第56讲伪密钥和唯一解距离ppt课件.ppt

第56讲伪密钥和唯一解距离ppt课件 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望 定理定理3.1 设设b1,则有则有 且,都有(2)当且仅当,都有(1)(3)当且仅当存在使得上节内容上节内容回顾回顾熵熵:11/14/20222上节内容上节内容回顾回顾 定理定理3.3 推论推论3.1且等号成立且等号成立X与与Y独立独立.定理定理3.2:且等号成立且等号成立X与与Y独立独立.联合熵联合熵:条件熵条件熵:结论结论:且等号成立且等号成立X与与Y独立独立.平均互信息平均互信息:11/14/202233.2 伪密钥和唯一解距离伪密钥和唯一解距离 主要内容:利用Shannon信息论,研究密文、明文和密钥的信息量。分析唯密文攻击条件下要唯一确定密钥时至少需要的密文长度。11/14/20224 定理定理3.4 设设M,K,C分别是明文空间、密钥空分别是明文空间、密钥空间和密文空间上的随机变量，则有间和密文空间上的随机变量，则有 截获密文后密钥的未知信息量等于截获密文后密钥的未知信息量等于明文与密钥明文与密钥总总的未知信息量减去从已知的密文中获得的信息量。的未知信息量减去从已知的密文中获得的信息量。直观含义直观含义:11/14/20225 定理定理3.4 设设M,K,C分别是明文空间、密钥空分别是明文空间、密钥空间和密文空间上的随机变量，则有间和密文空间上的随机变量，则有 根据条件熵与联合熵之间的关系根据条件熵与联合熵之间的关系,有有证明证明:由于知道密文和密钥由于知道密文和密钥,自然也知道明文自然也知道明文,因而密钥因而密钥和密文都知道时提供的信息量和密文都知道时提供的信息量H(K,C)等于密钥、密等于密钥、密文和明文都知道时提供的信息量文和明文都知道时提供的信息量H(K,M,C),即即下证之下证之.由由 和和条件熵条件熵与与联合熵联合熵的关系知的关系知同理同理,有有,故由密钥与明文独立知故由密钥与明文独立知11/14/20226 截获密文截获密文C后后,就可将密钥唯一确定就可将密钥唯一确定等价于等价于 下面根据这个条件下面根据这个条件,计算至少需要多少密文才计算至少需要多少密文才能将密钥能将密钥唯一确定唯一确定.将密钥将密钥唯一确定唯一确定所需要的最少的密文的数量所需要的最少的密文的数量,就称为该密码体制的就称为该密码体制的唯一解距离唯一解距离.要求唯一解距离要求唯一解距离,需要首先计算计算出需要首先计算计算出n长明文长明文M的熵的熵H(M)和和n长密文的熵长密文的熵H(C).定理定理3.4说明说明:截获密文截获密文C后后,就可将密钥唯一确定就可将密钥唯一确定等价于等价于 11/14/20227 (A)n长密文熵的计算长密文熵的计算 我们需要做一个合理的假设我们需要做一个合理的假设:假设假设:密文是随机的密文是随机的!设密文字母表为设密文字母表为Y,则则n长密文就是由字母表长密文就是由字母表Y中中n 个字母个字母 组成的密文字母串组成的密文字母串 .结论结论:设设n长密文服从均匀分布长密文服从均匀分布,则则n长密文的熵长密文的熵为为 证明证明:因因n长密文共有长密文共有 个个,从而由从而由n长密文服从长密文服从均匀分布和熵的性质知均匀分布和熵的性质知 11/14/20228 如何刻划明文本身包含的未知信息量呢如何刻划明文本身包含的未知信息量呢?我们我们 给出如下的定义：给出如下的定义：设明文字母表为设明文字母表为X,则则n长明文就是由字母表长明文就是由字母表X中中n 个字母个字母 组成的明文字母串组成的明文字母串 .(B)n长明文熵的计算长明文熵的计算11/14/20229 定义定义3.5 3.5（2 2）设设L是一种语言是一种语言,则称则称为该为该语言语言L的冗余度的冗余度(Redundancy).定义定义3.53.5(1)设设L是一种语言是一种语言,则称则称 为该为该语言语言L的的(单字母单字母)熵熵.因此因此,当当n n很大时很大时,近似有近似有11/14/202210例例1 如果由如果由64个二进制数构成的某类密钥个二进制数构成的某类密钥 的的熵平均是熵平均是56比特比特,则该类密钥的熵为则该类密钥的熵为0.875比特比特.例例2 如果由如果由64个二进制数构成的某类密钥的个二进制数构成的某类密钥的熵平均是熵平均是56比特比特,则该类密钥的冗余度是则该类密钥的冗余度是 1-0.875=0.125 比特比特即即:平均每个密钥比特有平均每个密钥比特有0.125个比特是多余的个比特是多余的.11/14/202211 下面转到分析需要截获多少密文才能将密钥下面转到分析需要截获多少密文才能将密钥唯一确定的问题唯一确定的问题.11/14/202212 定义定义3.63.6 称将密钥唯一确定所平均需要的最称将密钥唯一确定所平均需要的最少的密文的数量为该密码体制的少的密文的数量为该密码体制的唯一解码量唯一解码量.唯一解码量也称为唯一解码量也称为唯一解距离唯一解距离.将密钥唯一确定等价于将密钥唯一确定等价于H(K|C)=0.