当前位置:文档之家 › Shannon与现代密码学

Shannon与现代密码学

  • 格式:doc
  • 大小:130.51 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

现代密码学第三讲(一):密码学的信息论基础

现代密码学第三讲(一):密码学的信息论基础
H (X | Y) p( yi ) H (X | y j ) p( yi ) p( xi | y j ) log2 p( xi | y j )
j 1 j 1 i 1
12
m
m
n
熵和无条件保密
若将X视为一个系统的输入空间,Y视为系统 的输出空间,在通信中,通常将条件熵 H(X|Y)称作含糊度,X和Y之间的平均互信 息定义为: I(X,Y)=H(X)-H(X|Y) 它表示X熵减少量。
分组密码设计思想
P= p1 p2 p3 p4 p5
E: pi^ki = ci D: ci^ki = pi 已知明密文比特:pi^ci = ki
K=
k1 k2 k3 k4 k5
C=
c1 c2 c3 c4 c5
密钥不可重复使用
分组密码设计思想
事例:珍珠港事件
日本人偷袭珍珠港得手以后,山本五十六又制订了中途岛作战计划。 美军太平洋舰队新任司令尼米兹的手里有一个密码破译小组,虽然有 些情报还不能够完全破译,但是这个小组发现当日军开始向中途岛进 发的时候,在日军来往的电报中,经常出现的“AF”这两个字母,究竟 指什么?一时难以敲定。初步的判断,这可能是日军下一步要进攻的 目标,但是究竟是哪呢?也有人猜出来是中途岛,但是不能确定。 美军情报官让中途岛的美军,给太平洋舰队的总部发一份电报,内容 是 “本岛淡水设备发生故障。” 日军截获并破译了这封电报,同时向 它的司令部大本营报告。美军截获日军法网大本营的电报 “AF很可能 缺少淡水。” 于是确认了美军的判断——AF就是中途岛。 推论得到证实以后,太平洋舰队司令官尼米兹将军命令整个舰队严阵 以待,6月4日中途岛大战爆发,美军以损失一艘航空母舰的代价,一 举击沉了日本四艘航空母舰,而且都全是它的重型航空母舰,使日本 的联合舰队,遭受了空前的灭顶之灾。

现代密码学精讲

现代密码学精讲

2.1.4 现代密码学主要技术(续)
签名和认证函数必须满足的性质 1) 当且仅当Vk’ (m, s)=True时,s是消息m的合法签 名。 2) 对于任何签名者以外的实体在计算上不可能得 到任意的一组mf和sf满足Vk’ (mf , sf)=True。 数字签名的争议解决(不可否认) 如果签名者和验证者对签名发生争议,可由验证 者带着签名 (m, s) 提交给可信任第三方 (TTP) ,由 TTP验证该签名,最后进行仲裁。
2.1.4 现代密码学主要技术(续)
证书链和证书路径
图2.5 证书链
2.1.4 现代密码学主要技术(续)
(3) 认证与鉴别技术 鉴别或实体认证 定义 9 鉴别或实体认证是一个过程。在这个过程 中一方通过获得一些确定的证据来确认参加实体 认证的另一方的身份,而具有相应身份的实体也 确实就是正在参与这一认证过程的另一方。 例子1 实体A与B通电话,如果A与B认识就可以通 过声音来确定对方的真实性。 例子2 实体A通过信用卡在银行ATM机上取钱。 # 特点:时实性。
2.1.4 现代密码学主要技术(续)
公钥加密 定义 7 一个由加密函数集{Ee: eK}和解密函数集 {Dd: dK} 组成加密方案,每一个相关联的加 / 解 密密钥对(e, d),加密密钥e公开,称为公开密钥, 而解密密钥d保密,称为秘密密钥。 # 显然安全公钥密码系统要求从 e 计算 d 为不可能。
2.1.4 现代密码学主要技术(续)
加密方案 加密方案是由一个加密函数集 {Ee: eK} 和解密函 数集{Dd: dK}构成,并且满足任意一个加密密钥 eK存在唯一一个解密密钥dK使 Dd=Ee1,也就是 对于所有明文消息mM ,存在Dd(Ee(m)) = m,(e, d)称为密钥对。设计加密方案就是确定M、 C、 K、 {Ee: eK}、{Dd:dK}的过程。

现代密码学论文(同名13947)

现代密码学论文(同名13947)

