当前位置:文档之家 › (中文版)第三章_公钥加密和消息认证

(中文版)第三章_公钥加密和消息认证

  • 格式:ppt
  • 大小:697.00 KB
  • 文档页数:53

下载文档原格式

  / 53

合集下载

第三章信息认证技术

第三章信息认证技术

第5讲 认证
加强口令安全的措施: A、禁止使用缺省口令。 B、定期更换口令。 C、保持口令历史记录,使用户不能循环使用 旧口令。 D、用口令破解程序测试口令。
第5讲 认证
2、口令攻击的种类
计算资源依靠口令的方式来保护的脆弱性:
网络数据流窃听。由于认证信息要通过网络传 递,并且很多认证系统的口令是未经加密的明 文,攻击者通过窃听网络数据,就很容易分辨 出某种特定系统的认证数据,并提取出用户名 和口令。口令被盗也就是用户在这台机器上的 一切信息将全部丧失,并且危及他人信息安全, 计算机只认口令不认人。最常见的是电子邮件 被非法截获。
认证服务器(Authentication Server)
负责进行使用者身份认证的工作,服务器上存放使用者 的私有密钥、认证方式及其他使用者认证的信息。
认证系统用户端软件(Authentication Client Software) 认证系统用户端通常都是需要进行登陆(login)的设备或 系统,在这些设备及系统中必须具备可以与认证服务器 协同运作的认证协定。
第5讲 认证
1.选择很难破译的加密算法
让硬件解密商品不能发挥作用。
2.控制用户口令的强度(长度、混合、大小写)
3.掺杂口令
先输入口令,然后口令程序取一个 12 位的随 机数(通过读取实时时钟)并把它并在用户输入 的口令后面。然后加密这个复合串。最后把 64 位的加密结果连同 12 位的随机数一起存入 口令文件。
信息安全概论
信息认证技术
信息认证技术
验证信息的发送者是否是合法的,即实体认证, 包括信源、信宿的认证与识别。
数字签名 身份识别技术
验证消息的完整性以及数据在传输和存储过程中 是否会被篡改、重放或延迟。

消息认证

消息认证

• 攻击者如何用强力攻击方法攻击MAC?
假设:用户A和B通信时没有增加保密性实现,攻击者可以看到 明文, k > n (k为密钥长度位数,n为MAC长度位数) 给定:M1和MAC1, MAC1= CK1(M1) 密码分析员可以计算MACi = CKi(M1) 对所有可能的Ki,至少有一 个Ki保证产生 MACi = MAC1 注意:总共会产生2k个MAC结果,但只有2n< 2k个不同的MAC 值,因此,有若干个key将产生相同的MAC,而攻击者无法确 定哪一个是正确的key。 平均来说, 2k/2n= 2(k-n)个key将产生匹配的MAC,所以,攻击 者需要循环多次攻击,以确定K: 第一轮:给定 M1和MAC1= CK(M1),对所有2k个key,计算 MACi = CKi(M1) ,匹配的数量 2(k-n) 第二轮:给定 M2和MAC2= CK(M2),对所有2(k-n)个key,计算 MACi = CKi(M2) ,匹配的数量 2(k-2n)
散列函数的基本用法(a、b)
Provides confidentiality -- only A and B share K Provides authentication -- H(M) is cryptographically protected
Provides authentication -- H(M) is cryptographically protected
问题
• 若对相当长的文件通过签认证怎么办?如一 个合法文件有数兆字节长。自然按64比特分划 成一块一块,用相同的密钥独立地签每一个块。 然而,这样太慢。
解决办法
• 解决办法:引入可公开的密码散列函数(Hash function)。它将取任意长度的消息做自变量,结果产 生规定长度的消息摘要。[如,使用数字签名标准DSS, 消息摘要为160比特],然后签名消息摘要。对数字签 名来说,散列函数h是这样使用的: 消息: x 任意长 消息摘要: Z=h(x) 160bits 签名: y=sigk(Z) 320 bits (签名一个消息摘要) • 验证签名:(x,y),其中y= sigk(h(x)),使用公开的散列函 数h,重构作Z =h(x)。然后Verk(y)=Z,来看Z=Z'

lecture03-公钥加密与hash函数

lecture03-公钥加密与hash函数
(2)密钥必须通过某一信道协商,对这个信道的安全性 的要求比正常的传送消息的信道的安全性要高 (3)数字签名的问题:传统加密算法无法实现抗抵赖的 要求。
3
公钥密码体制的基本原理