下面根据定下面根据定理理3.4的结论的结论计算一个密码体制的唯一解码量计算一个密码体制的唯一解码量.11/14/202213 当截获当截获n长明文长明文X(n)对应的对应的 n长密文长密文Y(n)后后,就可将密钥的信息全部确定就可将密钥的信息全部确定等价于等价于 现设现设 ,则有则有从而从而即即 也就是说也就是说,当截获当截获 个密文字母后个密文字母后,就就可可 将密钥的信息全部确定将密钥的信息全部确定.11/14/202214 设已知密文设已知密文C(n)及对应的明文及对应的明文M(n).由于明文由于明文M(n)是已知的是已知的,因而此时该明文的熵因而此时该明文的熵H(M(n)=0,因而因而RL=1.这就是说这就是说,当当n=H(K)/RL=128时时,就可将密钥的就可将密钥的信息唯一确定信息唯一确定.即此时唯一解距离为即此时唯一解距离为128.结论结论:设明文的设明文的(单字母单字母)冗余度为冗余度为,则所有密则所有密码体制的唯一解距离均为码体制的唯一解距离均为 例例:对于具有对于具有128比特密钥的密码体制比特密钥的密码体制,平均需要平均需要128比特的已知明文比特的已知明文,就能将密钥唯一确定就能将密钥唯一确定.其中已知明文就是已知一个密文和它对应的明文其中已知明文就是已知一个密文和它对应的明文.解毕解毕解解:11/14/202215 几点说明几点说明:（1）由于唯一解距离量是用熵推出来的，因而它）由于唯一解距离量是用熵推出来的，因而它只是将密钥唯一确定所只是将密钥唯一确定所平均平均需要的密文长度。需要的密文长度。由于明文熵是每份明文所包含的信息量关于所有由于明文熵是每份明文所包含的信息量关于所有明文的平均值，因而有时需要的密文数量少，有时需明文的平均值，因而有时需要的密文数量少，有时需要的数量多，但其平均值就是唯一解码距离。要的数量多，但其平均值就是唯一解码距离。（2）明文熵不同，唯一解距离也不同。）明文熵不同，唯一解距离也不同。明文熵就是你在攻击过程中每个字母所能利用的明文熵就是你在攻击过程中每个字母所能利用的信息量。信息量。（3）如何确定唯一密钥？确定过程实际上能否实）如何确定唯一密钥？确定过程实际上能否实现，这里并不关心。现，这里并不关心。一般而言，穷举攻击所需的平均一般而言，穷举攻击所需的平均密文量就是该密码体制的唯一解距离。密文量就是该密码体制的唯一解距离。11/14/202216 伪密钥伪密钥 首先介绍首先介绍候选密钥候选密钥、伪密钥伪密钥和和等效密钥等效密钥的概念。的概念。候选密钥：候选密钥：攻击者在求解正确密钥时，求出的可攻击者在求解正确密钥时，求出的可能密钥都称为候选密钥。能密钥都称为候选密钥。平均来看平均来看,当得到的密文数量小于唯一解距离时当得到的密文数量小于唯一解距离时,候选密钥未必只有一个候选密钥未必只有一个,此时此时,就会有多个候选密钥就会有多个候选密钥.伪密钥：伪密钥：攻击者得到的候选密钥中的错误密钥攻击者得到的候选密钥中的错误密钥称为伪密钥称为伪密钥.等效密钥：等效密钥：如果两个密钥对所有明文的加密结如果两个密钥对所有明文的加密结果都相同果都相同,则称这两个密钥为等效密钥则称这两个密钥为等效密钥.两个等效密钥两个等效密钥k1和和k2对应的加密函数对应的加密函数 和和 就是一个函数就是一个函数,因而它们的加密效果完全相同因而它们的加密效果完全相同.11/14/2022173.1 密码体制的数学模型密码体制的数学模型 密码体制由明文空间、密文空间、密钥空间和密码算法四部分构成。被加密的明文服从明文空间上的一个概率分布pm(x)；被使用的密钥服从密钥空间上的一个概率分布pk(x);密文也服从密文空间上的一个概率分布pc(x)；.注意:密钥的分布与明文的分布独立!11/14/2022183.3 密码体制的完善保密性密码体制的完善保密性 定义定义3.73.7(完善保密性完善保密性)对一个密码体制而言，对一个密码体制而言，如果明文与密文独立，即对所有明文空间中的任一如果明文与密文独立，即对所有明文空间中的任一点点 x 和密文空间中的任一点和密文空间中的任一点 y,都有都有则称该密码体制具有则称该密码体制具有完善保密性完善保密性(Perfect secrecy).或称该密码体制是或称该密码体制是完全保密完全保密的。的。等价刻划等价刻划:一个密码体制具有完善保密性一个密码体制具有完善保密性当且仅当且仅当对所有明文空间中的任一点当对所有明文空间中的任一点 x 和密文空间中的任和密文空间中的任一点一点 y,都有都有11/14/202219 完善保密性的信息论刻划完善保密性的信息论刻划:条件熵刻划条件熵刻划:完善保密性等价于完善保密性等价于 互信息刻划互信息刻划:完善保密性等价于完善保密性等价于 下面在(1)明文空间、密文空间和密钥空间的点的个数相等;(2)密文在密文空间中出现的概率都0这两个条件下给出完全保密的密码体制的充要条件.11/14/202220 定理定理3.63.6 设E(k,m)是一个密码体制的加密算法,且其明文空间M、密钥空间K和密文空间C 中的点数相同，则该密码体制具有完善保密性当且仅当 (1)密钥服从均匀分布密钥服从均匀分布;和 (2)E(k,m)是拉丁方变换是拉丁方变换,即对 ,均存 在唯一 ,使得 .同时成立.11/14/202221下节内容第三章习题课11/14/202222