网络安全-09-密钥管理和其它公钥密码体制-DH-ElGamal-ECC

格式：ppt
大小：969.00 KB
文档页数：30

下载文档原格式

第4章公钥密码体制

密钥
为公钥。不再需要，以n，e为公钥。私密钥为d。(p, q不再需要，可以销毁。可以销毁。)
RSA算法在计算上的可行性
加密和解密
无论是加密还是解密都需要计算某个整数的模n 整数次幂，即C=Me mod n、M=Cd mod n。但不、需要先求出整数的幂再对n取模，而可利用模运算的性质： (a mod n) * (b mod n)= (a*b) mod n 对于Me mod n，可先求出M1 mod n，M2 mod n， M4 mod n……，再求Me mod n
RSA算法 RSA算法
RSA Algorithm
概况
MIT三位年轻数学家, 1979年发现了一种用数论构造双钥的方法，称作MIT 体制 MIT体制 MIT 体制，后来被广泛称之为RSA体制 RSA体制 RSA体制。它既可用于加密、又可用于数字签字。 RSA算法的安全性基于数论中大整数分解的困难性。迄今为止理论上最为成熟完善的公钥密码体制，该体制已得到广泛的应用。
公钥密码体制有4个组成部分
明文：算法的输入，它们是可读信息或数据，用M 表示；密文：算法的输出。依赖于明文和密钥，对给定的消息，不同的密钥产生密文不同。用E表示；公钥和私钥：算法的输入。这对密钥中一个用于加密，为Ke，此密钥公开；一个用于解密，为Kd，此密钥保密。加密算法执行的变换依赖于密钥；加密、解密算法
选p=7，q=17。求n=p×q=119，φ(n)=(p-1)(q-1)=96。取e=5，满足1<e<φ(n)，且gcd(φ(n),e)=1。确定满足d·e=1 mod 96且小于96的d，因为 77×5=385=4×96+1，所以d为77。因此公开钥为{5，119}，秘密钥为{77，119}。设明文m=19，则由加密过程得密文为 C=195 mod 119≡2476099 mod 119=66 解密为6677mod 119=19

公钥密码体制公钥密码体制

首次公开提出了“公开密钥密码编码学”的概念。
这是一个与对称密码编码截然不同的方案。
提出公开密钥的理论时，其实用性并没有又得到证明：
❖ 当时还未发现满足公开密钥编码理论的算法； ❖ 直到 1978 年，RSA 算法的提出。
2.基本特征
❖ 加密和解密使用两个不同的密钥公钥PK：公开，用于加密，私钥SK：保密，用作解密密钥
3.优点
❖ 密钥管理
加密密钥是公开的；解密密钥需要妥善保存；在当今具有用户量大、消息发送方与接收方具有明显的信息不对称
特点的应用环境中表现出了令人乐观的前景。新用户的增加只需要产生一对公共/私有密钥。
❖ 数字签名和认证
只有解密密钥能解密，只有正确的接收者才拥有解密密钥。
缺点：公共密钥系统的主要弱点是加密和解密速度慢。
加密与解密由不同的密钥完成；知道加密算法，从加密密钥得到解密密钥在计算上是不可行的；两个密钥中任何一个都可以作为加密而另一个用作解密。
6.公钥密码算法
除RSA算法以外，建立在不同计算问题上的其他公钥密码算法有：
基于因子分解问题的Rabin算法；椭圆曲线公钥算法；基于有限域中离散对数难题的ElGamal公钥密码算法基于代数编码系统的McEliece公钥密码算法；基于“子集和”难题的Merkle-Hellman Knapsack（背包）公钥密码算法；目前被认为安全的Knapsack型公钥密码算法Chor-Rivest。
实际应用中的加密方式
❖ 混合加密技术对称密码体制：密钥分发困难公钥体制：加解密效率低将对称加密算法的数据处理速度和公钥算法对密钥的保密功能相结合利用对称加密算法加密传输数据利用非对称加密算法交换会话密钥
实际应用中的加密方式

