Hello,密码学:第三部分,公钥密码(非对称密码)算法

在《Hello,密码学:第二部分,对称密码算法》中讲述了对称密码的概念,以及DES和AES两种经典的对称密码算法原理。既然有对称密码的说法,自然也就有非对称密码,也叫做公钥密码算法。对称密码和非对称密码两种算法的本质区别在于,加密密钥和解密密钥是否相同

  • 对称密码的加解密密钥相同,用密钥A加密,也用密钥B解密。
  • 公钥密码的加解密密钥不同,用密钥A加密,而用密钥B解密。
非对称密码的爱心小锁

一、公钥密码产生的初衷

公钥密码产生的初衷就是为了解决 密钥配送 的问题。

Alice 给远方的 Bob 写了一封情意慢慢的信,并使用强悍的 AES-256 进行了加密,但她很快就意识到,光加密内容不行,必须要想一个安全的方法将加密密钥告诉 Bob,如果将密钥也通过网络发送,很可能被技术高手+偷窥癖的 Eve 窃听到。

既要发送密钥,又不能发送密钥,这就是对称密码算法下的“密钥配送问题”

解决密钥配送问题可能有这样几种方法:

  1. 通过事先约定的共享密钥解决
  2. 通过密钥分配中心解决
  3. 通过公钥密码解决
方法一: 事先约定的共享密钥

这种方法比较高效,但有局限性:

  • 只适用于较近的距离。也就是不必通过不信任的网络就能通信的情况,比如办公室内的同事之间,完全可以面对面传递一下密钥。一旦距离较远,无法面对面交互,就出现了问题。
  • 只适用于小规模使用。即使距离较近,但如果通信人数众多,比如一个公司有 1000 人,每个员工都可以和另外 999 个人进行加密通信,每个人都需要 999 个密钥,整个公司需要的密钥数量为 1000 × 999 ÷ 2 = 499500 个密钥,这显然不现实。
方法二:密钥分配中心

与方法一不同,密钥不再由通信个体来保存,而由密钥分配中心(KDC)负责统一的管理和分配。双方需要加密通信时,由 KDC 生成一个用于本次通信的通信密钥交由双方,通信双方只要与 KDC 事先共享密钥即可。这样就大大减少密钥的存储和管理问题。

因此,KDC 涉及两类密钥:

  • 身份密钥:代表通信个体身份的密钥,好比工卡。企业有 1000 个员工,KDC 中就保存 1000 个身份密钥,人来人往,身份密钥也随之发生变化。
  • 通信密钥:也叫做会话密钥,仅在一个通信会话过程中有效。

领略下 KDC 的过程:

  1. KDC 事先保存了 Alice 和 Bob 的身份密钥,分别记为 iKey-Alice 和 iKey-Bob,i 是 identity 的意思;
  2. Alice 向 KDC 发出要与 Bob 通信的请求;
  3. KDC 生成一个通信密钥,记为 cKey,c 是 communication 的意思;
  4. KDC 从数据库中调取 Alice 和 Bob 的身份密钥,用 iKey-Alice 对 cKey 进行加密后发送给Alice,用iKey-Bob 对 cKey 加密后发送给 Bob;
  5. Alice 使用 iKey-Alice 解密出 cKey 后,并使用 cKey 对信息进行加密后发送给 Bob;
  6. Bob 使用 iKey-Bob 解密出 cKey 后,并使用 cKey 对来自 Alice 的加密信息进行解密;
  7. 本次会话结束后,Alice 和 Bob 按照公司要求,在本地删除本次使用通信密钥 cKey。

KDC 通过中心化的手段,确实能够有效的解决方法一的密钥管理和分配问题,安全性也还不错。但也存在两个显著的问题:

  • 性能问题:由于所有的加密通信,都要和 KDC 发生交互,KDC 的负荷会随着通信会话的增加而陡增,一旦瘫痪,整个组织的加密通信都将瘫痪。
  • 安全问题:KDC 也是软件,也存在漏洞,黑客 Mallory 可能直接对 KDC 下手。一旦 KDC 的密钥数据库被破解,整个组织的加密通信都将被破译。
方法三:公钥密码

使用公钥密码,加密密钥和解密密钥不同,只要拥有加密密钥,所有人都能进行加密,但只有拥有解密密钥的人才能进行解密。于是就出现了这个过程:

  • 信息接收者事先将加密密钥通过普通途径发送给信息发送者即可,不必担心加密密钥被窃听;
  • 信息发送者使用加密密钥对信息进行加密并发送给信息接收者;
  • 信息接收者使用解密密钥对加密信息进行解密。

密钥配送的问题天然被解决了。当然,解密密钥丢失而导致信息泄密,这不属于密钥配送的问题。

下面,再详细看下这个过程。

二、公钥密码的基本流程

公钥密码流程的核心,可以用如下四句话来概述:

  1. 发送者只需要加密密钥
  2. 接收者只需要解密密钥
  3. 解密密钥须妥善保管,不能被窃听者获取
  4. 加密密钥无所谓,被窃听者获取也没关系

既然加密密钥是公开的,因此也叫做 “公钥(Public Key)”
既然解密密钥是私有的,因此也叫做 “私钥(Private Key)

公钥和私钥是一一对应的,称为 “密钥对”,他们好比相互纠缠的量子对,彼此之间通过严密的数学计算关系进行关联,不能分别单独生成。

在公钥密码体系下,再看看 Alice 如何同 Bob 进行通信。

公钥密码体系的通信

在公钥密码体系下,通信过程是由 Bob 开始启动的:

  1. Bob 生成公私钥对,妥善保管私钥
  2. Bob 将公钥发送给 Alice,公钥被 Eve 窃听也没关系
  3. Alice 使用 Bob 的公钥对消息进行加密
  4. Alice 将加密后的消息发送给 Bob,密文被 Eve 截取也没关系
  5. Bob 使用私钥对密文进行解密

过程看起来非常简单,但为什么即使公钥被窃取也没有关系?这就涉及了上文提到的严密的数学计算关系了。如果上一篇文章对称密钥的 DES 和 AES 算法进行概述,下面一节也会对公钥体系的数学原理进行简要说明。

三、RSA算法背后的数学原理

自从 Diffie 和 Hellman 在1976年提出公钥密码的设计思想后,1978年,Ron Rivest、Adi Shamir 和 Reonard Adleman 共同发表了一种公钥密码算法,就是大名鼎鼎的 RSA,这也是当今公钥密码算法事实上的标准。其实,公钥密码算法还包括ElGamal、Rabin、椭圆曲线等多种算法,这一节主要讲述 RSA 算法的基本数学原理。

  • RSA 加密公式:密文 = 明文 ^ E mod N
  • RSA 解密公式:明文 = 密文 ^ D mod N
  • RSA 公钥:{E, N}
  • RSA 私钥:{D, N}

一堆符号,解释下,E 代表 Encryption,D 代表 Decryption,N 代表 Number。

从公式种能够看出来,RSA的加解密数学公式非常简单(即非常美妙)。RSA 最复杂的并非加解密运算,而是如何生成密钥对,这和对称密钥算法是不太一样的。而所谓的严密的数学计算关系,就是指 E 和 D 不是随便选择的

RSA加密和解密
RSA的核心问题:生成密钥对

密钥对的生成,是 RSA 最核心的问题,RSA 的美妙与奥秘也藏在这里面。

  • 求 N
  • 求 L(L是生成密钥对过程种一个关键的中间变量)
  • 求 E
  • 求 D
接下来是一点点数学介绍了!

1. 求N

求 N 公式:N = p × q

其中,p 和 q 是两个质数,而且应该是很大又不是极大的质数。如果太小的话,密码就容易被破解;如果极大的话,计算时间就会很长。比如 512 比特的长度(155 位的十进制数字)就比较合适。

这样的质数是如何找出来的呢?需要通过 “伪随机数生成器(PRNG)” 进行生成,然后再判断其是否为质数。如果不是,就需要重新生成,重新判断。

判断一个数是否为质数,并不是看其能不能分解质因数,而是通过数学的判断方法来完成,比如费马测试和米勒·拉宾测试等。(描述复杂数学算法的念头还是算了吧)

2. 求L

求 L 公式:L = lcm(p-1, q-1)

lcm 代表 “最小公倍数(least common multiple)” 。注意,L 在加解密时都不需要,仅出现在生成密钥对的过程中

3. 求E

E 要满足两个条件:
1)1 < E < L
2)gcd(E,L) = 1

gcd 代表 “最大公约数(greatest common divisor)”。gcd(E,L) = 1 就代表 “E 和 L 的最大公约数为1,也就是说,E 和 L 互质”。

