密码与密钥

八卦谈佚名 ▪ 2023-10-19 04:41:34

密码算法是用于加密和解密的数学函数，密码算法是密码协议的基础。现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等，用于保证信息的安全，提供鉴别、完整性、抗抵赖等服务。假设我们想通过网络发送消息P（P通常是明文数据包），使用密码算法隐藏P的内容可将P转化成密文，这个转化过程就叫做加密。与明文P相对应的密文C的得到依靠一个附加的参数K，称为密钥。密文C的接收方为恢复明文，需要另一个密钥K-1完成反方向的运算。这个反向的过程称为解密。

加密技术

一个密码系统的安全性只在于密钥的保密性，而不在算法的保密性。对纯数据的加密的确是这样。对于你不愿意让他看到这些数据（数据的明文）的人，用可靠的加密算法，只要破解者不知道被加密数据的密码，他就不可解读这些数据。但是，软件的加密不同于数据的加密，它只能是“隐藏”。不管你愿意不愿意让他（合法用户，或 Cracker）看见这些数据（软件的明文），软件最终总要在机器上运行，对机器，它就必须是明文。既然机器可以“看见”这些明文，那么 Cracker，通过一些技术，也可以看到这些明文。于是，从理论上，任何软件加密技术都可以破解。只是破解的难度不同而已。有的要让最高明的 Cracker 忙上几个月，有的可能不费吹灰之力，就被破解了。

密码学

对称密码算法

对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。

对称算法的加密和解密表示为：

EK（M）=C

DK（C）=M

对称算法可分为两类。一次只对明文中的单个比特（有时对字节）运算的算法称为序列算法或序列密码。另一类算法是对明文的一组比特亚行运算，这些比特组称为分组，相应的算法称为分组算法或分组密码。现代计算机密码算法的典型分组长度为64比特——这个长度大到足以防止分析破译，但又小到足以方便使用（在计算机出现前，算法普遍地每次只对明文的一个字符运算，可认为是序列密码对字符序列的运算）。

公开密码算法

公开密钥算法（也叫非对称算法）是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。在这些系统中，加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。私人密钥有时也叫秘密密钥。为了避免与对称算法混淆，此处不用秘密密钥这个名字。

用公开密钥K加密表示为

EK(M)=C.

虽然公开密钥和私人密钥是不同的，但用相应的私人密钥解密可表示为：

DK(C)=M

有时消息用私人密钥加密而用公开密钥解密，这用于数字签名（后面将详细介绍），尽管可能产生混淆，但这些运算可分别表示为：

EK(M)=C

DK(C)=M

当前的公开密码算法的速度，比起对称密码算法，要慢的多，这使得公开密码算法在大数据量的加密中应用有限。

单向散列函数

单向散列函数 H(M) 作用于一个任意长度的消息 M，它返回一个固定长度的散列值 h，其中 h 的长度为 m 。

输入为任意长度且输出为固定长度的函数有很多种，但单向散列函数还有使其单向的其它特性：

(1) 给定 M ，很容易计算 h ；

(2) 给定 h ，根据 H(M) = h 计算 M 很难；

(3) 给定 M ，要找到另一个消息 M‘ 并满足 H(M) = H(M’) 很难。

在许多应用中，仅有单向性是不够的，还需要称之为“抗碰撞”的条件：

要找出两个随机的消息 M 和 M‘，使 H(M) = H(M’) 满足很难。

由于散列函数的这些特性，由于公开密码算法的计算速度往往很慢，所以，在一些密码协议中，它可以作为一个消息 M 的摘要，代替原始消息 M，让发送者为 H(M) 签名而不是对 M 签名。

如 SHA 散列算法用于数字签名协议 DSA中。

数字签名

提到数字签名就离不开公开密码系统和散列技术。

有几种公钥算法能用作数字签名。在一些算法中，例如RSA，公钥或者私钥都可用作加密。用你的私钥加密文件，你就拥有安全的数字签名。在其它情况下，如DSA，算法便区分开来了??数字签名算法不能用于加密。这种思想首先由Diffie和Hellman提出。

基本协议是简单的：

(1) A 用她的私钥对文件加密，从而对文件签名。

(2) A 将签名的文件传给B。

(3) B用A的公钥解密文件，从而验证签名。

这个协议中，只需要证明A的公钥的确是她的。如果B不能完成第（3）步，那么他知道签名是无效的。

这个协议也满足以下特征：

(1) 签名是可信的。当B用A的公钥验证信息时，他知道是由A签名的。

(2) 签名是不可伪造的。只有A知道她的私钥。

(3) 签名是不可重用的。签名是文件的函数，并且不可能转换成另外的文件。

(4) 被签名的文件是不可改变的。如果文件有任何改变，文件就不可能用A的公钥验证。

(5) 签名是不可抵赖的。B不用A的帮助就能验证A的签名。

加密算法

加密技术是对信息进行编码和解码的技术，编码是把原来可读信息（又称明文）译成代码形式（又称密文），其逆过程就是解码（解密）。加密技术的要点是加密算法，加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。

