密码技术概述
现在的学术界一般认为,密码学研究的目的乃是要保证数据的保密性、完整性和认证性。
数据的保密性是指未经授权的用户不可获得原始数据的内容。
数据的完整性是验证数据在传输中未经篡改。
数据的认证(审查)性是指验证当前数据发送方的真实身份。
密码学正是研究信息保密性、完整性和认证性的科学,是数学和计算机的交叉学科,也是一门新兴并极有发展前景的学科。
密码学包含两个互相对立的分支
研究编制密码的技术称为密码编码学(Cryptography),主要研究对数据进行变换的原理、手段和方法,用于密码体制设计。
研究破译密码的技术称为密码分析学(Cryptanalysis),主要研究内容如何破译密码算法。密码编制学和密码分析学共同组成密码学。
基本概念
在学习密码技术之前,首先定义一些术语。
密码体制
任何一个密码体制至少包括五个组成部分:明文、密文、加密、解密算法及密钥。
一个密码体制的基本工作过程是:发送方用加密密钥,通过加密算法,将明文信息加密成密文后发送出去;
接收方在收到密文后,用解密密钥,通过解密算法将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
密码体制的分类
对称密码体制
加密、解密都需要密钥。如果加、解密密钥相同,这样的系统称为对称密钥密码体制(Symmetric Key System),也称单钥密码体制。系统特点是加、解密的密钥是相同的、保密的。
非对称密码体制
如果加、解密密钥不同,则这种系统是非对称密钥密码体制 (Non-Symmetric Key System) ,又称双钥密码体制、公开密钥密码体制
混合密码体制
对称与非对称密码体制特性对比
对称与非对称密码体制特性对比表
混合密码体制基本原理
Kerckhoff原理
系统密文不可破译;
系统的保密性不依赖于对加密算法的保密,而是依赖于密钥;
加密和解密算法适用于密钥空间中的所有密钥;
系统应该有良好的可用性,便于实现和使用。
按照密码体制所处的时代,密码体制又可以划分为:
古典密码体制。 在计算机出现之前所涉及的密码体制一般称为古典密码体制。这类密码一般直接对明文采用置换和代换操作,运算较为简单,安全性差。
现代密码体制。自计算机出现后产生的密码体制,使用计算机加密运算较为复杂,破译难度大。
安全的密码体制应具有的性质
从密文恢复明文应该是难的,即使分析者知道明文空间,如明文是英语。
从密文计算出明文部分信息应该是难的。
从密文探测出简单却有用的事实应该是难的,如相同的信息被发送了两次。
密码体制安全性评价
无条件安全性如果一个密码体制满足条件:无论有多少可使用的密文,都不足以惟一地确定密文所对应的明文,则称该密码体制是无条件安全的。
计算安全性
人们更关心在计算复杂性上不可破译的密码体制。如果一个密码体制满足以下标准:
破译密码的代价超出密文信息的价值;
破译密码复杂度超出了攻击者现有的计算能力;
破译密码的时间超过了密文信息的有效生命期;
数据传输加密
三种加密方式比较:
数据存储加密:
利用系统本身的加密功能加密
密码加密法
通过密钥加密
数据存储加密方法比较:
利用系统本身的加密功能加密特点是加密方式对系统的依赖性强,离开系统会出现无法读取现象;
密码加密法是读取时加密,没有对文件加密;通过密匙加密;是对文件整体加密。
密码破译与密钥管理
密码破译方法
穷举搜索密钥攻击
密码分析
惟密文攻击 (Ciphertext-only attack)
在这种方法中,密码分析员已知加密算法,掌握了一段或几段要解密的密文,通过对这些截获的密文进行分析得出明文或密钥。
惟密文破解是最容易防范的,因为攻击者拥有的信息量最少。但是在很多情况下,分析者可以得到更多的信息。如捕获到一段或更多的明文信息及相应的密文,也可能知道某段明文信息的格式。
已知明文攻击(Known-plaintext attack)
在这种方法中,密码分析员已知加密算法,掌握了一段明文和对应的密文。目的是发现加密的钥匙。在实际使用中,获得与某些密文所对应的明文是可能的。
