2-CISP-2-加密技术应用.pptx

信息安全技术信息安全技术 加密技术应用加密技术应用 cnitsec 提纲 密码知识简介密码知识简介 对称密码体制及信息加密对称密码体制及信息加密 非对称密码体制及非对称密码体制及CA认证认证 网络现状及安全问题分析网络现状及安全问题分析 网络发展趋势网络发展趋势 TCP/IP网络安全问题分析网络安全问题分析 VPN技术综述技术综述 MLPS、SSL/TSL、L2TP、PPTP、IPSec IPSec VPN技术技术 IPSec实现机制实现机制 IPSec VPN系统的实施系统的实施 第一部分第一部分 密码学基础知识密码学基础知识 cnitsec 信息加密的基本模型 三要素：信息密文、密钥、信息密文三要素：信息密文、密钥、信息密文 C=En(K，P)现代密码学理论，“一切秘密存在于密钥之中”现代密码学理论，“一切秘密存在于密钥之中”密钥密钥(K)密码分析者密码分析者 进行破译分析进行破译分析 密码算法密码算法 信息明文信息明文(P)信息密文信息密文(C)传输或存储传输或存储 Alice Bob Oscar cnitsec 关于密码体制更严格的定义 密码体制密码体制:它是一个五元组（它是一个五元组（P,C,K,E,D)满足条件：满足条件：P是可能明文的有限集；（明文空间）是可能明文的有限集；（明文空间）C是可能密文的有限集；（密文空间）是可能密文的有限集；（密文空间）K是一切可能密钥构成的有限集；（密钥空间）是一切可能密钥构成的有限集；（密钥空间）任意任意kK,有一个加密算法有一个加密算法eKE和相应的解密算法和相应的解密算法d k D，使得使得eK:P C和和dK:C P分别为加密解密函数，满分别为加密解密函数，满足足dk(ek(x)=x,这里这里x P。加密函数加密函数ek必须是单射函数，就是一对一的函数。必须是单射函数，就是一对一的函数。若若P=C，则，则ek为一个置换。为一个置换。好的密码算法是唯密钥而保密的。好的密码算法是唯密钥而保密的。若使用相同的密钥，这个加密体制为对称的，否则称为非对若使用相同的密钥，这个加密体制为对称的，否则称为非对称的。称的。cnitsec 密码分析和破译 假设破译者假设破译者Oscar是在已知密码体制的前提下是在已知密码体制的前提下来破译来破译Bob使用的密钥。这个假设称为使用的密钥。这个假设称为Kerckhoff原则。最常见的破解类型如下：原则。最常见的破解类型如下：唯密文攻击：唯密文攻击：Oscar具有密文串具有密文串y.已知明文攻击已知明文攻击:Oscar具有明文串具有明文串x和相应的密文和相应的密文y.选择明文攻击：选择明文攻击：Oscar可获得对加密机的暂时访可获得对加密机的暂时访问，因此他能选择明文串问，因此他能选择明文串x并构造出相应的密文串并构造出相应的密文串y。选择密文攻击选择密文攻击:Oscar可暂时接近密码机可暂时接近密码机,可选择密可选择密文串文串y，并构造出相应的明文，并构造出相应的明文x.5.这一切的目的在于这一切的目的在于破译出密钥 cnitsec 密码体制分类 对称密码体制：加密和解密的密码算法和密钥相同对称密码体制：加密和解密的密码算法和密钥相同 C=En(K，T)T=Dn(K，C)，En、Dn相同相同 K和和C具有相同的样本空间具有相同的样本空间 典型代表：伪随机序列、典型代表：伪随机序列、DES、RC5、RC6 非对称密码体制：加密和解密的密钥不同非对称密码体制：加密和解密的密钥不同 C=En(Ke，T)T=Dn(Kd，C)，Ke、Kd不同且不能相互不同且不能相互推导推导 K和和C具有相同的样本空间具有相同的样本空间 典型代表：典型代表：RSA、DSA、椭圆曲线、椭圆曲线 单向散列函数：作用于一任意长度的消息单向散列函数：作用于一任意长度的消息M，返回，返回固定的散列值固定的散列值h h=H(M)或或 h=H(K，M)M的样本空间一般大于的样本空间一般大于h的样本空间的样本空间 典型代表：典型代表：MD5、SHA cnitsec DES简介 DES利用利用56比特串长度的密钥比特串长度的密钥K来加密长度来加密长度为为64位的明文，得到长度为位的明文，得到长度为64位的密文位的密文。