現(xiàn)代密碼學(xué)理論與實(shí)踐

　　很多密碼方案與協(xié)議，特別是基于公鑰密碼體制的，有一些基礎(chǔ)性或所謂的"教科書式密碼"版本，這些版本往往是很多密碼學(xué)教材所包含的內(nèi)容。本書采用了一種不同的方式來介紹密碼學(xué)：更加注重適于應(yīng)用的密碼學(xué)方面。它解釋了那些"教科書式密碼"版本僅適合于理想世界的原因，即數(shù)據(jù)是隨機(jī)的、壞人的表現(xiàn)不會(huì)超越預(yù)先的假定。本書通過展示"教科書式密碼"版本的方案、協(xié)議、和系統(tǒng)在各種現(xiàn)實(shí)應(yīng)用場合存在著很多攻擊，來揭示"教科書式密碼"版本在現(xiàn)實(shí)生活中的不適用性。本書有選擇性的介紹了一些實(shí)用的密碼方案、協(xié)議和系統(tǒng)，其中多數(shù)已成為了標(biāo)準(zhǔn)或事實(shí)上的標(biāo)準(zhǔn)，對其進(jìn)行了詳細(xì)的研究，解釋了其工作原理，討論了其實(shí)際應(yīng)用，并且常會(huì)以建立安全性形式證明的方式來考察它們的強(qiáng)（實(shí)用）安全性。另外，本書還完整地給出了學(xué)習(xí)現(xiàn)代密碼學(xué)所必備的理論基礎(chǔ)知識(shí)。序言23年1月，本書英文版剛出版兩個(gè)多月后，我收到西安電子科技大學(xué)（西電）王育民教授發(fā)來的電子郵件，說西安電子科技大學(xué)已著手本書的中文翻譯工作。半年后的今天，高質(zhì)量的全書中文譯稿已擺在我面前！我非常感謝王老師及參加本書翻譯的全體同仁們的辛勤工作，使本書能如此快地與中文讀者見面！應(yīng)王老師之邀為中譯本作序，我便想寫上幾句適宜于對我的中文讀者們表達(dá)的我寫此書之原動(dòng)機(jī)。取決于密碼算法及協(xié)議應(yīng)用環(huán)境之?dāng)骋庑?，本書著重?qiáng)調(diào)了應(yīng)用（特別是商用）密碼學(xué)研究與開發(fā)的幾項(xiàng)原則：走標(biāo)準(zhǔn)化、公開性及在極端強(qiáng)化了的安全概念下獲得形式可證安全的道路。這幾項(xiàng)原則或許可以用孫子的名訓(xùn)"知己知彼，百戰(zhàn)不殆"來概括。我想其中標(biāo)準(zhǔn)化、公開性可以解釋為"知己"，而追求極端強(qiáng)化安全概念下的可證安全則是向著"知彼"的境界升華。若對孫子名訓(xùn)做更通俗點(diǎn)的詮釋，則我認(rèn)為在商用密碼學(xué)上，我們可以說："誰是我們的朋友，誰是我們的敵人，這個(gè)問題也是商用密碼學(xué)的首要問題"。為了能與外部朋友們進(jìn)行安全的商務(wù)交易，我們不可以沒有算法的標(biāo)準(zhǔn)化；為了在極大程度上限制暗藏（特別是內(nèi)部）的敵人，我們需要算法的公開性；而達(dá)到強(qiáng)安全概念下的可證明安全則為走標(biāo)準(zhǔn)化、公開性道路提供高信度的保障。毛文波24年3月于西安譯者序隨著人類進(jìn)入信息化社會(huì)，信息安全已成為人們在信息空間中生存與發(fā)展的重要保證條件，著名未來學(xué)家托夫勒曾說過，在信息時(shí)代"誰掌握了信息，控制了網(wǎng)絡(luò)，誰就將擁有整個(gè)世界"。因此，密碼學(xué)和信息安全技術(shù)在最近二十多年來，越來越受到人們的重視，特別是"911"事件以來，信息安全業(yè)已成為各國政府和有關(guān)部門、企業(yè)、機(jī)構(gòu)的重要議事內(nèi)容?，F(xiàn)代密碼學(xué)形成于2世紀(jì)7年代，其重要標(biāo)志有兩個(gè)，一是美國制定并于1977年1月15日批準(zhǔn)公布了公用數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，DataEncryptionStandard）；二是公鑰密碼體制的誕生。這兩個(gè)事件在密碼學(xué)史上具有里程碑意義。DES的出現(xiàn)有兩方面的意義，一是算法的標(biāo)準(zhǔn)化，二是密碼算法的公開化。標(biāo)準(zhǔn)化的重要性容易為人們所認(rèn)識(shí)，人類在2世紀(jì)學(xué)到的一件最重要的經(jīng)驗(yàn)就是技術(shù)進(jìn)步中標(biāo)準(zhǔn)化的作用。