現(xiàn)代密碼學理論與實踐

　　很多密碼方案與協(xié)議，特別是基于公鑰密碼體制的，有一些基礎(chǔ)性或所謂的"教科書式密碼"版本，這些版本往往是很多密碼學教材所包含的內(nèi)容。本書采用了一種不同的方式來介紹密碼學：更加注重適于應(yīng)用的密碼學方面。它解釋了那些"教科書式密碼"版本僅適合于理想世界的原因，即數(shù)據(jù)是隨機的、壞人的表現(xiàn)不會超越預先的假定。本書通過展示"教科書式密碼"版本的方案、協(xié)議、和系統(tǒng)在各種現(xiàn)實應(yīng)用場合存在著很多攻擊，來揭示"教科書式密碼"版本在現(xiàn)實生活中的不適用性。本書有選擇性的介紹了一些實用的密碼方案、協(xié)議和系統(tǒng)，其中多數(shù)已成為了標準或事實上的標準，對其進行了詳細的研究，解釋了其工作原理，討論了其實際應(yīng)用，并且常會以建立安全性形式證明的方式來考察它們的強（實用）安全性。另外，本書還完整地給出了學習現(xiàn)代密碼學所必備的理論基礎(chǔ)知識。序言23年1月，本書英文版剛出版兩個多月后，我收到西安電子科技大學（西電）王育民教授發(fā)來的電子郵件，說西安電子科技大學已著手本書的中文翻譯工作。半年后的今天，高質(zhì)量的全書中文譯稿已擺在我面前！我非常感謝王老師及參加本書翻譯的全體同仁們的辛勤工作，使本書能如此快地與中文讀者見面！應(yīng)王老師之邀為中譯本作序，我便想寫上幾句適宜于對我的中文讀者們表達的我寫此書之原動機。取決于密碼算法及協(xié)議應(yīng)用環(huán)境之敵意性，本書著重強調(diào)了應(yīng)用（特別是商用）密碼學研究與開發(fā)的幾項原則：走標準化、公開性及在極端強化了的安全概念下獲得形式可證安全的道路。這幾項原則或許可以用孫子的名訓"知己知彼，百戰(zhàn)不殆"來概括。我想其中標準化、公開性可以解釋為"知己"，而追求極端強化安全概念下的可證安全則是向著"知彼"的境界升華。若對孫子名訓做更通俗點的詮釋，則我認為在商用密碼學上，我們可以說："誰是我們的朋友，誰是我們的敵人，這個問題也是商用密碼學的首要問題"。為了能與外部朋友們進行安全的商務(wù)交易，我們不可以沒有算法的標準化；為了在極大程度上限制暗藏（特別是內(nèi)部）的敵人，我們需要算法的公開性；而達到強安全概念下的可證明安全則為走標準化、公開性道路提供高信度的保障。毛文波24年3月于西安譯者序隨著人類進入信息化社會，信息安全已成為人們在信息空間中生存與發(fā)展的重要保證條件，著名未來學家托夫勒曾說過，在信息時代"誰掌握了信息，控制了網(wǎng)絡(luò)，誰就將擁有整個世界"。因此，密碼學和信息安全技術(shù)在最近二十多年來，越來越受到人們的重視，特別是"911"事件以來，信息安全業(yè)已成為各國政府和有關(guān)部門、企業(yè)、機構(gòu)的重要議事內(nèi)容?，F(xiàn)代密碼學形成于2世紀7年代，其重要標志有兩個，一是美國制定并于1977年1月15日批準公布了公用數(shù)據(jù)加密標準（DES，DataEncryptionStandard）；二是公鑰密碼體制的誕生。這兩個事件在密碼學史上具有里程碑意義。DES的出現(xiàn)有兩方面的意義，一是算法的標準化，二是密碼算法的公開化。標準化的重要性容易為人們所認識，人類在2世紀學到的一件最重要的經(jīng)驗就是技術(shù)進步中標準化的作用。標準化提供產(chǎn)品的互操作性，對生產(chǎn)廠家和使用者都提供了極大的方便，大大降低了成本和提高了推廣應(yīng)用的速度，極大地促進了生產(chǎn)率的提高和技術(shù)進步。在密碼和安全技術(shù)普遍用于實際通信網(wǎng)的過程中，密碼算法的標準化是一項非常重要的工作。