分分三个阶段实现：三个阶段实现：给定明文给定明文X，通过一个固定的初始置换通过一个固定的初始置换IP来排列来排列X中的位，得到中的位，得到X0。X0=IP（X）=L0R0 其中其中L0由由X0前前32位组成，位组成，R0由由X0的后的后32位组成。位组成。计算函数计算函数F的的16次迭代次迭代,根据下述规则来计算根据下述规则来计算LiRi(1=i=16）Li=Ri-1,Ri=Li-1 F(Ri-1,Ki)其中其中Ki是长为是长为48位的子密钥。子密钥位的子密钥。子密钥K1，K2，K16是作为密钥是作为密钥K（56位）的函数而计位）的函数而计算出的。算出的。对比特串对比特串R R1616L L1616使用逆置换使用逆置换IPIP-1 1得到密文得到密文Y Y。Y=IPY=IP-1 1（R R1616L L1616）cnitsec 一轮迭代图示 在在Ki的作用下共进行的作用下共进行16轮迭代轮迭代 Li-1 Ri-1 F+Li Ri Ki cnitsec DES的F函数 A=R(32 bits)J=K(48 bits)E E(A)为48 bits+B1 B2 B3 B4 B5 B6 B7 B8 S1 S2 S3 S4 S5 S6 S7 S8 C1 C2 C3 C4 C5 C6 C7 C8 P 32 bits F(A,J)B 写成8个6比特串 E为为32到到64比特的扩展比特的扩展 每个每个Sj是一是一个固定的个固定的4 16矩阵，矩阵，它的元素取它的元素取015的整数的整数 P为固定置为固定置换换 cnitsec Ki的生产 K是长度为是长度为64的位串，其中的位串，其中56位是密位是密钥，钥，8位是奇偶校验位位是奇偶校验位 PC-1为固定置换为固定置换 K PC-1 C0 D0 LS1 LS1 C1 D1 LS2 LS2 LS16 LS16 C16 D16 PC-2 PC-2 K1 K16 cnitsec 3DES Tuchman给出双密钥的给出双密钥的EDE模式（加密模式（加密-解密解密-加密）：加密）：C=EK1(DK2(EK1(P)对对P加密加密 P=DK1(EK2(DK1(C)对对C解密解密 这种替代这种替代DES的加密较为流行并且已被采纳用于密钥管理标的加密较为流行并且已被采纳用于密钥管理标准（准（The Key Manager Standards ANSX9.17和和ISO8732).E D E D E D C B A P P A B C K1 K2 K1 K1 K2 K1 加密 解密 cnitsec RSA密码体制 RSA由由Rivest,Shamir和和Adleman在在1978年提出，数年提出，数学基础是学基础是Euler（欧拉（欧拉)定理，建立在大整数因子的困定理，建立在大整数因子的困难性之上。实现的步骤如下：难性之上。实现的步骤如下：Bob为实现者为实现者(1)Bob寻找出两个大素数寻找出两个大素数p和和q(2)Bob计算出计算出n=pq和和 (n)=(p-1)(q-1).(3)Bob选择一个随机数选择一个随机数e(0e (n)，满足（，满足（e，(n)）1(4)Bob使用辗转相除法计算使用辗转相除法计算d=e-1(mod (n)(5)Bob在目录中公开在目录中公开n和和e作为她的公开钥。作为她的公开钥。密码分析者攻击密码分析者攻击RSA体制的关键点在于如何分解体制的关键点在于如何分解n。若分解成功使若分解成功使n=pq，则可以算出，则可以算出(n)（p-1)(q-1)，然后由公开的然后由公开的e，解出秘密的，解出秘密的d。（猜想：攻破。（猜想：攻破RSA与与分解分解n是多项式等价的。然而，这个猜想至今没有给出是多项式等价的。然而，这个猜想至今没有给出可信的证明！）