密码学
密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。电报最早是由美国的摩尔斯在1844年发明的,故也被叫做摩尔斯电码。它由两种基本信号和不同的间隔时间组成:短促的点信号".",读"的"(Di);保持一定时间的长信号"—",读"答"(Da)。间隔时间:滴,1t;答,3t;滴答间,1t;字母间,3t;字间,5t。
1、基本简介
密码学
密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。
2、发展历程
密码学(在西欧语文中,源于希腊语kryptós“隐藏的”,和gráphein“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者RonRivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。
密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。
密码学是在编码与破译的斗争实践中逐步发展起来的,并随着先进科学技术的应用,已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果,特别是各国*现用的密码编制及破译手段都具有高度的机密性。
进行明密变换的法则,称为密码的*。指示这种变换的参数,称为密钥。它们是密码编制的重要组成部分。密码*的基本类型可以分为四种:错乱--按照规定的图形和线路,改变明文字母或数码等的位置成为密文;代替--用一个或多个代替表将明文字母或数码等代替为密文;密本--用预先编定的字母或数字密码组,代替一定的词组单词等变明文为密文;加乱--用有限元素组成的一串序列作为乱数,按规定的算法,同明文序列相结合变成密文。以上四种密码*,既可单独使用,也可混合使用,以编制出各种复杂度很高的实用密码。
20世纪70年代以来,一些学者提出了公开密钥*,即运用单向函数的数学原理,以实现加、脱密密钥的分离。加密密钥是公开的,脱密密钥是保密的。这种新的密码*,引起了密码学界的广泛注意和探讨。
利用文字和密码的规律,在一定条件下,采取各种技术手段,通过对截取密文的分析,以求得明文,还原密码编制,即破译密码。破译不同强度的密码,对条件的要求也不相同,甚至很不相同。
其实在公元前,秘密书信已用于战争之中。西洋“史学之父”希罗多德(Herodotus)的《历史》(TheHistories)当中记载了一些最早的秘密书信故事。公元前5世纪,希腊城邦为对抗奴役和侵略,与波斯发生多次冲突和战争。于公元前480年,波斯秘密结了强大的军队,准备对雅典(Athens)和斯巴达(Sparta)发动一次突袭。希腊人狄马拉图斯(Demaratus)在波斯的苏萨城(Susa)里看到了这次集结,便利用了一层蜡把木板上的字遮盖住,送往并告知了希腊人波斯的图谋。最后,波斯海军覆没于雅典附近的沙拉米斯湾(SalamisBay)。
由于古时多数人并不识字,最早的秘密书写的形式只用到纸笔或等同物品,随着识字率提高,就开始需要真正的密码学了。最古典的两个加密技巧是:
置换(Transpositioncipher):将字母顺序重新排列,例如‘helpme’变成‘ehplem’。
替代(substitutioncipher):有系统地将一组字母换成其他字母或符号,例如‘flyatonce’变成‘gmzbupodf’(每个字母用下一个字母取代)。
3、理论基础
密码学
一个密码通信系统可如图3所示。
对于给定的明文m和密钥k,加密变换Ek将明文变为密文c=f(m,k)=Ek(m),在接收端,利用脱密密钥k,(有时k=k,)完成脱密操作,将密文c恢复成原来的明文m=Dk,(c)。一个安全的密码*应该满足:
①非法截收者很难从密文C中推断出明文m;
②加密和脱密算法应该相当简便,而且适用于所有密钥空间;
③密码的保密强度只依赖于密钥;
④合法接收者能够检验和证实消息的完整性和真实性;
⑤消息的发送者无法否认其所发出的消息,同时也不能伪造别人的合法消息;
⑥必要时可由仲裁机构进行公断。
现代密码学所涉及的学科包括:信息论、概率论、数论、计算复杂性理论、近世代数、离散数学、代数几何学和数字逻辑等。
4、专业术语
密钥:分为加密密钥和解密密钥。
明文:没有进行加密,能够直接代表原文含义的信息。
密文:经过加密处理处理之后,隐藏原文含义的信息。
加密:将明文转换成密文的实施过程。
解密:将密文转换成明文的实施过程。
密码算法:密码系统采用的加密方法和解密方法,随着基于数学密码技术的发展,加密方法一般称为加密算法,解密方法一般称为解密算法。
直到现代以前,密码学几乎专指加密(encryption)算法:将普通信息(明文,plaintext)转换成难以理解的资料(密文,ciphertext)的过程;解密(decryption)算法则是其相反的过程:由密文转换回明文;加解密包含了这两种算法,一般加密即同时指称加密(encrypt或encipher)与解密(decrypt或decipher)的技术。
加解密的具体运作由两部分决定:一个是算法,另一个是密钥。密钥是一个用于加解密算法的秘密参数,通常只有通讯者拥有。历史上,密钥通常未经认证或完整性测试而被直接使用在密码机上。
密码协议(cryptographicprotocol)是使用密码技术的通信协议(communicationprotocol)。近代密码学者多认为除了传统上的加解密算法,密码协议也一样重要,两者为密码学研究的两大课题。在英文中,cryptography和cryptology都可代表密码学,前者又称密码术。但更严谨地说,前者(cryptography)指密码技术的使用,而后者(cryptology)指研究密码的学科,包含密码术与密码分析。密码分析(cryptanalysis)是研究如何破解密码学的学科。但在实际使用中,通常都称密码学(英文通常称cryptography),而不具体区分其含义。
