公钥密码学与RSA.ppt

课堂练习： P201 9.2c 9.3 9.2.2 RSA计算方面的问题 密钥产生——如何找到足够大的素数p和q? （没有产生任意大素数的有用技术，通常采用素性测试） 随机选一个奇数n (如: 可使用伪随机数发生器) 随机选择一个整数a n 执行概率素数判定测试(如:Miller Rabin),如果n 未测试通过,则拒绝数值n, 转向步骤1 如果n已通过足够的测试, 则接受n, 否则转向步骤2 概率算法 9.2.3 RSA的安全性 理解RSA的单向陷门函数的特性 1) 已知e，n和M，产生C是计算可行的 解密私钥d. 2) 对于攻击者，已知e，n和C，要恢复M是计算不可行的 加密函数C=Me (mod n) 3) 存在能解密的陷门： 解密函数M=Cd (mod n) 理解求d的困难性 1, Attacker得到一对(M,C)，试图还原d，以便以后的解密。这就是离散对数问题。也就是找到x, 满足ax = b mod p是很难的。 解密函数M=Cd (mod n) 大数因子分解的困难性 2, Attacker知道公钥(e,n)，通过公钥去得到私钥是很难的。 求素因子p,q 9.2.3 RSA的安全性 强力攻击（穷举法）：尝试所有可能的私有密钥 数学分析攻击：各种数学方法，等价与两个素数乘积的因子分解 计时攻击：这类方法依赖于解密算法的运行时间； 选择密文攻击：这种攻击利用了RSA算法的性质 估计在未来一段比较长的时期，密钥长度介于1024比特至2048比特之间的RSA是安全的。 分解n为2个素因子 直接确定φ(n) 直接确定d 作业： (举例) 201页： 9.2 的d 9.9 　KDC（Key Distribution Center）密钥分配中心 * 如果网络中有n个用户彼此之间都需要秘密通信，这时网络中将需要C(n,2)=n (n-1)/2个密钥。随着通信用户的增加，所需密钥量就会大大增加（大约是用户数的平方）。如此巨大的密钥量如何产生、传输、管理和保存，又给对称密码技术带来困难。 * 　KDC（Key Distribution Center）密钥分配中心 * 1.每用户产生一对密钥 2，每用户将其中一个密钥存于公开寄存器或者其他人可以访问的文件中，该密钥称为公钥，另一密钥是私有的。每一用户拥有其他用户的公钥 3，bob要发消息给alice，就用alice的公钥对信息加密 4，alice收到消息后，用自己的私钥解密。由于只有alice知道自己的私钥，其他接受者均不能解密。 * 1.每用户产生一对密钥 2，每用户将其中一个密钥存于公开寄存器或者其他可以访问的文件中，该密钥称为公钥，另一密钥是私有的。每一用户拥有其他用户的公钥 3，bob要发消息给alice，就用自己的私钥进行签名。 4，alice收到消息后，用bob的公钥解密。由于只有bob知道自己的私钥，其他人均不能伪造消息。 * 上述方法是对整个消息进行加密，浪费了大量的存储看空间，实际中，每个文件既要对明文进行保存，又要对密文进行保存，以便发生争执时验证源及发送的消息。解决途径是只对一个称为认证符的小数据块加密，他是该消息的函数，对该消息的任何修改必然会引起认证符的变化。只用发送方私钥加密认证符就可以实现数字签名，能够验证源、消息和通信序列的有效性。 上述方法不能实现保密性。既要实现保密又要能提供数字签名的功能需要使用两次公钥方法 * 先用发送方的私钥加密实现数字签名（通常是对认证符），然后将密文（或认证符密文+明文）用接收方的公钥加密。 不能先加密后签名，这样易被伪造签名。如A要发论文给杂志社B,发送密文C=E(PRa,E(PUb, M))，攻击者X就可以先截获密文然后用A的公钥解密得到E(PUb, M)，再用自己的私钥PRc签名得到C=E(PRx,E(PUb, M))，然后发送给杂志社，论文的作者便是X了 * 产生公私密钥对的程序是USB Key生产者烧制在芯片中的只读存储器ROM中的，密码算法程序也是烧制在ROM中。公私密钥对在USB Key中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。木马也就窃取不到。 * 一个函数f：X Y 称为是陷门单向的，如果该函数及其逆函数的计算都存在有效的算法，而且可以将计算f的方法公开，即使由计算f的完整方法也不能推导出其逆运算的有效算法。其中，使得双向都能有效计算的秘密信息叫做陷门(trap door)。 单项陷门函数如离散对数和因子分解问题 * * * 1976年9月，一篇题为“New Directions in Cryptography(密码术的新方向)”的文章，打破了几千年来对称密码技术的