密码学导论复习笔记

复习自用，仅供参考~

概论

• CIA: 机密性(Confidentiality), 完整性(Intergrity), 可用性(Availability).
• 体制: $(M,C,K_1,K_2,E,D)$ 明文空间, 密文空间, 加密密钥空间, 解密密钥空间, 加密空间, 解密空间; 加密变换 $c=E_{k_1}(m)$, 解密变换 $m=D_{k_2}(c)$.
• 评价: 无条件安全 $P(M|C)=P(M)$; 可证明安全(破解本质为数学难题); 计算安全(破解代价超过信息价值;破解时间超过信息时效).
• 分析: 唯密文攻击, 已知明文攻击, 选择明文攻击, 选择密文攻击, 自适应选择明文攻击, 选择密钥攻击.
• 香农《保密系统的通信原理》建立密码系统理论模型, 信息论为密码学奠定理论基础.
• 柯克霍夫斯原则(公开设计): 密码体制安全性依赖于密钥保密, 密码算法公开.

古典密码

仿射

• 仿射密码: 单表代换
  • 加密: $c\equiv am+b(\mathrm{mod}n)$.
  • 解密: $m\equiv a^{-1}(c-b)(\mathrm{mod}n)$.
  • $a$ 存在模 $n$ 的逆, 故密钥共 $n\times (\phi (n)-1)$ 种.

Vigenere

• Vigenere密码: 多表代换
  • 加密: $c\equiv m+k(\mathrm{mod}n)$.
  • 解密: $m\equiv c-k(\mathrm{mod}n)$.

Vernam

• Vernam密码: 多表代换, 序列密码基础
  • 加密: $c_i=m_i\oplus k_i$.
  • 解密: $m_i=c_i\oplus k_i$.
  • $oplus$ 为异或/模2加法/不进位加法/$GF(2)$上加法.

统计分析

• 置换不改变字母, 单表代换不改变频率分布, 多表代换频率趋于均匀分布.
• 粗糙度: $M.R={\sum }_{i=0}^{25}(p_i-\frac{1}{26}{)}^2={\sum }_{i=0}^{25}{p}_i^2-0.0385$. 明文或单表代换时 $M.R\approx 0.027$, 更接近 $0$ 则更可能为多表代换.
• 重合指数: $\mathrm{IC}={\sum }_{i=0}^{25}{p}_i^2$. 多表代换时 $\mathrm{IC}\approx 0.0655$. 相同字母间隔为 $d_1,...,d_n$, 则密钥可能长度为 $\gcd (d_1,...,d_n)$.

序列密码

• 同步序列密码: 密钥序列产生与明密文无关; 通信双方必须保持精确同步; 错误只影响对应比特, 对失步敏感.
• 自同步序列密码: 密钥序列产生与明文或密文相关; 加解密时造成错误传播, 但错误传播有界.

线性反馈移位寄存器(LFSR)

• 移位寄存器: 值 $S=(s_0,s_1,...,s_{n-1})$ 为状态.
  线性反馈函数: $s_{n-1}\leftarrow f(s_0,s_1,...,s_{n-1})=g_{n-1}{s}_{n-1}+...+g_1{s}_1+g_0{s}_0$, $g_i\in GF(2)⟹$ 连接多项式 $g(x)=g_n{x}^n+...+g_0\in GF(2)[x]$.
• LFSR
  $S_0=O$ 则 $S_i=O$; $S_0\ne O$ 则 $S_i\ne O$.
  本原多项式: $f(x)\in F[x]$, 有 $\mathrm{deg}f=n$, inf⁡{p∈Z+:f(x)∣xp−1}=2n−1\inf \{p\in\mathbb{Z}_+: f(x)|x^{p-1}\}=2^n-1inf{p∈Z+​:f(x)∣xp−1}=2n−1.
  $g(x)\in GF(2)[x]$ 为本原多项式 $⟺$ 输出序列周期达到最大值 $2^n-1$; 此时输出序列称为 $m$-序列.
• LFSR分析
  截获长度 $l\ge 2(2^n-1)$ 的明密文对 $(c,m)$, 则 $k=c\oplus m$, 有状态 $S_i,...,S_{i+n+1}$ .
  记 $X=(S_i,...,S_n)$, $Y=(S_{i+1},...,S_{i+n+1})$, 有 $Y\equiv HX(\mathrm{mod}2)$.
  $m$-序列时, $X$满秩, $H\equiv Y{X}^{-1}(\mathrm{mod}2)$ 为连接多项式的友矩阵, $O(n^3)$ 内可求得.

$$H=\left(\begin{array}{ccccc}0& 1& 0& ...& 0\\ 0& 0& 1& ...& 0\\ ...& & & & \\ 0& 0& 0& ...& 1\\ g_0& g_1& g_2& ...& g_{n-1}\end{array}\right)$$

• 非线性序列实现
  • 非线性反馈函数: 如引入与运算/模2乘/$GF(2)$上乘法.
  • LFSR的非线性组合: 线性部分为前馈电路, 确保序列的长周期性和均匀性.
  • 非线性分组码