標(biāo)準(zhǔn)化提供產(chǎn)品的互操作性，對生產(chǎn)廠家和使用者都提供了極大的方便，大大降低了成本和提高了推廣應(yīng)用的速度，極大地促進(jìn)了生產(chǎn)率的提高和技術(shù)進(jìn)步。在密碼和安全技術(shù)普遍用于實(shí)際通信網(wǎng)的過程中，密碼算法的標(biāo)準(zhǔn)化是一項(xiàng)非常重要的工作。標(biāo)準(zhǔn)化可以實(shí)現(xiàn)規(guī)定的安全水平，具有兼容性，在保障安全的互連互通中起關(guān)鍵作用；標(biāo)準(zhǔn)化有利于降低成本、訓(xùn)練操作人員和技術(shù)的推廣使用。因此各國政府有關(guān)部門和國際標(biāo)準(zhǔn)化組織都大力開展標(biāo)準(zhǔn)化的研究和制定工作。首先我們來看密碼算法的標(biāo)準(zhǔn)化問題。支持現(xiàn)代人生存的重要基礎(chǔ)設(shè)施之一是國家信息基礎(chǔ)設(shè)施，即NII。在NII中建設(shè)國家信息安全基礎(chǔ)設(shè)施（NISII）具有極其重要的意義，它是保障人民、國家、企業(yè)和個(gè)人能夠在信息空間中生存的重要條件，是發(fā)展電子商務(wù)的基礎(chǔ)。而公用密碼算法和安全協(xié)議標(biāo)準(zhǔn)又是NISII的一個(gè)重要組成部分。沒有密碼算法和安全協(xié)議的支持，就無法建立信息空間中的信賴性，就不能支持信息空間中的仲裁機(jī)構(gòu)、保護(hù)個(gè)人隱私和個(gè)人數(shù)據(jù)的安全保密。作為現(xiàn)代人也就無法在信息空間中生存。如歐盟就出資33億歐元來制定NESSIE（NewEuropeanSchemesforSignatures，Integrity，andEncryption，新的歐洲數(shù)字簽名、完整性和加密方案）。公用密碼算法的標(biāo)準(zhǔn)要不要公開？長期以來，這一直是一個(gè)有爭議的論題。雖然早在1多年以前，1883年荷蘭密碼學(xué)家A.Kerchoff（1835～193）就給出了密碼學(xué)的一個(gè)基本原則：密碼的安全必須完全寓于密鑰之中。盡管密碼學(xué)家們大都同意這一看法，但直到制定DES時(shí)才首次認(rèn)真地遵循這一原則。這一做法適應(yīng)信息化社會(huì)發(fā)展的需要，是完全正確的。但是，1984年9月美國總統(tǒng)里根簽署了145號(hào)國家安全決策令（NSDD），命令NSA著手發(fā)展新的加密標(biāo)準(zhǔn)，并且規(guī)定算法不再公開，認(rèn)為算法公開不利于美國國家的安全。到1993年4月，克林頓政府公布了一項(xiàng)建議的加密技術(shù)標(biāo)準(zhǔn)，稱做密鑰托管加密標(biāo)準(zhǔn)（EES，EscrowedEncryptionStandard）。EES不僅算法保密，而且每個(gè)芯片中的單元（或用戶）密鑰也在政府完全控制之下。在密碼發(fā)展史上，DES確定了發(fā)展公用標(biāo)準(zhǔn)算法的模式，而EES的制定路線卻與DES的背道而馳。EES在美國引起很大爭論，由于它對美國公民的隱私權(quán)造成威脅而遭到多方面的反對。1995年5月AT&T貝爾實(shí)驗(yàn)室的M.Blaze博士在PC機(jī)上用45分鐘時(shí)間使SKIPJACK的LEAF協(xié)議失敗，偽造ID碼獲得成功。雖然NSA聲稱已彌補(bǔ)，但喪失了公眾對此體制的信心。1995年7月美國政府宣布放棄用EES來加密數(shù)據(jù)，重新回到制定DES標(biāo)準(zhǔn)立場，這一耗資幾億美元的計(jì)劃基本上遭到失敗。1997年1月2日美國NIST著手進(jìn)行AES（AdvancedEncryptionStandard）的研究，成立了標(biāo)準(zhǔn)工作室。1997年4月15日討論了AES的評估標(biāo)準(zhǔn)，開始在世界范圍內(nèi)征集AES的建議算法。1998年8月2～22日經(jīng)評審選定并公布了15個(gè)候選算法。1999年8月經(jīng)評審篩選出5個(gè)算法，2年1月2日最后確定了以比利時(shí)兩位密碼學(xué)家ProtonWorldInternational公司的JoanDaemen博士和Katholeke大學(xué)電機(jī)工程系的VincentRijmen博士所設(shè)計(jì)的Rijdeal算法作為AES的標(biāo)準(zhǔn)算法。