对称加密算法对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。

不对称加密算法不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。

不可逆加密算法的特征是加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。显然，在这类加密过程中，加密是自己，解密还得是自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。在计算机网络中应用较多不可逆加密算法的有RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard:安全杂乱信息标准)等。

密码协议

密码协议，也称安全协议，一般是指在大型公众网络上，多人参与并凭借其达到秘密信息交换，和确定信息完整性的方法。一般而言，密码学中所有的密码系统，例如密钥分配系统、数字签名认证系统、秘密共享系统，均可称为密码协议。密码协议为网络提供安全服务，是网络安全的基本保障。近年来，随着Internet的飞速发展，网络上越来越多的数据传输和交易都需要密码协议的保障和支持。

密码协议的目的不仅仅是为了简单的秘密性，参与协议的各方可能为了计算一个数值需要共享它们的秘密部分、共同产生随机序列、确定互相的身份、或同时签署合同等。

认证协议

认证协议是一个认证过程，是两方或多方通信实体为达到向对方证明自己拥有某种属性进行的一系列步骤。认证协议可以分为三个子类型:数据源认证、实体认证、密钥建立的认证。

　　1、数据源认证

　　数据源认证与数据完整性认证无法完全隔离开来，逻辑上来讲，被篡改过的消息可以认为不是来自最初消息源。不过，这两个概念差别很大，且用途功能不同。数据源认证协议包含以下特征。

　　(1)包含从某个声称的消息源到接收者的传输过程，该接收者在接收时会验证消息。

　　(2)接收方执行消息验证的目的在于确认消息发送者的身份，防比敌手冒充合法用户发送消息。

　　(3)接收方执行消息验证的目的还在于确认收到的消息是否完整(离开消息源之后没有被篡改)。

　　(4)验证的进一步目的是验证消息的鲜活性(消息是否第一次从正确的消息源被发送出来的)。

　　2、实体认证

　　所谓实体认证指的是依照认证协议进行通信的一个过程，基于实体认证技术，一个通信实体可以向另一个通信实体证实自己的身份并得到对方的确认。认证协议的一个重要目标就是实体认证。

　　3、密钥建立认证协议

　　认证密钥建立协议主要实现以下功能:为参与某具体协议的若干个参与者实现身份认证，并为这些参与者建立一个新的共享密钥，用于后续的安全通信。作为应用最为广泛的网络通信协议之一，认证密钥建立协议所生成的会话密钥可以构建安全通道，保证应用层上的后续通信的安全。当然，该协议也可以与公钥密码体制一起使用，同时实现机密性和认证性。密钥建立协议通常分为密钥分发协议和密钥交换协议(或密钥协商)等。我们经常用到的认证密钥协议包括Kerboro、认证协议、Needham-Schroeder认证协议等。在密钥建立协议中会包含对实体认证和数据源认证。认证协议也可用于无线网络中安全切换认证，在无线网络中，一个终端用户可能由于实际通信需求，需要切换到另一个基站所覆盖的范围内，这个用户就需要和新的接入点进行相互认证和密钥协商。

协议面临的典型攻击

在密码技术领域中，认证协议会而临多种攻击方法，这就是认证协议的安全性问题难以解决的原因所在。对认证协议或认证的密钥建立协议的成功攻击，通常并不是指攻破该协议的密码算法，相反，它通常是指攻击者能够以某种未授权并且不被察觉的方式获得某种密码信任证件或者破坏某种密码服务，同时不用破环某种密码算法。这是由于密码设计的错误而不是密码算法的问题。密码协议而临的典型攻击众多。

　　1、消息重放攻击

　　攻击者预先记录某个协议先前的某次运行中的某条消息，然后在该协议新的运行中重放(重新发送)记录的消息，由于认证协议的目标是建立通信方之间的真实通信，并且该目标通常是通过多方直接交换新鲜的消息来实现，所以协议之间的消息重发会导致通信方的错误判断，从而导致通信者之间的不真实的通信，且通信者察觉不到。

