软考信息安全工程师笔记(第二章--密码学基础与应用)

目录

1. 密码学基本概念

1.1 密码学的基本安全目标

1.2 密码体制

1.3 古典密码

2. 分组密码

2.1 分组密码的概念

2.2 DES

2.3 AES

2.4 SM4

2.5 分组密码工作模式

3. 序列密码

3.1 序列密码的概念

3.2 线性移位寄存器序列

3.3 RC4序列密码

3.4 ZUC

4. Hash函数

4.1 Hash函数的概念

4.2 SHA

4.3 SM3

4.4 HMAC

5. 公钥密码体制

5.1 公钥密码体制的概念

5.2 RSA

5.3 EIGamal

5.4 椭圆曲线密码

5.5 SM2椭圆曲线公钥加密

6. 数字签名

6.1 数字签名的概念

6.2 典型数字签名体制

6.3 SM2椭圆曲线数字签名

7. 认证

7.1 认证的概念

7.2 身份认证

7.3 报文认证

8 密钥管理

8.1 密钥管理的概念

8.2 对称密钥的生成

8.3 非对称密钥管理

---

1. 密码学基本概念

1.1 密码学的基本安全目标

密码学作为信息安全的关键技术，其安全且标主要包括三个非常重要的方面，保密性(confidentiality)、完整性(integrity) 和可用性(availability)

• 保密性是确保信息仅被合法用户访问，而不被泄路给非授权的用户、实体或过程， 或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特 性。这里的“访问”是指不仅可以读，还能浏览、打印或简单了解一些特殊资源是否存在。
• 完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能 行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱 序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。
• 可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并 按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络 部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统 面向用户的安全性能。信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。

1.2 密码体制

明文空间M，密文空间C，密钥空间K<加密密钥Ke，解密密钥Kd>，加密算法E，解密算法D

加密：

C=E(M, Ke)

解密：

M=D(C, Kd)=D(E(M, Ke), Kd)

如果一个密码体制的Kd= Ke,或由其中一个很容易推出另一个，则称为单密钥密码体制或对称密码体制或传统密码体制。否则称为双密钥密码体制。

1. 穷举攻击：尝试所有可能的密钥对所得的密文进行解密，直至得到正确的明文
2. 数学分析攻击：针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码
3. 基于物理的攻击：利用密码系统实现时泄露的额外信息，推导密码系统中的秘密参数（功耗攻击、电磁场攻击、时间攻击）

 

1. 仅知密文攻击：仅仅知道密文，对分析者最不利
2. 已知明文攻击：知道某些明文-密文对
3. 选择明文攻击：能够选择明文并获得相应的密文
4. 选择密文攻击：能够选择密文并获得相应的明文

1.3 古典密码

置换密码

排成一个矩阵，变换顺序（行变列，列变行）

经不起已知明文攻击

代替密码

明文字母表：A={a0, a1, ........, an-1}

密文字母表：B={b0, b1, ........, bn-1}

A  —> B 映射得到密文

(1)加法密码

f(ai)=bi=aj

j=i+k mod n                       k:0

(2)乘法密码

f(ai)=bi=aj

j=i*k mod n

(3)仿射密码

f(ai)=bi=aj

j=ik1+k0 mod n

 (4)代数密码

明文：，密钥：，密文：

经不起已知明文攻击

2. 分组密码

2.1 分组密码的概念

将M划分为一系列的明文块，每一块都用同一个密钥Ke进行加密

2.2 DES

美国政府于1977年1月5日颁布作为数据加密标准(Data Encrvption Standard, DES)。DES的设计目标是，用于加密保护静态存储和传输信道中的数据，安全使用10~15年。

面向二进制，能加解密任何形式的数据

对合运算 

56位密钥

明文初始IP置换后分成左32位L，右32位R

参考文章(https://blog.csdn.net/qq_43065505/article/details/104103948)

2.3 AES

2000 年10月2日美国政府正式宣布选中比利时密码学家 Joan Daemen 和Vincent Rijmen 提出的一种密码算法RINDAEL作为AES。2001 年11 月26日，美国政府正式颁布AES为美国国家标准(编号为FIST PUBS 197)。

