目录

4.1 密码学概述

密码学分为密码编码学（cryptography）和密码分析学（cryptanalysis）。

4.1.1 密码学发展简史

1. 古典密码时期
2. 近代密码时期
3. 现代密码时期

4.1.2 密码体制的基本组成及分类

密码学的基本思想：对信息进行伪装。

伪装前的信息称为明文，通常用 p（plaintext）或者m（message）表示；
伪装后的信息称为密文，通常用 c（ciphertext）表示；
从明文到密文的变换称为加密（encryption）；
从密文到明文的变换称为解密（decryption）；
加密和解密都是在密钥（key）的控制下进行的。

密码体制由五个部分组成：

1. 明文空间 M，全体明文 m 的集合；
2. 密文空间 C，全体密文 c 的集合；
3. 密钥空间 K，全体密钥 k 的集合，其中每一个密钥 k 均由加密密钥 k_e 和解密密钥 k_d 组成，即 k = (k_e, k_d)。
4. 加密算法 E，是在密钥控制下将明文信息从 M 对应到 C 的一种变换，即 c = E(k_e, m)。
5. 解密算法 D，是在密钥控制下将密文消息从 C 对应到 M 的一种变换，即 m = D(k_d, c)。

密钥空间中不同密钥的个数称为密码体制的密钥量。
根据加密、解密密钥的使用策略不同，可将密码体制分为对称密码体制和非对称密码体制。

对称密码体制（Symmetric Cryptosystem）或单钥密码体制（One-key Cryptosystem）：

加密密钥 k_e 和解密密钥 k_d 相同，或者其中一个密钥很容易推算出另一个密钥。

根据处理数据的方式，对称密码体制分为分组密码（Block Cipher）和序列密码（Stream Cipher）。

分组密码：将定长的明文块转换成等长的密文，这一过程在密钥的控制下完成，解密时使用逆向变换和同一密钥来完成。
序列密码：加、解密时对明文中比特逐个进行处理，也被称为流密码。

非对称密码体制：

加密过程和解密过程使用两个不同的密钥来完成。

4.1.3 密码体制的设计原则

密码学的基本目的：保障不安全信道上的通信安全。
衡量密码体制安全性的三种方法：

1. 计算安全性（computational security）或实际保密性（practical secrecy）。如果一种密码系统最有效的攻击算法至少是指数时间的，则称这个密码体制是计算安全的。
2. 可证明安全性（provable security）。如果密码体制的安全性可以归结为某个数学困难问题，则称其是可证明安全的。
3. 无条件安全性（unconditional security）或完善保密性（perfect secrecy）。假设存在一个具有无限计算能力的攻击者，如果密码体制无法被这样的攻击者攻破，则称其为无条件安全。

实用的密码体制的设计遵循原则：

1. 密码算法安全强度高；
2. 密码体制的安全性不应依赖加密算法的保密性，而应取决于可随时改变的密钥；
3. 密钥空间应足够大；
4. 既易于实现又便于使用。

4.1.4 密码体制的常见攻击形式

密码分析或密码攻击：非授权者在不知道解密密钥的条件下，对密文进行分析，试图得到明文或密钥的过程。

密码分析者攻击密码体制的方法：

• 穷举攻击：密码分析者通过试遍所有的密钥来进行破译；
• 统计分析攻击：密码分析者通过分析密文和明文的统计规律来破译密码；
• 数学分析攻击：密码分析者针对加密算法的数学特征和密码学特征，通过数学求解的方法来设法找到相应的解密变换。

常见的密码分析攻击类型：

• 唯密文攻击（ciphertext only attack）
• 已知明文攻击（known plaintext attack）
• 选择明文攻击（chosen ciphertext attack）