L 在第二步已经计算出来,而为了找到满足条件的 E,第二次用到 “伪随机数生成器(PRNG)”,在 1 和 L 之间生成 E 的候选,判断其是否满足 “gcd(E,L) = 1” 的条件。

可以使用“欧几里得辗转相除法”计算最大公约数。(描述复杂数学算法的念头还是算了吧)

经过前三步,已经能够得到密钥对种的 “公钥:{E, N}” 了。

4. 求D

D 要满足两个条件:
1)1 < D < L
2)E × D mod L = 1

只要 D 满足上面的两个条件,使用 {E, N} 进行加密的报文,就能够使用 {D, N} 进行解密。

"E × D mod L = 1" 在数学上的表述方式为:在以 L 为模的世界中,E 和 D 互为倒数。我们平时说的乘法中的倒数(比如 3 和 1/3),只是 L 为 1 的特殊情况

至此,N、L、E、D 都已经计算出来,再整理一下

求解目标 计算公式
求 N N = p × q (p 和 q 都是用 “伪随机数生成器(PRNG)” 生成的大质数)
求 L L = lcm(p-1, q-1)(lcm 代表计算最小公倍数)
求 E E 要满足两个条件: 1 < E < L,以及 gcd(E,L) = 1(gcd 代表计算最大公约数),即 E 和 L互质
求 D D 要满足两个条件:1 < D < L,以及 E × D mod L = 1
RSA密钥对
RSA 模拟实践

模拟实践的过程包括两部分,第一部分是生成密钥对,第二部分是对数据进行加解密。为了方便计算,都使用了较小的数字。

第一部分:生成密钥对

1. 求N
准备两个质数,p = 5,q = 7,N = 5 × 7 = 35

2. 求L
L = lcm(p-1, q-1) = lcm (4, 6) = 12

3. 求E
gcd(E, L) = 1,即 E 和 L 互质,而且 1 < E < L,满足条件的 E 有多个备选:5、7、11,选择最小的 5 即可。于是,公钥 = {E, N} = {5, 35}

4. 求D
E × D mod L = 1,即 5 × D mod 12 = 1,满足条件的 D 也有多个备选:5、17、41,选择 17 作为 D(如果选择 5 恰好公私钥一致了,这样不太直观),于是,私钥 = {D, N} = {17, 35}

至此,我们得到了公私钥对:

  • 公钥 = {5, 35}
  • 私钥 = {17, 35}

第二部分:模拟加解密

明文我们也使用一个比较小的数字 -- 4,利用 RSA 的加密公式:

密文 = 明文 ^ E mod N = 4 ^ 5 mod 35 = 9
明文 = 密文 ^ D mod N = 9 ^ 17 mod 35 = 4

尼玛,好大啊

从这个模拟的小例子能够看出,即使我们用了很小的数字,计算的中间结果也是超级大。如果再加上伪随机数生成器生成一个数字,判断其是否为质数等,这个过程想想脑仁儿就疼。还好,现代芯片技术,让计算机有了足够的运算速度。然而,相对于普通的逻辑运算,这类数学运算仍然是相当缓慢的。这也是一些非对称密码卡/套件中,很关键的性能规格就是密钥对的生成速度

网上搜索到的某密码卡性能参数

四、针对 RSA 的攻击

公钥密码体系中,用公钥加密,用私钥解密,公钥公开,私钥隐藏。因此:

  • 黑客能够拿到的信息:1)密文;2)公钥(即 E 和 N)
  • 黑客无法拿到的信息:1)明文;2)私钥(即 D 和 N);3)中间计算过程的信息(即 p、q、L)。当然,私钥中的 N 其实能够拿到,和明文的 N 是一样的。
攻击方式一:直接破解明文

加密公式为:密文 = 明文 ^ E mod N

破译的过程就是对该公式进行逆运算。由于除了对明文进行幂次运算外,还加上了“模运算”,因此在数学上,该逆运算就不再是简单的对数问题,而是求离散对数问题,目前已经在数学领域达成共识,尚未发现求离散对数的高效算法

攻击方式二:通过暴力破解求 D

暴力破解的本质就是逐个尝试。当前主流的 RSA 算法中,使用的 p 和 q 都是 1024 位以上,这样 N 的长度就是 2048 位以上。而 E 和 D 的长度和 N 差不多,因此要找出 D,就需要进行 2048 位以上的暴力破解。即使上文那个简单的例子,算出(蒙出) “9 ^ D mod 35 = 4” 中的 D 也要好久吧。

攻击方式三:通过 E 和 N 求出 D

因为 E 和 N 是已知的,而 D 和 E 在数学上又紧密相关(通过中间数 L),能否通过一种反向的算法来求解 D 呢?