口语上,编码(code)常意指加密或隐藏信息的各种方法。然而,在密码学中,编码有更特定的意义:它意指以码字(codeword)取代特定的明文。例如,以‘苹果派’(applepie)替换‘拂晓攻击’(attackatdawn)。编码已经不再被使用在严谨的密码学,它在信息论或通讯原理上有更明确的意义。
在汉语口语中,电脑系统或网络使用的个人帐户口令(pAssword)也常被以密码代称,虽然口令亦属密码学研究的范围,但学术上口令与密码学中所称的钥匙(key)并不相同,即使两者间常有密切的关连。
5、学科经历
密码学
由于古时多数人并不识字,最早的秘密书写的形式只用到纸笔或等同物品,随着识字率提高,就开始需要真正的密码学了。最古典的两个加密技巧是:
置换(Transpositioncipher):将字母顺序重新排列,例如‘helpme’变成‘ehplem’。
替代(substitutioncipher):有系统地将一组字母换成其他字母或符号,例如‘flyatonce’变成‘gmzbupodf’(每个字母用下一个字母取代)。
6、编写方法
移位式
移位式(Transpositioncipher):将字母顺序重新排列,例如‘helpme’变成‘ehplem’;与替代式(substitutioncipher):有系统地将一组字母换成其他字母或符号,例如‘flyatonce’变成‘gmzbupodf’(每个字母用下一个字母取代)。这两种单纯的方式都不足以提供足够的机密性。凯撒密码是最经典的替代法,据传由古罗马帝国的皇帝凯撒所发明,用在与远方将领的通讯上,每个字母被往后位移三格字母所取代。
加密
加密旨在确保通讯的秘密性,例如间谍、军事将领、外交人员间的通讯,同时也有宗教上的应用。举例来说,早期基督徒使用密码学模糊他们写作的部份观点以避免遭受迫害。666或部分更早期的手稿上的616是新约基督经启示录所指的野兽的数字,常用来暗指专迫害基督徒的古罗马皇帝尼禄(Nero)。史上也有部份希伯来文密码的记载。古印度欲经中也提及爱侣可利用密码来通信。隐写术也出现在古代,希罗多德记载将信息刺青在奴隶的头皮上,较近代的隐写术使用隐形墨水、缩影术(microdots)或数字水印来隐藏信息。
宋曾公亮、丁度等编撰《武经总要》“字验”记载,北宋前期,在作战中曾用一首五言律诗的40个汉字,分别代表40种情况或要求,这种方式已具有了密本*的特点。
1871年,由上海大北水线电报公司选用6899个汉字,代以四码数字,成为中国最初的商用明码本,同时也设计了由明码本改编为密本及进行加乱的方法。在此基础上,逐步发展为各种比较复杂的密码。
在欧洲,公元前405年,斯巴达的将领来山得使用了原始的错乱密码;公元前一世纪,古罗马皇帝凯撒曾使用有序的单表代替密码;之后逐步发展为密本、多表代替及加乱等各种密码*。
二十世纪初,产生了最初的可以实用的机械式和电动式密码机,同时出现了商业密码机公司和市场。60年代后,电子密码机得到较快的发展和广泛的应用,使密码的发展进入了一个新的阶段。
7、密码破译
密码破译是随着密码的使用而逐步产生和发展的。1412年,波斯人卡勒卡尚迪所编的百科全书中载有破译简单代替密码的方法。到16世纪末期,欧洲一些国家设有专职的破译人员,以破译截获的密信。密码破译技术有了相当的发展。1863年普鲁士人卡西斯基所著《密码和破译技术》,以及1883年法国人克尔克霍夫所著《军事密码学》等著作,都对密码学的理论和方法做过一些论述和探讨。1949年美国人香农发表了《秘密*的通信理论》一文,应用信息论的原理分析了密码学中的一些基本问题。
自19世纪以来,由于电报特别是无线电报的广泛使用,为密码通信和第三者的截收都提供了极为有利的条件。通信保密和侦收破译形成了一条斗争十分激烈的隐蔽战线。
1917年,英国破译了德国外长齐默尔曼的电报,促成了美国对德宣战。1942年,美国从破译日本海军密报中,获悉日军对中途岛地区的作战意图和兵力部署,从而能以劣势兵力击破日本海军的主力,扭转了太平洋地区的战局。在保卫英伦三岛和其他许多著名的历史事件中,密码破译的成功都起到了极其重要的作用,这些事例也从反面说明了密码保密的重要地位和意义。
当今世界各主要国家的*都十分重视密码工作,有的设立庞大机构,拨出巨额经费,集中数以万计的专家和科技人员,投入大量高速的电子计算机和其他先进设备进行工作。与此同时,各民间企业和学术界也对密码日益重视,不少数学家、计算机学家和其他有关学科的专家也投身于密码学的研究行列,更加速了密码学的发展。
在密码已经成为单独的学科,从传统意义上来说,密码学是研究如何把信息转换成一种隐蔽的方式并阻止其他人得到它。
密码学是一门跨学科科目,从很多领域衍生而来:它可以被看做是信息理论,却使用了大量的数学领域的工具,众所周知的如数论和有限数学。
原始的信息,也就是需要被密码保护的信息,被称为明文。加密是把原始信息转换成不可读形式,也就是密码的过程。解密是加密的逆过程,从加密过的信息中得到原始信息。cipher是加密和解密时使用的算法。
最早的隐写术只需纸笔,加密法,将字母的顺序重新排列;替换加密法,将一组字母换成其他字母或符号。经典加密法的资讯易受统计的攻破,资料越多,破解就更容易,使用分析频率就是好办法。经典密码学仍未消失,经常出现在智力游戏之中。在二十世纪早期,包括转轮机在内的一些机械设备被发明出来用于加密,其中最著名的是用于第二次世界大战的密码机Enigma。这些机器产生的密码相当大地增加了密码分析的难度。比如针对Enigma各种各样的攻击,在付出了相当大的努力后才得以成功。
8、基本功能
密码学
(I)机密性(confidentiality)
仅有发送方和指定的接收方能够理解传输的报文内容。窃听者可以截取到加密了的报文,但不能还原出原来的信息,即不能得到报文内容。
(II)鉴别(authentication)
发送方和接收方都应该能证实通信过程所涉及的另一方,通信的另一方确实具有他们所声称的身份。即第三者不能冒充跟你通信的对方,能对对方的身份进行鉴别。