A5

• 欧洲移动通信GSM标准, 手机到基站间的链路语音加密; 算法未公开, 区别主要在连接多项式上.
• 三个较短的LFSR组成, 64位种子密钥(19+22+23).
  $$\begin{array}{rl}& g_1(x)=x^{19}+x^{18}+x^{17}+x^{14}+1\\ & g_2(x)=x^{22}+x^{21}+1\\ & g_3(x)=x^{23}+x^{22}+x^{21}+x^8+1\end{array}$$
  控制位为 LFSR1(8), LFSR2(10), LFSR(10); 相同的两个/三个移位, 不同的不移位.
• 安全问题: LFSR过短; 不同种子密钥也能产生相同的密钥序列; 种子密钥过短.

RC4

• RSA数据安全公司加密软件BSAFE, 1987年Ron Rivest提出; 本质为对数据表进行非线性变换.
• 初始化: 线性填充256字节S表, 密钥循环填充T表; $i$ 遍历 $0-255$, $j\equiv j+S[i]+T[i](\mathrm{mod}256)$, 交换 $S[i]$ 和 $S[j]$.
• 密钥序列产生: $i$ 循环遍历 $0-255$, $j\equiv j+S[i](\mathrm{mod}256)$, 交换 $S[i]$ 和 $S[j]$, $t\equiv S[i]+S[j](\mathrm{mod}256)$, $k_i=S[t]$.
• 安全问题: 存在弱密钥使得初始置换后 $S$ 不变, 即 $i=j$; 存在弱密钥使得子密钥序列在100万字节内完全重复; 存在信息泄漏漏洞和加密漏洞; 种子密钥有效长度为128bit.

ZUC

• 国密; 4G宽带无线通信系统(LTE)国际标准; 分为机密性128-EEA3和完整性128-EIA3; 本质为对LFSR进行非线性组合.
• 三层结构: LFSR, BR(比特重组), 非线性F函数(唯一非线性部件, 安全性).
  
  $⊞$ 为$GF(2^{32})$ 上加法; $|$ 为连接字符串; ${}_H$ 为高16bit; ${}_L$ 为低16bit; $<<<$ 为循环左移.
  • LFSR: 本原多项式$g(x)\in GF(2^{31}-1)[x]$, $g(x)=x^{16}-2^{15}{x}^{15}-2^{17}{x}^{13}-2^{21}{x}^{10}-2^{20}{x}^4-2^8-1$;
    输出 $m$ 序列周期 $(2^{31}-1{)}^{16}-1$; 16个31bit 寄存器 $S_0,...,S_{15}\in [1,2^{31}-1]$.
  • BR: $X_0=S_{15H}|S_{14L}$, $X_1=S_{11L}|S_{9H}$ ,$X_2=S_{7L}|S_{5H}$, $X_3=S_{2L}|S_{0H}$.
  • F: $W=(X_0\oplus R_1)⊞R_2$, $W_1=R_1⊞X_1$, $W_2=R_2⊞X_2$;
    $R_1=S(L_1(W_{1L}|W_{2H}))$, $R_2=S(L_2(W_{2L}|W_{1H}))$;
    $L_1(a)=a\oplus (a<<<2)\oplus (a<<<10)\oplus (a<<<18)\oplus (a<<<24)$,
    $L_2(a)=a\oplus (a<<<8)\oplus (a<<<14)\oplus (a<<<22)\oplus (a<<<30)$;
    $S$ 盒为 $(S_0,S_1,S_0,S_1)$, 每8bit作为索引, 返回 $S$ 盒中对应的8bit.
  • 输出密钥序列: $Z=W\oplus X_3$.
• 运行流程
  • 128bit 初始密钥和 128bit 初始向量装入寄存器 $S_0,...,S_{15}$.
    • 128bit 初始密钥分为 16 个 8bit: $\mathrm{KEY}=k_0||k_1||...||k_{15}$.
    • 128bit 初始向量分为 16 个 8bit: $\mathrm{IV}=i{v}_0||i{v}_1||...||i{v}_{15}$.
    • 240bit 常量分为 16个 15bit: $D=d_0||d_1||...||d_{1}5$.
    • $S_i=k_i||d_i||i{v}_i$.
  • 初始化 $F$, $R_1=0$, $R_2=0$.
  • 初始化模式运行32次: BR$\to$W=F(X_0,X_1,X_2)$\to$LFSR; 不输出.
  • 工作模式运行1次并舍弃 $W$: BR$\to$W=F(X_0,X_1,X_2)$\to$LFSR.
  • 密钥序列产生: 工作模式运行, 每时钟节拍输出 32bit.
• 128-EEA3参数表

$k_i=c{k}_i$, $i=0,1,...,15$.
$i{v}_0={\mathrm{COUNT}}_0$, $i{v}_1={\mathrm{COUNT}}_1$, $i{v}_2={\mathrm{COUNT}}_2$, $i{v}_3={\mathrm{COUNT}}_3$;
$i{v}_4=\mathrm{BEARER}|\mathrm{DIRECTION}|00$, $i{v}_5=i{v}_6=i{v}_7=00000000$;
$i{v}_{j+8}=i{v}_j$, $j=8,9,...,15$.