密钥管理内容详解

密钥管理现代密码学的一个基本原则是：一切秘密寓于密钥之中。

加密算法可以公开，密码设备可以丢失，如果密钥丢失则敌手就可以完全破译信息。

另外，窃取密钥的途径比破译密码算法的代价要小得多，在网络攻击的许多事件中，密钥的安全管理是攻击的一个主要环节。

因此，为提高系统的安全性必须加强密钥管理。

密钥管理是一项综合性的技术。

密钥的安全保护是系统安全的一个方面。

密钥管理包括密钥的生成、分发、存储、销毁、使用等一系列过程。

关于密码管理需要考虑的环节包括：（1）密钥生成密钥长度应该足够长。

一般来说，密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大。

选择好密钥，避免弱密钥。

由自动处理设备生成的随机的比特串是好密钥，选择密钥时，应该避免选择一个弱密钥。

对公钥密码体制来说，密钥生成更加困难，因为密钥必须满足某些数学特征。

ANSI X9.17标准规定了一种密钥生成方法。

设E k（X）表示用密钥K对X进行三重DES 加密。

K是为密钥产生器保留的一个特殊密钥。

V 0是一个秘密的64比特种子，T是一个时间戳。

欲产生随机密钥Ri，计算：R i= E k (E k (T i)⊕Vi)欲产生Vi+1 ，计算：Vi+1=E k (E k (T i)⊕R i)要把R i转换为DES密钥，只要调整每一个字节第8位奇偶性，产生一对密钥后再串接起来可得到一个128比特的密钥。

（2）密钥分发采用对称加密算法进行保密通信，需要共享同一密钥。

通常是系统中的一个成员先选择一个秘密密钥，然后将它传送另一个成员或别的成员。

X9.17标准描述了两种密钥：密钥加密密钥和数据密钥。

密钥加密密钥加密其它需要分发的密钥；而数据密钥只对信息流进行加密。

密钥加密密钥一般通过手工分发。

为增强保密性，也可以将密钥分成许多不同的部分然后用不同的信道发送出去。

对于大型网络，每对用户必须交换密钥，n个人的网络总的交换次数为n（n-1）/2，这种情况下，通常建造一个密钥分发中心负责密钥的管理。

密钥密码体系和公钥密码体系

密钥密码体系和公钥密码体系
密钥密码体系和公钥密码体系是两种常见的加密算法体系，它们在密钥管理和加密解密过程中的原理和方式有所不同。

密钥密码体系：
密钥密码体系是使用相同的密钥对明文进行加密和解密的算法体系。

在密钥密码体系中，发送方和接收方必须互相知道并共享相同的密钥，才能进行加密解密通信。

常见的对称加密算法，如DES、AES等，属于密钥密码体系。

密钥密码体系的优点
是加密解密速度快，但缺点是密钥管理比较困难，需要事先安全地共享密钥，并确保密钥的安全性。

公钥密码体系：
公钥密码体系是使用不同的密钥对明文进行加密和解密的算法体系。

在公钥密码体系中，发送方和接收方使用不同的密钥，一个是公钥，一个是私钥。

公钥可以公开给任何人，用于加密明文，而私钥只有接收方知道，用于解密密文。

常见的公钥加密算法，如RSA、ElGamal等，属于公钥密码体系。

公钥密码体系的优点是密钥管理相对容易，只需要保证私钥的安全性，但缺点是加密解密速度相对较慢。

综上所述，密钥密码体系和公钥密码体系是两种不同的加密算法体系，各有优缺点，可以根据具体的安全需求和场景选择使用。

2023年安全监察人员《网络安全监察员》考试全真模拟易错、难点精编⑴(答案参考)试卷号：13

2023年安全监察人员《网络安全监察员》考试全真模拟易错、难点精编⑴（答案参考）（图片大小可自由调整）一.全考点综合测验(共50题)1.【判断题】防火墙一般采用“所有未被允许的就是禁止的”和“所有未被禁止的就是允许的”两个基本准则，其中前者的安全性要比后者高。

