密码学导论复习笔记

annesede

已于 2024-11-05 00:26:31 修改

阅读量1k

点赞数 14

分类专栏：课程记录文章标签：密码学

于 2023-12-08 10:15:00 首次发布

本文链接：https://blog.csdn.net/annesede/article/details/134828616

版权

课程记录专栏收录该内容

27 篇文章 18 订阅

订阅专栏

复习自用，仅供参考~

概论

CIA: 机密性(Confidentiality), 完整性(Intergrity), 可用性(Availability).
体制: $M,C,K_1,K_2,E,D)$ 明文空间, 密文空间, 加密密钥空间, 解密密钥空间, 加密空间, 解密空间; 加密变换 $c=E_{k_1}(m)$ , 解密变换 $m=D_{k_2}(c)$ .
评价: 无条件安全 $P (M ∣ C) = P (M)$ ; 可证明安全(破解本质为数学难题); 计算安全(破解代价超过信息价值;破解时间超过信息时效).
分析: 唯密文攻击, 已知明文攻击, 选择明文攻击, 选择密文攻击, 自适应选择明文攻击, 选择密钥攻击.
香农《保密系统的通信原理》建立密码系统理论模型, 信息论为密码学奠定理论基础.
柯克霍夫斯原则(公开设计): 密码体制安全性依赖于密钥保密, 密码算法公开.

古典密码

仿射

仿射密码: 单表代换
- 加密: $c\equiv am+b({\rm mod}\ n)$ .
- 解密: $m\equiv a^{-1}(c-b)({\rm mod}\ n)$ .
- $a$ 存在模 $n$ 的逆, 故密钥共 $n\times (\varphi(n)-1)$ 种.

Vigenere

Vigenere密码: 多表代换
- 加密: $c\equiv m+k({\rm mod}\ n)$ .
- 解密: $m\equiv c-k({\rm mod}\ n)$ .

Vernam

Vernam密码: 多表代换, 序列密码基础
- 加密: $c_i=m_i\oplus k_i$ .
- 解密: $m_i=c_i\oplus k_i$ .
- $o pl u s$ 为异或/模2加法/不进位加法/ $GF (2)$ 上加法.

统计分析

置换不改变字母, 单表代换不改变频率分布, 多表代换频率趋于均匀分布.
粗糙度: ${\rm M.R}=\sum_{i=0}^{25}(p_i-\frac{1}{26})^2=\sum_{i=0}^{25}p_i^2-0.0385$ . 明文或单表代换时 ${\rm M.R}\approx 0.027$ , 更接近 $0$ 则更可能为多表代换.
重合指数: ${\rm IC}=\sum_{i=0}^{25}p_i^2$ . 多表代换时 ${\rm IC}\approx 0.0655$ . 相同字母间隔为 $d_1,...,d_n$ , 则密钥可能长度为 ${\rm gcd}(d_1,...,d_n)$ .

序列密码

同步序列密码: 密钥序列产生与明密文无关; 通信双方必须保持精确同步; 错误只影响对应比特, 对失步敏感.
自同步序列密码: 密钥序列产生与明文或密文相关; 加解密时造成错误传播, 但错误传播有界.

线性反馈移位寄存器(LFSR)

移位寄存器: 值 $S=(s_0,s_1,...,s_{n-1})$ 为状态.
线性反馈函数: $s_{n-1}\gets f(s_0,s_1,...,s_{n-1})=g_{n-1}s_{n-1}+...+g_1s_1+g_0s_0$ , $g_i\in GF(2) \implies$ 连接多项式 $g(x)=g_nx^n+...+g_0\in GF(2)[x]$ .
LFSR
$S_0=O$ 则 $S_i=O$ ; $S_0\ne O$ 则 $S_i\ne O$ .
本原多项式: $f(x)\in F[x]$ , 有 ${\rm deg}f=n$ , $\inf \{p\in\mathbb{Z}_+: f(x)|x^{p-1}\}=2^n-1$ .
$g(x)\in GF(2)[x]$ 为本原多项式 $\iff$ 输出序列周期达到最大值 $2^n-1$ ; 此时输出序列称为 $m$ -序列.
LFSR分析
截获长度 $l\geq 2(2^n-1)$ 的明密文对 $(c, m)$ , 则 $k=c\oplus m$ , 有状态 $S_i,...,S_{i+n+1}$ .
记 $X=(S_i,...,S_n)$ , $Y=(S_{i+1},...,S_{i+n+1})$ , 有 $Y\equiv HX({\rm mod}\ 2)$ .
$m$ -序列时, $X$ 满秩, $H\equiv YX^{-1}({\rm mod}\ 2)$ 为连接多项式的友矩阵, $O(n^3)$ 内可求得.

$H=\left( \begin{array}{} 0 & 1 & 0 & ... & 0 \\ 0 & 0 & 1 & ... & 0 \\ ... \\ 0 & 0 & 0 & ... & 1 \\ g_0 & g_1 & g_2 & ... & g_{n-1} \end{array}\right )$

非线性序列实现
- 非线性反馈函数: 如引入与运算/模2乘/ $GF (2)$ 上乘法.
- LFSR的非线性组合: 线性部分为前馈电路, 确保序列的长周期性和均匀性.
- 非线性分组码

A5

欧洲移动通信GSM标准, 手机到基站间的链路语音加密; 算法未公开, 区别主要在连接多项式上.
三个较短的LFSR组成, 64位种子密钥(19+22+23).
$\begin{aligned} &g_1(x)=x^{19}+x^{18}+x^{17}+x^{14}+1 \\ &g_2(x)=x^{22}+x^{21}+1 \\ &g_3(x)=x^{23}+x^{22}+x^{21}+x^8+1 \end{aligned}$
控制位为 LFSR1(8), LFSR2(10), LFSR(10); 相同的两个/三个移位, 不同的不移位.
安全问题: LFSR过短; 不同种子密钥也能产生相同的密钥序列; 种子密钥过短.

