网络安全原理与应用 第2章 密码学导论.ppt

《网络安全原理与应用 第2章 密码学导论.ppt》由会员分享，可在线阅读，更多相关《网络安全原理与应用 第2章 密码学导论.ppt（110页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第2章密码学导论(1)密码学基本概念沈苏彬南京邮电大学信息网络技术研究所主要问题密码学由哪几个部分构成？这几个部分相互之间的关系？密码系统由哪几个部分构成？这几个部分相互之间如何关联？密码系统如何进行数据加密？这种加密能够保证数据的保密性吗？密码系统可以分成哪几种类型？这些类型有何特点？2关键知识点加密是数据通信安全和网络安全中最为重要的安全手段。现在实用的是相对安全的加密系统。现代密码学包括两个体系:传统加密体系,公钥加密体系。3主要内容密码学的组成数据加密基本概念密码破译技术加密系统的安全性现代密码学分类4密码学的组成密码学包括两个部分:数据加密和密码破译数据加密:对信息进行加密和解密的技

2、术加密算法,解密算法,密钥管理技术密码破译:攻破加密信息的技术破解加密信息,破解密钥明文加密算法密文解密算法明文加密密钥解密密钥破译算法破译明文破译密钥5密码学的组成(续)加密与破译是一对矛盾体从密码学的完整性看,研究密码学,必须研究密码破译,否则无法客观地评判各类加密算法的严密程度明文加密算法密文解密算法明文加密密钥解密密钥破译算法破译明文破译密钥6数据加密基本概念明文(Plaintext,P):未加密的信息或数据。密文(Ciphertext,C):加密后的信息或数据。加密算法(E):将明文转换成为密文的处理过程。明文加密算法密文解密算法明文加密密钥解密密钥7密码学基本概念(续2)解密算法(

3、D):将密文转换成为明文的处理过程加密密钥(KE):控制加密处理过程的一种信息或数据解密密钥(KD):控制解密处理过程的一种信息或数据明文加密算法密文解密算法明文加密密钥解密密钥8密码学中符号表示加密算法:C=E(KE,P)=KEP解密算法:P=D(KD,C)=D(KD,E(KE,P)从以上加密和解密的公式可以看出，经过数学抽象表示的加密和解密过程更加简洁、明了，便于梳理思路，掌握本质内容。PEC=E(KE,P)DP=D(KD,C)KEKD9密码破译技术安全都是指在某种环境和条件下相对某种风险模型的安全。同样，必须根据目前常用的密码破译技术设计和评测加密算法。Diffie和Hellman在19

4、76年罗列了3种密码分析(也称为密码攻击)方式已知密文:攻击者仅仅掌握密文,试图破译对应的明文、加密算法和密钥已知明文:攻击者掌握了大量的明文和对应的采用相同加密算法和密钥加密的密文，试图破译加密这些密文的算法和密钥10密码破译技术(续)选择明文:攻击者可以向被攻击的加密系统提交无数个选择的明文并且可以检查对应生成的密文，试图破译该加密系统采用的加密算法和密钥。已知明文攻击属于“被动系统识别”类攻击，而选择明文攻击属于“主动系统识别”类攻击。作为一个安全的加密系统应该是一类难以识别的系统，至少必须防范“被动系统识别”(已知明文)类攻击，最好能够防范“主动系统识别”(选择明文)类攻击。11非技术

5、性密码分析实际常用的最为成功密码分析是非技术性密码分析:SocialEngineering(社交计谋)例如:窃取密钥,打探密钥,选择明文(提供假情报)启示:信息安全不仅仅是一项技术工作,更是一项管理工作.虽然密码分析也是一门学问,但是,本课程主要介绍密码学原理和算法12加密系统的安全性W.Diffie和M.Hellman将加密系统的安全性分成两种类型：相对安全(或计算安全)的加密系统该类系统由于破译者的计算成本限制或者计算能力限制而看作是安全的。如果破译者不考虑计算成本，或者由于计算技术发展使得计算能力有大幅度提高，则这类系统就不再安全了。绝对安全(或无条件安全)的加密系统无论攻击者花费多少时