现代密码学课程论文学习︽现代密码学︾后的感受院系:数学与信息科学系班级:姓名:学号:对现代密码学的认识一、密码学的发展历程密码学在公元前400多年就早已经产生了,正如《破译者》一书中所说“人类使用密码的历史几乎与使用文字的时间一样长”。

密码学的起源的确要追溯到人类刚刚出现,并且尝试去学习如何通信的时候,为了确保他们的通信的机密,最先是有意识的使用一些简单的方法来加密信息,通过一些(密码)象形文字相互传达信息。

接着由于文字的出现和使用,确保通信的机密性就成为一种艺术,古代发明了不少加密信息和传达信息的方法。

例如我国古代的烽火就是一种传递军情的方法,再如古代的兵符就是用来传达信息的密令。

就连闯荡江湖的侠士,都有秘密的黑道行话,更何况是那些不堪忍受压迫义士在秘密起义前进行地下联络的暗语,这都促进了密码学的发展。

事实上,密码学真正成为科学是在19世纪末和20世纪初期,由于军事、数学、通讯等相关技术的发展,特别是两次世界大战中对军事信息保密传递和破获敌方信息的需求,密码学得到了空前的发展,并广泛的用于军事情报部门的决策。

例如在希特勒一上台时,德国就试验并使用了一种命名为“谜”的密码机,“谜”型机能产生220亿种不同的密钥组合,假如一个人日夜不停地工作,每分钟测试一种密钥的话,需要约4.2万年才能将所有的密钥可能组合试完,希特勒完全相信了这种密码机的安全性。

然而,英国获知了“谜”型机的密码原理,完成了一部针对“谜”型机的绰号叫“炸弹”的密码破译机,每秒钟可处理2000个字符,它几乎可以破译截获德国的所有情报。

后来又研制出一种每秒钟可处理5000个字符的“巨人”型密码破译机并投入使用,至此同盟国几乎掌握了德国纳粹的绝大多数军事秘密和机密,而德国军方却对此一无所知;太平洋战争中,美军成功破译了日本海军的密码机,读懂了日本舰队司令官山本五十六发给各指挥官的命令,在中途岛彻底击溃了日本海军,击毙了山本五十六,导致了太平洋战争的决定性转折。

现代密码学-古典密码-实验报告

现代密码学-古典密码-实验报告

现代密码学实验报告院系:理学院班级:信安二班姓名:学号:前言密码学(Cryptology)是研究秘密通信的原理和破译秘密信息的方法的一门学科。

密码学的基本技术就是对数据进行一组可逆的数学变换,使未授权者不能理解它的真实含义。

密码学包括密码编码学(Cryptography)和密码分析学(Cryptanalyst)两个既对立又统一的主要分支学科。

研究密码变化的规律并用之于编制密码以保护信息安全的科学,称为密码编码学。

研究密码变化的规律并用之于密码以获取信息情报的科学,称为密码分析学,也叫密码破译学。

密码学在信息安全中占有非常重要的地位,能够为信息安全提供关键理论与技术。

密码学是一门古老而深奥的学问,按其发展进程,经历了古典密码和现代密码学两个阶段。

现代密码学(Modern Cryptology)通常被归类为理论数学的一个分支学科,主要以可靠的数学方法和理论为基础,为保证信息的机密性、完整性、可认证性、可控性、不可抵赖性等提供关键理论与技术。

古典密码算法实验在密码编码体制中有两种基本也是古老的编码体制一直沿用至今,它们是代替密码和置换密码,其历史悠久并且是现代密码体制的基本组成部分,在密码学中占有重要地位。