標準化可以實現(xiàn)規(guī)定的安全水平，具有兼容性，在保障安全的互連互通中起關(guān)鍵作用；標準化有利于降低成本、訓練操作人員和技術(shù)的推廣使用。因此各國政府有關(guān)部門和國際標準化組織都大力開展標準化的研究和制定工作。首先我們來看密碼算法的標準化問題。支持現(xiàn)代人生存的重要基礎(chǔ)設(shè)施之一是國家信息基礎(chǔ)設(shè)施，即NII。在NII中建設(shè)國家信息安全基礎(chǔ)設(shè)施（NISII）具有極其重要的意義，它是保障人民、國家、企業(yè)和個人能夠在信息空間中生存的重要條件，是發(fā)展電子商務(wù)的基礎(chǔ)。而公用密碼算法和安全協(xié)議標準又是NISII的一個重要組成部分。沒有密碼算法和安全協(xié)議的支持，就無法建立信息空間中的信賴性，就不能支持信息空間中的仲裁機構(gòu)、保護個人隱私和個人數(shù)據(jù)的安全保密。作為現(xiàn)代人也就無法在信息空間中生存。如歐盟就出資33億歐元來制定NESSIE（NewEuropeanSchemesforSignatures，Integrity，andEncryption，新的歐洲數(shù)字簽名、完整性和加密方案）。公用密碼算法的標準要不要公開？長期以來，這一直是一個有爭議的論題。雖然早在1多年以前，1883年荷蘭密碼學家A.Kerchoff（1835～193）就給出了密碼學的一個基本原則：密碼的安全必須完全寓于密鑰之中。盡管密碼學家們大都同意這一看法，但直到制定DES時才首次認真地遵循這一原則。這一做法適應(yīng)信息化社會發(fā)展的需要，是完全正確的。但是，1984年9月美國總統(tǒng)里根簽署了145號國家安全決策令（NSDD），命令NSA著手發(fā)展新的加密標準，并且規(guī)定算法不再公開，認為算法公開不利于美國國家的安全。到1993年4月，克林頓政府公布了一項建議的加密技術(shù)標準，稱做密鑰托管加密標準（EES，EscrowedEncryptionStandard）。EES不僅算法保密，而且每個芯片中的單元（或用戶）密鑰也在政府完全控制之下。在密碼發(fā)展史上，DES確定了發(fā)展公用標準算法的模式，而EES的制定路線卻與DES的背道而馳。EES在美國引起很大爭論，由于它對美國公民的隱私權(quán)造成威脅而遭到多方面的反對。1995年5月AT&T貝爾實驗室的M.Blaze博士在PC機上用45分鐘時間使SKIPJACK的LEAF協(xié)議失敗，偽造ID碼獲得成功。雖然NSA聲稱已彌補，但喪失了公眾對此體制的信心。1995年7月美國政府宣布放棄用EES來加密數(shù)據(jù)，重新回到制定DES標準立場，這一耗資幾億美元的計劃基本上遭到失敗。1997年1月2日美國NIST著手進行AES（AdvancedEncryptionStandard）的研究，成立了標準工作室。1997年4月15日討論了AES的評估標準，開始在世界范圍內(nèi)征集AES的建議算法。1998年8月2～22日經(jīng)評審選定并公布了15個候選算法。1999年8月經(jīng)評審篩選出5個算法，2年1月2日最后確定了以比利時兩位密碼學家ProtonWorldInternational公司的JoanDaemen博士和Katholeke大學電機工程系的VincentRijmen博士所設(shè)計的Rijdeal算法作為AES的標準算法。方針、政策的正確制定非常關(guān)鍵，它應(yīng)當符合社會發(fā)展的需要，能代表先進的社會生產(chǎn)力，這樣才能推動事物的發(fā)展。由DES到EES，再到AES的曲折歷史告訴我們，制定信息化社會所需的公用密碼算法標準的正確途徑是公開地進行，一是算法要公開，二是方案要公開征集和公開評價。