  • E × D mod L = 1
  • L = lcm(p-1, q-1)

从这个地方能够看出,p 和 q 是极为关键的,这两个数字不泄密,几乎无法通过公式反向计算出 D。也就是说,对于 RSA 算法,质数 p 和 q 绝不能被黑客获取,否则等价于交出私钥

既然不能靠抢,N = p × q,N是已知的,能不能通过 “质因数分解” 来推导 p 和 q 呢?或者说,一旦找到一种高效的 “质因数分解” 算法,就能够破解 RSA 算法了

幸运的是,这和上述的“离散对数求解”一样,当下在数学上还没有找到这种算法,当然,也无法证明“质因数分解”是否真的是一个困难问题。因此只能靠硬算,只是当前的算力无法在可现实的时间内完成。这也是很多人都提到过的,“量子时代来临,当前的加密体系就会崩溃”,从算力的角度看,或许如此吧

既不能抢,也不能算,能不能猜呢?也就是通过 “推测 p 和 q 进行破解”

p 和 q 是通过 PRNG(伪随机数生成器)生成的,于是,又一个关键因素,就是采用的伪随机数生成器算法要足够随机

随机数对于密码学极为重要,后面会专门写一篇笔记

攻击方式四:中间人攻击(最常见的 RSA 攻击手段)

前三种攻击方式,都是基于 “硬碰硬” 的思路,而 “中间人攻击” 则换了一种迂回的思路,不去尝试破解密码算法,而是欺骗通信双方,从而获取明文。具体来说,就是:主动攻击者 Mallory 混入发送者和接收者之间,面对发送者伪装成接收者,面对接收者伪装成发送者。

中间人攻击

这个过程可以重复多次。需要注意的是,中间人攻击方式不仅能够针对 RSA,还可以针对任何公钥密码。能够看到,整个过程中,公钥密码并没有被破译,密码体系也在正常运转,但机密性却出现了问题,即 Alice 和 Bob 之间失去了机密性,却在 Alice 和 Mallory 以及 Mallory 和 Bob 之间保持了机密性。即使公钥密码强度再强大 N 倍也无济于事。也就是说,仅仅依靠密码算法本身,无法防御中间人攻击

而能够抵御中间人攻击的,就需要用到密码工具箱的另一种武器 -- 认证。在下面一篇笔记中,就将涉及这个话题。

好了,以上就是公钥密码的基本知识了。

五、混合密码体系

公钥密码体系能够完美的解决对称密码体系中 “密钥配送” 这个关键问题,但是抛开 “中间人攻击” 问题不谈,公钥密码自己也有个严重的问题:

公钥密码处理速度远远低于对称密码。不仅体现在密钥对的生成上,也体现在加解密运算处理上。

因此,在实际应用场景下,往往会将对称密码和公钥密码的优势相结合,构建一个 “混合密码体系”。简单来说:首先用相对高效的对称密码对消息进行加密,保证消息的机密性;然后用公钥密码加密对称密码的密钥,保证密钥的机密性。

下面是混合密码体系的加解密流程图。整个体系分为左右两个部分:左半部分加密会话密钥的过程,右半部分是加密原始消息的过程。原始消息一般较长,使用对称密码算法会比较高效;会话密钥一般比较短(十几个到几十个字节),即使公钥密码算法运算效率较低,对会话密钥的加解密处理也不会非常耗时。

著名的密码软件 PGP、SSL/TLS、视频监控公共联网安全建设规范(GB35114) 等应用,都运用了混合密码系统。

1. 混合密码体系-加密流程
混合密码体系-加密流程
2. 混合密码体系-解密流程
混合密码体系-解密流程

好了,以上就是公钥密码算法的全部内容了,拖更了很久,以后还要更加勤奋一些。


为了避免被傻啦吧唧的审核机器人处理,后面就不再附漂亮姑娘的照片(也是为了你们的健康),改成我的摄影作品,希望不要对收视率产生影响,虽然很多小伙儿就是冲着姑娘来的。

就从喀纳斯之旅开始吧。

喀纳斯-月亮湾

你可能感兴趣的:(Hello,密码学:第三部分,公钥密码(非对称密码)算法)