6、间、使用多么高级的计算技术都无法破译的加密系统。13加密系统的安全性(续1)无条件安全加密系统源于某种密文存在多种有意义的明文，例如，对于简单替换而成的密文XMD可以对应于有意义的明文：now,and,the等等。在计算安全的加密系统中，密文就一定存在确定的信息唯一决定的明文和密钥，其安全性只是依赖于计算的成本。14加密系统的安全性(续2)一种可以证明的无条件安全加密系统是“一次性覆盖数”系统。由于计算成本过高而无法实用。该系统设计的密钥必须与明文同样长度，通过该密钥与明文进行“异或”操作，完成对明文的加密。该加密系统必须保证“一次一密钥”，即对于不同的明文采用不同的加密密钥。目前实际可行的、

7、并且得到广泛应用的还是相对安全(计算安全)的加密系统。为了对于计算安全加密系统有一个量化的概念，需要了解一些典型常数和参数的数量级别。15加密系统的安全性(续3)表2.1典型常数和参数数量级别一览表典型常数和参数数量级别一年的秒钟数3.15107主频为3.0GHz的CPU的一年运转的时钟循环次数9.46101656个比特长度的二进制数个数7.21101664个比特长度的二进制数个数1.84101980个比特长度的二进制数个数1.211024128个比特长度的二进制数个数3.401038192个比特长度的二进制数个数6.281057256个比特长度的二进制数个数1.16107716现代密码学分类

8、密码学有多种分类方法，例如可以根据加密数据过程中对明文的处理方式，分成块加密方法和流加密方法；也可以根据加密和解密数据过程中采用的密钥数目，分成对称密钥加密方法和不对称密钥加密方法。块加密方法是指对某个固定长度的数据块进行一系列复杂的运算生成对应的相同长度密文块的方法。通常采用的固定长度是64个比特，现在建议采用128个比特。17现代密码学分类(续1)流加密方法是指不间断地对数据流中的某个较小的数据单元进行简单运算生成密文流的方法。这里的较小数据单元可能是1个八位位组（即一个8比特长度的字节）或者2个八位位组。对称密钥加密方法是指加密和解密过程都采用相同的密钥，即在图2.2中KE=KD。不对称

9、密钥加密方法是指加密和解密过程采用不同的密钥，即在图2.2中KEKD。18现代密码学分类(续2)现代密码学本质上可以分成两个部分:传统密码学,公钥密码学传统密码学对称密钥,单个密钥进行加密和解密,密钥保密才能保证密文保密优点：加密和解密运算简单、高效缺点：初始密钥协商和后续密钥更新困难19现代密码学分类(续2)公钥密码学不对称密钥,公钥和私钥分别用于加密和解密过程。不仅可应用于数据加密,还可以应用于数字签名。私钥保密才能保证密文不被攻破优点：无需进行初始密钥的协商缺点：加密和解密算法的计算量较大,计算成本较高20本讲重点内容密码学的构成:密码学和密码分析加密加密的基本概念：明文、密文、密钥典型

10、的密码攻击模式安全密码学应该可以防御的攻击模式加密系统的安全性分析现代密码学的分类21思考题(1)什么是明文？什么是密文？从明文转换到密文还需要输入什么数据？需要利用什么过程？(2)通常有几种破译密码的攻击方式？一个安全的加密系统至少应该防范何种密码攻击？最好能够防范何种密码攻击？(3)加密系统的安全性分成哪几种类型？常用的是哪种安全的加密系统？为什么？22思考题(续)(4)什么是块加密算法？什么是流加密算法？实际应用中，是否可以用块加密算法替代流加密算法？试说明理由。(5)什么是对称密钥加密算法？什么是不对称密钥加密算法？实际应用中，是否可以采用不对称密钥算法替代对称密钥加密算法？试说明理由

