《现代密码学原理与实践》全套教学课件.ppt

为了使A了解B是否完整地收到了他发的消息，协议为 (1)A发送给B密文c1，c1=EB(DA(m))。 (2)B收到密文后，作EA(DB(c1))=m运算。 (3)B送回A密文c2, c2=EA(DB(m))。 (4)A收到c2后，作EB(DA(c2))= 运算。 (5)A比较 和m，若二者相同，则表明B确已完整地收到m。 其实这个协议是不安全的，比如F截获了A送给B的密文c1=EB(DA(m))后，将c1送给B，并称是F发给B的，如果B盲目地按协议执行第(2)步，就得到 EF(DB(c1))=EF(DB(EB(DA(m))))=EF(DA(m))=x x实际是乱码，但是如果B不假思索地按习惯再执行第(3)步，就得到  EF(DB(x))=EFDB(EFDA(m))=y 并将它送回F，则F只用自己的私钥和A、B的公钥就可得到A发给B的明文：  EADFEBDF(y)=EADFEBDF(EFDBEFDA(m))=m 因此，B收到密文后，一定不要盲目地进行“回执”，而是要观察解密的结果是否有意义，阅读明文后再决定是否“回执”，这样就可避免F的攻击。 6.3.2沙米尔(Shamir)协议 用Shamir协议进行保密通信的协议如下： (1)A先用自己的加密密钥对明文进行加密，得EA(m)，并将它发送给B。 (2)B用自己的加密密钥再加一次密，得EB(EA(m)),并发回给A。 (3)如果二次加密是可以交换的，即EB(EA(m))=EA(EB(m))，则A可将自己的加密解开，即DA(EA(EB(m)))=EB(m)，并将结果发回给B。 (4)B用自己的解密密钥解出明文，即DB(EB(m))=m。 在此协议中，双方都不需要公开或交换任何密钥，即使加、解密使用的是同一把对称密钥也行。就如同A把东西放进箱子后上了锁，B再上另一把锁，然后A打开自己的锁，B再打开自己的锁。显然此系统只能用于保密，不能进行认证。而且要求二次加密的可交换性，这并非总能成立的。 指数运算方案是可交换的，因而也可用于Shamir协议： 取p为大素数，φ(p)=p-1，各用户选与p互素的e，并计算其逆元ed=1 mod φ(p)，(e，d)均由用户自己保管，这样就可用Shamir协议进行通信了。 若一次一密体系是可交换的，则用于沙米尔协议上会得到不安全的结果。 设A的密钥是：  kA=k1k2…kn… B的密钥是：  kB=k1′k2′…kn′…(各位都是0或1) 明文是：m=m1m2…mn… 于是密文为 式中： A将c1发给B，B做如下运算: B将c2发回A，A将c2与k按位模2加： 攻击者可将c1、c2、c3作按位模2加，即可得到m： 因自己与自己的模2加必为0，所以上式的结果为m。这表明简单的模2加用于Shamir协议是不安全的。 6.3.3不可否认签名协议 不可否认签名在验证时要求发信人必须参与，A不参加验证时，B便不能向第三者证明签名的正确性。在第5章中，我们已经给出了一个不可否认签名的协议，现在再展示一个与之算法不同的不可否认签名协议。 前提：p为大素数，g是本原元素，p、g公开，A的秘密私钥为x。公开密钥为y=gx mod p，明文为m，签名为z=mx mod p。 B收到A发送来的明文m和签名z后，验证z是A对m的签名的步骤为 (1)B选择两个小于p的随机数a和b，计算：  c=magb mod p (6-29) 并发给A。 (2) A选择小于p的随机数q，计算：  s1=cgq mod p 和 s2=(cgq)x mod p (6-30) 并将s1、s2发送回B。 (3)B得到s1、s2后，将a、b送给A以证明步骤(1)不曾欺骗A。 (4)A将q送给B，B验证： 