(III)报文完整性(messageintergrity)
即使发送方和接收方可以互相鉴别对方,但他们还需要确保其通信的内容在传输过程中未被改变。
(IV)不可否认性(non-repudiation)
如果人们收到通信对方的报文后,还要证实报文确实来自所宣称的发送方,发送方也不能在发送报文以后否认自己发送过报文。
9、学科分类
传统学科
Autokey密码
置换密码
二字母组代替密码(byCharlesWheatstone)
多字母替换密码
希尔密码
维吉尼亚密码
替换式密码
凯撒密码
摩尔斯电码
ROT13
仿射密码
Atbash密码
换位密码
Scytale
Grille密码
VIC密码(一种复杂的手工密码,在五十年代早期被至少一名苏联间谍使用过,在当时是十分安全的)
流密码
LFSR流密码
EIGamal密码
RSA密码
对传统密码学的攻击
频率分析
重合指数
经典密码学
在近代以前,密码学只考虑到信息的机密性(confidentiality):如何将可理解的信息转换成难以理解的信息,并且使得有秘密信息的人能够逆向回复,但缺乏秘密信息的拦截者或窃听者则无法解读。近数十年来,这个领域已经扩展到涵盖身分认证(或称鉴权)、信息完整性检查、数字签名、互动证明、安全多方计算等各类技术。
古中国周朝兵书《六韬.龙韬》也记载了密码学的运用,其中的《阴符》和《阴书》便记载了周武王问姜子牙关于征战时与主将通讯的方式:
太公曰:“主与将,有阴符,凡八等。有大胜克敌之符,长一尺。破军擒将之符,长九寸。降城得邑之符,长八寸。却敌报远之符,长七寸。警众坚守之符,长六寸。请粮益兵之符,长五寸。败军亡将之符,长四寸。失利亡士之符,长三寸。诸奉使行符,稽留,若符事闻,泄告者,皆诛之。八符者,主将秘闻,所以阴通言语,不泄中外相知之术。敌虽圣智,莫之能识。”
武王问太公曰:“…符不能明;相去辽远,言语不通。为之奈何?”
太公曰:“诸有阴事大虑,当用书,不用符。主以书遗将,将以书问主。书皆一合而再离,三发而一知。再离者,分书为三部。三发而一知者,言三人,人操一分,相参而不相知情也。此谓阴书。敌虽圣智,莫之能识。”
阴符是以八等长度的符来表达不同的消息和指令,可算是密码学中的替代法(en:substitution),把信息转变成敌人看不懂的符号。至于阴书则运用了移位法,把书一分为三,分三人传递,要把三份书重新拼合才能获得还原的信息。
除了应用于军事外,公元四世纪婆罗门学者伐蹉衍那(en:Vatsyayana)所书的《欲经》4中曾提及到用代替法加密信息。书中第45项是秘密书信(en:mlecchita-vikalpa),用以帮助妇女隐瞒她们与爱郞之间的关系。其中一种方法是把字母随意配对互换,如套用在罗马字母中,可有得出下表:
ABCDEFGHIJKLM
ZYXWVUTSRQPON
由经典加密法产生的密码文很容易泄漏关于明文的统计信息,以现代观点其实很容易被破解。阿拉伯人津帝(en:al-Kindi)便提及到如果要破解加密信息,可在一篇至少一页长的文章中数算出每个字母出现的频率,在加密信件中也数算出每个符号的频率,然后互相对换,这是频率分析的前身,此后几乎所有此类的密码都马上被破解。但经典密码学仍未消失,经常出现在谜语之中(见en:cryptogram)。这种分析法除了被用在破解密码法外,也常用于考古学上。在破解古埃及象形文字(en:Hieroglyphs)时便运用了这种解密法。
现代学科
标准机构
theFederalInformationProcessingStandardsPublicationprogram(runbyNISTtoproducestandardsinmanyareastoguideoperationsoftheUSFederalgovernment;manyFIPSPubsarecryptographyrelated,ongoing)
theANSIstandardizationprocess(producesmanystandardsinmanyareas;somearecryptographyrelated,ongoing)
ISOstandardizationprocess(producesmanystandardsinmanyareas;somearecryptographyrelated,ongoing)
IEEEstandardizationprocess(producesmanystandardsinmanyareas;somearecryptographyrelated,ongoing)
IETFstandardizationprocess(producesmanystandards(calledRFCs)inmanyareas;somearecryptographyrelated,ongoing)
SeeCryptographystandards
加密组织
NSAinternalevaluation/selections(surelyextensive,nothingispubliclyknownoftheprocessoritsresultsforinternaluse;NSAischargedwithAssistingNISTinitscryptographicresponsibilities)
GCHQinternalevaluation/selections(surelyextensive,nothingispubliclyknownoftheprocessoritsresultsforGCHQuse;adivisionofGCHQischargedwithdevelopingandrecommendingcryptographicstandardsfortheUKgovernment)
DSDAustralianSIGINTagency-partofECHELON
CommunicationsSecurityEstablishment(CSE)-Canadianintelligenceagency.
