1、本章目录第一节 复杂的信息安全 信息安全的复杂性 安全框架与模型第二节 密码学的历史第三节 密码学基本概念 基本术语、基本模型、基本原则、基本参数 安全的种类、密码分析基本类型 密码体制分类第四节 密码功能的使用 端到端加密、链路加密 密钥管理密码学导论-中国科学技术大学1第一节第一节 复杂的信息安全复杂的信息安全密码学导论-中国科学技术大学2信息安全的复杂性3密码学导论-中国科学技术大学信息简单,靠人脑记忆,专人口头传递介质记录,专门存放,专人传送v随着信息的发展,越来越复杂4密码学导论-中国科学技术大学计算机单机,专人操作网络时代 需要自动工具来保护存储在计算机中的文件及其它信息 需要可靠
2、措施来保护网络和通信链接中的数据传输v随着信息的发展,越来越复杂计算机安全:单机数据安全网络安全:传输过程中的数据安全互联网安全:全网络上的数据安全一个通信安全的例子vAlice与Bob通信密码学导论-中国科学技术大学5AliceBobThief搭线窃听:攻击保密性拦截:攻击可用性重放:攻击实时性/真实性篡改/删节:攻击真实性/完整性伪装身份:攻击真实性DoS攻击可用性否认接受:攻击可审计性Evil否认发送:攻击可审计性安全的范畴v保密性(C Confidentiality/Secrecy/Privacy)保密性:秘密信息不向非授权者泄露,也不被非授权者使用隐私性:个人能够控制私人信息v完整性
3、(I Integrity)数据完整性:信息只能以特定和授权的方式进行改变系统完整性:系统以正常方式执行预定功能,免于非授权操纵v可用性(A Availability)可用性:授权者能使用信息和信息系统访问控制:通过授权限制用户能访问的资源可控性:对信息和信息系统实施安全监控管理v真实性(Authenticity)消息认证:消息未经篡改/确认来源实体认证:确认实体所声称的身份v可追溯性/可审计性(Accountability/Auditability)收据与确认:告知已经收到信息或服务不可否认性:实体不能否认自己的行为密码学导论-中国科学技术大学6The Information Security
4、 Triad:CIA(From Wiki)v信息安全属性CIA:保密性、完整性、可用性。v信息系统通过在硬件、软件、通信三个主要部分上确定和应用信息安全行业标准,实现在物理、个人、和组织三个层面上提供保护和预防机制。v从本质上讲,程序或政策的实施是用来告诉人们(管理员,用户和运营商)如何使用产品以确保组织内的信息安全。7密码学导论-中国科学技术大学安全的复杂性v信息本身的安全涉及到数据的复杂性v网络安全涉及到通信和网络v安全机制或算法必须考虑各种各样潜在威胁目标是消除所有可能的攻击v安全机制的应用位置:物理或逻辑上v秘密信息的产生、分配和保护等问题v经常更新和持续监管v用户和系统管理员的排斥C
5、yber Security is not only about technology!密码学导论-中国科学技术大学8安全框架vOSI安全框架:目的:有效评价一个机构的安全需求;对各种安全产品和政策进行评估和选择密码学导论-中国科学技术大学9威胁威胁支撑支撑用来检测、阻止攻击,或者从攻击状态恢复到正常状态的过程过程,或实现该过程的设备设备加强数据处理/传输/存储系统的安全性的具具体处理体处理过程和过程和措施措施安全性攻击安全性攻击安全服务安全服务安全机制安全机制任何危及信息系统安全的行行为为安全机制多以安全机制多以密码技术为基础密码技术为基础网络安全模型v密码学是下列问题的基础安全相关变换,产生
6、秘密,保存秘密,传输秘密,多方协议,消息消息秘密信息秘密信息安全相关变换安全相关变换可信第三方Trent(分配秘密信息、仲裁)AliceBob攻击者信道密码学导论-中国科学技术大学10网络访问安全模型v使用网络访问安全模型需要:选择合适的看门函数识别用户实现安全控制,确保仅授权用户可以使用指定信息或资源v可信计算机系统有助于实现此模型计算资源(处理器、内存、输入输出等)数据进程软件信息系统看门函数用户访问通道密码学导论-中国科学技术大学11内部安全控制情报的获取v截获敌方密电无线电技术,巨大的天线阵列v整理归类无线电测向,确定报文来源,送往对口破译机关v密码分析v翻译整理文件意义上:海量报文,