古典密码是密码学发展的一个阶段,也是近代密码学产生的渊源,一般把Shannon 在1949 年发表“保密系统的通信理论”之前的时期称为古典密码时期。

尽管古典密码大多比较简单,一般可用手工或机械方式实现,且都可用统计分析方法破译,目前已很少采用。

但是,古典密码所采用的代替技术和置换技术仍然是现代分组密码算法设计的基础,了解它们的设计原理,有助于理解、设计和分析现代密码。

一、实验目的通过编程实现经典的代替密码算法和置换密码,包括移位密码、维吉尼亚密码、周期置换密码、列置换密码,加深对代替技术的了解,为现代分组密码实验奠定基础。

二、实验原理代替(Substitution)是古典密码中基本的处理技巧,就是将明文字母由其他字母表中的字母替换的一种方法。

现代密码学--第1讲

现代密码学--第1讲

现代密码学
21
密码系统模型
第1周第2次课
现代密码学
22
思考题:请找出下列数字的规 律,并续写几行?
11 21 1211 111221 312211 …………
第1周第2次课 现代密2次课 现代密码学 24
Thanks For Your Attentions
第1周第2次课
现代密码学
4
第1章 引 言
1.1 密码学的发展概况 1.2 密码学的基本概念
5
第1周第2次课
现代密码学
1.1 密码学的发展概况
第1周第2次课
现代密码学
6
第1周第2次课
现代密码学
7
第1周第2次课
现代密码学
8
第1周第2次课
现代密码学
9
1.2 密码学的基本概念
第1周第2次课
现代密码学
10
第1周第2次课
现 代 密 码 学
主讲教师:张 龙
黑龙江大学数学科学学院
Email:zl_168@
第1周第2次课
现代密码学
1
教材及参考书目
1. 2.
3.
4.
现代密码学, 陈鲁生、沈世镒编著,科学出 版社 密码学原理与实践(第二版),D R.Stinson 著,冯登国译,电子工业出版社 密码学导引,冯登国、裴定一编著,科学出 版社 现代密码学--原理与实践,Wenbo Mao著, 王继林等译,王育民等审校,电子工业出版 社
第1周第2次课 现代密码学 2
课程主要内容安排
第1章 第2章 第3章 第4章 第5章 第6章 第7章 第8章 第9章
第1周第2次课
引言 古典密码学 Shannon理论 分组密码 序列密码与移位寄存器 公钥密码 数字签名 Hash函数 密码协议

信息论与密码学介绍

信息论与密码学介绍


有限值
确定值 与信源是否输出无关 信源的平均不确定度
信息量
可为无穷大
一般为随机量 接收后才得到信息 消除不定度所需信息
信源熵与信息量的比较
总括起来,信源熵有三种物理含义: 1 信源熵H(X)表示信源输出后,离散消息
所提供的平均信息量。
2 3
信源熵H(X)表示信源输出前,信源的平 均不确定度。 信源熵H(X)反映了变量X的随机性
2
条件熵
p(ai b j ) I (ai b j )
j 1 i 1
m
H ( X Y ) E[ I (ai b j )]
m n
p(ai b j ) log p(ai b j )
j 1 i 1
n
H (Y X ) E[ I (b j ai )]
p(ai b j ) log p(b j ai )
对消息ai 确定一个非负的实数 i , 作为消 息的 重量 ,即权重系数。
构造重量空间
X a1 , a2 , , ai , , an W ( X ) , ,, ,, 1 1 i n
定义信息的 加权熵
n
加权熵从某种 程度上反映了 人的主观因素。
提醒:不确定度表示含有多少信息,信息量表示随机事件
发生后可以得到多少信息。
2
联合自信息量
I (aib j ) log p(aib j )
当X与Y相互独立时 ,有 p(ai b j ) p(ai ) p(b j ),

I (ai b j ) log p(ai ) log p(b j ) I (ai ) I (b j )
信息论与密码学
之后,信息理论安全模型又引入到模糊提 取中,即从生物特征等模糊保密数据中直接提 取出密码体制中所需要的密钥。无条件安全密 钥协商和模糊提取有共同之处,都需要纠错和 从部分保密的数据中提取密钥,因此信息论、 纠错码、无条件认证码等理论与技术的成熟为 无条件安全密钥协商和模糊提取的研究奠定了 坚实的基础。

密码学第4讲--Shannon信息论


m
显然,当 m n 时等号不成立; 1 当m n 时,只有当诸 全相等时,等号才成立.
25
pi
现代密码学
定理3.1 设b>1,则有 (1) 0 H ( X )
p( x ) log
i 1 i
n
b
p( xi ) logb n ;
(2) H ( X ) logb n 当且仅当i ,都有 p( xi ) 1 ; n (3) H ( X ) 0 当且仅当存在i : 1 i n 使得 p( xi ) 1 且 j i ,都有p( xi ) 0; 证明 (1) 由logb p( xi ) 0 可知 H ( X ) 0 ,再由Jensen 不等式的推论1
17
现代密码学
例3 设电脑彩票由8个10进制数组成,在开奖之前, 108个可能号码成为特等奖的概率相同,都是10-8.一旦 开奖,我们就知道了特等奖的8个具体号码,因而就获 得了8个十进制数的信息。 我们获得的信息量与开奖前每个可能号码成为 特等奖的概率10-8有何关系? 显然,有 8 = - log10 10-8 信息量的定量刻划: 定义2 设 p( Ai )是一个实验中事件 Ai 发生的概率, 则称 I ( Ai ) log p( Ai ) 为事件 Ai 包含的自信息量.
18
现代密码学
熵的数学定义
定义3.1(随机事件的熵):设一个实验X有 x1, x2 ,, xn 共n个可能的结果,则称 I ( xi ) log p( xi ) 的数学期 望
H ( X ) p( xi ) I ( xi ) p( xi ) log p( xi )
i 1 i 1 n n
i 1 i 1 m m
pi logb pi