努力成果
theDESselection(NBSselectionprocess,ended1976)
theRIPEdivisionoftheRACEproject(sponsoredbytheEuropeanUnion,endedmid-'80s)
theAEScompetition(a'break-off'sponsoredbyNIST;ended2001)
theNESSIEProject(evaluation/selectionprogramsponsoredbytheEuropeanUnion;ended2002)
theCRYPTRECprogram(Japanesegovernmentsponsoredevaluation/recommendationproject;draftrecommendationspublished2003)
theInternetEngineeringTaskForce(technicalbodyresponsibleforInternetstandards--theRequestforCommentseries:ongoing)
theCrypToolproject(eLearningprogrammeinEnglishandGerman;freeware;exhaustiveeducationaltoolaboutcryptographyandcryptanalysis)
加密散列函数(消息摘要算法,MD算法)
加密散列函数
消息认证码
Keyed-hashmessageauthenticationcode
EMAC(NESSIEselectionMAC)
HMAC(NESSIEselectionMAC;ISO/IEC9797-1,FIPSandIETFRFC)
TTMAC也称Two-Track-MAC(NESSIEselectionMAC;K.U.Leuven(Belgium)&debisAG(Germany))
UMAC(NESSIEselectionMAC;Intel,UNevadaReno,IBM,Technion,&UCalDavis)
MD5(系列消息摘要算法之一,由MIT的RonRivest教授提出;128位摘要)
SHA-1(NSA开发的160位摘要,FIPS标准之一;第一个发行发行版本被发现有缺陷而被该版本代替;NIST/NSA已经发布了几个具有更长'摘要'长度的变种;CRYPTREC推荐(limited))
SHA-256(NESSIE系列消息摘要算法,FIPS标准之一180-2,摘要长度256位CRYPTRECrecommendation)
SHA-384(NESSIE列消息摘要算法,FIPS标准之一180-2,摘要长度384位;CRYPTRECrecommendation)
SHA-512(NESSIE列消息摘要算法,FIPS标准之一180-2,摘要长度512位;CRYPTRECrecommendation)
RIPEMD-160(在欧洲为RIPE项目开发,160位摘要;CRYPTREC推荐(limited))
Tiger(byRossAndersonetal)
Snefru
Whirlpool(NESSIEselectionhashfunction,ScopusTecnologiaS.A.(Brazil)&K.U.Leuven(Belgium))
公/私钥加密算法(也称非对称性密钥算法)
ACE-KEM(NESSIEselectionasymmetricencryptionscheme;IBMZurichResearch)
ACEEncrypt
Chor-Rivest
Diffie-Hellman(keyagreement;CRYPTREC推荐)
ElGamal(离散对数)
ECC(椭圆曲线密码算法)(离散对数变种)
PSEC-KEM(NESSIEselectionasymmetricencryptionscheme;NTT(Japan);CRYPTRECrecommendationonlyinDEMconstructionw/SEC1parameters))
ECIES(EllipticCurveIntegratedEncryptionSystem;CerticomCorp)
ECIES-KEM
ECDH(椭圆曲线Diffie-Hellman密钥协议;CRYPTREC推荐)
EPOC
Merkle-Hellman(knapsackscheme)
McEliece
NTRUEncrypt
RSA(因数分解)
RSA-KEM(NESSIEselectionasymmetricencryptionscheme;ISO/IEC18033-2draft)
RSA-OAEP(CRYPTREC推荐)
Rabincryptosystem(因数分解)
Rabin-SAEP
HIME(R)
XTR
公/私钥签名算法
DSA(zh:数字签名;zh-tw:数位签章算法)(来自NSA,zh:数字签名;zh-tw:数位签章标准(DSS)的一部分;CRYPTREC推荐)
EllipticCurveDSA(NESSIEselectiondigitalsignaturescheme;CerticomCorp);CRYPTRECrecommendationasANSIX9.62,SEC1)
Schnorrsignatures
RSA签名
RSA-PSS(NESSIEselectiondigitalsignaturescheme;RSALaboratories);CRYPTRECrecommendation)
RSASSA-PKCS1v1.5(CRYPTRECrecommendation)
Nyberg-Rueppelsignatures
MQVprotocol
Gennaro-Halevi-Rabinsignaturescheme
Cramer-Shoupsignaturescheme
One-timesignatures
Lamportsignaturescheme
Bos-Chaumsignaturescheme
Undeniablesignatures