RC4

RSA数据安全公司加密软件BSAFE, 1987年Ron Rivest提出; 本质为对数据表进行非线性变换.
初始化: 线性填充256字节S表, 密钥循环填充T表; $i$ 遍历 $0 - 255$ , $j\equiv j+S[i]+T[i]({\rm mod}256)$ , 交换 $S [i]$ 和 $S [j]$ .
密钥序列产生: $i$ 循环遍历 $0 - 255$ , $j\equiv j+S[i]({\rm mod}256)$ , 交换 $S [i]$ 和 $S [j]$ , $t\equiv S[i]+S[j]({\rm mod}256)$ , $k_i=S[t]$ .
安全问题: 存在弱密钥使得初始置换后 $S$ 不变, 即 $i = j$ ; 存在弱密钥使得子密钥序列在100万字节内完全重复; 存在信息泄漏漏洞和加密漏洞; 种子密钥有效长度为128bit.

ZUC

国密; 4G宽带无线通信系统(LTE)国际标准; 分为机密性128-EEA3和完整性128-EIA3; 本质为对LFSR进行非线性组合.
三层结构: LFSR, BR(比特重组), 非线性F函数(唯一非线性部件, 安全性).

$\boxplus$ 为 $GF(2^{32})$ 上加法; $∣$ 为连接字符串; $_H$ 为高16bit; $_L$ 为低16bit; $<<<$ 为循环左移.
- LFSR: 本原多项式 $g(x)\in GF(2^{31}-1)[x]$ , $g(x)=x^{16}-2^{15}x^{15}-2^{17}x^{13}-2^{21}x^{10}-2^{20}x^{4}-2^8-1$ ;
  输出 $m$ 序列周期 $2^{31}-1)^{16}-1$ ; 16个31bit 寄存器 $S_0,...,S_{15}\in [1,2^{31}-1]$ .
- BR: $X_0=S_{15H}|S_{14L}$ , $X_1=S_{11L}|S_{9H}$ , $X_2=S_{7L}|S_{5H}$ , $X_3=S_{2L}|S_{0H}$ .
- F: $W=(X_0\oplus R_1)\boxplus R_2$ , $W_1=R_1\boxplus X_1$ , $W_2=R_2\boxplus X_2$ ;
  $R_1=S(L_1(W_{1L}|W_{2H}))$ , $R_2=S(L_2(W_{2L}|W_{1H}))$ ;
  $L_1(a)=a\oplus(a< < < 2)\oplus(a< < < 10)\oplus(a< < < 18)\oplus(a< < < 24)$ ,
  $L_2(a)=a\oplus(a< < < 8)\oplus(a< < < 14)\oplus(a< < < 22)\oplus(a< < < 30)$ ;
  $S$ 盒为 $S_0,S_1,S_0,S_1)$ , 每8bit作为索引, 返回 $S$ 盒中对应的8bit.
- 输出密钥序列: $Z=W\oplus X_3$ .
运行流程
- 128bit 初始密钥和 128bit 初始向量装入寄存器 $S_0,...,S_{15}$ .
  - 128bit 初始密钥分为 16 个 8bit: ${\rm KEY}=k_0 || k_1 ||...|| k_{15}$ .
  - 128bit 初始向量分为 16 个 8bit: ${\rm IV}=iv_0||iv_1||...||iv_{15}$ .
  - 240bit 常量分为 16个 15bit: $D=d_0||d_1||...||d_15$ .
  - $S_i=k_i||d_i||iv_i$ .
- 初始化 $F$ , $R_1=0$ , $R_2=0$ .
- 初始化模式运行32次: BR $\to$ W=F(X_0,X_1,X_2) $\to$ LFSR; 不输出.
- 工作模式运行1次并舍弃 $W$ : BR $\to$ W=F(X_0,X_1,X_2) $\to$ LFSR.
- 密钥序列产生: 工作模式运行, 每时钟节拍输出 32bit.
128-EEA3参数表

输入参数	长度(bit)	含义
COUNT	32	计数器
BEARER	5	承载层标识
DIRECTION	1	传输方向标志
CK	128	明文序列bit长度
IBS	LENGTH	输入序列

输出参数	长度(bit)	含义
OBS	LENGTH	输出序列

$k_i=ck_i$ , $i = 0, 1, ..., 15$ .
$iv_0={\rm COUNT}_0$ , $iv_1={\rm COUNT}_1$ , $iv_2={\rm COUNT}_2$ , $iv_3={\rm COUNT}_3$ ;
$iv_4={\rm BEARER}|{\rm DIRECTION}|00$ , $iv_5=iv_6=iv_7=00000000$ ;
$iv_{j+8}=iv_j$ , $j = 8, 9, ..., 15$ .