起源:

公钥密码又称为双钥密码和非对称密码,是 1976年由Diffie和Hellman在其“密码学新方 向”文中提出的,见划时代的文献:

如果接收方计算的MAC与收到的MAC匹配,则

接收者可以确信消息M未被改变 接收者可以确信消息来自所声称的发送者 如果消息中含有序列号,则可以保证正确的消息顺序

MAC函数类似于加密函数,但不需要可逆性。因 此在数学上比加密算法被攻击的弱点要少
25
MAC的基本用法(a,b)

A→B: M || CK(M)提供认证但不能提供保密性

A→B: EK2 [M || CK1(M)] 提供认证和保密性, 加密算法在MAC之后
26
MAC的基本用法(c)

A→B: EK2 [M] || CK1(EK2 [M]) 提供认证和保密性,加密算法在MAC之前
27
讨论:

对称加密可以提供认证为什么还要使用分离 的消息认证?



后者适用于将同一消息广播给很多接受者。 消息通信过程中,接受方负荷很大,没有时间 解密收到的消息,可以随机的选择性的对消息 认证。 对明文形式的计算机程序进行认证是一种很有 意义的服务。有些应用关心的是消息的认证而 不是保密性。 认证和保密性分离开,可使层次结构更加灵活。 可以延长对消息的保护时间。
22
消息认证

认证的主要目的有两个方面:


第一,验证信息的发送者是真正的,而不是冒充的,此 为信源识别; 第二,验证信息的完整性,在传送或存储过程中未被篡 改,重放或延迟等。

共享密钥认证原理和示例

共享密钥认证原理和示例

共享密钥认证(Symmetric Key Authentication)是一种加密通信中常见的认证方法,它基于一个前提:通信双方事先共享一个秘密密钥。

这个秘密密钥用于在通信的过程中验证对方的身份,确保信息的安全性。

共享密钥认证原理与示例如下:共享密钥认证原理:1. 密钥分发:在通信双方开始交换信息之前,需要通过某种安全的方式共享一个密钥。

这个过程称为密钥分发。

2. 生成认证数据:在发送消息时,发送方会使用共享密钥对信息生成认证数据,这通常是通过某种形式的加密或哈希函数完成的。

例如,发送方可以计算消息的加密哈希(例如使用HMAC),其中包括共享密钥和消息内容。

3. 验证认证数据:接收方收到消息和随附的认证数据后,将使用相同的共享密钥和相同的加密或哈希函数对收到的消息内容进行处理,以生成一个本地的认证数据。

4. 比较认证数据:接收方比较本地生成的认证数据与发送方提供的认证数据。

如果两者一致,说明消息未被篡改,并且确实是由拥有共享密钥的合法发送方发送的。

共享密钥认证示例:假设Alice和Bob有一个前面通过安全通道共享的密钥,密钥为`K`。

Alice想要向Bob发送一条消息`M`,并使用共享密钥`K`进行认证。

1. 生成认证数据:Alice计算消息`M`的HMAC值(或者其他加密哈希值),使用密钥`K`和消息`M`作为输入。

认证数据(或者说MAC - Message Authentication Code),表示为`MAC(K, M)`。

2. 发送消息和认证数据:Alice将消息`M`和`MAC(K, M)`一起发送给Bob。

3. Bob验证消息:Bob接收到消息`M`和`MAC(K, M)`。

使用相同的HMAC函数和共享密钥`K`对消息`M`计算出一个本地的MAC值,表示为`MAC'(K, M)`。

4. 比较并认证:Bob比较`MAC'(K, M)`和Alice发送过来的`MAC(K, M)`。

信息安全技术与实践习题答案第3-4章

信息安全技术与实践习题答案第3-4章

1、消息认证是验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改,即验证消息的发送者是真正的而非假冒的(数据起源认证);同时验证信息在传送过程中未被篡改、重放或延迟等。

