1、现代密码学课程论文学习现代密码学后的感受院系:数学与信息科学系班级:姓名:学号:对现代密码学的认识一、密码学的发展历程密码学在公元前 400 多年就早已经产生了,正如破译者一书中所说“ 人类使用密码的历史几乎与使用文字的时间一样长”。密 码学的起源的确要追溯到人类刚刚出现,并且尝试去学 习如何通信的时候, 为了确保他们的通信的机密,最先是有意识的使用一些简单的方法来加密信息,通过一些(密码)象形文字相互传达信息。接着由于文字的出现和使用,确保通信的机密性就成为一种艺术,古代发明了不少加密信息和传达信息的方法。例如我国古代的烽火就是一种传递军情的方法,再如古代的兵符就是用来传达信息的密令。就连闯
2、荡江湖的侠士,都有秘密的黑道行话,更何况是那些不堪忍受压迫义士在秘密起义前进行地下联络的暗语,这都促进了密 码学的发展。事实上,密码学真正成为科学是在 19 世纪末和 20 世纪初期,由于军事、数学、通讯 等相关技术的发展,特别是两次世界大战中 对军事信息保密传递和破获敌方信息的需求,密码学得到了空前的发展,并广泛的用于军事情报部门的决策。例如在希特勒一上台时,德国就试验并使用了一种命名为“ 谜”的密码机, “谜” 型机能产生 220 亿种不同的密钥组合,假如一个人日夜不停地工作,每分钟测试一种密钥的话,需要约 4.2 万年才能将所有的密钥可能组合试完,希特勒完全相信了这种密码机的安全性。然而
3、,英国获知了“谜” 型机的密码原理,完成了一部针对“谜”型机的绰号叫“炸弹”的密码破译机,每秒 钟可 处理 2000 个字符,它几乎可以破译截获德国的所有情报。后来又研制出一种每秒钟可处理 5000 个字符的“ 巨人”型密码破译机并投入使用,至此同盟国几乎掌握了德国纳粹的绝大多数军事秘密和机密,而德国军方却对此一无所知;太平洋战争中,美军成功破译了日本海军的密码机,读懂了日本舰队司令官山本五十六发给各指挥官的命令,在中途岛彻底击溃了日本海军,击毙了山本五十六, 导致了太平洋战争的决定性转折。因此,我们可以说,密码学为战争的胜利立了大功。在当今密码学不仅用于国家军事安全上,人们已经将重点更多的集
4、中在实际应用,在你的生活就有很多密码,例如为了防止别人查阅你文件,你可以将你的文件加密;为了防止窃取你钱物,你在银行账户上设置密码,等等。随着科技的发展和信息保密的需求,密码学的应用将融入了你的日常生活。二 、密码学的基础知识密码学(Cryptogra phy)在希腊文用 Kruptos(hidden)+graphein(to write)表达,现代准确的术语为“ 密码编 制学” ,简称“编密学” , 与之相对的专门研究如何破解密码的学问称之为“ 密码分析学 ”。密 码学是主要研究通信安全和保密的学科,他包括两个分支:密码编码学和密码分析学。密码编码学主要研究对信息进行变换,以保护信息在传递过
5、程中不被敌方窃取、解读和利用的方法,而密码分析学则于密码编码学相反,它主要研究如何分析和破译密码。这两者之间既相互对立又相互促进。密 码的基本思想是 对机密信息进行伪装。一个密码系统完成如下伪装:加密者对需要进行伪装机密信息(明文)进行伪装进行变换(加密变换),得到另外一种看起来似乎与原有信息不相关的表示(密文),如果合法者(接收者)获得了伪装后的信息,那么他可以通过事先约定的密钥,从得到的信息中分析得到原有的机密信息(解密变换),而如果不合法的用户(密码分析者)试图从这种伪装后信息中分析得到原有的机密信息,那么,要么这种分析过程根本是不可能的,要么代价过于巨大,以至于无法进行。在计算机出现以
6、前,密码学的算法主要是通过字符之间代替或易位实现的,我 们称这些密码体制 为古典密码。其中包括:易位密码、代替密 码(单表代替密码、多表代替密码等)。这些密码算法大都十分 简单, 现在已经很少在实际应用中使用了。由于密码学是涉及数学、通讯、计算机等相关学科的知 识,就我们现有的知识水平而言,只能初步研究古典密码学的基本原理和方法。但是对古典密码学的研究,对于理解、构造和分析现代实用的密 码都是很有帮助。以下介 绍我们所研究的古典密码学。三、现代密码学的作用现代密码学研究信息从发端到收端的安全传输和安全存储,是研究“ 知己知彼”的一门科学。其核心是密码编码学和密码分析学。前者致力于建立难以被敌方