正确答案：正确2.【单选题】《计算机场、地、站安全要求》的国家标准代码是( )A.GB57104-93B.GB9361-88C.GB50174-88D.GB9361-93正确答案：B3.【判断题】入侵检测系统是网络信息系统安全的第一道防线正确答案：错误4.【单选题】HTTP默认端口号为（）A.21B.80C.8080D.23正确答案：B5.【单选题】DES算法的入口参数有3个：Key、Data和Mode。

其中Key的实际长度为（)位，是DES算法的工作密钥A.64B.7C.8D.56正确答案：D6.【单选题】以下哪一项不在证书数据的组成中?( )A.版本信息B.有效使用期限C.签名算法D.版权信息正确答案：D7.【判断题】可以在局域网的网关处安装一个病毒防火墙，从而解决整个局域网的防病毒问题正确答案：错误8.【判断题】暴力破解与字典攻击属于同类网络攻击方式，其中暴力破解中所采用的字典要比字典攻击中使用的字典的范围要大正确答案：正确9.【单选题】网络攻击的发展趋势是（）A.黑客技术与网络病毒日益融合B.攻击工具日益先进C.病毒攻击D.黑客攻击正确答案：B10.【单选题】属于PKI的功能是()A.PAA，PAB，CAB.PAA ，PAB，DRAC.PAA，CA，ORAD.PAB ，CA，ORA正确答案：C11.【判断题】当硬件配置相同时，代理防火墙对网络运行性能的影响要比包过滤防火墙小正确答案：错误12.【判断题】DHCP服务器只能给客户端提IP地址和网关地址，而不能提供DNS服务器的IP地址正确答案：错误13.【单选题】下面不是采用对称加密算法的是（）A.DESB.AESC.IDEAD.RSA正确答案：D14.【判断题】日常所见的校园饭卡是利用的身份认证的单因素法正确答案：正确15.【单选题】计算机病毒的特征之一是()A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性正确答案：B16.【单选题】在防火墙技术中，内网这一概念通常指的是()A.受信网络B.非受信网络C.防火墙内的网络D.互联网正确答案：A17.【单选题】信息安全技术的核心是( )A.PKIB.SETC.SSLD.ECC正确答案：A18.【单选题】Internet接入控制不能对付以下哪类入侵者?()A.伪装者B.违法者C.内部用户D.地下用户正确答案：C19.【单选题】拒绝服务攻击（）A.用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击B.全称是Distributed Denial Of ServiceC.拒绝来自一个服务器所发送回应请求的指令D.入侵控制一个服务器后远程关机正确答案：A20.【判断题】在传统的包过滤、代理和状态检测3类防火墙中，只有状态检测防火墙可以在一定程度上检测并防止内部用户的恶意破坏正确答案：正确21.【判断题】间谍软件能够修改计算机上的配置文件正确答案：错误22.【单选题】打电话请求密码属于（）攻击方式A.木马B.社会工程学C.电话系统漏洞D.拒绝服务正确答案：B23.【单选题】防火墙能够（）A.防范通过它的恶意连接B.防范恶意的知情者C.防备新的网络安全问题D.完全防止传送己被病毒感染的软件和文件正确答案：A24.【判断题】拒绝服务攻击属于被动攻击的一种正确答案：错误25.【判断题】在利用VPN连接两个LAN时，LAN中必须使用TCP/IP协议正确答案：错误26.【单选题】关于Diffie-Hellman算法描述正确的是()A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的正确答案：B27.【单选题】在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过程分为几个阶段?()A.三个B.四个C.五个D. 六个正确答案：A28.【判断题】公开密钥密码体制比对称密钥密码体制更为安全正确答案：错误29.【单选题】在公开密钥体制中，加密密钥即（）A.解密密钥B.私密密钥C.私有密钥D.公开密钥正确答案：D30.【判断题】我的公钥证书是不能在网络上公开的，否则其他人可能假冒我的身份或伪造我的数字签名正确答案：错误31.【判断题】常见的公钥密码算法有RSA算法、Diffie-Hellman算法和ElGamal算法正确答案：正确32.【单选题】CA不能提供以下哪种证书?()A.个人数字证书B.SSL 服务器证书C.安全电子邮件证书D.SET 服务器证书正确答案：D33.【判断题】安全是永远是相对的，永远没有一劳永逸的安全防护措施正确答案：正确34.【单选题】在Kerberos中，Client向本Kerberos认证域外的Server申请服务包含几个步骤?( )A.6B.7C.8D.9正确答案：C35.【单选题】计算机网络的安全是指（）A.网络中设备设置环境的安全B.网络中信息的安全C.网络中使用者的安全D.网络中财产的安全正确答案：B36.【单选题】网络监听是（）A.远程观察一个用户的计算机B.监视网络的状态、传输的数据流C.监视PC系统的运行情况D.监视一个网站的发展方向正确答案：B37.【单选题】安全套接层协议是（）A.SETB.SSLC.HTTPD.S-HTTP正确答案：B38.【判断题】Feistel是密码设计的一个结构，而非一个具体的密码产品正确答案：正确39.【判断题】非军事化区DMZ是为了解决安全防火墙后外部网路不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。