只有這樣才能使密碼算法的使用者相信用它能夠保護自己的隱私和數(shù)據(jù)的安全、保證他能夠在信息空間中公平地參加各類活動而不會遭受欺詐。也只有這樣才能使所制定的密碼算法標準能夠經(jīng)受住各種攻擊，達到所需的安全性。毛博士在其書的1.2.6節(jié)中所做有關(guān)"民用的密碼研究應(yīng)該采用公開的途徑"的論述，是非常正確和重要的。并非所有人都同意這種看法。有人認為，密碼是一把雙刃劍，既可以為我所用，也可以為敵所用。應(yīng)當努力研究和發(fā)展密碼的可控性理論和技術(shù)，以防范我們的密碼為敵所用和濫用。這的確是一個重要和值得研究的問題。但是這決不是公用密碼不應(yīng)公開的根據(jù)。我們知道，EES的初衷就是想用它來對付恐怖分子、販毒集團等犯罪分子，只要這類人采用EES的保密終端進行通信，就可以對他們實施實時監(jiān)聽。試想，這些人會如此之傻地跳進為他們設(shè)好的陷阱嗎？難道他們不會用自行設(shè)計的密碼來保護他們的關(guān)鍵數(shù)據(jù)？所以說EES不能實現(xiàn)他們預想的目的，倒是成為監(jiān)聽好人通信的工具了。作為公用密碼算法標準EES是失敗了，但它在密碼發(fā)展史上也有成功之處。EES發(fā)展了密可控性理論與技術(shù)，大大推進了密鑰托管和密鑰恢復技術(shù)的發(fā)展，這類技術(shù)在電子商務(wù)和電子政務(wù)等方面有重要用途。我們在應(yīng)用密碼的各種技術(shù)時，一定要分析清楚所在的環(huán)境，有些適用于像Intranet和Extranet環(huán)境，有些更適用于Internet環(huán)境。其次，我們來看現(xiàn)代密碼學賴以發(fā)展的環(huán)境問題。我們知道，2世紀7年代以前的密碼學，包括香農(nóng)所創(chuàng)建的保密通信的信息理論，討論的基本問題是抗擊被動攻擊者對密文的截收和分析。只要設(shè)計出在理論和實際上讓密碼分析者難以破譯的密碼算法，就能保證信息的安全性。而現(xiàn)代密碼學的應(yīng)用環(huán)境是開放的網(wǎng)絡(luò)環(huán)境，除了要對付被動攻擊者外，還必須對付開放網(wǎng)絡(luò)環(huán)境中的各種主動攻擊者。如何對付主動攻擊者，特別是如何對付那些刁鉆的主動攻擊者，是現(xiàn)代密碼學中最具挑戰(zhàn)性的問題。這類攻擊者不僅很好地掌握了密碼學和信息安全技術(shù)方面的知識，而且智商不低，能夠充分利用開放網(wǎng)絡(luò)環(huán)境所提供的資源來獲取所需的信息，對他們所感興趣的系統(tǒng)實施攻擊。他們不僅會利用密碼算法上的各種弱點，而且還能利用協(xié)議設(shè)計和使用中的各種缺陷。毛博士在他的書中全力以赴論述如何對付刁鉆的主動攻擊者。這不僅涉及"教科書式密碼"的內(nèi)容，還要用到現(xiàn)代密碼學的一些新理論，特別是安全性的形式證明理論。這本書的重要特色就是全面而又深刻、嚴謹而又通俗地論述了現(xiàn)代密碼學這一極為重要而又很前沿的問題。當今，任何密碼算法、協(xié)議的設(shè)計和相應(yīng)標準的制定，都不能回避可證明安全性，都必須通過這一理論的嚴格檢驗。毛博士的書以一種全新的方式介紹密碼學，首先深刻揭示"教科書式密碼"的不安全性和弱點，闡明它們不適于實際應(yīng)用的理由；而后引入如何將一個密碼算法或協(xié)議的"原型"改造成為一個能實際用于開放網(wǎng)絡(luò)環(huán)境的安全方案，并給出這類方案安全性的形式證明。書中對于"理想世界"和"現(xiàn)實世界"、"兩類攻擊者"、"教科書式密碼"和"非教科書式或適于應(yīng)用的密碼學"、"密碼原型"和"實用密碼方案"、安全協(xié)議等的論述是十分精辟的，需要認真體會。