　　2、中间人攻击

　　中间人攻击在本质上众所周知的“象棋大师问题”，它主要针对缺乏双方认证的通信协议中，在攻击过程中，攻击者能够把协议的参与者所提出的困

　　难问题提交给另一个参与者来回答，然后把答案交给原来提问者，反之亦然。

　　3、平行会话攻击

　　在攻击者的安排下，一个协议的多个运行并发执行，在此过程中，攻击者能够从一个运行中得到另外某个运行中的困难问题答案，从而达到攻击的目的。

　　4、交错攻击

　　某个协议的两次获多次运行在攻击者的特意安排下按交织的方式执行。在这种模式下，攻击者可以合成其需要的特定消息并在某个运行中进行传送，以便得到某主体应答消息，此应答消息又被用于另外运行的协议中，如此交错运行，最终达到其攻击目的。

　　在协议的攻击类型中，还有其它更多的攻击方法，比如姓名遗漏攻击、类型缺陷攻击、密码服务滥用攻击等。对密码协议的攻击无法穷尽，除了人们发现或己知的很多攻击之外，可能还存在很多人们没有发现的潜在攻击。由上述针对各种密码协议的攻击方法来看，密码协议所而临的攻击方式是通常是多种多样的，常常会以令人非常吃惊的方式出现。如何设计安全的密码协议或如何检测一个密码协议是否安全是密码技术中的一个严峻课题。

密码协议的分析方法概述

由于认证协议会而临诸多己知攻击及未知的攻击，因此，针对认证协议的安全性分析也成为密码研究中的一个特别重要的研究方向。目前已经有的关于安全协议的分析方法主要可以归纳为4种。

　　1、基于逻辑推理的分析方法

　　1989年，BAN逻辑成为逻辑分析的典型代表。作为一个开创性工作，BAN逻辑首次对基于逻辑推理所设计的密码协议进行了形式化分析。在BAN逻辑中，各个参与者在最初始时刻的知识有了形式化定义，参与者的职责也同样得到了形式化。BAN逻辑通过信息的发送和接收等协议步骤可以得到新知识，再利用推理规则获取最终的知识。当协议执行完成后，如果最终得到的知识和信任语句集中没有目标知识和信任的相应语句时，就表明所设计的协议是不安全的，存在缺陷。具体的逻辑分析步骤如下。

　　(1)协议理想化:通过BAN逻辑语言对实际协议的所有步骤进行描述。

　　(2)确定初始假设:协议运行开始时的信仰假设和状态假设。

　　(3)确定断言:所谓确定断言就是将相关逻辑公式附加给协议的语句。

　　(4)逻辑化推理:所谓逻辑化推理就是利用推理规则，基于假设和断言来得到参与者最终的信仰。最后，对最终得到的逻辑结果判断，检查所设计的协议是否达到设计之初的目标。

　　2、基于模型检验的分析方法

　　模型检验技术是一种适用于有限状态系统的自动化分析技术，实际上也是密码协议的一种自动验证工具。从协议的初始状态开始，模型检验(Model Checking)技术就对协议主体和潜在攻击者的所有可能的执行路径进行状态搜索，以确定是否存在错误状态。这种技术方法进行密码协议分析建模是以进程代数、Dolev-Yao模型等为理论基础的。1996年，基于通信顺序进程(Communication Sequential Processes, CSP)方法和模型检验技术，Lowe实现了密码协议的形式化分析。基于CSP模型以及CSP模型的失败差异细化(Failures-Diver-gences Refinement, FDR)检验工具，Lowe对Needham-Schroeder认证协议进行了分析，并发现了针对该协议的一个可行的攻击。其它类似的方法包括Interrogator系统、FDR模型检验工具和NRL(Naval Research Laboratory)协议分析器等。模型检验技术需要而临的难题是如何恰当地把安全协议用对应的分析语言描述。由于该方法是一种状态搜索的过程，当协议稍微复杂时，会而临状态爆炸问题。此外，这种方法的分析过程与攻击者能力的刻画和密码协议的形式化都紧密相关，而攻击者的行为方式却在不断地发展变化。

　　3、基于定理证明的分析方法

　　就基于定理证明的分析方法来说，串空间(Strand Space)方法非常重要。串空间方法是Thayer、 Herzog和Guttman于1998年提出并用于密码协议分析的。多个strand的集合构成串空间，strand是一个线性结构，由发送和接收的消息组成，是协议主体或者攻击者的行为事件的一个序列。对于协议的一个诚实主体而言，已在协议一次运行中的行为可以基于一个Strand来表示，不同strand表示不同主体的行为。特别地，一个主体在某个时间段里参加了多次协议运行也用不同的strand来表示。对于攻击者而言，它所获知的消息的发送和接收行为共同组成其、trand中的行为。