4.2 对称密码体制

4.2.1 分组密码

将明文信息编码后的序列划分成固定大小的组，每组明文分别在密钥的控制下变成等长的密文序列。

• 如果 n < m,则分组密码对明文加密后有数据扩展；
• 如果 n > m,则分组密码对明文加密后有数据压缩；
• 如果 n = m,则分组密码对明文加密后既无数据扩展也无数据压缩。

分组密码的基本原理：扩散（diffusion）和混淆（confusion）。其目的是为了抵抗攻击者对密码体制的统计分析。

扩散： 让明文中的每一位以及密钥中的每一位能够影响密文中的许多位，或者说让密文中的每一位受明文和密钥中的许多位的影响。
混淆：将密文与明文、密钥之间的统计关系变得尽可能复杂，使对手即使获取了关于密文的一些统计特性，也无法推测密钥。

S₁ 和 S₂ 的乘积密码体制：扩散和混淆两种基本密码操作的组合变换。

数据加密标准 DES

1. DES 加密算法
   
   

2. DES 解密过程
   DES 算法是对称的，解密时第一次迭代使用子密钥 K₁₆ ，以此类推。解密过程的16次迭代形式化表示为
   

分组密码的工作模式
四个常用的工作模式：

• 电子编码本模式（Electronic Code Book，ECB）
• 密码分组链接模式（Cipher Block Chaining，CBC）
• 输出反馈模式（Output Feedback，OFB）
• 密码反馈模式（Cipher Feedback，CFB）

电子编码本模式：

将明文消息分成 n 个 m 比特组，如果明文长度不是 m 的整数倍，则在明文末尾填充适当数目的规定符号，使长度为 m 比特的整数倍。对每个明文组用给定的密钥分别进行加密，生成 n 个相应的密文组。

密码分组链接模式：

每个明文组在加密前与前一组密文按位异或运算后，再进行加密变换，首个明文组与一个初始向量 IV 异或运算。
要求收发双方共享加密密钥和初始向量 IV 。

密码反馈模式：

数据解密过程中使用的是指定分组密码的加密算法而不是解密算法。

输出反馈模式：

内部反馈（OFB 模式的反馈机制独立于明文和密文）
OFB 模式将前一次加密算法输出的 s 比特反馈送人移位寄存器的最右边。
初始向量 IV 无须保密，各条消息必须选用不同的 IV；
密钥相同时，明文中相同的组产生不相同的密文块。

4.2.2 序列密码（流密码）

序列密码和分组密码的区别：

分组密码把明文分成相对比较大的块，对于每块使用相同的加密函数进行处理。分组密码是无记忆的。
序列密码处理的明文长度为1比特。序列密码是有记忆的。

序列密码分为同步序列密码和自同步序列密码。

同步序列密码：密钥序列的产生独立于明文消息。
自同步序列密码（非同步序列密码）：密钥序列的产生是密钥及固定大小的以往密文位的函数。

序列密码原理


线性反馈移位寄存器

反馈移位寄存器（Feedback Shift Register，FSR）是由 n 位的寄存器和反馈函数组成，n位寄存器中的初始值称为移位寄存器的初态。

注：

1. 一个 n 阶 LFSR 的有效状态为 2ⁿ-1（全0状态除外），即理论上能产生周期为 2ⁿ-1 的伪随机序列；
2. 线性反馈移位寄存器输出序列的性质完全由其反馈函数决定，选择合适的反馈函数可使序列的周期达到最大值 2ⁿ-1，周期达到最大值的序列称为 m 序列。

非线性序列

组合发生器实例——Geffe发生器
由两个 LFSR 作为复合器的输入，第三个 LFSR 控制复合器的输出。如果 a₁、a₂ 和 a₃ 是三个 LFSR 的输出，则 Geffe 发生器的输出表示为：
b = （ a₁ $\wedge$ a₂）$\oplus$（$\neg$ a₁ $\wedge$ a₃）= （a₁ $\wedge$ a₂）$\oplus$ （a₁ $\wedge$ a₃）$\oplus$ a₃
这个发生器的周期是三个 LFSR 周期的最小公倍数，能实现序列周期的极大化，且 0 和 1 之间的分布大体上是平衡的。