7、或对手攻破的安全密码体制,即“知己”;后者则力图破译敌方或对手已有的密码体制,即“ 知彼”。 人类有记载的通信密码始于公元前 400 年。古希腊人是置换密码的发明者。1881 年世界上的第一个电话保密专利出现。电报、无 线电的发明使密码学成为通信领域中不可回避的研究课题。 在第二次世界大战初期,德国军方启用“恩尼格 玛”密码机,盟军对德军加密的信息有好几年一筹莫展, “恩尼格玛”密码机似乎是不可破的。但是经过盟军密码分析学家的不懈努力, “恩尼格玛”密码机被攻破,盟军掌握了德军的许多机密,而德国军方却对此一无所知。 太平洋战争中,美军破译了日本海军的密码机,读懂了日本舰队司令官山本五十六发给各
8、指挥官的命令,在中途岛彻底击溃了日本海军,导致了太平洋战争的决定性转折,而且不久还击毙了山本五十六。相反轴心国中,只有德国是在第二次世界大战的初期在密码破译方面取得过辉煌的战绩。因此,我们可以说,密码学在战争中起着非常重要的作用。 随着信息化和数字化社会的发展,人们对信息安全和保密的重要性认识不断提高。如网络银行、电子购物、电子邮件等正在悄悄地融入普通百姓的日常生活中,人们自然要关注其安全性如何。 1977 年,美国国家标准局公布实施了“美国数据加密标(DES)”, 军事部门垄断密码的局面被打破,民间力量开始全面介入密码学的研究和应用中。民用的加密产品在市场上已有大量出售,采用的加密算法有 D
9、ES、IDEA、RSA 等。 现有的密码体制千千万万,各不相同。但是它们都可以分为私钥密码体制(如 DES 密码)和公钥密码(如公开密钥密码)。前者的加密过程和脱密过程相同,而且所用的密钥也相同;后者,每个用户都有公开和秘密钥。 编码密码学主要致力于信息加密、信息认证、数字 签名和密钥管理方面的研究。信息加密的目的在于将可读信息转变为无法识别的内容,使得截获这些信息的人无法阅读,同时信息的接收人能够验证接收到的信息是否被敌方篡改或替换过;数字签名就是信息的接收人能够确定接收到的信息是否确实是由所希望的发信人发出的;密钥管理是信息加密中最难的部分,因为信息加密的安全性在于密钥。历史上,各国军事情
10、报机构在猎取别国的密钥管理方法上要比破译加密算法成功得多。 密码分析学与编码学的方法不同,它不依赖数学逻辑的不变真理,必须凭经验,依赖客观世界觉察得到的事实。因而,密码分析更需要 发挥人们的聪明才智,更具有挑战性。 现代密码学是一门迅速发展的应用科学。随着因特网的迅速普及,人们依靠它传送大量的信息,但是这些信息在网络上的传输都是公开的。因此, 对于关系到个人利益的信息必须经过加密之后才可以在网上传送,这将离不开现代密码技术。1976 年 Diffie 和 Hellman 在密码新方向中提出了著名的 D-H 密钥交换协议,标志着公钥密码体制的出现。 Diffie 和 Hellman 第一次提出了
11、不基于秘密信道的密钥 分发,这就是 D-H 协议的重大意义所在。PKI(Public Key Infrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI 公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。 四、现代密码学的算法研究信息安全本身包括的范围很大,从安全性需求的角度来说涉及到信息的保密性、完整性、可用性、认证 性和不可否认性。其中, 密码技术是保障信息安全的核心技术。密 码学是一门充挑 战的交叉学科, 有着悠久而迷人的历史。4 000 多年前就有埃及人运用简单的加密手段传递秘密信息的记录。在两次世界大战中, 密码学更是扮
12、演了举足轻重的角色。但是, 早期密码技术的研究和应用多属于军队、外交和政府行为。20 世纪 60 年代计算机与通信系统的迅猛发展, 促使人们开始考虑如何通过计算机和通信网络安全地完成各项事务, 从而使得密码技术开始广泛应用于民间, 也进一步促进了密码技术的迅猛发展。传统密码技术更多被看成是一门艺术, 密码学专家常常是凭自己的直觉来进行密码算法的设计和分析。直到 1949 年 Shannon1发 表保密系统的通信理论一文, 文章从信息论的角度讨论了加密系统的安全性和设计准则, 从此将密码学从艺术带入了系统科学的殿堂。20 世纪 70 年代, IBM 公司设计出数据加密标准(D ES)分组密码算法