惟选定明文攻击 (Chosen-plaintext attack)
在这种方法中,密码分析员已知加密算法,设法让对手加密一段分析员选定的明文,并获得加密后的密文。目的是确定加密的钥匙。差别比较分析法也是选定明文破译法的一种,密码分析员设法让对手加密一组相似却差别细微的明文,然后比较加密后的结果,从而获得加密的钥匙。
选择密文攻击 (Chosen-ciphertext attack)
选择密文攻击指的是一种攻击模型。在此种攻击模型中,密码分析者事先任意搜集一定数量的密文,让这些密文透过被攻击的加密算法解密,透过未知的密钥获得解密后的明文。它在密码分析技术中很少用到。
防止密码破译的措施
密钥管理
密钥分配
理想的密钥分配协议应满足以下两个条件:
密钥交换
Diffic-Hellmen算法
仅当需要时才生成密钥,减少了因密钥存储期长而使遭受攻击的机会;除对全局参数的约定外,密钥交换不需要事先存在的基础结构。
Oakley算法
是对Diffie-Hellman密钥交换算法的优化,保留了后者的优点,同时克服了其弱点。Oakley算法具有五个重要特征:采用cookie程序的机制来对抗阻塞攻击;使双方能够协商一个全局参数集合;使用了限时来抵抗重演攻击;能够交换Diffie-Hellman公开密钥;它对Diffie-Hellman交换进行鉴别以对抗中间人的攻击。
秘密共享技术
Shamir于1979年提出了一种解决方法,称为门限法,实质上是一种秘密共享的思想。
密钥托管技术
美国政府于1993年4月16日通过美国商业部颁布了具有密钥托管功能的加密标准EES。
实用密码技术概述
实用密码技术主要包括:
古典对称密码
现代分组密码
现代流密码算法
现代散列算法
1.古典对称密码
1)代换技术
代换技术是将明文中的每个元素(字母、比特、比特组合或字母组合)映射为另一个元素的技术,即明文的元素被其他元素所代替而形成密文。常见的代换技术的古典对称密码包括凯撒密码、单字母替换密码及Vigenere密码。
2)置换技术
置换是在不丢失信息的前提下对明文中的元素进行重新排列,分为矩阵置换和列置换。矩阵置换:这种加密法是把明文中的字母按给定的顺序安排在一矩阵中,然后用另一种顺序选出矩阵的字母来产生密文。
2.现代对称加密技术
如果在一个密码体系中,加密密钥和解密密钥相同,就称为对称加密。现代密码技术阶段加密和解密算法是公开的,数据的安全性完全取决于密钥的安全性,因此,对称加密体系中如果密钥丢失,数据将不再安全。
代表性的对称加密算法有DES(数学加密标准),IDEA(国际数据加密算法),Rijndael,AES,RC4算法等。
数据加密标准算法DES
DES
算法思想:DES算法将输入的明文分为64位的数据分组,使用64位的密钥进行变换,每个64位明文分组数据经过初始置换、16次迭代和逆初始置换3个主要阶段,最后输出得到64位密文。
三重DES
DES算法现在已经不能提供足够的安全性,因为其有效密钥只有56位。因此,后来又提出了三重DES(或称3DES),该方法的强度大约和112比特的密钥强度相当。
这种方法用两个密钥对明文进行三次运算。设两个密钥是K1和K2:
(1) 用密钥K1进行DES加密。
(2) 用K2对步骤1的结果进行DES解密。
(3) 用步骤2的结果使用密钥K1进行DES加密。
三重(Triple DES)是DES的加强版。它能够使用多个密钥,对信息逐次作三次DES加密操作。3DES在使用DES算法三次,其中可以用到两组或者三组56比特长度密钥。
3DES有2个显著的优点。首先它的密钥长度可以达到168比特,能克服 DES 面对的穷举攻击问题;其次,3DES 的底层加密算法与 DES 的加密算法相同,使得原有的加密设备能够得到升级。
最后, DES加密算法比其他加密算法受到分析的时间要长得多,相应地3DES对分析攻击有很强的免疫力。缺点是用软件实现该算法比较慢。
NIST在2001年发布了高级加密标准AES(Advanced Encryption Standard)。NIST从最终的五个候选者中选择Rijndael算法作为AES标准.