最短密钥为128位

1. S盒操作
2. 行移位
3. 列混合
4. 轮密钥加

至今尚未发现RUNDAEL算法的严重缺陷。

参考文章(https://blog.csdn.net/qq_43065505/article/details/104140158)

2.4 SM4

2006年我国国家密码管理局公布了无线局域网产品使用的SM4密码算法，这是我国第一次公布自己的商用密码算法。

SM4密码算法是一个分组算法；数据分组长度为128比特，密钥长度为128比特；加密算法与密钥扩展算法都采用32轮迭代结构；SM4密码算法以字节(8 位)和字(32 位)为单位进行数据处理；SM4密码算法是对合运算，因此解密算法与加密算法的结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。

1. S盒：单位为字节(8位)，非线性替代变换
2. 非线性变换τ：单位为字(32位)，非线性替代变换，由4个S盒并置构成；输入A=(a0,a1,a2,a3)，输出B=(b0,b1,b2,b3)，则B=τ(A)=(S_box(a0),S_box(a1),S_box(a2),S_box(a3))
3. 线性变换部件L：单位为字(32位)；作用在于扩散；输入字B，输出字C，则 C=L(B)=B⊕(B<<<2)⊕(B<<<10)⊕(B<<<18)⊕(B<<<24)
4. 合成变换T：非线性变换τ和线性变换部件L复合而成；输入字X，T(X)=L(τ(X))
5. 轮函数F：输入为（X0,X1,X2,X3)，四个32位的字，共128位；轮密钥为rk，32位字；F(X0,X1,X2,X3,rk) = X0⊕T(X1⊕X2⊕X3⊕rk)=X0⊕L(τ(X1⊕X2⊕X3⊕rk))
6. 加密算法：分组长度128比特，密钥长度128比特，32轮迭代结构；输入明文(X0,X1,X2,X3)四个字，轮密钥rki，i=0,1,2, ... ,31，共32个字；输出密文(Y0,Y1,Y2,Y3)，四个字；算法为Xi+4=F(Xi,Xi+1,Xi+2,Xi+3,rki)=Xi⊕T(Xi+1⊕Xi+2⊕Xi+3⊕rki)，i=0,1, ... , 31； (Y0,Y1,Y2,Y3)=(X35,X34,X33,X32)
7. 解密算法：Xi+4=F(Xi,Xi+1,Xi+2,Xi+3,rki)=Xi⊕T(Xi+1⊕Xi+2⊕Xi+3⊕rki)，i=0,1, ... , 31；(Y0,Y1,Y2,Y3)=(X35,X34,X33,X32)
8. 密钥扩展算法：加密密钥128位，32轮迭代，每一轮32位轮密钥，密钥扩展算法 —> 从加密密钥中产生32个轮密钥；输入加密密钥为MK=(MK0,MK1,MK2,MK3)；FK0=(A3B1BAC6)，FK1=(56AA3350), FK2=(677D9197), FK3=(B27022DC)；(K0,K1,K2,K3)=(MK0⊕FK0,MK1⊕FK1,MK2⊕FK2,MK3⊕FK3)；For i = 0, 1, ... ,30, 31  Do rki=Ki+4=Ki⊕T(Ki+1⊕Ki+2⊕Ki+3⊕CKi)

可以抵抗差分攻击、 线性攻击等现有攻击；根据目前的公开文献，尚未发现SM4有重要缺陷。

2.5 分组密码工作模式

 

3. 序列密码

3.1 序列密码的概念

将明文和密钥划分为位(bit)或字符，对于明文序列中的每一位或字符都用密钥序列中的对应分量来加密

3.2 线性移位寄存器序列

f(s0,s1, ... ,sn-1)=g0s0+g1s1+...+gn-1sn-1

g(x)=gnx^n+gn-1x^n-1+...+g1x+g0

设g(x)=x^4+x+1, g(x)为本原多项式，以其为连接多项式的线性移位寄存器如图所示，其输出序列为10101010111000...，它是周期为2^4 - 1=15 的m序列。