现代密码学第3章:密码学的信息论基础

24
估计一个系统的实际保密性
理论上,当截获的密报量大于唯一解距 离时,原则上就可破译。 由于自然语言的复杂性,没有任何一种 分析方法能够假定分析者能利用明文语言的 全部统计知识,所以,一般破译所需的密文 量都远大于理论值。 没有涉及为了得到唯一解需完成多少 计算量。从实际破译来看,有时虽然截获的 密文量远大于唯一解距离,但由于所需的工 作量还太大而难以实现破译。
25
估计一个系统的实际保密性
理论保密性是假定密码分析者有无限的时间、 设备和资金的条件下,研究唯密文攻击时密码系 统的安全性。比如一次一密体制。 实际安全性又称为计算上的安全性,这个方法 关心的是破译一个具体的密码系统所需的计算量。 在实际中,人们说一个密码系统是“计算上 安全的”,意指利用已有的最好的方法破译该系 统所需要的努力超过了敌手的破译能力(诸如时 间、空间、和资金等资源)或破译该系统的难度 等价于解数学上的某个已知难题
21
理论安全性和实际安全性
图 密钥,消息和密钥显现含糊度作为S的函数
22
语言的多余度
定义4 假如L是一种自然语言,语言L的熵 为 语言的多余度定义为 其中A表示语言L的字母集,表示A中字 母的个数, 表示所有明文n-字母报构成 的全体。
23
密钥含糊度
定理6 密钥含糊度有下列下界 其中,S表示接受到的密文序列长度, 表示明文语言的冗余度, 表示密文空间中 符号或字母的数目。 定理7 当明文由一个离散独立信源产生,如 果 ,其中 是字母表的大小。 密钥的含糊度能变为零。
26
估计一个系统的实际保密性
฀ 密码分析者的计算能力; ฀ 他所采用的破译算法的有效性。
27
Shannon关于设计密码的一些基本观点 关于设计密码的一些基本观点 通过合并简单密码系统而形成它们的 “积”挫败统计分析的观点: ฀ 在加密之前将语言的一些多余度除去。 ฀ 采用所谓的“扩散(Diffusion)”和 “混淆(Confusion)”这两种加密技术扩 散或混淆多余度。

《现代密码学》练习题(含答案)

