第2节 密码技术

1. 第2节密码技术 • .1　密码技术概述 • .2　加密方法 • .3　密钥与密码破译方法 • .4　常用信息加密技术介绍

2. .1　密码技术概述 • .1.1　密码通信系统的模型 • .1.2　密码学与密码体制 • .1.3 加密方式和加密的实现方法 返回本章首页

3. .1.1　密码通信系统的模型 图6.1　密码通信系统的模型 返回本节

4. 1.2　密码学与密码体制 • 1．对称密钥密码体制 • （1）对称密钥密码体制的加密方式 ：序列密码、分组密码。 • （2）对称密钥密码体制的特点：对称密钥密码系统具有加解密速度快、安全强度高、使用的加密算法比较简便高效、密钥简短和破译极其困难的优点。

5. 2．非对称密钥密码体制 • （1）用户可以把用于加密的密钥公开地分发给任何人。 • （2）极大地简化了密钥管理。 • （3）公开密钥加密不仅改进了传统加密方法，还提供了传统加密方法不具备的应用，这就是数字签名系统。

6. 3．混合加密体制 • 用公开密钥密码技术在通信双方之间传送秘密密钥，而用秘密密钥来对实际传输的数据加密解密。

7. 图6.4　混合加密通信方式 返回本节

8. .1.3 加密方式和加密的实现方法 • 1．数据块和数据流加密的概念 • 数据块加密是指把数据划分为定长的数据块，再分别加密。数据流加密是指加密后的密文前部分，用来参与报文后面部分的加密。

9. 2．三种加密方式 • （1）链路加密方式 • （2）节点对节点加密方式 • （3）端对端加密方式

10. 3．数据加密的实现方式 • （1）软件加密一般是用户在发送信息前，先调用信息安全模块对信息进行加密，然后发送出去，到达接收方后，由用户用相应的解密软件进行解密，还原成明文。 • （2）硬件加密可以采用标准的网络管理协议（比如SNMP、CMIP等）来进行管理，也可以采用统一的自定义网络管理协议进行管理。 返回本节

11. .2　加密方法 • .2.1　加密系统的组成 • .2.2　四种传统加密方法 返回本章首页

12. .2.1　加密系统的组成 • 待加密的报文，也称明文。 • 加密后的报文，也称密文。 • 加密、解密装置或称算法。 • 于加密和解密的密钥，它可以是数字，词汇或者语句。 返回本节

13. .2.2　四种传统加密方法 • 1．代码加密 • 2．替换加密 • 3．变位加密 • 4．一次性密码簿加密 返回本节

14. .3　密钥与密码破译方法 • 1．密钥的穷尽搜索 • 破译密文就是尝试所有可能的密钥组合。虽然大多数的密钥尝试都是失败的，但最终有一个密钥让破译者得到原文，这个过程称为密钥的穷尽搜索。 • 2．密码分析 • （1）已知明文的破译方法 • （2）选定明文的破译方法 返回本章首页

15. 3．其他密码破译方法 • “窥视”或“偷窃”密钥内容；利用加密系统实现中的缺陷或漏洞；对用户使用的加密系统偷梁换柱；从用户工作生活环境的其他来源获得未加密的保密信息，比如进行“垃圾分析”；让口令的另一方透露密钥或信息；威胁用户交出密钥等等。

16. 4．防止密码破译的措施 • （1）强壮的加密算法 • （2）动态会话密钥 • （3）保护关键密钥

17. 表6.1　常见系统的口令及其对应的密钥长度 返回本节

18. .4　常用信息加密技术介 • .4.1DES算法 • .4.2IDEA算法 • .4.3RSA公开密钥密码算法 • .4.4　典型HASH算法——MD5算法 • .4.5　信息认证技术 返回本章首页

19. .4.1DES算法 • DES是对称密钥加密的算法，DES算法大致可以分成四个部分： • （1）初始置换 • （2）迭代过程 • （3）逆置换和 • （4）子密钥生成

20. 图6.5DES加密原理示意图 返回本节

21. .4.2IDEA算法 • IDEA算法可用于加密和解密。主要有三种运算：异或、模加、模乘，容易用软件和硬件来实现。 • IDEA的速度：现在IDEA的软件实现同DES的速度一样块。 • IDEA的密码安全分析：IDEA的密钥长度是128位，是DES的密钥长度的两倍。在穷举攻击的情况下，IDEA将需要经过2的128次加密才能恢复出密钥。 返回本节

