加密 EK1（M）=C
密文C
解密
原始明文M
DK2（C）=M
DK2 （EK1（M））=M
双钥密码体制
5
传统密码学
二、加密和解密
定义: (密码体制）它是一个五元组（P,C,K,E,D)满足条件：
（1）P是可能明文的有限集；（明文空间）
（2）C是可能密文的有限集；（密文空间） （3）K是一切可能密钥构成的有限集；（密钥空间） *（4）任意k∈ K,有一个加密算法 ek E 和相应的解密 dk D 算法 ，使得 ek : P C 和 dk : C P 分别为加密解密函数，满足dk(ek(x))=x, 这里 x ∈P。
17
传统密码学
四、传统密码学
5、维吉尼亚（Vigenere）密码
典型的多表密码，即一个明文字母可表示为多个密 文字母。：
例如：明文为System，密钥为dog，加密过程如下： 明文：S y s t e m 密钥：d o g d o g 密文：V m g w r s 在这个例子中，每三个字母中的第一、第二、第三 个字母分别移动（mod 26）3个，14个和6个位置。
2
传统密码学
二、加密和解密
明文M
加密
密文C
解密 D（C）=M
原始明文
M
E（M）=C. D（E（M））=M
明文Plaintext 加密Encryption 密钥key
密文Cipher text 解密Decryption
3
传统密码学
二、加密和解密
密钥K 明文M 密钥K 密文C
加密 EK（M）=C
解密
传统密码学
三、密码分析
2、算法的安全性 密码算法具有不同的安全等级 :以下情况可能是安全的 .破译算法的代价大于加密数据的价值 .破译算法所需的时间大于加密数据保密的时间 .用单密钥加密的数据量小于破译算法需要的数据量 Shannon理论：仅当密钥至少和明文一样长时才无条件安全。
如果不论密码分析者有多少密文，都没有足够的信息恢复出 明文，那么这个算法就是无条件保密的，只有一次一密乱码 本，才是无条件安全的。所有其它的密码系统在唯密文攻击 中都是可破的 （蛮力攻击 ）。
信息安全概论
第二章 密码学 概论
1
传统密码学
一、密码学概述
密码体制：1）传统密码体制 2）现代密码体制
传统密码体制：对称密码体制（单钥体制）
现代密码体制：非对称密码体制（公钥密码体制、双 钥体制） 按照对明文的处理方式分为：分组密码算法和序列密 码算法。 分组密码算法：把明文分成等长的组分别加密 序列密码算法：是一个比特一个比特地处理，用已知 的密钥随机序列与明文按位异或。
4、Playfair密码（英国曾用） 密钥由25个英文字母（J与I相同）组成的5阶方阵。 每一对明文字母 m1和m2，都根据下面的 6条规则进行加密。 （1）明文字母 m1和m2同行。密文是其右边字母。
（2）明文字母 m1和m2同列。密文是其下边字母。
（3）明文字母 m1和m2不同行、不同列。密文是长方形的 另两个顶点。 （ 4 ）明文字母 m1 和m2 相同。在 m1 和 m2之间加一个无效 字母。 （5）明文有奇数个字母，末尾加一个无效字母。 （6）I、J看成是相同字母。
19
传统密码学
四、传统密码学
6、一次一密密码
一 次 一 密 密 码 ， 由 AT&T 公 司 的 Gilbert Vernam 在 1917年提出。发方和收方各保存一份一次一密乱码 本，它是一个大的不重复的真随机密钥字母集。发 方用乱码本中的某一页密钥加密明文。加密方法： 明文字符和乱码本密钥字符的模26加法。
13
传统密码学
四、传统密码学
3、凯撒（Caesar）密码 令 26 个字母分别对应于 0 ～ 25 ， a=1，b=2……y=25，z=0。 凯撒加密变换实际上是c≡ (m + k) mod 26 其中m是明文对应的数据，c是与明文对应的密文数据，k是 加密用的参数，叫密钥。比如明文：data security 对应数据 序列：4，1，20，1，19，5，3，21，18，9，20，25 k=5时，得密文序列
每个密钥仅对一个消息使用一次。发方对所发的消 息加密，然后销毁乱码本中用过的一页。收方有一 个同样的乱码本，并依次使用乱码本上的每个密钥 去解密密文的每个字符，然后销毁乱码本中用过的 一页。
20
传统密码学
四、传统密码学
棋盘密码
建立一张表，使每一个字符对应一数ξ ,η ，ξ 是该 字符所在行标号， η 是列标号。这样将明文变成形 式为一串数字密文。这种密码古代曾广泛利用。
18
传统密码学
四、传统密码学
优点：能抵抗简单的字母频率分析攻击。 设 密 钥 k=k1k2…kn， 明 文 M=m1m2…mn， 加 密 变 换 Ek(M)=c1c2…cn。其中
