雅視修改密碼為什麼失敗
㈠ 想聽大家對於一道密碼設計的數學建模題
公鑰密碼又稱為雙鑰密碼和非對稱密碼,是1976年由Daffy和Hellman在其「密碼學新方向」一文中提出的,見劃時代的文獻:
W.Diffie and M.E.Hellman, New Directrions in Cryptography, IEEE Transaction on Information Theory, V.IT-22.No.6, Nov 1976, PP.644-654
單向陷門函數是滿足下列條件的函數f:
(1)給定x,計算y=f(x)是容易的;
(2)給定y, 計算x使y=f(x)是困難的。
(所謂計算x=f-1(Y)困難是指計算上相當復雜,已無實際意義。)
(3)存在δ,已知δ 時,對給定的任何y,若相應的x存在,則計算x使y=f(x)是容易的。
註:1*. 僅滿足(1)、(2)兩條的稱為單向函數;第(3)條稱為陷門性,δ 稱為陷門信息。
2*. 當用陷門函數f作為加密函數時,可將f公開,這相當於公開加密密鑰。此時加密密鑰便稱為公開鑰,記為Pk。 f函數的設計者將δ 保密,用作解密密鑰,此時δ 稱為秘密鑰匙,記為Sk。由於加密函數時公開的,任何人都可以將信息x加密成y=f(x),然後送給函數的設計者(當然可以通過不安全信道傳送);由於設計者擁有Sk,他自然可以解出x=f-1(y)。
3*.單向陷門函數的第(2)條性質表明竊聽者由截獲的密文y=f(x)推測x是不可行的。
Diffie和Hellman在其里程碑意義的文章中,雖然給出了密碼的思想,但是沒有給出真正意義上的公鑰密碼實例,也既沒能找出一個真正帶陷門的單向函數。然而,他們給出單向函數的實例,並且基於此提出Diffie-Hellman密鑰交換演算法。這個演算法是基於有限域中計算離散對數的困難性問題之上的:設F為有限域,g∈ F是F的乘法群F*=F\{0}=<g>。並且對任意正整數x,計算gx是容易的;但是已知g和y求x使y= gx,是計算上幾乎不可能的。這已問題稱為有限域F上的離散對數問題。公鑰密碼學種使用最廣泛的有限域為素域FP.
對Diffie-Hellman密鑰交換協議描述:Alice和Bob協商好一個大素數p,和大的整數g,1<g<p,g最好是FP中的本原元,即FP*=<g>。p和g無須保密,可為網路上的所有用戶共享。
當Alice和Bob要進行保密通信時,他們可以按如下步驟來做:
(1)Alice送取大的隨機數x,並計算
X=gx(mod P)
(2)Bob選取大的隨機數x,並計算X = gx (mod P)
(3)Alice將X傳送給Bob;Bob將X 傳送給Alice。
(4)Alice計算K=(X )X(mod P);Bob計算K =(X) X (mod P),易見,K=K =g xx (mod P)。
由(4)知,Alice和Bob已獲得了相同的秘密值K。雙方以K作為加解密鑰以傳統對稱密鑰演算法進行保密通信。
註:Diffie-Hellman密鑰交換演算法擁有美國和加拿大的專利。
3 RSA公鑰演算法
RSA公鑰演算法是由Rivest,Shamir和Adleman在1978年提出來的(見Communitions of the ACM. Vol.21.No.2. Feb. 1978, PP.120-126)該演算法的數學基礎是初等數論中的Euler(歐拉)定理,並建立在大整數因子的困難性之上。
將Z/(n)表示為 Zn,其中n=pq; p,q為素數且相異。若
Z*n{g∈ Zn|(g,n)=1},易見Z*n為 (n)階的乘法群,且有 g (n)1(mod n),而 (n)=(p-1)(q-1).
RSA密碼體制描述如下:
首先,明文空間P=密文空間C=Zn.(見P175).
A.密鑰的生成
選擇p,q,p,q為互異素數,計算n=p*q, (n)=(p-1)(q-1), 選擇整數e使( (n),e)=1,1<e< (n)),計算d,使d=e-1(mod (n))),公鑰Pk={e,n};私鑰Sk={d,p,q}。
注意,當0<M<n時,M (n) =1(mod n)自然有:
MK (n)+1M(mod n), 而ed 1 (mod (n)),易見(Me)d M(mod n)
B.加密 (用e,n)明文:M<n 密文:C=Me(mod n).