信息保障与安全(选择题)

信息保障与安全（选择题）1. 《中华人民共和国网络安全法》第21条规定“国家实行网络安全_____保护制度” [单选题] *按等级(正确答案)按价值按内容用户自行2. 以下有关信息安全管理员职责的叙述，不正确的是（）. [单选题] *信息安全管理员应该对网络的总体安全布局进行规划信息安全管理员应该对信息系统安全事件进行处理(正确答案)信息安全管理员应该负责为用户编写安全应用程序信息安全管理员应该对安全设备进行优化配置3. 中华人民共和国网络安全法于______正式实施。

[单选题] *2016年12月1日2017年1月1日2017年6月1日(正确答案)2017年12月1日4. 以下选项中，__________不是网络安全等级保护2.0新扩展的内容。

[单选题] *云计算安全移动互联安全工业控制系统安全(正确答案)主机与设备安全5. 信息安全的基本属性是＿＿＿。

[单选题] *保密性(正确答案)完整性可用性、可控性、可靠性A，B，C都是6. 按照网络安全等级保护2.0标准，公民、法人和其它组织的合法权益受到特别严重损害的等级为___。

[单选题] *第二级第三级第四级第五级(正确答案)7. _____不属于信息系统访问控制面临的风险。

[单选题] *非法用户的非法访问合法用户的非授权访问假冒合法用法非法访问合法用户的正常访问(正确答案)8. 网络安全等级保护2.0标准中，对网络安全共划分为_____级。