13、, 并在 1977 年被美国联邦政府采纳为联邦信息处理标准。几乎同时, D iffie 和 H ellm an2提出了公 钥密码 学的思想。他 们在密码学的新方向一文中解决了原有对称密码系统存在的密钥分配问题, 并提出了数字签名的新思路。1978 年, R ivest、Sham ir 和 A ldlem an3设计出了第一个在实践中可用的公开密钥加密和签名方案R SA , 从而拉开了现代密码学的序幕。4.1 对称加密算法密码算法主要分为对称密码算法和非对称密码算法两大类。对称加密算法指加密密钥和解密密钥相同,或知道密钥之一很容易推导得到另一个密钥。通常情况下, 对称密钥加密算法的加/解密速度非
14、常快, 因此,这类算法适用于大批量数据加密的场合。这类算法又分为分组密码和流密码两大类。4.1.1 分组密码分组密码算法如图 1 所示。相对流密码算法来说, 分组密码算法不需要存储生成的密钥序列, 所以适用于存储空间有限的加密场合。此外, 目前使用的分组密码算法的分析和设计过程都相对公开, 通常伴随着大型的征集和公开评估活动。这样 一来不仅仅增加了算法的透明度, 防止攻击者隐藏陷门并使得用户充分相信算法的安全强度; 另一方面极大促进了分组 密码技术的飞速发展。1973 年 5 月 13 日的美国联邦政府提出征求在传输和存储数据中保护计算机数据的密码算法的建议, 这一举措最终导致了 D ES 算
15、法的研制。在公开征得的众多算法中, IBM 公司提出的算法 Lucifer 中选。1975 年 3 月 17 日, 美国国家标准局(N BS)首次公布了此算法, 请公众评议。1977 年 1 月 N BS 正式向社会公布, 采纳 IBM 公司设计的方案作为非机密数据的数据加密 标准。D ES 正式成为美国联邦政府信息处理标准, 即 FIPS-46 标准, 同年 7 月 15 日开始生效。此后, 每隔 5 年美国国家保密局(N SA )对 D ES 作新的评估, 并重新批准它是否继续作为联邦加密标准。 1997 年, 美国标准技术研究所(N IST ) 对 D ES 进行再次评测并宣布:D ES
16、 算法的安全强度已经不足以保障联邦政府信息数据的安全性, 所以 N IST 建议撤销相关标准, 此后 D ES 算法只作为三重数据加密标准(TD ES) 的一个组成部分使用。同时, N IST 开始征集新的数据加密标准高级数据加密标准(A ES)4, 他们要求新算法的分组长度为 128, 支持可变密钥长度128、192、256 比特。 1998 年, N IST 在第一轮 A ES 征集会议上公布了征集到 15 个算法, 并且邀请全世界的密码研究机构对算法进行安全性等方面的评测。1999年, N IST 从中选取了 5 个优良的算法作为 A ES 的候选算法, 它们分别是 M A R S、R
17、C6、R ijndael、Serpent 和 Twofish, 并通过最终的综合评价确定 R ijndael算法为新的数据加密标准,2001 年 12 月正式公布 FIPS-197 标准。欧洲于 2000 年 1 月启动了 N ESSIE 工程5, 该工程的目的是评价出包含分组密码、流密 码等在内的一系列安全、高效和灵活的密码算法。至 2000 年 9 月, 共收集到了 17 个分组密码算法, 同时他们将 TD ES 和 A ES 纳入了 评估范围, 并作为分组密码算法的评测基准。经过 3 年 2 个阶段的筛选, 最终确定下列算法为推荐的分组密码算法: M ISTY 164、 Cam llia
18、128、SH A CA L-2 和 A ES128。日本政府在2000 年成立了密码研究与评估委员会(CR Y PTR EC )6并参考欧洲 N ESSIE 工程的作法对密码算法的安全性和效率等问题进行评估,以备政府使用。评估涵盖了对称密码算法、非对称密码算法、散列函数和随机数生成器 4 部分。 2002 年初步拟定了推荐算法的草案, 2003 年 3 月确定了推荐算法名单, 其中分组密码算法包括:! 分组长 度为 64 比特的算法:CIPH ER U N ICO R N -E 、M ISTY 1 M a00和 3-keyTD ES。!分组长 度为 128 比特的算法:Cam ellia、CI
19、PH ER U N ICO R N -A 、SC2000、H ierocrypt-3 和 R ijndael128。目前, 分组密码的设计与分析依然是密 码学研究的热点。 设计方面主要是寻求更好的设计技术在安全性和效率方面突破 A ES 算法。分析方面主要是可证明安全性理论研究、应 用安全性研究及新的攻击方法挖掘。此外, 利用分组密码技术设计新的流密码算法、新的 H ash 函数算法也是研究的 热点。4.1 .2 流密码流密码(也叫序列密码) 的理论基础是一次一密算法, 它的主要原理是: 生成与明文信息流同样长度的随机密钥序列, 使用该序列按比特加密信息流, 得到密文序列, 解密变换是加密变换
