信息论 第五讲 完善保密教学教案.ppt

张焕国 武汉大学计算机学院 ;目 录 ;目 录 ;五、完善保密; 1、密码分析 密码分析的概念： 一个密码系统，说它是完善保密的（或称是无条件安全的）: 既使密码分析者拥有无限的密文资源和计算资源（诸如时间、空间、设备等）也无法破译该密码。 保密系统的安全性通常是针对某种类型的攻击的 本节研究仅知密文攻击下保密系统的完善保密性， 所得结果不一定能适合已知明文攻击或选择明文攻击。 ; 1、密码分析 密码分析的数学描述： 信息论指出：对一个给定的保密系统，由系统一部分的熵和互信息，可计算出系统中各部分的熵。 记明文空间的熵为H(M),密钥空间的熵为H(K), 密文空间的熵为H(C)。 记已知密文条件下明文的含糊度为H(M/C) ，已知密文条件下密钥的含糊度为H(K/C)。 密码分析问题： ①从仅知密文攻击来看，密码分析者的任务是从截获的密文中提取有关明文的??息： I(M,C)=H(M)-H(M/C) ②或从密文中提取有关密钥的信息： I(K,C)=H(K)-H(K/C) ; 1、密码分析 密码分析的数学描述： 上两式表明，H(M/C) 和H(K/C) 越大，窃听者从密文能获得的有关明文和密钥的信息就越少。 对于合法的接收者，由于已知密文和密钥，根据加密变换的可逆性可知 H(M/CK)=0 这是因为已知密文和密钥的条件下，解密出明文是确定的，概率为1，所以熵为0。 于是，根据式（5-1）有 I(M,CK)=H(M)-H(M/CK) =H(M) 这表明，在已知密文和密钥条件下，合法接收者可完全提取 明文信息。 ; 1、密码分析 定理5.1 对任意保密系统 都有： I(M,C) ≥ H(M)-H(K) 证明 由式（5-3）知道H(M/CK)=0，于是 H(K/C)=H(K/C)+H(M/KC) =H(KC)-H(C)+H(MKC)-H(KC) =H(KMC) -H(C) =H(MC)-H(C)+H(KMC)-H(MC) =H(M/C)+H(K/MC) 又根据熵的非负性， H(K/MC) ≥ 0， 所以有：H(K/C) ≥ H(M/C) . 又根据定理3.1有：H(K) ≥ H(K/C) ，条件熵不大于无条件熵 所以 H(K) ≥ H(M/C)。 根据式（5-1）， I(M,C)=H(M)-H(M/C)。 综合可得 I(M,C) ≥ H(M)-H(K) 证毕。 ; 1、密码分析 定理5.1的说明： I(M,C) ≥ H(M)-H(K) 保密系统的密钥量（可能的密钥量）越小，密钥的不确定性就越小，则H(K)越小 ，则密文中含有的关于明文的信息量I(M,C)就越大。越有利于分析者。当密钥空间太小时，穷举便可攻破。 从密码设计的角度，应选择足够大的密钥量，使密钥的不确定性加大，以使 I(M,C) 尽量小，密码就越安全。; 2、完善保密 定义5.1 一个保密系统称为完善的或无条件保密的，若其密文与明文之间的互信息 I(M,C) ＝0 。 说明： I(M,C) ＝0说明，攻击者从密文得不到任何有关明文的信息，不管他截获了多少密文，也不管他有多少计算资源。 注意： I(M,C) ＝0只说明，攻击者仅从密文得不到任何有关明文的信息，而不说明通过其它方式得到明文的信息。如，通过已知明文攻击，选择明文攻击等方法获得明文信息。 ;2、完