现代密码学(第5版)

第1章引言1 1.1信息安全面临的威胁1 1.1.1安全威胁1 1.1.2入侵者和病毒2 1.1.3安全业务3 1.2信息安全模型4 1.3密码学基本概念5 1.3.1保密通信系统5 1.3.2密码体制分类7 1.3.3密码攻击概述7 1.4几种古典密码8 1.4.1单表代换密码9 1.4.2多表代换密码10 习题11 第2章流密码13 2.1流密码的基本概念13 2.1.1同步流密码13 2.1.2有限状态自动机14 2.1.3密钥流生成器15 2.2线性反馈移位寄存器16 2.3线性移位寄存器的一元多项式表示18 2.4m序列的伪随机性21 2.5m序列密码的破译23 2.6非线性序列26 2.6.1Geffe序列生成器26 2.6.2JK触发器27 2.6.3Pless生成器28现代密码学(第5版)目录2.6.4钟控序列生成器28 习题30 第3章分组密码体制32 3.1分组密码概述32 3.1.1代换33 3.1.2扩散和混淆34 3.1.3Feistel密码结构35 3.2数据加密标准38 3.2.1DES描述38 3.2.2二重DES43 3.2.3两个密钥的三重DES44 3.2.43个密钥的三重DES44 3.3差分密码分析与线性密码分析45 3.3.1差分密码分析45 3.3.2线性密码分析46 3.4分组密码的运行模式47 3.4.1电码本模式47 3.4.2密码分组链接模式48 3.4.3密码反馈模式49 3.4.4输出反馈模式51 3.5IDEA52 3.5.1设计原理52 3.5.2加密过程54 3.6AES 算法——Rijndael58 3.6.1Rijndael的数学基础和设计思想58 3.6.2算法说明61 3.7中国商用密码算法SM469 3.8祖冲之密码73 3.8.1算法中的符号及含义73 3.8.2祖冲之密码的算法结构74 3.8.3祖冲之密码的运行79 3.8.4基于祖冲之密码的机密性算法 128EEA379 习题81第4章公钥密码83 4.1密码学中一些常用的数学知识83 4.1.1群、环、域83 4.1.2素数和互素数85 4.1.3模运算86 4.1.4模指数运算88 4.1.5费尔马定理、欧拉定理、卡米歇尔定理89 4.1.6素性检验92 4.1.7欧几里得算法95 4.1.8中国剩余定理98 4.1.9离散对数101 4.1.10平方剩余102 4.1.11循环群106 4.1.12循环群的选取106 4.1.13双线性映射107 4.1.14计算复杂性108 4.2公钥密码体制的基本概念109 4.2.1公钥密码体制的原理110 4.2.2公钥密码算法应满足的要求111 4.2.3对公钥密码体制的攻击112 4.3RSA算法113 4.3.1算法描述113 4.3.2RSA算法中的计算问题115 4.3.3一种改进的RSA实现方法116 4.3.4RSA的安全性116 4.3.5对RSA的攻击118 4.4背包密码体制119 4.5Rabin密码体制121 4.6NTRU公钥密码系统123 4.7椭圆曲线密码体制124 4.7.1椭圆曲线124 4.7.2有限域上的椭圆曲线125 4.7.3椭圆曲线上的点数127 4.7.4明文消息到椭圆曲线上的嵌入127 4.7.5椭圆曲线上的密码128 4.8SM2椭圆曲线公钥密码加密算法130 习题133 第5章密钥分配与密钥管理135 5.1单钥加密体制的密钥分配135 5.1.1密钥分配的基本方法135 5.1.2一个实例135 5.1.3密钥的分层控制137 5.1.4会话密钥的有效期137 5.1.5无中心的密钥分配137 5.1.6密钥的控制使用138 5.2公钥加密体制的密钥管理139 5.2.1公钥的分配139 5.2.2用公钥加密分配单钥密码体制的密钥141 5.2.3DiffieHellman密钥交换143 5.3随机数的产生144 5.3.1随机数的使用144 5.3.2随机数源145 5.3.3伪随机数产生器145 5.3.4基于密码算法的随机数产生器147 5.3.5随机比特产生器149 5.4秘密分割150 5.4.1秘密分割门限方案150 5.4.2Shamir门限方案151 5.4.3基于中国剩余定理的门限方案152 习题154 第6章消息认证和哈希函数156 6.1消息认证码156 6.1.1消息认证码的定义及使用方式156 6.1.2产生MAC的函数应满足的要求157 6.1.3数据认证算法158 6.1.4基于祖冲之密码的完整性算法128EIA3159 6.2哈希函数161 6.2.1哈希函数的定义及使用方式161 6.2.2哈希函数应满足的条件162 6.2.3生日攻击164 6.2.4迭代型哈希函数的一般结构165 6.3MD5哈希算法166 6.3.1算法描述166 6.3.2MD5的压缩函数169 6.3.3MD5的安全性170 6.4安全哈希算法171 6.4.1算法描述171 