第十四章通信安全 14.1概述 >通信安全的基础一密码学 ■密码编码学 ■密码分析学 通信不安全因素 被破译 ■被攻击一被伪造和篡改 认证一防止被攻击的手段 认证的目的: ■验证信息发送者真伪 ■验证接收信息的完整性一是否被篡改了?是否被重复接收 了?是否被拖延了? 认证技术:包括消息认证、身份验证和数字签字
1 第十四章 通信安全 14.1 概述 ➢ 通信安全的基础- 密码学 ◼ 密码编码学 ◼ 密码分析学 ➢ 通信不安全因素 ◼ 被破译 ◼ 被攻击 - 被伪造和篡改 ➢ 认证 - 防止被攻击的手段 ➢ 认证的目的: ◼ 验证信息发送者真伪 ◼ 验证接收信息的完整性― 是否被篡改了?是否被重复接收 了?是否被拖延了? ➢ 认证技术:包括消息认证、身份验证和数字签字
>密码编码学内容: 将消息加密的方法 将已加密的消息解密的方法 >密码分析学内容:如何破译密文和伪造密文 密码学的基本术语 明文一待加密的消息 ■密文一加密后的消息 ■密码一用于加密的数据变换集合 ■密钥一用于表示加密变换的参数 密码种类: ■单密钥密码 ■公共密钥密码:也称为双密钥密码
2 ➢ 密码编码学内容: ◼ 将消息加密的方法 ◼ 将已加密的消息解密的方法 ➢ 密码分析学内容:如何破译密文和伪造密文。 ➢ 密码学的基本术语 ◼ 明文 - 待加密的消息 ◼ 密文 - 加密后的消息 ◼ 密码 - 用于加密的数据变换集合 ◼ 密钥 - 用于表示加密变换的参数 ➢ 密码种类: ◼ 单密钥密码 ◼ 公共密钥密码:也称为双密钥密码
42单密钥加密通信系统 信源 加密 信道 解密 敌方 密钥 安全信道 发送端—信道一接收端→ 例 ■密钥Zm序列 加密算法一模2加法 解密算法一仍是模2加法 般算法: 令F为产生密文Y的可逆变换,即有 Y=F(X,2=FXX 在接收端,密文Y用逆变换F1恢复成原来的明文X,即 X=F(Y,2=F7(n=FZIFXXI
3 14.2 单密钥加密通信系统 ➢ 例: ◼ 密钥Z - m序列 ◼ 加密算法 - 模2加法 ◼ 解密算法 - 仍是模2加法 ➢ 一般算法: 令F为产生密文Y 的可逆变换,即有 Y = F(X, Z) = FZ (X) 在接收端,密文Y 用逆变换F -1恢复成原来的明文X ,即 X = F-1 (Y, Z) = FZ -1 (Y) = FZ -1 [FZ (X)] 密钥 安全信道 信源 X 加密 Y 信道 解密 Z X 敌方 发送端 信道 接收端
143分组密码和流密码 分组密码 加密过程 串行串行分组 密码加密 分组行串行 明文L变换器 逻辑 L变换器明文 密钥 ■原理 口连续的分组用相同的密钥加密。 口若有一个特定的分组明文和以前的一个分组相同,则加 密后两者的密文也相同 口目标是使明文的任1比特都不会直接出现在密文中
4 14.3 分组密码和流密码 ➢ 分组密码 ◼ 加密过程 ◼ 原理 连续的分组用相同的密钥加密。 若有一个特定的分组明文和以前的一个分组相同,则加 密后两者的密文也相同。 目标是使明文的任1比特都不会直接出现在密文中。 串行-分组 变换器 密码加密 逻辑 分组-串行 变换器 密钥 串行 明文 串行 明文
>流密码 原理:对明文的逐个比特进行不同的变换。 例:二进制加性流密码 密钥流 密钥 产生器 产生器(密钥 密钥流 密钥流 明文xn 密文yn 密文yn 明文xn (a)加密装置 (b)解密装置 口令xn,yn和乙分别表示在m时刻明文比特、密文比特和密 钥流比特,则有=x⊕三,n=L2.…N 式中,N是密钥流的长度 因为在模2运算中加法和减法是一样的,所以上式也 可以写为xn=y曲En2n=2,…N 因此,同样的装置既可以用于加密,也可以用于解密