因此，本書對于密碼和信息安全技術(shù)專業(yè)的學生以及從事這方面的工作者來說是一本不可多得、值得認真研讀的好書。有關(guān)安全性可證明理論，Goldreich的"FundationsofCrytography"是應(yīng)當提及的，但這是一本嚴格而數(shù)學化的書，適合于那些有很好數(shù)學基礎(chǔ)而且要認真研究這一理論的讀者。三十年前，要想找一本密碼方面的書并不容易。最近二十多年來，特別是最近十年來，已出版了數(shù)以百計的密碼學和信息安全技術(shù)的書。其中，中文書也已不下百本。這一方面是由于信息安全問題的重要性，另一方面也是由于借助于計算機來編寫一本書已不是什么難事。但要寫一本有特色、有存在價值的書就絕非易事。我想，當我們讀過毛博士這本書以后，就會知道我們?yōu)槭裁匆g和出版它了。毛博士能寫這樣的書與他的經(jīng)歷是分不開的。這里向讀者簡要介紹毛博士的有關(guān)信息。毛博士于1982年7月獲復旦大學應(yīng)用數(shù)學學士學位；1987年1月獲北京航空航天大學計算機科學碩士學位；1993年7月獲英國格拉斯哥Strathclyde大學計算機科學博士學位；1992年到1994年在英國曼徹斯特大學做博士后研究，與C.Boyd博士對密碼協(xié)議和協(xié)議形式的分析進行深入研究，做出了貢獻。曾在澳大利亞Technology學院、IssacNewtonInstitute及布里斯托爾大學做訪問研究。1994年11月加入HP公司做高級技術(shù)成員，在英國的布里斯托爾研究實驗室的可信賴系統(tǒng)實驗室，參加了多項重要的電子商務(wù)系統(tǒng)和信息安全系統(tǒng)的設(shè)計和開發(fā)工作，其中包括歐盟的CASENET計劃的HP部分的領(lǐng)導工作。在密碼算法、協(xié)議的設(shè)計和分析方面進行了廣泛而深入的研究，做出了優(yōu)異成績。他在重要國際會議和雜志上發(fā)表了多篇論文，曾獲IEE的TheHartree獎，是IEEE、BCS和IACR會員，澳大利亞昆士蘭、布里斯托爾、倫敦等大學客座研究員。多個有關(guān)密碼和信息安全重要國際會議的程序委員會成員和有關(guān)雜志的密碼和信息安全方面專輯的編輯或顧問組成員。自2年4月至今任HP公司總工程師、技術(shù)領(lǐng)導。毛博士正在撰寫"CryptographicProtocol"一書，我們期待它早日問世。參加本書翻譯的八位博士生，他們對于所分擔部分的內(nèi)容都比較熟悉，與他們博士論文的研究方向比較接近。翻譯的初稿，先兩兩一組相互校對，然后由姜正濤做仔細的初校，最后由我做全面的校對，有些部分進行了多回合的商榷和訂正。各部分分工如下：王繼林譯前言、目錄、圖的列表、第1章、第2章，伍前紅譯第4章、第18章、第19章、第2章，龐遼軍譯第3章、第1章，郝艷華譯第5章、第7章，姜正濤譯第6章、第8章，張鍵紅譯第9章、第13章，田海波譯第11章、第12章，陳原譯第14章、第15章、第16章、第17章。名詞索引的初稿由伍前紅和王繼林譯出。他們都認真、負責和按時完成了任務(wù)。姜正濤付出最多，他連續(xù)工作了三個多月，寒假也在工作；他的英語水平高，漢語語言表達能力強；他工作認真、細心，負責，出色地完成了校對任務(wù)。沒有這八位同學的努力和合作，就不可能把這本書及時獻給中文讀者。毛博士曾仔細地閱讀了中譯本的初稿，提出不少修改意見，在此表示衷心的感謝！感謝電子工業(yè)出版社在我們翻譯本書時所給予的協(xié)助和支持，以及編輯們的辛勤工作！我們衷心希望這本書的中文版能在我國的密碼和信息安全技術(shù)領(lǐng)域發(fā)揮它應(yīng)有的作用。雖然我們做了努力，但有些地方的譯文未必能正確表達出原書的意思，甚至會有錯誤。敬請讀者批評和指正。