消息认证和信息保密是构成信息系统安全的两个方面,二者是两个不同属性上的问题:即消息认证不能自动提供保密性,保密性也不能自然提供消息认证功能。

2、消息鉴别码(Message Authentication Code )MAC是用公开函数和密钥产生一个固定长度的值作为认证标识,并用该标识鉴别信息的完整性。

MAC是消息和密钥的函数,即MAC = C K(M),其中M是可变长的消息,C 是认证函数,K是收发双方共享的密钥,函数值C K(M)是定长的认证码。

认证码被附加到消息后以M‖MAC方式一并发送给接收方,接收方通过重新计算MAC以实现对M的认证。

3、数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。

接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,并与解密的摘要信息进行对比,若相同则说明收到的信息完整,在传输过程中未被修改;否则说明信息被修改。

1)签名应与文件是一个不可分割的整体,可以防止签名被分割后替换文件,替换签名等形式的伪造。

2)签名者事后不能否认自己的签名。

3)接收者能够验证签名,签名可唯一地生成,可防止其他任何人的伪造。

4)当双方关于签名的真伪发生争执时,一个仲裁者能够解决这种争执。

4、身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。

它通过特定的协议和算法来实现身份认证。

身份认证的目的是防止非法用户进入系统;访问控制机制将根据预先设定的规则对用户访问某项资源进行控制,只有规则允许才能访问,违反预定安全规则的访问将被拒绝。

访问控制是为了防止合法用户对系统资源的非法使用。

5、1)基于口令的认证技术:当被认证对象要求访问提供服务的系统时,提供服务的认证方要求被认证对象提交口令信息,认证方收到口令后,将其与系统中存储的用户口令进行比较,以确认被认证对象是否为合法访问者。

第03章 信息加密技术综述(1)

第03章 信息加密技术综述(1)
用随机替换,则在某个明文消息中,每个A可以换成B-Z的任意字母,
B也可以换成A或C-Z的任意字母,等等(注意不要重复替换,例如A对
应C和H,这样解密无法进行)。
数学上,现在可以使用26个字母的任何置换与组合,从而得到
25*24*23*…*2=25!种可能的替换方法
这么多的组合即使利用最先进的计算机也需要许多年才能破解开,解
信息推导。密码分析者获得一些有关密钥或明文的信息。
第三章
信 息 加 密 技 术 概 述
田立勤
加密安全程度:无条件(理论)安全
一个加密算法是无条件安全的,如果无论敌手截获多少密
文、花费多少时间,都不能解密密文。
Shannon指出,仅当密钥至少和明文一样长时,才能达到
无条件安全。也就是说除了一次一密方案外 ,再无其他加
密方案是无条件安全的
第三章
信 息 加 密 技 术 概 述
田立勤
加密安全程度:计算上安全的
加密算法只要满足以下两条准则之一称为计算上安全的: ① 破译密文的代价超过被加密信息的价值。 ② 破译密文所花的时间超过信息的有用期。
第三章
信 息 加 密 技 术 概 述
田立勤
加密基本技术:替换技术与置换技术
信 息 加 密 技 术 概 述
田立勤
保密通信系统
它由以下几部分组成:
(1)明文消息空间M,
(2)密文消息空间C
(3)密钥空间K1
(4)密钥空间K2,在单钥体制下K1=K2=K,此时密钥K需经
安全的密钥信道由发送方传给接收方;
(5)加密变换Ek1:M→C,其中k1∈K1,由加密器完成;
(6)解密变换Dk2:C→M,其中k2∈K2,由解密器实现。