4.3 非对称密码体制（公钥密码体制）

4.3.1 基本原理和特点

信息发送前，发送者首先要获取接收者发布的加密密钥，加密时使用该密钥将明文加密成密文，加密密钥也称为公开密钥（公钥）；
解密时接收者使用解密密钥对密文进行处理，还原明文，解密密钥需要保密，被称为私有密钥（私钥）。

如果 ƒ(x) 被称为单项陷门函数，必须满足三个条件：

1. 给定 x，计算 y = ƒ(x) 是容易的；
2. 给定 y，计算 x 使 y = ƒ(x) 是困难的；
3. 存在 $\delta$，已知 $\delta$ 时对给定的任何 y，若相应的 x 存在，则计算 x 使 y = ƒ(x) 是容易的。

• 仅满足 1、2 两条的称为单向函数；
• 第三条称为陷门性，$\delta$ 称为陷门信息。当用陷门函数 ƒ 作为加密函数时，可将 ƒ 公开，相当于公开加密密钥 P_k；
• ƒ 函数将 $\delta$ 保密，用作解密密钥，此时 $\delta$ 即为私有密钥 S_k。

公钥密码体制可以提供以下功能：

• 机密性（Confidentiality）
• 认证（Authentication）
• 数据完整性（Data Integrity）
• 不可抵赖性（Nonrepudiation）

4.3.2 RSA公钥密码算法

欧拉定理：

若正整数 a 与 n 互素，则 a^{$\phi$ (n)} = 1 $\mathrm{m}\mathrm{o}\mathrm{d}n$

欧拉函数：

对于一个正整数 n，比 n 小但与 n 互为素数的正整数的个数，称为欧拉函数，用 $\phi$ (n) 表示。
特别的，如果 p 是素数，则 $\phi$ ( p) = p - 1。如果两个素数 p 和 q，且 n = pq，则 $\phi$ (n) =（p - 1）（q - 1）。

RSA 密码体制描述

两个素数 p 和 q 不再需要，可以销毁，但是不能泄露。

4.4 Hash 函数与信息认证

4.4.1 Hash 函数的基本概念和原理

Hash 函数可以看作是一种单向密码体制，即它是一个从明文到密文的不可逆映射，即只有加密过程，不能解密。
Hash 函数的这种单向特征和输出数据长度固定的特征使得它可以生成信息或其他数据块的“数据指纹”（也称消息摘要或 Hash 值）。

Hash 函数的一般结构（迭代 Hash 函数结构）

注：
IV 表示初始值，L 为输入分组数，CV_i 为链接变量，n 为 Hash值的长度，M_i 为第 i 个输入分组，b 是输入分组的长度，f 是压缩函数。

压缩函数有两个输入：

• 一个是前一次迭代的 n 位输出，称为链接变量；
• 另一个是来源于消息的 b 位分组，并产生一个 n 位的输出。

第一次迭代输入的链接变量又称为初值变量，最后一次迭代的输出即为 Hash 值。

4.4.2 典型的 Hash 算法

MD5 运算

SHA 算法

接受任何有限长度的输入消息，并产生长度为160比特的 Hash 值（MD5仅仅生成128位的摘要）。

4.4.3 消息认证技术

消息认证的目的：验证信息来源的真实性和验证消息的完整性。

信息认证码（Messages Authentication Codes，MAC）（消息鉴别码）：
利用消息和双方共享的密钥通过认证函数来生成一个固定长度的短数据块，并将该数据块附在消息后。