• 安全问题
  抵御多种已知攻击: 弱密钥, Guess-and-Determine(猜测-决定)攻击, Binary-Decision-Tree(二叉决策树)攻击, 线性区分攻击, 代数攻击, 选择初始向量攻击.
  主要威胁为侧信道攻击: DPA攻击.

分组密码

• 本质为单表代换和置换, 复杂多轮非线性, 通过混淆和扩散实现.
  • 混淆: 密钥和密文间依赖关系复杂, 抗统计分析.
  • 扩散: 明文每 bit 影响尽可能多的密文 bit.
  • 香农乘积密码
    • 幂等密码: $S^2=S$; 不会增强安全性.
    • 迭代密码: $S^n$; 通过简单密码得到高强度密码; 分组密码和hash函数的核心思想.
• 组件
  • S盒: 混淆; 非线性代换; 安全强度, 抗差分攻击和线性攻击能力; 规模越大, 非线性程度越高, 混淆性能越好, 实现效率越低.
  • P置换: 线性置换; S盒后将混淆效应扩散.
  • 轮函数F: 快速实现密钥和明文的混淆扩散; 复杂性和轮数决定了实现效率.
  • 密钥扩展: 生成轮密钥(子密钥); 密钥与密文独立, 抗统计分析, 抗弱密钥, 结果简单易于实现, 种子密钥影响均衡.

DES

• 数据加密标准(Data Encryption Standard): 16 轮 Feistel 网络对合加解密.
  体现香农密码设计思想; 公开密码算法先例; 商用密码典范.

• 密钥扩展
  初始密钥(64bit)经PC1表置换得到 $C_i$ 和 $D_i$ (各28bit), 循环左移 $l{s}_i$ 位;
  经PC2表置换得到第 $i$ 轮子密钥 $K_i$ (48bit);
  置换表中元素 $p{t}_i$ 意为将待置换中的第 $p{t}_i$ 位置换到第$i$位.

• 初始置换与结束逆置换
  明(密)文(64bit)经IP表置换进入加密;
  完成加(解)密后经IPR表置换得到密(明)文(64bit).

• 轮函数
  32bit输入经E表置换扩充到48bit;
  与子密钥(48bit)异或后, 经S盒压缩回32bit(混淆), 再经P表置换得到32bit输出(扩散);
  S盒6位输入 $b_1{b}_2{b}_3{b}_4{b}_5{b}_6$, 输出$s_{b_1{b}_6,b_2{b}_3{b}_4{b}_5}$.

• S盒设计准则: (DES中唯一非线性变换)
  改变1bit输入至少2bit发生变化;
  $S(x)$ 和 $S(x\oplus 001100)$ 至少2bit发生变化;
  $S(x)\ne S(x\oplus 11ef00)$, e,f∈{0,1}e,f\in\{0,1\}e,f∈{0,1};
  改变5bit输入, 输出的0和1数目大致相等;
  足够的非线性度以抵抗线性攻击;
  差分性均匀以抵抗差分攻击;
  足够的代数次数和项目以抵抗插值攻击和高阶差分攻击.

• 攻击类型: 穷钥攻击; 侧信道攻击(能量分析, 故障注入分析); 差分攻击; 线性攻击.

• 安全问题: 密钥太短(有效仅56bit); 存在弱密钥; 互补对称性(异或运算导致).

• 3-DES: 3轮DES; 112(1和3轮密钥相同)/256bit 密钥; 加解密速度慢.