安全问题
抵御多种已知攻击: 弱密钥, Guess-and-Determine(猜测-决定)攻击, Binary-Decision-Tree(二叉决策树)攻击, 线性区分攻击, 代数攻击, 选择初始向量攻击.
主要威胁为侧信道攻击: DPA攻击.

分组密码

本质为单表代换和置换, 复杂多轮非线性, 通过混淆和扩散实现.
- 混淆: 密钥和密文间依赖关系复杂, 抗统计分析.
- 扩散: 明文每 bit 影响尽可能多的密文 bit.
- 香农乘积密码
  - 幂等密码: $S^2=S$ ; 不会增强安全性.
  - 迭代密码: $S^n$ ; 通过简单密码得到高强度密码; 分组密码和hash函数的核心思想.
组件
- S盒: 混淆; 非线性代换; 安全强度, 抗差分攻击和线性攻击能力; 规模越大, 非线性程度越高, 混淆性能越好, 实现效率越低.
- P置换: 线性置换; S盒后将混淆效应扩散.
- 轮函数F: 快速实现密钥和明文的混淆扩散; 复杂性和轮数决定了实现效率.
- 密钥扩展: 生成轮密钥(子密钥); 密钥与密文独立, 抗统计分析, 抗弱密钥, 结果简单易于实现, 种子密钥影响均衡.

结构模型	特点	代表算法
S-P网络	每轮异或密钥后, S盒分组小块混淆扩散, P置换整体扩散, $N_i=F(N_{i-1}\oplus K_i)$	PRESENT, AES
Feistel网络	分为左右两部分, $R_i=F(R_{i-1},K_i)\oplus L_{i-1}$ , $L_i=R_{i-1}$ , 最后一轮不做对换; 同个算法加解密	DES
Lai-Massey	16bit 模 $2^{16}+1$ 乘法群, 16bit 模 $2^{16}$ 加法群, $GF [2] / f (x)$ 加法群, ${\rm deg}f=16$	IDEA
滑动窗口	广义Feistel网络; 轮函数, 密文链接滑动	SM4

工作模式	含义	特点
ECB(Eletronic Code Book)电子密码本	分组用相同密钥加密; 相同明文产生相同密文	简单快速, 可并行
CBC(Ciper Block Chaining)密码分组链接	初始化 $i v$ 得到第一组密文, 第一组密文与第二组明文异或后再加密	TSL及IPSEc协议推荐; 仅解密支持并行
CFB(Cipher Feedback)密文反馈	初始化 $i v$ 得到密文 $E$ , $v i$ 左移 $n$ 位, 密文 $E$ 与明文异或后得到密文 $C$ , $C$ 高位 $n$ 位填入 $v i$	支持流式数据, 错误有界; 仅解密支持并行
OFB(Output Feedback)输出反馈	初始化 $i v$ 得到密文 $E$ , $v i$ 左移 $n$ 位, 密文 $E$ 与高位 $n$ 位填入 $v i$ , 密文 $E$ 与明文异或后得到密文 $C$	支持流式数据, 错误有界; 不支持并行
CTR(Counter)计数器	自增算子加密后与明文异或得到密文	相当于一次一密; 可并行

分组密码	网络结构	分组长度(bit)	密钥长度(bit)	子密钥长度(bit)	轮数	$S$ 盒规模	结构特点
DES	Festal网络	64	56(+8)	48	16	6进4出	对合
3-DES	Festal网络	192	112( $K_3=K_1$ )/168	48	16 $\times$ 3	6进4出	对合
AES	S-P网络	128	128/192/256	128	10/12/14	8进8出	对称
SM4	滑动窗口	128	128	32	32	8进8出	对合
PRESENT	S-P网络	64	80/128	64	31	4进4出	非对称

DES

数据加密标准(Data Encryption Standard): 16 轮 Feistel 网络对合加解密.
体现香农密码设计思想; 公开密码算法先例; 商用密码典范.
密钥扩展
初始密钥(64bit)经PC1表置换得到 $C_i$ 和 $D_i$ (各28bit), 循环左移 $ls_i$ 位;
经PC2表置换得到第 $i$ 轮子密钥 $K_i$ (48bit);
置换表中元素 $pt_{i}$ 意为将待置换中的第 $pt_{i}$ 位置换到第 $i$ 位.
初始置换与结束逆置换
明(密)文(64bit)经IP表置换进入加密;
完成加(解)密后经IPR表置换得到密(明)文(64bit).
轮函数
32bit输入经E表置换扩充到48bit;
与子密钥(48bit)异或后, 经S盒压缩回32bit(混淆), 再经P表置换得到32bit输出(扩散);
S盒6位输入 $b_1b_2b_3b_4b_5b_6$ , 输出 $s_{b_1b_6, b_2b_3b_4b_5}$ .
S盒设计准则: (DES中唯一非线性变换)
改变1bit输入至少2bit发生变化;
$S (x)$ 和 $S(x\oplus 001100)$ 至少2bit发生变化;
$S(x)\neq S(x\oplus 11ef00)$ , $e,f\in\{0,1\}$ ;
改变5bit输入, 输出的0和1数目大致相等;
足够的非线性度以抵抗线性攻击;
差分性均匀以抵抗差分攻击;
足够的代数次数和项目以抵抗插值攻击和高阶差分攻击.
攻击类型: 穷钥攻击; 侧信道攻击(能量分析, 故障注入分析); 差分攻击; 线性攻击.
安全问题: 密钥太短(有效仅56bit); 存在弱密钥; 互补对称性(异或运算导致).
3-DES: 3轮DES; 112(1和3轮密钥相同)/256bit 密钥; 加解密速度慢.