第5讲 消息认证


十进制移位加MAC算法
第 P1=9359354506
+ x2=5283586900
Q1=8217882178
+ x2=5283586900


P1+x2=4642941406
Q1+x2=3501469078
+R(8)(P1+x2)=4294140646 +R(9)(Q1+x2)=5014690783 P2=8937082052 …. …. Q2=8516159861
第5讲
消息认证
1
5.1 基本概念
1. 报文鉴别(消息认证)的概念
消息认证(Message Authentication)
Message:消息、报文。
Authentication: 鉴别、认证。
认证:消息的接收者对消息进行的验证。
真实性:消息确实来自于其真正的发送者,而非假冒;
完整性:消息的内容没有被篡改。
设计MAC函数的要点
如果攻击者得到一个 M 及其对应的 MAC,那么他试图构造 一个消息 M’ 使得 MAC’ = MAC 在计算上应该是不可行的。 MAC 函数应是均匀分布的,即随机选择消息 M 和 M’, MAC = MAC’ 的概率应是 2-n,其中 n 是 MAC 的位数。 令 M’ 为 M 的某些已知变换,即:M’ = f (M),应保证在这 种情况下,MAC = MAC’ 的概率为 2-n。
MAC = CK(M)
MAC被附加在消息中传输,用于消息的合法性鉴别。
消息认证码用于认证
K MAC M C C
A和B共享密钥K A计算MAC=Ck(M),
比较
MAC

第3讲 公钥密码和消息认证-(1)消息认证方法


2
3.1 消息认证方法
加密可以防止被动攻击(窃听)。
消息认证可以检测主动攻击(伪造数据和业 务)。
认证包括:
•验证消息的内容有没有被篡改 •验证消息的来源是否可信 •验证消息的时效性(消息有没有被认为地延迟或重放) •两个实体之间消息流的相对顺序
3
网络与信息安全
3
消息内容认证
• 消息内容认证常用的方法:
②冒充攻击 •攻击者冒充合法用户发布虚假消息。 •为避免这种攻击可采用身份认证技术。
③重组攻击
•把以前协议执行时一次或多次传输的信息重新组合进行攻击。 •为了避免这类攻击,把协议运行中的所有消息都连接在一起。
④篡改攻击 •修改、删除、 添加或替换真实的消息。 •为避免这种攻击可采用消息认证码MAC或hash函数等技术。
网络与信息安全
8
方法二:非加密算法的消息认证
• 不依赖于加密算法,都会生成认证标签, 并附在消息的后面进行传输。消息本身并 不会被加密,因此不提供消息的保密性。
• 通常消息认证和消息加密是两个独立的功 能,但在一些特殊场景下可以将两者结合 起来使用。
网络与信息安全
9
消息认证码
• MAC(Message authentication code)
• 另一种是通信双方事先约定各自发送消息所使用的通行字 ,发送消息中含有此通行字并进行加密,接收者只需判别 消息中解密的通行字是否等于约定的通行字就能鉴别发送 者。为了安全起见,通行字应该是可变的。
网络与信息安全
5
消息序号和操作时间的认证
• 消息的序号和时间性的认证主要是阻止消 息的重放攻击。
• 常用的方法有消息的流水作业、链接认证 符随机数认证和时间戳等。

自考计算机网络安全复习资料(第三章 信息加密与PKI)