西安電子科技大學王育民ymwang@xidian.edu.cn24年3月18日前言我們的社會已經(jīng)進入了一個嶄新時代，傳統(tǒng)的商務(wù)活動、事務(wù)處理以及政府服務(wù)已經(jīng)或越來越多地將要通過開放的計算機和通信網(wǎng)，如Internet，特別是基于萬維網(wǎng)的工具來實施和提供。對在世界各個角落的人來說，在線工作有著"隨時可得"的巨大優(yōu)點。下面是一些可以或即將可以在線完成的事例：銀行業(yè)務(wù)、賬單支付、家中購物、股票交易、拍賣、稅收、賭博、小額支付（例如按下載支付）、電子身份、對醫(yī)藥記錄的在線訪問、虛擬保密網(wǎng)、安全數(shù)據(jù)存檔與恢復、文件的掛號遞送、敏感文件的公平交換、公平合同簽署、時戳、公正、選舉、廣告、授權(quán)、訂票、交互式游戲、數(shù)字圖書館、數(shù)字權(quán)限管理、盜版追蹤等。只有在開放網(wǎng)絡(luò)能提供安全通信的條件下，上述誘人的商務(wù)活動、事務(wù)處理以及服務(wù)才能實現(xiàn)。而要保證在開放網(wǎng)絡(luò)中通信的安全性，一個有效的解決辦法就是利用密碼技術(shù)。加密、數(shù)字簽名、基于口令的用戶認證是實現(xiàn)安全通信的一些最基本的密碼技術(shù)。但是，正如我們將在本書中多次看到的那樣，即使是最基本的密碼技術(shù)，在應(yīng)用中也存在令人驚訝的難以捉摸和嚴重的安全性問題。而且對很多像上一段所列出的"想像的"應(yīng)用來說，這些基本的密碼技術(shù)是不夠的。越來越復雜的電子商務(wù)、事務(wù)處理和服務(wù)形式GartnerGroup預計，歐盟的B2B和B2C電子商務(wù)稅收在24年將以.7的概率達到2.6萬億美元，是2年的28倍［5］。eMarketer［15］也報告，美國金融機構(gòu)在22年因電子身份問題被竊的損失為14億美元，并預計每年將會以29%的速度增加。對在開放的網(wǎng)絡(luò)中實現(xiàn)安全通信的需求正迅速增加。對能夠進行設(shè)計、開發(fā)、分析和維護信息安全系統(tǒng)和密碼協(xié)議的信息安全方面的專業(yè)人員的需求量正日益增大。這些專業(yè)人員可能是從IT系統(tǒng)的管理員、信息安全工程師和有安全要求的軟/硬件系統(tǒng)產(chǎn)品的開發(fā)人員，直到密碼學家。在過去的幾年里，作者作為在英國布里斯托爾HewlettPachard實驗室信息安全與密碼系統(tǒng)方面的一名技術(shù)顧問，已經(jīng)注意到了對信息安全人員需求的持續(xù)增長和現(xiàn)有專業(yè)人員明顯短缺這一失調(diào)現(xiàn)象。結(jié)果，很多在密碼或信息安全方面缺少適當訓練的面向應(yīng)用的工程師，由于應(yīng)用的需要，不得不"挽起袖子"成了安全系統(tǒng)或密碼協(xié)議的設(shè)計者或者開發(fā)者。盡管這是不爭的事實，但要設(shè)計密碼系統(tǒng)和協(xié)議，即便對密碼學專家來說，也不是件容易的事。作者的工作性質(zhì)允許他有機會審查很多信息安全系統(tǒng)和密碼協(xié)議，其中有一些就是由"挽袖子"工程師所提出和設(shè)計的，而且是用在一些重要的實用上。在很多場合，作者看到了這些系統(tǒng)中存在有所謂的"教科書式密碼"的特征，這是把很多密碼學教科書中一般都介紹的密碼算法直接拿來應(yīng)用的結(jié)果。利用基本的公鑰加密算法（如RSA）直接對口令（一個不大的秘密數(shù)）進行加密就是"教科書式密碼"的一個典型例子。教科書式密碼以"不可忽略的概率"在重要應(yīng)用場合下的出現(xiàn)引起了作者的擔心。