Hello,密码学:第三部分,公钥密码(非对称密码)算法

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Hello,密码学:第三部分,公钥密码(非对称密码)算法相关的知识,希望对你有一定的参考价值。

参考技术A

在 《Hello,密码学:第二部分,对称密码算法》 中讲述了对称密码的概念,以及DES和AES两种经典的对称密码算法原理。既然有对称密码的说法,自然也就有非对称密码,也叫做公钥密码算法。 对称密码和非对称密码两种算法的本质区别在于,加密密钥和解密密钥是否相同

公钥密码产生的初衷就是为了解决 密钥配送 的问题。

Alice 给远方的 Bob 写了一封情意慢慢的信,并使用强悍的 AES-256 进行了加密,但她很快就意识到,光加密内容不行,必须要想一个安全的方法将加密密钥告诉 Bob,如果将密钥也通过网络发送,很可能被技术高手+偷窥癖的 Eve 窃听到。

既要发送密钥,又不能发送密钥,这就是对称密码算法下的“密钥配送问题”

解决密钥配送问题可能有这样几种方法:

这种方法比较高效,但有局限性:

与方法一不同,密钥不再由通信个体来保存,而由密钥分配中心(KDC)负责统一的管理和分配。 双方需要加密通信时,由 KDC 生成一个用于本次通信的通信密钥交由双方,通信双方只要与 KDC 事先共享密钥即可 。这样就大大减少密钥的存储和管理问题。

因此,KDC 涉及两类密钥:

领略下 KDC 的过程:

KDC 通过中心化的手段,确实能够有效的解决方法一的密钥管理和分配问题,安全性也还不错。但也存在两个显著的问题:

使用公钥密码,加密密钥和解密密钥不同,只要拥有加密密钥,所有人都能进行加密,但只有拥有解密密钥的人才能进行解密。于是就出现了这个过程:

密钥配送的问题天然被解决了。当然,解密密钥丢失而导致信息泄密,这不属于密钥配送的问题。

下面,再详细看下这个过程。

公钥密码流程的核心,可以用如下四句话来概述:

既然加密密钥是公开的,因此也叫做 “公钥(Public Key)”
既然解密密钥是私有的,因此也叫做 “私钥(Private Key)

公钥和私钥是一一对应的,称为 “密钥对” ,他们好比相互纠缠的量子对, 彼此之间通过严密的数学计算关系进行关联 ,不能分别单独生成。

在公钥密码体系下,再看看 Alice 如何同 Bob 进行通信。

在公钥密码体系下,通信过程是由 Bob 开始启动的:

过程看起来非常简单,但为什么即使公钥被窃取也没有关系?这就涉及了上文提到的严密的数学计算关系了。如果上一篇文章对称密钥的 DES 和 AES 算法进行概述,下面一节也会对公钥体系的数学原理进行简要说明。

自从 Diffie 和 Hellman 在1976年提出公钥密码的设计思想后,1978年,Ron Rivest、Adi Shamir 和 Reonard Adleman 共同发表了一种公钥密码算法,就是大名鼎鼎的 RSA,这也是当今公钥密码算法事实上的标准。其实,公钥密码算法还包括ElGamal、Rabin、椭圆曲线等多种算法,这一节主要讲述 RSA 算法的基本数学原理。

一堆符号,解释下,E 代表 Encryption,D 代表 Decryption,N 代表 Number。

从公式种能够看出来,RSA的加解密数学公式非常简单(即非常美妙)。 RSA 最复杂的并非加解密运算,而是如何生成密钥对 ,这和对称密钥算法是不太一样的。 而所谓的严密的数学计算关系,就是指 E 和 D 不是随便选择的

密钥对的生成,是 RSA 最核心的问题,RSA 的美妙与奥秘也藏在这里面。

1. 求N

求 N 公式:N = p × q

其中, p 和 q 是两个质数 ,而且应该是很大又不是极大的质数。如果太小的话,密码就容易被破解;如果极大的话,计算时间就会很长。比如 512 比特的长度(155 位的十进制数字)就比较合适。