C.解密 (用d,p,q)
密文:C 明文:M=Cd(mod n)
註:1*, 加密和解密時一對逆運算。
2*, 對於0<M<n時,若(M,n) ≠ 1,則M為p或q的整數倍,假設M=cp,由(cp,q)=1 有 M (q) 1(mod q) M (q) (p) 1(mod q)
有M (q) = 1+kq 對其兩邊同乘M=cp有
有M (q)+1=M+kcpq=M+kcn於是
有M (q)+1 M(mod n)
例子:若Bob選擇了p=101和q=113,那麼,n=11413, (n)=100×112=11200;然而11200=26×52×7,一個正整數e能用作加密指數,當且僅當e不能被2,5,7所整除(事實上,Bob不會分解φ(n),而且用輾轉相除法(歐式演算法)來求得e,使(e, φ(n)=1)。假設Bob選擇了e=3533,那麼用輾轉相除法將求得:
d=e -1 6597(mod 11200), 於是Bob的解密密鑰d=6597.
Bob在一個目錄中公開n=11413和e=3533, 現假設Alice想發送明文9726給Bob,她計算:
97263533(mod 11413)=5761
且在一個信道上發送密文5761。當Bob接收到密文5761時,他用他的秘密解密指數(私鑰)d=6597進行解密:57616597(mod 11413)=9726
註:RSA的安全性是基於加密函數ek(x)=xe(mod n)是一個單向函數,所以對的人來說求逆計算不可行。而Bob能解密的陷門是分解n=pq,知 (n)=(p-1)(q-1)。從而用歐氏演算法解出解密私鑰d.
4 RSA密碼體制的實現
實現的步驟如下:Bob為實現者
(1)Bob尋找出兩個大素數p和q
(2)Bob計算出n=pq和 (n)=(p-1)(q-1).
(3)Bob選擇一個隨機數e(0<e< (n)),滿足(e, (n))=1
(4)Bob使用輾轉相除法計算d=e-1(mod (n))
(5)Bob在目錄中公開n和e作為她的公開鑰。
密碼分析者攻擊RSA體制的關鍵點在於如何分解n。若分
解成功使n=pq,則可以算出φ(n)=(p-1)(q-1),然後由公
開的e,解出秘密的d。(猜想:攻破RSA與分解n是多項式
等價的。然而,這個猜想至今沒有給出可信的證明!!!)
於是要求:若使RSA安全,p與q必為足夠大的素數,使
分析者沒有辦法在多項式時間內將n分解出來。建議選擇
p和q大約是100位的十進制素數。 模n的長度要求至少是
512比特。EDI攻擊標准使用的RSA演算法中規定n的長度為
512至1024比特位之間,但必須是128的倍數。國際數字
簽名標准ISO/IEC 9796中規定n的長度位512比特位。
為了抵抗現有的整數分解演算法,對RSA模n的素因子
p和q還有如下要求:
(1)|p-q|很大,通常 p和q的長度相同;
(2)p-1 和q-1分別含有大素因子p1和q1
(3)P1-1和q1-1分別含有大素因子p2和q2
(4)p+1和q+1分別含有大素因子p3和q3
為了提高加密速度,通常取e為特定的小整數,如EDI國際標准中規定 e=216+1,ISO/IEC9796中甚至允許取e=3。這時加密速度一般比解密速度快10倍以上。 下面研究加解密算術運算,這個運算主要是模n的求冪運算。著名的「平方-和-乘法」方法將計算xc(mod n)的模乘法的數目縮小到至多為2l,這里的l是指數c的二進製表示比特數。若設n以二進制形式表示有k比特,即k=[log2n]+1。 由l≤ k,這樣xc(mod n)能在o(k3)時間內完成。(注意,不難看到,乘法能在o(k2)時間內完成。)
平方-和-乘法演算法:
指數c以二進制形式表示為:
c=
Xc=xc0×(x2)c1×…×(x2t-1)ct-1
預計算: x2=xx
x4=x22=x2x2
.
.
.
x2t-1 =x2t-2*x2t-2
Xc計算:把那些ci=1對應的x2i全部乘在一起,便得xc。至
多用了t-1次乘法。請參考書上的177頁,給出計算
xc(mod n)演算法程序:
A=xc c=c0+c12+..+ct-12t-1= [ct-1,....,c1,c0]2
5 RSA簽名方案
簽名的基本概念
傳統簽名(手寫簽名)的特徵:
(1)一個簽名是被簽文件的物理部分;
(2)驗證物理部分進行比較而達到確認的目的。(易偽造)
(3)不容易忠實地「」!!!
