网络空间安全-密码学

一、攻击/安全威胁

1. Sybil Attack(女巫攻击)

• 在对等网络中，节点通常具有多个身份标识，通过控制系统的大部分节点来消弱冗余备份的作用。
• 在P2P网络中，因为节点随时加入退出等原因，为了维持网络稳定，同一份数据通常需要备份到多个分布式节点上，这就是数据冗余机制。女巫攻击是攻击数据冗余机制的一种有效手段。

2. Kerckhoffs原理

• 即使除密钥外的整个系统的一切都是公开的，这个密码体制也必须是安全的。尤其是即使攻击者知道系统的加密算法和解密算法，此系统也必须是安全的。

二、密码算法

1. 哈希算法

加密哈希算法 Cryptographic Hash Algorithms（例如MD5, SHA-1)

感知哈希算法 Perceptual Hash Algorithm

• aHash：平均值哈希。速度比较快，但是常常不太精确
• pHash：感知哈希。精确度比较高，但是速度方面较差一些
• dHash：差异值哈希。精确度较高，且速度也非常快

汉明距离 Hamming distance

• 在信息论中，两个等长字符串之间的汉明距离（英语：Hamming distance）是两个字符串对应位置的不同字符的个数。换句话说，它就是将一个字符串变换成另外一个字符串所需要替换的字符个数。
• 汉明重量是字符串相对于同样长度的零字符串的汉明距离，也就是说，它是字符串中非零的元素个数：对于二进制字符串来说，就是1的个数，所以11101的汉明重量是4。

2. 椭圆曲线加密ECC

椭圆曲线离散对数问题

(elliptic curve discrete logarithm problem ECDLP) 远难于离散对数问题 (discrete logarithm problem) ，椭圆曲线密码系统的单位比特强度要远高于传统的离散对数系统。因此在使用较短的密钥的情况下，ECC(elliptic curve discrete) 可以达到于DL系统相同的安全级别。这带来的好处就是计算参数更小，密钥更短，运算速度更快，签名也更加短小。因此椭圆曲线密码尤其适用于处理能力、存储空间、带宽及功耗受限的场合。

椭圆曲线

（1）定义

• 一条椭圆曲线是在射影平面上满足威尔斯特拉斯方程（Weierstrass） 所有点的集合

（2）形式
$$Y^{2}Z+a_{1}XYZ+a_{3}Y{Z}^2=X^3+a_2{X}^{2}Z+a_{4}X{Z}^2+a_6{Z}^3$$

（3）特点

• 椭圆曲线方程是一个齐次方程
• 曲线上的每个点都必须是非奇异的（光滑的），偏导数$F_x(x,y,z)$、$F_y(x,y,z)$、$F_z(x,y,z)$不同时为$0$
• 圆曲线的形状，并不是椭圆的。只是因为椭圆曲线的描述方程，类似于计算一个椭圆周长的方程故得名

（4）一般方程
$$y^2=x^3+ax+b;4a^3+27b^2\ne 0$$
（5）椭圆曲线示例

（6）非椭圆曲线示例

3. 椭圆曲线阿贝尔群

椭圆曲线加法运算：

给定点A和点B，C’点为AB延长线与曲线的交点，做其对称点C，那么A+B=C

计算A+A,做A的切线与曲线上B相交，B的对称点C即为A+A结果，A+A=C

交换群(阿贝尔群)性质

在数学中，群是一种代数结构，由一个集合以及一个二元运算所组成。已知集合和运算(G,*) 如果是群则必须满足如下要求:

• 封闭性：$\forall a,b\in G，a\ast b\in G$
• 结合性： $\forall a,b,c\in G，有(a\ast b)\ast c=a\ast (b\ast c)$
• 单位元：$ョe\in G，\forall a\in G，有e\ast a=a\ast e=a$
• 逆元： $\forall a\in G,ョa^{-1}$使得 $a\ast a^{-1}=a^{-1}\ast a=e$
• 交换性：$a\ast b=b\ast a$

4. 有限域椭圆曲线

椭圆曲线是连续的，并不适合用于加密；所以，我们必须把椭圆曲线变成离散的点，我们要把椭圆曲线定义在有限域上。
我们给出一个有限域$F_p$

• $F_p$中有$p$（$p$为质数）个元素v0,1,2,…, p-2,p-1$
• $F_p$的加法是$a+b\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}p)$
• $F_p$的乘法是$a\times b\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}p)$
• $F_p$的除法是$a÷b\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}p)$，即 $a\times b^{-1}\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}p)$，$b-1$也是一个$0$到$p-1$之间的整数，但满足$b\times b-1\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}p)$
• $F_p$的单位元是$1$，零元是$0$
• $F_p$域内运算满足交换律、结合律、分配律