看來，教科書式密碼的一般危害，尚沒有被那些針對重要現(xiàn)實應(yīng)用來設(shè)計和開發(fā)信息安全系統(tǒng)的許多人所意識到?？紤]到對信息安全專業(yè)人才的大量需求，并相信專業(yè)人才的密碼學知識不能僅囿于教科書式密碼學，作者寫了這本"非教科書式密碼學"教材。本書致力于：在強調(diào)"非教科書式"的情況下，廣泛介紹有關(guān)密碼算法、方案和協(xié)議。通過展示對這類系統(tǒng)的大量攻擊和總結(jié)典型的攻擊技術(shù)，來說明"教科書式密碼"的不安全性。通過對標準的關(guān)注，為密碼系統(tǒng)和協(xié)議的設(shè)計、分析與實施提供原理和指導原則。研究嚴格建立密碼系統(tǒng)和協(xié)議的強而實用安全性表示的形式化技術(shù)和方法。為希望系統(tǒng)了解這一領(lǐng)域的讀者精心選取學習現(xiàn)代密碼學必備的理論素材。本書范圍在過去的3年里，現(xiàn)代密碼學的研究可謂突飛猛進，其研究領(lǐng)域非常廣泛和深入。本書集中討論一個方面的問題：對以其強安全性能明確建立起來的實用密碼方案和協(xié)議進行介紹。本書分為6部分：第一部分這一部分共有兩章內(nèi)容（第1章，第2章），是本書和密碼學與信息安全的入門性介紹。其中第1章以解決一個微妙的通信問題為開場白，來闡述密碼學的效用。本章將給出一個在電話上實現(xiàn)公平擲幣的簡單密碼協(xié)議（本書的第一個協(xié)議）并對其進行討論。然后對要研究領(lǐng)域的文化和"貿(mào)易"進行介紹。第2章使用一系列的簡單認證協(xié)議，來表明該領(lǐng)域的一個不幸的事實：缺陷處處存在。作為入門性介紹，這一部分是為想進入該領(lǐng)域的新手寫的。第二部分這一部分介紹學習本書必備的數(shù)學背景知識，它包含4章內(nèi)容（第3章～第6章）。只想"知其然"，即了解如何使用實用密碼方案和協(xié)議的讀者，可以跳過這一部分而基本上不影響大多數(shù)后續(xù)章節(jié)的閱讀。要想知道"所以然"，即為什么這些方案和協(xié)議具有強安全性的讀者將會發(fā)現(xiàn)，這里給出的數(shù)學背景知識是足夠的。當我們揭示方案和協(xié)議的工作原理，指出其中的一些方案和協(xié)議是不安全的，或者論述別的協(xié)議和方案是安全的時候，我們就能在這里找到相應(yīng)的理論根據(jù)。這一部分也可作為學習現(xiàn)代密碼學理論基礎(chǔ)的系統(tǒng)背景知識。第三部分這部分也有4章內(nèi)容（第7章～第1章），介紹提供保密和數(shù)據(jù)完整性保護最基本的密碼算法和技術(shù)。其中第7章是對稱加密方案，第8章是非對稱加密技術(shù)，第9章討論的是，在數(shù)據(jù)是隨機的理想條件下，利用基本通用的非對稱密碼函數(shù)所擁有的一個重要的安全特性。最后的第1章是數(shù)據(jù)完整性技術(shù)。由于這里介紹的是最基本的方案和技術(shù)，其中多數(shù)屬于"教科書式密碼"，因而是不安全的。在介紹這些方案的同時，也給出不少相應(yīng)的攻擊，并明確闡述了告誡注釋。對于那些不想對實用密碼和它們的強安全性概念做深入研究的實際工作人員，教科書式密碼部分也仍會就教科書式密碼的不安全性向他們提出明確的預警信號。第四部分這部分有3章內(nèi)容（第11章～第13章），介紹應(yīng)用密碼學和信息安全中一個重要的概念：認證。這些章節(jié)的研究范圍很廣，第11章介紹技術(shù)背景、原理、一系列的基礎(chǔ)協(xié)議和標準，以及常規(guī)的攻擊技術(shù)和防護措施。第12章是對四個著名的認證協(xié)議系統(tǒng)在現(xiàn)實應(yīng)用案例的研究。