信息系统安全第七讲密码技术

武汉大学计算机学院空天信息安全与可信计算教育部重点实验室张焕国赵波信息系统安全第七讲密码技术-12内容简介第一讲信息系统安全概论第二讲信息系统物理与设备安全第三讲信息系统基础软件安全第四讲可信计算-1第五讲可信计算-2第六讲软件安全第七讲密码技术-1第八讲密码技术-2第九讲网络安全技术第十讲信息内容安全第十一讲信息对抗技术第十二讲讨论与总结3•硬件结构安全和操作系统安全是信息系统安全的基础，密码、网络安全等技术是关键技术。•密码技术是一门古老的技术•战争的刺激和科学技术的发展推动了密码学的发展。•计算机系统的广泛应用为密码学的应用开辟了广阔的天地。一、密码学的基本概念4一、密码学的基本概念1、密码的基本思想z伪装信息，使未授权者不能理解它的真实含义。z所谓伪装就是对信息进行一组可逆的数学变换。伪装前的原始信息称为明文,伪装后的信息称为密文，伪装的过程称为加密。去掉伪装还原明文的过程称为解密。加密在加密密钥（Key）的控制下进行。解密在解密密钥的控制下进行。用于对数据加密的一组数学变换称为加密算法。用于对密文解密的一组数学变换称为解密算法，而且解密算法是加密算法的逆。5明文明文加密算法解密算法信道CMMC攻击者加密钥解密钥密钥密钥KK＝＝KKee,,KKddKeKd一、密码学的基本概念2、密码体制6z密码体制分类：⑴、按密钥数量划分：z传统密码：Ke＝Kd优点：安全、快速；缺点：密钥分配困难，不易实现数字签名；z公开密钥密码：Ke≠Kd，且由Ke不能计算出Kd。这样公开加密钥Ke，不会暴露解密钥Kd，于是便可以将Ke公开，故称公开密钥密码。优点：密钥分配容易、容易实现数字签名；缺点：加解密慢，密钥产生困难。公钥密码与传统密码结合：利用公钥密码分配传统密码的密钥，用传统密码加密数据。一、密码学的基本概念7⑵、按加密的数据处理方式划分：z序列密码：①明文、密文、密钥以位（字符）为单位加解密；②模型③核心密码的主流④商用典型密码：RC4密钥序列产生器种子密钥种子密钥密钥序列密钥序列密文密文明文明文一、密码学的基本概念8z分组密码：①明文、密文、密钥以分组为单位加解密；②商业密码的主流：③典型密码：DESIDEAAESSMS4RSAECC一、密码学的基本概念9⑶、按算法变化划分z固定算法密码密码算法在工作过程中固定不变例如：DESAESRSAECC加密的过程可表为：C0=E(M0,K0),C1=E(M1,K1),┅Cn=E(Mn,Kn)。一、密码学的基本概念10z演化密码如果使加密过程中加密算法E不断变化，即C0=E0(M0,K0),C1=E1(M1,K1),┅Ci=Ei(Mi,Ki),┅Cn=En(Mn,Kn)则称为加密算法可变的密码。•由于加密算法在加密过程中可不断变化，显然可以极大地提高密码的强度。•若能使加密算法朝着越来越好的方向变化，密码就成为一种自发展、自完善的密码，我们称为演化密码。一、密码学的基本概念11z演化密码⑴、设计阶段•设E–τ为初始加密算法，则演化过程从E–τ开始，经历E–τ＋1，E–τ＋2，┅，E–1，昀后变为E0。由于E0的安全强度已经达到实际使用的要求，可以实际应用。我们称这一过程成为“十月怀胎”，E–τ为“初始胚胎”，E0为“一朝分娩的新生加密算法”。•设S（E）为加密算法E的强度函数，则演化设计过程可表为：E–τ，E–τ＋1，E–τ＋2，┅，E–1，E0S(E–τ)S(E–τ＋1)S(E–τ＋2)，┅，S(E–1)S(E0)一、密码学的基本概念12z演化密码⑵、密码演化全过程E–τ→E–τ＋1→E–τ＋2→┅→E0→E1→┅→EnS(E–τ)S(E–τ＋1)┅S(E0)≤S(E1)≤┅≤S(En)•E–τ→E–τ＋1→┅→E–1为设计演化阶段。•E0是密码已经成熟的标志。•E0→E1→E2→┅→En为密码的工作阶段，而且仍不断地发展变化越变越好。