公钥密码学（续） 计算机安全保密技术知识课程 .pptVIP

公钥密码学（续）;基本思想;用公钥密码实现保密;用公钥密码实现认证;公钥密钥的应用;单向陷门函数是满足下列条件的函数f：; 注：1*. 仅满足(1)、(2)两条的称为单向函数；第(3)条称为陷门性，δ 称为陷门信息。 2*. 当用陷门函数f作为加密函数时，可将f公开，这相当于公开加密密钥。此时加密密钥便称为公开钥，记为Pk。 f函数的设计者将δ 保密，用作解密密钥，此时δ 称为秘密钥匙，记为Sk。由于加密函数时公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者（当然可以通过不安全信道传送）；由于设计者拥有Sk，他自然可以解出x=f-1(y)。 3*.单向陷门函数的第(2)条性质表明窃听者由截获的密文y=f(x)推测x是不可行的。 ;公钥密码体制;RSA算法－密钥的生成;RSA算法－加密和解密;RSA算法例子;对RSA的攻击方法;RSA密码体制的实现 实现的步骤如下：Bob为实现者 (1)Bob寻找出两个大素数p和q (2)Bob计算出n=pq和? (n)=(p-1)(q-1). (3)Bob选择一个随机数e(0e ? (n))，满足（e， ? (n)）＝1 (4)Bob使用辗转相除法计算d=e-1(mod ? (n)) (5)Bob在目录中公开n和e作为她的公开钥。 密码分析者攻击RSA体制的关键点在于如何分解n。若分 解成功使n=pq，则可以算出φ(n)＝（p-1)(q-1)，然后由公 开的e，解出秘密的d。（猜想：攻破RSA与分解n是多项式等价的。然而，这个猜想至今没有给出可信的证明。）;要求：若使RSA安全，p与q必为足够大的素数，使 分析者没有办法在多项式时间内将n分解出来。 建议选择 p和q大约是100位的十进制素数。 模n的长度要求至少是 512比特。EDI攻击标准使用的RSA算法中规定n的长度为 512至1024比特位之间，但必须是128的倍数。国际数字 签名标准ISO/IEC 9796中规定n的长度位512比特位。 为了抵抗现有的整数分解算法，对RSA模n的素因子 p和q还有如下要求： (1)|p-q|很大，通常 p和q的长度相同； (2)p-1 和q-1分别含有大素因子p1和q1 (3)P1-1和q1-1分别含有大素因子p2和q2 (4)p+1和q+1分别含有大素因子p3和q3 ; 为了提高加密速度，通常取e为特定的小整数，如EDI国际标准中规定 e＝216＋1，ISO/IEC9796中甚至允许取e＝3。这时加密速度一般比解密速度快10倍以上。 模n的求幂运算－著名的“平方-和-乘法”方法： 将计算xc(mod n)的模乘法的数目缩小到至多为2l，这里的l是指数c的二进制表示比特数。若设n以二进制形式表示有k比特，即k=[log2n]+1。 由l≤ k，这样xc(mod n)能在o(k3)时间内完成。（注意，不难看到，乘法能在o(k2)时间内完成。） 平方－和－乘法算法： 指数c以二进制形式表示为： c=;Xc=xc0×（x2)c1×…×(x2t-1)ct-1 预计算： x2=xx x4=x22=x2x2 . . . x2t-1 =x2t-2*x2t-2 Xc计算：把那些ci=1对应的x2i全部乘在一起，便得xc。 至多用了t-1次乘法。给出计算xc(mod n)算法程序： A=xc c=c0+c12+..+ct-12t-1= [ct-1,....,c1,c0]2 ; ; ;RSA的安全性;RSA签名方案 签名的基本概念 传统签名（手写签名）的特征： （1）一个签名是被签文件的物理部分； （2）验证物理部分进行比较而达到确认的目的。(易伪造) （3）不容易忠实地“copy”!!! 定义： (数字签名方案）一个签名方案是由签署算法与验 证算法两部分构成。可由五元关系组（P,A,K,S,V）来刻化： (1)P是由一切可能消息(messages)所构成的有限集合； (2)A是一切可能的签名的有限集合； (3)k为有限密钥空间，是一些可能密钥的有限集合； ;注意：n和e为公钥；p,q,d为保密的（私钥）。对x∈P, Bob要对x签名，取k∈K。Sigk(x)? xd(mod n)?y(mod n) 于是 Verk(x,y)=真 x?ye(mod n) （注意：e,n公开；可公开验证签名(x,y