AES

高级数据加密标准(Advanced Encryption Standard): 10/12/14 轮 S-P 网络对称加解密(对应 128/192/256bit 密钥).
$GF (2) [x]$ 上运算
$GF (2)$ 上多项式域 $GF(2^8)\cong GF(2)[x]/(x^8+x^4+x^3+x+1)$ 中元素为 $b_{(8)}=b_7x^7+b_6x^6+b_5x^5+b_4x^4+b_3x^3+b_2x^2+b_1x+b_0$ ;
乘法需对既约多项式 $m(x)=x^8+x^4+x^3+x+1$ 取模, 乘法逆元可由扩展Euclid算法得到.
考虑 $xb_{(8)}=(b_{(8)}< < 1)\oplus m(x)$ , 高次乘法可重复 $x$ 乘实现.
$GF(2^8)[x]$ 上运算
$GF(2^8)$ 上 $degf\leq 3$ 多项式环 $GF(2^8)/[x^4+1]$ 中元素为 $b_{(32)}=B_3x^3+B_2x^2+B_1x+B_0$ ;
乘法需对(非既约)多项式 $x^4+1$ 取模.
考虑 $xb_{(32)}=b_{(32)}> >8$ , 高次乘法可视为 $GF(2^8)$ 上矩阵乘法.
状态矩阵
128bit 明(密)文和密钥按列优先载入4阶方阵;
加(解)密后按列优先输出密(明)文.
密钥扩展: 4字输入, 扩展为44字输出; 1word (字) $=$ 4byte $=$ 32bit.
$w[i]=w[i-1]\oplus w[i-4]$ , $\not|\ i$ ;
$w[i]=w[i-4]\oplus S(w'[i-1])\oplus Rcon[i]$ , $4∣ i$ ;
即每个字循环左移1字节后进行S盒置换.
轮函数: 轮密钥加(即子密钥异或) $\to$ (逆)字节代换 $\to$ (逆)行位移 $\to$ (逆)列混合; 最后一轮(逆)列混合改为轮密钥加.
- 字节代换: 取每个字节在 $GF(2^8)$ 上的逆后进行仿射变换, 可等效为S盒置换;
- 逆字节代换: 逆仿射变换再取逆, 可等效为逆S盒置换.
- 行位移: 第 $i = 0, 1, 2, 3$ 个字循环右移 $i$ 字节;
- 逆行位移: 第 $i$ 个字循环左移 $i$ 字节.
- 列混合: 按列的字在 $GF(2^8)[x^4+1]$ 上与 $a(x)={\rm 0x03}x^3+{\rm 0x01}x^2+{\rm 0x01}x+{\rm 0x02}$ 相乘, 可等效为 $GF(2^8)$ 上的矩阵乘法;
- 逆列混合: 与 $a^{-1}(x)={\rm 0x0B}x^3+{\rm 0x0D}x^2+{\rm 0x09}x+{\rm 0x0E}$ 相乘; 可等效为 $GF(2^8)$ 上的矩阵乘法.
安全问题: 主流数据加密标准; 无弱密钥, 128bit 密钥空间可达 $2^{128}$ ; 主要威胁是侧信道攻击(能量侧信道, 电磁侧信道, 故障注入).

SM4

国密, ISO/IEC 国际标准; 128bit 密钥 32 轮非平衡 Feistel 网络(滑动窗口).
密钥更新: $S$ 盒置换 $\to$ $L$ 线性变换.
初始密钥 $MK_0,MK_1,MK_2,MK_3)$ , $K_i=MK_i\oplus FK_i$ , $rk_i = K_{i+4} = K_i\oplus T(K_{i+1}\oplus K_{i+2}\oplus K_{i+3}\oplus CK_i)$ ;
$FK_i$ 为系统参数, $CK_i$ 为固定参数, $T(B)=L(S(B_0)|S(B_1)|S(B_2)|S(B_3))$ .
非线性S盒置换输入字节 $b_1b_2b_3b_4b_5b_6b_7b_8$ , 输出字节 $s_{b_1b_2b_3b_4, b_5b_6b_7b_8}$ ;
对字进行线性变换 $L(B)=B\oplus (B < < < 13)\oplus (B < < < 23)$ .
轮函数: 轮密钥加 $\to$ $S$ 盒置换 $\to$ $L^{'}$ 线性变换.
$X_{i+4} = X_i\oplus T'(X_{i+1}\oplus X_{i+2}\oplus X_{i+3}\oplus rK_i)$ ;
$T'(B)=L'(S(B_0)|S(B_1)|S(B_2)|S(B_3))$ ;
对字节进行非线性的S盒置换;
对字进行线性变换 $L'(B)=B\oplus (B < < < 2)\oplus (B < < < 10)\oplus (B < < < 18)\oplus (B < < < 24)$ .
反序输出: 输入 $X_1,X_2,X_3,X_4)$ , 输出 $Y_1,Y_2,Y_3,Y_4)=(X_{35},X_{34},X_{33},X_{32})$ .
安全问题: 抗差分分析和线性分析; 主要威胁是侧信道攻击(故障注入).