[单选题] * 345(正确答案)69. 信息安全的基本属性是＿＿＿。

[单选题] *保密性完整性可用性、可控性、可靠性A，B，C都是(正确答案)10. 以下对IDEA加密算法的描述中，错误的是___________。

[单选题] *IDEA加密算法是由上海交通大学教授来学嘉与瑞士学者James Massey于1990年联合提出。

DEA加密算法是对称、分组密码算法。

IDEA加密算法的输入明文为64位，密钥为128位，生成的密文为64位。

公钥密码体制的介绍

2012，Hanaoka等人[44]在CT-RSA会议上给出了一个更强的代理重加密安全模型，并给出了一个通用方法用于构造CCA安全的单向代理重加密方案。Sun等人[45]提出了第一个CCA安全的单向广播代理重加密（Broadcast PRE，BPRE），该方案在标准模型下满足自适应选择密文安全。
在AsiaCCS 2009会议上，Weng等人[33]第一次介绍了条件代理重加密（C-PRE）的概念，当且仅当密文满足委托者设置的条件时。
相对于对称体制中的密钥必须保密，非对称密钥体制有一个可公开的公钥为其最大特征，因此也叫公钥密码体制。在非对称密码体制中，不再有加密密钥和解密密钥之分。可以使用公钥加密，而用私钥解密，这多用于保护数据的机密性；也可以用私钥加密而公钥解密，这多用于保护信息的完整性和不可否认性。1976年，公钥密码体制（Public Key Cryptography，PKC）的概念被Diffie和Hellman[2]首次提出。PKC在整个密码学发展历史中具有里程碑式的意义。随后出现了一些经典的公钥密码体制，比如RSA[3]Rabin算法[4]ElGamal[5]密码体制和椭圆曲线密码体制[6][7][8]等。公钥密码体制的安全性依赖于不同的计算问题，其中RSA密码体制基于大整数分解的困难性，而ElGamal密码体制则基于离散对数问题的困难性。
第三阶段：伴随着相关理论的完善，以及由集成电路和因特网推动的信息化工业浪潮，密码学进入了一个全新爆发的时代：研究文献和成果层出不穷，研究的方向也不断拓展，并成为了一个数学、计算机科学、通信工程学等各学科密切相关的交叉学科，同时各种密码产品也走进了寻常百姓家，从原来局限的特殊领域进入了人民群众的生产、生活之中。
数据接收者需要先利用其自身私钥解密出对称密钥，接着再使用得到的对称密钥解密出共享数据。

非对称加密算法（RSA、DSA、ECC、DH）

⾮对称加密算法（RSA、DSA、ECC、DH）⾮对称加密算法 (RSA、DSA、ECC、DH)1.1 概念⾮对称加密需要两个密钥：公钥 (publickey) 和私钥 (privatekey)。

公钥和私钥是⼀对，如果⽤公钥对数据加密，那么只能⽤对应的私钥解密。

如果⽤私钥对数据加密，只能⽤对应的公钥进⾏解密。

因为加密和解密⽤的是不同的密钥，所以称为⾮对称加密。

⾮对称加密算法的保密性好，它消除了最终⽤户交换密钥的需要。

但是加解密速度要远远慢于对称加密，在某些极端情况下，甚⾄能⽐对称加密慢上1000倍。

1.2 特点算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，⽽使得加密解密速度没有对称加密解密的速度快。