7、制作索引情报意义上:综合分析v情报分发参与破发情报的密码系统可能遭敌人的已知明文攻击哪些人可以接触到情报?副官和报务员可靠么?不能让敌人知道被破译,不能对情报过分利用密码学导论-中国科学技术大学12v例:信息情报:大庆油田人民日报的报道中国画报出现王进喜在钻井旁的照片人民中国v“最早钻井是在北安附近开始的。”v“王进喜一到马家窑子,看到一片荒野说:好大的油海,我们要把中国石油落后的帽子抛到太平洋去!”v“为把沉重的设备运到油井的位置,采用了人拉肩扛的方式。”其他报道v王进喜个人事迹v“大庆已有820口油井出油”确定大庆油田真实存在位于齐齐哈尔到哈尔滨之间油井离某个车站不远定位反应塔的加工原油能
8、力在100万吨上下大庆油田的开工不晚于1959年反应塔炼油能力跟不上原油反应塔炼油能力跟不上原油产量产量准备准备低价现货出售炼油设备低价现货出售炼油设备密码学导论-中国科学技术大学13本课程内容14密码学导论-中国科学技术大学数论基础数论基础密码学密码学基本理论基本理论密码编码技术密码编码技术密码分析技术密码分析技术密码应用:Hash 签名 身份认证 密钥分配、分享 不经意传输 公平计算 章节安排15密码学导论-中国科学技术大学绪论经典技术与理论经典密码学密码学理论基础数论基础密码算法分组密码流密码公开密钥密码认证技术密码应用密码协议选讲媒体内容安全教材与参考书v课程主页:http:/202.
9、38.64.11/whli/cryptography/index.htmlv参考书:16密码学导论-中国科学技术大学 William Stallings,电子工业出版社,2006年密码编码学与网络安全:原理与实践密码编码学与网络安全:原理与实践(第第六六版版)Bruce Schneier,机械工业出版社,2001应用密码学协议、算法与C源程序 机械工业出版社,吴世忠等译,2001年密码编码学和密码分析 卿斯汉,清华大学出版社,2001年密码学与计算机网络安全课外资源欧洲密码协会ECRYPThttp:/www.ecrypt.eu.org/美国密码协会ACAhttp:/www.cryptogram
10、.org/中国密码学会http:/ FAQhttp:/www.faqs.org/faqs/cryptography-faq/Wikipediahttp:/en.wikipedia.org/wiki/CryptologyNIST FIPS&SPhttp:/csrc.nist.gov/publications/PubsTC.html#Cryptography美国国家密码学博物馆https:/www.nsa.gov/about/cryptologic-heritage/museum/17密码学导论-中国科学技术大学成绩构成18密码学导论-中国科学技术大学期末考试期末考试7 70 0%课程实践课程实践
11、3030%100作业作业1010%平日作业:态度分,对错不论课程实践:完成指定实验研究项目,作10-15分钟报告期末考试:闭卷点名:小测验形式,负分,每次扣1分,上不封顶第二节第二节 密码学的历史密码学的历史密码学导论-中国科学技术大学19密码学导论-中国科学技术大学计算机时代计算机时代机电时代机电时代手工时代手工时代传统时代传统时代20最早的有记载的加密文字v公元前19世纪古埃及第十二王朝,Menet Khufu小镇的一位祭祀撰写的碑文本质是一种代换编码目的:为了显得更重要和更神秘密码学导论-中国科学技术大学21最早用于保护信息的密码技术v公元前11世纪,周武王时期姜太公发明“阴符”:v是一
