当前位置:文档之家 › 现代密码学09 - 安全协议

现代密码学09 - 安全协议

  • 格式:ppt
  • 大小:1.44 MB
  • 文档页数:76

下载文档原格式

  / 76

合集下载

现代密码学杨波课后习题讲解

现代密码学杨波课后习题讲解

选择两个不同的大素数p和q, 计算n=p*q和φ(n)=(p-1)*(q-1)。 选择整数e,使得1<e<φ(n)且e 与φ(n)互质。计算d,使得 d*e≡1(mod φ(n))。公钥为 (n,e),私钥为(n,d)。
将明文信息M(M<n)加密为 密文C,加密公式为 C=M^e(mod n)。
将密文C解密为明文信息M,解 密公式为M=C^d(mod n)。
课程特点
杨波教授的现代密码学课程系统介绍了密码学的基本原 理、核心算法和最新进展。课程注重理论与实践相结合, 通过大量的案例分析和编程实践,帮助学生深入理解和 掌握密码学的精髓。
课后习题的目的与意义
01 巩固课堂知识
课后习题是对课堂知识的有效补充和延伸,通过 解题可以帮助学生加深对课堂内容的理解和记忆。
不要重复使用密码
避免在多个账户或应用中使用相同的密码, 以减少被攻击的风险。
注意网络钓鱼和诈骗邮件
数字签名与认证技术习题讲
05

数字签名基本概念和原理
数字签名的定义
数字签名的应用场景
数字签名是一种用于验证数字文档或 电子交易真实性和完整性的加密技术。
电子商务、电子政务、电子合同、软 件分发等。
数字签名的基本原理
利用公钥密码学中的私钥对消息进行签 名,公钥用于验证签名的正确性。签名 过程具有不可抵赖性和不可伪造性。
Diffie-Hellman密钥交换协议分析
Diffie-Hellman密钥交换协议的原理
该协议利用数学上的离散对数问题,使得两个通信双方可以在不安全的通信通道上协商出一个共 享的密钥。
Diffie-Hellman密钥交换协议的安全性
该协议在理论上被证明是安全的,可以抵抗被动攻击和中间人攻击。

密码学的基本原理和应用

密码学的基本原理和应用

密码学的基本原理和应用密码学(Cryptology)是研究如何保护信息的学科,它主要涉及到两个方面:加密(Encryption)和解密(Decryption)技术。

加密技术是将明文(Plaintext)转化为密文(Ciphertext),以便在传输时保护信息不被窃取或篡改;解密技术是将密文转化为明文,以便信息接收方能正常理解。

密码学已经成为当今信息时代的重要支撑之一,它的应用范围广泛,从普通的数据传输到电子商务、金融、军事等领域。

本文将介绍密码学的基本原理和应用。

一、密码学的基本原理密码学的基本原理是基于数学的算法来实现加密和解密。

1. 对称加密算法(Symmetric Cryptography)对称加密算法采用同一密钥对明文进行加密和密文进行解密,即接收方和发送方都拥有同样的密钥。

在对称加密算法中,最常见的是DES(Data Encryption Standard)算法。

DES算法是一种基于置换和代换的密码算法,它将64位明文分为两个32位的半块,然后进行16轮的加密和解密,使用密钥可以在加密和解密中完成。

2. 非对称加密算法(Asymmetric Cryptography)非对称加密算法采用两个密钥,一个是公钥(Public Key),一个是私钥(Private Key)。