《现代密码学》练习题(含答案)一、填空题(每空1分,共7分)1. 加密算法的功能是实现信息的保密性。

2. 数据认证算法的功能是实现数据的完整性即消息的真实性。

3. 密码编码学或代数中的有限域又称为伽罗华(Galois)域。

记为GF(pn)4. 数字签名算法可实现不可否认性即抗依赖性。

信息安全基本要求:可用性、保密性、完整性、不可否认性、可控性、真实性。

5. Two-Track-MAC算法基于带密钥的RIPEMD-160。

密钥和输出MAC值都是20B6. AES和Whirlpool算法是根据宽轨迹策略设计的。

7. 序列密码的加密的基本原理是:用一个密钥序列与明文序列进行叠加来产生密文。

8. Rabin密码体制是利用合数模下求解平方根的困难性构造了一种非对称/公钥/双钥密码体制。

1. 现代对称密码的设计基础是:扩散和混淆。

2. 加密和解密都是在密钥控制下进行的。

3. 在一个密码系统模型中,只截取信道上传送信息的攻击方式被称为被动攻击。

4. Caesar密码体制属于单表代换密码体制。

(字母平移)5. 尽管双重DES不等价于使用一个56位密钥的单重DES,但有一种被称为中途相遇攻击的破译方法会对它构成威胁。

(成倍减少要解密的加密文本)6. 设计序列密码体制的关键就是要设计一种产生密钥流的方法。

2. 椭圆曲线密码是利用有限域GF(2n)上的椭圆曲线上点集所构成的群上定义的离散对数系统,构造出的公钥/非对称密码体制。

3. 在公钥密码体制中,加密密钥和解密密钥是不一样的,加密密钥可以公开传播而不会危及密码体制的安全性。

2. 密码学上的Hash函数是一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。

3. 数字签名主要是用于对数字消息进行签名,以防止消息的伪造或篡改,也可以用于通信双方的身份认证。

2. CTR/计数器加密模式与CBC认证模式组合构成CCM模式;GMAX算法与CTR加密模式组合构成GCM模式。

现代密码学-期末复习

• 在shamir门限方案中会恢复密钥、多项式
考试
• 简答题(共15分) • 计算题(共55分) • 证明题(共20分) • 论述题(共10分)
注意: 1. 按步给分,别只写答案 2. 闭卷,该记的公式要记住(AES列变换矩
阵不用记)
数字签名
• 了解数字签名的特点,与传统物理签名的 区别
• 掌握ElGamal签名方案的签名和验证算法 (记)
Hash函数
• 弱无碰撞和强无碰撞的定义及相关证明 • 了解分组密码构造Hash函数的方法
密码协议
• 了解密钥分配,秘密共享,身份识别,零 知识证明协议所解决的问题是什么
• 了解为何Diffie—Hellman密钥交换协议容易 受到中间人攻击,以及改进的端到端协议
古典密码
• 了解常见的古典密码体制 • 仿射密码的加解密过程 • Hill密码的加解密过程 • 了解几种古典密码体制所采用的分析方法
Shannon理论
• 完善保密性的定义,并证明一些简单密组密码中的扩散和混淆(混乱)的含义 • 数据加密标准DES:分组长度,密钥长度,
每一轮的轮函数,大体流程 • 高级加密标准AES:分组长度,密钥长度,
大体流程;会进行列混合中的代数运算 • 知道分组密码的四种工作模式的加解密操
作,了解它们的不同。
流密码
• 掌握线性移位寄存器的特征多项式表示、 递推关系表示
• 会画线性移位寄存器的示意图 • 会求生成序列及周期,判断生成序列是否
为m序列。
公钥密码
• 了解什么是难解问题、(陷门)单向函数 • 欧拉函数的求值;欧拉定理 • 雅可比记号的计算(注意各结论的应用条件,如
互反律;记基本结果) • 计算模n下的逆元 • 掌握RSA密码体制:密钥的产生和加解密算法。 • 了解背包密码体制加解密算法 • 掌握椭圆曲线上点的基本计算:加法、数乘
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Shannon与现代密码学王育民西安电子科技大学教育部计算机网络与信息安全重点实验室1949年Shannon公开发表了《保密系统的通信理论》[8],开辟了用信息论研究密码学的新方向,使他成为密码学的先驱、近代密码理论的奠基人。

这篇文章是他在1945年为贝尔实验室所完成的一篇机密报告《A Mathematical Theory of Cryptograph》[1,[24]]。

Boston 环球报称此文将密码从艺术变成为科学。

(Transformed cryptography from an art to a science.)。

本文发表后促使他被聘为美国政府密码事务顾问。

这一工作的背景是他在1941年在贝尔曾从事密码学研究工作,接触到SIGSAL Y电话,这是一种马桶大小的语言置乱设备,供丘吉尔和罗斯福进行热线联系。

这一电话保密机所用的密码就是在今天也破不了[1,p.xx]。

SIGSAL Y电话机这篇文章对于研究密码的人来说是需要认真读的一篇经典著作。

本文奠定了现代密码理论的基础。

可以说,最近几十年来密码领域的几个重要进展都与Shannon这篇文章所提出的思想有密切关系。

1.保密通信系统的数学模型Shannon以概率统计的观点对消息源、密钥源、接收和截获的消息进行数学描述和分析,用不确定性和唯一解距离来度量密码体制的保密性,阐明了密码系统、完善保密性、纯密码、理论保密性和实际保密性等重要概念,从而大大深化了人们对于保密学的理解。

这使信息论成为研究密码学和密码分析学的一个重要理论基础,宣告了科学的密码学时代的到来。

2.2. 正确区分信息隐藏和信息保密Shannon在引论中就明确区分了信息隐藏(隐匿信息的存在)和信息保密(隐匿信息的真意),以及模拟保密变换和数字信号加密(密码)不同之处。