这样的质数是如何找出来的呢? 需要通过 “伪随机数生成器(PRNG)” 进行生成,然后再判断其是否为质数 。如果不是,就需要重新生成,重新判断。

2. 求L

求 L 公式:L = lcm(p-1, q-1)

lcm 代表 “最小公倍数(least common multiple)” 。注意,L 在加解密时都不需要, 仅出现在生成密钥对的过程中

3. 求E

E 要满足两个条件:
1)1 < E < L
2)gcd(E,L) = 1

gcd 代表 “最大公约数(greatest common divisor)” 。gcd(E,L) = 1 就代表 “E 和 L 的最大公约数为1,也就是说, E 和 L 互质 ”。

L 在第二步已经计算出来,而为了找到满足条件的 E, 第二次用到 “伪随机数生成器(PRNG)” ,在 1 和 L 之间生成 E 的候选,判断其是否满足 “gcd(E,L) = 1” 的条件。

经过前三步,已经能够得到密钥对种的 “公钥:E, N” 了。

4. 求D

D 要满足两个条件:
1)1 < D < L
2)E × D mod L = 1

只要 D 满足上面的两个条件,使用 E, N 进行加密的报文,就能够使用 D, N 进行解密。

至此,N、L、E、D 都已经计算出来,再整理一下

模拟实践的过程包括两部分,第一部分是生成密钥对,第二部分是对数据进行加解密。为了方便计算,都使用了较小的数字。

第一部分:生成密钥对

1. 求N
准备两个质数,p = 5,q = 7,N = 5 × 7 = 35

2. 求L
L = lcm(p-1, q-1) = lcm (4, 6) = 12

3. 求E
gcd(E, L) = 1,即 E 和 L 互质,而且 1 < E < L,满足条件的 E 有多个备选:5、7、11,选择最小的 5 即可。于是,公钥 = E, N = 5, 35

4. 求D
E × D mod L = 1,即 5 × D mod 12 = 1,满足条件的 D 也有多个备选:5、17、41,选择 17 作为 D(如果选择 5 恰好公私钥一致了,这样不太直观),于是,私钥 = D, N = 17, 35

至此,我们得到了公私钥对:

第二部分:模拟加解密

明文我们也使用一个比较小的数字 -- 4,利用 RSA 的加密公式:

密文 = 明文 ^ E mod N = 4 ^ 5 mod 35 = 9
明文 = 密文 ^ D mod N = 9 ^ 17 mod 35 = 4

从这个模拟的小例子能够看出,即使我们用了很小的数字,计算的中间结果也是超级大。如果再加上伪随机数生成器生成一个数字,判断其是否为质数等,这个过程想想脑仁儿就疼。还好,现代芯片技术,让计算机有了足够的运算速度。然而,相对于普通的逻辑运算,这类数学运算仍然是相当缓慢的。这也是一些非对称密码卡/套件中,很关键的性能规格就是密钥对的生成速度

公钥密码体系中,用公钥加密,用私钥解密,公钥公开,私钥隐藏。因此:

加密公式为:密文 = 明文 ^ E mod N

破译的过程就是对该公式进行逆运算。由于除了对明文进行幂次运算外, 还加上了“模运算” ,因此在数学上, 该逆运算就不再是简单的对数问题,而是求离散对数问题,目前已经在数学领域达成共识,尚未发现求离散对数的高效算法

暴力破解的本质就是逐个尝试。当前主流的 RSA 算法中,使用的 p 和 q 都是 1024 位以上,这样 N 的长度就是 2048 位以上。而 E 和 D 的长度和 N 差不多,因此要找出 D,就需要进行 2048 位以上的暴力破解。即使上文那个简单的例子,算出( 蒙出 ) “9 ^ D mod 35 = 4” 中的 D 也要好久吧。

因为 E 和 N 是已知的,而 D 和 E 在数学上又紧密相关(通过中间数 L),能否通过一种反向的算法来求解 D 呢?