公钥可以公开,任何人都可以得到,用于加密明文;而私钥是保密的,只有一个人能得到,用于解密密文。

当接收方收到密文时,只有他知道解密的私钥,才可以解密密文。

RSA(Rivest-Shamir-Adleman)算法是一种典型的非对称加密算法,它可以使用1024位或更长的密钥来保证安全性。

3. 哈希算法(Hash Algorithm)哈希算法是一种将任意长度的输入“压缩”为固定长度输出的算法,通常输出长度为128位、160位、256位等。

哈希算法能对任意长度的数据进行不可逆加密,其输出值称为哈希值(Hash Value)。

哈希算法在数字签名、消息鉴别码、密码验证等领域广泛应用,SHA(Secure Hash Algorithm)算法是其中一种。

现代密码学原理与协议课后答案

现代密码学原理与协议课后答案

现代密码学原理与协议课后答案
1.密码学原理:僵尸攻击
答案:僵尸攻击是一种攻击技术,它通过向大量受感染计算机之间传
播恶意软件,将其控制在一个网络中,从而实现攻击者的恶意目的。

2.密码学原理:哈希算法
答案:哈希算法是一种用于验证数据完整性的数学算法,它能够快速
地生成一个固定长度的散列值,这个值反映了输入数据的内容和长度,所
以不同的输入会生成不同的散列值。

3.密码学原理:公钥基础设施
答案:公钥基础设施(PKI)是管理公钥密码学系统中的证书等信息
的独立机构,它保证了数字证书的安全性,同时还保护使用公钥密钥将信
息加密和解密的用户的隐私。

4.密码学原理:数字签名
5.密码学原理:RSA算法
答案:RSA算法是一种非对称密码加密算法,它使用一对相关的密钥
来加密和解密信息,其中一个密钥用于加密信息,另一个则用于解密信息。

6.密码学原理:对称加密
答案:对称加密是一种加密算法,它只使用一个密钥来加密和解密信息。

安全协议有哪些

安全协议有哪些

安全协议有哪些1. 导言在现代信息化社会中,信息安全问题日益突出,各类网络攻击和数据泄露事件层出不穷。

为了保护信息系统和网络的安全,人们设计了各种安全协议。

安全协议是在通信过程中确保信息传输的安全性的一种方式。

本文将介绍几种常见的安全协议。

2. 对称加密协议对称加密协议是指通信双方使用相同的密钥进行加密和解密的协议。

常见的对称加密算法有DES、AES等。

2.1. DES(Data Encryption Standard)DES是一种对称加密算法,使用56位密钥对64位的数据进行加密和解密。

由于DES的密钥长度较短,容易被暴力破解,因此现在已经不再被广泛使用。

2.2. AES(Advanced Encryption Standard)AES是一种对称加密算法,使用128位、192位或256位密钥对数据进行加密和解密。

AES具有较高的安全性和性能,目前被广泛应用于各种领域。

3. 非对称加密协议非对称加密协议是指通信双方使用不同的密钥进行加密和解密的协议。

常见的非对称加密算法有RSA、Diffie-Hellman等。

3.1. RSARSA是一种非对称加密算法,通过生成一对公钥和私钥来实现加密和解密。

公钥用于加密数据,私钥用于解密数据。

RSA算法具有较高的安全性,广泛应用于数字签名、密钥交换等领域。

3.2. Diffie-HellmanDiffie-Hellman是一种密钥交换协议,用于在不安全的通信渠道上安全地交换密钥。

该协议利用了离散对数问题的困难性,使得通信双方可以协商出一个共享密钥,用于后续的加密通信。

4. 散列函数和消息认证码协议散列函数和消息认证码协议用于保证数据的完整性和真实性。

4.1. 散列函数散列函数是一种将任意长度的数据映射为固定长度摘要的函数。

常见的散列函数有MD5、SHA-1等。

散列函数具有单向性和抗碰撞性,被广泛用于数字签名、消息认证等领域。

4.2. 消息认证码消息认证码是一种用于验证消息真实性的技术。

密码学专业主干课程

密码学专业主干课程

密码学专业主干课程摘要:一、引言二、密码学概述1.密码学定义2.密码学发展历程三、密码学专业主干课程1.密码学基础课程2.密码学进阶课程3.密码学应用课程四、课程举例与介绍1.密码学基础课程举例与介绍2.密码学进阶课程举例与介绍3.密码学应用课程举例与介绍五、结论正文:【引言】密码学是一门研究信息加密与解密、保证信息安全的学科,随着信息化时代的到来,密码学在信息安全、电子商务等领域具有重要的应用价值。