一、密码学的基本概念13z演化密码⑶、总结z演化密码是我国的创新z演化密码是实现密码设计自动化的有效方法„1秒中可自动生成100多个好S盒„4小时内可自动生成2的160-10000次方内的好椭圆曲线z演化密码是实现密码分析自动化的有效方法z演化密码是密码向智能化方向发展中的一种有效实践E–τS(E–τ)E–τ+1S(E–τ+1)E0S(E0)E1S(E1)EnS(En)＜＜＜≤≤≤设计阶段工作阶段初始胚胎新生算法演化密码图示演化密码图示一、密码学的基本概念143、新型密码z量子密码•量子具有许多奇妙的特性，如测不准和不可克隆。基于测不准和不可克隆特性，可实现保密通信。•基于量子力学可产生真随机数。•以量子真随机数作密钥，经过量子保密通信进行密钥分配，用模2加进行加密，按一次一密方式工作。这是目前比较成熟的量子密码。•量子密码尚不成熟。一、密码学的基本概念153、新型密码zDNA密码•DNA密码基于生物学中的某种困难问题。•由于DNA密码的安全不依赖于计算困难问题，所以不管未来的电子计算机、量子计算机和DNA计算机具有多么强大的计算能力，DNA密码对于它们的计算攻击都是免疫的。一、密码学的基本概念164、密码学的组成①研究密码编制的科学称为密码编制学(Cryptography)②研究密码破译的科学称为密码分析学(Cryptanalysis)③而密码编制学和密码分析学共同组成密码学(Cryptology)一、密码学的基本概念175、密码分析①如果能够根据密文系统地确定出明文或密钥，或者能够根据明文-密文对系统地确定出密钥，则我们说这个密码是可破译的。②一个密码，如果无论密码分析者截获了多少密文和用什么方法进行攻击都不能被攻破，则称为是绝对不可破译的。③绝对不可破译的密码在理论上是存在的。④理论上，任何可实际使用的密码都是可破译的。⑤密码学的基本假设：☆攻击者知道密码算法的细节；☆攻击者能获得密文；☆攻击者拥有相当的计算资源。一、密码学的基本概念181)穷举攻击密码分析者采用依次试遍所有可能的密钥对所获密文进行解密，直至得到正确的明文；或者用一个确定的密钥对所有可能的明文进行加密，直至得到所获得的密文。显然，理论上，对于任何实用密码只要有足够的资源，都可以用穷举攻击将其改破。一、密码学的基本概念192)基于数学分析的攻击z所谓数学分析攻击是指密码分析者针对加密算法的数学依据通过数学求解的方法来破译密码。为了对抗这种数学分析攻击，应当选用具有坚实数学基础和足够复杂的加密算法。z早期的基于数学的攻击主要是统计攻击。所谓统计攻击就是指密码分析者通过分析密文和明文的统计规律来破译密码。统计分析攻击在历史上为破译密码作出过极大的贡献。许多古典密码都可以通过统计分析而破译。一、密码学的基本概念20根据占有的数据资源分类：①仅知密文攻击（Ciphertext-onlyattack）所谓仅知密文攻击是指密码分析者仅根据截获的密文来破译密码。因为密码分析者所能利用的数据资源仅为密文，因此这是对密码分析者昀不利的情况。②已知明文攻击（Known-plaintextattack）所谓已知明文攻击是指密码分析者根据已经知道的某些明文-密文对来破译密码。z攻击者总是能获得密文，并猜出部分明文z计算机程序文件加密特别容易受到这种攻击一、密码学的基本概念21③选择明文攻击（Chosen-plaintextattack）z所谓选择明文攻击是指密码分析者能够选择明文并获得相应的密文。z计算机文件加密和数据库加密特别容易受到这种攻击。z这是对攻击者昀有利的情况！一、密码学的基本概念221、我国的密码分级：①核心密码：用于保护党、政、军的核心机密。②普通密码：用于保护国家和事企业单位的低于核心机密而高于商业机密的密码信息。③商用密码：用于保护国家和事企业单位的非机密的敏感信息。④个人密码：个人用于保护自己的隐私信息。前三种密码均由国家密码管理局统一管理。二、我国的密码政策23二、我国商的业密码政策①统一领导：国家密码管理局统一领导。②集中管理：国家密码管理局办公室集中管理。