已被证明等价于大数分解。不管怎样，分解n是最显然的攻击方法。目前，人们分解的最新纪录是129位十进制位的大素数，因此，模数n必须选择足够大。 RSA算法的保密强度，随其密钥的长度增加而增强，但是，密钥越长，其加解密所耗的时间也越长，因此，要根据所保护信息的敏感程度与攻击者破解所要花的代价值不值得和系统所要求的反应时间来综合考虑决定，尤其对于商业信息领域更是如此。 3.4.4 RSA的实用性及数字签名 公开密钥密码体制与对称密钥密码体制相比较, 确实有其不可取代的优点, 但它的运算量远大于后者, 超过几百倍、几千倍甚至上万倍, 复杂得多。  在网络上全都用公开密钥密码体制来传送机密信息, 是没有必要的, 也是不现实的。在计算机系统中使用对称密钥密码体制已有多年, 既有比较简便可靠的、久经考验的方法, 如以DES(数据加密标准)为代表的分块加密算法(及其扩充DESX和Triple DES), 也有一些新的方法发表, 如由RSA公司的Rivest研制的专有算法RC2、RC4、RC5等, 其中RC2和RC5是分块加密算法, RC4是数据流加密算法。 在传送机密信息的网络用户双方, 如果使用某个对称密钥密码体制(例如DES), 同时使用RSA不对称密钥密码体制来传送DES的密钥, 就可以综合发挥两种密码体制的优点, 即DES高速简便性和RSA密钥管理的方便和安全性。   RSA算法已经在互联网的许多方面得到广泛应用， 包括在安全接口层（SSL）标准（该标准是网络浏览器建立安全的互联网连接时必须用到的）方面的应用。 基于RSA算法的公钥加密系统具有数据加密、数字签名(Digital Signature)、信息源识别及密钥交换等功能，目前，RSA加密系统主要应用于智能IC卡和网络安全产品。选用RSA算法作为公共钥加密系统的主要算法的原因是算法安全性好。 在模N足够长时，每lnN个整数中就有一个大小接近于N的素数。 在模长为1024 bit时，可以认为RSA密码系统的可选密钥个数足够多，可以得到随机、安全的密钥对。公钥加密系统多用于分布式计算环境， 在此环境密钥分配和管理易于实现，局部攻击难以对整个系统的安全造成威胁。 RSA公钥体系还可用于对数据信息进行数字签名。所