PRESENT

CHES会议: 80/128bit 密钥 31 轮 S-P网络.
超级轻量级, 适用于资源受限环境.
密钥更新:
初始密钥 $k_{79}k_{78}...k_{0}$ .
循环左移 61bit; 高 4bit S盒置换;
轮数加 $k_{19}k_{18}k_{17}k_{16}k_{15} \gets k_{19}k_{18}k_{17}k_{16}k_{15}\oplus {\rm round}$ ;
取高 64bit $k_{79}k_{78}...k_{16}$ 为子密钥.
轮函数: 轮密钥加 $\to$ $S$ 盒置换 $\to$ $P$ 置换.
S盒输入 4bit $b_1b_2b_3b_4$ , 输出4bit $s_{b_1b_2b_3b_4}$ ;
P置换对 64bit 重新排列.

公钥密码

对称加密问题
- 密钥管理困难: $n$ 个实体的网络需要 $\frac{(n-1)n}{2}$ 个密钥及同等数量的保密信道.
- 难以解决签名和认证问题: 接收方可以伪造原文; 发送方可以否认行为.
非对称加密基本条件
- 安全: $k_e\ne k_d$ 且由 $k_e$ 不能得到 $k_d$ ;
- 保密: $D (E (m)) = m$ ;
- $E$ 和 $D$ 高效;
- 保真: $E (D (m)) = m$ .
  单向陷门函数: $y = f (x)$ 满足: (1)给定 $x$ , 计算 $y$ 很容易; (2)给定 $y$ , 不掌握陷门, 计算 $x=f^{-1}(y)$ 很困难; (3)给定 $y$ , 掌握陷门, 计算 $xf^{-1}(y)$ 很容易.
数学难题
- 大合数分解难题: 大素数乘积容易 $p\times q=n$ , 大合数分解困难 $n=p\times q$ .
- 离散对数难题(DLP): 有限域 $GF (p)$ 上生成元幂乘容易 $a^b=c$ , 求对数困难 $log_a c=b$ .
- 椭圆曲线离散对数难题(ECDLP): 椭圆曲线群 $E_p(a,b)$ 中基点倍乘容易 $d P = Q$ , 求倍数困难 $d=\frac{Q}{P}$ .
- 误差还原难题(LWE): 有限域 $GF (p)$ 上矩阵乘法加误差容易 $v = A s + e$ , 解带噪音的线性方程组困难 $s=A^{-1}(v-e)$ .
工作方式
- 发送方 $A$ : 先用发送方私钥 $k_{Ad}$ 签名 $s=D(m,k_{Ad})$ , 再用接收方公钥 $k_{Be}$ 加密 $c=E(s,k_{Be})$ .
- 接收方 $B$ : 先用接收方私钥 $k_{Bd}$ 解密 $s=E(c,k_{Bd})$ , 再用发送方公钥 $k_{Ae}$ 验证 $m=D(s,k_{Ae})$ .
- 机密性: 公钥加密, 私钥解密.
- 真实性: 私钥签名, 公钥验证.

RSA

RSA: 素数 $p, q$ , $n = pq$ , ${\rm gcd}(e,\varphi(n))=1$ , $\varphi(n)=(p-1)(q-1)$ .
- 公钥 $(e, n)$ , 加密 $c=E_{e,n}(m)\equiv m^e({\rm mod}\ n)$ .
- 私钥 $d\equiv e^{-1}({\rm mod}\ \varphi(n))$ , 解密 $m=D_{d,n}(m)\equiv m^d({\rm mod}\ n)$ .
RSA参数选取
$p, q$ 足够大, 一般场景使 $n$ 达到1024bit, 重要场景2048bit.
$p, q$ 为强素数, $p - 1, p + 1, q - 1, q + 1$ 中均无除 $2$ 外的小因子.
$p, q$ 位数不能相差过大或过小.
私钥 $d\ne e$ .
${\rm gcd}(p-1,q-1)$ 尽可能小, 最好为2; 以避免密文迭代攻击.
$e$ 应保证 $m^e\ll n$ ; 有人建议为素数 $2^{16}+1=65537$ , 二进制表示中仅含两位 $1$ , 加密速度较快.
$d$ 应较小以保证解密速度, 但确保 $d\ll \frac{n}{4}$ .
多个用户不得共用同一个模 $n$ ; 以避免共模攻击.
RSA算法
- 大素数验证: Miller-Rabin测试.
- 加密优化算法: 快速模幂, Montgomery.
- 解密优化算法: CRT, 快速模幂, Montgomery.