Chaum-vanAntwerpensignaturescheme
Fail-stopsignatures
Ong-Schnorr-Shamirsignaturescheme
Birationalpermutationscheme
ESIGN
ESIGN-D
ESIGN-R
Directanonymousattestation
NTRUSign用于移动设备的公钥加密算法,密钥比较短小但也能达到高密钥ECC的加密效果
SFLASH(NESSIEselectiondigitalsignaturescheme(espforsmartcardapplicationsandsimilar);Schlumberger(France))
Quartz
秘密钥算法(也称对称性密钥算法)
流密码
A5/1,A5/2(GSM移动电话标准中指定的密码标准)
BMGL
Chameleon
FISH(bySiemensAG)
二战'Fish'密码
Geheimfernschreiber(二战时期SiemensAG的机械式一次一密密码,被布莱奇利(Bletchley)庄园称为STURGEON)
Schlusselzusatz(二战时期Lorenz的机械式一次一密密码,被布莱奇利(Bletchley)庄园称为[[tunny)
HELIX
ISAAC(作为伪随机数发生器使用)
Leviathan(cipher)
LILI-128
MUG1(CRYPTREC推荐使用)
MULTI-S01(CRYPTREC推荐使用)
一次一密(VernamandMauborgne,patentedmid-'20s;anextremestreamcypher)
Panama
Pike(improvementonFISHbyRossAnderson)
RC4(ARCFOUR)(oneofaseriesbyProfRonRivestofMIT;CRYPTREC推荐使用(limitedto128-bitkey))
CipherSaber(RC4variantwith10byterandomIV,易于实现)
SEAL
SNOW
SOBER
SOBER-t16
SOBER-t32
WAKE
分组密码
分组密码操作模式
乘积密码
Feistelcipher(由HorstFeistel提出的分组密码设计模式)
AdvancedEncryptionStandard(分组长度为128位;NISTselectionfortheAES,FIPS197,2001--byJoanDaemenandVincentRijmen;NESSIEselection;CRYPTREC推荐使用)
Anubis(128-bitblock)
BEAR(由流密码和Hash函数构造的分组密码,byRossAnderson)
Blowfish(分组长度为128位;byBruceSchneier,etal)
Camellia(分组长度为128位;NESSIEselection(NTT&MitsubishiElectric);CRYPTREC推荐使用)
CAST-128(CAST5)(64bitblock;oneofaseriesofalgorithmsbyCarlisleAdamsandStaffordTavares,whoareinsistent(indeed,adamant)thatthenameisnotduetotheirinitials)
CAST-256(CAST6)(128位分组长度;CAST-128的后继者,AES的竞争者之一)
CIPHERUNICORN-A(分组长度为128位;CRYPTREC推荐使用)
CIPHERUNICORN-E(64bitblock;CRYPTREC推荐使用(limited))
CMEA-在美国移动电话中使用的密码,被发现有弱点.
CS-Cipher(64位分组长度)
DESzh:数字;zh-tw:数位加密标准(64位分组长度;FIPS46-3,1976)
DEAL-由DES演变来的一种AES候选算法
DES-X一种DES变种,增加了密钥长度.
FEAL
GDES-一个DES派生,被设计用来提高加密速度.
GrandCru(128位分组长度)
Hierocrypt-3(128位分组长度;CRYPTREC推荐使用))
Hierocrypt-L1(64位分组长度;CRYPTREC推荐使用(limited))
InternationalDataEncryptionAlgorithm(IDEA)(64位分组长度--苏黎世ETH的JamesMAssey&XLai)
IraqiBlockCipher(IBC)
KASUMI(64位分组长度;基于MISTY1,被用于下一代W-CDMAcellularphone保密)
KHAZAD(64-bitblockdesignedbyBarrettoandRijmen)
KhufuandKhafre(64位分组密码)
LOKI89/91(64位分组密码)
LOKI97(128位分组长度的密码,AES候选者)
Lucifer(byTuchmanetalofIBM,early1970s;modifiedbyNSA/NBSandreleasedasDES)
MAGENTA(AES候选者)
Mars(AESfinalist,byDonCoppersmithetal)
MISTY1(NESSIEselection64-bitblock;MitsubishiElectric(Japan);CRYPTREC推荐使用(limited))
MISTY2(分组长度为128位:MitsubishiElectric(Japan))
Nimbus(64位分组)
Noekeon(分组长度为128位)
NUSH(可变分组长度(64-256位))
Q(分组长度为128位)
RC264位分组,密钥长度可变.
RC6(可变分组长度;AESfinalist,byRonRivestetal)
RC5(byRonRivest)
SAFER(可变分组长度)
SC2000(分组长度为128位;CRYPTREC推荐使用)
