CISSP备考系列之密码术与私钥算法[10-40]
CISSP备考系列之密码术与私钥算法[10-40]版权声明:原创作品,谢绝转载!否则将追究法律责任。
【CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】
加密术历史
1,凯撒密码
将每个字母都用字母表中的排在它后面第三个字母替换。也称为Rot3(Rotate 3)算法。
特点:简单,但是容易被破解(频率分析)。
2,美国内战
采用更高级的词汇替代和置换。
3,Ultra和Enigma
Enigma是诞生于德国的商业编码机。盟军则通过Ultra破解了Enigma编码。
日本在二战期间使用了Japanese Purple Machine,但很快被美国破解。
密码术的目标
1,机密性(Confidentiality)
2,完整性(Integrity)
3,身份验证(Authentication)
4,不可否认性(Nonrepudiation)
密码术概念
明文(Plain-Text)
密文(Cipher-Text)
密码术(Cryptography)
密码分析学(Cryptanalysis)
密码术的数学原理
1,二进制数学
2,逻辑运算
* AND与运算,用符号^表示
* OR或运算,用符号 V 来表示
* NOT非运算,用符号 ~ 或 ! 来表示
* XOR异或运算(两者不同,结果为真),用符号“圈+”来表示。
3,MOD取模运算(取余数),用符号 % 表示。
4,单向函数(One-way Function)
5,混淆(Confusion)与扩散(Diffusion)密码术依靠这两种基本操作来隐藏明文。
6,随机数(Nonce)
7,最低和最高有效比特,一个串中最左边的是最高有效比特,最右边的是最低有效比特。
8,零知识证明(Zero-Knowledge Proof)不告诉对方自己知晓的内容,但要向对方证明自己知晓这一内容。
9,分割知识(Split Knowledge)
10,工作函数 采用穷举法攻击所需的时间和工作量就是工作函数,工作函数大小应该与受保护的资产的相对值匹配。
11,群集(Clustering) 使用不同的密钥却得到相同的密文。
常见密码简介
编码(Code)与密码(Cipher)
编码针对词汇和短语,密码针对单独的字符和比特。
1,换位密码(Transposition Cipher)重排明文消息中的字母
2,替代密码(Subsitution Cipher)将明文中的每个字符或比特位都替换为不同的字符
3,一次性填充(One-time Pad)也称为Vernam密码,安全性高但是难于实现。
C=(P+K) mod 26
将明文和密钥的字母所对应的十进制数字相加,再做模运算。
将明文和密钥的字母所对应的十进制数字相加,再做模运算。
4,滚动密钥密码(Running Key Cipher)与前者类似,常采用书籍中的一段话作为加密密钥。
5,分组密码(Block Cipher)将消息按组块进行操作,最常见的处理方式。
6,流密码(Stream Cipher)凯撒密码和一次性填充都是流密码的例子。
现代密码术
1,密钥 现代密码系统不依赖秘密的算法,而是依靠密钥。密钥的长度很关键,通常来说,安全性与长度成正比。计算能力的增长,使得我们能够在密码术工作中使用更长的密钥。
2,对称密钥算法 即共享密钥加密法,加解密使用同一个密钥。
主要缺点:
* 分发密钥是个问题
* 无法实现不可否认性
* 扩展性差
* 密钥必须经常更新
3,非对称密钥算法(Asymmetric Key Algorithm) 也称公钥算法(Public Key Algorithm)
主要优点:
* 扩展性好,增加一个用户只需要增加一对公/私钥
* 删除用户较容易
* 只有私钥被破坏时,才需要重建
* 能提供完整性,身份验证和不可否认性
* 分发容易
* 不需要预先存在通信链接。
4,散列算法 MD5和SHA较常见,还有HMAC(Hash-Based Message Authentication Code基于散列的消息身份验证代码)
对称密码术
1,数据加密标准DES
采用56位密钥的加密算法。
* 电子代码本模式(Electronic Codebook)简单,安全性差,只适用于少量数据交换。
* 密码分组链接模式(Cipher Block Chaining)增加异或操作,存在错误传播的问题,一个分组出现错误,将导致后续的所有分组无法解密。
* 密码回馈模式(Cipher Feedback)与CBC相似,采用流模式而不是分组模式,处理实时数据。
* 输出回馈模式(Output Feedback)异或操作的因子不再是前一分组的密文,而是与种子值相异或,避免了错误传播。
* 计数器模式(Counter)异或操作的因子变为计数器值。
2,三重数据加密算法3DES
56位的DES不够安全,3DES则将密钥长度增加到了168位。
共有四种模式:
* 模式1:三个密钥,加密+加密+加密(Key1,2,3)
* 模式2:三个密钥,加密+解密+加密(Key1,2,3)
* 模式3:二个密钥,加密+加密+加密(Key1,2,1)
* 模式4:二个密钥,加密+解密+加密(Key1,2,1)
3,国际数据加密算法IDEA
补充了DES的不足,密钥长度为128位。
4,Blowfish密码
是DES和IDEA之外的选择,64位分组,速度快。可自由使用的算法,在很多商业软件中有应用。
5,Skipjack算法
解密算法托管在政府,80位密钥安全强度不高,应用较少。
6,高级加密标准AES
是DES的替代品,分为128,192和256位。
Rijndael和Twofish是两种主要的AES算法实现。
Twofish使用了预白噪音化(Prewhitening)和后白噪音化(Postwhitening)操作。
对称加密算法记忆表
| 算法 | 分组 | 密钥长度 |
| DES | 64 | 56 |
| 3DES | 64 | 168 |
| AES | 可变 | 128,192,256 |
| TwoFish | 128 | 1-256 |
| Blowfish(SSH中应用) | 可变 | 1-448 |
| IDEA(在PGP中应用) | 64 | 128 |
| RSA(RC5) | 32,64,128 | 0-2048 |
| RSA(RC4) | 流式 | 128 |
| RSA(RC2) | 64 | 128 |
| Skipjack | 64 | 80 |
7,密钥分发
* 离线分发
* 公钥加密
* DH算法 Secure RPC使用DH算法进行密钥交换
8,密钥托管
* 公平密码系统(Fair Cryptosystem)密钥被拆分为多个部分,交由第三方管理,政府在取得法律授权的情况下,可以获取密钥。
* 托管加密标准(Escrowed Encryption Standard)政府拥有解密密文的技术手段。
【本单元结束】本文出自 “西蒙[爱生活,爱学习]” 博客
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