密码学 - 第4章公钥密码

发表于2024-07-20|更新于2026-05-04|密码学

|浏览量:

第4章：公钥密码

公钥密码的基本原理

公钥密码的基本概念

历史背景
- 1976年，Diffie和Hellman在”密码学的新方向”一文中首次提出了公钥密码体制的思想。

公钥密码的基本概念

公钥密码体制与对称密码体制完全不同，使用数学函数而不是代替和置换。
公钥密码算法是非对称的，使用两个独立的密钥：公钥和私钥。
公钥密码体制在消息的机密性、密钥分配和认证方面具有重要意义。

优势

密钥分配：公钥可以通过公开信道传输，而对称密码体制需要通过安全的秘密通道共享密钥，代价较大。
密钥管理：在N个用户的系统中，每个用户只需安全保管自己的私钥和N-1个其他用户的公钥，整个系统仅需维护N个公钥；而对称密码体制中，每个用户需使用n-1个密钥，总密钥数量为n(n-1)/2。
数字签名：提供类似书面手写签名的方法，确保数字签名出自某特定人，并且各方对此无异议。对称密码体制中难以解决陌生人之间的身份认证问题。

原理

公钥密码体制在加密和解密时使用不同的密钥：公钥用于加密，私钥用于解密。公钥是公开信息，不需要保密，私钥需保密。
给定公钥，要计算出私钥在计算上是不可行的。
这样的通信无需双方预先交换密钥就可以建立保密通信。

公钥密码体制的模型

加密模型：接收者B生成一对密钥(pkB, skB)，其中pkB是公钥，skB是私钥。发送者用pkB加密要发送的消息m，接收者用skB解密收到的加密消息c。
认证模型：A用自己的私钥skA对m加密（实际上为签名），然后发送c给B。B收到c后，利用A的公钥pkA对c解密（实际上为验证），获得对消息来源的认证和数据完整性的保护。

安全性要求

接收者$B$产生一对密钥在计算上是容易的。
发送者$A$产生相应的密文$c=E(pkB, m)$在计算上是容易的。
对密文解密以恢复出明文$m=D(skB, c)$在计算上是容易的。
已知公钥$pkB$，敌手要求解私钥$skB$在计算上是不可行的。
已知公钥$pkB$和密文$c$，敌手要恢复出明文$m$在计算上是不可行的。

陷门单向函数

陷门单向函数是满足下列条件的可逆函数f：
1. 对于任意的$x$，计算$y=f(x)$是容易的。
2. 对于任意的$y$，计算x使得$y=f(x)$是困难的。
3. 存在陷门$t$，已知$t$，对于任意的$y$，计算$x$使得$y=f(x)$是容易的。

常见的陷门单向函数

大整数分解问题：已知两个大素数$p$和$q$，求$n=pq$是容易的，而由$n$求$p$和$q$则是困难的。
离散对数问题：给定一个大素数$p$，已知$x$，求$y≡gx \mod p$是容易的，而已知$y$, $g$, $p$，求$x$使得$y≡gx \mod p$成立则是困难的。
多项式求根问题：有限域$GF(p)$上的一个多项式已知$a0$, $a_1$, $…$, $a{n-1}$ ,$p$和$x$，求$y$是容易的，而已知$y$, $a0$, $a_1$, …, $a{n-1}$，求$x$则是困难的。
决策性$Diffie-Hellman$问题：给定素数$p$，令$g$是$𝒁𝒑∗$的一个生成元。已知$a=gx$, $b=gy$, $c=gz$，判断等式$z ≡ xy \mod p$是否成立。
二次剩余问题：给定一个合数$n$和整数$a$，判断$a$是否为$\mod n$的二次剩余。
背包问题：给定向量$A$和$x$，求和式$S=f(x)$是容易的，而由 $A$ 和 $S$ 求 $x$ 则是困难的。

RSA密码

RSA算法描述

RSA由Ron Rivest、Adi Shamir和Leonard Adleman于1978年提出。

密钥生成

选取两个互异大素数$p$和$q$。
计算 $n=p×q$ 及其欧拉函数值$φ(n)=(p-1)(q-1)$。
选择一个整数$e$，$1 < e<φ(n)$，使得$gcd(φ(n), e)=1$。
计算$e$的逆元$d$，使得$ed≡1 \mod φ(n)$。
公钥为$(e, n)$，私钥为$d$。

RSA加密

给定明文$m$，$0≤m<n$，计算$c≡me \mod n$。

RSA解密

对于密文$c$，计算$m≡cd \mod n$。

RSA解密的正确性

由加密过程知$c≡me \mod n$，又$de≡1 \mod φ(n)$，故$cd \mod n≡med \mod n≡m \cdot 1+rφ(n) \mod n$。