12、种代换加密“阴书”:“一合而再离,三发而一知”v是一种置乱密码v文字必须简明扼要,收信人需要有较好的文学素养大胜克敌符长1尺警众坚守符长6寸破阵离将符长9寸请粮益兵符长5寸降城得邑符长8寸败军亡将符长4寸却敌极远符长7寸失利亡士符长3寸密码学导论-中国科学技术大学22v公元前4世纪,斯巴达-波斯的战争中,“天书”是一种置乱加密v公元前1世纪,凯撒密码C=m+3是第一种计算意义上的代换密码密码学导论-中国科学技术大学23v手工时代手工加密、解密,有少量辅助设备出现代换以技巧为主,辅助以少量计算加密算法比较简单,一般不公开手工分析,主要靠猜字频统计分析是主要且有效的工具密码分析员以语言学家为主密码
13、学导论-中国科学技术大学24v20世纪初,进入机电时代1919年转轮密码机v美国人Edward Hugh Hebern首先获得专利v最具代表性的是德国的ENIGMA最早最广泛使用犯了最多的错误最早被攻破的机械转轮机密码技术的变化v算法复杂度大大增加,安全性大大提高v算法开始公开,仅需保护密钥v数学家开始在密码分析技术中占据重要地位密码学导论-中国科学技术大学25v计算机时代密码技术的研究从技巧走向理论,融入大量现代数学理论1949年,Shannon“The Communication Theory of Secrecy System”,从理论上为密码学奠定了科学基础冷战时期,大家都重视,但都不
14、公开1975年,W.Diffie和M.Hellman首次提出公开密钥思想1976年,美国国家标准局公布实施DES数据加密标准1977年,R.Rivest、A.Shamir和L.Adleman提出RSA算法1985年,T.ElGamal提出了概率密码系统ElGamal方法2000年,美国国家标准局发布了AES代替DES当代,混沌密码、量子密码、后量子密码等新兴技术密码学导论-中国科学技术大学26第三节第三节 密码学基本概念密码学基本概念密码学导论-中国科学技术大学27一、密码学基本概念v密码学 Cryptology:研究如何对己方信息及信息传递进行保护,如何对敌方信息进行破译的科学。v从研究角度
15、出发:密码编码学 Cryptography:v研究如何将信息用秘密文字的形式加以保护密码分析学 Cryptanalysis:v研究如何从秘密形式的文字中提取原始信息密码协议 Cryptography Protocol:v使用密码技术的通信协议,在网络环境中提供各种安全服务密码学导论-中国科学技术大学28v密码系统的数学描述:SP,C,K,E,DP:明文空间C:密文空间K:密钥空间E:加密变换D:解密变换P也常用消息空间M代替。C=E(kE,P),D(kD,*)=E(kE,*)-1P=D(kD,C)=D(kD,E(kE,P),E(kE,*)=D(kD,*)-1信源加密器E解密器D信息M加密密钥k
16、E解密密钥kD密文C信息M密码学导论-中国科学技术大学29现代密码学基本原则v柯克霍夫原则(Kerckhoffs principle)除了密钥之外,即使密码系统的一切均被公开,它仍然应当是安全的。v香农箴言(Shannons maxim)敌人了解系统。v密码系统的安全性不在于算法的保密,而在于当对手获知了算法和密文后,分析出密钥或明文的难度。密码学导论-中国科学技术大学30密码系统的安全性v无条件安全 unconditional security即使有无限的资源和时间,都无法唯一地破译确定密文。安全性最强的,但仅有一次一密体制是无条件安全的。v可证明安全 provable security破译
17、密码的难度与数学上某个困难问题的难度相同。v计算上安全 computational security破译密码的代价超出密文信息的价值;或破译密码的时间超出密文信息的有效生命期。v实际安全 practical security包括可证明安全和计算上安全。密码学导论-中国科学技术大学31v密码系统安全性的考虑一次一密成本太高,极少使用可证明安全:v难度随着问题的规模而改变v计算能力飞速发展,使用多大的规模能保证在未来是安全的?v量子技术有望解决数学难题计算安全:v价值是相对的,有效生命期也是相对的在设计密码系统时,为保证实际安全,必须v明确系统所针对的对象,适当地选择系统的计算规模v保守地估计系统