11、。(6)密码技术主要应该防御哪几类密码破译技术的攻击？这几类密码攻击技术有何特征？什么类型的密码系统算是安全密码系统？23本周课外作业(1)网络安全技术主要保护哪两类对象？试举例说明。(2)例举2个网络安全被破坏的实例，试用网络安全风险模型分析，是属于哪种网络安全威胁？(3)密码技术主要应该防御哪几类密码破译技术的攻击？这几类密码攻击技术有何特征？什么类型的密码系统算是安全密码系统？24第2章密码学导论(2)传统密码学概述沈苏彬南京邮电大学信息网络技术研究所关键知识点传统密码学的基本原理是“替代”和“换位”传统密码学的加密和解密采用同一个密钥传统密码学的安全性很大程度上决定密钥长度目前常用的传

12、统密码学算法是DES算法，56比特的DES算法并不安全。未来拟采用的传统密码学算法是AES算法26主要内容恺撒加密法传统密码学基本原理数据加密标准DES算法三重DES算法高级加密标准AES算法RC4算法加密操作模式27传统密码学历史传统密码学起源于古代的密码术。早在古罗马时代恺撒大帝就采用“替代”方法加密自己发布的命令，这种“替代”加密方法被称为“恺撒加密法”。传统密码学的基本原理可以归结为两条对数据处理的方法：替代和换位。美国国家标准局(NBS)于1977年颁布的数据加密标准(DES)是目前广泛应用的传统加密方法。美国国家标准与技术学会(NIST)在2001年颁布的高级加密标准(AES)将是

13、未来取代DES的一种加密方法。28凯撒密码恺撒加密法是将明文中的每个字母用该字母对应的后续第3个字母替代，这里假定字母按照字母表顺序循环排列，即明文中的字母a对应密文中的字母D，明文中的字母x对应密文中字母A。例如明文：attackafterdark密文：DWWDFNDIWHUGDUN29凯撒密码(续)如果假定每个英文字母对应一个数值(例如a=1,b=2),并且对于每个明文字母p经过凯撒密码处理后得到密文字母C,则凯撒密码加密算法可以表示为C=E(p)=(p+3)mode26凯撒密码的解密算法可以表示为p=D(C)=(C-3)mod26明文:abcdefghijklmnopqrstuvwxyz

14、密文:DEFGHIJKLMNOPQRSTUVWXYZABC30通用凯撒密码算法W.Stallings将凯撒密码算法中的字母表移位数从3扩展到任意数k26,这样,就可以得到通用凯撒密码加密算法:C=E(p)=(p+k)mode26这样,通用凯撒密码解密算法就可以表示为:p=D(C)=(C-k)mod26这里k就是通用凯撒密码的密钥.由于k只有25个可能取值,所以,在已知加密/解密算法下,只要尝试25种密钥,就可以破译通用凯撒密码.31通用恺撒加密法的启示从通用恺撒加密法可以得到这样的启示，如果某个加密法只依靠密钥保密，则这种密钥的选择应该具有很好的随机性，并且可以选择的空间足够大，使得攻击者利用

15、现有的计算技术，在可能的时间范围内无法破译。参照表2.2可知，根据目前主频为3.0GHz计算机的处理能力，长度为80的二进制数密钥在目前基本上是无法穷举了。通用恺撒加密法的密钥相当于长度为5的二进制数密钥，当然就很容易被破译。32为何需要公开加密/解密算法?不公开加密算法，则难以破译密码。公开加密算法,仅仅是实际应用的需要。电报的出现才使得加密算法与密钥的分离。加密算法可以在加密设备中实现，该设备被窃之后，应该不会影响保密电报的传递。这就需要将加密算法与密钥的分离，只有公开加密/解密算法,才能由制造商大规模生产廉价的加密/解密设备和芯片.才能普及加密算法的应用。33传统密码学原理传统密码学包括