RSA的安全性

数学攻击：主要途径包括分解4为两个素因子、直接确定$φ(n)$以及直接确定$d$。对$RSA$的密码分析主要集中于分解$n$为两个素因子。
大素数的素因子分解：随着计算能力的提高，模数长度为1024bits存在安全缺陷，建议模数长度应大于1024bits。
参数p和q的限制条件：$p$和$q$的长度应该相差仅几位，$(p-1)$和$(q-1)$应有一个大的素因子，$gcd(p-1, q-1)$应较小。
穷举攻击：使用大的密钥空间抗穷举攻击，但密钥越大，系统运行速度越慢。
计时攻击：通过记录计算机解密消息所用的时间来确定私钥。
选择密文攻击：敌手通过计算得到明文$m$。

椭圆曲线密码

基本概念

椭圆曲线的方程是以下形式的三次方程：$y² + axy + by = x³ + cx² + dx + e$，其中a，b，c，d，e是满足某些条件的实数。

椭圆曲线密码体制

椭圆曲线密码体制是基于椭圆曲线离散对数问题（ECDLP）的困难性来设计的。
密钥生成：在椭圆曲线$Ep(a, b)$上选取一个生成元P，随机选取整数$x$，计算$Q=xP$。公钥为$Q$，私钥为$x$。
加密：随机选取整数k，计算$C1=kP$,$ C2=Pm+kQ$，密文为$(C1, C2)$。
解密：计算
$C2-xC1=Pm+kQ-xkP=Pm$

优点

安全性高：相同的密钥长度下，椭圆曲线密码体制比RSA或DSA更安全。
密钥长度小：在实现相同的安全性能条件下，椭圆曲线密码体制所需的密钥长度远小于基于有限域上的离散对数问题或大整数分解问题的公钥密码体制的密钥长度。
算法灵活性好：椭圆曲线具有丰富的群结构和多选择性。

文章作者: moyuan

文章链接: https://moyuan10086.github.io/2024/07/20/%E5%AF%86%E7%A0%81%E5%AD%A6-%E7%AC%AC4%E7%AB%A0-%E5%85%AC%E9%92%A5%E5%AF%86%E7%A0%81/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Moyuan"s website！

相关推荐

密码学 - 练习题

说明AES和DES设计的不同之处。AES和DES设计的不同之处密钥长度： AES：支持128位、192位和256位的密钥长度。 DES：固定56位的密钥长度（尽管通常表示为64位，但其中8位用于奇偶校验）。分组长度： AES：固定128位的分组长度。 DES：固定64位的分组长度。算法结构： AES：基于替代-置换网络（Substitution-Permutation Network, SPN）。使用S盒和P盒来实现复杂的替代和置换操作。 DES：基于费斯妥尔网络（Feistel Network）。每一轮将数据分成两半，交替进行加密和交换。轮数： AES：轮数取决于密钥长度：128位密钥为10轮，192位密钥为12轮，256位密钥为14轮。 DES：固定为16轮。安全性： AES：设计更为现代，考虑了更多的密码分析攻击，现阶段没有已知的有效攻击方式。 DES：由于密钥长度较短，容易受到暴力破解攻击，已经被认为是不安全的。硬件和软件实现： AES：设计时考虑了高效的硬件和软件实现，特别是对现代处理器进行了优化。 DES：设计较早，硬件实...

密码学 - 公钥加密公式整理

公钥加密的公式分类整理RSA 公钥加密 RSA 加密方案密钥生成: 选择两个大素数 $ p $ 和 $ q $ 计算 $ n = pq $ 计算 $ \phi(n) = (p-1)(q-1) $ 选择一个整数 $ e $（满足 $ 1 < e < \phi(n) $ 且 $ \gcd(e, \phi(n)) = 1 $）计算私钥 $ d $（满足 $ ed \equiv 1 \pmod{\phi(n)} $）公钥为 $ (e, n) $，私钥为 $ (d, n) $ 加密: 明文 $ m $ 密文 $ c = m^e \mod n $ 解密: 密文 $ c $ 明文 $ m = c^d \mod n $ 基于离散对数的公钥加密 ElGamal 加密方案密钥生成: 选定大素数 $ p $ 和生成元 $ g $ 选择私钥 $ x $（随机数），计算公钥 $ y = g^x \mod p $ 公钥为 $ (p, g, y) $，私钥为 $ x $ 加密: 明文 $ m $ 选择随机数 $ k $（满足 $ 1 < k <...