3.3 RC4序列密码

RC4庄列密码是美国RSA数据安全公司设计的一种序列密码。

RC4算法取n=8，使用2^n=2^8=256个字节构成的s表和两个字节(n=8 位)指针(I 和J),总共需要258字节的存储空间。s表的值S0,S1, ... ,S255 是0,1, ... ,255 的一一个排 列。I和J的初值为0.其中表值和指针值的算术运算按模22"=256进行。

我们可以把RC4算法看成一个有限状态自动机。把S表和J、I指轩的其体取值称为RC4的一个状态：T=；对T进行非线性变换产生新的状态，输出密钥序列中的一个字节k：

1. I=0, J=0;
2. I=I+1  mod 256;
3. J=J+SI  mod  256;
4. 交换SI 和 SJ

输出函数：

1. h=SI+SJ  mod  256
2. k=Sh

以k为密钥字符，RC4有限状态自动机不停运转，便源源不断的产生出密钥字符序列。加密时，将密钥字符k与明文字符模2相加便完成了加密。解密时，将密钥字符k 与密文字符模2相加便完成了解密。

抗穷举攻击，算法简单，软件实现容易，加密速度快；可能是商用领域应用最广的序列密码；Windows、 Lotus Notes等软件系统 都采用了RC4算法，SSL/TLS(安全套接字层协议/传输层安全协议)和WEP协议(Wired Equivalent Privacy)也都应用了RC4密码。

3.4 ZUC

ZUC(ZU Chongzhi)算法，即祖冲之算法，是移动通信3GPP机密性算法EEA3和完整性算法EIA3的核心，是中国自主设计的加密算法,是中国第一个成为国际密码标准的密码算法。ZUC是一个同步流密码算法。

ZUC算法在逻辑上采用三层结构设计，如图所示。

1. 上层为定义在素域GF(2^31-1)上的线性反馈移位寄存器(LFSR),这是ZUC算法设计的一大创新。
2. 中间层为比特重组。
3. 下层为非线性函数F。

ZUC算法本质上是一种非线性序列产生器。由此，在种子密钥的作用下，可以产生足够长的安全密钥序列。把与密钥序列与明文数据模2相加，便完成了数据加密；把密钥序列与密文数据模2相加，便完成了数据解密。

4. Hash函数

4.1 Hash函数的概念

Hash函数将任意长的报文M映射为定长的hash码h，hash码也称报文摘要，它是所有报文位的函数。它具有错误检测能力，即改变报文的任何一位或多位，都会导致hash码的改变。在实现认证过程中发送方将hash码附于要发送的报文之后发送给接收方，接收方通过重新计算hash码来认证报文。Hash函数可提供保密性、报文认证以及数字签名功能。

• 单向性:对任何给定的hash函数值h,找到满足H(x)=h的x在计算上是不可行
• 抗弱碰撞性:对任何给定的分组x，找到满足y≠x且H(x)=H(y)的y在计算上是不可行的。
• 抗强碰撞性:找到任何满足H(x)=H(y)的偶对(x，y)在计算上是不可行的。

4.2 SHA

• 填充报文：填充报文的目的是使报文长度与448模512同余(即长度=448 mod 512)。若报文本身已经满足上述长度要求，仍然需要进行填充(例如，若报文长度为448 位，则仍需要填充512位使其长度为960位)，因此填充位数在1到512之间。填充方法是在报文后附加一个1和若干个0。然后附上表示填充前报文长度的64位数据(最高有效位在前)。
• 初始化缓冲区：hash函数的中间结果和最终结果保存于160位的缓冲区中， 缓冲区由5个32位的寄存器(A, B, C, D, E)组成， 将这些寄存器初始化为32位的整数(十六进制值)。
• 执行算法主循环：每次循环处理一个512位的分组，故循环次数为填充后报文的分组数。
• 输出：所有的L个512位的分组处理完后，第L个分组的输出即是160位。

