网络安全第56讲24知识.pptVIP

2.4 公钥（非对称）密码体制 2.4.5 RSA算法的安全性 　　攻击者通常会考虑通过已知的公钥推算私钥，但是这要将模数因式分解成组成它的质数，计算的难度很大。算法可以采用足够长的密钥，使其在现有的计算水平下基本不可能实现。RSA实验室给出了不同应用场合的密钥长度建议：普通公司使用的密钥长度应为1024bit，对于极其重要的资料，使用双倍长度即2048bit。对于普通用户,使用768bit的密钥长度已足够，因为使用当前技术和计算能力无法轻易破解。 2.4 公钥（非对称）密码体制 2.4.5 RSA算法的安全性 　　由此可见，RSA的安全性依赖于大数分解。目前，进行大数分解速度最快的方法，其时间复杂度为 exp(sqrt(ln(n)lnln(n))) 由时间复杂度可见，RSA的安全性是依赖于作为公钥的大数n的位数长度的。为保证足够的安全性，三位数学家建议取p、q为100位的十进制数，这样大数n为200位十进制数，即使采用每秒107次运算的超高速电子计算机，至少也要计算108年，但在实际应用中，一般认为现在的个人应用可以采用512bit的公钥，公司需要用1024bit的公钥，极其重要的场合必须使用2048bit的公钥。 2.4 公钥（非对称）密码体制 2.4.5 RSA算法的安全性 　　RSA算法的重大问题是无法从理论上证明其保密性能。RSA的安全性依赖于大数因子分解，而密码学界多数人士倾向于因子分解不是NPC问题，普遍认为从一个密钥和密文推断出明文的难度等同于分解两个大素数的积，但这一假设并没有从理论上得到证明。目前，RSA的一些变种算法已被证明等价于大数分解。不管怎样，分解n是最直接的攻击方法。人们已经分解的最新纪录是129位十进制的大素数，因此，公钥的大数n必须选择得足够大。 　　加密算法的应用不仅要考虑保密强度，还要考虑算法的运算效率。密钥越长安全性越高，其加解密所耗的时间也越长，因此，加密密钥的长度需要根据所保护信息的敏感程度、攻击者破解所要花的代价以及系统所要求的反应时间来综合考虑决定，尤其对于商业信息领域更是如此。 2.4 公钥（非对称）密码体制 2.4.6 RSA算法的实用性及数字签名 1．RSA的实际应用 　　选用RSA算法作为公开密钥加密系统的主要算法的原因是该算法安全性好。在模N足够长时，每lnN个整数中就有一个大小接近于N的素数。在模长为1024bit时，可以认为RSA密码系统的可选密钥个数足够多，可以得到随机、安全的密钥对。 　　目前，RSA算法已经广泛应用于安全通信，在互联网的许多领域也得到了采用，例如在安全接口层（SSL）标准中选择了RSA算法来保证网络浏览器建立安全的互联网连接。RSA加密系统也大量应用于智能IC卡和网络安全产品中。 2.4 公钥（非对称）密码体制 2.4.6 RSA算法的实用性及数字签名 1．RSA的实际应用 　　公开密钥密码体制与对称密钥密码体制相比较，确实有非常明显的优点，但它的运算量远大于后者，常常是几百倍、几千倍甚至上万倍，计算复杂度过高。公开密钥密码体制传送机密信息的代价较高，因此通常只用来传送数据加密的密钥，大规模的数据使用传送的密钥进行对称加密，以提高工作效率。在传送机密信息的网络用户双方，如果使用某个对称密钥密码体制(例如DES)，同时使用RSA不对称密钥密码体制来传送DES的密钥，就可以综合发挥两种密码体制的优点，即DES的高速简便性和RSA密钥管理的方便和安全性。 2.4 公钥（非对称）密码体制 2.4.6 RSA算法的实用性及数字签名 2．RSA用于数字签名 　　RSA公钥体系在应用中还可以实现对信息进行数字签名。数字签名是指信息发送者从所传报文中提取出特征数据（或称数字指纹），使用其个人私钥对特征数据进行RSA算法解密运算，得到发信者对该数字指纹的签名消息。 　　数字签名的运算过程使用签名函数H(m)，从技术上标识了发信者对该电文的数字指纹的责任。发信者的私钥只有其本人才拥有，所以传递的信息一旦添加了签名，便保证了发信者无法抵赖曾发过该信息（即不可抵赖性）。 2.4 公钥（非对称）密码体制 2.4.6 RSA算法的实用性及数字签名 2．RSA用于数字签名 　　当信息接收者收到报文后，就可以用发信者的公钥对数字签名进行反运算，得到发信者提供的消息数字指纹，在本地采用相同方法重新计算数字指纹，通过对比收到的报文和本地计算的内容是否一致，就可以验证签名的真实性和报文完整性。 　　数字签名的有效性已经被众多组织和企业所接受，并逐渐具有一定的法律效力。美国参议院对此已通过了立法，现在在美国，数字签名与手书签名的文件具有同等的法律效力