AES的分组长度128位,密钥长度可以为128、192或256位。
AES算法具有能抵抗所有的已知攻击,平台通用性强,运行速度快,设计简单等特点。
目前最流行的版本是128比特密钥长度的AES-128, 其对128比特的消息块使用10轮迭代后得到密文。相比DES,AES的安全性更好,但其加密步骤和解密步骤不同,因而其硬件实现没有DES简单。
分组密码运行模式
电子密码本模式(ECB)
密码块链接模式(CBC)
密文反馈模式(CFB)
输出反馈模式(OFB)
计数器模式 (CTR)
现代流密码算法
一个流密码通常是使用密钥和种子生成一个任意长度的密钥流,再将生成的密钥流与需要进行加密操作的数据进行逐比特的异或操作。
流密码既可以直接通过分组密码相应的运行模式得到,也可以直接特定的设计。很多基于硬件实现的流密码都会使用到线性移位寄存器(LFSR) ,所以其运行速度非常快。
A5/1及A5/2。 该算法被用在全球移动通信系统GSM蜂窝移动电话中,是90年代最广泛应用的流密码算法。目前该算法已经被成功破译,不再得到应用。
KASUMI。 KASUMI算法是第三代合作伙伴计划(3GPP)中的日本学者提出的用在第三代移动通信网络(3G)上的流密码算法,KASUMI是“雾”的意思,其运行速度快,安全性好,已被使用在通用移动通信系统UMTS中。
其他的知名流密码算法包括美国图灵奖得主Ronald Rivest设计的RC4, 比利时密码学家Bart Preneel等人设计的Trivium及瑞士密码学家Willi Meier等人设计的Grain等。
现代散列算法
Hash算法将任意长度的二进制消息转化成固定长度的散列值。
Hash算法是一个不可逆的单向函数。不同的输入可能会得到相同的输出,而不可能从散列值来唯一的确定输入值。
散列函数广泛应用在密码检验、身份认证、消息认证以及数字签名上,因此散列函数往往是被应用的最广泛的密码算法。
据统计Windows XP操作系统就需要用到散列算法700多次。
常见的散列算法包括MD4、MD5、SHA-1、SHA-2 以及最新的美国国家标准与技术局发布的SHA-3。
MD4和MD5
MD4(Message Digest 4),是麻省理工学院的教授Ronald Rivest 的研究小组在1990年设计的散列算法,因其是他们设计的一系列散列算法中的第4个算法,所以称为MD4。MD4算法是基于 32 位操作数的比特位操作来实现的,其输出散列值长度为128位。该算法设计后被成功破译。
MD5是 Rivest 于1991年对MD4的改进版本。与MD4算法一样,MD5 算法将输入的信息进行分组,每组仍以512 位(64个 字节),顺序处理完所有分组后输出128 位散列值。在每一组消息的处理中,都要进行4 轮、每轮16 步、总计64 步的处理。其中,每步计算中含一次左循环移位,每一步结束时将计算结果进行一次右循环移位。
安全散列算法SHA,SHA-1, SHA-2 和 SHA-3
1993年,美国国家安全局(NSA)和美国国家标准技术局(NIST)共同提出了安全散列算法SHA, 并作为联邦信息处理标准(FIPS PUB 180)公布
1995年又发布了一个修订版FIPS PUB 180-1,通常称之为SHA-1。SHA-1是基于MD4算法的,并且它的设计在很大程度上是模仿MD4的。SHA-1 输出160比特的散列值,已经得到广泛的应用。
随着MD5散列算法的破解,SHA-1的安全性也受到了质疑。NIST建议之后的商业软件产品由SHA-1转移到SHA-2散列算法上。SHA-2 是一类可变长度的散列算法,其包含SHA-256, SHA-384和SHA-512, 分别输出256、384和512比特的散列值。
由于SHA-1和SHA-2的设计思路都与MD5类似,所以他们可能受到同一种攻击的威胁。所以NIST于2007年发起了一轮新的安全散列算法标准的竞赛,共有64个算法参加了竞赛。
最终在2012年由来自意法半导体公司的Joan Daemen (此人也是AES算法的设计者) 领导的小组设计的Keccak算法胜出,成为了新一代的散列算法标准SHA-3。
非对称加密体制
对称密码体制的一个缺点就是每一对通信双方必须共享一个密钥,使得密钥管理复杂。为解决此类问题,1976年,美国斯坦福两位学者Diffie和Hellman提出了著名的非对称密码体制。
非对称密码体制可有效的用在密钥管理、加密和数字签名上。
非对称加密算法需要两个密钥:公开密钥和私有密钥,并且相互关联。如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
典型的得到实用的非对称加密算法有RSA、Elgamal和 ECC(椭圆曲线算法)。
RSA算法
RSA算法由Rivest、Shamir和Adleman设计的,是最著名的公钥密码算法。
RSA方法基于下面的两个数论上的事实:
RSA算法
RSA算法的优点是应用更加广泛,而其缺点是加密速度慢。
