第三周密码学概述（第3章）.pptVIP

输出反馈OFB * 公钥密码算法基础 可以提供单向函数的三大数学难题 大整数分解问题（简称IFP）：知道一个大整数(几百位/上千位),求其因子分解式 离散对数问题（简称DLP）：知道ax≡y mod n, 求x, 其中a,n是很大的整数 椭圆曲线离散对数问题（简称ECDLP）。 其它单向函数： 哈希函数（数字摘要算法）：来自信息熵上的不可逆。等等 * RSA算法 设分组长度为l –bit，每个分组 M 被看作是一个 l –bit 的二进制值。 取某一个整数 n （大整数），使对所有 M，有 M n 一般， n 的取值满足 2l n ≤ 2 l+1。 加密算法 C = Me mod n。 解密算法 M = Cd mod n = (Me)d mod n = Med mod n。 加密密钥（公开密钥）为 KU = {e,n}。 解密密钥（私有密钥）为 KR = {d,n}。 要求： {e, d, n} 使对所有 M n 都有： M = Med mod n 对所有 M n ， Me 和 Cd 的计算相对简单。 给定 {e, n} ，要推断 d 在计算上不可行。 * RSA算法描述 选取足够大的两个素数 p 和 q, 令 n = pq , 则φ(n) = (p-1)(q-1)。 选取适当的加密密钥 e 和解密密钥 d ，使之满足 。 则有 med ≡mkφ(n)+1 ≡m mod n, 即满足m ≡ med mod n 公开 n 和 e (e为公钥 )，保密 p, q 和 d(d为私钥)。 加密运算： 解密运算： * RSA算法证明 * 例子： 选p=7，q=17 （保密） n=p×q=7×17=119 （公开） Ф(n)=（p-1）×（q-1）=96（保密） 选取e=5，满足1＜e＜Ф(n)，满足gcd（e,Ф(n)）=1 确定满足d×e 1 mod 96且小于96的d ①因为77×5=385=4×96+1 所以d=77 ②d=e^(Ф(Ф(n))-1) mod Ф(n) = 5^(32-1) mod 96=77 公开钥{5，119} 秘密钥{77，119} 设明文m=19 加密运算：c=195 mod 119=66 解密运算：m=6677mod 119=19 CRT 对RSA解密算法生成两个解密方程 （利用M = Cd mod n ，其中n=p*q） 即: M1 = (C mod p)d mod (p-1) = M mod p M2 = (C mod q)d mod (q-1) = M mod q 解方程 M = M1 mod p M = M2 mod q 具有唯一解（利用CRT ） 中国剩余定理优化计算 中国剩余定理优化计算 * ElGamal加密系统 ElGamal的安全性依赖于计算有限域上离散对数这一难题。 密钥对产生办法如下： ①选择一个素数p，两个随机数g和x，要求g, x p ②计算 y=gx(mod p)，则其公钥为 y, g 和p。私钥是x。 g和p可由一组用户共享。 * 假定被加密信息为M，首先选择一个随机数k，k与p-1互质，计算 a=gk(mod p) b=yk M(mod p) (a,b)为密文，是明文的两倍长。解密时计算 M=b/ax(mod p) ElGamal加密系统 * RSA与Elgamal对比 RSA 基于大整数分解问题，ed ≡ 1 mod Ф(n)，不容易公式变形 密钥长度1024bits，e可以比较短。 加密、解密、签名、验证模块均一样 Elgamal： 离散对数问题， y=gx(mod p)，容易公式变形。 密钥长度512bits,x 为mod (p-1)，y为mod p 加密结果为512bits*2 加密、解密、签名、验证模块不一样 * RSA算法 DES和RSA标准的比较 加密机制 DES RSA 原理 加密钥=解密钥 加密钥≠解密钥 算法 公开 公开 密钥配送 必要 不必要 密钥数 必须为通信对象数 自己用的一个即可 安全确认 比较困难 容易 加密速度 可达100MB/S 可达10KB/S * 混合密码体制钥 数字信封技术 * 椭圆曲线密码体制 1985年，N.Koblitz及V.S.Miller分别提出了椭圆曲线密码体制（Ellipti