生成消息认证码的方法主要包括基于加密函数的认证码和基于 Hash 认证码。

基于 DES 的消息认证码：

其初始向量 IV 为零，需要认证的数据分成连续的64位的分组 D₁，D₂，……，D_N，若最后分组不足64位，可在其后填充0直至成为64位的分组。

基于 Hash 的消息认证码：
HMAC 的实现过程

具体内容看课本吧，这部分我真没看懂…

4.5 数字签名技术

数字签名（Digital Signature）主要用于对数字消息进行签名，以防消息的冒名伪造或篡改，亦可以用于通信双方的身份鉴别。

4.5.1 数字签名的特点和功能

签名的特点：

• 不可否认性：必须可以通过签名来验证消息的发送者、签名日期和时间；
• 不可依赖性：必须可以通过签名对所签署消息的内容进行认证；
• 可仲裁性：必须可以由第三方通过验证签名来解决争端。

数字签名的功能：

• 采用公钥的数字签名技术可以防范信息伪造；
• 在防范信息篡改方面，数字签名比手工签名更具有优势；
• 在防范信息重放方面，数字签名具有很重要的作用；
• 数字签名可以有效防止签名者抵赖曾经签署过文件，从而实现防范抵赖。

4.5.2 数字签名的原理

数字签名体制（数字签名方案），一般由两部分组成：签名算法和验证算法。

签名算法或签名密钥是由签名者秘密保有的，验证算法或验证密钥应当公开，方便他人进行验证。

数字签名方案包括三个过程：系统的初始化过程、签名生成过程和签名验证过程。

• 系统的初始化过程中，需要产生数字签名所需要的基本参数，包括秘密的参数和公开的参数。（M，S，K，SIG，VER），M 代表明文空间，S 代表签名空间，K 代表密钥空间，SIG 为签名算法集合，VER 为验证算法集合。
• 签名生成过程主要包含两个步骤：一、选取密钥；二、计算消息摘要，并对该摘要进行签名。
• 签名验证过程中，验证者利用公开的验证方法对消息签名进行验证，从而判断签名的有效性。

对于数字签名技术在实现时还需要满足以下要求：

1. 签名的产生必须使用签名者独有的一些信息以防伪造和否认，同时，要求保证独有信息的安全性；
2. 签名的产生应较为容易；
3. 签名的识别和验证应较为容易；
4. 对已知的数字签名构造一新的消息或对一直的消息构造一假冒的数字签名在计算上都是不可行的。

4.5.3 典型的数字签名体制

目前数字签名多数还是利用公钥密码体制来设计的。

基于 RSA 的签名方案

实例：

DES 签名体制

详情见课本

4.6 密钥管理技术

密钥管理处理密钥自产生到最终销毁的整个过程中的所有问题，包括钥的生成、存储、分配/协商、使用、备份/恢复、更新、撤销和销毁等。

4.6.1 密钥管理的层次结构

根据加密内容的不同，密钥可以分为一般数据加密的密钥和用于密钥加密的密钥；

按照所完成功能的差异，密钥可以分为用于验证数据签名的密钥（公钥）和用于实现数据签名的密钥（私钥）。

常用三级简化密钥管理的层次结构：

按照密钥的生存周期、功能和保密级别将密钥分为3类：会话密钥、密钥加密密钥和主密钥。

• 会话密钥。
  一次通信或数据交换中，用户之间所使用的密钥，是由通信用户之间进行协商得到的。主要用来对传输的数据进行保护，位于整个密钥层次的最底层，仅对临时的通话或交换数据使用。
  基于运算速度的考虑，会话密钥普遍是某一种对称加密算法的加密密钥。
• 密钥加密密钥。
  一般是用来对传输的会话密钥进行加密时采用的密钥，又称为次主密钥或者二级密钥。
• 主密钥。
  由用户选定或由系统分配给用户、可在较长时间内由用户所专有的秘密密钥，还起到表示用户的作用。

4.6.2 对称密码体制的密钥管理

密钥的生命周期有4个主要的状态：即将活动状态、活动状态、活动后状态和废弃状态。

• 即将活动状态：密钥已经生成，但还未投入实际使用；
• 活动状态：密钥已在实际的密码系统中使用；
• 活动后状态：密钥已不能像在活动状态中一样正常使用了，如只能用于解密和验证；
• 废弃状态：密钥已经不可使用了，所有于此密钥有关的记录都应被删除。