　　4、密码学可证明安全性分析方法

　　该方法使用现代密码学中可证明安全性的理论，在复杂性理论的框架下提供协议安全证明，是一种规约式证明，把协议的安全性规约到某特定的已知难题。在一些特定框架下能够给出密码协议的安全性证明。

密钥管理

密钥，即密匙，一般泛指生产、生活所应用到的各种加密技术，能够对个人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。

主要表现

流程

密钥生成

密钥长度应该足够长。一般来说，密钥长度越大，对应的密钥空间就越大，攻击者使用穷举猜测密码的难度就越大。

选择好密钥，避免弱密钥。由自动处理设备生成的随机的比特串是好密钥，选择密钥时，应该避免选择一个弱密钥。

对公钥密码体制来说，密钥生成更加困难，因为密钥必须满足某些数学特征。

密钥生成可以通过在线或离线的交互协商方式实现，如密码协议等。

密钥分发

采用对称加密算法进行保密通信，需要共享同一密钥。通常是系统中的一个成员先选择一个秘密密钥，然后将它传送另一个成员或别的成员。X9.17标准描述了两种密钥：密钥加密密钥和数据密钥。密钥加密密钥加密其它需要分发的密钥；而数据密钥只对信息流进行加密。密钥加密密钥一般通过手工分发。为增强保密性，也可以将密钥分成许多不同的部分然后用不同的信道发送出去。

验证密钥

密钥附着一些检错和纠错位来传输，当密钥在传输中发生错误时，能很容易地被检查出来，并且如果需要，密钥可被重传。

接收端也可以验证接收的密钥是否正确。发送方用密钥加密一个常量，然后把密文的前2-4字节与密钥一起发送。在接收端，做同样的工作，如果接收端解密后的常数能与发端常数匹配，则传输无错。

更新密钥

当密钥需要频繁的改变时，频繁进行新的密钥分发的确是困难的事，一种更容易的解决办法是从旧的密钥中产生新的密钥，有时称为密钥更新。可以使用单向函数进行更新密钥。如果双方共享同一密钥，并用同一个单向函数进行操作，就会得到相同的结果。

密钥存储

密钥可以存储在脑子、磁条卡、智能卡中。也可以把密钥平分成两部分，一半存入终端一半存入ROM密钥。还可采用类似于密钥加密密钥的方法对难以记忆的密钥进行加密保存。

备份密钥

密钥的备份可以采用密钥托管、秘密分割、秘密共享等方式。

最简单的方法，是使用密钥托管中心。密钥托管要求所有用户将自己的密钥交给密钥托管中心，由密钥托管中心备份保管密钥（如锁在某个地方的保险柜里或用主密钥对它们进行加密保存），一旦用户的密钥丢失（如用户遗忘了密钥或用户意外死亡），按照一定的规章制度，可从密钥托管中心索取该用户的密钥。另一个备份方案是用智能卡作为临时密钥托管。如Alice把密钥存入智能卡，当Alice不在时就把它交给Bob，Bob可以利用该卡进行Alice的工作，当Alice回来后，Bob交还该卡，由于密钥存放在卡中，所以Bob不知道密钥是什么。

秘密分割把秘密分割成许多碎片，每一片本身并不代表什么，但把这些碎片放到一块，秘密就会重现出来。

一个更好的方法是采用一种秘密共享协议。将密钥K分成n块，每部分叫做它的“影子”，知道任意m个或更多的块就能够计算出密钥K，知道任意m-1个或更少的块都不能够计算出密钥K，这叫做（m,n）门限（阈值）方案。目前，人们基于拉格朗日内插多项式法、射影几何、线性代数、孙子定理等提出了许多秘密共享方案。

拉格朗日插值多项式方案是一种易于理解的秘密共享(m,n)门限方案。

秘密共享解决了两个问题：一是若密钥偶然或有意地被暴露，整个系统就易受攻击；二是若密钥丢失或损坏，系统中的所有信息就不能用了。

密钥有效期

加密密钥不能无限期使用，有以下有几个原因：密钥使用时间越长，它泄露的机会就越大；如果密钥已泄露，那么密钥使用越久，损失就越大；密钥使用越久，人们花费精力破译它的诱惑力就越大——甚至采用穷举攻击法；对用同一密钥加密的多个密文进行密码分析一般比较容易。

不同密钥应有不同有效期。

数据密钥的有效期主要依赖数据的价值和给定时间里加密数据的数量。价值与数据传送率越大所用的密钥更换越频繁。

密钥加密密钥无需频繁更换，因为它们只是偶尔地用作密钥交换。在某些应用中，密钥加密密钥仅一月或一年更换一次。

用来加密保存数据文件的加密密钥不能经常地变换。通常是每个文件用唯一的密钥加密，然后再用密钥加密密钥把所有密钥加密，密钥加密密钥要么被记忆下来，要么保存在一个安全地点。当然，丢失该密钥意味着丢失所有的文件加密密钥。