4.3 SM3

SM3算法采用了典型的Merkle-Damgard迭代结构，简称为M-D结构，算法填充方式为消息末尾添加消息长度，即M ||1||0(z)||L(M),其中M是消息，L(M)是消息的长度的64比特二进制表示，(Z) 是使得填充后消息长度为512长度倍数的最小填充“零” 的长度，这种填充方式的M-D结构被称为加强型Merkle-Damgard结构。该结构的图形描述见图。

SM3算法压缩函数包含消息扩展和压缩主函数两个部分

4.4 HMAC

完整性指数据正确无误、完整不缺，使数据免受未授权的毁坏，就是确保数据的完 整性。报文内容认证使接收方能够确认报文内容的真实性和完整性，这可通过验证认证码(Authentication Code)的正确性来实现。

消息认证码MAC (Message Authentication Code)是消息内容和秘密钥的公开函数，其输出是固定长度的短数据块；

假定通信双方共享秘密钥K，若发送方A向接收方B发送报文M,则A计算MAC并将报文M和MAC发送给接收方；接收方收到报文后用相同的秘密钥K进行相同的计算得出新的MAC,并将其与接收到的MAC进行比较，若二者相等，则(1)接收方可以相信报文未被修改。如果攻击者改变了报文，因为已假定攻击者不知道秘密钥，所以他不知道如何对MAC作相应修改，这将使接收方计算出的MAC将不等于接收到的MAC。(2)接收方可以相信报文来自意定的发送方，因为其他各方均不知道秘密钥，因此他们不能产生具有正确MAC的报文。

5. 公钥密码体制

5.1 公钥密码体制的概念

利用传统密码进行保密通信，通信的双方必须首先预约持有相同的密钥才能进行。 而私人和商业之间想通过通信工具洽谈生意又要保持商业秘密，有时很难做到事先预约密钥

单向陷门函数:设函数y=f(x),且f具有陷门，如果满足以下两个条件，则称为单向陷门函数:

1. 如果对于给定的x，要计算出y很容易；
2. 而对于给定的y,如果不掌握陷门要计算出x很难，而如果掌握陷门要计算出x就很容易；

实际上已找到的单向性足够的函数有:

1. 合数的因子分解问题:大素数的乘积容易计算(pxq →n)，而大合数的因子分解困难(n→pxq)。
2. 有限域上的离散对数问题:有限域上大素数的幂乘容易计算(a^b =c)，而对数计算困难( log.c= b)。

根据公开密钥密码的基本思想，可知一个公开密钥密码应当满足以下条件:

1. 构成密码的基本条件：解密算法D与加密算法互逆，即对于所有明文M都有:D ( E ( M , Ke ) , Kd ) = M
2. 公开密钥密码的安全条件：在计算上不能由Ke求出Kd
3. 公开密钥密码的实用条件：算法E和D都是高效的。
4. 真实性的基本条件：E ( D ( M , Kd ) , Ke ) = M

5.2 RSA

1. 随机地选择两个大素数p和g，而且保密；
2. 计算n=pq，将n公开；
3. 计算φ(n)=(p-1)*(q-1),对φ(n)保密;
4. 随机地选取一个正整数e, 1
5. 根据ed=1 mod φ(n), 求出d,并对d保密；
6. 加密运算：C=M^d mod n；
7. 解密运算：M=C^d mod n；

由以上算法可知，RSA密码的公开加密钥Ke = ，而保密的解密钥Kd = 。

5.3 EIGamal

1.密钥生成

用户随机地选择一个整数d作为自己的秘密的解密钥, 1≤d≤p-1,计算y=a^d mod p, 取y为自己的公开的加密钥。

由公开钥y计算秘密钥d,必须求解离散对数，而这是极困难的。

2.加密

将明文消息M(0≤M≤p-1)加密成密文的过程如下:

1. 随机地选取一个整数k, 1≤k≤p-1
2. 计算 U=y^k mod p
3. C1=a^k mod p
4. C2=UM mod p
5. 取(C1, C2)作为的密文。

3.解密

将密文(C，C)解密的过程如下:

1. 计算V=C1^dmodp
2. 计算M=C2 V^-1 mod p

5.4 椭圆曲线密码

目前，椭圆曲线密码已成为除RSA密码之外呼声最高的公钥密码之一。它密钥短、签名短，软件实现规模小、硬件实现电路省电。普遍认为，160位长的椭圆曲线密码的安全性相当于1024位的RSA密码，而且运算速度也较快。

设p是大于3 的素数，且4a^3+27b^2≠0 mod p,称曲线y^2=x^3+ax+b  a,b∈GF(p) 为GF(p)上的椭圆曲线。

由椭圆曲线可得到一个同余方程:y^2 = x^3 +ax +b  mod  p

其解为一个二元组(xy),其中x,y∈GF(p),将此二元组描画到椭圆曲线上便为一个点，于是又称其为解点。

5.5 SM2椭圆曲线公钥加密

1、加密：

2、 解密：

6. 数字签名

6.1 数字签名的概念

一种完善的签名应满足以下三个条件:

1. 签名者事后不能抵赖自己的签名；
2. 任何其他人不能伪造签名；
3. 如果当事的双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪；

设施加签名的算法为SIG,产生签名的密钥为K,被签名的数据为M.产生的签名 信息为S则有：

SIG(M，K)=S

设验证签名的算法为VER，用VER对签名S进行验证，可鉴别S的真假。即

• 签名为真，当S=SIG(M，K);
• 签名为假，当S≠SIG(M，K)；

6.2 典型数字签名体制

对于RSA密码D(E(M)=(M^e)^d=M^ed=(M^d)^e =E(D(M)) mod n

所以RSA可同时确保数据的秘密性和真实性。

6.3 SM2椭圆曲线数字签名

1、产生签名

2、验证签名

7. 认证

7.1 认证的概念

 

7.2 身份认证

用户的身份认证是许多应用系统的第一道防线， 其目的在于识别用户的合法性，从而阻止非法用户访间系统。

1、口令认证

1. 利用单向函数加密口令
2. 利用数字签名方法验证口令
3. 口令的双向验证
4. 一次性口令

2、生物特征识别

通过识别用户的生理特征来认证用户的身份是安全性极高的身份认证方法。把人体特证要用于身份识别，则它应具有不可复制的特点，必须具有唯一性和稳定性。研究和经验表明，人的指纹、掌纹、面孔、发音、虹膜、视网膜、骨架等都具有唯一性和稳定性的特征，即每个人的这些特征都与别入不同且终生不变，因此可以据此进行身份识别。

7.3 报文认证

但在网络环境中，攻击者可进行以下攻击:

1. 冒充发送方发送一条报文；
2. 冒充接收方发送收到或未收到报文的应答；
3. 插入、删除或修改报文内容；
4. 修改报文顺序(插入报文、删除报文或重排序)以及延时或重播报文；

因此，报文认证必须使通信方能够验证每份报文的发送方、接收方、内容和时间的真实性和完整性。也就是说，通信方能够确定:

1. 报文是由意定的发送方发出的；
2. 报文传送给意定的接收方；
3. 报文内容有无篡改或发生错误；
4. 报文按确定的次序接收；

8 密钥管理

8.1 密钥管理的概念

密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。 每个密钥都有其生命周期，要对密钥的整个生命周期的各个阶段进行全面管理。

密钥管理是一个很困难的问题，历史表明，从密钥管理的途径窃取秘密要比单纯从破译密码算法窃取秘密所花的代价小得多。因此，首先要了解密钥管理的一些基本原则；区分密钥管理的策略和机制:全程安全原则、最小权利原则、责任分离原则、密钥分级原则、密钥更换原则、密钥应当选择长度足够，随机等。

为了简化密钥管理工作，可采用密钥分级的策略，将密钥分为三级:

• 初级密钥
• 二级密钥
• 主密钥(高级密钥)