Serpent(分组长度为128位;AESfinalistbyRossAnderson,EliBiham,LarsKnudsen)
SHACAL-1(256-bitblock)
SHACAL-2(256-bitblockcypher;NESSIEselectionGemplus(France))
Shark(grandfatherofRijndael/AES,byDaemenandRijmen)
Square(fatherofRijndael/AES,byDaemenandRijmen)
3-Way(96bitblockbyJoanDaemen)
TEA(小型加密算法)(byDavidWheeler&RogerNeedham)
TripleDES(byWalterTuchman,leaderoftheLuciferdesignteam--notalltripleusesofDESincreasesecurity,Tuchman'sdoes;CRYPTREC推荐使用(limited),onlywhenusedasinFIPSPub46-3)
Twofish(分组长度为128位;AESfinalistbyBruceSchneier,etal)
XTEA(byDavidWheeler&RogerNeedham)
多表代替密码机密码
Enigma(二战德国转轮密码机--有很多变种,多数变种有很大的用户网络)
紫密(Purple)(二战日本外交最高等级密码机;日本海军设计)
SIGABA(二战美国密码机,由WilliamFriedman,FrankRowlett,等人设计)
TypeX(二战英国密码机)
Hybridcode/cyphercombinations
JN-25(二战日本海军的高级密码;有很多变种)
NavalCypher3(30年代和二战时期英国皇家海军的高级密码)
可视密码
有密级的密码(美国)
EKMSNSA的电子密钥管理系统
FNBDTNSA的加密窄带话音标准
FortezzaencryptionbasedonportablecryptotokeninPCCardformat
KW-26ROMULUS电传加密机(1960s-1980s)
KY-57VINSON战术电台语音加密
SINCGARS密码控制跳频的战术电台
STE加密电话
STU-III较老的加密电话
TEMPESTpreventscompromisingemanations
Type1products
虽然频率分析是很有效的技巧,实际上加密法通常还是有用的。不使用频率分析来破解一个信息需要知道是使用何种加密法,因此才会促成了谍报、贿赂、窃盗或背叛等行为。直到十九世纪学者们才体认到加密法的算法并非理智或实在的防护。实际上,适当的密码学机制(包含加解密法)应该保持安全,即使敌人知道了使用何种算法。对好的加密法来说,钥匙的秘密性理应足以保障资料的机密性。这个原则首先由奥古斯特·柯克霍夫(AugusteKerckhoffs)提出并被称为柯克霍夫原则(Kerckhoffs'principle)。信息论始祖克劳德·艾尔伍德·香农(ClaudeShannon)重述:“敌人知道系统。”
大量的公开学术研究出现,是现代的事,这起源于一九七零年代中期,美国国家标准局(NationalBureauofStandards,NBS;现称国家标准技术研究所,National|InstituteofStandardsandTechnology,NIST)制定数字加密标准(DES),Diffie和Hellman提出的开创性论文,以及公开释出RSA。从那个时期开始,密码学成为通讯、电脑网络、电脑安全等上的重要工具。许多现代的密码技术的基础依赖于特定基算问题的困难度,例如因子分解问题或是离散对数问题。许多密码技术可被证明为只要特定的计算问题无法被有效的解出,那就安全。除了一个著名的例外:一次垫(one-timepad,OTP),这类证明是偶然的而非决定性的,但是是目前可用的最好的方式。
密码学算法与系统设计者不但要留意密码学历史,而且必须考虑到未来发展。例如,持续增加计算机处理速度会增进暴力攻击法(brute-forceattacks)的速度。量子计算的潜在效应已经是部份密码学家的焦点。
二十世纪早期的密码学本质上主要考虑语言学上的模式。从此之后重心转移,数论。密码学同时也是工程学的分支,但却是与别不同,因为它必须面对有智能且恶意的对手,大部分其他的工程仅需处理无恶意的自然力量。检视密码学问题与量子物理间的关连也是热门的研究。
现代密码学大致可被区分为数个领域。对称钥匙密码学指的是传送方与接收方都拥有相同的钥匙。直到1976年这都还是唯一的公开加密法。
现代的研究主要在分组密码(blockcipher)与流密码(streamcipher)及其应用。分组密码在某种意义上是阿伯提的多字符加密法的现代化。分组密码取用明文的一个区块和钥匙,输出相同大小的密文区块。由于信息通常比单一区块还长,因此有了各种方式将连续的区块编织在一起。DES和AES是美国联邦*核定的分组密码标准(AES将取代DES)。尽管将从标准上废除,DES依然很流行(3DES变形仍然相当安全),被使用在非常多的应用上,从自动交易机、电子邮件到远端存取。也有许多其他的区块加密被发明、释出,品质与应用上各有不同,其中不乏被破解者。
流密码,相对于区块加密,制造一段任意长的钥匙原料,与明文依位元或字符结合,有点类似一次一密密码本(one-timepad)。输出的串流根据加密时的内部状态而定。在一些流密码上由钥匙控制状态的变化。RC4是相当有名的流密码。
密码杂凑函数(有时称作消息摘要函数,杂凑函数又称散列函数或哈希函数)不一定使用到钥匙,但和许多重要的密码算法相关。它将输入资料(通常是一整份文件)输出成较短的固定长度杂凑值,这个过程是单向的,逆向操作难以完成,而且碰撞(两个不同的输入产生相同的杂凑值)发生的机率非常小。
信息认证码或押码(Messageauthenticationcodes,MACs)很类似密码杂凑函数,除了接收方额外使用秘密钥匙来认证杂凑值。
10、破译密码
密码学