5 ➢ 流密码 ◼ 原理:对明文的逐个比特进行不同的变换。 ◼ 例:二进制加性流密码 令xn , yn和zn分别表示在n时刻明文比特、密文比特和密 钥流比特,则有 式中,N是密钥流的长度。 因为在模2运算中加法和减法是一样的,所以上式也 可以写为 因此,同样的装置既可以用于加密,也可以用于解密。 密钥流 产生器 明文 xn 密文 yn 密钥流 zn 密钥 (a)加密装置 密钥流 产生器 密文 yn 明文 xn 密钥流 zn 密钥 (b)解密装置 yn = xn zn , n =1, 2, ,N xn = yn zn , n =1, 2, ,N
口密钥流应当尽可能地近似于一个完全随机的序列 口若密钥流是一个m序列,则图中的密钥流产生器就是 个m序列产生器;密钥则是控制此m序列的生成多项式 和同步信息等。 口二进制加性流密码没有错误传播;在密文中一个错误比 特解密后只影响输出中的相应比特。 分组密码可能有错误传播,使明文分组中很少几个比 特的改变在密文输出中产生很多比特的变化。分组密码 的这种错误传播性质在认证中很有价值,因为它使敌方 的破译人员不可能修改加密后的数据,除非知道密钥 口流密码通常较适用于通过易出错的通信信道传输数据, 用于要求高数据率的应用中,例如视频保密通信,或者 用于要求传输延迟很小的场合
6 密钥流应当尽可能地近似于一个完全随机的序列。 若密钥流是一个m序列,则图中的密钥流产生器就是一 个m序列产生器;密钥则是控制此m序列的生成多项式 和同步信息等。 二进制加性流密码没有错误传播;在密文中一个错误比 特解密后只影响输出中的相应比特。 (分组密码可能有错误传播,使明文分组中很少几个比 特的改变在密文输出中产生很多比特的变化。分组密码 的这种错误传播性质在认证中很有价值,因为它使敌方 的破译人员不可能修改加密后的数据,除非知道密钥。) 流密码通常较适用于通过易出错的通信信道传输数据, 用于要求高数据率的应用中,例如视频保密通信,或者 用于要求传输延迟很小的场合
>对通信安全的基本要求 假设:敌方破译人员知道所用加密法的全部机理,只是 不知道密钥。 密码分析性攻击的形式: 口仅对密文的攻击 口对已知明文的攻击 口对选定的明文的攻击 口对选定的密文的攻击 实际中常发生的是仅对密文的攻击 口例:使用语言的统计结构知识(例如,英文字母e的 出现概率是13%,以及字母q的后面总跟随着u)和关 于某些可能的字的知识(例如,一封信的开头中可能 有“先生”或“女士”两字)。 仅对密文的攻击是一个密码系统受到的最轻的威胁。因 此,任何系统若不能战胜这种攻击,则被认为是完全不 安全的系统
7 ➢ 对通信安全的基本要求 ◼ 假设:敌方破译人员知道所用加密法的全部机理,只是 不知道密钥。 ◼ 密码分析性攻击的形式: 仅对密文的攻击 对已知明文的攻击 对选定的明文的攻击 对选定的密文的攻击 ◼ 实际中常发生的是仅对密文的攻击: 例:使用语言的统计结构知识(例如,英文字母e的 出现概率是13%,以及字母q的后面总跟随着u)和关 于某些可能的字的知识(例如,一封信的开头中可能 有“先生”或“女士”两字)。 ◼ 仅对密文的攻击是一个密码系统受到的最轻的威胁。因 此,任何系统若不能战胜这种攻击,则被认为是完全不 安全的系统