18、使用年限v在说明系统的计算安全程度时,必须列举所假设的资源条件密码学导论-中国科学技术大学32对密码系统的基本要求v密码系统遵从柯克霍夫原则,且是实际安全的。v加解密算法适用于密钥空间中的所有元素,或者应把“弱密钥”全部列出。某些密钥对特定算法会泄漏明文信息,称之为弱密钥。v密钥应当可以随时更改。v系统应易于实现,使用方便。从时延、成本、软硬件出错概率等角度的考虑,倾向于使用数学上计算复杂,但易于实现的密码系统。便于使用,不使操作者过于劳累。否则一方面容易出错,另一方面会诱使操作者采取偷懒的方式,而这往往会危及整个密码系统。v密码系统的使用不应使通信网络的效率过分降低。v应考虑系统实用性。不到
19、使用时刻不解密数据。密码学导论-中国科学技术大学33密码体制v密码体制:整个密码系统的基本工作方式。v密码体制的基本要素是密码算法和密钥。密码算法是一些公式、法则或程序;密钥是密码算法中的控制参数。v密码体制的主要参数:编码的运算类型:代换、置乱、数域计算密钥长度;密钥形式:加解密密钥是否一致,是否需要保密处理明文的方法:顺序地处理(序列)或一组一组地处理(分组)密文的膨胀:密文的长度是否与明文长度一致密文错误的传播加密和解密的运算复杂度编码过程是否可逆密码学导论-中国科学技术大学34密码分析与密码系统安全性攻击类型密码分析员的资源唯密文攻击Ciphtext-only密码算法待分析密文已知明文
20、攻击Known-plaintext密码算法待分析密文用同一密钥加密的一个或多个明文密文对选择密文攻击Chosen-ciphertext密码算法待分析密文可选择特定密文,并获得对应的明文选择明文攻击Chosen-plaintext密码算法待分析密文可选择特定明文,并获得对应的密文选择文本攻击Chosen-text密码算法待分析密文可选择特定密文/明文,并获得对应的明文/密文相关密钥攻击Related-key密码算法待分析密文有确定关系的两个密钥对应的明文-密文对密码学导论-中国科学技术大学35二、常见密码体制分类v根据密钥的形式分类:对称密码体制(Symmetric System,One-key
21、 System,Secret-key System)v加密密钥与解密密钥相同,或者可以方便地相互导出v加密能力与解密能力是紧密结合,能加密就能解密v密钥必须严格保护,开放性差非对称密码体制(Asymmetric System,Two-key System,Public-key System)v加密密钥与解密密钥不同,并且从一个密钥导出另一个密钥是计算上不可行的v加密能力与解密能力是分开的v可以公开一个密钥,开放性好密码学导论-中国科学技术大学36v根据处理明文的方式分类:序列密码体制/流密码体制(Stream Cipher)v以比特(有时也用字节)为单位进行加密/解密运算v同一明文对应的密文一
22、般不同分组密码体制(Block Cipher)v以若干比特(通常大于64比特)的数据块为处理单元v同一明文块对应的密文块相同密码学导论-中国科学技术大学37v根据密文的唯一性分类:确定型密码体制(Deterministic Cipher)v当明文和密钥确定后,密文唯一v并不排除不同明文用不同密钥加密会得到同一密文概率型密码体制(Probabilistic Cipher)v当明文和密钥确定后,密文从一个密文子集中随机产生v解密时,有的算法能够由密文唯一确定明文,有的算法需要接收者从多个可能中选出正确的明文v可以增加字典攻击的难度。字典攻击:对同一密钥加密的明文-密文对编制一个字典,通过查表的方式
23、得到新截获的密文所对应的明文。密码学导论-中国科学技术大学38v根据加密算法的可逆性分类:可逆变换型密码算法(Reversible Transformation)v加密、解密变换互逆,一般用于数据的加密/解密。v具体算法多采用单向陷门函数,即正向变换计算简单,逆向变换在知道陷门信息的情况下计算简单,否则计算上不可行单向函数型密码算法(One-way function)v只能进行正向变换,不可逆v适用于不需要解密的场合利用密文做口令、验证码、密码学导论-中国科学技术大学39第四节第四节 密码功能的使用密码功能的使用密码学导论-中国科学技术大学40一、密码功能的配置v安全隐患从同一局域网上其他工作