大众普遍误解认为所有加密法都可以被破解。BellLabs的ClaudeShannon在二次世界大战时期便证明只要钥匙是完全随机,不重复使用,对外绝对保密,与信息等长或比信息更长的一次一密是不可能破解的。除了一次一密以外的多数加密法都可以以暴力攻击法破解,但是破解所需的努力可能是钥匙长度的指数成长。
密码分析的方式有很多,因此有数个分类。一个常见的分别法则是攻击者知晓多少信息。在唯密文攻击中,密码分析者只能存取密文,好的现代密码系统对这种情况通常是免疫的。在已知明文攻击中,密码分析者可以存取多个明文、密文对。在选择明文攻击中,密码分析者可以自选任意明文,并被赋予相对应的密文,例如二战时布列颠所使用的园艺法。最后,选择密文攻击中,密码分析者可以自选任意密文,并被赋予相对应的明文对称钥匙加密的密码分析通常旨在寻找比已知最佳破解法更有效率的方式。例如,以最简单的暴力法破解DES需要一个已知明文与解密运算,尝试近半数可能的钥匙。线性分析攻击法对DES需要已知明文与DES运算,显然比暴力法有效。
公开钥匙算法则基于多种数学难题,其中最有名的是整数分解和离散对数问题。许多公开钥匙密码分析在研究如何有效率地解出这些计算问题的数值算法。例如,已知解出基于椭圆曲线的离散对数问题比相同钥匙大小的整数因子分解问题更困难。因此,为了达到相等的安全强度,基于因子分解的技术必须使用更长的钥匙。由于这个因素,基于椭圆曲线的公开钥匙密码系统从1990年代中期后逐渐流行。
当纯粹的密码分析着眼于算法本身时,某些攻击则专注于密码装置执行的弱点,称为副通道攻击。如果密码分析者可以存取到装置执行加密或回报通行码错误的时间,它就可能使用时序攻击法破解密码。攻击者也可能研究信息的模式与长度,得出有用的信息,称为流量分析,对机敏的敌人这相当有效。当然,社会工程与其它针对人事、社交的攻击与破密术一并使用时可能是最有力的攻击法。
11、技术应用
密码学
Securemultipartycomputations
电子投票
认证
数位签名
Cryptographicengineering
Cryptosystems
1.数位签章(DigitalSignature):
这是以密码学的方法,根据EDI讯息的内容和发信有该把私钥,任何人都无法产生该签名,因此比手写式的签名安全许多。收信人则以发信人的公钥进行数位签章的验证。
2.数位信封(DigitalEnvelope):
这是以密码学的方法,用收信人的公钥对某些机密资料进行加密,收信人收到后再用自己的私钥解密而读取机密资料。除了拥有该私钥的人之外,任何人即使拿到该加密过的讯息都无法解密,就好像那些资料是用一个牢固的信封装好,除了收信人之外,没有人能拆开该信封。
3.安全回条:
收信人依据讯息内容计算所得到的回覆资料,再以收信人的私钥进行数位签章后送回发信人,一方面确保收信人收到的讯息内容正确无误,另一方面也使收信人不能否认已经收到原讯息。
4.安全认证:
每个人在产生自己的公钥之后,向某一公信的安全认证中心申请注册,由认证中心负责签发凭证(Certificate),以保证个人身份与公钥的对应性与正确性。
12、学科研究
密码学
西安电子科技大学信息安全专业依托一级国家重点学科“信息与通信工程”(全国第二)、二级国家重点学科“密码学”(全国第一)组建,是985工程优势学科创新平台、211工程重点建设学科,拥有综合业务网理论及关键技术国家重点实验室、无线网络安全技术国家工程实验室、现代交换与网络编码研究中心(香港中文大学—西安电子科技大学)、计算机网络与信息安全教育部重点实验室、电子信息对抗攻防与仿真技术教育部重点实验室等多个*、省部级科研平台。
在中国密码学会的34个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的核心基地。
以下简单列举部分西电信安毕业生:来学嘉,国际密码学会委员,IDEA分组密码算法设计者;陈立东,美国标准局研究员;丁存生,香港科技大学教授;邢超平,新加坡NTU教授;冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长;张焕国,中国密码学会常务理事,武汉大学教授、信安掌门人;何大可,中国密码学会副理事长,西南交通大学教授、信安掌门人;何良生,中国人民解放军总参谋部首席密码专家;叶季青,中国人民解放军密钥管理中心主任。
西安电子科技大学拥有中国在信息安全领域的三位领袖:肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特征化定理,被国际上通称为肖—MAssey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域,他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问。
2001年,由西安电子科技大学主持制定的无线网络安全强制性标准——WAPI震动了全世界,中国拥有该技术的完全自主知识产权,打破了美国IEEE在全世界的垄断,华尔街日报当时曾报道说:“中国无线技术加密标准引发业界慌乱”。这项技术也是中国在IT领域取得的具少数有世界影响力的重大科技进展之一。
西安电子科技大学的信息安全专业连续多年排名全国第一,就是该校在全国信息安全界领袖地位的最好反映。
相关报道
密码学神秘枯燥,她却乐在其中
据人民网2018年1月2号报道,日前,中科院公布了2017年新当选的61名院士名单,作为仅有的三名女性之一,数学物理学部的女院士、清华大学教授、密码学家王小云受到了广泛关注。多年来,这位朴实的本土科学家多次攻克世界级难题,在国内外一些密码学专家云集的重要学术会议中,终于有了让人崇拜尊重的中国女性面孔。
十载寒窗终得醇熟
1966年,王小云出生于山东诸城,由于父亲是中学数学教师,她从小便精通数理。但高考时,她却在最擅长的物理上意外失手,才转投数学系,在山东大学一读就是十个春秋。
读书期间,王小云师从著名数学家潘承洞院士和于秀源教授。在中科院举办的2017年新当选中国科学院院士座谈会上,王小云深情回忆往昔:“我是1987年考上山东大学的研究生,跟潘承洞老师学习解析数论。读了一年多后,潘老师清晰看到了密码学方向的发展前景,而指出解析数论将在其中发挥重要应用。”那时,潘承洞挑选了两个博士生和两个研究生转而研究这一新兴方向,王小云就是其中之一。