AES

• 高级数据加密标准(Advanced Encryption Standard): 10/12/14 轮 S-P 网络对称加解密(对应 128/192/256bit 密钥).
• $GF(2)[x]$ 上运算
  $GF(2)$ 上多项式域 $GF(2^8)\cong GF(2)[x]/(x^8+x^4+x^3+x+1)$ 中元素为 $b_{(8)}=b_7{x}^7+b_6{x}^6+b_5{x}^5+b_4{x}^4+b_3{x}^3+b_2{x}^2+b_{1}x+b_0$;
  乘法需对既约多项式 $m(x)=x^8+x^4+x^3+x+1$ 取模, 乘法逆元可由扩展Euclid算法得到.
  考虑 $x{b}_{(8)}=(b_{(8)}<<1)\oplus m(x)$, 高次乘法可重复 $x$ 乘实现.
• $GF(2^8)[x]$ 上运算
  $GF(2^8)$ 上 $degf\le 3$ 多项式环 $GF(2^8)/[x^4+1]$ 中元素为 $b_{(32)}=B_3{x}^3+B_2{x}^2+B_{1}x+B_0$;
  乘法需对(非既约)多项式 $x^4+1$ 取模.
  考虑 $x{b}_{(32)}=b_{(32)}>>8$, 高次乘法可视为 $GF(2^8)$ 上矩阵乘法.
• 状态矩阵
  128bit 明(密)文和密钥按列优先载入4阶方阵;
  加(解)密后按列优先输出密(明)文.
• 密钥扩展: 4字输入, 扩展为44字输出; 1word (字) $=$ 4byte $=$ 32bit.
  $w[i]=w[i-1]\oplus w[i-4]$, $4\nmid i$;
  $w[i]=w[i-4]\oplus S(w^{\prime }[i-1])\oplus Rcon[i]$, $4|i$;
  即每个字循环左移1字节后进行S盒置换.
• 轮函数: 轮密钥加(即子密钥异或) $\to$ (逆)字节代换 $\to$ (逆)行位移 $\to$ (逆)列混合; 最后一轮(逆)列混合改为轮密钥加.
  • 字节代换: 取每个字节在 $GF(2^8)$ 上的逆后进行仿射变换, 可等效为S盒置换;
  • 逆字节代换: 逆仿射变换再取逆, 可等效为逆S盒置换.
  • 行位移: 第 $i=0,1,2,3$ 个字循环右移 $i$ 字节;
  • 逆行位移: 第 $i$ 个字循环左移 $i$ 字节.
  • 列混合: 按列的字在 $GF(2^8)[x^4+1]$ 上与 $a(x)=0x03x^3+0x01x^2+0x01x+0x02$ 相乘, 可等效为 $GF(2^8)$ 上的矩阵乘法;
  • 逆列混合: 与 $a^{-1}(x)=0x0B{x}^3+0x0D{x}^2+0x09x+0x0E$ 相乘; 可等效为 $GF(2^8)$ 上的矩阵乘法.
• 安全问题: 主流数据加密标准; 无弱密钥, 128bit 密钥空间可达 $2^{128}$; 主要威胁是侧信道攻击(能量侧信道, 电磁侧信道, 故障注入).

SM4

• 国密, ISO/IEC 国际标准; 128bit 密钥 32 轮非平衡 Feistel 网络(滑动窗口).
• 密钥更新: $S$盒置换 $\to$ $L$ 线性变换.
  初始密钥 $(M{K}_0,M{K}_1,M{K}_2,M{K}_3)$, $K_i=M{K}_i\oplus F{K}_i$ ,$r{k}_i=K_{i+4}=K_i\oplus T(K_{i+1}\oplus K_{i+2}\oplus K_{i+3}\oplus C{K}_i)$;
  $F{K}_i$ 为系统参数, $C{K}_i$ 为固定参数, $T(B)=L(S(B_0)|S(B_1)|S(B_2)|S(B_3))$.
  非线性S盒置换输入字节 $b_1{b}_2{b}_3{b}_4{b}_5{b}_6{b}_7{b}_8$, 输出字节 $s_{b_1{b}_2{b}_3{b}_4,b_5{b}_6{b}_7{b}_8}$;
  对字进行线性变换 $L(B)=B\oplus (B<<<13)\oplus (B<<<23)$.
• 轮函数: 轮密钥加 $\to$ $S$盒置换 $\to$ $L^{\prime }$ 线性变换.
  $X_{i+4}=X_i\oplus T^{\prime }(X_{i+1}\oplus X_{i+2}\oplus X_{i+3}\oplus r{K}_i)$;
  $T^{\prime }(B)=L^{\prime }(S(B_0)|S(B_1)|S(B_2)|S(B_3))$;
  对字节进行非线性的S盒置换;
  对字进行线性变换 $L^{\prime }(B)=B\oplus (B<<<2)\oplus (B<<<10)\oplus (B<<<18)\oplus (B<<<24)$.
• 反序输出: 输入 $(X_1,X_2,X_3,X_4)$, 输出 $(Y_1,Y_2,Y_3,Y_4)=(X_{35},X_{34},X_{33},X_{32})$.
• 安全问题: 抗差分分析和线性分析; 主要威胁是侧信道攻击(故障注入).

PRESENT

• CHES会议: 80/128bit 密钥 31 轮 S-P网络.
  超级轻量级, 适用于资源受限环境.
• 密钥更新:
  初始密钥 $k_{79}{k}_{78}...k_0$.
  循环左移 61bit; 高 4bit S盒置换;
  轮数加 $k_{19}{k}_{18}{k}_{17}{k}_{16}{k}_{15}\leftarrow k_{19}{k}_{18}{k}_{17}{k}_{16}{k}_{15}\oplus \mathrm{round}$;
  取高 64bit $k_{79}{k}_{78}...k_{16}$ 为子密钥.
• 轮函数: 轮密钥加 $\to$ $S$ 盒置换 $\to$ $P$ 置换.
  S盒输入 4bit $b_1{b}_2{b}_3{b}_4$, 输出4bit $s_{b_1{b}_2{b}_3{b}_4}$;
  P置换对 64bit 重新排列.