24、站发起的窃听使用拨号或外部路由进入局域网进行窃听嵌入配线室窃听在外部链路上对通信业务的监听和修改密码学导论-中国科学技术大学41v基本方法:链路加密与端到端加密链路加密 每个链接独立加密 结点需要解密、加密操作,结点处消息为明文 需要更多加/解密设备及成对的密钥端到端加密 在初始源与最终目的之间加密 每个终端需要加/解密设备和共享密钥密码学导论-中国科学技术大学42流量分析v使用端到端加密时,必须保留数据包头不加密,保证网络能够获得正确的路由信息v通信内容可以保护,通信流量模式无法保护存在流量分析攻击,可获得:v哪些通信实体参与了通信过程,甚至他们的身份、关系等v通信双方的通信频率v消息格式、
25、长度、数量,并可由此推断是否有重要消息被传输v特定通信双方特定会话内容所涉及的事件可解决的办法是在传输层或应用层把所有数据单元都填充到一个统一的长度,以防止攻击者获得端用户之间交换的数据量信息密码学导论-中国科学技术大学43v理想情况为两种方案都使用端到端加密全程保护数据内容,并提供认证链路加密保护数据包头信息,但网络全局流量仍可被监听流量填充(traffic padding)可以保护数据流量信息v代价是持续的通信密码学导论-中国科学技术大学44存储转发通信网络中的加密覆盖范围密码学导论-中国科学技术大学45OSI框架七层协议TCP/IP协议链路加密端到端加密v将加密设备用于端到端协议例如:网
26、络层,TCP层可以提供整个网络的端对端的安全性不能用于网络之间的服务v将加密设备用于应用层越高的层次,所需加密的信息越少,而安全性越高但涉及的实体太多,所需的密钥也太多密码学导论-中国科学技术大学46v网络层加密用在帧中继或者ATM协议上可识别并被保护的实体数与网络的末端系统数相对应,两端系统应公用一个密码系统,共享一个密钥可以用带有加密功能的前端处理器(FEP)来实现v通常是末端系统的网卡密码学导论-中国科学技术大学47密码系统的使用v加密算法的选择公开发表的加密算法政府指定的加密算法著名厂家产品专家推荐的加密算法v通信信道的加密链路加密点到点加密高层连接加密端到端加密v存储数据的加密硬盘级
27、加密文件级加密密码学导论-中国科学技术大学48二、密钥管理概念v密钥管理原则:密钥难以窃取在一定条件下即使窃得密钥也无用v超过使用时间和范围限制密钥分配和更新对用户透明v密钥管理内容:产生密钥、非线性密钥空间、传输密钥、验证密钥、使用密钥、更新密钥、备份密钥、泄漏密钥处理、密钥有效期、销毁密钥、密钥证书、密码学导论-中国科学技术大学49密钥的层次化管理结构v会话密钥(工作密钥 session key)重复使用同一密钥容易导致泄漏,应该经常更换;使用相同密钥,可能存在重播攻击;密钥丢失,仅影响本次会话;更换密钥,防止对方以后窃取信息。v主密钥主密钥,构成密钥管理系统之核心会话密钥按照某种密钥协议
28、来生成,受主密钥保护密码学导论-中国科学技术大学501、产生密钥v密钥长度应当足够v密钥生成算法要足够安全密钥生成算法的安全性不应低于密码算法的安全性v避免选择弱密钥字典攻击便于记忆的,往往是便于攻击的v使用长密钥HASH实际密钥密码学导论-中国科学技术大学512、非线性密钥空间v如何防止我方密码设备(算法没有公开)被敌方利用?v方法:让敌人不敢用这些设备“保护”他们的秘密算法中要求使用有特殊形式的密钥否则用弱算法执行加密即所有密钥的安全强度不同!密码学导论-中国科学技术大学52v一种实现方法:密钥分为两部分,前一部分是密钥本身,后一部分是用该密钥加密的某个固定字符串。设备执行时,先用前面的密