密码学专业因此应运而生,培养具备密码学理论基础和实践能力的高级人才。

本文将介绍密码学专业的主干课程,以帮助大家了解该专业的学习内容。

【密码学概述】密码学是研究加密与解密方法、破译与防护手段的一门学科。

其发展历程可追溯到古代的密码传递,如古希腊的斯巴达加密法。

随着科技的发展,现代密码学涉及到数字、编码、序列、图像等多个领域。

【密码学专业主干课程】密码学专业主干课程可以分为三类:密码学基础课程、密码学进阶课程和密码学应用课程。

【密码学基础课程】密码学基础课程主要包括:1.数学基础:高等数学、线性代数、概率论与数理统计等。

2.计算机科学基础:计算机原理、数据结构、算法分析等。

3.密码学基础:密码学原理、对称加密、非对称加密、哈希函数等。

【密码学进阶课程】密码学进阶课程主要包括:1.密码学分支:分组密码、序列密码、公钥密码、量子密码等。

2.安全协议:身份认证、加密协议、签名协议等。

3.密码学理论:信息论、复杂度理论、密码学数学基础等。

【密码学应用课程】密码学应用课程主要包括:1.网络安全:网络攻防、入侵检测、安全体系结构等。

2.应用密码学:数字签名、电子商务、移动通信安全等。

3.密码学实践:密码学实验、密码算法实现、安全系统设计等。

【课程举例与介绍】【密码学基础课程举例与介绍】1.高等数学:为密码学提供必要的数学基础,如代数、微积分等。

2.密码学原理:介绍密码学基本概念、加密解密方法等。

【密码学进阶课程举例与介绍】1.分组密码:研究将明文分成固定长度组进行加密的方法。

现代密码学(谷利泽)课后题答案

现代密码学(谷利泽)课后题答案

《现代密码学习题》答案第一章判断题×√√√√×√√选择题1、1949年,( A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。

A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由( D)决定的。

A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是( B )。

A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握的分析资料的不通,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是( D )。

A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击填空题:5、1976年,W.Diffie和M.Hellman在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。

6、密码学的发展过程中,两个质的飞跃分别指 1949年香农发表的保密系统的通信理论和公钥密码思想。

7、密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分析学。

8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成的。

9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和非对称。

10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。

第二章判断题:×√√√选择题:1、字母频率分析法对(B )算法最有效。

A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。

A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对(C)算法的破解最有效。

《现代密码学》教学大纲


动、答疑模块。
六、考核方式
闭卷笔试,课程作业、实验成绩、课堂表现、考勤。
七、成绩评定方法
期末笔试成绩占 80%,平时成绩占 20%(根据课程作业、实验成绩、课堂表现、
考勤等)。
八、主要参考书籍
1.谷利泽,郑世慧,杨义先. 现代密码学教程. 北京邮电大学出版社,2015.3
(教材)。
2.B. Schneier. Applied cryptograghy second edition: protocols, algorithms, and
题;
1.2 具有扎实的专业基础理论,包括信息论与编码、密码学原理、信息
目标 5 安全数学基础、计算机网络技术等,能够用其解决信息安全相关领域
H
的复杂工程问题;
4.5 能正确采集、整理实验和模拟数据,对实验及模拟结果进行关联、 M
建模、分析处理,获取果进行关联、 H
source code in C. NewYork: John Wiley & Sons, 1996. 中译本: 吴世忠, 祝世雄, 张文
政译。
3.马春光. 现代密码学教程, 哈尔滨工程大学自编讲义。
大纲编写者:方贤进,xjfang@, /~xjfang/crypto/
一、教学目标
通过本课程的理论教学及实验训练,使学生具备以下知识和能力:
目标 1:掌握密码学与信息安全的关系、信息安全的目标(5 要素);掌握现代
密码学的研究内容与体系结构;掌握保密系统的模型及安全性、认证系统的模型及
安全性。
目标 2:掌握古典密码体制中的两种方法:置换密码与代换密码;掌握古典密
码分析方法,能使用“拟重合指数法”对“多表代换加密”实行“唯密文攻击”。