ElGamal型

D-H协议: 大素数 $p$ 和模 $p$ 原根 $g$ , 任选 $2\leq x,y\leq p-2$ .
- 公钥 $(p, g)$ , 私钥 $x, y$ .
- 握手: $k_{X\to Y}\equiv g^x({\rm mod}\ p)$ , $k_{Y\to X}\equiv g^y({\rm mod}\ p)$ .
- 密钥: $k\equiv k_{Y\to X}^x\equiv k_{X\to Y}^y \equiv g^{xy}({\rm mod}\ p)$ .
ECDH: 椭圆曲线群 $E_p$ , $G\in E_p$ , $∣ G ∣ = q$ 为大素数, 任选 $2\leq a,b\leq q-2$ .
- 公钥 $(p, G)$ , 私钥 $x, y$ .
- 握手: $k_{A\to B}=aG$ , $k_{B\to A}=bG$ .
- 密钥: $k=ak_{B\to A}=bk_{A\to B}=(ab)G$ .
ElGamal: 大素数 $p$ 和模 $p$ 原根 $g$ , 任选 $2\leq a\leq p-2$ , $Y_a\equiv g^a({\rm mod}\ p)$ .
- 公钥 $p,g,Y_a)$ , 加密 $u\equiv g^k({\rm mod}\ p)$ , $v\equiv mY_a^k({\rm mod}\ p)$ , $c=E_{p,g,Y_a,k}(m)=(u,v)$ , 任选 $2\leq k\leq p-2$ , $k\ne a$ .
- 私钥 $a$ , 解密 $m\equiv D_a(c)\equiv \frac{v}{u^a}({\rm mod}\ p)$ .
- 参数选取: $p$ 足够大, 一般场景512bit, 重要场景1024bit.
ECEG: 椭圆曲线群 $E_p$ , $G\in E_p$ , $∣ G ∣ = q$ 为大素数, 任选 $2\leq d\leq q-2$ , $P = d G$ .
- 公钥 $(P, G, E, q)$ , 加密 $C_1=rG$ , $C_2=M+rP$ , $c=E_{E_p,P,G,r}(M)=\\{C_1,C_2\\}$ , 任选 $2\leq r\leq q-2$ , $r\ne d$ .
- 私钥 $d$ , 解密 $M=D_{E_p,d}(C)=C_2-dC_1$ .
- 参数选取: $p$ 足够大, 一般为160bit; 余因子 $h=\frac{|E_p|}{|G|}\leq 4$ ; 避免选用超奇异和反常椭圆曲线.

SM2

本质为ECEG.
初始化: 椭圆曲线群 $E_p$ , $G\in E_p$ , $∣ G ∣ = q$ 为大素数, 任选 $2\leq d\leq q-2$ , $P = d G$ , $h=\frac{|E_p|}{|G|}\leq 4$ .
避免选取非超奇异和反常椭圆曲线, $p$ 达到 160bit, $h\leq 4$ , $S=hP\neq O$ .
公钥 $(P, G, E, q)$ , 私钥 $d$ .
加密: 生成 $2\leq r\leq q-1$ , $r\ne d$ .
$x_1,y_1)=rG$ , $x_2,y_2)=rP$ , $t=k(x_2 | y_2)$ .
密钥派生函数 $k$ : 32bit计数器 ${\rm ct}={\rm 0x01}$ , 得到 $\lfloor\frac{{\rm len}}{v}\rfloor$ 个hash值 $h=H(x_2 | y_2 | {\rm ct})$ , 并截断为 ${\rm len}$ ; 其中 ${\rm len}$ 为 $m$ 长度, $v$ 为hash值长度, 一般采用SM3.
$C_1=x_1 | y_1$ , $C_2=m\oplus t$ , $C_3=h(x_2 | m | y_2)$ , $c=C_1 | C_2 | C_3$
解密: $x_2,y_2)=dC_1$ , $t=k(x_2 | y_2)$ , $m=C_2\oplus t$ .
$u=H(x_2 | m | y_2)$ , 验证 $u=C_3$ .

Hash函数

Hash/杂凑/散列: 将任意长度消息变为固定长度的信息摘要/数字指纹/Hash值/杂凑值/散列值, 记 $h = H (m)$ .
Hash函数性质
- 单向性(抗原像攻击): 给定 $h$ , 找到 $m^{'}$ 有 $h (m^{'}) = h$ 在计算上不可行.
- 抗弱碰撞性(抗第二原像攻击): 给定 $m$ , 找到另一 $m^{'}$ 有 $H (m) = H (m^{'})$ 在计算上不可行.
- 抗强碰撞性: 找到一对 $(m, m^{'})$ 有 $H (m) = H (m^{'})$ 在计算上不可行.
- 随机性: 输出具有伪随机性.
- 有效性: 运算高效.
- 错误检测: 输入发生很小变化都会使得输出很大不同.
应用: 完整性保护; 消息认证码(MAC); 辅助公钥加密, 数字签名, 密钥交换.
消息填充: 加密分组为 $l$ bit, 最后 $m$ bit 小端序/大端序存放消息长度, 原消息填充 1bit “1” 和 $s$ bit “0”, 有 $l ∣1 + s + m$ .
SHA-1/SM3: $m+1+s\equiv 448({\rm mod}\ 512)$ .
迭代型结构(Merkle-Damgard): 每轮 $l$ bit和上一轮输出一同加密得到下一轮输出.
SHA-1/SM3: 每 512bit 为一组; $CV_0=IV$ , $CV_i=f(CV_{i-1},M_{i-1})$ , $i = 1, 2, ..., n$ , $H(M)=CV_n$ .