公开密钥密码应用中的私钥的有效期是根据应用的不同而变化的。用作数字签名和身份识别的私钥必须持续数年（甚至终身），用作抛掷硬币协议的私钥在协议完成之后就应该立即销毁。即使期望密钥的安全性持续终身，两年更换一次密钥也是要考虑的。旧密钥仍需保密，以防用户需要验证从前的签名。但是新密钥将用作新文件签名，以减少密码分析者所能攻击的签名文件数目。

销毁密钥

如果密钥必须替换，旧钥就必须销毁，密钥必须物理地销毁。

管理系统

公开密钥密码使得密钥较易管理。无论网络上有多少人，每个人只有一个公开密钥。

使用一个公钥/私钥密钥对是不够的。任何好的公钥密码的实现需要把加密密钥和数字签名密钥分开。但单独一对加密和签名密钥还是不够的。象身份证一样，私钥证明了一种关系，而人不止有一种关系。如Alice分别可以以私人名义、公司的副总裁等名义给某个文件签名。

各商业银行的金融IC卡联合试点中，各级银行对密钥的安全控制和管理，是应用系统安全的关键。

《RT-KMS密钥管理系统》遵循《中国金融集成电路（IC）卡规范（v 1.0）》和《银行IC卡联合试点技术方案》，方便各成员银行自主

发卡，实现读卡机具共享，完成异地跨行交易。

安全机制

在全国银行IC卡联合试点中，各级银行利用密钥管理系统来实现密钥的安全管理。密钥管理系统采用3DES加密算法，运用中国人民

银行总行、人民银行地区分行（商业银行总行）、成员银行三级管理体制，安全共享公共主密钥的，实现卡片互通、机具共享。

整个安全体系结构主要包括三类密钥：全国通用的人总行消费/取现主密钥GMPK、发卡银行的消费/取现主密钥MPK和发卡银行的其他

主密钥。根据密钥的用途，系统采用不同的处理策略。

设计原则

（1）所有密钥的装载于导入都采用密文方式。

（2）密钥受到严格的权限控制，不同的机构或人员对不同的密钥读、写、更新、使用等操作具有不同的权限。

（3）为保证密钥使用的安全，并考虑实际使用的需要，系统可产生多套主密钥，如果其中一套密钥被泄漏或攻击，应用系统可立即停止该套密钥的使用，并启用备用密钥，这样尽可能的避免现有的投资和设备的浪费，减少系统使用风险。

（4）用户可根据实际使用的需要，选择密钥管理子系统不同的组合与配置。

（5）密钥服务、存储和备份采用密钥卡或加密机的形式。

管理技术

技术分类

1、对称密钥管理。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程。通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。　贸易方可以为每次交换的信息（如每次的EDI交换）生成唯一一把对称密钥并用公开密钥对该密钥进行加密，然后再将加密后的密钥和用该密钥加密的信息（如EDI交换）一起发送给相应的贸易方。由于对每次信息交换都对应生成了唯一一把密钥，因此各贸易方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是，即使泄露了一把密钥也只将影响一笔交易，而不会影响到贸易双方之间所有的交易关系。这种方式还提供了贸易伙伴间发布对称密钥的一种安全途径。

2、公开密钥管理/数字证书。贸易伙伴间可以使用数字证书（公开密钥证书）来交换公开密钥。国际电信联盟（ITU）制定的标准X.509，对数字证书进行了定义该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC 9594-8：195标准。数字证书通常包含有唯一标识证书所有者（即贸易方）的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易方的作用，是目前电子商务广泛采用的技术之一。

3、密钥管理相关的标准规范。目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会（JTC1）已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成：一是密钥管理框架；二是采用对称技术的机制；三是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段，并将很快成为正式的国际标准。

数字签名

数字签名是公开密钥加密技术的另一类应用。它的主要方式是：报文的发送方从报文文本中生成一个128位的散列值（或报文摘要）。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值（或报文摘要），接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

ISO/IEC JTC1已在起草有关的国际标准规范。该标准的初步题目是“信息技术安全技术带附件的数字签名方案”，它由概述和基于身份的机制两部分构成。

加密算法

密码学简介据记载，公元前400年，古希腊人发明了置换密码。1881年世界上的第一个电话保密专利出现。在第二次世界大战期间，德国军方启用“恩尼格玛”密码机，密码学在战争中起着非常重要的作用。