《现代密码学》练习题(含答案)

《现代密码学》练习题(含答案)一、填空题(每空1分,共7分)1. 加密算法的功能是实现信息的保密性。

2. 数据认证算法的功能是实现数据的完整性即消息的真实性。

3. 密码编码学或代数中的有限域又称为伽罗华(Galois)域。

记为GF(pn)4. 数字签名算法可实现不可否认性即抗依赖性。

信息安全基本要求:可用性、保密性、完整性、不可否认性、可控性、真实性。

5. Two-Track-MAC算法基于带密钥的RIPEMD-160。

密钥和输出MAC值都是20B6. AES和Whirlpool算法是根据宽轨迹策略设计的。

7. 序列密码的加密的基本原理是:用一个密钥序列与明文序列进行叠加来产生密文。

8. Rabin密码体制是利用合数模下求解平方根的困难性构造了一种非对称/公钥/双钥密码体制。

1. 现代对称密码的设计基础是:扩散和混淆。

2. 加密和解密都是在密钥控制下进行的。

3. 在一个密码系统模型中,只截取信道上传送信息的攻击方式被称为被动攻击。

4. Caesar密码体制属于单表代换密码体制。

(字母平移)5. 尽管双重DES不等价于使用一个56位密钥的单重DES,但有一种被称为中途相遇攻击的破译方法会对它构成威胁。

(成倍减少要解密的加密文本)6. 设计序列密码体制的关键就是要设计一种产生密钥流的方法。

2. 椭圆曲线密码是利用有限域GF(2n)上的椭圆曲线上点集所构成的群上定义的离散对数系统,构造出的公钥/非对称密码体制。

3. 在公钥密码体制中,加密密钥和解密密钥是不一样的,加密密钥可以公开传播而不会危及密码体制的安全性。

2. 密码学上的Hash函数是一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。

3. 数字签名主要是用于对数字消息进行签名,以防止消息的伪造或篡改,也可以用于通信双方的身份认证。

2. CTR/计数器加密模式与CBC认证模式组合构成CCM模式;GMAX算法与CTR加密模式组合构成GCM模式。

现代密码学范畴

现代密码学范畴
现代密码学是一门研究和应用于保护信息安全的学科,其范畴包括以下几个方面:
1. 对称密码学:研究加密算法中的密钥管理,包括数据加密和解密。

2. 非对称密码学:研究使用公钥和私钥进行加密和解密的算法,也称为公钥密码学。

3. 消息认证码(MAC):用于验证消息的完整性和真实性,
防止数据被篡改。

4. 数字签名:用于验证消息或文档的发信人身份,并确保消息的完整性和真实性。

5. 密码协议:研究通过密码控制通信过程中的安全性。

6. 认证和访问控制:研究证实用户身份,并控制其对系统或资源的访问权限。

7. 安全协议和协议分析:研究设计安全协议以及对现有协议进行分析和改进。

8. 密码算法设计与分析:研究设计新的密码算法并评估其安全性,以及分析现有算法的强弱点。

9. 密码学理论:研究密码学的数学基础,如复杂性理论、概率论和代数等。

现代密码学的范畴不仅仅局限于上述几个方面,随着信息技术的不断发展,还涉及到密码学与计算机科学、网络安全、量子密码学、生物密码学等多个交叉学科的应用和研究。

《安全协议分析》课程教学大纲

《安全协议分析》课程教学大纲课程名称安全协议分析课程编码131530028 课程类型(学院内)跨专业课程适用范围信息安全学分数 2 先修课程密码学原理、信息论学时数32 其中实验学时其中实践学时考核方式考查制定单位数学与信息科学学院执笔者审核者一、教学大纲说明(一)课程的性质、地位、作用和任务《安全协议分析》是信息安全专业学生应该掌握的一门基本技术。