16、两条原理:替代和换位替代:将明文中的字母采用其它字母/数字/符号替代.如果明文采用比特序列表示,则将明文比特模式替代为密文比特模式.凯撒密码就是采用替代原理设计的加密算法换位:将明文中的元素(字母/比特/字母组/比特组)进行某种形式的重新排列最简单的一种换位加密算法是围栏技术,将明文书写成为上下对角线形式,再按照行顺序分别读出上行和下行的字母序列34传统密码学原理(续1)按照围栏方法对前面举例中的明文“attackafterdark”的加密过程如下所示。经过加密之后的密文就是一串没有意义的字符串：“ATCATRAKTAKFEDR”。atcatraktakfedr35传统密码学原理(续2)围栏加

17、密算法比较简单,容易被破译.更加复杂的换位加密可以将报文逐行写成一个nm矩阵,然后按照某个定义的列序列,逐列读出字母.这种列的先后排序就构成了换位加密的密钥密钥:25134明文:attackafterdark密文:TADCEKAKRTFAATR行列36传统密码学原理(续3)矩阵加密方法必须事先确定矩阵的n和m的值。对于矩阵加密方法会提出这样的问题：如果读入的待加密字符串装不下一个nm的矩阵时，应该如何处理？如果读入的待加密字符串装不满一个nm的矩阵时，应该如何处理？实际上矩阵加密方法属于块加密方法，这两个问题是块加密方法必须处理的问题。37传统密码学算法大部分常用的传统加密算法都是块加密算法,

18、它处理固定长度块的明文,输出相同长度的密文块目前最常用,最重要的传统加密算法包括:(1)数据加密标准DES(2)三重数据加密算法3DES或TDEA(3)高级加密标准AES38数据加密标准DES数据加密标准，英文缩写DES，是迄今为止应用最为广泛的标准化加密算法之一。DES是美国国家标准局(NBS，现在更名为美国国家标准与技术学会NIST)于1977年标准化的一种传统密码学加密算法。DES是在国际商用机器(IBM)公司于1973年提出的一种加密方法的基础上，经过美国国家安全局(NSA)的验证和修改后标准化的加密方法。39数据加密标准DES(续1)IBM公司提交的加密算法是一种对称密钥的块加密算法

19、，块长度为128个比特，密钥长度为128个比特。该加密算法经过NSA安全评估后，将其块长度更改为64个比特，密钥长度更改为56个比特，并且修改了原来加密算法中的替代矩阵S-盒。对于NSA对DES算法的更改有以下评论：(1)NSA降低密钥长度是为了降低DES加密算法的安全性，使得NSA在必要时，有能力破译DES加密系统。(2)NSA修改原来加密算法中的S-盒，是为自己破译DES加密系统设置了后门40数据加密标准DES(续2)到了20世纪90年代初期，有两次不成功的对DES破译的报告显示，DES的S-盒具有很强的防范攻击的能力。这说明更改的S-盒是增强了DES的安全性到了20世纪90年代中期，对于

20、DES成功的破译报告表明，较短的密钥长度是DES算法的安全弱点。41DES算法概述DES加密算法总体上是比较容易了解的一种加密算法。虽然其中具体的“替代”和“换位”的处理函数还是比较复杂，但是，这并不妨碍对DES加密算法的理解。DES算法处理过程沿时间轴纵向可以分成前期处理、16次循环处理、后期处理部分，横向可以分成数据处理和密钥处理两个部分。42DES算法概述(续1)64比特明文初始排列IP第1轮处理第2轮处理第16轮处理左右32比特换位逆初始排列IP164比特密文56比特密钥密钥排列选择1左循环移位密钥排列选择2密钥排列选择2密钥排列选择2左循环移位左循环移位K1K2K16图2.5 DES