22. .4.3RSA公开密钥密码算法 • 1．RSA算法的原理 • 这种算法的要点在于，它可以产生一对密钥，一个人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。同时，任何人都无法通过公钥确定私钥，也没有人能使用加密消息的密钥解密。只有密钥对中的另一把可以解密消息。

23. 2．RSA算法的演算过程 • （1）密钥配制过程 • （2）加密 • （3）解密

24. 3．举例 • 取两个质数p=11，q=13，p和q的乘积为n=p×q=143，算出另一个数z=(p-1)×(q-1)=120；再选取一个与z=120互质的数，例如e=7，则公开密钥=（n，e）=（143，7）。 • 对于这个e值，可以算出其逆：d=103。因为e×d=7×103=721，满足e×d mod z =1；即721 mod 120=1成立。则秘密密钥=（n，d）=（143，103）。

25. 设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥（n，e）=（143，7），于是她算出加密值：设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥（n，e）=（143，7），于是她算出加密值： • c= me mod n=857 mod 143=123并发送给李先生。 • 李先生在收到密文c=123后，利用只有他自己知道的秘密密钥计算：m= cd mod n =123103 mod 143=85，所以，李先生可以得到张小姐发给他的真正的信息m=85，实现了解密。

26. 4．RSA的安全性 • 就目前的计算机水平用1024位的密钥是安全的，2048位是绝对安全的。RSA实验室认为，512位的n已不够安全，应停止使用，现在的个人需要用668位的n，公司要用1024位的n，极其重要的场合应该用2048位的n。

27. 5．RSA用于身份验证和数字签名 • 数字签名必须保证以下3点： • l接收者能够核实发送者对报文的签名。 • l发送者事后不能抵赖对报文的签名。 • l接收者不能伪造对报文的签名。 • 现在已有多种实现各种数字方法，但签名的采用公开密钥算法要比常规算法更容易实现。

28. 6．密钥分配 • 公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。KDC的公开密钥和秘密密钥分别为PKAS、SKAS。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。

29. 7．针对RSA的攻击方法 • （1）选择密文攻击 • （2）过小加密指数e • （3）RSA的计时攻击法 • （4）其他对RSA的攻击法 返回本节

30. .4.4　典型HASH算法——MD5算法 • 1．MD5算法介绍 • MD5提供了一种单向的哈希函数，是一个校验和工具。它将一个任意长的字串做为输入，产生一个128位的“报文摘要”。通过计算每个文件的数字指纹（或数字签名），来检查文件是否被更换，或者是否与原来的一致。一个称为MD系列的算法集就是进行这项工作的。其中最常用到的是MD5的系统。

31. md5的典型应用是对一段信息（message）产生信息摘要（message-digest），以防止被篡改。比如，在unix下有很多软件在下载的时候都有一个文件名相同，文件扩展名为.md5的文件，在这个文件中通常只有一行文本，大致结构如： md5 (tanajiya.tar.gz) = 0ca175b9c0f726a831d895e269332461

32. 这就是tanajiya.tar.gz文件的数字签名。md5将整个文件当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个唯一的md5信息摘要。如果在以后传播这个文件的过程中，无论文件的内容发生了任何形式的改变（包括人为修改或者下载过程中线路不稳定引起的传输错误等），只要你对这个文件重新计算md5时就会发现信息摘要不相同，由此可以确定你得到的只是一个不正确的文件。如果再有一个第三方的认证机构，用md5还可以防止文件作者的"抵赖"，这就是所谓的数字签名应用。

33. md5还广泛用于加密和解密技术上。比如在unix系统中用户的密码就是以md5（或其它类似的算法）经加密后存储在文件系统中。当用户登录的时候，系统把用户输入的密码计算成md5值，然后再去和保存在文件系统中的md5值进行比较，进而确定输入的密码是否正确。通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密码被具有系统管理员权限的用户知道，而且还在一定程度上增加了密码被破解的难度。

34. 算法描述 　　对md5算法简要的叙述可以为：md5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。

35. 在md5算法中，首先需要对信息进行填充，使其字节长度对512求余的结果等于448。因此，信息的字节长度（bits length）将被扩展至n*512+448，即n*64+56个字节（bytes），n为一个正整数。填充的方法如下，在信息的后面填充一个1和无数个0，直到满足上面的条件时才停止用0对信息的填充。然后，在在这个结果后面附加一个以64位二进制表示的填充前信息长度。经过这两步的处理，现在的信息字节长度=n*512+448+64=(n+1)*512，即长度恰好是512的整数倍。这样做的原因是为满足后面处理中对信息长度的要求。