从这个地方能够看出,p 和 q 是极为关键的,这两个数字不泄密,几乎无法通过公式反向计算出 D。也就是说, 对于 RSA 算法,质数 p 和 q 绝不能被黑客获取,否则等价于交出私钥

既然不能靠抢,N = p × q,N是已知的,能不能通过 “质因数分解” 来推导 p 和 q 呢?或者说, 一旦找到一种高效的 “质因数分解” 算法,就能够破解 RSA 算法了

幸运的是,这和上述的“离散对数求解”一样,当下在数学上还没有找到这种算法,当然,也无法证明“质因数分解”是否真的是一个困难问题 。因此只能靠硬算,只是当前的算力无法在可现实的时间内完成。 这也是很多人都提到过的,“量子时代来临,当前的加密体系就会崩溃”,从算力的角度看,或许如此吧

既不能抢,也不能算,能不能猜呢?也就是通过 “推测 p 和 q 进行破解”

p 和 q 是通过 PRNG(伪随机数生成器)生成的,于是,又一个关键因素,就是采用的 伪随机数生成器算法要足够随机

随机数对于密码学极为重要,后面会专门写一篇笔记

前三种攻击方式,都是基于 “硬碰硬” 的思路,而 “中间人攻击” 则换了一种迂回的思路,不去尝试破解密码算法,而是欺骗通信双方,从而获取明文。具体来说,就是: 主动攻击者 Mallory 混入发送者和接收者之间,面对发送者伪装成接收者,面对接收者伪装成发送者。

这个过程可以重复多次。需要注意的是,中间人攻击方式不仅能够针对 RSA,还可以针对任何公钥密码。能够看到,整个过程中,公钥密码并没有被破译,密码体系也在正常运转,但机密性却出现了问题,即 Alice 和 Bob 之间失去了机密性,却在 Alice 和 Mallory 以及 Mallory 和 Bob 之间保持了机密性。即使公钥密码强度再强大 N 倍也无济于事。也就是说,仅仅依靠密码算法本身,无法防御中间人攻击

而能够抵御中间人攻击的,就需要用到密码工具箱的另一种武器 -- 认证 。在下面一篇笔记中,就将涉及这个话题。

好了,以上就是公钥密码的基本知识了。

公钥密码体系能够完美的解决对称密码体系中 “密钥配送” 这个关键问题,但是抛开 “中间人攻击” 问题不谈,公钥密码自己也有个严重的问题:

公钥密码处理速度远远低于对称密码。不仅体现在密钥对的生成上,也体现在加解密运算处理上。

因此,在实际应用场景下,往往会将对称密码和公钥密码的优势相结合,构建一个 “混合密码体系” 。简单来说: 首先用相对高效的对称密码对消息进行加密,保证消息的机密性;然后用公钥密码加密对称密码的密钥,保证密钥的机密性。

下面是混合密码体系的加解密流程图。整个体系分为左右两个部分:左半部分加密会话密钥的过程,右半部分是加密原始消息的过程。原始消息一般较长,使用对称密码算法会比较高效;会话密钥一般比较短(十几个到几十个字节),即使公钥密码算法运算效率较低,对会话密钥的加解密处理也不会非常耗时。

著名的密码软件 PGP、SSL/TLS、视频监控公共联网安全建设规范(GB35114) 等应用,都运用了混合密码系统。

好了,以上就是公钥密码算法的全部内容了,拖更了很久,以后还要更加勤奋一些。

为了避免被傻啦吧唧的审核机器人处理,后面就不再附漂亮姑娘的照片(也是为了你们的健康),改成我的摄影作品,希望不要对收视率产生影响,虽然很多小伙儿就是冲着姑娘来的。

就从喀纳斯之旅开始吧。

区块链中的密码学:非对称加密

本文由币乎(bihu.com)优质内容计划支持

在区块链世界中,我们都能经常看到一个词,叫非对称加密,究竟什么是非对称加密呢?