Shannon称后者为真保密系统(True secrecy system)3. 密码系统与传信系统的对偶性传信系统是对抗系统中存在的干扰(系统中固有的或敌手有意施放的),实现有效、可靠传信。

Shannon说:“从密码分析者来看,一个保密系统几乎就是一个通信系统。

待传的消息是统计事件,加密所用的密钥按概率选出,加密结果为密报,这是分析者可以利用的,类似于受扰信号。

”密码系统中对消息m的加密变换的作用类似于向消息注入噪声。

密文c就相当于经过有扰信道得到的接收消息。

密码分析员就相当于有扰信道下原接收者。

所不同的是,这种干扰不是信道中的自然干扰,而是发送者有意加进的、可由己方完全控制、选自有限集的强干扰(即密钥),目的是使敌方难于从截获的密报c中提取出有用信息,而己方可方便地除去发端所加的强干扰,恢复出原来的信息。

传信系统中的信息传输、处理、检测和接收,密码系统中的加密、解密、分析和破译都可用信息论观点统一地分析研究。

密码系统本质上也是一种传信息系统。

是普通传信系统的对偶系统。

4. 含糊度在破译和设计密码中的作用保密系统也可采用含糊度(Equivocation )作为不确定性(Uncertainty )的量度。

已知密报C 的条件下密钥K 的含糊度为已知密报C 的条件下消息M 的含糊度为如果我们考虑长为L 的消息序列被加密成长为N 的密文序列,明文熵为H ( )=H (M L ),密钥熵为H ( ),密文熵为H ( )=H (C N ),在已知密文条件下明文的含糊度为H (M L /C N ),在已知密文条件下密钥的含糊度为H ( /C N )。

从唯密文破译来看,密码分析者的任务是从截获的密文中提取有关明文的信息I (M L ; C N )=H (M L )-H (M L /C N )或从密文中提取有关密钥的信息I ( ; C N )=H ( )-H ( /C N )对于合法的接收者,在已知密钥和密文条件下提取明文信息,由加密变换的可逆性知H (M L /C N )=0因而此情况下有I (M L ; C N )=H (M L )由上述可知,H ( /C N )和H (M L /C N ),窃听者从密文能够提取出的有关明文和密钥的信息就越小。

这两个含糊度都是截获密报N 的非增函数,一般随掌握的密报增多而减小,并最终趋于零。

从而可以唯一地确定出密钥或消息,实现破译目的。

利用信息论的一些结果不难推出[10],对任意保密系统有:I (M L ; C N )≥H (ML )-H (K )保密系统的密钥量越小,其密文中含有的关于明文的信息量就越大。

密码分析者能否有效地提取出来,则是另外的问题了。

作为系统设计者,自然要选择有足够多的密钥量才行。

Shannon 用信息论清楚地描述了破译问题。

当然要实行起来需要大量有关消息、密钥、密报的统计知识和计算量,往往是极为繁琐和困难的事。

Shannon 详细讨论了含糊度的有关理论。

并从加密和构造密码的角度指出了这一概念的重要指导意义。

(/)()log (/)k cH M C p mc p m c =∑∑(/)()log (/)k cH K C p kc p k c =∑∑5. 完善保密性一个密码系统,若其密文与明文之间的互信息I (M L ; C N )=0则窃听者从密文就得不到任何有关明文的信息,不管窃听者截获的密文有多少,他用于破译的计算资源有多丰富,都是无济于事的。

