通信保密与信息安全教学课件4.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 可用归纳法证明。 这个条件保证了结果的正确性，即Y2中是d模f的乘法逆元。课后思考，为什么，证明？ * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 快速指数算法 快速指数算法伪码描述 c=0; d=1； // c为幂指数，d为模幂结果 for i=k downto 0 do { c=2×c; d=(d×d) mod n; if bi=1 then { c=c+1; d=(d×a) mod n } } return d （6）RSA算法的参数选择 n的选择 足够大的素数 p, q e的选择 小的加密指数 e，且与φ(n) 互素 e可以相同 e=3太小，常用 e=216+1 = 65537 d的选择 d 要较大, 4.3 公钥密码算法 —— RSA （7）RSA算法的安全性 安全性基于分解大整数的困难性 ∵ 若模数n被成功地分解为 p×q ?φ(n) = (p-1)(q-1) ? d ≡ e-1 mod φ(n) ? 攻击成功 破解RSA == 分解大整数 ？ 4.3 公钥密码算法 —— RSA （7）RSA算法的安全性 计算能力的提高 RSA-129于1994 年 4 月被成功分解 RSA-130于1996 年 4 月被成功分解 ? 分解算法的进一步改进 二次筛法，如分解RSA-129 通用数域筛法，如分解RSA-130 特殊数域筛法 4.3 公钥密码算法 —— RSA （7）RSA算法的安全性 分解算法的进一步改进 密钥长度1024 ~ 2048比特的RSA暂时是安全的。 4.3 公钥密码算法 —— RSA （8）对RSA算法的攻击 共模攻击 设两个用户的公钥分别为e1和e2，且gcd(e1 , e2)=1，对明文消息m加密，密文分别是： c1 ≡ me1 mod n c2 ≡ me2 mod n 攻击者截获 c1 和 c2 后，可如下恢复 m： 先用扩展欧几里得算法求出满足 re1+ se2=1 的两个整数 r 和 s，其中一个为负，设为 r。 再用扩展欧几里得算法求出 c1-1，由此得 m ≡ (c1-1)-rc2s (mod n) 4.3 公钥密码算法 —— RSA （8）对RSA算法的攻击 低指数攻击 设3个用户的模数分别为 ni（i = 1,2,3），当 i ≠j 时，gcd(ni, nj)=1，否则通过 gcd(ni, nj) 有可能得出ni和nj 的分解。 设明文消息是 m，公钥e=3，密文分别是： c1≡ m3 mod n1; c2≡m3 mod n2; c3≡m3 mod n3 由中国剩余定理可求出 m3 mod n1n2n3 。由于m3n1n2n3，可直接由 m3 开立方根得到 m。 4.3 公钥密码算法 —— RSA （9）RSA算法演示 RSA加解密演示 DEMO 4.3 公钥密码算法 —— RSA 4.3.2 基于离散对数的算法 Diffie-Hellman密钥交换 1976年，第一个发表的公钥算法 用于两个用户安全的交换会话密钥 只能用于密钥交换，不能用于加密 算法的安全性依赖于计算离散对数的难度 ElGamal加密算法 第一个基于离散对数的公钥密码算法 随机加密算法 （1）Diffie-Hellman密钥交换 共享密钥：K= rxy mod p 4.3 公钥密码算法 —— 基于离散对数的算法 （1）Diffie-Hellman密钥交换 Diffie-Hellman密钥交换算法演示 DEMO 4.3 公钥密码算法 —— 基于离散对数的算法 （2）ElGamal加