椭圆曲线$E_p(a,b)$，$p$为质数，$x,y\in [0,p-1]$

$y^2=x^3+ax+b(\mathrm{m}\mathrm{o}\mathrm{d}p)$

选择两个满足下列约束条件的小于$p$的非负整数$a、b$

$4a^3+27b^2\ne 0(\mathrm{m}\mathrm{o}\mathrm{d}p)$

在有限域上的椭圆曲线自然也是有其加法的，但是已经不是几何意义上的加法了

对于椭圆曲线上一点 $G$ ，若存在最小的正整数 $n$ ，使得 $nG=O\infty$ ，则称 $n$ 为 $G$ 的阶。对于有限域上的的所有点都是有阶的。

5. 椭圆曲线加密（ECC）

初始化

利用$ECC$进行加密首先需要给出$p,a,b,G,n$。其中：

• $p$通常选取一个很大的素数以防止穷举
• $a$和$b$是椭圆曲线的参数
• $G$为给定的椭圆曲线上的点
• $n$为$G$的阶

椭圆曲线加密正是利用了前面所说的给定自然数m计算$mG$很容易而给定$mG$的结果无法很快计算$m$这一个性质。

ECC保密通信的算法

• $Alice$选定曲线$Ep(a,b)$，并在上面取一点G作为基点,以及选区私钥$k$并计算公钥$K=kG$;
• $Alice$将$E_p(a,b),K,G$发送给$Bob$;
• $Bob$接收消息之后首先将信息m编码到点$M$，并产生一个随机整数$r(r<n)$;
• $Bob$计算$C_1=M+rK$ 和$C2=rG$并将$C_1,C_2$发送给$Alice$;
• $Alice$计算$C_1-k{C}_2$即可得到$M$，解密得到消息$m$

6. Bilinear Groups(双线性对映射)

性质

（1） 一般性质

• a.$G1=G2$时，称为对称,对于$\forall P,Q\in G$，都有 $e(P,Q)=e(Q,P)$;
• b.因为对于$G$中的一个生成元$g$,总存在整数$p、q$使得 $P=g^p和Q=g^q$成立;
• c.因此有$e(P,Q)=e(g^p,g^q)=e(g,g{)}^{pq}=e(g,g^{pq})=e(g^q,g^p)=e(Q,P)$

（2）乘法性质

• $e(x,yz)=e(x,y)e(x,z)$
• $e(x,y/z)=e(x,y)e(x,z{)}^{-1}=e(x,y)/e(x,z)$

7. BLS Short Signature Scheme

(Boneh, Lynn, and Shacham 短签名机制）

Verify(验证):$$e(g,\sigma )=e(g,H(m{)}^x)=e(g,H(m){)}^x=e(g^x,H(m))=e(PK,H(m))$$

8. Identity Based Cryptosystems

IBE算法，包括四个过程Setup，Extract，Encrypt，Decrypt:

（1） Setup: 安全参数$k$作为输入，输出系统参数$params$和主密钥$master-key$,其中系统参数包含了对有限明文空间$M$和密文空间$C$的描述；系统参数是公开的，主密钥只有 PKG （Private Key Generator）拥有；
（2）Extract: 将$params，master-key$以及随机的身份 I D ∈ { 0 , 1 } ∗ ID \in \{0,1\}^* ID∈{0,1}∗作为输入，返回私钥$d$，ID是一个随机的字符串被视作公钥，$d$是对应的私钥；
（3）Encrypt: 输入$params,ID,m\in M$，返回密文$c\in C$；
（4）Decrypt: 输入$params,ID,c\in C$以及私钥$d$，返回明文$m\in M$

IBE算法具体设计

2001年，$Boneh$和$Franklin$正式给出IBE的定义，安全模型，并应用双线性对（$BilinearMap$）构造了一个安全的$IBE$方案:

通俗方案

(1)Setup:根据安全参数$k$选取循环群$G$，生成元$g$，阶为素数$p$，第三方（KGC）选取主密钥$mk\in Z_p$，计算公钥$P_k=g^{mk}\in G$；
(2)Extract:用户将自己的$ID$作为公钥发送给第三方，第三方返回其私钥$S_{ID}=H(ID{)}^{mk}\in G$，其中$H$为映射到群内元素的哈希算法；
(3)Encrypt:选取$m\in M$，随机数$r\in Z_p^{\ast }$，计算$<c_1=g^r,c_2=e(H(ID{)}^r,P_k)m>$
(4)Decrypt:
$$m=\frac{c_2}{e(S_{ID},c_1)}$$

9. Certificateless Public Key Cryptography

基本介绍

（1）定义：无证书加密是IBE方案的一种变体，目的是为了解决IBE方案面临的密钥托管（密钥由凭证管理中心或者KGC生成）的问题
（2）方案：传统的密钥生成过程从KGC和用户分开，KGC首先生成一个密钥对，此时的私钥只是系统的部分私钥，然后由用户随机生成最终的密钥

10. 剩余系

如果一个剩余系中包含了这个正整数 $n$ 所有可能的余数（一般地，对于任意正整数$n$，有 $n$ 个余数：$0,1,2,...,n-10,1,2,...,n-1$），那么就被称为是模n的一个完全剩余系，记作$Z_n$；而简化剩余系就是完全剩余系中与n互素的数的那些元素，记作 $Z_n^{\ast }$
$Z_n$里面的每一个元素代表所有模$n$意义下与它同余的整数。例如$n=5$时，$Z_5$的元素$3$实际上代表了$3,8,13,18,....,5k+3(k\in N)$, 这些模$5$余$3$的数。我们把满足同余关系的所有整数看作一个同余等价类。