《第七章-密码体制的安全性测度优秀PPT.ppt》由会员分享,可在线阅读,更多相关《第七章-密码体制的安全性测度优秀PPT.ppt(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第7 7章:信息论与密码体制的平安性测度章:信息论与密码体制的平安性测度Shannon 的信息论和保密码通信理论的信息论和保密码通信理论1.信息论与密码学的发展信息论与密码学的发展古典密码学:密码专家常常依据自己的感觉古典密码学:密码专家常常依据自己的感觉和阅历进行密码设计和分析,密码设计中和阅历进行密码设计和分析,密码设计中的技巧性和阅历性很强的技巧性和阅历性很强.l Shannon Shannon:美国工程师:美国工程师 l 1948 1948年发表年发表“A Mathematical Theory “A Mathematical Theory of ommunication”of om
2、munication”,标记信息论的诞生,标记信息论的诞生l 1949 1949年发表年发表“Communication Theory of “Communication Theory of Secrecy system”Secrecy system”,以信息论为基础,用概率,以信息论为基础,用概率统计为数学手段对保密通信问题进行了分析。统计为数学手段对保密通信问题进行了分析。l由香农提出的保密系统模型目前仍旧是现代由香农提出的保密系统模型目前仍旧是现代密码学的基本模型密码学的基本模型.1973年,美国国家标准局(NBS)发布了公开征集标准分组密码算法(DES)的确定 公钥密码学建立:1976
3、年,Diffie 和 Hellman 提出了公钥密码设计思想 公开DES算法和公钥密码学的建立标记着现代密码学的起先 美国在美国在20002000年公布了高年公布了高级级加密加密标标准准(AES-(AES-Advanced Encryption Standard),Advanced Encryption Standard),欧洲在欧洲在20002000年年1 1月也推出了欧洲加密月也推出了欧洲加密标标准准评评比支配,比支配,在在20032003年年2 2月月2727日公布了各个算法日公布了各个算法标标准准2.Shannon 的信息论与信息传输理论的信息论与信息传输理论 Shannon通信系统
4、Shannon通信系统通信系统:信源:产生信息的来源信源:产生信息的来源编码:把信息变为信号的运算以适合在信道中的传输编码:把信息变为信号的运算以适合在信道中的传输信道:用来从放射者到接收者之间传输信号的介质信道:用来从放射者到接收者之间传输信号的介质译码:把信号变为信息的运算译码:把信号变为信息的运算信宿:信息传输的归宿和目的地,信息接收人或仪器信宿:信息传输的归宿和目的地,信息接收人或仪器 编码编码译码译码信宿信宿信源信源信道信道干扰源干扰源3.信息平安与密码学信息平安与密码学 密码学密码学(Cryptology):是探讨密码系统或是探讨密码系统或通信信息平安的一门科学。它主要包括通信信息
5、平安的一门科学。它主要包括两个分支两个分支:密码编码学和密码分析学。密码编码学和密码分析学。密码编码学密码编码学(Cryptography):找寻确保信找寻确保信息保密或信息得到认证的方法息保密或信息得到认证的方法密码分析学密码分析学(Cryptanalytics):主要是探讨主要是探讨破译加密信息或消息的伪造破译加密信息或消息的伪造密码技术革新是信息平安的关键技术密码技术革新是信息平安的关键技术.ShannonShannon保密通信系统保密通信系统 公开信道公开信道密钥信道密钥信道n明文明文(Plaintext):没有加密的消息没有加密的消息n密文密文(Ciphertext):加密后的消息加
6、密后的消息n加密算法加密算法(Encryption):将明文将明文变换变换成密文的成密文的过过程程n解密算法解密算法(Decryption):将密文复原成明文的将密文复原成明文的过过程程n加密和解密加密和解密过过程通常在一程通常在一组组密密钥钥(key)的限制下的限制下进进行,密行,密钥钥分分别别称称为为加密密加密密钥钥和解密密和解密密钥钥。基本概念基本概念密码体制系是一个五元组(密码体制系是一个五元组(P,C,K,E,D)满足条件:满足条件:(1)P是可能明文的有限集;(明文空间)是可能明文的有限集;(明文空间)(2)C是可能密文的有限集;(密文空间)是可能密文的有限集;(密文空间)(3)K
