第三章密码学

第三章密码学第一节密码理论与技术研究现状及发展趋势现代密码学主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组加密算法、流加密算法、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形，量子密码，基于生物特征的识别理论与技术）。自从1976年公钥密码的思想提出以来，国际上已经出现了许多种公钥密码体制，但比较流行的主要有两类：一类是基于大整数因子分解问题的，其中最典型的代表是RSA；另一类是基于离散对数问题的，比如ElGamal公钥密码和椭圆曲线公钥密码。公钥密码主要用于数字签名和密钥分配。目前数字签名的研究内容非常丰富，包括普通签名和特殊签名。特殊签名有盲签名，代理签名，群签名，不可否认签名，公平盲签名，门限签名，具有消息恢复功能的签名等，它与具体应用环境密切相关。数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准（DSS），部分州已制定了数字签名法。法国是第一个制定数字签名法的国家，其他国家也正在实施之中。在密钥管理方面，国际上都有一些大的举动，比如1993年美国提出的密钥托管理论和技术、国际标准化组织制定的X.509标准（已经发展到第3版本）以及麻省理工学院开发的Kerboros协议(已经发展到第5版本)等，这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密共享技术，它是一种分割秘密的技术，目的是阻止秘密过于集中，自从1979年Shamir提出这种思想以来，秘密共享理论和技术达到了空前的发展和应用，特别是其应用至今人们仍十分关注。文摘函数主要用于完整性校验和提高数字签名的有效性，目前已经提出了很多方案。美国已经制定了Hash标准-SHA-1，与其数字签名标准匹配使用。由于技术的原因，美国目前正准备更新其Hash标准，另外，欧洲也正在制定Hash标准。近年来，我国学者在文摘函数方面的研究上做出了重大的突破，2004年，以山东大学的王小云为首的团队破解了MD5、SHA-1两大文摘算法，震惊了世界。在身份识别的研究中，最令人瞩目的识别方案有两类：一类是1984年Shamir提出的基于身份的识别方案，另一类是1986年Fiat等人提出的零知识身份识别方案。随后，人们在这两类方案的基础上又提出了一系列实用的身份识别方案，比如，Schnorr识别方案、Okamoto识别方案、Guillou-Quisquater识别方案、Feige-Fiat-Shamir识别方案等。目前人们所关注的是身份识别方案与具体应用环境的有机结合。美国早在1977年就制定了自己的数据加密标准（DES，一种分组加密算法），但除了公布具体的算法之外，从来不公布详细的设计规则和方法。随着美国的数据加密标准的出现，人们对分组密码展开了深入的研究和讨论，设计了大量的分组密码，给出了一系列的评测准则。其他国家，如日本和苏联也纷纷提出了自己的数据加密标准。但在这些分组密码中能被人们普遍接受和认可的算法却寥寥无几。何况一些好的算法已经被攻破或已经不适用于技术的发展要求。比如DES已经于1997年6月17日被攻破。美国从1997年1月起，开始征集、制定和评估新一代数据加密标准（称作AES）。2001年由两位比利时密码学家设计的Rijdael算法最后胜出。AES活动使得国际上又掀起了一次研究分组密码的新高潮。同时国外为适应技术发展的需求也加快了其他密码标准的更新，比如SHA-1和FIPS140-1。目前最为人们所关注的实用密码技术是PKI技术。国外的PKI应用已经开始，开发PKI的厂商也有多家。许多厂家，如Baltimore、Entrust等推出了可以应用的PKI产品，有些公司如VeriSign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来PKI技术仍在发展中。按照国外一些调查公司的说法，PKI系统仅仅还是在做示范工程。IDC公司的Internet安全资深分析家认为：PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。密码技术特别是加密技术是信息安全技术中的核心技术，国家关键基础设施中不可能引进或采用别人的加密技术，只能自主开发。我们必须要有我们自己的算法，自己的一套标准，自己的一套体系，来对付未来的挑战。目前我国在密码技术的应用水平方面与国外还有一定的差距。第二节分组加密算法密码学的基本目标是使两个在不安全信道中通信的人，通常称为Alice（A）和Bob（B），能够保密通信，也就是使窥探者无法理解通信的内容。A向B发送的信息称为明文，A使用事先商量好的密钥对明文进行加密，加密的结果称为密文。在传送密文的过程中，窥探者即使窃听到密文，也无法得到明文。而由于B知道密钥，则他对密文解密得到明文。对称密钥加密算法在加密和解密时使用同一密钥。对称密钥加密算法包括分组加密算法和流加密算法。分组加密算法每次对固定长度的明文加密。流加密算法每次加密的单位是字节。对称密钥加密系统的模型如图3-1所示。A将明文x通过以密钥k为参数的加密函数E变换成密文y=E(k,x)，B得到密文y，通过以密钥k为参数的解密函数D变换成明文x=D(k,y)。图3-1对称密钥加密模型当今大多数分组加密算法都是迭代型加密算法。迭代型加密算法定义了一个轮函数和一个密钥扩展算法，对一个明文块的加密结果是通过多轮（Nr）迭代调用轮函数对明文加密得到的。对称密钥加密算法的主要参数是密钥长度和块长度。密钥的长度对应着算法抵抗密钥穷举蛮攻击的能力。上世纪70年代美国的数据加密标准（DES）算法的密钥长度是56位。随着计算能力提高，DES的加密强度已经不能满足安全的需要，因此在上世纪90年代出现了一批128位密钥长度的算法，其中包括IDEA、RC2、RC5、CAST5和BLOWFISH等。而最新的高级数据加密标准AES的候选算法的密钥长度更是达到了256位以上。ED网络ABxx=D(k,y)y=E(k,x)kk