无中心的密钥建立

该协议实现的前提是存在一种可交换的对称密码算法，即 E_A(E_B(m)) = E_B(E_A(m)) 。

协议过程：

1. A 用自己的密钥加密 k 得到密文 C₁ = E_A（k），将密文 C₁ 传送给 B；
2. B 用自己的密钥加密 C₁ 得到密文 C₂ = E_B（E_A（k）），将密文 C₂ 传送给 A；
3. A 用自己的密钥解密 C₂ 得到 C₃ = D_A（E_B（E_A（k）））=
   D_A（E_A（E_B（k）））= E_B（k），将 C₃ 传送给 B；
4. B 用自己的密钥解密 C₃ 得到 k。

基于可信第三方的密钥建立

设可信第三方 TTP 提供密钥的产生、密钥的鉴别、密钥的分发等服务。

用户选择共享密钥：

TTP 选择共享密钥：

4.6.3 非对称密码体制的密钥管理

公钥密码系统的一个重要应用是分配会话密钥，使两个互不认识的用户可以建立一个共享密钥，然后双方就可以利用该共享密钥保障通信的安全。

Diffie-Hellman 密钥协商

公钥证书

数字证书由可信任的认证机构（Certification Authority，CA）使用公钥签名方案签署。

公钥证书（Public Key Certificate）是一种包含持证主体标识、持证主体公钥等信息，并由可信任的认证机构 CA 签署的信息集合。

存储在公钥证书中的最重要的信息有：

证书持有者的标识、证书持有者的公钥、认证机构的标识、证书的序列号、证书的有效期、认证机构的签名等。

可信的认证机构 CA 的主要任务是：

验证与一个公钥相连的实体的真实性，把每个公钥和可识别的名字绑定并注册，为实体颁发公钥证书。当用户A向可信的认证机构 CA 申请公钥证书时，A 需要向 CA 证明身份，产生公钥和私钥对，并把公钥的一个副本交给 CA，或者由 CA 产生公钥和私钥对，并把私钥交给 A，然后 CA 把公钥和必需的信息一起放在证书里，用 CA 的私钥签名证书。

4.6.4 公共基础设施技术

公钥基础设施（Public Key Infrastructure，PKI）体系结构：

采用证书管理公钥，通过第三方的可信机构，把用户的公钥和用户的其他标识信息捆绑在一起，在互联网上验证用户的身份，提供安全可靠的信息处理。

PKI 主要包括：

• 认证中心（Certificate Authority，CA）
• 注册机构（Registration Authority，RA）
• 证书数据库（Certificate Database）
• 密钥管理系统（Key Manage System）
• 证书撤销管理系统（Certificate Revocation List Manage System）
• PKI 应用接口系统（PKI Application Interface System）

4.7 思考题

1. 简述密码体制的组成部分及其分类。

1. 明文空间 M，全体明文 m 的集合；
2. 密文空间 C，全体密文 c 的集合；
3. 密钥空间 K，全体密钥 k 的集合，其中每一个密钥 k 均由加密密钥 k_e 和解密密钥 k_d 组成，即 k = (k_e, k_d)。
4. 加密算法 E，是在密钥控制下将明文信息从 M 对应到 C 的一种变换，即 c = E(k_e, m)。
5. 解密算法 D，是在密钥控制下将密文消息从 C 对应到 M 的一种变换，即 m = D(k_d, c)。

根据加密、解密密钥的使用策略不同，可将密码体制分为对称密码体制和非对称密码体制。

2. 分别说明对称密码体制和非对称密码体制的优点和不足。

• 对称密码体制优点是加密和解密处理效率高，密钥长度相对较短，缺点是需要安全通道分发密钥、保密通信的用户数量多时密钥量大、难以解决不可否认性等问题。
• 非对称密码体制优点是保障信息的机密性、对信息进行数字签名、有认证性和抗否认性的功能，缺点是加密和解密效率低。