随着计算机技术和网络的快速发展,电子商务和电子政务的遍及,协议的安全性成为重点研究课题。

通过对这门课的学习,培养具有安全协议的理论知识,能够掌握设计安全协议的基本理论、方法与技能,能解决网络中实际应用问题的高级理论研究型人才和技术型人才。

(二)课程教学的目的和要求本课程通过网络中各种安全协议与技术的学习,掌握网络安全的基本概念及基本技术,以及根据不同的环境和业务需求,灵活运用不同的网络安全技术,保护网络的可控性和可用性,保障信息的机密性和完整性。

了解:协议安全分析的重要性。

理解:网络安全提供的服务和各种安全技术,系统地介绍网络层、传输层及应用层的各种安全协议,其中包括IPSec、SSL/TLS和PGP、SSH等,介绍公钥基础设施(PKI)和虚拟专网(VPN)技术。

掌握:网络安全的基本知识和基本理论,网络层安全协议IPSec和IPSec VPN。

(三)课程教学方法与手段本课程采用教师讲授、学生自学相结合的方式。

其手段有:1:利用网络资源、多媒体等教学手段为教学服务,结合相关知识进行讲解;2:详细讲解相关内容,引导学生对此进行深入的思考与分析,勇于单独发表自己的间接;3:课前安排学生查找相关资料,课后布置作业,理论与实践相结合,让学生体会并领略安全协议,对协议的安全性有更深刻的认识;4:引导学生进行创新思维,力求提出新见解。