1993年,获得山东大学数论与密码学专业博士学位的王小云选择留校任教。没有科研经费,王小云就在仅有的一张小书桌上开始了她的密码研究。
在别人看来,密码学神秘枯燥,但对王小云来说却充满吸引力。她曾坚定地说:“密码学是我喜欢的工作。”
基于HASH函数的MD5和SHA-1,曾是国际上公认的最先进、应用范围最广的两大重要算法。由于世界上不存在两个完全相同的指纹,因此手印成为识别人们身份的唯一标志。在网络安全协议中,使用HASH函数来处理电子签名,能够产生电子文件独一无二的“指纹”,形成“数字手印”。密码学专家曾认为,即使调用全球的计算机,花费数百万年,也很难找到两个相同的“数字手印”,因此在2004年以前,人们对这两大算法能确保电子签名在现实中的绝对安全深信不疑。
1995年,王小云开始了HASH函数的专项研究,并试图找到破解MD5和SHA-1的方法。
就在同一年,王小云的女儿也出生了。女儿的出生非但没有牵绊王小云的科研进度,反而让她更加享受沉浸研究的过程。每天忙完家务,哄睡女儿,王小云就在家里的小台灯下演算HASH函数,尽情领略数学魅力。
虽然科研工作繁忙,但对于生活质量,王小云从来不打折扣,她拿手的红烧排骨深受学生欢迎;家里更是被收拾得一尘不染;在她家的阳台上,一年四季都有鲜花。
“我的科研就是抱孩子抱出来、做家务做出来、养花养出来的。”王小云回忆,“那段时间,我抱着孩子、做着家务的间隙,各种密码可能的破解路径就在我脑中盘旋,一有想法我就会立即记到电脑里。”
“古今中外有很多著名女科学家成功的典范,她们都能处理好家庭和工作的关系”,王小云也希望,“中国的女性特别是从事科研工作的女性,能够更多走出家庭,投入到科研当中。只要有毅力,还是能成功的。”
不鸣则已一鸣惊人
做学问要耐得住寂寞,成功之前那些岁月里的艰辛,大概只有王小云自己知道。在前十年的磨砺中,王小云只发表过一篇论文,虽然在别人眼中,她一直没什么突出成果,但心无旁骛的王小云只为潜心攻破世界密码难题,并为众多密码系统保驾护航。
2004年8月17日,在美国加州圣芭芭拉召开的国际密码学会议上,通常大会发言人的发言时间限定在两三分钟,大会主席、国际*密码学家休斯(Hughes)却破例给了王小云15分钟发言时间。在王小云宣读她主持的研究团队的成果,包括对MD5、HAVAL-128、MD4和RIPEMD四个著名HASH算法的破解结果中,会场上掌声雷动,一些学者甚至激动得站起来致敬。“我当时的感觉,真像是获得了奥运金牌的冠军,由衷感到作为一名中国人的自豪。”王小云说。
2005年2月7日,美国国家标准技术研究院申明SHA-1没有被攻破,而且也没有足够理由怀疑它很快将被攻破。但仅过了一周,只有一台普通电脑的王小便宣布成功破解了SHA-1。她的研究成果标志着电子签名可以伪造,世界对更加安全的密码标准的需要迫在眉睫。
短短两年时间,王小云在国际密码界两次掀起地震,让西方人折服。一举成名后,国内外一些密码学专家云集的重要学术会议中,终于有了让人崇拜尊重的中国女性面孔。密码学领域最权威的两大会议Eurocrypto与Crypto也均将“2005年度最佳论文奖”授予这位中国的巾帼英雄。
2005年4月,王小云教授受聘为清华大学杨振宁讲座教授、清华大学长江特聘教授,并成为当年第六届“中国青年科学家奖”的候选人。
国家发展在前个人得失在后
2005年起,NIST开始探讨向全球密码学者征集新的HASH函数算法标准的可行性,如果设计的算法被采纳为国际标准,那将是密码学家的最高殊荣。虽然集全球期待于一身,但王小云放弃了这次难得的机会,全力带领国内专家为我国设计了第一个HASH函数算法标准SM3。
2008年,新兴量子密码学工作组国际会议公布了关于量子计算领域和量子密码学的有趣结合,并给出一些能抵抗量子计算的特别密码算法,其中一个被称作“格”的新密码*引起王小云的关注。
王小云对“格”密码*的关注,与恩师潘承洞的学术传承有关。在2017年新当选中国科学院院士座谈会上,王小云特别谈起恩师对自己的学术影响:30年前,潘承洞曾让他的学生们研读一篇关于“低密度攻击”的论文,这是当时一位非常著名的数论学家转到密码领域后做出的一篇经典论文,论文针对经典的背包密码*给出了一个攻击,但王小云并未读懂。
“从我破解MD5和SHA-1到现在,我主攻的两个方向之一就是那篇论文中关于抗量子计算的公钥密码*研究,也就是‘格’密码*研究。”回溯自己的研究历程,王小云很是感慨,“我比潘老师给我读的那篇论文晚了十几年时间,但这个方向目前已经是未来公钥密码中非常重要的一个研究方向。现在看来这个方向选择得非常对!”
虽然深受国内外瞩目,但王小云很少接受采访,她的秘书告诉中国妇女报·中国女网记者,近几年里,王小云只接受了学校推荐的两个采访,且时间相隔长达五年。不只面对媒体,在周围人眼中,王小云一直默默无闻,从不急功近利,这也正是她在科研工作中一直恪守的准则。
对王小云来说,她只在乎自己研究的领域是否符合国家发展的需要。“当时我做HASH函数在中国算是比较顶峰的,突然转向抗量子计算攻击的‘格’密码算法的研究,很多人会觉得你损失很多,会有一点遗憾。但我个人不这样认为,人是有得有失的,你在这里失去的东西,可以在其他地方补回来。”她所坚持的是:“不能以功利的心态看待科研,这是最重要的一点。”
SM3一经公布,其安全性便得到国内外高度认可。该算法获国家专利,并被纳入我国30多个行业规范中,经国家密码管理局审批的含SM3的密码产品如金融社保卡、新一代银行芯片卡与智能电表等相关产品已经在全国广泛使用。
近年来,王小云还将她多年积累的密码分析理论的优秀成果深入应用到密码系统的设计中,为国家密码重大需求解决了实际问题,为保护国家重要领域和重大信息系统安全发挥了极大作用。
她说:“我们在密码研究上,一开始是纯密码的学术研究,对业界的需求考虑得很少,但现在看到业界遍地开花的局面,非常高兴。特别是我们开始考虑哪些产业界需要怎样的算法和密码系统,这也给我国密码领域的研究提供了更多机遇和发展思路。”