29、钥解密后面的字符串,若解密结果与固定字符串相同,则正常工作;否则就用一个弱加密算法若前部分密钥128位,字符串64位,则密钥总长度192位v有效密钥共2128个,敌方从2192个密钥中随机选择一个,选中好密钥的机会为2-64。密钥本身识别串密码学导论-中国科学技术大学533、验证密钥vBob收到Alice的密钥时,如何确认它来自Alice?Alice亲自送来,没有问题Alice通过可靠信使送来,Bob必须相信该信使由Alice主密钥加密,Bob必须相信主密钥没有外泄由Alice数字签名,Bob必须相信Alice的公钥数据真实由可信第三方数字签名,Bob必须相信可信第三方的公钥数据真实vBob需
30、要验证密钥传输中是否有错误v密钥的验证附带一个用该密钥加密的密文来验证密钥的正确性结合身份认证密码学导论-中国科学技术大学544、使用密钥v软件加密是可怕的多线程操作系统,进程被挂起内存被存在硬盘页面文件上v硬件加密比较安全v因用途不同而定义的不同类型密钥数据加密密钥个人标识号PIN加密密钥文件加密密钥等等密码学导论-中国科学技术大学55v密钥的连通:密钥共享的范围v密钥的分割:适用范围和时间限制按空间分割按时间分割分割实现:静态/动态v依据密钥特征限制密钥的使用方式给予每个密钥一个关联标记,如DES的8位非密钥比特v1比特指示此密钥是主密钥还是会话密钥v1比特指示此密钥是否可以用于加密v1比
31、特指示此密钥是否可以用于解密v其余比特用作其它用途密码学导论-中国科学技术大学56v控制向量的方案控制向量长度没有限制,可实现任意复杂的控制控制向量始终是明文,可多次运用或叠加密码学导论-中国科学技术大学575、更新密钥v从旧密钥出发获得新密钥用旧密钥计算用旧密钥协商旧密钥的泄露会危及新密钥v重新认证身份并分发密钥v旧密钥必须销毁密码学导论-中国科学技术大学586、存储密钥v用户记忆,需要时输入系统难记,输入慢,可能出错v密钥加密存储在硬盘上加密密钥一部分存在硬盘上,一部分以口令输入v保存在即插即用物理设备中要确保不会丢失要确保只能被特定设备/软件读出密码学导论-中国科学技术大学59v目前最好
32、的办法:将密钥和密码算法集成在即插即用设备上输入明文,输出密文v将密钥分片存储v密钥的保存集中保存分散保存秘密分享secret sharing密码学导论-中国科学技术大学607、备份密钥v密码丢失了,怎么办?密码保管人可能出意外保存密码的设备可能出意外v密钥托管,由特定安全官掌管备份的密钥安全官可靠么?安全官也可能出意外v密钥分片,用不同人的公钥加密恢复密钥需要多个人共同进行存在共谋攻击密码学导论-中国科学技术大学61密钥托管v法院授权的搭线窃听是防止犯罪的有效方法之一公民使用弱的密码系统?公民事先把私钥交给政府?v美国政府的Clipper计划中的密钥托管所有数字通信(包括音、视频)的加密都必
33、须使用经政府批准、统一生产的防篡改的加密芯片实现每个加密芯片有唯一ID号和设备唯一密钥KUKU分两个部分,与ID号一起由两个托管机构存储芯片加密数据时,先用KU加密会话密钥,并发布当法院授权窃听时,从托管机构收集并重建KU,解密会话密钥,进而解密消息密码学导论-中国科学技术大学628、泄漏密钥处理v对称密码系统的密钥丢失,需要立即通知通信对方v公钥密码中私钥丢失,麻烦大了通知所有人要尽可能确定泄漏发生的时间如何证明泄漏发生的时间,用于仲裁?最好在不同用途上使用不同的密码,减少损失密码学导论-中国科学技术大学639、密钥有效期v为什么要有效期?密钥使用时间越长,泄漏的机会越大若密钥已泄漏,则用得时间越长,损失越大密钥使用越久,破译它的诱惑力就越大同一密钥加密的消息越多,破译越容易v例外:加密密钥的密钥无需频繁更换加密文件的密钥不能经常更换这些密钥必须妥善保管密码学导论-中国科学技术大学6410、销毁密钥v旧密钥必须安全地销毁记忆在脑中:必须忘记写在纸上:必须烧毁或粉碎(用优质粉碎机),必要时粉碎后烧毁存储在EEPROM中:多次擦写存储在EPROM或PROM中:粉碎存储在硬盘中:多次擦写密钥存储位置,或粉碎密码学导论-中国科学技术大学65故用兵之法无恃其不来恃吾有以待之无恃其不攻恃吾有所不可攻也孙子兵法密码学导论-中国科学技术大学66