36. md5中有四个32位被称作链接变量（chaining variable）的整数参数，他们分别为：a=0x01234567，b=0x89abcdef，c=0xfedcba98，d=0x76543210。 当设置好这四个链接变量后，就开始进入算法的四轮循环运算。循环的次数是信息中512位信息分组的数目。 　　将上面四个链接变量复制到另外四个变量中：a到a，b到b，c到c，d到d。

37. 主循环有四轮（md4只有三轮），每轮循环都很相似。第一轮进行16次操作。每次操作对a、b、c和d中的其中三个作一次非线性函数运算，然后将所得结果加上第四个变量，文本的一个子分组和一个常数。再将所得结果向右环移一个不定的数，并加上a、b、c或d中之一。最后用该结果取代a、b、c或d中之一。

38. 以一下是每次操作中用到的四个非线性函数（每轮一个）。 f(x,y,z) =(x&y)|((~x)&z) 　　　g(x,y,z) =(x&z)|(y&(~z)) 　　　h(x,y,z) =x^y^z 　　　i(x,y,z)=y^(x|(~z)) 　　　（&是与，|是或，~是非，^是异或）

39. 这四个函数的说明：如果x、y和z的对应位是独立和均匀的，那么结果的每一位也应是独立和均匀的。 f是一个逐位运算的函数。即，如果x，那么y，否则z。函数h是逐位奇偶操作符

40. 2．MD5的安全性问题 • （1）对MD5的普通直接攻击 • （2）对MD5的生日攻击 • （3）其他对MD5的攻击 返回本节

41. van oorschot和wiener曾经考虑过一个在散列中暴力搜寻冲突的函数（brute-force hash function），而且他们猜测一个被设计专门用来搜索md5冲突的机器（这台机器在1994年的制造成本大约是一千万美元）可以平均每24天就找到一个冲突。但单从1991年到2001年这10年间，竟没有出现替代md5算法的md6或被叫做其他什么名字的新算法这一点，我们就可以看出这个瑕疵并没有太多的影响md5的安全性。

42. .4.5　信息认证技术 • HASH算法是信息认证技术中的关键技术，通常有三种实现方式： • 1．使用数学上的单向函数 • 2．使用分组密码系统 • 3．基于软件的HASH算法 返回本节

43. 基于数字签名的认证机制 • 数字签名原理 • 数字签名”是通过一个单向函数对数据明文运算得到的字符串。 • Ø    数字签名必须保证： • ü接收者能够核实发送者的签名； • ü发送者事后不能抵赖签名； • ü接收者不能伪造发送者的签名。 • 常用数字签名算法：Hash签名、DSS签名和RSA签名（公开密钥算法）。 • 数字签名认证过程 双密钥机制

44. 发送方 Hash运算 加密消息摘要 接收方 Hash算法（同发送方） 解密 比较 数据明文 数据明文 发送 签名=hash 值（摘要） 签名=hash值（摘要） 签名密文 签名密文 签名=hash值 A的私人密钥 A的公开密钥

45. l数字证书（Digital Identification）或公钥证书： • 经授权中心（CA：Certificates of Authority）数字签名的、包含证书持有者身份信息及其公钥的文件（身份证）。

46. X.509定义的公钥证书的格式 • Version 证书格式版本 • Serial Number 证书序列号 • Signature Algorithm 发证机构采用的签名算法 • Issuer 发证机构CA的标识ID（X.500） • Period of Validation 证书有效期限(起止日期、时间) • Subject 持证用户的标识ID（X.500） • Public Key 持证用户的公钥，采用的算法 • Signature 先对以上所有域求HASH值，再对此值用CA的私钥签名

47. Ø数字证书认证过程

48. ①接收方用CA的公钥从证书中解出CA签名（解密hash值）；①接收方用CA的公钥从证书中解出CA签名（解密hash值）； • ②接收方用hash函数对证书计算获得计算hash值； • ③比较计算hash值和解密hash值，证实该证书是否由CA签发。是则相信证书持有者（通过门票检查），否则拒绝。 • u接收方可以读取证书持有者公钥，应用证书持有者公钥和采用的算法加密需要交换的文件。

49. 根CA 区域CA 区域CA RA RA 受理点 受理点 • 公钥证书的管理 证书受理、制作、发放、注销、目录服务