对称密码体制中只有⼀种密钥，并且是⾮公开的，如果要解密就得让对⽅知道密钥。

所以保证其安全性就是保证密钥的安全，⽽⾮对称密钥体制有两种密钥，其中⼀个是公开的，这样就可以不需要像对称密码那样传输对⽅的密钥了。

这样安全性就⼤了很多。

1.3 ⼯作原理(1) A 要向 B 发送信息，A 和 B 都要产⽣⼀对⽤于加密和解密的公钥和私钥。

(2) A 的私钥保密，A 的公钥告诉 B；B 的私钥保密，B 的公钥告诉 A。

(3) A 要给 B 发送信息时，A ⽤ B 的公钥加密信息，因为 A 知道 B 的公钥。

(4) A 将这个消息发给 B (已经⽤ B 的公钥加密消息)。

(5) B 收到这个消息后，B ⽤⾃⼰的私钥解密 A 的消息。

其他所有收到这个报⽂的⼈都⽆法解密，因为只有 B 才有 B 的私钥。

1.4 主要算法RSA、Elgamal、背包算法、Rabin、D-H、ECC (椭圆曲线加密算法)。

使⽤最⼴泛的是 RSA 算法，Elgamal 是另⼀种常⽤的⾮对称加密算法。

1.5 应⽤场景(1) 信息加密收信者是唯⼀能够解开加密信息的⼈，因此收信者⼿⾥的必须是私钥。

发信者⼿⾥的是公钥，其它⼈知道公钥没有关系，因为其它⼈发来的信息对收信者没有意义。

elgamal加密算法原理

ElGamal加密算法原理ElGamal加密算法是一种公钥密码体制，由Taher Elgamal在1985年提出。

它基于离散对数问题的困难性，被广泛应用于保护数据的机密性和安全通信。

ElGamal加密算法涉及到两个关键方面：密钥生成和加解密过程。

在下面的内容中，我们将详细介绍这些方面的基本原理。

1. 密钥生成ElGamal加密算法使用一对相关联的公钥和私钥来进行加解密操作。

下面是生成这些密钥的步骤：1.选择一个大素数p作为有限域，以及一个生成元g。

2.随机选择一个整数x（0 < x < p-1），作为私钥。

3.计算y = g^x mod p，并将(x, y, p, g)作为公钥，(x)作为私钥。

在这个过程中，p和g是公开信息，而x是保密的。

2. 加解密过程加密假设Alice想要向Bob发送一条消息m。

下面是Bob使用ElGamal加密算法对消息进行加密的步骤：1.Alice首先获取Bob的公钥信息(y, p, g)。

2.Alice选择一个随机整数k（0 < k < p-1）。

3.Alice计算c1 = g^k mod p，并发送给Bob。

4.Alice计算c2 = (y^k * m) mod p，并发送给Bob。

在这个过程中，c1和c2是加密后的消息，Alice只需要将它们发送给Bob即可。

解密Bob接收到加密后的消息(c1, c2)后，可以使用ElGamal加密算法进行解密。

下面是解密的步骤：1.Bob使用自己的私钥x计算s = c1^x mod p。

2.Bob计算m’ = (s^(-1) * c2) mod p。

最终，Bob可以得到原始消息m’。

3. 安全性分析ElGamal加密算法基于离散对数问题的困难性，具有较高的安全性。

攻击者需要解决离散对数问题才能成功破解加密文本。

然而，在实际应用中，ElGamal加密算法存在一些安全性问题和限制：•密文扩张：加密后的消息长度为明文长度的两倍或更多。

第六讲 Elgaml和ECC与密钥管理

是否模11平方剩余 No No Yes Yes No Yes No Yes Yes No Yes
y
4,7 5,6 2,9 2,9 3,8 2,9
34
Chapter 10 ElGamal and ECC and Key Management
Chapter 10 ElGamal and ECC and Key Management
11
椭圆曲线密码已成为除RSA密码之外呼声最高的公钥密码之一。它密钥短、签名短，软件实现规模小、硬件实现电路省电。普遍认为，160位长的椭圆曲线密码的安全性相当于1024位的RSA密码，而且运算速度也较快。一些国际标准化组织已把椭圆曲线密码作为新的信息安全标准。如，IEEE P1363/D4，ANSI F9.62，ANSI F9.63等标准，分别规范了椭圆曲线密码在Internet协议安全、电子商务、Web服务器、空间通信、移动通信、智能卡 V-1 mod p ＝(UM)V-1 mod p ＝UM（C1 d）-1 mod p ＝UM（（αk）d）-1 mod p ＝UM（（αd）k）-1 mod p ＝UM（（y）k）-1 mod p ＝UM（U）-1 mod p ＝M mod p
Chapter 10 ElGamal and ECC and Key Management
Chapter 10 ElGamal and ECC and Key Management
15
G a k k
G a
Chapter 10 ElGamal and ECC and Key Management
16
椭圆曲线
一般来讲，椭圆曲线的曲线方程是以下形式的三次方程：
Chapter 10 ElGamal and ECC and Key Management