公钥密码

• 对称加密问题
  • 密钥管理困难: $n$ 个实体的网络需要 $\frac{(n-1)n}{2}$ 个密钥及同等数量的保密信道.
  • 难以解决签名和认证问题: 接收方可以伪造原文; 发送方可以否认行为.
• 非对称加密基本条件
  • 安全: $k_e\ne k_d$ 且由 $k_e$ 不能得到 $k_d$;
  • 保密: $D(E(m))=m$;
  • $E$ 和 $D$ 高效;
  • 保真: $E(D(m))=m$.
    单向陷门函数: $y=f(x)$ 满足: (1)给定 $x$, 计算 $y$ 很容易; (2)给定$y$, 不掌握陷门, 计算 $x=f^{-1}(y)$ 很困难; (3)给定$y$, 掌握陷门, 计算 $x{f}^{-1}(y)$ 很容易.
• 数学难题
  • 大合数分解难题: 大素数乘积容易 $p\times q=n$, 大合数分解困难 $n=p\times q$.
    
  • 离散对数难题(DLP): 有限域 $GF(p)$ 上生成元幂乘容易 $a^b=c$, 求对数困难 ${\log }_{a}c=b$.
    
  • 椭圆曲线离散对数难题(ECDLP): 椭圆曲线群 $E_p(a,b)$ 中基点倍乘容易 $dP=Q$, 求倍数困难 $d=\frac{Q}{P}$.
  • 误差还原难题(LWE): 有限域 $GF(p)$ 上矩阵乘法加误差容易 $v=As+e$, 解带噪音的线性方程组困难 $s=A^{-1}(v-e)$.
• 工作方式
  • 发送方 $A$: 先用发送方私钥 $k_{Ad}$ 签名 $s=D(m,k_{Ad})$, 再用接收方公钥 $k_{Be}$ 加密 $c=E(s,k_{Be})$.
  • 接收方 $B$: 先用接收方私钥 $k_{Bd}$ 解密 $s=E(c,k_{Bd})$, 再用发送方公钥 $k_{Ae}$ 验证 $m=D(s,k_{Ae})$.
  • 机密性: 公钥加密, 私钥解密.
  • 真实性: 私钥签名, 公钥验证.

RSA

• RSA: 素数$p,q$, $n=pq$, $\gcd (e,\phi (n))=1$, $\phi (n)=(p-1)(q-1)$.
  • 公钥 $(e,n)$, 加密 $c=E_{e,n}(m)\equiv m^e(\mathrm{mod}n)$.
  • 私钥$d\equiv e^{-1}(\mathrm{mod}\phi (n))$, 解密 $m=D_{d,n}(m)\equiv m^d(\mathrm{mod}n)$.
• RSA参数选取
  $p,q$ 足够大, 一般场景使 $n$ 达到1024bit, 重要场景2048bit.
  $p,q$ 为强素数, $p-1,p+1,q-1,q+1$ 中均无除 $2$ 外的小因子.
  $p,q$ 位数不能相差过大或过小.
  私钥 $d\ne e$.
  $\gcd (p-1,q-1)$ 尽可能小, 最好为2; 以避免密文迭代攻击.
  $e$ 应保证 $m^e\ll n$; 有人建议为素数 $2^{16}+1=65537$, 二进制表示中仅含两位 $1$, 加密速度较快.
  $d$ 应较小以保证解密速度, 但确保$d\ll \frac{n}{4}$.
  多个用户不得共用同一个模 $n$; 以避免共模攻击.
• RSA算法
  • 大素数验证: Miller-Rabin测试.
  • 加密优化算法: 快速模幂, Montgomery.
  • 解密优化算法: CRT, 快速模幂, Montgomery.

ElGamal型

• D-H协议: 大素数 $p$ 和模 $p$ 原根 $g$, 任选 $2\le x,y\le p-2$.
  • 公钥 $(p,g)$, 私钥 $x,y$.
  • 握手: $k_{X\to Y}\equiv g^x(\mathrm{mod}p)$, $k_{Y\to X}\equiv g^y(\mathrm{mod}p)$.
  • 密钥: $k\equiv k_{Y\to X}^x\equiv k_{X\to Y}^y\equiv g^{xy}(\mathrm{mod}p)$.
• ECDH: 椭圆曲线群 $E_p$, $G\in E_p$, $|G|=q$ 为大素数, 任选 $2\le a,b\le q-2$.
  • 公钥 $(p,G)$, 私钥 $x,y$.
  • 握手: $k_{A\to B}=aG$, $k_{B\to A}=bG$.
  • 密钥: $k=a{k}_{B\to A}=b{k}_{A\to B}=(ab)G$.
• ElGamal: 大素数 $p$ 和模 $p$ 原根 $g$, 任选 $2\le a\le p-2$, $Y_a\equiv g^a(\mathrm{mod}p)$.
  • 公钥 $(p,g,Y_a)$, 加密 $u\equiv g^k(\mathrm{mod}p)$, $v\equiv m{Y}_a^k(\mathrm{mod}p)$, $c=E_{p,g,Y_a,k}(m)=(u,v)$, 任选 $2\le k\le p-2$, $k\ne a$.
  • 私钥 $a$, 解密 $m\equiv D_a(c)\equiv \frac{v}{u^a}(\mathrm{mod}p)$.
  • 参数选取: $p$ 足够大, 一般场景512bit, 重要场景1024bit.
• ECEG: 椭圆曲线群 $E_p$, $G\in E_p$, $|G|=q$ 为大素数, 任选 $2\le d\le q-2$, $P=dG$.
  • 公钥 $(P,G,E,q)$, 加密 $C_1=rG$, $C_2=M+rP$, $$\begin{gathered} c=E_{E_p,P,G,r}(M)= \\ {C}_1,C_2 \end{gathered}$$, 任选 $2\le r\le q-2$, $r\ne d$.
  • 私钥 $d$, 解密 $M=D_{E_p,d}(C)=C_2-d{C}_1$.
  • 参数选取: $p$ 足够大, 一般为160bit; 余因子 $h=\frac{|E_p|}{|G|}\le 4$; 避免选用超奇异和反常椭圆曲线.