7、是一切可能密钥构成的有限集;(密钥空间)是一切可能密钥构成的有限集;(密钥空间)(4)随意)随意k K,有一个加密算法,有一个加密算法 ek E 和相应的和相应的解密算法解密算法dk D,使得,使得ek:PC 和和dk:C P 分别为加密解密函数,分别为加密解密函数,满足满足dk(ek(x)=x,这里,这里 x P。密码体系形式化描述密码体系形式化描述加密算法足够强大:仅知密文很难破译出明文加密算法足够强大:仅知密文很难破译出明文基于密钥的平安性,而不是基于算法的平安性:基于密文和基于密钥的平安性,而不是基于算法的平安性:基于密文和加加/解密算法很难破译出明文解密算法很难破译出明文算法开放性:
8、开放算法,便于实现算法开放性:开放算法,便于实现加密的平安性问题加密的平安性问题n理论平安和实际平安理论平安和实际平安n理论平安,或无条件平安:理论平安,或无条件平安:n 攻击者无论截获多少密文,都无法得到足够的信息来唯一攻击者无论截获多少密文,都无法得到足够的信息来唯一地确定明文。地确定明文。Shannon用理论证明:欲达理论平安,加密密用理论证明:欲达理论平安,加密密钥长度必需大于等于明文长度,密钥只用一次,用完即丢,钥长度必需大于等于明文长度,密钥只用一次,用完即丢,即一次一密,即一次一密,One-time Pad,不好用。,不好用。n实际平安,或计算上平安:实际平安,或计算上平安:n
9、假如攻击者拥有无限资源,任何密码系统都是可以被破译假如攻击者拥有无限资源,任何密码系统都是可以被破译的;但是,在有限的资源范围内,攻击者都不能通过系统地的;但是,在有限的资源范围内,攻击者都不能通过系统地分析方法来破解系统,则称这个系统是计算上平安的或破译分析方法来破解系统,则称这个系统是计算上平安的或破译这个系统是计算上不行行(这个系统是计算上不行行(Computationally Infeasible)。)。n无条件保密性也叫完善保密性。一个保密系统具有无条件保密性也叫完善保密性。一个保密系统具有完善保密性,是指攻击者在有无限的攻击时间和资完善保密性,是指攻击者在有无限的攻击时间和资源下无
10、法破译此系统。源下无法破译此系统。Shannon在理论上证明白在在理论上证明白在唯密文攻击条件下完善保密性的系统是存在的。唯密文攻击条件下完善保密性的系统是存在的。“一次一密一次一密”(one-time pad)保密系统保密系统:假设密钥空间大于或等于明文空间,密钥空间的各个假设密钥空间大于或等于明文空间,密钥空间的各个重量是统计独立的,并且是等概率地选取,对不同的重量是统计独立的,并且是等概率地选取,对不同的明文用不同的密钥进行加密。在此假设条件下,仅从明文用不同的密钥进行加密。在此假设条件下,仅从密文得不到明文的任何信息密文得不到明文的任何信息“一次一密一次一密”保密系统在理论上被认为是不
11、行破译的。保密系统在理论上被认为是不行破译的。即使密码分析者知道了和一段密文相对应的明文,他即使密码分析者知道了和一段密文相对应的明文,他也仅仅得到了这一段的密钥,由于密钥空间大于或等也仅仅得到了这一段的密钥,由于密钥空间大于或等于明文空间,密钥不重复运用,因此,已知密钥对其于明文空间,密钥不重复运用,因此,已知密钥对其他密文并不适用他密文并不适用u但是,进行大量的明文加密,产生如此多的一但是,进行大量的明文加密,产生如此多的一次一密的密钥特别困难,密钥的管理和通信双次一密的密钥特别困难,密钥的管理和通信双方的沟通也有困难。实际的加密系统是通过双方的沟通也有困难。实际的加密系统是通过双方共享重
12、复运用的有限长度的主密钥,利用算方共享重复运用的有限长度的主密钥,利用算法困难性产生伪随机数进行加密法困难性产生伪随机数进行加密所以:一次一密(所以:一次一密(one-time pad)方)方案不好用。案不好用。u熵的密码意义:熵的密码意义:u 假假如如H(M)=0,则则表表示示该该信信息息不不含含任任何何不不确确定定性性,因因此此,该该信信息息或或该该事事务务百百分分之之百百会会发发生生。从从通通信信的的角角度度看看,既既然然该该信信息息百百分分之之百百会会发发生生,意意义义就就不大,没有必要再发送。不大,没有必要再发送。u 反反之之,假假如如H(M)很很大大,则则表表示示信信息息的的不不确