11、简述PKI的功能模块组成。
主要包括认证机构CA、证书库、密钥备份、证书作废处理系统和PKI应用接口系统等。①认证机构CA②证书库③证书撤销④密钥备份和恢复⑤自动更新密钥⑥密钥历史档案⑦交叉认证⑧不可否认性⑨时间戳⑩客户端软件
12、通过学习,你认为密码技术在网络安全实践中还有哪些应用领域?举例说明。(P76)
4、选择凯撒(Caesar)密码系统的密钥k=6。若明文为caesar,密文是什么。密文应为:igkygx
5、DES加密过程有几个基本步骤?试分析其安全性能。
加密过程可表示为:DES(m)IP-1?T16?T15……T2?T1?IP(m)
DES:输入-64bit明文数据-初始置换IP-乘积变换(在密钥控制下16次迭代)-逆初始置换IP-1-64bit密文数据
8、试简述解决网络数据加密的三种方式。(P75)
常见的网络数据加密方式有:①链路加密:对网络中两个相邻节点之间传输的数据进行加密保护。②节点加密:指在信息传输路过的节点处进行解密和加密。③端到端加密:指对一对用户之间的数据连续的提供保护。
9、认证的目的是什么,试简述其相互间的区别。(P77)
认证的三个目的:一是消息完整性认证,即验证信息在传送或存储过程中是否被篡改;二是身份认证,即验证消息的收发者是否持有正确的身份认证符;三是消息的序号和操作时间等的认证,其目的是防止消息重放或延迟等攻击。
10、什么是PKI?其用途有哪些?(P83)
PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。
信息加密技术是利用密码学的原理与方法对传输数据提供保护的手段,它以数学计算为基础,信息论和复杂性理论是其两个重要组成部分。加密体制的分类:从原理上可分为两大类:即单钥或对称密码体制(代表算法:DES算法,IDEA算法)和双钥或非对称密码体制(代表算法:RSA算示,ElGamal算法)。

第三章 数字签名和身份验证


广东工业大学计算机学院 2011-2012-1
• 报文宿的鉴别
– 在以密钥为基础的鉴别方案的每一报文中,同 时加入收方标识符IDB;在以通行字为基础的 鉴别方案中,每一报文加入收方通行字PWB。 – 若采用公开密钥密码,报文宿的认证只要发方 A对报文用B的公开密钥进行加密即可,因为 只有B才能用自己保密的解密密钥还原报文, 若还原的报文是正确的,B便确认自己是指定 的收方。
2010-9计算机学院
• 用途-密钥认证
• 大部分操作系统的密码都是以hash版本的 形式存储,而不是密码的原始文本。 • 当有人登录时,输入的密码先做hash处理, 然后与存储的数据比较。 • 这意味着机器上没有任何地方保存原始密 码,别人很难偷到它。 • 同时摘要算法是单向函数,不可能通过函 数值解出原始密码。
2010-9计算机学院
• 四轮完成后,说明对一个512分组的处理完 成,同时新的ABCD产生。 • 下一个处理基于ABCD和新的512分组 • 直到所有的分组全部处理完,ABCD的级 联输出为散列值。
2010-9计算机学院
• 单向散列函数的性质
–散列函数的目的是为文件、报文或其他数据产生一个“指 纹”,所以要求具备如下性质: –⑴广泛适用性 函数H适用于任何大小的数据分组; –⑵码长固定性 函数H产生定长输出,一个短报文的散列与百 科全书报文的散列将产生相同长度的散列码; –⑶易计算性 对于任何数据M,计算H(M)是容易的; –⑷单向不可逆性 无法根据散列码倒推报文,这就是上面提 到的单向函数性质; –⑸弱单向性 对于任意给定的数据X,要计算出另一个数据Y, 使H(X)=H(Y),这在计算上是不可行的,这就是弱单向散 列函数性质; –⑹强单向性 要寻找任何一对数据(X,Y),使得H(X)=H (Y),这在计算上是不可行的,这就是强单向散列函数性质, 即对于不同的报文不能产生相同的散列码。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第三章
公钥加密和消息认证 (Ⅳ)
主讲:綦朝晖
石家庄铁道学院计算机与信息工程分院
1
内容回顾
1 ,公钥算法的三种典型的应用 ;
2
,掌握RSA公钥算法(一定要会计算);
2
内容回顾
在广义上可以把公钥加密系统分为三类:


1, 加密/解密
2, 数字签名
3, 密钥交换
3
内容回顾
密钥生成算法:

公钥证书由公钥加上公钥所有者的用户ID以及可信 的第三方签名的整个数据块组成。通常, 第三方 就是用户团体所信任的认证中心(CA),如政府机构 或金融结构。
49
密钥管理
图3.12 描述了这个过程。知识点
1, Diffie-Hellman 密钥交换算法 ; 2, 什么是数字签名的概念; 3, 什么是public-key certificates(公钥证书);
图3.11 Diffie-Hellman 密钥交换
29
Diffie-Hellman 密钥交换
假设用户A希望与用户B建立连接,并且在此连接上使用
密钥加密消息。 用户A可以生成一次性密钥XA,计算YA,然后把YA发送 给用户B。作为回应,用户B生成私钥XB,计算YB,然后 将其发送给用户A。 这时两个用户都可以计算密钥了。
任何时候用户B都可以访问A的公开值,计算密钥,再
使用它给用户A发送加密消息。
然而,该技术并不能防止重放攻击。
32
Diffie-Hellman 密钥交换
33
概要
Diffie-Hellman 密钥交换
其他公钥加密算法 数字签名 密钥管理
34
其他密钥加密算法
在本节中我们将介绍两种已被商业接受的其他的公钥
27
Diffie-Hellman 密钥交换
下图 (教材,图3.11) 给出了使用Diffie-Hellman 计算
的一种简单协议。
28
用户A
生成 随机数XA < q ; 计算 YA = aXA mod q
用户 B
YA
YB 计算 K = (YB)XA mod q
生成 随机数XB < q ; 计算 YB = aXB mod q 计算 K = (YA)XB mod q
25
Diffie-Hellman 密钥交换
Diffie-Hellman 密钥交换的安全性在于:虽然计算模
幂运算相对容易,
但是计算离散对数却非常困难。对于大对数,计算离
散对数被认为是不可行的。
26
Diffie-Hellman 密钥交换
例如,选择素数q = 71 ,并且选择71的本原根a = 7。
Diffie-Hellman之所以有效,是因为它基于离散对数
的计算困难。
首先,我们学习一些关于Diffie-Hellman算法的基本
概念。
13
Diffie-Hellman 密钥交换
素数q的本原根:

我们定义素数q的本原根为它的幂能够生成1~q1之间的所有整数的数。 即如果a是素数q的一个本原根,则下列各个数: a mod q, a2 mod q , …, aq-1 mod q 各不相同,但它们组成了1~q-1之间整数的某种 排列组合。
验证:

验证(M,r,s)= 真 当且仅当 v = r;
38
DSA
大家注意:DSS 和 DSA 有什么区别?
39
椭圆曲线加密术
采用公钥实现加密和数字签名的绝大多数产品
和标准都使用RSA算法。
最近几年来,安全RSA使用的比特长度在不断
增加,加大了RSA应用处理的负担。
40
密钥管理
47
密钥管理
只是介绍 “公钥证书”; 从字面理解,公钥加密的意思就是公钥是公开的。 所
以,如果有某种广泛接受的公钥算法,如RSA,任何 参与者都可以给其他参与者发送他的或她的公钥,或 向群体广播自己的公钥。
然而,任何人都可以伪造这种公共通告。
48
密钥管理
解决这种问题的方法就是公钥证书。 公钥证书:
算法: 数字签名标准(DSS,Digital Signature Standard)和椭圆曲线加密术(elliptic-curve cryptography)。
35
数字签名标准
美国国家标准与技术研究所(NIST)已经发布
了联邦信息处理标准FIPS PUB 186,也就是 数字签名标准(DSS)。
52
课后作业
91页 题目:
3.16 a
;
3.16 b
53
30
Diffie-Hellman 密钥交换
还有使用Diffie-Hellman算法的另一个例子。假设一
组用户(如局域网上的所有用户)各自生成持续使用很长 时间的私钥值XA,然后计算公开值YA。
这些公开值连同全局公开值q和a都存储在某个中央目
录里。
31
Diffie-Hellman 密钥交换

2, 用户A选择一个大的随机数xA < q并保持它的
私密性。同样地,用户B选择xB <并保持它的私 密性。这就是他们的“私钥”。
20
Diffie-Hellman 密钥交换