20、的逆过程。根据 Shannon 的研究, 这样的算法可以达到完全保密的要求。但是, 在现实生活中, 生成完全随机的密钥序列是不可行的, 因此只能生成一些类似随机的密钥序列, 称之为伪随机序列。流密码内部存在记忆元件(存 储器) 来存储 生成的密钥序列。根据加密器中记忆元件的存储状态是否依赖于输入的明文序列, 又分为同步流密码算法(如图 2 所示)和自同步流密码算法( 如图 3 所示) 。流密码算法最初主要用于政府、军方等国家要害部门, 因此, 流密码不像分组密码那样有公开的国际标准, 大多数设计、分析成果都是保密的。但是随着流密码的 应用需求越来越广泛, 从 N ESSIE 工程开始, 流密码
21、算法的设计与分析也列上了公开征集评测的日程。2000 年 1 月欧洲启动的 N ESSIE 工程中 , 有 6 个流密码算法(Leviathan 、U Ii-128 、BM G L 、SO BER -t32 、SN O W 、SO BER -tl)进入了第二阶段评估, 但是因为他们都不符合 N ESSIE 的征集准 则而最终全部落选。 2003 年 3 月 , 日本政府的密码研究与评估委员会(CR Y PTR EC )推荐了 3 个流密码算法: M U G I、M U LTI-S01 和 R C4-128。ECR Y PT 7是欧洲第 6 框架研究计划(FP6)下 IST 基金支持的一个为期4
22、 年的项目, 该项目启动于 2004 年 2 月,分为 A ZTEC 、PR O V ILA B 、V A M PIR E 、STV L 和 W A V ILA 5 个部分。其中 STV L 正在进行流密码算法的公开征集评估活动: 2004 年 10 月 14 15 日在比利 时举行了一个名为 SA SC 的特别会议,会议的讨论引发了流密码算法的征集活动, 并于 2004 年 11 月发布了征集公告, 这也是对 N ESSIE 没有征集到流密码 算法的一个补充。征集活动到 2005 年 4 月 29 日结束, 根据 4 个征集原则, 一共征集到了 34 个流密码算法。2007 年 4 月开始进
23、入第三轮评估, 针对软件设计的候选算法有 CryptM T(V ersion3)、D ragon、R abbit、H C (H C-128 和 H C-256)、LEX (LEX -128、LEX -192和 LEX -256)、N LS(N LSv2 加密)、Salsa20 和 SO SEM A N U K 。针对硬设计的候选算法包括 D ECIM ( D ECIM v2 和 D ECIM -128)、F-FCSR (F-FCSR -H v2 和 F-FCSR -16)、Edon80、G rain (G rainv1 和 G rain-128)、M ICK EY (M ICK EY 2.0
24、和 M ICK EY -1282.0)、M oustique、Trivium 和 Pom aranch (V ersion 3)。对流密码研究内容集中在如下两方面:(1)衡量密钥流序列好坏的标准。通常, 密钥序列的检验标准采用 G olom b 的 3 点随机性公 设, 除此之外,还需做进一步局部随机性检验, 包括频率检验、序列检验、扑克检验、自相关 检验和游程检验, 以及反映序列不可预测性的复杂度测试等。但是, 究竟什么样的序列可以作为安全可靠的密钥序列, 还是一个未知的问题。(2)构造线性复 杂度高、周期大的密钥流序列。当前最常用的密钥序列产生器主要有: 基于线性反馈移位寄存器的前馈序列产
25、生器、非线性组合序列产生器、钟控序列产生器、基于分组 密码技术的密钥生成器等。4.2 Has h 函数H ash 函数 (也称 杂凑函数、散列函数)就是把任意长的输入消息串变化成固定长度的输出“ 0”、“ 1”串的函数 , 输出“ 0”、 “ 1”串被称 为该消息的 H ash 值(或杂凑值)。一个比 较安全的 H ash 函数应该至少满足以下几个条件:输出串长度至少为 128 比特,以抵抗生日攻击。!对每一个给定的输入, 计算H ash 值 很容易 (H ash 算法的运行效率通常都很高)。对给定的 H ash 函数, 已知 H ash 值, 得到相应的输入消息串(求逆)是计算上不可行的。对