第13章介紹特別適合于開放系統(tǒng)的有關(guān)最新技術(shù)。企業(yè)中信息安全系統(tǒng)的管理者、安全產(chǎn)品的軟/硬件開發(fā)商們將會發(fā)現(xiàn)這一部分對他們是非常有用的。第五部分這部分有4章內(nèi)容（第14章～第17章），對公鑰密碼技術(shù)（加密、簽名和簽密）的強（實用）安全性概念進行嚴格的形式化處理，并給出認證協(xié)議的形式化分析方法。第14章介紹強安全性概念的形式化定義，接著的兩章是和第三部分教科書式密碼方案相對的實用密碼方案，具有形式化建立起（即明確推理）的強安全性。最后，第17章對在第四部分尚未進行分析的認證協(xié)議，給出其形式化的分析方法和技術(shù)。第六部分這是本書的最后一部分，包括兩個技術(shù)章節(jié)（第18章～第19章）和一個簡短的評述（第2章）。其主要的技術(shù)章節(jié)，第18章，介紹了一類被稱為零知識協(xié)議的密碼協(xié)議。這類協(xié)議能提供一種重要的安全性業(yè)務(wù)，它為"想像中"的各種電子商務(wù)和事務(wù)處理應(yīng)用所必需，在對所聲明的內(nèi)容保持嚴格保密性的情況下，對一個秘密數(shù)所宣稱的性質(zhì)進行證實（例如，符合商業(yè)上的需求）。這部分要引入零知識協(xié)議，說明了在各種現(xiàn)實應(yīng)用中對特定安全性需求的多樣性。這種多樣性超越了機密性、完整性、認證和不可否認性。在本書的最后一個技術(shù)章節(jié)（第19章）中，我們將解決本書一開始介紹的協(xié)議中的遺留問題：實現(xiàn)"通過電話公平擲幣"。最后的實現(xiàn)協(xié)議不但在效率上適宜實用，而且也明確地建立起了強安全性。不用說，對每一個實用密碼協(xié)議或方案的描述，都是要先給出與之相應(yīng)的教科書式密碼不適用的原因。我們總是以給出相應(yīng)存在的攻擊來說明原因，就相應(yīng)的攻擊而言，這些方案和協(xié)議往往存在某些微妙之處。另外，一個實用密碼協(xié)議和方案的描述，也必是以其所宣稱的必須包含的強（實用）安全性成立的分析來結(jié)束。因而，本書一些部分不可避免地要包含有數(shù)學和邏輯推理、為明示和對付攻擊所需的歸納和變換。實用密碼學并不是一個輕易駕馭或者稍稍讀讀就能掌握的論題。盡管如此，本書并不是一本僅為專業(yè)密碼學家所感興趣的高深研究課題的書。這里所介紹的東西對密碼學家來說都是已知的和相當基本的。作者相信，在有充足的解釋、實例、足夠的數(shù)學背景知識和參考材料的情況下，這些東西完全能被非專業(yè)人士理解。本書針對的讀者對象為：已經(jīng)或即將完成計算機、信息科學、應(yīng)用數(shù)學第一學位課程并計劃從事信息安全行業(yè)的學生。對他們來說，本書可以作為應(yīng)用密碼學的高級教程。在高科技公司從事信息安全系統(tǒng)設(shè)計和開發(fā)的安全工程師。如果我們說在科學研究計劃中，教科書式密碼所產(chǎn)生的危害不是很大的話，至多是出現(xiàn)一種令人尷尬的場面，那么在信息安全產(chǎn)品中使用教科書式密碼將會造成嚴重損失。因此對這類讀者來說，了解教科書式密碼在現(xiàn)實中的不適用性是非常必要的。而且，這類讀者應(yīng)該對隱藏在實用方案和協(xié)議下的安全原理有很好的理解，以便能正確地使用這些方案和原理。第II部分所給出的自足的數(shù)學基礎(chǔ)材料使得本書很適合這類讀者自學。對企業(yè)信息安全系統(tǒng)管理人員或者生產(chǎn)安全產(chǎn)品的軟/硬件開發(fā)商這類讀者來說，第I部分是簡單而基本的文化和"商務(wù)"方面的培訓教程，第III部分和第IV部分是一個適當裁減的密碼學和信息安全知識集。