随着信息化和数字化社会的发展，人们对信息安全和保密的重要性认识不断提高，于是在1997年，美国国家标准局公布实施了“美国数据加密标准（DES）”，民间力量开始全面介入密码学的研究和应用中，采用的加密算法有DES、RSA、SHA等。随着对加密强度需求的不断提高，近期又出现了AES、ECC等。

使用密码学可以达到以下目的：

保密性：防止用户的标识或数据被读取。

数据完整性：防止数据被更改。

身份验证：确保数据发自特定的一方。

二. 加密算法介绍根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。

对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。

非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。

对称加密算法

在对称加密算法中，只有一个密钥用来加密和解密信息，即加密和解密采用相同的密钥。常用的算法包括：DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。

AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；

2000年10月，NIST（美国国家标准和技术协会）宣布通过从15种侯选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的AES。Rijndael是在 1999 年下半年，由研究员Joan Daemen 和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子数据的实际标准。

美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标准(AES) 规范。

算法原理 AES 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。

AES 是一个迭代的、对称密钥分组的密码，它可以使用128、192 和 256 位密钥，并且用 128 位（16字节）分组加密和解密数据。与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。

AES与3DES的比较

算法名称

算法类型

密钥长度

速度

解密时间（建设机器每秒尝试255个密钥）

资源消耗

AES

对称block密码

128、192、256位

高

1490000亿年

低

3DES

对称feistel密码

112位或168位

低

46亿年

中

非对称算法

常见的非对称加密算法如下：

RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；

DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的 DSS（数字签名标准）；

ECC（Elliptic Curves Cryptography）：椭圆曲线密码编码学。

在1976年，由于对称加密算法已经不能满足需要，Diffie 和Hellman发表了一篇叫《密码学新动向》的文章，介绍了公匙加密的概念，由Rivet、Shamir、Adelman提出了RSA算法。

随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展，为了保障数据的安全，RSA的密钥需要不断增加，但是，密钥长度的增加导致了其加解密的速度大为降低，硬件实现也变得越来越难以忍受，这对使用RSA的应用带来了很重的负担，因此需要一种新的算法来代替RSA。

1985年N.Koblitz和Miller提出将椭圆曲线用于密码算法，根据是有限域上的椭圆曲线上的点群中的离散对数问题ECDLP。ECDLP是比因子分解问题更难的问题，它是指数级的难度。

原理——椭圆曲线上的难题椭圆曲线上离散对数问题ECDLP定义如下：给定素数p和椭圆曲线E，对Q=kP，在已知P，Q 的情况下求出小于p的正整数k。可以证明由k和P计算Q比较容易，而由Q和P计算k则比较困难。

将椭圆曲线中的加法运算与离散对数中的模乘运算相对应，将椭圆曲线中的乘法运算与离散对数中的模幂运算相对应，我们就可以建立基于椭圆曲线的对应的密码体制。

例如，对应Diffie-Hellman公钥系统，我们可以通过如下方式在椭圆曲线上予以实现：在E上选取生成元P，要求由P产生的群元素足够多，通信双方A和B分别选取a和b，a和b 予以保密，但将aP和bP公开，A和B间通信用的密钥为abP，这是第三者无法得知的。

对应ELGamal密码系统可以采用如下的方式在椭圆曲线上予以实现：

将明文m嵌入到E上Pm点，选一点B∈E，每一用户都选一整数a，0<a<N，N为阶数已知，a保密，aB公开。欲向A送m，可送去下面一对数偶：[kB，Pm+k(aAB)]，k是随机产生的整数。A可以从kB求得k(aAB)。通过：Pm+k(aAB)- k(aAB)=Pm恢复Pm。同样对应DSA，考虑如下等式：

K=kG [其中 K，G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数]

不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。

这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k（k<n，n为基点G的阶）称为私有密钥（privte key），K称为公开密钥（public key)。

ECC与RSA的比较 ECC和RSA相比，在许多方面都有对绝对的优势，主要体现在以下方面：

抗攻击性强。相同的密钥长度，其抗攻击性要强很多倍。

计算量小，处理速度快。ECC总的速度比RSA、DSA要快得多。

存储空间占用小。ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多，意味着它所占的存贮空间要小得多。这对于加密算法在IC卡上的应用具有特别重要的意义。

带宽要求低。当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。带宽要求低使ECC在无线网络领域具有广泛的应用前景。

ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。

下面两张表示是RSA和ECC的安全性和速度的比较。

攻破时间(MIPS年)