26、给定的 H ash 函数和一个随机选择的消息, 找到另一个与该消息不同的消息使得它们 H ash 值相同(第二原像攻击)是计算上不可行的。对给定的 H ash 函数, 找到两个不同的输入消息串使得它们的 H ash 值相同(即碰撞攻 击 )实际计算上是不可行的 H ash 函数主要用于消息认证算法构造、口令保护、比特承诺协议、随机数生成和数字签名算法中。H ash 函数算法有很多, 最著名的主要有 M D 系列和 SH A 系列, 一直以来, 对于这些算法的安全性分析结果没有很大突破, 这给了人们足够的信心相信它们是足够安全的, 并被广泛应用于网络通信协议当中。直到 2004 年, 中国密码学
27、家王小云教授和她的团队将 M D 4 的碰撞攻击复杂度时间降到手工可计算8; 并将寻找 M D 5 算法实际碰撞的复杂度和 SH A -1 算法碰撞的理论复杂度分别降为 239 和 263 9-10。她们的出色工作, 颠覆了这座坚固的大厦, 也迫使众多密码学家重新评价目前 H ash 算法的安全强度, 同 时思考新的 H ash 函数算法设计方法。N ESSIE 工程推荐使用的 H ash 算法有 SH A -256/384/512 和 W hirlpool, 日本密码研究与评估委员会推荐使用的算法有 SH A -1/256/384/512、R IPEM D -160。ECR Y PT 也在
28、H ash 算法研究方面举办了一系列活动。此外, N IST 研究所将于 2008 年启动新的 H ash 标准的征集活动。 3 非对称密码算法非对称密钥密码体制, 即公开密钥密码体制指用户有两个密钥, 一个公开密钥, 一个私有密钥, 并且从私有密钥推导公开密钥是计算不可行的。公钥加密算法在运行速度方面无法和对称加密算法媲美, 但是这一思想很好地解决了对称密码学面临的密钥的分发与管理问题, 同时对于数字签名问题也给出了完美的解答, 并正在继续产生许多新的, 优秀的思想和方案。4.3 .1 基于 CA 的公钥密码公钥密码算法设计的关 键是存在多项式时间内不可解的困难问题。最早的也是目前使用最广泛
29、的公钥加密和签名方案是 R SA 算法, 该算法的安全性基于大整数分解问题。D iffie 和 H ellm an 提出的 D H 密钥交换方案以及后来的数字签名标准(D SS)和 ElG am al 加密算法多基于同离散对数问题相关的困难问题。此外,在基于离散对数问题的密码算法中有一类特殊的算法椭圆曲线和超椭圆曲线密码学(ECC )。这类算法的优点是参数长度较短( 见 表 1)可以达到较高的安全性, 因此, 非常适合在智能卡等存储空间有限的密码设备上使用。在 N ESSIE 工程中共推荐了 3 个数字签名算法: ECD SA 、R SA -PSS、SFLA SH 。2003 年 3 月, 日
30、本政府的密码研究与评估委员会推荐了两个公钥加密算法(R SA ES-PK CS1-v1 5、R A S-O A EP ) 和 4 个数字签名算法(ECD SA 、R SA SSA -PK CS1-v1 5、D SA 、R SA -PSS)。历经 20 多年的分析研究, 密码学家依然没有彻底攻破基于整数分解和基于离散对数的经典算法, 从而增强了人们对于这些算法的信心, 但是这并不意味着公钥加密和签名算法的研究可以停滞不前了。首先, 虽然在原始计算模型的假设下, 目前为止最有效的分解因子解法和离散对数解法都是亚指数时间。但是离散对数问题和分解因子问题始终没有被证明是多项式时间内不可解(N P )问
31、题。其次, 即使证明他们是N P 问题, 也不能确保相应的密码算法是安全的, 例如基于背包问题设计的密码算法几乎全军覆没。最后, 在量子计算机问世后, 这两类问题将存在多项式时间解法11。所以, 密码学家一直在探寻新的、可以用于设计公钥密码算法的困难问题。目前研究比较广泛的算法主要有如下几种: 基于编码问题的公钥密码算法(M cEliece, 1978)、基于格 问题的密码算法(N TR U , 1996)、多变量密码系统(M ultivariate PK C , 1999)以及基于无限群理论的密码算法(辫子群, 2000)等。4.3 .2 基于身份的公钥密码基于身份的密码学是由 Sham i
