公开密钥密码培训资料.pptVIP

三、RSA公开密钥密码 3、 RSA密码的实现 3）大素数的运算 Montgomery算法的思路： ? 要计算 Y=AB mod n ,因为n很大，取模运算困难，采取一个小的模 R，回避大模的计算。 ? 利用空间换时间，多用存储空间换取快速。 ? 缺点：不能直接计算出 Y=AB mod n ，只能计算出中间值 ABR-1 mod n ，因此还需要预处理和调整运算。一次性计算Y=AB mod n并不划算。 ? 适合：RSA等密码中多次的模乘计算。 三、RSA公开密钥密码 4、对RSA公开密钥密码的主要攻击 ??穷举攻击：穷举所有可能的私钥 ??数学攻击： ?? 因式分解攻击 ?? 参数的选取不当造成的攻击 ?? 选择密文攻击 ?? 共模攻击 ?? 小指数攻击 计时攻击 RSA公钥加密的攻击—因子分解 因子分解攻击RSA的途径包括 ?分解n为p，q ?直接确定φ(n), 而不确定p，q ?直接确定d，而不确定φ(n) ?可以证明，从e和n确定φ(n)或者d的算法至少和因子分解一样费时。因此，将因子分解的困难性作为评价RSA安全性的基准。 RSA公钥加密的攻击—选择密文攻击 RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装( Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。 RSA公钥加密的攻击—共模攻击 共模攻击：指通信系统中使用相同的n，且存在两个用户的公钥e1和e2是互质的，则可以由这两个用户对同一条明文的不同加密结果，恢复出原始明文 ??攻击方法： ??设c1≡me1(mod n) c2 ≡me2 (mod n) ??攻击者知道e1, e2, n, c1, c2 ??因为e1和e2互质，故用Euclidean算法能找到r和s，使得t×e1+s×e2=1 (注意是相等) ??则c1t×c2s=m (mod n) 不能用同一个n来生成密钥 RSA公钥加密的攻击—小指数攻击 Wiener在1990年指出，当dn1/4时，从e和n可以很容易求出密钥d RSA公钥加密的攻击—计时攻击 思想：利用指数中某一位为0或者为1时，硬件加密速度不同 四、ELGamal公钥密码 1、基本情况： ①ELGamal密码是除了RSA密码之外最有代表性的公开密钥密码。 ②RSA密码建立在大合数分解的困难性之上。 ③ELGamal密码建立在离散对数的困难性之上。 所谓离散对数，就是给定正整数x，y，n，求出正整数k（如果存在的?话），使y≡xk(mod n)。 四、ELGamal公钥密码 2、离散对数问题： ①设p为素数，则模p的剩余构成有限域： Fp={0,1,2,… ,p-1} Fp 的非零元构成循环群Fp* Fp* ={1,2,… ,p-1} ={α，α2，α3，，αp-1}， 则称α为Fp*的生成元或模 p 的本原元。 ②求α的摸幂运算为: y =αx mod p，1≤x≤p-1, 四、ELGamal公钥密码 2、离散对数问题： 求对数 X 的运算为 x=logαy，1≤x≤p-1 由于上述运算是定义在模p有限域上的，所以称为离散对数运算。 ③从x计算y是容易的。可是从y计算x就困难得多，利用目前最好的算法，对于小心选择的p将至少需用O(p ?)次以上的运算，只要p足够大，求解离散对数问题是相当困难的。 四、 ELGamal公钥密码 3、算法 准备：随机地选择一个大素数p，且要求p-1有大素数因子。再选择一个模p的本原元α。将p和α公开。 ⑴ 密钥生成 用户随机地选择一个整数d作为自己的秘密的解密钥，2≤d≤p-2 。 计算y=αd mod p，取y为自己的公开的加密钥。 由公开钥y 计算秘密钥d，必须求解离散对数，而这是极困难的。 四、 ELGamal公钥密码 ⑵ 加密 将明文消息M（0≤M≤p-1)加密成密文的过程如下： ①随机地选取一个整数k，2≤k≤p-2。 ②计算： U ＝y k mod p； C1＝αk mod p； C2＝UM mod p； ③取 C＝（C1 ，C2）作为的密文。 四、 ELGamal公钥密码 ⑶ 解密 将密文（C1 ，C2）解密的过程如下： ①计算V＝C1 d mod p； ②计算M＝C2 V -1 mod p。 四、 ELGamal公钥密码 解密的可还原性可证明如下： C2 V-1 mod p ＝(UM)V-1 mod p ＝UM（C1 d）-1 mod p ＝UM（（αk）d）-1 mod p