满足上式条件称为完善的(Perfect)或无条件的(Unconditionally)安全的保密系统。

但是应当指出,这是对唯密文破译而言的安全性,它不一定能保证在已知明文或选择明文攻击下也是安全的。

完善保密系统存在的必要条件是H ( )≥H (M L )即密钥量的对数(密钥空间为均匀分布条件下)要大于明文集的熵。

当密钥为二元序列时要满足H (M L )≤H ( )=H (k 1, k 2, …, k r )≤ r bits不难证明,存在有完善保密系统[10] 。

在唯密文破译下是安全的,但在已知明文攻击下未必安全的。

密钥不能重复使用。

一次一密体制 严格限制随机密钥只使用一次的加密体制。

任何已知的明文-密文对都无助于破译以后收到的密文。

Shannon 最先证明这种体制是完善保密的,并能抗击已知明文-密文下的攻击。

这要求必须保证密钥以完全随机方式产生(如掷硬币)并派可靠信使通过安全途径送给对方,每次用过后的密钥都立即销毁。

6. 冗余度Shannon 深刻揭示了冗余度在密码中的作用。

令信源产生的明文序列为m =(m 1, m 2, …, m L ),L ≥1,其中m 1∈M =Z q 。

L 长明文序列的熵为H(M 1, M 2,…, M L)。

定义D L =L lb q -H (M 1, M 2, …, M L)≥0为L 长明文序列的多余度(redundancy)。

它是L 长独立等概q -元序列的熵值与信源输出的L 长序列熵值之差。

信源输出字母间的统计关联越强,D L 值越大。

定义L 长明文序列平均每字母的多余度为显然有 0≤δL ≤lb(q )L L D Lδ=英文字母序列的多余度如下:D1=0.55 bit,D2=2.16 bit,D3=2.92 bit,D∞=∞ bit;δ1=0.55 bit/字母,δ2=1.08 bit/字母,δ3=1.48 bit/字母,δ∞=3.2 bit/字母。

7.唯一解距离与理论保密性设N长密文序列集C=C1, C2, ...,C N∈X,由条件熵性质知密钥的不确定性,即从密钥含糊度,H( /C N)=H( / C1, C2, ...,C N,)≥H( /C1, C2, ...,C N,C N+1)显然,当N=0时的密钥的含糊度就是密钥的熵H(K)。

即随着N的加大,密钥含糊度是非增的。

亦即随着截获密文的增加,得到的有关明文或密钥的信息量就增加,而保留的不确定性就会越来越小。

若H=(K/CN)→0,就可唯一地确定密钥K,而实现破译。

令N0=min{n∈N | H( /C N)≈0}其中N是正整数集。

当截获的密报量大于N0时,原则上就可唯一地确定系统所用的密钥,即原则上可以破译该密码。

N0与明文多余度的关系N0≈H( )/δL下图给出H( )~l的典型变化特性。

H( )0 1 2 3 H( )/δL l(密文量)● 若δL =0,即当明文经过最佳数据压缩编码后,其唯一解距离N 0→∞。

虽然这时系统不一定满足H ( )≥H (M L )的完善保密条件,但不管截获的密报量有多大,密钥的含糊度仍为H ( /C l )≈H ( ),即可能的密钥解总有2H ( )个之多!● 实际中不可能实现δL =0,但是在消息进行加密之前,先进行压缩编码来减小多余度,对于提高系统安全性是绝对必要的! 多余度的存在,使得任何密码体制在有限密钥下(H ( )为有限),其唯一解距离都将是有限的,因而在理论上都将是可破的。

● 一些使数据扩展的方式对于密码的安全是不利的。

● 增大H ( )是提高保密系统安全性的途径,即采用复杂的密码体制,直至一次一密钥体制。

8. Shannon 信息论是现代密码的理论基础。

现代密码学的两个重要标志:一是美国数据加密标准DES 的公布实施,二是Diffie 和Hellman 提出的公钥密码体制。

20世纪60年代末开始了通信与计算机相结合,通信网迅速发展,人类开始向信息化社会迈进。

这就要求信息作业的标准化,加密算法当然也不能例外。

标准化对于技术发展、降低成本、推广使用有重要意义。

DES 标准的公开对于分组密码理论和算法设计的发展起了极大的促进作用。

另一方面,DES (Data Encryption Standard )、EES (Escrowed Encryption Standard )、AES (Advanced H( )~l 的典型变化特性Encryption Standard)的曲折发展历史过程也为全世界如何制定适于信息化社会公用的密码标准算法提供了有益的启示。

制定信息化社会所需的公用标准密码算法的正确途径是公开、公正地进行,公开地证集算法的方案,公开、公正地评价和选定标准算法,最后要完整公布选定的标准算法。

这样集众人智慧的算法强度能比较有保证。

只有这样才能使应用算法的人相信它能够保护自己的隐私和数据的安全,也才能在较大范围,如全国甚至在世界范围推广使用,为Internet中的安全地互联互通和电子商务提供支持。

再有,美国开发EES作为要替代DES的一个标准算法虽然是失败了,但它却发展了密码的可控性理论和技术,大大推进了密钥托管和密钥恢复技术的发展。

这类技术在当今电子商务和电子政务系统中有重要作用。

DES及后来的许多分组密码设计中都充分体现了Shannon在1949年的论文中所提出的设计强密码的思想。

●组合(Combine)概念:由简单易于实现的密码系统进行组合,构造较复杂的、密钥量较大的密码系统。