32、r12于 1984 年提出。其主要思想是, 系统中可以直接使用用户的标识, 如姓名、IP 地址、电子邮件地址等作为用户的公钥。用户的私钥通过一个被称作私钥生成器(PK G )的可信任第三方计算分发给用户。Sham ir 在提出这一思想的同时设计了一个基于身份的数字签名方案。然而, 直到 2001 年,Boneh 等人13利用椭圆曲线的双线性 对才得到一个真正有效的基于身份的加密体制(IBE )。目前, 基于身份的方案(包括基于身份的加密算法、 签名算法以及各种协议) 不断涌现出来。现阶段, 基于对的运算效率问题是亟需解决的问题, 也是现在研究的热门问题。4.3.3 密码协议所谓协议, 就是两个
33、或者两个以上的参与者为完成某项特定的任务而采取的一系列步骤。密码协议的参与者可能是可以信任的人, 也可能是攻击者。在网络通信中最常用的基本的密码协议按照其完成的功能可以分成以下 3 类:(1)密钥交换协议参与协议的两个或者多个实体之间建立共享的秘密, 例如在一次通信中所使用的会话密钥。协议可以采用对称密码体制, 也可以采用非对称密码体制, 例如 D iffie-H ellm an 密钥交换协议。日本政府的密 码 研究与评估委员会推荐了 3个密钥交换协议(D H 、ECD H 、PSEC-K EM )。(2)认证协议认证协议中包括实体认证(身份认证)协议、消息认证协议、数据源认证和数据目的认证协
34、议等, 用来防止假冒、篡改、否 认等攻 击。 N ESSIE 工程中推荐了一个由法国的 Ecole N orm alSuperieure 大学和电信公司提交的鉴别方案 G PS。(3)解决特殊问题的安全 协议解决特殊问题的安全 协议有电子选举协议、 电子钱币协议、安全多方计算协议 等。 ECR Y PT 的 PR O V I 实验室在密码协议研究方面又划分了 3 个研究小组: 模型和定义小组, 主要 负责认证、密钥协商、零知识和身份认证的研究; 安全计算小组, 主要负责高效的多方 计算协议、实用协议的可证明安全性和安全协议的无条件安全性研究; 合理密码协议小组, 主要负责密码协议模型的定义和合
35、理参与者的多方计算问题研究。ECR Y PT 于 2007 年3 月和 7 月分别举办了相关的主题研讨会。密码协议是许多分布式系统安全的基础, 因此, 对协议的安全性进行分析和研究是一个重要的课题。造成协议存在安全缺陷的原因主要有两个: 一是协议设计者误解或者采用了不恰当的技 术; 二是协议设计者对环境的安全需求研究不足。目前, 对密码协议进行分析的方法主要有两大类: 一类是攻击检验方法; 一类是形式化的分析方法。所谓攻击检验方法就是搜集使用目前的对协议的有效攻击方法, 逐一对安全协议进行攻击, 验安全协议是否具有抵抗这些攻击的能力。这种分析方法是否奏效关键在于攻击方法的选择。形式化的分析方法
36、是采用各种语言或者模型,为协议建立模型, 并按照规定的假设和分析、验证 方法证明协议的安全性。目前, 形式化的分析方法是研究的热点, 但是就其实用性来说, 还没有什么突破性的进展。五、密码学的前景一般来讲,信息安全主要包括系统安全及数据安全两方面的内容。系统安全一般采用防火墙、病毒查杀 、防范等被 动措施;而数据安全则主要是指采用现代密码技术对数据进行主动保护,如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。 密码技术是保障信息安全的核心技术。密码技术在古代就已经得到应用,但仅限于外交和军事等重要领域。随着现代计算机技术的飞速发展,密码技术正在不断向更多其他领域渗透。它是集数学、计
37、算机科学、电子与通信等诸多学科于一身的交叉学科。密码技术 不仅能够保证机密性信息的加密,而且完成数字签名、身份验证、系统安全等功能。所以,使用密 码技术不 仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造和假冒。5.1 密码学基础及新方向提出的前提密码学(Cryptography)包括密 码编码学和密码分析学。密码体制设计是密码编码学的主要内容,密码体制的破译是密码分析学的主要内容,密码编码技术和密码分析技术是相互依相互支持、密不可分的两个方面。 密码体制有对称密钥密码体制和非对称密钥密码体制。对称密钥密码体制要求加密解密双方拥有相同的密钥。而非对称密钥密码体制是