這三部分包含有很多基本的密碼方案和協(xié)議，以及很多對應(yīng)的攻擊方法和防護措施。這些攻擊方法和防護措施能被大多數(shù)讀者理解，不需要有所謂理論基礎(chǔ)的負擔。對于剛開始從事密碼學或計算機安全方面研究的博士生這類讀者來說，將會欣賞一本能包含強安全性概念的形式化處理并對其進行適當和詳細解釋的書感興趣。本書將能幫助他們快速深入地進入這一浩瀚的研究領(lǐng)域。對這類人員來說，第II、IV、V和VI部分構(gòu)成了一個適當深度的文獻綜述材料，這將能引導他們找到更進一步的文獻，并能幫助他們明確自己的研究課題。本書的適當取舍（如第1章、第2章、第3章和第6章）也可以組成適合計算機、信息科學和應(yīng)用數(shù)學大學高年級學生學習用的應(yīng)用密碼學教程。致謝非常感謝FengBao、ColinBoyd、StevenGalbraith、DieterGollmann、KeithHarrison、MarcusLeech、HelgerLipmaa、HoiKwongLo、JavierLopez、JohnMalonelee、CaryMeltzer、ChristianPaquin、KennyPaterson、DavidPointcheval、VincentRijmen、NigelSmart、DavidSoldera、PaulvanOorschot、SergeVaudenay和StefekZaba。他們花費了大量時間校閱有關(guān)章節(jié)或全書，并提供了非常有價值的評論、批評和建議，使得本書更加完善。本書還得益于向下列人士的請教：MihirBellare、JanCamenisch、NeilDunbar、YairFrankel、ShaiHalevi、AntoineJoux、MarcJoye、ChalieKaufman、AdrianKent、HugoKrawczyk、CatherineMeadows、BillMunro、PhongNguyen、RadiaPerlman、MarcoRicca、RonaldRivest、SteveSchneider、VictorShoup、IgorShparlinski和MotiYung。作者還要感謝PrienticeHallPTR的JillHarry和HPProfessionalBooks的SusanWright，他們鼓勵并引導我寫作了本書，并在我漫長的寫作中提供了技術(shù)幫助，感謝PrienticeHallPTR的JenniferBlackwell、RobinCarroll、BrendaMulligan、JustinSomma和MarySudul以及HPProfessionalBooks的WalterBruce和PatPekary。還要感謝我在布里斯托爾Hewlettpackard實驗室的同事們在技術(shù)、修辭和管理方面給予的支持，他們是DavidBall、RachardCardwell、LiqunChen、LanCole、GarethJones、StephenPearson和MartinSadler。作者于英國布里斯托爾23年5月

　　WenboMao，1993年獲英國格拉斯哥Strathclyde大學計算機科學博士。1992年到1994年在英國Manchester大學做博士后研究期間，與C.Boyd博士對密碼協(xié)議和協(xié)議形式的分析進行了深入研究并做出了貢獻。后加入HP公司做高級技術(shù)成員，在英國的Bristol研究實驗室的可信賴系統(tǒng)實驗室，參加了多項重要的電子商務(wù)系統(tǒng)和信息安全系統(tǒng)的設(shè)計和開發(fā)工作。他是多個有關(guān)密碼和信息安全重要國際會議的程序委員會成員和有關(guān)雜志的密碼及信息安全方面專輯的編輯或顧問組成員。自2000年4月至今任HP公司總工程師、技術(shù)領(lǐng)導。