21、算法结构示意图43DES算法概述(续2)DES加密处理分成三个部分:(1)64比特明文块通过初始排列IP(换位)处理；(2)通过16个轮回的替代和移位处理,左右半换位形成预输出(3)预输出的64比特块进行逆初始排列IP-1处理,产生64比特块密文DES解密过程与DES加密过程基本一样,但是需要按照相反顺序使用子密钥,即按照K16,K15,K1顺序处理每个轮回44DES算法每轮处理过程每轮处理可以表示为:Li=Ri-1,Ri=Li-1F(Ri-1,Ki)Lj-1(32比特)Rj-1(32比特)8个S-盒排列Rj(32比特)Lj(32比特)Cj-1(28比特)Dj-1(28比特)左移位左移位排列选

22、择2Cj(28比特)Dj(28比特)待加密64比特数据块56比特密钥图2.6DES算法每轮处理过程Kj4848比特扩展排列45DES算法的解密过程(1)DES算法的解密过程采用加密完全相同的过程，只是使用轮回密钥的顺序必须相反。从DES的每轮处理过程可得：Lj=Rj 1(2.1)Rj=Lj 1F(R j 1,Kj)(2.2)假定“|”表示两个符号串的合并操作，L0|R0表示经过DES初始排列的待解密数据块，初始排列操作可以表示为IP。L0|R0=IP(C)(2.3)46DES算法的解密过程(2)按照DES算法，密文是在第16轮产生的密文块L16|R16经过左右换位和逆初始排列产生的，即C=IP

23、1(R16|L16)(2.4)将公式(2.4)带入公式(2.3)可得L0|R0=IP(IP1(R16|L16)=R16|L16(2.5)由于DES解密过程与DES加密过程相同，只是使用轮回密钥的次序颠倒，即Lj=Rj 1(2.6)Rj=Lj 1F(R j 1,K16(j1)(2.7)47DES算法的解密过程(3)利用公式(2.6)和(2.7)，公式(2.5)，以及公式(2.1)和(2.2)可以推导出以下公式：L1=R0=L16=R15(2.8)R1=L0F(R0,K16)=R16F(R15,K16)=(L15F(R15,K16)F(R15,K16)=L15(2.9)以此类推，可以用归纳法证明存

24、在以下等式：Lj=R16 j(2.10)Rj=L16 j(2.11)48DES算法的解密过程(4)当DES算法经过16次解密处理，可以得到：L16|R16=R0|L0再经过DES算法后期左右换位和逆初始排列的处理就可以得到：IP1(L0|R0)=IP1(IP(P)=P(2.12)分析：在DES算法的正常求解过程中，通过两次“异或”运算抵消了复杂的“替代”和“换位”处理函数F对数据块的处理，无需寻找F的逆函数。49三重DES算法早在20世纪70年代颁布DES标准的时候，一些密码学专家就预测到随着计算技术的发展，DES将难以满足安全性的需求，因此，提出了对多重DES算法的研究。多重DES算法基本思

25、路是：通过多次对数据块执行DES加密算法，提高密文的安全性。三重DES算法，简称为TDES、TDEA或者3DES，在1999年被接纳为NIST标准，该算法可以将DES的密钥扩展为112比特或者168比特长度。50三重DES算法(续)TDES算法的思路十分简单：利用密钥K1对明文P进行一次DES加密，利用密钥K2对密文C1进行一次DES解密，再利用密钥K3进行一次DES加密。TDES加密算法的公式表示如下：C=E(K3,D(K2,E(K1,P)TDES解密过程正好与加密过程相反：P=D(K1,E(K2,D(K3,C)51DES算法分析DES算法最大弱点是密钥长度太短虽然可以通过3DES算法可以将