如果 RSA 和 AES 结合使用,则正好弥补 RSA 的缺点。 即 AES 用于明文加密,RSA 用于 AES 的密钥加密。由于AES加密速度快,适合加密较长的消息;而 RSA 可解决 AES 密钥传输问题。
非对称密码算法大多是基于数学困难问题,如大整数因子分解(RSA)、离散对数难题 (DSA)、椭圆曲线离散对数难题 (ECC) 等等,运行速度较慢。非对称密码算法与同等安全强度的对称密码算法相比,一般要慢三个数量级。因此非对称密码算法一般用来加密短数据或者用作数字签名,而不是直接用在数据加密上。
RSA属于非对称加密算法(公钥算法)
非对称加密技术下,N个用户之间的通信,需要N对(2N)个密钥。
RC4属于对称加密算法
对称加密技术下,N个用户之间的通信,需要N*(N-1)个密钥。
无线网络加密技术
1.有线等效协议WEP加密技术
WEP主要通过无线网络通信双方共享的密钥来保护传输的加密帧数据,利用加密数据帧加密的过程如图所示。
2. WPA安全加密方式
WPA加密即Wi-Fi Protected Access,其加密特性决定了它比WEP更难以入侵。所以如果对数据安全性有很高要求,那就必须选用WPA加密方式了(Windows XP SP2已经支持WPA加密方式)。WPA作为IEEE 802.11通用的加密机制WEP的升级版,在安全的防护上比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的管理能力。
3.TKIP(临时密钥完整性协议)
TKIP是一种基本的技术,允许WPA向下兼容WEP和现有的无线硬件。这种加密方法比WEP更安全。
4. EAP(可扩展认证协议)
在EAP协议的支持下,WPA加密提供了更多的根据PKI(公共密钥基础设施)控制无线网络访问的功能,而不是仅根据MAC地址来进行过滤。
5. 隧道加密技术
方式一:这种加密隧道用于客户端到无线访问点之间,这种加密隧道保证了无线链路间的传输安全,但是无法保证数据报文和有线网络服务器之间的安全。
方式二:这种加密隧道穿过了无线访问点,但是仅到达网络接入一种用来分离无线网络和有线网络的控制器就结束,这种安全隧道同样不能达到端到端的安全传输。
方式三:这种加密隧道即端到端加密传输,它从客户端到服务器,在无线网络和有线网络中都保持,是真正的端到端加密。
一般采用将对称、非对称和Hash加密进行综合运用的方法。由于不同算法各有不同的特点,如表6-1,在实现网络信息安全过程中,每种加密体制的应用也有所不同。
表6-1 两种加密算法的特性
1.数字信封
2.数字签名
数字签名必须保证做到以下3点:
(1) 接收者能够核实发送者对信息的签名;
(2) 发送者事后不能抵赖对信息的签名;
(3) 接收者不能伪造对信息的签名。
数字签名,那么怎么满足数字签名的三个条件:
(1)如果接收者用发送者的公钥实现了对接收到的数字签名进行解密,因为对信息签名的私钥只有发送者才有,而发送者的公钥只能解密由发送者私钥加密的签名,由此接收者能够核实发送者对信息的签名。
(2)发送者的公钥只能解密发送者的签名,而发送者的私钥只有发送者才有,由此发送者事后不能抵赖对信息的签名。
(3)发送者的签名要用发送者的私钥实现,而发送者的私钥只有发送者才有,接收者没法得到,由此接收者不能伪造对信息的签名。
4.PKI
PKI 作为一种密钥管理平台,能够为各种网络应用透明地提供密钥和证书管理。PKI 体系由六大部分组成。
(1)认证机构(Certification Authority,CA):证书的签发机构,它是PKI的核心,是PKI应用中权威的、可信任的公正的第三方机构。认证中心作为一个可信任的机构,管理各个主体的公钥并对其进行公证,目的是证明主体的身份与其公钥的匹配关系。认证中心的功能包括证书的分发、更新、查询、作废和归档等功能。
(2)注册机构(Registration Authority,RA):RA是可选的实体,RA实现分担CA部分职责的功能,其基本职责是认证和验证服务,可将RA配置为代表CA处理认证请求和撤销请求服务。
(3)证书库:包含了CA发行证书的数据库,集中存放证书,提供公众查询.
(4)密钥备份及恢复系统:用户的解密密钥进行备份,当丢失时进行恢复,而签名密钥不能备份和恢复。
(5)证书作废处理系统:证书由于某种原因需要作废,终止使用,这将通过证书撤销列表CRL(Certificate Revcocation List)完成。
(1)保密:双方的通信内容高度保密,第三方无从知晓。
(2)完整性:通信的内容无法被篡改。
(3)身份认证:收方通过发方的电子签名才能够确认发方的确切身份,但无法伪造。
(4)不可抵赖:发方一旦将电子签字的信息发出,就不能再否认。
5. PGP
密码技术的发展趋势
密码技术是信息安全的核心技术,无处不在。随着现代科技高速发展和进步,诞生了许多高新密码技术,目前已经渗透到许多领域。如:
(1)密码专用芯片
(2)量子密码技术的研究
(3)全息防伪标识的隐型加密技术