③定点研制：研制只允许定点单位进行。④专控经营：经许可的单位才能经营。⑤满足使用：国内各单位都可申请使用。二、我国的密码政策24一、我国商用密码概况⑴密码的公开设计原则密码的安全应仅依赖于对密钥的保密，不依赖于对算法的保密。⑵公开设计原则并不要求使用时公开所有的密码算法核心密码不能公布算法；核心密码的设计也要遵循公开设计原则。⑶商用密码应当公开算法①美国DES开创了公开商用密码算法的先例二、我国的商用密码SMS425一、SMS4密码概况①分组密码：数据分组长度=128位、密钥长度=128位数据处理单位：字节（8位），字（32位）②密码算法结构：基本轮函数加迭代对合运算：解密算法与加密算法相同二、我国的商用密码SMS426一、SMS4密码概况②密码算法结构：基本轮函数128位明文128位密文密钥扩展128位密钥迭代控制二、我国的商用密码SMS427二、SMS4密码算法1、基本运算：①模2加：⊕，32比特异或运算②循环移位：i，把32位字循环左移i位2、基本密码部件：①非线性字节变换部件S盒：☆8位输入、8位输出。☆本质上，8位的非线性置换。☆设输入位a，输出位b，表示为：b=S_Box（a）8位输入8位输出S盒（置换）二、我国的商用密码SMS428二、我国的商用密码SMS429☆S盒的置换规则：以输入的前半字节为行号，后半字节为列号，行列交叉点处的数据即为输出。举例：设输入为“ef”，则行号为e，列号为f，于是S盒的输出值为表中第e行和第f列交叉点的值，Sbox(‘ef’)=‘84’。②非线性字变换τ：32位字的非线性变换„4个S盒并行替换„设输入字A=(a0,a1,a2,a3),输出字B=(b0,b1,b2,b3),B=τ(A)=(S_box(a0),S_box(a1),S_box(a2),S_box(a3))二、我国的商用密码SMS430②非线性字变换τ：32位字的非线性变换输入字A非线性变换τ8位输入a08位输出b0S盒（置换）8位输入a18位输出b1S盒（置换）8位输入a28位输出b2S盒（置换）8位输入a38位输出b3S盒（置换）输出字B二、我国的商用密码SMS431③字线性部件L变换：☆32位输入、32位输出。☆设输入位B，输出位C，表为：C=L（B）☆运算规则：C=L（B）=B⊕(B2)⊕(B10)⊕(B18)⊕(B24)④字合成变换T：☆由非线性变换τ和线性变换L复合而成；☆T(X)=L(τ(X))。先S盒变换，再L变换。二、我国的商用密码SMS4323、轮函数F：☆输入数据：（X0，X1，X2，X3），128位，四个32位字。☆输入轮密钥：rk，32位字。☆输出数据：32位字。☆轮函数F：F（X0，X1，X2，X3，rk）=X0⊕T（X1⊕X2⊕X3⊕rk)二、我国的商用密码SMS4333、轮函数F：2101824X0X1X2X3rkSSSSSSSSSSSSSSSSSSSS输出二、我国的商用密码SMS4344、加密算法：•输入明文：（X0，X1，X2，X3），128位，四个字。•输入轮密钥：rki，i=0,1,…,31，32个字。•输出密文：（Y0，Y1，Y2，Y3），128位，四个字。•算法结构：轮函数的32轮迭代，每轮使用一个轮密钥。•加密算法：Xi+4=F（Xi，Xi+1，Xi+2，Xi+3，rki）=Xi⊕T（Xi+1⊕Xi+2⊕Xi+3⊕rki)，i=0,1…31（Y0，Y1，Y2，Y3）=（X35，X34，X33，X32）二、我国的商用密码SMS4354、加密算法：X0X1X2X3FX4X5X32X33Rk0Frk1X34X35Frk31X31Y0Y1Y2Y3密文密文明文二、我国的商用密码SMS4365、解密算法：•输入密文：（X0，X1，X2，X3）•输入轮密钥：rki，i=31,30，…,1，0•输出明文：（Y0，Y1，Y2，Y3）•算法：轮函数的32轮迭代，每轮使用一个轮密钥。•解密算法：Xi+4=F（Xi，Xi+1，Xi+2，X