26、密钥扩展到112比特(当K1=K3)或者168比特长度，但是，由于需要执行三次DES算法，其加密效率较低，无法满足NIST关于加密算法高效性的要求。DES算法的另外一个缺陷是在软件中运行的效率较低。为此NIST于1997开始在世界范围征集替代DES的加密算法，称为高级加密标准(AES)。52高级加密标准AESNIST征集的AES的基本要求是：AES应该像DES和TDES那样是一个块加密方法，并且至少像TDES一样安全，但是其软件实现应该比TDES更加有效。NIST在1997年9月发布征集候选AES的块加密方法时明确提出要求的指标：（1）不是机密的，可以向公众公开的加密方法。（2）可以提供128

27、、192和256比特的密钥长度。（3）具有128比特块长度(具有更强的安全性)。（4）在世界任何地方都可用，不受任何限制。53高级加密标准AES(续)对AES候选方案的评审标准有3条：（1）全面的安全性，这是最为重要的指标。（2）性能，特别是软件实现的处理性能。（3）算法的知识产权等特征。比利时学者JoanDaemen和VincentRijmen提出的Rijndael加密算法最终被选为AES算法。NIST在2001年12月正式颁布了基于Rijndael算法AES标准。54RC4加密算法与DES和AES加密算法不同，RC4是一种典型的流加密算法，它在1987年由公钥密码学中著名的RSA加密算法的

28、发明人之一R.Rivest提出。由于RC4的简单性，使得它被广泛应用于网络安全中。流加密算法加密过程主要包括两个步骤：（1）利用密钥K生成一个伪随机比特序列（2）用该伪随机比特序列与明文进行“异或”运算产生密文。55RC4加密算法(续1)流加密算法的解密过程也包括两个步骤：利用同样的密钥K生成相同的一个伪随机比特序列用该伪随机比特序列与密文进行“异或”运算得到明文。在流加密算法中，由密钥K生成的伪随机比特序列称为“密钥流”，用KS(K)表示。流加密算法可以用以下两个公式表示：C=PKS(K)P=CKS(K)为了保证流加密算法的安全性，对于不同的明文，必须采用不同的KS56RC4加密算法(续2)

29、RC4加密算法分成两个部分：初始化部分，主要用于产生长度为256个八位位组的伪随机比特序列；RC4处理部分，利用初始化产生的伪随机比特序列对明文或者密文进行逐个八位位组的“异或”操作，并且每当对一个八位位组进行一次“异或”操作，就更改伪随机比特序列。57RC4加密算法(续3)/Procedure:RC4_Init/Input:key:pointertothekey/keylen:lengthofthekey/Output:s:statearraywith256entriesvoidRC4_Init(byte*key;intkeylen;bytes256)unsignedintj,keyInde

30、x=0,stateIndex=0;bytea=0;/Paddingswith0upto255for(j=0;j256;j+)sj=j;/Computeinitialstatearrayfor(j=0;j=keylen)keyIndex=0;图2.8 RC4初始化部分C语言程序58RC4加密算法(续4)/Procedure:RC4_Process/Input:in:pointertotheplaintextorciphertextbeingprocessed/len:lengthoftheplaintextorciphertextbeingprocessed/Input/output:s:sta

31、tearraystoringpseudo-randombitsequence/index1,index2:statearrayindicesmodulo256/Output:out:pointertotheresultingciphertextorplaintextvoidRC4_Process(byte*in;intlen,index1,index2;bytes256;byte*out)intj;bytea,b;for(j=0;j336（相当于100个十进制位），已有时间复杂度可以小于O(2l/8)的分解大数n的算法。1994年,一个小组利用因特网上1600台计算机,经过8个月的计算,攻破了

32、公钥长度为129位十进制数(约428比特)的RSA(这种攻击意义不大).现在通常认为,采用1024比特密钥长度(约300位十进制数)是比较安全的.100Diffie-Hellman密钥生成算法这里介绍的Diffie-Hellman密钥生成算法，实际上并不是属于W.Diffie和M.Hellman提出的公钥密码体系中的算法。而且Diffie-Hellman算法生成的密钥也并不是公钥密码体系中使用的不对称密钥，而是在传统密码体系中使用的对称密钥。101Diffie-Hellman密钥生成算法(续)但是，一般在信息安全中，还是在讨论公钥密码体系中介绍这个密码生成算法。其原因在于：该算法部分解决了在公