6.4.2SHA的压缩函数172 6.4.3SHA与MD5的比较174 6.4.4对SHA的攻击现状174 6.5HMAC175 6.5.1HMAC的设计目标175 6.5.2算法描述175 6.5.3HMAC的安全性177 6.6SM3哈希算法178 6.6.1SM3哈希算法的描述178 6.6.2SM3哈希算法的安全性179 习题181 第7章数字签名和认证协议182 7.1数字签名的基本概念182 7.1.1数字签名应满足的要求182 7.1.2数字签名的产生方式183 7.1.3数字签名的执行方式184 7.2数字签名标准186 7.2.1DSS的基本方式186 7.2.2数字签名算法DSA187 7.3其他签名方案188 7.3.1基于离散对数问题的数字签名体制188 7.3.2基于大数分解问题的数字签名体制192 7.3.3基于身份的数字签名体制193 7.4SM2椭圆曲线公钥密码签名算法194 7.5认证协议196 7.5.1相互认证196 7.5.2单向认证200 习题201 第8章密码协议202 8.1一些基本协议202 8.1.1智力扑克202 8.1.2掷硬币协议203 8.1.3数字承诺协议204 8.1.4不经意传输协议205 8.2零知识证明208 8.2.1交互式证明系统208 8.2.2交互式证明系统的定义209 8.2.3交互式证明系统的零知识性209 8.2.4零知识证明协议的组合212 8.2.5图的三色问题的零知识证明213 8.2.6知识证明214 8.2.7简化的FiatShamir身份识别方案217 8.2.8FiatShamir身份识别方案218 8.3非交互式证明系统219 8.3.1非适应性安全的非交互式零知识证明219 8.3.2适应性安全的非交互式零知识证明220 8.3.3BGN密码系统221 8.3.4BGN密码系统的非交互式零知识证明222 8.4zkSNARK224 8.4.1高级语言转化为电路举例224 8.4.2算术电路224 8.4.3QAP225 8.4.4从QAP到zkSNARK228 8.5安全多方计算协议231 8.5.1安全多方计算问题231 8.5.2半诚实敌手模型231 8.5.3恶意敌手模型235 习题238 第9章可证明安全240 9.1语义安全的公钥密码体制的定义240 9.1.1选择明文攻击下的不可区分性240 9.1.2公钥加密方案在选择密文攻击下的不可区分性244 9.1.3公钥加密方案在适应性选择密文攻击下的不可区分性246 9.1.4归约247 9.2语义安全的RSA加密方案248 9.2.1RSA问题和RSA假设248 9.2.2选择明文安全的RSA加密248 9.2.3选择密文安全的RSA加密251 9.3Paillier公钥密码系统254 9.3.1合数幂剩余类的判定254 9.3.2合数幂剩余类的计算255 9.3.3基于合数幂剩余类问题的概率加密方案257 9.3.4基于合数幂剩余类问题的单向陷门置换258 9.3.5Paillier密码系统的性质259 9.4CramerShoup密码系统260 9.4.1CramerShoup密码系统的基本机制260 9.4.2CramerShoup密码系统的安全性证明261 9.5RSAFDH签名方案263 9.5.1RSA签名方案263 9.5.2RSAFDH签名方案的描述264 9.5.3RSAFDH签名方案的改进266 9.6BLS短签名方案268 9.6.1BLS短签名方案所基于的安全性假设268 9.6.2BLS短签名方案描述268 9.6.3BLS短签名方案的改进一270 9.6.4BLS短签名方案的改进二270 9.7基于身份的密码体制271 9.7.1基于身份的密码体制定义和安全模型271 9.7.2随机谕言机模型下的基于身份的密码体制274 9.8分叉引理284 习题286 第10章网络加密与认证288 10.1网络通信加密288 10.1.1开放系统互连和TCP/IP分层模型288 10.1.2网络加密方式289 10.2Kerberos认证系统292 10.2.1Kerberos V4292 10.2.2Kerberos区域与多区域的Kerberos295 10.3X.509认证业务296 10.3.1证书296 10.3.2认证过程299 10.4PGP300 10.4.1运行方式300 10.4.2密钥和密钥环304 10.4.3公钥管理309 习题312 第11章区块链313 11.1区块链的基本概念、构造及实现313 11.1.1区块链要解决的问题313 11.1.2区块链的建立过程317 11.1.3区块链的实现319 11.2zerocoin320 11.2.1zerocoin使用的密码工具321 11.2.2zerocoin的构造322 11.3zerocash323 11.3.1基本版的zerocash323 11.3.2增强版zerocash324 习题325 参考文献326