密码学题目 - 椭圆曲线ElGamal密码体制

在椭圆曲线上的ElGamal密码体制中，设椭圆曲线为E_{11}(1, 6)，生成元p=(2, 7)，接收者的私钥x=4。（1）求接收者的公钥Q。（2）发送者欲发送消息Pm=(7, 9)，选择随机数k=2，求密文c。（3）给出接收者从密文c恢复消息Pm的过程。在椭圆曲线上的ElGamal密码体制中，求解和解密的过程如下：已知条件椭圆曲线 E_{11}(1, 6) 生成元 p = (2, 7) 接收者的私钥 x = 4 （1）求接收者的公钥 Q接收者的公钥 Q 通过计算 Q = x \cdot p 获得，即将生成元 p 乘以私钥 x。首先，回顾一下椭圆曲线上的点加法运算。对于两个点 P = (x_1, y_1) 和 Q = (x_2, y_2) 在模 n 的椭圆曲线上，点加法的公式为：当 P \neq Q 时： \lambda = \frac{y_2 - y_1}{x_2 - x_1} \mod n x_3 = \lambda^2 - x_1 - x_2 \mod n y_3 = \lambda(x_1 - x_3) - y_1 \mod n 当 P = Q 时（点倍加...

密码学 - 第9章 PKI技术

第9章：PKI技术PKI概念PKI技术概述公钥基础设施（Public Key Infrastructure, PKI）是用于实施和提供安全服务的基础设施。它能提供认证、数据完整性、数据保密性、不可否认性、公证等服务。 PKI主要用于抵抗”公钥替换”攻击，通过将用户的公钥与其身份信息以可验证和可信的方式关联起来，确保公钥的真实性。 PKI服务认证服务：确认实体的真实身份，通过验证证书和数字签名，确保通信双方的身份。数据完整性服务：保证数据在传输和处理过程中未被修改。通过数字签名和哈希算法提供数据完整性保证。数据保密性服务：采用”数字信封”机制，使用对称密钥加密敏感数据，并用接收方的公钥加密对称密钥。不可否认性服务：保证实体对其行为的认可，包括数据来源、接收、传输、创建和同意的不可否认性。公证服务：确认数据的有效性和正确性，通过数字签名和公钥验证。 PKI组成结构PKI组成注册中心（Registration Authority, RA）：负责用户的身份注册和验证。证书中心（Certificate Authority, CA）：负责生成和颁发数字证书。目录库...

密码学 - 加密和签名算法整理

加密和签名算法整理对比RSA加密目的：保护数据的机密性，确保只有拥有相应私钥的人能够解密数据。过程：加密：使用接收方的公钥 $ e $ 对消息 $ m $ 进行加密。加密公式：$ c \equiv m^e \pmod{n} $ 这里，$ c $ 是密文，$ m $ 是明文，$ n $ 是两个大素数的乘积（$ n = p \times q $），$ e $ 是公钥。解密：使用接收方的私钥 $ d $ 对密文 $ c $ 进行解密。解密公式：$ m \equiv c^d \pmod{n} $ 这里，$ m $ 是解密后的明文，$ c $ 是密文，$ d $ 是私钥。应用：安全的消息传输，例如电子邮件加密、文件加密等。 RSA签名目的：验证消息的真实性和完整性，确保消息来自合法发送者且未被篡改。过程：签名：使用发送方的私钥 $ d $ 对消息的哈希值 $ h(m) $ 进行签名。签名公式：$ s \equiv h(m)^d \pmod{n} $ 这里，$ s $ 是签名，$ h(m) $ 是消息 $ m $ 的哈希值，$ d $ 是私钥...

密码学 - 第2章序列密码

第2章：序列密码伪随机序列的发展伪随机数的算法与应用随机序列：被称为随机数，目前没有统一的数学定义，主要从统计学的角度阐述，应该是独立的、互不相关的、具有长周期、均匀分布、不可压缩等。真随机数：由某些物理过程产生，如热噪声、宇宙噪声、放射性衰变等，完全不可预测，在任何情况下不可能重复产生两个完全相同的随机数。伪随机数：由数学公式产生，若生成随机数的算法确定，随机数也确定。伪随机序列就是具有某种随机特性的确定序列，能通过一系列测试检验的伪随机数可作为真随机数使用。伪随机数在数据加密、密钥产生、密钥管理、数字签名等方面扮演核心角色。伪随机序列的定义与性质定义：如果一个序列可以随意产生和重复进行，且具有近似随机的统计特性，就称为伪随机序列。常用的伪随机序列有：m序列、Gold序列、Walsh序列、R-S序列等。周期达到最大值的序列称为m序列。性质：均衡特性：m序列在一个周期中1与0出现的次数基本相等，1的个数比0多1个。游程分布随机性：m序列在一个周期中长度为i的游程数占总游程数的1/2i，且在等长的游程中”0”、”1”游程各占半。移位相加特性：一个周期为T...