33、共网络环境下如何进行安全通信的问题；它也包含了部分公开密钥的思想。102Diffie-Hellman算法基本思想如果在电信网上的一方A试图与电信网上的另外一方B进行通信，则A首先通过“电话黄页薄”获取B公布的公钥；然后，利用自己的私钥对B的公钥进行指数运算后再取模，得到密钥KA,B；最后，A利用KA,B作为密钥，利用传统加密算法（例如DES算法）加密数据后传递给B。103Diffie-Hellman算法基本思想(续)在电信网上的另一方B收到了A发送来的加密报文之后，则首先通过“电话黄页薄”获得A公布的公钥；然后，利用自己的私钥对A的公钥进行指数运算后再用共同的数取模，得到密钥KB,A；Diff

34、ie-Hellman算法可以保证KB,A=KA,B，这样，B就可以利用KB,A解密A采用传统加密算法生成的密文。104Diffie-Hellman算法基本过程假设q是一个素数，是(1,q)范围中的一个素数，利用Diffie-Hellman密钥生成算法生成共享密钥过程如下：(i)A从1,2,q1中生成一个随机整数XA作为保密字保存好，将YA=XAmodq计算值连同A的名字和地址等信息放置在公共文件中。(ii)B从1,2,q1中生成一个随机整数XB作为保密字保存好，将YB=XBmodq计算值连同B的名字和地址等信息也放置在公共文件中。105Diffie-Hellman算法基本过程(续)(iii)如

35、果A要与B进行保密通信，则A从公共文件中取出B对应的保密字指数运算值YB，利用自己保存的保密字对该数进行指数运算，得到密钥KA,B=YB XA=XBXA。(iv)同样，B也可以从公共文件中取出A对应的保密字指数运算值，利用自己保存的保密字对该数进行指数运算，得到密钥KB,A=YA XB=XAXB=XBXA=KA,B。(v)随后，A与B就可以利用双方共享的KA,B进行数据传统加密和解密的操作。106Diffie-Hellman算法安全性分析Diffie-Hellman算法生成的密钥在选择合适的q值的条件下是安全。因为计算共享密码KA,B最多需要花费2log2q次运算，攻击者C试图利用YA或者YB

36、破译KA,B至少需要q1/2次运算。例如假定q取值为略小于2b的一个素数，则A和B计算共享密钥需要花费2b次运算，而破译KA,B至少需要花费2b/2次运算。如果b取值为200(即200个比特长度)，则A和B计算共享密钥只花费400次运算，而破译该密钥需要花费2100次运算，相当于1030次运算。107公钥密码体系与密钥管理公钥密码体系中的公钥并不能随意公开，而是必须通过权威机构公开。因为公钥在某种程度上对应了某人的身份。目前公钥都通过公钥基础设施（PKI）进行管理和发布。它是实现电子商务的重要基础设施。PKI将在“身份验证技术及其应用”中介绍108本章重点内容公钥密码体系基本原理公钥密码算法：RSA算法Diffie-Hellman密钥生成算法109思考题(1)公钥密码学最初是为了解决什么方面问题而提出的？公钥密码学基本原理是什么？公钥密码学相对于传统密码学最大的改进在哪里？(2)RSA公钥加密算法包括哪两个主要过程？它是如何保证满足公钥密码系统中的4个基本特性？为什么说RAS公钥加密算法是安全的？(3)Diffie-Hellman密钥生成算法主要可以解决什么问题？为什么通常在公钥密码学中介绍该算法？如何保证该算法在目前计算条件下是安全的？110