8.2 对称密钥的生成

1、对称密钥的生成

对密钥的一个基本要求是要具有良好的随机性、长周期性、非线性、等概性以及不可预测性等。一个真正的随机序列是不可再现的，任何人都不能再次产生它。

2、对称密钥的分配

1. 主密钥的分配：一般采用人工分配主密钥，由专职密钥分配人员分配并由专职安装人员妥善安装。
2. 二级密钥的分配：由专职密钥分配人员分配并由专职安装人员安装。虽然这种人工分配和安装的方法 很安全，但是效率低。另一种方法是直接利用已经分配安装的主密钥对二级密钥进行加 密保护，并利用计算机网络自动传物外配。
3. 初级密钥的分配：通常总是把一个随机数直接视为受高级密钥(主密钥或二级密钥),通常是二级密 钥)加密过的初级密钥，这样初级密钥一产生便成为密文形式。发端直接把密文形式的 初级密钥通过计算机网络传给收方，收端用高级密钥解密便获得初级密钥。

3、对称密钥的存储

• 明文形态:明文形式的密钥。
• 密文形态:被密钥加密密钥加密过的密钥。
• 分量形态:密钥分量不是密钥本身，而是用于产生密钥的部分参数。

1. 主密钥的存储：主密钥是最高级的密钥，只能以明文形式存储否则便不能工作。要求存储器高度安全，物理上、逻辑上安全。
2. 二级密钥的存储：可以以明文形态或密文形态存储；明文形态存储要求存储器高度安全，密文形态存储要求可适当降低。
3. 初级密钥的存储：其生命周期与受保护的文件一样长，需妥善保存。一般采用密文形态存储。

8.3 非对称密钥管理

1、非对称密钥的生成

公开密钥密码体制本质上是 一种单向陷门函数，它们都是建立在某一数学难题之上的。不同的公开密钥密码体制所依据的数学难题不同，因此其密钥产生的具体要求不同。它们都必须满足密码安全性和应用的有效性对密钥所提出的要求。

2、公钥基础设施PKI

1. 签证机构CA：在PKI中，CA负责签发证书、管理和撤销证书。CA严格遵循证书策略机构所制定的策略签发证书。CA是所有注册用户所信赖的权威机构
2. 。CA在给用户签发证书时要加上自己的签名，以确保证书信息的真实性。为了方便用户对证书的验证，CA也给自己签发证书。这样，整个公钥的分配都通过证书形式进行。
3. 注册机构RA：RA (Registaton Authority)是专门负责受理用户申请证书的机构。根据分工，RA并不签发证书，而是负责对证书申请人的合法性进行认证，并决定是批准或拒绝证书申请
4. 证书的签发：经过RA的注册批准后，便可向CA申请签发证书。与注册方式一样，向CA申请签发证书可以在线申请，也可以离线申请。特别是在Internet环境中可以WEB浏览器方式在线申请签发证书，越来越受到欢迎。
5. 证书目录：证书目录提供了一种方便的证书存储和分发。关于证书目录，目前尚没有一个统一的标准，但是基于X.500标准的目录正日益受到欢迎。另外常用的还有用于Internet环境的目录存取协议，称为轻型目录存取协议LDAP ( Lightweight Directory Access Protocol)。LDAP协议在目录模型上与X.500兼容，但比X.500更简单，实施更方便。
6. 证书的认证：1.验证证书上的CA签名是否正确；2.验证证书内容的真实性和完整性；3.验证证书是否处在有效期内(由证书里的时间参数来限定有效期)；4.验证证书是否被撤销或冻结；5.验证证书的使用方式是否与证书策略和使用限制相一致。
7. 证书的撤销：每个证书都有一个有效使用期限，有效使用期限的长短由CA的政策决定。有效使用期限到期的证书应当撤销。证书的公钥所对应的私钥泄露，或证书的持证人死亡，证书的持证人严重违反证书管理的规章制度等情况下也要撤销证书。和证书的签发一样， 证书的撤销也是一个复杂的过程。证书的撒销要经过申请、批准、撤销三个过程。
8. 信任模型：对于大范围的PKI (如一个行业或一个地区，甚至一个国家)，一个CA也是不现实的，往往需要许多CA。这些CA之间应当具有某种结构关系，以使不同CA之间的证书认证简单方便。证书用户、证书主体、各个CA之间的证书认证关系称为PKI的信任模型。人们已经提出了树(层次)模型、森林模型等多种信任模型