144用信息论研究密码的方法 香农模型的假定: ■敌方破译人员具有无限的时间和无限的计算能力; 敌方仅限于对密文攻击。 香农的密码分析定义:给定密文以及各种明文和密钥的先验 概率,搜寻密钥的过程。当敌方破译人员获得密文的唯一解 时,就成功地解密了。 香农对安全性的基本度量一互信息量I(X;Y) ■令X=(X1,X2,…,X表示一个N比特的明文消息 Y=(Y1,Y2,…,YA表示相应的N比特密文 假定 口密钥Z服从某种概率分布 口H(X)一X的不确定性 口H(XY)一给定Y后X的不确定性 口Ⅰ(X;Y)=H(X)-H(XY-X和Y之间的互信息量
8 14.4用信息论研究密码的方法 ➢ 香农模型的假定: ◼ 敌方破译人员具有无限的时间和无限的计算能力; ◼ 敌方仅限于对密文攻击。 ➢ 香农的密码分析定义:给定密文以及各种明文和密钥的先验 概率,搜寻密钥的过程。当敌方破译人员获得密文的唯一解 时,就成功地解密了。 ➢ 香农对安全性的基本度量- 互信息量I(X; Y) ◼ 令X = (X1 , X2 , …, XN)表示一个N 比特的明文消息; Y = (Y1 , Y2 , …, YN)表示相应的N 比特密文。 ◼ 假定: 密钥Z服从某种概率分布 H(X) - X的不确定性 H(X/Y) - 给定Y后X的不确定性 I (X; Y) = H(X) – H(X/Y) - X和Y之间的互信息量
1441完善安全性 >完善安全性定义 假定:破译人员只能够看到密文Y,则一个保密系统的完 善安全性定义为:明文X和密文Y之间是统计独立的,即有 (CX;Y)=0 于是,由I(X;Y)=H(X)-H(XY),可以求出 H(X/Y=H(X) 上式表明,敌方破译人员最多只能,按照所有可能消息 的概率分布,从给定的密文Y,去猜测明文消息X
9 14.4.1 完善安全性 ➢ 完善安全性定义 假定:破译人员只能够看到密文Y,则一个保密系统的完 善安全性定义为:明文X和密文Y之间是统计独立的,即有 I(X; Y) = 0 于是,由I(X; Y) = H(X) – H(X/Y),可以求出 H(X/Y) = H(X) 上式表明,敌方破译人员最多只能,按照所有可能消息 的概率分布,从给定的密文Y,去猜测明文消息X
香农基本界 给定密钥Z后,有 H(XY)≤H(X,Z/Y)=H(∠Y+H(XY,Z) 当且仅当Y和Z共同唯一地决定X时, H(X/Y,2)=0; 当使用已知密钥z解密时,这是一个很有价值的假定。 因此,我们可以将式 H(X/YsH(,Zn=H(Z/n+H(X/Y,2 简化如下 H(X1)≤H(Z/Y)≤H(Z 将上式代入式 H(X/Y=H(X) 得知:为使一个保密系统给出完善的安全性,必须满足条件 H(Z)≥H(X) 它表明为了达到完善安全性,密钥Z的不确定性必须 不小于被此密钥所隐蔽的明文X的不确定性
10 ➢ 香农基本界 给定密钥Z后,有 H(X/Y) H(X, Z/Y) = H(Z/Y) + H(X/Y, Z) 当且仅当Y 和 Z 共同唯一地决定X 时, H(X/Y, Z) = 0; 当使用已知密钥Z 解密时,这是一个很有价值的假定。 因此,我们可以将式 H(X/Y) H(X, Z/Y) = H(Z/Y) + H(X/Y, Z) 简化如下: H(X/Y) H(Z/Y) H(Z) 将上式代入式 H(X/Y) = H(X) 得知:为使一个保密系统给出完善的安全性,必须满足条件 H(Z) H(X) 它表明为了达到完善安全性,密钥Z的不确定性必须 不小于被此密钥所隐蔽的明文X的不确定性