SM2

• 本质为ECEG.
• 初始化: 椭圆曲线群 $E_p$, $G\in E_p$, $|G|=q$ 为大素数, 任选 $2\le d\le q-2$, $P=dG$, $h=\frac{|E_p|}{|G|}\le 4$.
  避免选取非超奇异和反常椭圆曲线, $p$ 达到 160bit, $h\le 4$, $S=hP\ne O$.
  公钥 $(P,G,E,q)$, 私钥 $d$.
• 加密: 生成 $2\le r\le q-1$, $r\ne d$.
  $(x_1,y_1)=rG$, $(x_2,y_2)=rP$, $t=k(x_2|y_2)$.
  密钥派生函数 $k$: 32bit计数器 $\mathrm{ct}=0x01$, 得到 $\lfloor \frac{\mathrm{len}}{v}\rfloor$ 个hash值 $h=H(x_2|y_2|\mathrm{ct})$, 并截断为 $\mathrm{len}$; 其中 $\mathrm{len}$ 为 $m$ 长度, $v$ 为hash值长度, 一般采用SM3.
  $C_1=x_1|y_1$, $C_2=m\oplus t$, $C_3=h(x_2|m|y_2)$, $c=C_1|C_2|C_3$
• 解密: $(x_2,y_2)=d{C}_1$, $t=k(x_2|y_2)$, $m=C_2\oplus t$.
  $u=H(x_2|m|y_2)$, 验证 $u=C_3$.

Hash函数

• Hash/杂凑/散列: 将任意长度消息变为固定长度的信息摘要/数字指纹/Hash值/杂凑值/散列值, 记 $h=H(m)$.
• Hash函数性质
  • 单向性(抗原像攻击): 给定 $h$, 找到 $m^{\prime }$ 有 $h(m^{\prime })=h$ 在计算上不可行.
  • 抗弱碰撞性(抗第二原像攻击): 给定 $m$, 找到另一 $m^{\prime }$ 有 $H(m)=H(m^{\prime })$ 在计算上不可行.
  • 抗强碰撞性: 找到一对 $(m,m^{\prime })$ 有 $H(m)=H(m^{\prime })$ 在计算上不可行.
  • 随机性: 输出具有伪随机性.
  • 有效性: 运算高效.
  • 错误检测: 输入发生很小变化都会使得输出很大不同.
• 应用: 完整性保护; 消息认证码(MAC); 辅助公钥加密, 数字签名, 密钥交换.
• 消息填充: 加密分组为 $l$ bit, 最后 $m$ bit 小端序/大端序存放消息长度, 原消息填充 1bit “1” 和 $s$bit “0”, 有 $l|1+s+m$.
  SHA-1/SM3: $m+1+s\equiv 448(\mathrm{mod}512)$.
• 迭代型结构(Merkle-Damgard): 每轮 $l$ bit和上一轮输出一同加密得到下一轮输出.
  SHA-1/SM3: 每 512bit 为一组; $C{V}_0=IV$, $C{V}_i=f(C{V}_{i-1},M_{i-1})$, $i=1,2,...,n$, $H(M)=C{V}_n$.

HMAC

• MAC(Message Authentication Code, 消息认证码/密码校验和): 验证消息真实性.
  共享密钥 $k$, 发送方发送 $(\mathrm{MAC}=C_k(m),m)$, 接收方比较 $C_k(m^{\prime })={\mathrm{MAC}}^{\prime }$.
• HMAC: 基于Hash函数的MAC.
  ${\mathrm{HMAC}}_k=H[(k^{+}\oplus \mathrm{opad})||H[(k^{+}\oplus \mathrm{ipad})||M]]$.
  Hash分组大小为 $l$ bit$:k^{+}$ 为左侧填充0至 $l$ bit; $\mathrm{opad}$ 为 $(01011010{)}_2$ 循环填充到 $l$ bit; $\mathrm{ipad}$ 为 $(00110110{)}_2$ 循环填充到 $l$ bit.