3. 列举出密码体制常见的攻击形式并加以解释。

密码分析者攻击密码体制的方法：

• 穷举攻击：密码分析者通过试遍所有的密钥来进行破译；
• 统计分析攻击：密码分析者通过分析密文和明文的统计规律来破译密码；
• 数学分析攻击：密码分析者针对加密算法的数学特征和密码学特征，通过数学求解的方法来设法找到相应的解密变换。

常见的密码分析攻击类型：

• 唯密文攻击（ciphertext only attack）
• 已知明文攻击（known plaintext attack）
• 选择明文攻击（chosen ciphertext attack）

4. 简述香农提出的设计密码体制的两种基本方法

分组密码的基本原理：扩散（diffusion）和混淆（confusion）。其目的是为了抵抗攻击者对密码体制的统计分析。

扩散： 让明文中的每一位以及密钥中的每一位能够影响密文中的许多位，或者说让密文中的每一位受明文和密钥中的许多位的影响。
混淆：将密文与明文、密钥之间的统计关系变得尽可能复杂，使对手即使获取了关于密文的一些统计特性，也无法推测密钥。

5. 简述分组密码的工作模式

四个常用的工作模式：

• 电子编码本模式（Electronic Code Book，ECB）
• 密码分组链接模式（Cipher Block Chaining，CBC）
• 输出反馈模式（Output Feedback，OFB）
• 密码反馈模式（Cipher Feedback，CFB）

6. 简述序列密码与分组密码的不同。

序列密码和分组密码的区别：

分组密码把明文分成相对比较大的块，对于每块使用相同的加密函数进行处理。分组密码是无记忆的。
序列密码处理的明文长度为1比特。序列密码是有记忆的。

7. 解释单向陷门函数的含义。

如果 ƒ(x) 被称为单项陷门函数，必须满足三个条件：

1. 给定 x，计算 y = ƒ(x) 是容易的；
2. 给定 y，计算 x 使 y = ƒ(x) 是困难的；
3. 存在 $\delta$，已知 $\delta$ 时对给定的任何 y，若相应的 x 存在，则计算 x 使 y = ƒ(x) 是容易的。

• 仅满足 1、2 两条的称为单向函数；
• 第三条称为陷门性，$\delta$ 称为陷门信息。当用陷门函数 ƒ 作为加密函数时，可将 ƒ 公开，相当于公开加密密钥 P_k；
• ƒ 函数将 $\delta$ 保密，用作解密密钥，此时 $\delta$ 即为私有密钥 S_k。

8. 简述 Hash 函数应具有的性质。

9. 说明数字签名与手写签名的区别。

• 签名的对象不同；
• 实现的方法不同；
• 验证的方式不同；
• 保证机密性方面，数字签名比手写签名更具有优势。

11. 简述密钥管理的层次结构。

常用三级简化密钥管理的层次结构：

按照密钥的生存周期、功能和保密级别将密钥分为3类：会话密钥、密钥加密密钥和主密钥。

• 会话密钥。
  一次通信或数据交换中，用户之间所使用的密钥，是由通信用户之间进行协商得到的。主要用来对传输的数据进行保护，位于整个密钥层次的最底层，仅对临时的通话或交换数据使用。
  基于运算速度的考虑，会话密钥普遍是某一种对称加密算法的加密密钥。
• 密钥加密密钥。
  一般是用来对传输的会话密钥进行加密时采用的密钥，又称为次主密钥或者二级密钥。
• 主密钥。
  由用户选定或由系统分配给用户、可在较长时间内由用户所专有的秘密密钥，还起到表示用户的作用。

12. 简述 Diffie-Hellman 密钥协商协议过程。