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

1
安全性

破解ElGamal相当于解Diffie-Hellman问题。 ElGamal的安全性依赖于Zp*上的离散对数问题;
在加密过程中，对不同的消息m都应选取不同的随机数k，
否则的话，攻击者可以很容易攻击ElGamal公钥体系。
攻击举例-k
如果k用于多个分块，利用信息的分块m1，攻击者计算
小结
公钥的分配
用公钥实现传统密码体制中秘密钥的分配 Diffie-Hellman密钥交换协议 ElGamal密码体系椭圆曲线密码学
2015/8/12
西安电子科技大学计算机学院
30
KAB= KAB=
2015/8/12
xA yB x yA B
mod 353 = 248 = 160 mod 353 = 40
233
(Alice) (Bob)
8
= 160
西安电子科技大学计算机学院
密钥交换协议
用户在每一次通信时都产生随机的公开的和保密
的DH密钥对
用户产生D-H密钥对，并公开其公钥在一个目录

mod q

每个用户公开其公钥 yA
2015/8/12
西安电子科技大学计算机学院
6
Diffie-Hellman密钥交换

用户A 和 B共享的会话密钥是 KAB:
KAB = α = =
xB yA x yB A xA.xB
mod q
mod q (which B can compute) mod q (which A can compute)
C1,1 k mod q; C2,1 KM1 mod q C1,2 k mod q; C2,2 KM 2 mod q
于是
C2,1 C2,2

KM 1 mod q M 1 mod q KM 2 mod q M 2 mod q
若M1已知，很容易计算M2
M 2 (C2,1 )1 C2,2 M1 mod q
y2＋axy＋by＝x3＋cx2＋dx＋e

其中a、b、c、d、e是满足某个简单条件的实数另有O点被定义为无穷点/零点过P、Q和椭圆曲线相交的第三点的X轴对称点R

点加法P＋Q＝R定义为

EC：P＋Q＝R

EC：P＋P＝2P
2015/8/12
西安电子科技大学计算机学院
21
素域上的EC

kP表示k个P相加：P + P + … + P

在DH密钥交换中使用了y＝gx mod p中x的计算困难性同样在ECC中
将使用Q＝kP中计算k的困难性

有两个应用密钥交换加密解密
使用EC的密钥交换（D-H）

步骤

y2≡x3＋ax＋b mod p 选择素数p(得约160＋比特)和参数a、b 选择一个生成点G＝(x1，y1) p、a、b和点G是公开的 A：选取秘密的数ra，计算Pa＝raG B：选取秘密的数rb，计算Pb＝rbG 交换Pa，Pb A：计算K＝raPb＝rarbG B：计算K’＝rbPa＝rbraG 攻击者得求ra和rb，就是P＝rG中的r
《计算机与网络安全》
Chapter 10
密钥管理和其它公钥密码体制
§10.1 Diffie-Hellman密钥交换

第一个公钥算法
1976由Diffie 和 Hellman 提出 DH算法是一个实用的密钥公开交换的算法算法本身只限于进行密钥交换已应用在许多商业产品中

“New directions in cryptography ”
双方同意使用全局参数 q = 353 和α=3
随机选择一个保密的私钥:
A 选择 xA = 97, B 选择 xB = 233
分别计算各自的公钥:
yA=3 yB=3
97
mod 353 = 40 mod 353 = 248
(Alice) (Bob)
97
233
计算共享的会话密钥:
11
§10.2 ElGamal密码体系

Taher Elgamal在1984和1985年间提出了一种基
于离散对数问题的公钥密码体系，其类似于 Diffie-Hellman的密钥协商协议。
ElGamal算法
2015/8/12
西安电子科技大学计算机学院
13
ElGamal举例-加密
Alice选择XA=5；计算 YA X A mod q 5 mod19 3
Alice的私钥为5；公钥为 {q, , YA } {19,10,3}
假如Bob想将值M=17发送，则作如下计算： • (1) Bob选择 k = 6 • (2) 计算 K (YA )k mod q 36 mod19 729 mod19 7 • (3) 计算 C1 k mod q 106 mod19 11
2015/8/12 西安电子科技大学计算机学院 10
DH交换的中间人攻击
(1) Alice 发送机密消息 M：E(K2，M)； (2) Darth 截获了该消息，解密，恢复出M； (3) Darth 将E(K1，M)或 E (K1，M’)发送给Bob。
2015/8/12
西安电子科技大学计算机学院
ElGamal etc
缺点