38、加密解密双方拥有不相同的密钥,在不知道陷 门信息的情况下,加密密钥和解密密钥是不能相互算出的。 然而密码学不仅仅只包含编码与破译,而且包括安全管理、安全协议设计、散列函数等内容。不仅如此,密码学的进一步发展,涌 现了大量的新技术和新概念,如零知识证明技术、盲签名、量子密 码技术、混沌密码等。 密码学还有许许多多这样的问题。当前,密码学发展面临着挑战和机遇。计算机网络通信技术的发展和信息时代的到来,给密码学提供了前所未有的发展机遇。在密码理论、密码技术、密码保障、密 码管理等方面进 行创造性思维,去开辟密码学发展的新纪元才是我们的追求。5.2 密码学的新方向对称密钥密码体制中,加密运算与解密运算
39、使用同样的密钥。这种体制所使用的加密算法比较简单,而且高效快速、密钥简短、破 译困难,但是存在着密钥传送和保管的问题。例如:甲方与乙方通讯,用同一个密钥加密与解密。首先,将密钥分发出去是一个难题,在不安全的网络上分发密钥显然是不合适的;另外,如果甲方和乙方之间任何一人将密钥泄露,那么大家都要重新启用新的密钥。通常,使用的加密算法 比较简便高效,密钥简短,破译极其困难。但是,在公开的计算机网络上安全地传送和保管 密钥是一个严峻的问题。1976 年,Diffie 和 Hellman 为解决密钥管理问题,在他们的奠基性 的工作“密码学的新方向“ 一文中,提出一种密 钥交换协议,允许 在不安全的媒体上
40、通讯双方 交换信息,安全地达成一致的密钥,它是基于离散指数加密算法的新方案:交易双方仍然需要协商密钥,但离散指数算法的妙处在于: 双方可以公开提交某些用于运算的数据,而密钥却在各自 计算机上产生,并不在网上传递。在此新思想的基础上,很快出现了“不对称密 钥密码体 制“, 即“公开密钥密码体制“,其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以 用,解密密钥只有解密人自己知道,分别称为“公开密 钥“(public-key) 和“ 秘密密钥“(priv ate-key), 由于公开密钥算法不需要联机密钥服务器,密 钥分配协议简单,所以极大地简化了密钥管理。除加密功能外,公钥系统还可以提供数字
41、签名。目前,公开密 钥加密算法主要有RSA、Fertezza、EIGama 等。我们说区分古典密码和现代密码的标志,也就是从 76 年开始,迪非,赫 尔曼发表了一篇叫做密码学的新方向的文章,这篇文章是划时代的;同时 1977 年美国的数据加密标准(DES)公布,这两件事情导致密码学空前研究。以前都认为密码是政府、军事、外交、安全等部 门专用,从 这时候起,人们看到密码已由公用到民用研究,这种转变也导 致了密码学的空前发展。迄今为止的所有公钥密码体系中,RSA 系统是最著名、使用最广泛的一种。RSA 公开密钥密码系统是由 R.Rivest、A.Shamir 和 L.Adleman 三位教授于 1
42、977年提出的,RSA 的取名就是来自于这三位发明者姓氏的第一个字母。 RSA 算法研制的最初目标是解决利用公开信道传输分发 DES 算法的秘密密钥的难题。而实际结果不但很好地解决了这个难题, 还可利用 RSA 来完成对电文的数字签名,以防止对电文的否认与抵赖,同 时还可以利用数字签名较容易地发现攻击者对电文的非法篡改,从而保护数据信息的完整性。 公用密钥的优点就在于:也许使用者并不认识某一实体,但只要其服务器认为该实体的 CA(即认证中心 Certification Authority 的缩写)是可靠的,就可以进行安全通信,而这正是 Web 商务这样的业务所要求的。例如使用信用卡购物,服务方
43、对自己的资源可根据客户 CA 的发行机构的可靠程度来授 权。目前国内外尚没有可以被广泛信赖的 CA,而由外国公司充当 CA 在我国是非常危险的。 公开密钥密码体制较秘密密钥密码体制处理速度慢,因此,通常把这两种技术结合起来能实现最佳性能。即用公开密钥密码技术在通信双方之间传送秘密密钥,而用秘密密钥来对实际传输的数据加密解密。 5.3、密码学的最新进展在实际应用中不仅需要算法本身在数学证明上是安全的,同时也需要算法在实际应用中也是安全的。因此,在密码分析和攻击手段不断进步, 计算机运算速度不断提高以及密码应用需求不断增长的情况下,迫切需要发展密码理论和创新密码算法,在最近研究中,对密码学的发展提
44、出了更多的新技术与新的研究方向5.3.1 在线/离线密码学非对称密码的执行效率不能很好地满足速度的需要针对效率问题,在线/离线的概念被提出。其主要观 点是将一个密码体制分成两个阶段:在线执行阶段和离线执行阶段。在离线执行 阶段,一些耗 时较多的计 算可以预先被执行。在在 线阶段,一些低计算量的工作被 执行。5.3.2.圆锥曲线密码学圆锥曲线密码学是 1998 年由本文第一作者首次提出,C.Schnorr 认为,除椭圆曲线密码以外这是人们最感兴趣的密码算法。在圆锥曲线群上的各项计算比椭圆曲线群上的更简单,一个令人激动的特征是在其上的编码和解码都很容易被执行。同 时,还可以建立模 n 的圆锥曲线群