ci≡( mi + ki) mod 26，i=1,2…n。
多表密码加密算法结果将使得对单表置换用的简单 频率分析方法失效。
COMPU
TERSY STEMS ECURI TY
密文：CTSETOETCYMREUPSMRUYSI
12
传统密码学
四、传统密码学
2、代替法 ：代替密码就是明文中每一个字符被替换成密文 中的另外一个字符，代替后的各字母保持原来位置。对密文 进行逆替换就可恢复出明文。有四种类型的代替密码：（1） （1）单表（简单）代替密码：就是明文的一个字符用相应 的一个密文字符代替。加密过程中是从明文字母表到密文字 母表的一一映射。例：恺撒（Caesar)密码。 （2）同音代替密码：它与简单代替密码系统相似，唯一的 不同是单个字符明文可以映射成密文的几个字符之一同音代 替的密文并不唯一。 （3）多字母组代替密码：字符块被成组加密，例如“ABA” 可能对应“RTQ”，ABB可能对应“SLL”等。例：Playfair密码。 （4）多表代替密码：由多个单字母密码构成，每个密钥加 密对应位置的明文。 例：维吉尼亚密码。
10
传统密码学
三、密码分析
密码学更关心在计算上不可破译的密码系统。如果一个算法 用（现在或将来）可得到的资源（公开数据 ）都不能破译， 这个算法则被认为在计算上是安全的。 可以用不同方式衡量攻击方法的复杂性：
数据复杂性。用作攻击输入所需的数据量。
处理复杂性。完成攻击所需要的时间，这个经常叫做工作因 素。
8
传统密码学
三、密码分析
密码学：对信息进行编码实现隐蔽信息的一门学问。 密码分析学：研究分析破译密码的学问。两者相互对立、促进。 1、常用的密码分析攻击有四类 ： 加密算法：公开 。 攻击目标：获得密钥K • 唯密文攻击（ciphertext only attacks）。 已知：截获部分密文 • 已知明文攻击（know plaintext attacks）。 已知：截获部分密文；若干明文——密文对。 • 选择明文攻击（chosen plaintext attacks）。 已知：截获部分密文；自主选择的明文——密文对。 • 选择密文攻击 9 暂时接近密码机，可选择密文串，并构造出相应的明文。
23
传统密码学
六、单表密码分析
字母、三字母组合是分析单表密码的有力手段 。
英语单词以e、s、t、d双结尾的超过一半；以t、a、 s、w 为起始字母的约为一半。 某些常用用法也会提供有价值的线索，如信的开头 写Dear ；源程序的某一位置是版权声明；电子资金 传送报头格式。 单表密码的弱点：明文和密文字母之间的一一代替 关系。这使得明文中的一些固有特性和规律（比如 语言的各种统计特性）必然反映到密文中去。
1
1 2 3 4 A F L Q
2
B G M R
3
C H N S
4
D IJ O T
5
E K P U5源自VWXY
Z
21
传统密码学
五、密码体制评价
保密强度：与数据的重要性有关 密钥的长度：安全、保管、记忆 算法的复杂度：开销大小 差错的传播性：不应使差错导致通信失败 加密后信息长度的增加程度：
22
传统密码学
(
0 1 2 3 ..23 24 25 0' 1' 2' 3' ..23' 24' 25'
)
2*密钥空间K很大，|k|=26! ≈ 4×1026，破译者穷举搜索 是不行的，然而，可由统计的方式破译它。
3*移位密码体制是替换密码体制的一个特例，它仅含26 个置换做为密钥空间
15
传统密码学
四、传统密码学
6
传统密码学
二、加密和解密
加密通信的模型
窃听者 密码分析
信源
x
加密机 k1
y
解密机 k2
x
接收者
不安全信道
密钥源
密钥源
7
安全信道
传统密码学
二、加密和解密
1*.Alice要将明文Ｘ在不安全信道上发给Bob，设X=x1 x2… xn , 其中xi ∈P, Alice用加密算法ek作yi=ek(xi) 1≤ i≤ n 结果的密文是 Y=y1y2….yn ,在信道上发送， Bob收到后解密：xi=dk(yi) 得到明文X=x1 x2… xn .。 2*.加密函数ek必须是单射函数，就是一对一的函数。 3*.好的密钥算法是唯密钥而保密的。 4*.若Alice和Bob在一次通信中使用相同的密钥，那么 这个加密体制为对称的，否则称为非对称的。
16
传统密码学
四、传统密码学
例：25个字母组成5阶方阵如下（J与I相同）：
HARPS （1）明文字母 m1和m2同行。密文是其右边字母。
ICODB （3） m1和m2不同行、不同列。密文是长方形的另两个顶点。 EFGKL MNQTU VWXYZ