Hash函数	摘要长度(bit)	消息长度( $2^n$ bit)	分组长度(bit)	字长度(bit)	寄存器数量	迭代步骤	安全强度( $2^n$ )
SHA-1	160	<64(大端)	512	32	5	80	80
SHA-256	256	<64(大端)	512	32	8	64	128
SM3	256	<64(大端)	512	32	8	64	128
SHA-384	384	<128	1024	64	6	80	192
SHA-512	512	<128	1024	64	8	80	256

HMAC

MAC(Message Authentication Code, 消息认证码/密码校验和): 验证消息真实性.
共享密钥 $k$ , 发送方发送 $({\rm MAC}=C_k(m),m)$ , 接收方比较 $C_k(m')={\rm MAC}'$ .
HMAC: 基于Hash函数的MAC.
${\rm HMAC}_k=H[(k^+\oplus {\rm opad}) || H[(k^+\oplus {\rm ipad}) || M]]$ .
Hash分组大小为 $l$ bit $k^+$ 为左侧填充0至 $l$ bit; ${\rm opad}$ 为 $01011010)_2$ 循环填充到 $l$ bit; ${\rm ipad}$ 为 $00110110)_2$ 循环填充到 $l$ bit.

数字签名

数字签名: 验证消息真实性和身份合法性.
特点: 签名与文件绑定; 不可抵赖性; 不可伪造性; 第三方可验证性.
发送方签名 $\delta={\rm sgn}(m,k_d)$ , 接收方比较 ${\rm vrf}(m',k_e)=\delta'$ .

RSA

RSA: 素数 $p, q$ , $n = pq$ , ${\rm gcd}(e,\varphi(n))=1$ , $\varphi(n)=(p-1)(q-1)$ .
- 私钥 $d\equiv e^{-1}({\rm mod}\ \varphi(n))$ , 签名 $\delta={\rm sgn}(m,d)\equiv m^d({\rm mod}\ n)$ .
- 公钥 $e$ , 验证 $m'={\rm vrf}(m',e)\equiv \delta^e({\rm mod}\ n)$ .
安全问题
- 共模伪造: $\delta_1\equiv m_1^d({\rm mod}\ n)$ , $\delta_2\equiv m_2^d({\rm mod}\ n)$ , 可得 $\delta_1\delta_2\equiv (m_1m_2)^d({\rm mod}\ n)$ .
- 中间人攻击: 加密信息 $c\equiv m^e({\rm mod}\ n)$ , 伪造信息 $c'\equiv r^em^e({\rm mod}\ n)$ , 签名 $(c')^d\equiv rm({\rm mod}\ n)$ , 造成 $m$ 泄漏.
- 一般不对消息直接签名, 而对消息的hash值签名; 加密密钥对和签名密钥对分离; 先签名再加密.

ElGamal型

ElGamal: 大素数 $p$ , 有循环群 $F_p^*=\langle g\rangle$ .
- 私钥 $2\leq x\leq p-2$ , 签名 $(m,\delta=(r,s))$ , 其中 $r\equiv g^k({\rm mod}\ p)$ , $s\equiv k^{-1}(m-rx)({\rm mod}\ p-1)$ , 选取 $2\leq k\leq p-2$ 且 ${\rm gcd}(k,p-1)=1$ .
- 公钥 $y\equiv g^x({\rm mod}\ p)$ , 验证 $g^m\equiv r^sy^r({\rm mod}\ p)$ .
安全问题
$k$ 一次性, 否则联立 $\delta_1 \equiv k^{-1}(m_1-rx)({\rm mod}\ p-1)$ 和 $\delta_1 \equiv k^{-1}(m_2-rx)({\rm mod}\ p-1)$ , 造成私钥 $x$ 泄漏.
DSA: 大素数 $p$ 且大素因子 $q ∣ p - 1$ , $q$ 至少160bit, 生成元 $g\equiv h^{\frac{p-1}{q}}({\rm mod}\ p)>1$ , 即 $∣ g ∣ = q$ .
- 私钥 $2\leq x\leq p-2$ , 签名 $(m,\delta=(r,s))$ , 其中 $r\equiv (g^k({\rm mod}\ p))({\rm mod}\ q)$ , $s=k^{-1}(H(m)+rx)({\rm mod}\ q)$ , 选取 $2\leq k\leq q-2$ .
- 公钥 $y=g^x({\rm mod}\ p)$ , 验证 $r\equiv g^uy^v({\rm mod}\ q)$ , 其中 $u\equiv H(m)s^{-1}({\rm mod}\ q)$ , $v\equiv rs^{-1}({\rm mod}\ q)$ .
ECDSA: 椭圆曲线群 $E_p(a,b)$ , 基点 $∣ G ∣ = n$ , 余因子 $h=\frac{|E_p|}{p}$ .
- 私钥 $2\leq d\leq n-2$ , 签名 $(m,\delta=(r,s))$ , 其中 $kG=(x_1,y_1)$ , $r\equiv x_1({\rm mod}\ n)$ , $s\equiv k^{-1}(H(m)+rd)({\rm mod}\ n)$ , 选取 $2\leq k\leq n-2$ .
- 公钥 $P = d G$ , 验证 $r\equiv x_2({\rm mod}\ n)$ , 其中 $u\equiv H(m)s^{-1}({\rm mod}\ n)$ , $v\equiv rs^{-1}({\rm mod}\ n)$ , $uG+vP=(x_2,y_2)$ .