3, 用户A计算她的公钥yA = axA (mod q) 并通过
不安全的通信将它发送给用户B 。用户B计算他 的公钥yB = gxB (mod q) 并将它发送给用户A 。 其中 0 < yA < p, 0 < yB < p。 如我们所知,这样通过通过不安全的通信发送 公钥是安全的。
所以,人们对ECC的信赖水品好没有RSA高。
42
概要
Diffie-Hellman 密钥交换 其他公钥加密算法 数字签名
密钥管理
43
数字签名
如图3.7b 教材,图3.7)所示,公钥加密还可以按另一
种方式使用。
44
数字签名
假设Bob想给Alice发送消息。虽然这条消息的保密性
在以上的背景下,我们可以定义Diffie-Hellman密钥
交换, 在下图中给出了它的概述(教材图3.10)
16
17
18
Diffie-Hellman 密钥交换
Diffie和Hellman的思想是计算一个素数的幂模运算相
对容易,但是反过来计算离散对数却非常困难。
如果有人问你2的多少次幂模11的结果为7, 你很快就
14

Diffie-Hellman 密钥交换
离散对数i:
对于任意小于q的整数b和q的本原根a,我们
能够找到一个唯一的指数i,使得
b = ai mod q 其中 0 ≤ i ≤ (q-1)
称指数i为b的基为a模为q的离散对数。我们把这
个值记为inda,q (b) 。
15
Diffie-Hellman 密钥交换
23
Diffie-Hellman 密钥交换
这样,双方都交换了密钥。此外,因为XA和
XB为私有,所以攻击者只能利用如下元素进行 攻击:q, a, YA和YB。
24
Diffie-Hellman 密钥交换
例如,为确定用户B的私钥,攻击者必须计算
XB = inda,q (YB) 此后,攻击者就可以使用与用户B相同的方式计算密钥 K了。
21
Diffie-Hellman 密钥交换

4, 通信双方都保持X值的私密性并向对方公开 Y值。 用户A通过下式计算密钥: K= (YB)XA mod q 同时用户B计算 K= (YA)XB mod q
22
Diffie-Hellman 密钥交换
这两个计算产生相同的结果:
K = ( YB )XA mod q = ( aXB mod q )XA mod q = ( aXB )XA mod q = aXB XA mod q = ( aXA )XB mod q = ( aXA mod q )XB mod q = ( YA )XB mod q
A和B分别选择私钥XA = 5 和 XB = 12。各自计算自己 的公钥: YA = 75 mod 71 = 51 YB = 712 mod 71 = 4 他们交换公钥后,分别计算公共密钥: K = ( YB )XA mod 71 = 45 mod 71 = 30 K = ( YA )XB mod 71 = 5112 mod 71 = 30 明显地,一个攻击者不能容易地计算出密钥30。

1,生成两个随机的大的素数p和q, 它们的大小 近似相等,从而使它们的乘积n(n = pq)能满 足要求的比特长度,例如1024比特; 2,计算n = pq and φ(n) = (p-1)(q-1);

4
内容回顾

3,选择一个整数e,其中1 < e < φ(n),使得 gcd (e, φ(n) ) = 1;
性论文中,该算法定义了公钥加密术,通常称该算法 为Diffie-Hellman密钥交换。
许多商业产品都采用了这种密钥交换技术。
11
Diffie-Hellman 密钥交换
算法的目的是使得两个用户能够安全地交换密钥,供
以后加密消息时使用。
该算法本身局限于密钥交换。
12
Diffie-Hellman 密钥交换
加密:
发送者A进行如下操作:


1,获取接收者B的公钥(n, e); 2,将明文消息表示为一个正整数M; 3,计算密文C = Me mod n; 4,把密文C发送给B。
7
内容回顾
解密:
接收者B进行如下操作:


1,使用自己的私钥(n, d)来计算 M = Cd mod n; 2,从M中提取出原始的明文;