(四)课程与其它课程的联系在学习本课程之前,学生应该学习《密码学原理》、《信息论和编码》、《计算机网络》等课程。

(五)教材与教学参考书教科书:网络安全基础教程:应用与标准(影印版),清华大学出版社 2002参考书:Network Security Essentials:Applications and Standards , William Stallings , Prentice HallIPSec VPN 的安全实施,(美)Carlton R. Davis著,周永彬、冯登国等译清华大学出版社,2002二、课程的教学内容、重点和难点第一章:综述1.网络安全概述2.网络参考模型—OSI7层模型和TCP/IP模型3.网络各层相关的安全协议概述4.加密与认证技术基础重点:网络参考模型—OSI7层模型和TCP/IP模型第二章:公钥基础设施PKI1.PKI基本概念;2.PKI中常用的密码技术;3.PKI体系结构;4.PKI功能操作;5.PKI体系的互通性与标准化。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
协议的其他特点
① 参与者必须了解协议,并且预先知道所要完成的所有步骤 ② 参与者必须同意遵循协议 ③ 每一步必须明确定义,并且不会引起误解 ④ 必须是完整的,对每种可能的情况必须规定具体的动作
6
协议很复杂
• 协议必须把所有 不利条件 事先都估计到,而 不能假定 一切都是正 常的和非常理想的。
• 看一个协议是否正确,不能光看在正常情况下是否正确,而且还必须 非常仔细地检查这个协议 能否应付各种异常情况。
18
安全协议设计与分析的困难性
① 安全目标本身的微妙性 – 表面上十分简单的目标,实际上十分微妙
② 运行环境的复杂性 – 实际上,当安全协议运行在一个十分复杂的公开环境时,攻击者 处处存在
③ 攻击者模型的复杂性 – 必须形式化地描述攻击者的能力,对攻击者和攻击行为进行分 类和形式化的分析
④ 安全协议本身具有“高并发性”
– 内部/外部攻击者 – 被动/主动攻击者 • 可信第三方(TTP, Trusted Third Party) – 用户都信任的实体,通常与每个用户共享密钥 – 功能:使用户之间确认彼此身份 或 共享会话密钥
14
Dolev-Yao攻击者模型
在设计和分析安全协议时,必须明确一点: 攻击者能做哪些事,不能做哪些事
49
② 重构f(x)
给定k1=8,k3=10,k5=11,重构如下:
f (x) 8 (x 3)(x 5) 10 (x 1)(x 5) 11 (x 1)(x 3) (1 3)(1 5) (3 1)(3 5) (5 1)(5 3)
45
• 方案描述 ① 分割秘密
– 设待共享秘密为K,令a0= K – 随机产生m-1次多项式
f(x) = (am-1xm-1 + … + a1x+ a0) mod p – 依次计算 ki= f(xi),i =1, …, n
• 易知K=f(0),且每一对(xi,ki)都是f(x)函数曲线上的一个点 – ki是每个参与者的share, 必须保密(xi无需保密)
17
• 在现实世界中, – 你会交给陌生人一叠现金替你买东西吗? – 你没看到别人洗牌和发牌,会和他玩三国杀吗? – 没有匿名的保证,你会在选举中投反对票吗?
• 网络上的协议参与者可能是完全信任的人,也可能是攻击者和完全 不信任的人。
• 假设使用网络的人都是诚实的想法,是天真的。天真的想法还有: – 假设网管是诚实的,假设网络设计者是诚实的。
19
好的安全协议应满足的条件
① 满足目标(应用目标,安全目标) ② 易于实现 ③ 各参与者所需计算量小、存储量小 ④ 通信负载小(延迟小,占用带宽小) ⑤ 交互轮数少
20
9.2 认证协议
21
认证的分类
实体认证
(身份认证)
数据源认证
(消息认证)
确认通信实体的真实身份
确认数据发送者的真实身份
22
实体认证
– 再将用户名和口令传送到服务器进行认证 • 应用方便,安全保护对用户透明
– 比如:用浏览器登录电子邮件服务器
35
• 点击“登录”,浏览器地址栏会闪过一个以“https”开头 的地址,这说明正用SSL安全连接传送用户名和口令
36
实体认证 have sth.
• 存储卡:在磁卡上保存用户信息;与PIN配合使用 • 智能卡:由一个或多个集成电路芯片组成,包含CPU和存储器,具有
• 目的 • 向别人证明你是谁? • 弄清楚他是谁?
23
实体认证
• 实体认证可分为: ① 单向认证:通信一方认 证另一方的身份 ② 双向认证:通信双方彼 此认证身份
24
实体认证
• 方法 ① Know sth: 他知道什么可用于识别他的东西? ② Have sth:他拥有什么可用于识别他的东西? ③ Be sth:他有什么特征?

31
实体认证 know sth: 一次性口令机制
• 为防范在线窃听口令,可使用一次性口令机制 – 每次认证使用不同的口令
• 要求用户和系统共享很多口令 • 但管理和保护大量的口令在技术上很困难 • 为克服这一缺点,Lamport提出利用多次Hash的方法实现一次性口
令机制
32
实体认证 know sth: Lamport的一次性口令机制
33
• Lamport方案的缺点 – 必须保持同步 – 但可能因为不可靠信道或死机出现丢失同步的情况(有可能是攻 击者的破坏所致)
34
实体认证 know sth: 利用SSL建立安全信道传输口令
• 在WEB应用中,可以利用SSL建立安全信道,再进行基于口令的认证 • 方法
– 先使用HTTPS协议,与服务器建立安全连接(服务器必须支持 HTTPS)
考虑不利条件
能否应付 异常情况
不能假定 一切正常
7
明日正午进攻,如何?
同意
收到“同意” 这样的协议无法实现!