SM2

在SM2加密算法的基础上, 本质为ECEG.
初始化: 椭圆曲线群 $E_p$ , $G\in E_p$ , $∣ G ∣ = q$ 为大素数, 任选 $2\leq d\leq q-2$ , $P = d G$ , $h=\frac{|E_p|}{|G|}\leq 4$ .
避免超奇异和反常椭圆曲线, $p$ 达到 160bit, $h\leq 4$ , $S=hP\neq O$ .
公钥 $(P, G, E, q)$ , 私钥 $d$ .
签名: $(m,\delta=(r,s))$ , 其中 $kG=(x_1,y_1)$ , $r\equiv H(Z|M)+x_1({\rm mod}\ q)$ 且 $r\ne 0$ 及 $r+k\ne q$ , $s\equiv (1+d)^{-1}(k-rd)({\rm mod}\ q)$ 且 $s\ne 0$ , 选取 $2\leq k\leq q-2$ .
验证: $r+s\not\equiv 0({\rm mod}\ q)$ 且 $r\equiv x_2({\rm mod}\ q)$ , 其中 $sG+(r+s)P=(x_2, y_2)$ .

身份认证

口令
- 安全问题: 弱口令易被暴力破解和字典攻击; 口令明文传输和明文保存易导致泄漏.
- 解决办法: 口令加盐Hash存储; 通过TSL传输.
挑战-应答
- 实现方案: 数字签名.
- 安全问题: 依赖于密钥管理; 需确保用户公钥的真实性和完整性以避免中间人攻击.
ZKP(零知识证明): 使验证者(V)确信证明者§能够证明某一信息, 但无法获得其他任何信息.
基于DLP的认证协议: P向V证明知道私钥 $x$ , 而不泄露 $x$ ; $p$ 为大素数, 公钥 $y\equiv g^x({\rm mod}\ p)$ .
- 承诺: P随机选取 $2\leq k\leq p-2$ 并发送 $r\equiv g^k({\rm mod}\ p)$ .
- 挑战: V随机发送 $b\in\{0,1\}$ .
- 应答: P发送 ${\rm sgn}\equiv k+bx({\rm mod}\ p-1)$ .
- 验证: V验证 $g^s\equiv ry^b({\rm mod}\ p)$ .
- 重复 $t$ 次, P欺骗成功概率为 $\frac{1}{2^t}$ .
Schnorr协议: P向V证明知道私钥 $x$ , 而不泄露 $x$ ; $p$ 为大素数, 大素数 $q ∣ p - q$ , $g$ 为模 $q$ 原根, 公钥 $y\equiv g^x({\rm mod}\ p)$ .
- 承诺: P随机选取 $2\leq k\leq q-2$ 并发送 $r\equiv g^k({\rm mod}\ p)$ .
- 挑战: V随机发送 $1\leq e\leq 2^t<q$ .
- 应答: P发送 $s\equiv k-ex({\rm mod}\ q)$ .
- 验证: V验证 $r\equiv g^sy^e({\rm mod}\ p)$ .
- 无需重复, P欺骗成功概率为 $\frac{1}{2^t}$ .

密钥管理

密钥管理原则
- 区分密钥管理的策略和机制
- 全程安全原则
- 最小权利原则
- 责任分离原则: 加密密钥不能用于签名
- 密钥分级原则: 高级密钥保护低级密钥
- 密钥按时更换原则
- 密钥满足特定安全性指标: 密钥长度足够; 避免弱密钥
密钥分级
- 初级密钥: 具体业务中直接使用.
- 中级(二级)密钥: 保护初级密钥, 生存周期较长.
- 高级(主)密钥:保护中级密钥, 应由硬件产生.
公钥数字证书管理
- 产生原因: 公钥密码体制中(加密或签名)公钥可以公开, 但完整性和真实性必须严格保护.
- 公钥数字证书(ITU 国际电信联盟 X.509 v3): 主体身份信息, 主体公钥, CA(可信签证机构)信息, CA签名, 有效期.
- PKI(公钥基础设施): 签发证书机构(CA), 注册登记证书机构(RA), 管理服务(存储和发布证书目录, 密钥管理, 时间戳), 证书管理及应用的法律法规.

密码学新方向

侧信道攻击

类别: 时间侧信道, 电磁侧信道, 能量侧信道(DPA, CPA, SPA), 光学侧信道, 声学侧信道.
时间侧信道攻击: Kocher发现并提出, 开启侧信道分析时代.
- 选择明文攻击; 利用不同明文的加密运算时间不同猜测密钥.
- 假设: $T_{m\to\infty}\sim N(\mu, \sigma^2)$ , $T_1,T_2,...,T_N$ 相互独立, 统计量 $t_1,...,t_M$ 相互独立; 样本方差即为总体方差.
- 指标: 方差 $var(x)=E([(X-E(X)]^2)=\sigma^2$ ; 信息熵 $H(x)=-\int_{-\infty}^{+\infty}p(x)\ln(p(x))dx=\frac{1}{2}\ln(2\pi e\sigma^2)$ ; 越小说明猜测越准确.
RSA防御时间测信道攻击
- 增加随机延迟.
- 盲处理明文再加密.
- 快速模幂算法分支平衡化: 增加空操作; 蒙哥马利乘法.
- 蒙哥马利模乘.

同态加密

同态加密	类别	密文加	密文乘	难题
Paillier	加法同态(半同态)	$\infty$	0	大整数因子分解
ElGamal	乘法同态(半同态)	0	$\infty$	DLP(离散对数难题)
BFV	部分同态(半同态)	$\infty$	有限次	RLWE(环上误差还原难题)
BFV with Bootstrapping	全同态	$\infty$	$\infty$	RLWE