密钥配送问题

问题缘由

之前讲的分组密码算法是使用的对称密钥，也就是说加密和解密用的同一个密钥。如果两个人通信。其中一个是发送者，一个是接收者，这两者之间要正常通信，就必须同时知道这个密钥。这就是密钥配送问题的由来。

事先共享密钥。这个很容易理解，例如先用人把密钥告诉对方。问题也很明显，每次通话都需要不同的密钥，那么密钥数量是海量的。这会导致人力根本无法晚成。
通过密钥中心分配。简单的说是通过一个中心服务器进行分配密钥。这个解决办法带出会话密钥的概念。具体的方式如下：
1、中心服务器为每一个人分配唯一一个私有的密钥
2、A和B需要通信，就向中心服务器申请一个临时的会话密钥
3、中心服务器把会话密钥分别用A和B的私有密钥进行加密，然后发送给A和B
4、A和B接收到会话密钥的密文后，用自己的私有密钥进行解密获得会话密钥，再用会话密钥进行通信。
问题。全部人员所有通信密钥都产生于一个地方，这个地方的压力就相当大，而且一旦此服务器坏掉，则所有人员无法通信。
Diffie-Hellman密钥交换解决办法。这个的特点是通信双方通过交换一些信息，分别计算出通信密钥。而这些信息哪怕被窃听者知道，窃听者也无法计算出密钥。SSL通信使用的就是这种技术。
公钥密码解决办法。这个就是本章要介绍的解决办法。

所谓公钥密码，其实就是参与加密和解密的是两套密钥。
加密用接收者的公钥，接收者用私钥进行解密，公钥和私钥是成对的。
由于加密的是公钥，也就是本身就是公开的，所以即使是窃听者截获了公钥也不能对密文进行解密。这就解决了刚才讨论的对称密钥的密钥配送问题。
目前RSA是事实的公钥密码算法标准。
问题：
1、公钥是否是真的接收者发送的公钥？这个涉及到公钥认证问题，也就是可能受到中间人攻击。
2、公钥密码加密的速度远远低于对称密钥，大概只有对称密钥的几百分之一，这在实际应用中也是一个明显的缺陷。

加密算法。
1. 密文 = 明文 E mod N ，就是明文自己乘以自己E次（E次幂），再和N取模。
2. 公钥 = {E,N}
解密算法。
1. 明文 = 密文 D mod N ，就是密文自己乘以自己D次（D次幂），再和N取模。
2. 私钥 = {D,N}
生成密钥对。也就是计算 E、N、D。
1. 准备两个很大的质数 p 和 q。
2. N = p x q
3. L = lcm(p-1, q-1) 【L是中间过程的数值，L为 (p-1) 和 (q-1)的最小公倍数】
4. 求解E，满足如下条件：
  1 < E < L
  gcd(E, L) = 1 【E和L的最大公约数为1】
5. 求解D，满足如下条件：
  1 < D < L
  E x D mod L = 1

基于密钥生成原理的攻击
从上面的生成原理可以看到，E、N是公开的，D、p、q、L不是公开的。
1. 通过密文求得明文。
  如果仅仅是"密文 = 明文 E"，那么完全可以通过求对数由密文得到明文。但是由于加上了"mode N"，所以问题变成了求离散对数。
  这个目前没有高效的算法，此办法不通。
2. 暴力破解D。
  目前p和q基本是512比特，N为1024，E和D基本和N一样。
  如此长度下，暴力破解几乎不可能，此办法不通。
3. 通过E和N求出D。
  问题在于L不知道，其实最根本的是不知道p和q。
  p和q是绝对不能让攻击者知道的，这等同于知道私钥。
4. 对N进行质因数分解攻击。
  N是由p和q相乘得到的，N是公开的，所以如果能进行N的质因数分解，就能得到p和q。
  但现在没有针对打证书进行质因数分解的高效算法，所以目前RSA还未破解。
  从中可以得到p和q的长度很重要。
5. 通过推测p和q进行攻击。
  p和q是伪随机数生成的，如果伪随机数的算法很差，那么密码是可以被推测破译的。
中间人攻击
下面讲解整个流程，就很清楚如何进行攻击的了。

中间人攻击成功的根因在于，发送者和接收者都无法判断接收到的信息，是否是真正的正确的人发送的信息。这就涉及到认证的问题。此问题后面章节会解决。