RSA/DSA（密钥长度）

ECC密钥长度

RSA/ECC密钥长度比

512

106

5：1

768

132

6：1

1024

160

7：1

2048

210

10：1

21000

600

35：1

RSA和ECC安全模长得比较

功能

Security Builder 1.2

BSAFE 3.0

163位ECC(ms)

1,023位RSA(ms)

密钥对生成

3.8

4,708.3

签名

2.1(ECNRA)

228.4

3.0(ECDSA)

认证

9.9(ECNRA)

12.7

10.7(ECDSA)

Diffie—Hellman密钥交换

7.3

1,654.0

RSA和ECC速度比较

散列算法

散列算法也叫哈希算法，英文是Hash ,就是把任意长度的输入（又叫做预映射， pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

HASH主要用于信息安全领域中加密算法，它把一些不同长度的信息转化成杂乱的128位的编码,这些编码值叫做HASH值. 也可以说，hash就是找到一种数据内容和数据存放地址之间的映射关系散列是信息的提炼，通常其长度要比信息小得多，且为一个固定长度。加密性强的散列一定是不可逆的，这就意味着通过散列结果，无法推出任何部分的原始信息。任何输入信息的变化，哪怕仅一位，都将导致散列结果的明显变化，这称之为雪崩效应。散列还应该是防冲突的，即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。

单向散列函数一般用于产生消息摘要，密钥加密等，常见的有：

MD5（Message Digest Algorithm 5）：是RSA数据安全公司开发的一种单向散列算法。

SHA（Secure Hash Algorithm）：可以对任意长度的数据运算生成一个160位的数值；

在1993年，安全散列算法（SHA）由美国国家标准和技术协会(NIST)提出，并作为联邦信息处理标准（FIPS PUB 180）公布；1995年又发布了一个修订版FIPS PUB 180-1，通常称之为SHA-1。SHA-1是基于MD4算法的，并且它的设计在很大程度上是模仿MD4的。现在已成为公认的最安全的散列算法之一，并被广泛使用。

原理 SHA-1是一种数据加密算法，该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程。

单向散列函数的安全性在于其产生散列值的操作过程具有较强的单向性。如果在输入序列中嵌入密码，那么任何人在不知道密码的情况下都不能产生正确的散列值，从而保证了其安全性。SHA将输入流按照每块512位（64个字节）进行分块，并产生20个字节的被称为信息认证代码或信息摘要的输出。

该算法输入报文的最大长度不超过264位，产生的输出是一个160位的报文摘要。输入是按512 位的分组进行处理的。SHA-1是不可逆的、防冲突，并具有良好的雪崩效应。

通过散列算法可实现数字签名实现，数字签名的原理是将要传送的明文通过一种函数运算（Hash）转换成报文摘要（不同的明文对应不同的报文摘要），报文摘要加密后与明文一起传送给接受方，接受方将接受的明文产生新的报文摘要与发送方的发来报文摘要解密比较，比较结果一致表示明文未被改动，如果不一致表示明文已被篡改。

MAC (信息认证代码)就是一个散列结果，其中部分输入信息是密码，只有知道这个密码的参与者才能再次计算和验证MAC码的合法性。MAC的产生参见下图。

输入信息

密码

散列函数

信息认证代码

SHA-1与MD5的比较因为二者均由MD4导出，SHA-1和MD5彼此很相似。相应的，他们的强度和其他特性也是相似，但还有以下几点不同：

对强行供给的安全性：最显著和最重要的区别是SHA-1摘要比MD5摘要长32 位。使用强行技术，产生任何一个报文使其摘要等于给定报摘要的难度对MD5是2数量级的操作，而对SHA-1则是2数量级的操作。这样，SHA-1对强行攻击有更大的强度。

对密码分析的安全性：由于MD5的设计，易受密码分析的攻击，SHA-1显得不易受这样的攻击。

速度：在相同的硬件上，SHA-1的运行速度比MD5慢。

两者比较

对称与非对称算法比较

以上综述了两种加密方法的原理，总体来说主要有下面几个方面的不同：

一、在管理方面：公钥密码算法只需要较少的资源就可以实现目的，在密钥的分配上，两者之间相差一个指数级别（一个是n一个是n）。所以私钥密码算法不适应广域网的使用，而且更重要的一点是它不支持数字签名。

二、在安全方面：由于公钥密码算法基于未解决的数学难题，在破解上几乎不可能。对于私钥密码算法，到了AES虽说从理论来说是不可能破解的，但从计算机的发展角度来看。公钥更具有优越性。