13、确定定性性很很大大,从从而而收收方方收收到到该该信信息息时时,其其信信息息量量就就相相当当大(重要)了。大(重要)了。u 从从平平安安角角度度看看,假假如如信信息息的的熵熵值值不不大大,即即不不确确定定性性太太小小,此此条条件件供供应应攻攻击击者者很很大大的的概概率率可可以以猜猜中中该该信信息息,从从密密码码技技术术角角度度来来说说,就就易易破破解解;反反之之,熵值越大,越难破解。熵值越大,越难破解。4.熵与密码学熵与密码学 n从信息论的观点看,一个保密系统(从信息论的观点看,一个保密系统(P P,C C,K K,E E,D D)称为完善的无条件的保密系统,假如)称为完善的无条件的保密系统,假
14、如H(P)=H(P|C)H(P)=H(P|C)。(知道密文与不知道密文时,关。(知道密文与不知道密文时,关于明文的熵大小一样)于明文的熵大小一样)n对于完善保密系统,也有对于完善保密系统,也有H(K)=H(K|C)H(K)=H(K|C)。u密码体制的熵密码体制的熵u从从ShannonShannon理论知道,仅当可能的密钥数目理论知道,仅当可能的密钥数目至少与可能的消息数目一样多时,它完全至少与可能的消息数目一样多时,它完全保密才是可能的。换句话说,密钥至少必保密才是可能的。换句话说,密钥至少必需与消息本身一样长,并且没有密钥被重需与消息本身一样长,并且没有密钥被重复运用时,这就是一次一密体制。
15、复运用时,这就是一次一密体制。u所以可以说,密码体制的熵可用密钥空间所以可以说,密码体制的熵可用密钥空间大小的量度。即密钥的数目为大小的量度。即密钥的数目为K K的密码体制的密码体制的熵为:的熵为:uH H(K K)=log2K=log2Ku一般而言,一个密码体制的熵越大,不确一般而言,一个密码体制的熵越大,不确定性越大,破译它就越困难。定性越大,破译它就越困难。u所以,要构造一个完善保密系统,其密钥所以,要构造一个完善保密系统,其密钥量的对数(密钥空间为匀整分布的条件下)量的对数(密钥空间为匀整分布的条件下)必需不小于明文集的熵必需不小于明文集的熵5.互信息量与保密性 从密文从密文C中提取关
16、于明文中提取关于明文P的信息为:的信息为:(7.4.1)或从密文中提取密钥信息:(7.4.2)因此,(P/C)和(K/C)越大,攻击者从密文中获得明文或密钥信息越少。(7.4.3)于是 (7.4.4)对于合法用户,知道密钥和密文,就可以得到对于合法用户,知道密钥和密文,就可以得到明文,即:明文,即:说明对于合法用户,知道密钥和密文的状况下,就说明对于合法用户,知道密钥和密文的状况下,就可以得到全部明文!可以得到全部明文!(7.4.)说明:密钥空间越大,从密文中可以提取的说明:密钥空间越大,从密文中可以提取的关于明文的信息量就越小。对于完善保密系关于明文的信息量就越小。对于完善保密系统,有:统,
17、有:(7.4.)当密钥空间大于明文空间,即(7.4.)定理:对随意密码系统,有定理:对随意密码系统,有.唯一解距离唯一解距离 设给定长密文序列:其中为密文字母表。依据条件熵的性质:其中为密文字母表。依据条件熵的性质:(7.4.)易知,随着的增大,密钥疑义度(K/C)减小。唯一解距离唯一解距离V0是指攻击者在进行唯密文攻击时必处是指攻击者在进行唯密文攻击时必处理的密文量的理论下界:理的密文量的理论下界:亦即截获的密文越多,从中提取的 关于密钥的信息就越多。当疑义度减小到零,即 时 (7.4.9)密钥被完全确定,从而实现破译。假如令(7.4.10)代表明文信息变差,其中 和 分别代表明文熵和明文最大熵,可以证明,唯一解距离(7.4.11)密码分析攻击有密码分析攻击有6类类 惟密文攻击惟密文攻击 已知明文攻击已知明文攻击 选择明文攻击选择明文攻击 自适应选择明文攻击自适应选择明文攻击 选择密文攻击选择密文攻击 选择密钥攻击选择密钥攻击 分析方法分析方法 数学方法数学方法 边信道攻击边信道攻击 数学方法数学方法 穷举搜索穷举搜索 统计分析统计分析 逆向推理逆向推理 线性分析线性分析 差分分析差分分析 相关分析相关分析 边信道攻击边信道攻击 时间攻击时间攻击 能量攻击能量攻击 电磁攻击电磁攻击 故障攻击故障攻击