定義: (數字簽名方案)一個簽名方案是有簽署演算法與驗
證演算法兩部分構成。可由五元關系組(P,A,K,S,V)來刻化:
(1)P是由一切可能消息(messages)所構成的有限集合;
(2)A是一切可能的簽名的有限集合;
(3)k為有限密鑰空間,是一些可能密鑰的有限集合;
(4)任意k ∈K,有簽署演算法Sigk ∈ S且有對應的驗證演算法Verk∈V,對每一個
Sigk:p A 和Verk:P×A {真,假} 滿足條件:任意x∈ P,y∈ A.有簽名方案的一個簽名:Ver(x,y)= {
註:1*.任意k∈K, 函數Sigk和Verk都為多項式時間函數。
2*.Verk為公開的函數,而Sigk為秘密函數。
3*.如果壞人(如Oscar)要偽造Bob的對X的簽名,在計算上是不可能的。也即,給定x,僅有Bob能計算出簽名y使得Verk(x,y)=真。
4*.一個簽名方案不能是無條件安全的,有足夠的時間,Oscar總能偽造Bob的簽名。
RSA簽名:n=pq,P=A=Zn,定義密鑰集合K={(n,e,p,q,d)}|n=pq,d*e1(mod (n))}
注意:n和e為公鑰;p,q,d為保密的(私鑰)。對x∈P, Bob要對x簽名,取k∈K。Sigk(x) xd(mod n)y(mod n)
於是
Verk(x,y)=真 xye(mod n)
(注意:e,n公開;可公開驗證簽名(x,y)對錯!!也即是否為Bob的簽署)
註:1*.任何一個人都可對某一個簽署y計算x=ek(y),來偽造Bob對隨機消息x的簽名。
2*.簽名消息的加密傳遞問題:假設Alice想把簽了名的消息加密送給Bob,她按下述方式進行:對明文x,Alice計算對x的簽名,y=SigAlice(x),然後用Bob的公開加密函數eBob,算出
Z=eBob(x,y) ,Alice 將Z傳給Bob,Bob收到Z後,第一步解密,
dBob(Z)=dBobeBob(x,y)=(x,y)
然後檢驗
VerAlice(x,y)= 真
問題:若Alice首先對消息x進行加密,然後再簽名,結果
如何呢?Y=SigAlice(eBob(x))
Alice 將(z,y)傳給Bob,Bob先將z解密,獲取x;然後用
VerAlice檢驗關於x的加密簽名y。這個方法的一個潛在問
題是,如果Oscar獲得了這對(z,y),他能用自己的簽名來
替代Alice的簽名
y=SigOscar(eBob(x))
(注意:Oscar能簽名密文eBob(x),甚至他不知明文x也能做。Oscar傳送(z,y )給Bob,Bob可能推斷明文x來自Oscar。所以,至今人么還是推薦先簽名後加密。)
6.EIGamal方案
EIGamal公鑰密碼體制是基於離散對數問題的。設P
至少是150位的十進制素數,p-1有大素因子。Zp為有限域,
若α為Zp中的本原元,有Zp* =<α>。若取β∈Zp*=Zp\{0},
如何算得一個唯一得整數a,(要求,0≤a≤ p-2),滿足
αa=β(mod p)
將a記為a=logαβ
一般來說,求解a在計算上是難處理的。
Zp*中的Egamal公鑰體制的描述:設明文空間為P=Zp*,密文空
間為C=Zp*×Zp*,定義密鑰空間K={(p, α,a, β )|β=αa(mod p)}
公開鑰為:p, α ,β
秘密鑰(私鑰):a
Alice 取一個秘密隨機數k∈ Zp-1,對明文x加密
ek(x,k)=(y1,y2)
其中, y1=αk(mod p),y2=xβk(mod p)
Bob解密,
dk(y1,y2)=y2(y1α)-1(mod p)
註:1*.容易驗證y2(y1α)-1=x(αa)k(αka)-1=x !!
2*.利用EIGamal加密演算法可給出基於此的簽名方案:
Alice 要對明文x進行簽名,她首先取一個秘密隨機數k作
為簽名
Sigk(x,k)=( , )
其中 =αk(mod p), =(x-a )k-1(mod p-1)
對x, ∈Zp*和 ∈ Zp-1,定義Verk(x, ,)=真等價於
βα=αx(mod p)
要說明的是,如果正確地構造了這個簽名,那麼驗證將
是成功的,因為
βα= αa αk (mod p)= αa+k (mod p)
由上面知道, =(x- a)k-1(mod p-1)可以推出
k=x- a(mod p-1)有a+kx(mod p)
所以 β = αx (mod p)
該簽名方案已經被美國NIST(國家標准技術研究所)確定為簽名標准(1985)。
有關RSA方面的內容,請訪問網址:
www.RSAsecurity.com