三、从速度上来看：AES的软件实现速度已经达到了每秒数兆或数十兆比特。是公钥的100倍，如果用硬件来实现的话这个比值将扩大到1000倍。

加密算法的选择前面的章节已经介绍了对称解密算法和非对称加密算法，有很多人疑惑：那我们在实际使用的过程中究竟该使用哪一种比较好呢？

我们应该根据自己的使用特点来确定，由于非对称加密算法的运行速度比对称加密算法的速度慢很多，当我们需要加密大量的数据时，建议采用对称加密算法，提高加解密速度。

对称加密算法不能实现签名，因此签名只能非对称算法。

由于对称加密算法的密钥管理是一个复杂的过程，密钥的管理直接决定着他的安全性，因此当数据量很小时，我们可以考虑采用非对称加密算法。

在实际的操作过程中，我们通常采用的方式是：采用非对称加密算法管理对称算法的密钥，然后用对称加密算法加密数据，这样我们就集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。

如果在选定了加密算法后，那采用多少位的密钥呢？一般来说，密钥越长，运行的速度就越慢，应该根据的我们实际需要的安全级别来选择，一般来说，RSA建议采用1024位的数字，ECC建议采用160位，AES采用128为即可。

密码学在现代的应用，随着密码学商业应用的普及，公钥密码学受到前所未有的重视。除传统的密码应用系统外，PKI系统以公钥密码技术为主，提供加密、签名、认证、密钥管理、分配等功能。

保密通信：保密通信是密码学产生的动因。使用公私钥密码体制进行保密通信时，信息接收者只有知道对应的密钥才可以解密该信息。

数字签名：数字签名技术可以代替传统的手写签名，而且从安全的角度考虑，数字签名具有很好的防伪造功能。在政府机关、军事领域、商业领域有广泛的应用环境。

秘密共享：秘密共享技术是指将一个秘密信息利用密码技术分拆成n个称为共享因子的信息，分发给n个成员，只有k(k≤n)个合法成员的共享因子才可以恢复该秘密信息，其中任何一个或m(m≤k)个成员合作都不知道该秘密信息。利用秘密共享技术可以控制任何需要多个人共同控制的秘密信息、命令等。

认证功能：在公开的信道上进行敏感信息的传输，采用签名技术实现对消息的真实性、完整性进行验证，通过验证公钥证书实现对通信主体的身份验证。

密钥管理：密钥是保密系统中更为脆弱而重要的环节，公钥密码体制是解决密钥管理工作的有力工具；利用公钥密码体制进行密钥协商和产生，保密通信双方不需要事先共享秘密信息；利用公钥密码体制进行密钥分发、保护、密钥托管、密钥恢复等。

基于公钥密码体制可以实现以上通用功能以外，还可以设计实现以下的系统：安全电子商务系统、电子现金系统、电子选举系统、电子招投标系统、电子彩票系统等。

公钥密码体制的产生是密码学由传统的政府、军事等应用领域走向商用、民用的基础，同时互联网、电子商务的发展为密码学的发展开辟了更为广阔的前景。

加密算法的未来随着计算方法的改进，计算机运行速度的加快，网络的发展，越来越多的算法被破解。

在2004年国际密码学会议(Crypto’2004)上，来自中国山东大学的王小云教授做的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告，令在场的国际顶尖密码学专家都为之震惊，意味着这些算法将从应用中淘汰。随后，SHA-1也被宣告被破解。

历史上有三次对DES有影响的攻击实验。1997年，利用当时各国 7万台计算机，历时96天破解了DES的密钥。1998年，电子边境基金会（EFF）用25万美元制造的专用计算机，用56小时破解了DES的密钥。1999年，EFF用22小时15分完成了破解工作。因此。曾经有过卓越贡献的DES也不能满足我们日益增长的需求了。

最近，一组研究人员成功的把一个512位的整数分解因子，宣告了RSA的破解。

我们说数据的安全是相对的，可以说在一定时期一定条件下是安全的，随着硬件和网络的发展，或者是另一个王小云的出现，目前的常用加密算法都有可能在短时间内被破解，那时我们不得不使用更长的密钥或更加先进的算法，才能保证数据的安全，因此加密算法依然需要不断发展和完善，提供更高的加密安全强度和运算速度。

纵观这两种算法一个从DES到3DES再到AES，一个从RSA到ECC。其发展角度无不是从密钥的简单性，成本的低廉性，管理的简易性，算法的复杂性，保密的安全性以及计算的快速性这几个方面去考虑。因此，未来算法的发展也必定是从这几个角度出发的，而且在实际操作中往往把这两种算法结合起来，也需将来一种集两种算法优点于一身的新型算法将会出现，到那个时候，电子商务的实现必将更加的快捷和安全。

最后感谢百度百科、MBA智库