而概率算法.PPT

三．公钥密码系统 公钥密码的观点是由Diffie和Hellman于1976年在 们的论文“密码学的新方向”一文中首次提出的。他们指 明了实现在某些已知的数学难解问题上建立密码的具体 途径。 随后Rivest, Shamir和Adleman于1977年提出第一个比较完善的RSA公钥密码系统。RSA既可以用于保 密也可以用于签名。公钥密码系统是计算复杂性理论发 展的必然产物。私钥（对称）密码系统的缺陷之一是通 信双方在进行保密通信之前需要通过安全通道传送密这点在实际中是非常困难的。而公钥密码系统可使通信双 方无须事先传送密钥就可以建立保密通信。公钥密码系 统的出现为解决私钥密码系统的密钥分配问题开辟了一 条宽广的道路。 在公钥密码系统中每个实体都有自己的公钥和相应的私钥。在安全系统中已知公钥推算出私钥在计算上是困难的。公钥密码系统的加密变换和解密变换分别用和表示。任何实体B要向实体A发送信息m的步骤如下: 实体B首先获得实体A的真实公钥 的拷贝(Authentic Copy) 实体B计算密文 并发送给实体A。 实体A使用自己的私钥，计算 解密密文恢复明文。 这里公钥不需要保密，但要保证它的真实性，即 确实是实体A掌握的私钥所对应的公钥。“提供真实的公钥”比“安全地分配密钥”实现起来要容易得多。这是公钥密码系统的主要优点。 公钥密码系统的主要目的是提供保密性，它不能提供数据源认证(Data Origin Authentication)和数据完整性 (Data Integrity)。数据源认证是指：指定的数据是在以前的某个时间确实是由真正的源创建的。数据完整性是指：真正的源创建该数据后经过传输或储存没有发生改变。数据源认证和数据完整性要由其它技术来提供（如：消息认证码、数字签名） 从本质上来看，公钥密码比私钥密码（如：DES、IDEA、RC5等）加密的速度要慢。通常公钥密码用在: 传送密钥。以后用该密钥作为私钥密码系统的密钥来加密大量数据 在数据完整性和认证中使用 加密少量数据 公钥解密也可以提供认证保证（如：在实体认证协议、带认证的密钥协建立协议等）。公钥加密中必须有办法让发送消息的人得到想要发送到的那个人的公钥的真实拷贝。否则的话就会受到伪装攻击。在实践中有很多方法分发真实的公钥，如：使用可信的公共文件、使用在线可信服务器、使用离线服务器和认证。建立在不同计算问题之上的其它几个公钥密码系统是 Merkle-Hellman Knapsack (1978) 本系统及相关系统基于“子集和”问题的困难性。然而已证明除Chor-Rivest系统外各种knapsack系统都是不安全的 McEliece (1978) McEliece密码系统基于代数编码系统。 ElGamal (1985) 它基于有限域中离散对数问题的困难性 椭圆曲线 椭圆曲线密码系统是用椭圆曲线上运算代替有限域上运算来实现已有的公钥密码系统。它的特点是运行速度快、密钥长度短 从抽象的观点来看，公钥密码系统是一种单向陷门函数。我们说一个函数是单向函数(One Way Function)是指：对它的定义域中的任意元素都容易计算其函数值，反过来对值域中几乎所有元素确定它的原象都是不可行的。如果掌握某些辅助信息就容易由值域元素确定它的原象，那么这种单向函数叫单向陷门函(Trapdoor One Way Function)。这里辅助信息就是陷门。例如：p和q是两个大素数，n=p.q，e是正整数， 是单向陷门函数，其陷门是 3.1 RSA系统和素因子分解 3.1.1 RSA密码系统简介 3.1.2 RSA密码系统描述 3.1.3 RSA实现 3.1.4 RSA在实现时要注意的问题 3.1.6 有关算法 3.1.7 因子分解 3.1.1 RSA密码系统简介 RSA是使用最广泛的公钥密码系统。它可以用在保密性和数字签名。 1976年Diffie Hellman提出公钥密码系统的思想 1977年由Rivest, Shamir, Adleman 首次实现了著名的RSA密码系统，它的安全基于大整数素因子分解的困难性上。 3.1.2 RSA密码系统描述 每个实体有自己的公钥(n,e)及私钥p,q,d，其中n=p.q是两个大素数之积, 。 实体B加密消息,将密文在公开信道上传送