45、,构造等价于大整数分解的密 码。5.3.3.代理密码学代理密码学包括代理签名和代理密码系统。两者都提供代理功能,另外分别提供代理签名和代理解密功能。 5.3.4.密钥托管问题在密钥托管系统中,法律强制访问域 LEAF(Law Enforcement Access Field)是被通信加密和存储的额外信息块,用来保证合法政府实体或被授权第三方获得通信的明文消息。对于一个典型的密钥托管系统,LEAF 可以通过获得通信的解密密钥来构造。为了更合理,可以将密钥分成一些密 钥碎片,用不同的密 钥托管代理的公钥加密密钥碎片,再将加密的密钥碎片通过门限化的方法合成。以此来解决“一次 监控,永远监控”和“用户
46、密钥完全地依 赖于可信任托管机构” 的问题。5.3.5.基于身份的密码学基于身份的密码学是由 Shamir 于 1984 年提出的。主要观点是,系统中不需要证书,可以使用用户的标识 如姓名、 电子邮件地址等作为公钥。用 户的私钥通过一个被称作私钥生成器 PKG(Private Key Generator)的可信任第三方进行计算得到。目前,基于身份的方案包括基于身份的加密体制、可鉴别身份的加密和签密体制、签名体制、密钥协商体制、 鉴别体制、 门限密码体制、层次密码体制等。5.3.6.多方密钥协商问题当前已有的密钥协商协议包括双方密钥协商协议、双方非交互式的静态密钥协商协议、双方一轮密钥协 商协议
47、、双方可 验证身份的密钥协商协议以及三方相对应类型的协议。如何设计 多方密钥协商协议?存在多元线性函数(双线性对的推广) 吗?如果存在,我们能够构造基于多元线性函数的一轮多方密钥协商协议。而且,这种函数如果存在的话,一定会有更多的密码学应用。然而,直到 现在,在密码学中,这个问题还远远 没有得到解决。5.3.7.可证安全性密码学对于公钥加密和数字签名等方案,我们建立相应的安全模型。在相应的安全模型,定义各种所需的安全特性。对于模型的安全性,目前可用的最好的 证明方法是随机预言模型 ROM(Random Oracle Model)。这 是由 Bellare 和 Rogaway 于1993 年提出
48、的,它是一种非 标准化的计算模型。在这个模型中,任何具体的 对象例如哈希函数,都被当作随机对象。它允 许人们规约 参数到相应的计算,哈希函数被作为一个预言返回值,对每一个新的查询,将得到一个随机的应答。 规约使用一个对手作为一个程序的子例程,但是,这个子例程又和数学假设相矛盾,例如 RSA 是单向算法的假设。概率理 论和技术在随机预言模型中被广泛使用。六、学习现代密码学的感受密码学充满了神秘性,让我对她产生了浓厚的兴趣和好奇。最近的这次人类战争中,即二战,认识到密码和情报是一件事情。而在当代密码学跟数学,计算机只是一个大背景,因为信息将会以网络为媒介,所以现代密码学更多的是以数字化的信息而非纸
49、质为研究对象。所以密码学归根结底是数学问题,计算能力是数学的一个方面,高性能的计算机可以成为国力的象征,分析情报就是一方面。数学研究等一些自然基础学科的研究才是国家实力的坚定的基石,才是一个自然科学的学生的理想所在。数学研究很广泛,而密码 学涉及很有限,大多与 计算机学科相关,如离散数学。从数学的分类包括:数论 、近世代数、矩 阵论、域论,以及其它结合较为紧密地理论:信息论、编码论、量子学、混沌 论。密码学只是信息安全的一项工具,不可独当一面。信息安全是一个较为泛泛的提法,至少从目前出版的图书的目录来开,多 为软 件(加密软件、操作系 统安全设置、数据库用户权限分配)、硬件(路由、防火 墙、防雷击、盗窃等等等)以及管理法律法规之类。而密码学因 为理论的复杂更被简化为一些密码学历史知识、文档翻译(比如 Simple-DES FIPS 46)、使用说明。密码学课程更分可以分为理科(理论基础研究)、工科(应 用实现与标准标准)和文科(政治与经济)。密码学的应用领域很广,外交、军事、商业、法律、金融,但凡出现计算机网络、敏感信息地方都有不同程度的安全需求。在国家信息化时期深入了人类社会的方方面面。或许会在正飞速发展的人类社会变革的一个因素,生物技术(克隆、dna)、空间技术(宇航)、资源技术(新材
