第5章节 公钥密码.ppt

第五讲： 双钥密码 一、基本概念 二、RSA密码体制 三、背包密码体制 四、Rabin密码体制 五、ElGamal密码体制 六、椭圆曲线密码体制 七、McEliece密码体制 八、LUC密码体制 九、秘密共享密码体制 十、有限自动机密码体制 第五讲：双钥密码 双(公)钥密码体制于1976年由W. Diffie和M. Hellman[1976]提出，同时R. Merkle[1978]也独立提出了这一体制。可用于保密通信，也可用于数字签字。这一体制的出现在密码学史上是划时代的事件，它为解决计算机信息网中的安全提供了新的理论和技术基础。 自1976年以来，双钥体制有了飞速发展，不仅提出了多种算法，而且出现了不少安全产品，有些已用于NII和GII之中。本章将介绍其中的一些主要体制，特别是那些既有安全性，又有实用价值的算法。其中，包括可用于密钥分配、加解密或数字签名的双钥算法。一个好的系统，不仅算法要好，还要求能与其它部分，如协议等进行有机的组合。 一、基本概念 由于双钥体制的加密变换是公开的，使得任何人都可以采用选择明文来攻击双钥体制，因此，明文空间必须足够大才能防止穷尽搜索明文空间攻击。这在双钥体制应用中特别重要(如用双钥体制加密会话密钥时，会话密钥要足够长)。一种更强有力的攻击法是选择密文攻击，攻击者选择密文，而后通过某种途径得到相应的明文，多数双钥体制对于选择密文攻击特别敏感。通常采用两类选择密文攻击：(1) 冷漠(Indifferent)选择密文攻击。在接收到待攻击的密文之前，可以向攻击者提供他们所选择的密文的解密结果。(2) 自适应选择密文攻击，攻击者可能利用(或接入)被攻击者的解密机(但不知其秘密钥)，而可以对他所选择的、与密文有关的待攻击的密文，以及以前询问得到的密文进行解密。 一、基本概念 本讲介绍双钥体制的基本原理和各种重要算法，如RSA、背包、Rabin、ElGamal、椭圆曲线、McEliece、LUC、秘密共享、有限自动机等密码算法。 1. 双钥密码体制的基本概念 双钥密码保密、认证系统的的安全性主要取决于构造双钥算法所依赖的数学问题。要求加密函数具有单向性，即求逆的困难性。因此，设计双钥体制的关键是先要寻求一个合适的单向函数。 （1）单向函数 定义5-1-1 令函数f是集A到集B的映射，以f：A?B表示。若对任意x1?x2，x1, x2?A，有f(x1)?f(x2)，则称f为单射，或1—1映射，或可逆的函数。 一、基本概念 f为可逆的充要条件是，存在函数g：B ? A，使对所有x?A有g[f(x)]=x。 定义5-1-2 一个可逆函数f：A?B，若它满足： 1o 对所有x?A，易于计算f(x)。 2o 对“几乎所有x?A”由f(x)求x“极为困难”，以至于实际上不可能做到，则称f为一单向(One-way)函数。 定义中的“极为困难”是对现有的计算资源和算法而言。Massey称此为视在困难性(apparent difficulty)，相应函数称之为视在单向函数。以此来和本质上(Essentially)的困难性相区分 [Massey 1985]。 一、基本概念 例5-1-1 令f是在有限域GF(p)中的指数函数，其中p是大素数，即 y=f(x)=?x (5—1—1) 式中，x?GF(p)，x为满足0? xp－1的整数，其逆运算是GF(p)中定义的对数运算，即 x=log??x 0? xp－1 (5—1—2) 显然，由x求y是容易的，即使当p很大，例如p?2100时也不难实现。为方便计算以下令?=2。所需的计算量为lb p次乘法，存储量为(lb p)2比特，例如p=2100时，需作100乘法。利用高速计算机由x计算?x可在0.1毫秒内完成。但是相对于当前计算GF(p)中对数最好的算法，要从?x计算x所需的存储量大约为 比特和运算量大约为 。当p=2100时，所需的计算量为 次，以计算指数一样快的计算机进行计算需时约1010.7秒(1年=107.5秒，故约为1600年！其中假定存储量的要求能够满足)。可见，当p很大时，GF(p)中的f(x)=? x，xp－1是个单向函数。 一、基本概