数字签名

• 数字签名: 验证消息真实性和身份合法性.
  特点: 签名与文件绑定; 不可抵赖性; 不可伪造性; 第三方可验证性.
  发送方签名 $\delta =\mathrm{sgn}(m,k_d)$, 接收方比较 $\mathrm{vrf}(m^{\prime },k_e)={\delta }^{\prime }$.

RSA

• RSA: 素数$p,q$, $n=pq$, $\gcd (e,\phi (n))=1$, $\phi (n)=(p-1)(q-1)$.
  • 私钥 $d\equiv e^{-1}(\mathrm{mod}\phi (n))$, 签名 $\delta =\mathrm{sgn}(m,d)\equiv m^d(\mathrm{mod}n)$.
  • 公钥 $e$, 验证 $m^{\prime }=\mathrm{vrf}(m^{\prime },e)\equiv {\delta }^e(\mathrm{mod}n)$.
• 安全问题
  • 共模伪造: ${\delta }_1\equiv m_1^d(\mathrm{mod}n)$, ${\delta }_2\equiv m_2^d(\mathrm{mod}n)$, 可得 ${\delta }_1{\delta }_2\equiv (m_1{m}_2{)}^d(\mathrm{mod}n)$.
  • 中间人攻击: 加密信息 $c\equiv m^e(\mathrm{mod}n)$, 伪造信息 $c^{\prime }\equiv r^e{m}^e(\mathrm{mod}n)$, 签名 $(c^{\prime }{)}^d\equiv rm(\mathrm{mod}n)$, 造成 $m$ 泄漏.
  • 一般不对消息直接签名, 而对消息的hash值签名; 加密密钥对和签名密钥对分离; 先签名再加密.

ElGamal型

• ElGamal: 大素数 $p$, 有循环群 $F_p^{\ast }=⟨g⟩$.
  • 私钥 $2\le x\le p-2$, 签名 $(m,\delta =(r,s))$, 其中 $r\equiv g^k(\mathrm{mod}p)$, $s\equiv k^{-1}(m-rx)(\mathrm{mod}p-1)$, 选取 $2\le k\le p-2$ 且 $\gcd (k,p-1)=1$.
  • 公钥 $y\equiv g^x(\mathrm{mod}p)$, 验证 $g^m\equiv r^s{y}^r(\mathrm{mod}p)$.
• 安全问题
  $k$ 一次性, 否则联立 ${\delta }_1\equiv k^{-1}(m_1-rx)(\mathrm{mod}p-1)$ 和 ${\delta }_1\equiv k^{-1}(m_2-rx)(\mathrm{mod}p-1)$, 造成私钥 $x$ 泄漏.
• DSA: 大素数 $p$ 且大素因子 $q|p-1$, $q$ 至少160bit, 生成元 $g\equiv h^{\frac{p-1}{q}}(\mathrm{mod}p)>1$, 即 $|g|=q$.
  • 私钥 $2\le x\le p-2$, 签名 $(m,\delta =(r,s))$, 其中 $r\equiv (g^k(\mathrm{mod}p))(\mathrm{mod}q)$, $s=k^{-1}(H(m)+rx)(\mathrm{mod}q)$, 选取 $2\le k\le q-2$.
  • 公钥 $y=g^x(\mathrm{mod}p)$, 验证 $r\equiv g^u{y}^v(\mathrm{mod}q)$, 其中 $u\equiv H(m)s^{-1}(\mathrm{mod}q)$, $v\equiv r{s}^{-1}(\mathrm{mod}q)$.
• ECDSA: 椭圆曲线群 $E_p(a,b)$, 基点 $|G|=n$, 余因子 $h=\frac{|E_p|}{p}$.
  • 私钥 $2\le d\le n-2$, 签名 $(m,\delta =(r,s))$, 其中 $kG=(x_1,y_1)$, $r\equiv x_1(\mathrm{mod}n)$, $s\equiv k^{-1}(H(m)+rd)(\mathrm{mod}n)$, 选取 $2\le k\le n-2$.
  • 公钥 $P=dG$, 验证 $r\equiv x_2(\mathrm{mod}n)$, 其中 $u\equiv H(m)s^{-1}(\mathrm{mod}n)$, $v\equiv r{s}^{-1}(\mathrm{mod}n)$, $uG+vP=(x_2,y_2)$.

SM2

• 在SM2加密算法的基础上, 本质为ECEG.
• 初始化: 椭圆曲线群 $E_p$, $G\in E_p$, $|G|=q$ 为大素数, 任选 $2\le d\le q-2$, $P=dG$, $h=\frac{|E_p|}{|G|}\le 4$.
  避免超奇异和反常椭圆曲线, $p$ 达到 160bit, $h\le 4$, $S=hP\ne O$.
  公钥 $(P,G,E,q)$, 私钥 $d$.
• 签名: $(m,\delta =(r,s))$, 其中 $kG=(x_1,y_1)$, $r\equiv H(Z|M)+x_1(\mathrm{mod}q)$ 且 $r\ne 0$ 及 $r+k\ne q$, $s\equiv (1+d{)}^{-1}(k-rd)(\mathrm{mod}q)$ 且 $s\ne 0$, 选取 $2\le k\le q-2$.
• 验证: $r+s\not\equiv 0(\mathrm{mod}q)$ 且 $r\equiv x_2(\mathrm{mod}q)$, 其中 $sG+(r+s)P=(x_2,y_2)$.