需要随机数密文长度加倍
ElGamal可以迁移到ECDLP上
ElGamal签名和DSS
§10.3 椭圆曲了因子分解的困难性，而为了增加困难得加大数的位数，从而导致计算速度变慢。 ECC可以用较小的密钥长度达到较高的计算难度

Elliptic Curve
C2 KM mod q 7 17 mod19 119 mod19 5
• Bob发送密文（11, 5）
ElGamal举例-解密
Alice选择 K (C1 ) X mod q 115 mod19 7
A
1 K 7 mod19 11 在GF(19) 中
1 计算 M (C2 K ) mod q 5 11mod19 17
K2 (YA ) X D 2 mod q
(4) Bob收到YD1，计算
K1 (YD1 ) X B mod q
(5) Bob将YB传给Alice；
(6) Darth截获了YB，将YD2传给Alice，Darth计算
K1 (YB ) X D1 mod q
X (7) Alice收到YD2，计算 K2 (YD 2 ) A mod q

加密（A要给B发送消息）

解密：

同等安全强度下密钥大小的比较
Symmetric scheme
(key size in bits)
ECC-based scheme
(size of n in bits)
RSA/DSA
(modulus size in bits)
56 80 112 128 192 256
112 160 224 256 384 512
512 1024 2048 3072 7680 15360
2015/8/12
西安电子科技大学计算机学院
28
关于速度

速度

在密钥长度相等的情况下，RSA和ECC的速度相当；但是在相同的安全强度要求下，ECC可以使用较少的位数就可以；

故

ECC较好适合嵌入式设备中
2015/8/12
西安电子科技大学计算机学院
2
2015/8/12
西安电子科技大学计算机学院
3
Diffie - Hellman密钥交换

是一个公钥分配方案

不能用于交换任意的消息
只限于进行公共密钥的建立只对通信的双方已知

密钥的值依赖于通信的参与者 (以及他们的私钥和公钥信息）

有限域中的指数运算（模一个素数）是相对容易的，而离散对数的计算是相对困难的。

会话密钥KAB 作为A和 B两个用户在传统密码体制中的共享密钥来使用的可以一直使用前面产生的会话密钥，直到想重新选择新的会话密钥为止。

攻击者需要解出x, 必须求解离散对数。
2015/8/12
西安电子科技大学计算机学院
7
Diffie-Hellman 举例
用户 Alice 和 Bob 想交换密钥:

分析

用EC的加解密(Elgamal)

准备

曲线参数p、a、b、G，y2≡x3＋ax＋b mod p

A有自己的私钥ra，并产生公钥Pa＝raG B有自己的私钥rb，并产生公钥Pb＝rbG
对明文m的编码点Pm，选择随机数k，密文 C＝{C1，C2} ＝ {kG，Pm＋kPb} 编码点Pm＝C2－rbC1，因为＝(Pm＋kPb)－rb×kG ＝Pm＋k×rbG－rb×kG ＝ Pm
中，需要与其进行保密通信时，查询并使用这个目录。
上述两种情况都存在中间相遇攻击认证是需要的
2015/8/12
西安电子科技大学计算机学院
9
DH交换的中间人攻击
(1) Darth生成两个随机数XD1和XD2，随后计算相
应的公钥YD1和YD2；
(2) Alice将YA传递给Bob； (3) Darth截获了YA，将YD1传给Bob，同时计算
2015/8/12
西安电子科技大学计算机学院
4
2015/8/12
西安电子科技大学计算机学院
5