非对称加密,又称为公开密钥加密,是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时候,另一个则用作解密;

由私钥可以推算出公钥,但是知道公钥,在实际情况中不可能推算出私钥,所以公钥是公开的,而私钥由用户自行秘密保管。

非对称加密类似于一个公开的邮箱,投递口是任何人都可以寄信进去的,这可视为公钥;而只有邮箱主人拥有钥匙可以打开邮箱,这就视为私钥。

在了解非对称加密前,我们需要了解什么是对称加密?

对称加密,也称为单密钥加密,是指采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密。

用一个现实世界上的例子是,一个传统保管箱,开门和关门都是使用同一条钥匙,这是对称加密;

但是对称加密在互联网中传输信息,就会产生两个问题:

  1. 没有创建安全通道前,如何实现安全通讯?

这是一个先有鸡还是先有蛋的问题,如果在先发送加密数据,但是不知道解密密钥,无法正确解密数据;如果先明文发送密钥,这种加密又有什么意义呢?

  1. 如何确保是由发送人发出的信息?

在这个虚拟的互联网中,就算把数据加密,但是如果黑客劫持了你的网络,发送加密信息,这种数据又有什么意义呢?

为了解决这两个问题,所以产生了非对称加密,这个加密思想是 1974 年由 Merkle 提出,1976 年由斯坦福大学的两位教授 Diffie 和 Hellman 完善。

我们先来看看第一个问题,如何实现安全通讯?

维基百科上举了一个爱丽丝与鲍伯的例子:

  1. 爱丽丝与鲍伯事先互不认识,也没有可靠安全的沟通渠道,但爱丽丝现在却要通过不安全的互联网向鲍伯发送信息

  2. 爱丽丝撰写好原文,原文在未加密的状态下称之为明文 x

  3. 鲍伯使用密码学伪随机数产生一对密钥,其中一个作为公钥为 c,另一个作为私钥 d

  4. 鲍伯可以用任何方法发送公钥 c 给爱丽丝,即使黑客在中间窃听到 c 也没问题

  5. 爱丽丝用公钥 c 把明文 x 进行加密,得到密文 c(x)

  6. 爱丽丝可以用任何方法传输密文 c(x) 给鲍伯,即使伊夫在中间窃听到密文 c(x) 也没问题

  7. 鲍伯收到密文,用私钥 d 对密文进行解密 d(c(x)),得到爱丽丝撰写的明文 x

  8. 由于黑客没有得到鲍伯的私钥 d,所以无法得知明文 x

这个过程简单来说就是公钥加密明文 c(x) 只有用私钥才能解密,即 d(c(x)),最终得出了明文 x。

我们再来看第二个问题,如何确保是由发送人发出的信息?

如果某一用户使用他的私钥加密明文,任何人都可以用该用户的公钥解密密文;由于私钥只由该用户自己持有,故可以肯定该文件必定出自于该用户。

这就引申了一个概念叫:数字签名,即只有信息的发送者才能产生的,别人无法伪造的数据,这段数据同时也是对信息的发送者,发送信息真实性的一个有效证明。

由此可见非对称加密的优点:

  1. 创建了一个信息安全通道

  2. 为信息发送者提供数字身份的认证

但是缺点也很明显,计算太复杂,性能欠佳。

常见的公钥加密算法有:RSA、椭圆曲线加密算法、ElGamal等等,使用最广泛的是RSA算法。

由公钥为什么不能推算出私钥呢?RSA 算法又究竟是怎么实现的呢?这个问题比较复杂,有兴趣可以去看一下,华南理工大学的计算机网络安全课程 公开密钥密码学。


以上是关于Hello,密码学:第三部分,公钥密码(非对称密码)算法的主要内容,如果未能解决你的问题,请参考以下文章

入门密码学④非对称加密

非对称加密中的公钥和私钥怎么来的

密码学之非对称加密算法

密码学中的对称加密和非对称加密

密码学期末复习

对称加密,非对称加密,公钥和私钥