身份认证

• 口令
  • 安全问题: 弱口令易被暴力破解和字典攻击; 口令明文传输和明文保存易导致泄漏.
  • 解决办法: 口令加盐Hash存储; 通过TSL传输.
• 挑战-应答
  • 实现方案: 数字签名.
  • 安全问题: 依赖于密钥管理; 需确保用户公钥的真实性和完整性以避免中间人攻击.
• ZKP(零知识证明): 使验证者(V)确信证明者§能够证明某一信息, 但无法获得其他任何信息.
• 基于DLP的认证协议: P向V证明知道私钥 $x$, 而不泄露 $x$; $p$ 为大素数, 公钥 $y\equiv g^x(\mathrm{mod}p)$.
  • 承诺: P随机选取 $2\le k\le p-2$ 并发送 $r\equiv g^k(\mathrm{mod}p)$.
  • 挑战: V随机发送 b∈{0,1}b\in\{0,1\}b∈{0,1}.
  • 应答: P发送 $\mathrm{sgn}\equiv k+bx(\mathrm{mod}p-1)$.
  • 验证: V验证 $g^s\equiv r{y}^b(\mathrm{mod}p)$.
  • 重复 $t$ 次, P欺骗成功概率为 $\frac{1}{2^t}$.
• Schnorr协议: P向V证明知道私钥 $x$, 而不泄露 $x$; $p$ 为大素数, 大素数 $q|p-q$, $g$ 为模 $q$ 原根, 公钥 $y\equiv g^x(\mathrm{mod}p)$.
  • 承诺: P随机选取 $2\le k\le q-2$ 并发送 $r\equiv g^k(\mathrm{mod}p)$.
  • 挑战: V随机发送 $1\le e\le 2^t<q$.
  • 应答: P发送 $s\equiv k-ex(\mathrm{mod}q)$.
  • 验证: V验证 $r\equiv g^s{y}^e(\mathrm{mod}p)$.
  • 无需重复, P欺骗成功概率为 $\frac{1}{2^t}$.

密钥管理

• 密钥管理原则
  • 区分密钥管理的策略和机制
  • 全程安全原则
  • 最小权利原则
  • 责任分离原则: 加密密钥不能用于签名
  • 密钥分级原则: 高级密钥保护低级密钥
  • 密钥按时更换原则
  • 密钥满足特定安全性指标: 密钥长度足够; 避免弱密钥
• 密钥分级
  • 初级密钥: 具体业务中直接使用.
  • 中级(二级)密钥: 保护初级密钥, 生存周期较长.
  • 高级(主)密钥:保护中级密钥, 应由硬件产生.
• 公钥数字证书管理
  • 产生原因: 公钥密码体制中(加密或签名)公钥可以公开, 但完整性和真实性必须严格保护.
  • 公钥数字证书(ITU 国际电信联盟 X.509 v3): 主体身份信息, 主体公钥, CA(可信签证机构)信息, CA签名, 有效期.
  • PKI(公钥基础设施): 签发证书机构(CA), 注册登记证书机构(RA), 管理服务(存储和发布证书目录, 密钥管理, 时间戳), 证书管理及应用的法律法规.

密码学新方向

侧信道攻击

• 类别: 时间侧信道, 电磁侧信道, 能量侧信道(DPA, CPA, SPA), 光学侧信道, 声学侧信道.
• 时间侧信道攻击: Kocher发现并提出, 开启侧信道分析时代.
  • 选择明文攻击; 利用不同明文的加密运算时间不同猜测密钥.
  • 假设: $T_{m\to \infty }\sim N(\mu ,{\sigma }^2)$, $T_1,T_2,...,T_N$ 相互独立, 统计量 $t_1,...,t_M$ 相互独立; 样本方差即为总体方差.
  • 指标: 方差 $var(x)=E([(X-E(X){]}^2)={\sigma }^2$; 信息熵 $H(x)=-{\int }_{-\infty }^{+\infty }p(x)\ln (p(x))dx=\frac{1}{2}\ln (2\pi e{\sigma }^2)$; 越小说明猜测越准确.
• RSA防御时间测信道攻击
  • 增加随机延迟.
  • 盲处理明文再加密.
  • 快速模幂算法分支平衡化: 增加空操作; 蒙哥马利乘法.
  • 蒙哥马利模乘.

同态加密

• 同态加密应用
  • 安全向量内积: A,B 各有一向量, 均希望计算两向量内积而不发送彼此信息.
  • 安全数据库: 云端存放并计算数据, 但不希望数据暴露给云端.
  • 安全聚合: 联邦学习场景, 仅在参与方较多时才能起到保护作用.