收到:收到“同意”

两军问题(拜占庭将军问题)
8
• 结论 – 这样无限循环下去,两边的蓝军都始终无法确定自己最后发出的 电文对方是否已经收到。 – 没有一种协议能使蓝军 100% 获胜。
现代密码学
林喜军
中国海洋大学 信息安全实验室
9 第 章
安全协议
2
本章内容
9.1 安ห้องสมุดไป่ตู้协议概述 9.2 认证协议 9.3 秘密共享 9.4 零知识证明
3
9.1 安全协议概述
4
什么是协议 两个或两个以上的参与者为完成某项特定任务而采取的一系列步骤
• 在日常生活中,几乎所有的事情都有非 正式的协议
③ 恢复秘密K=f(0)
47
• 安全性原理 – 对于m-1次多项式,只需给出m个点就可以唯一地重构,少于m个 share则不能。 – 由此保证K可从m个share中获得,而少于m个办不到。
48
• 举例:(3,5)的门限方案 – 设 m = 3,n = 5,p = 17,K = 13,
① 分割秘密 – 构造随机多项式 f(x)=(2x2 +10x +13) mod 17 – k1 = f(1) = (2+10+13) mod 17 = 8 – k2 = f(2) = (8+20+13) mod 17 = 7 – k3 = f(3) = (18+30+13) mod 17 = 10 – k4 = f(4) = (32+40+13) mod 17 = 0 – k5 = f(5) = (50+50+13) mod 17 = 11 – k1,…,k5便是share, 每个用户一人一个
有些问题考虑太全面 则无法解决
9
《庄子·盗跖》:尾生与女子 期于梁下,女子不来,水至不 去,抱梁柱而死。
有些问题考虑不全面 会导致严重后果
10
什么是安全协议 又称密码协议,使用密码技术完成某项特定任务,并满足安全需
求的协议。 在安全协议中,经常使用对称密码、公钥密码、Hash函数、伪随
机序列发生器等密码工具。
• 简单有效,广泛应用于各种系统中 – UNIX:使用DES代替Hash函数 – Discuz! ……
30
username password
H
Alice 6tT$^2%%
比较
• 缺点 – 无法防范攻击者在线窃听口令 – 无法防范离线字典攻击
数据库
用户名
zhang Alice

口令散列值
xtR$^42@ 6tT$^2%%
– 电话订货
– 下棋、玩扑克
– 选举投票
• 没有人认真考虑过这些协议,它们随时
间的推移而发展,人们都知道怎样使用
它们,而且它们也很有效
5
协议的主要特点
① 协议自始至终是个有序的过程,每个步骤必须执行,在前一步没 有执行完之前,后面的步骤不可能执行
② 协议至少需要两个参与者 ③ 通过协议必须能够完成某项任务
46
② 重构f(x) 给定k1,k2,…,km共m个share,对应的分别是x1,x2,…,xm。f(x)可由拉格 朗日插值多项式给出:
f (x) m ki (x x1)L(x xi1)(x xi1)L(x xm ) mod p i1 (xi x1)L(xi xi1)(xi xi1)L(xi xm )
• 如何解决 —— 秘密共享技术
41
• 秘密共享是什么 – 将秘密分割存储的密码技术
• 秘密共享的目的 – 防止秘密过于集中,以达到分散风险和容忍入侵的目的
42
门限方案 解决秘密共享问题最常用的方法
• 提出时间 – Shamir 1979年
• (m,n) 门限方案 – 将秘密SK拆成n份 – 任意m(m≤n)份或更多份都可以恢复SK – 任何少于m份都不能得到关于SK的任何有用信息 – 其中,每一份都称为一个share (或 shadow)
43
SK
SK1
SK2
SK3
SK4
SK5
SK
SK
(3,5)门限方案
44
Shamir的门限方案 基于拉格朗日插值多项式
• 拉格朗日插值多项式 给定有限域Fp中互不相同的整数x1,…,xn+1,和任意不全为零的整数 k1,…,kn+1,公式
f (x) n1 ki (x x1)L(x xi1)(x xi1)L(x xn1) mod p i1 (xi x1)L(xi xi1)(xi xi1)L(xi xn1) 满足f(xi)=ki,i=1,…,n+1 f(x)是一个n次多项式,称为拉格朗日插值多项式
15
• 攻击者能做到的事: – 能截获经过网络的任何消息 – 以合法参与者身份,发起与任何用户的对话 – 有机会成为任何主体发出消息的接收者 – 能够冒充任何别的主体给任意主体发消息