可信的证明！）cnitsec RSA实例 若若Bob选择选择p=101和和q113，那么，那么，n=11413,(n)=10011211200；而；而1120026527，一个，一个正整数正整数e能用作加密指数，当且仅当能用作加密指数，当且仅当e不能被不能被2，5，7所整除（事实上，所整除（事实上，Bob不会分解不会分解(n)，而且用辗转相，而且用辗转相除法（欧式算法）来求得除法（欧式算法）来求得e，使（，使（e,(n)=1)。假设。假设Bob选择了选择了e=3533，那么用辗转相除法将求得：，那么用辗转相除法将求得：d=e-1 6597(mod 11200),Bob的解密密钥的解密密钥d=6597.Bob在一个目录中公开在一个目录中公开n=11413和和e=3533,现假设现假设Alice想发送明文想发送明文9726给给Bob，她计算：，她计算：97263533(mod 11413)=5761且在一个信道上发送密且在一个信道上发送密文文5761。当。当Bob接收到密文接收到密文5761时，他用他的秘密解时，他用他的秘密解密指数（私钥）密指数（私钥）d6597进行解密：进行解密：57616597（mod 11413)=9726 cnitsec 单向散列函数MD4 MD4：给定一个消息比特串：给定一个消息比特串x，使用如下算法来构造使用如下算法来构造M：设设d=447-(|x|(mod 512)l表示表示|x|(mod 264)的二进制表示的二进制表示,|l|=64 M=x|1|Od|l 在在M的构造中的构造中。在在x后面附上一个后面附上一个1，然后并上足够多然后并上足够多 的的0使得长度变成模使得长度变成模512（=29）与与448用余的数用余的数，最后并最后并 上上64bit的的l，它是它是x的长度的二进制表示的长度的二进制表示。（注意：若必注意：若必 要的话要的话，用模用模264约简约简）。易见易见，512|1M。将将M表示成阵表示成阵列形式：列形式：M=M0M1MN-1 其中每一个其中每一个Mi是一个长度为是一个长度为32bit的串且的串且N 0（mod/6）我们称每一个我们称每一个Mi为一个字为一个字。cnitsec 消息摘要的构造 构造关于构造关于x的的128bit的消息摘要的算法描述如下：的消息摘要的算法描述如下：1给出寄存器给出寄存器A，B，C，D，第一步初始化：第一步初始化：A=67452301 （16进制进制）B=efcdab89 （16进制进制）C=98badcfe （16进制进制）D=10325476 （16进制进制）2对对i=0到到N/16-1做：做：3对对j=0到到15做做Xj=M16i+j每次处理陈列每次处理陈列M的的16个字个字！4AA=A，BB=B，CC=C，DD=D 5轮轮1；6轮轮2；7轮轮3；8A=A+AA，B=B+BB，C=C+CC，D=D+DD 消息摘要为消息摘要为A|B|C|D128bits!cnitsec 数字签名与验证 数字签名随文本的变化而变化，而手写签字反映某个数字签名随文本的变化而变化，而手写签字反映某个人的个性特征，是不变的；人的个性特征，是不变的；数字签名与文本信息是不可分割的，而手写签字是附数字签名与文本信息是不可分割的，而手写签字是附加在文本之后的，与文本信息可以是分离的。数字签加在文本之后的，与文本信息可以是分离的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。充和篡改等安全问题。采用一种数据交换协议，使得收发数据的双方能够满采用一种数据交换协议，使得收发数据的双方能够满足两个条件：足两个条件：接收方能够鉴别发送方所宣称的身份；接收方能够鉴别发送方所宣称的身份；发送方事后不能否认他发送过数据这一事实发送方事后不能否认他发送过数据这一事实 cnitsec 签名验证过程？摘要摘要 摘要摘要 摘要摘要 MIC 摘要摘要 MIC 摘要摘要 摘要摘要 公开密