方針、政策的正確制定非常關(guān)鍵，它應(yīng)當(dāng)符合社會(huì)發(fā)展的需要，能代表先進(jìn)的社會(huì)生產(chǎn)力，這樣才能推動(dòng)事物的發(fā)展。由DES到EES，再到AES的曲折歷史告訴我們，制定信息化社會(huì)所需的公用密碼算法標(biāo)準(zhǔn)的正確途徑是公開地進(jìn)行，一是算法要公開，二是方案要公開征集和公開評價(jià)。只有這樣才能使密碼算法的使用者相信用它能夠保護(hù)自己的隱私和數(shù)據(jù)的安全、保證他能夠在信息空間中公平地參加各類活動(dòng)而不會(huì)遭受欺詐。也只有這樣才能使所制定的密碼算法標(biāo)準(zhǔn)能夠經(jīng)受住各種攻擊，達(dá)到所需的安全性。毛博士在其書的1.2.6節(jié)中所做有關(guān)"民用的密碼研究應(yīng)該采用公開的途徑"的論述，是非常正確和重要的。并非所有人都同意這種看法。有人認(rèn)為，密碼是一把雙刃劍，既可以為我所用，也可以為敵所用。應(yīng)當(dāng)努力研究和發(fā)展密碼的可控性理論和技術(shù)，以防范我們的密碼為敵所用和濫用。這的確是一個(gè)重要和值得研究的問題。但是這決不是公用密碼不應(yīng)公開的根據(jù)。我們知道，EES的初衷就是想用它來對付恐怖分子、販毒集團(tuán)等犯罪分子，只要這類人采用EES的保密終端進(jìn)行通信，就可以對他們實(shí)施實(shí)時(shí)監(jiān)聽。試想，這些人會(huì)如此之傻地跳進(jìn)為他們設(shè)好的陷阱嗎？難道他們不會(huì)用自行設(shè)計(jì)的密碼來保護(hù)他們的關(guān)鍵數(shù)據(jù)？所以說EES不能實(shí)現(xiàn)他們預(yù)想的目的，倒是成為監(jiān)聽好人通信的工具了。作為公用密碼算法標(biāo)準(zhǔn)EES是失敗了，但它在密碼發(fā)展史上也有成功之處。EES發(fā)展了密可控性理論與技術(shù)，大大推進(jìn)了密鑰托管和密鑰恢復(fù)技術(shù)的發(fā)展，這類技術(shù)在電子商務(wù)和電子政務(wù)等方面有重要用途。我們在應(yīng)用密碼的各種技術(shù)時(shí)，一定要分析清楚所在的環(huán)境，有些適用于像Intranet和Extranet環(huán)境，有些更適用于Internet環(huán)境。其次，我們來看現(xiàn)代密碼學(xué)賴以發(fā)展的環(huán)境問題。我們知道，2世紀(jì)7年代以前的密碼學(xué)，包括香農(nóng)所創(chuàng)建的保密通信的信息理論，討論的基本問題是抗擊被動(dòng)攻擊者對密文的截收和分析。只要設(shè)計(jì)出在理論和實(shí)際上讓密碼分析者難以破譯的密碼算法，就能保證信息的安全性。而現(xiàn)代密碼學(xué)的應(yīng)用環(huán)境是開放的網(wǎng)絡(luò)環(huán)境，除了要對付被動(dòng)攻擊者外，還必須對付開放網(wǎng)絡(luò)環(huán)境中的各種主動(dòng)攻擊者。如何對付主動(dòng)攻擊者，特別是如何對付那些刁鉆的主動(dòng)攻擊者，是現(xiàn)代密碼學(xué)中最具挑戰(zhàn)性的問題。這類攻擊者不僅很好地掌握了密碼學(xué)和信息安全技術(shù)方面的知識(shí)，而且智商不低，能夠充分利用開放網(wǎng)絡(luò)環(huán)境所提供的資源來獲取所需的信息，對他們所感興趣的系統(tǒng)實(shí)施攻擊。他們不僅會(huì)利用密碼算法上的各種弱點(diǎn)，而且還能利用協(xié)議設(shè)計(jì)和使用中的各種缺陷。毛博士在他的書中全力以赴論述如何對付刁鉆的主動(dòng)攻擊者。這不僅涉及"教科書式密碼"的內(nèi)容，還要用到現(xiàn)代密碼學(xué)的一些新理論，特別是安全性的形式證明理論。這本書的重要特色就是全面而又深刻、嚴(yán)謹(jǐn)而又通俗地論述了現(xiàn)代密碼學(xué)這一極為重要而又很前沿的問題。當(dāng)今，任何密碼算法、協(xié)議的設(shè)計(jì)和相應(yīng)標(biāo)準(zhǔn)的制定，都不能回避可證明安全性，都必須通過這一理論的嚴(yán)格檢驗(yàn)。毛博士的書以一種全新的方式介紹密碼學(xué)，首先深刻揭示"教科書式密碼"的不安全性和弱點(diǎn)，闡明它們不適于實(shí)際應(yīng)用的理由；而后引入如何將一個(gè)密碼算法或協(xié)議的"原型"改造成為一個(gè)能實(shí)際用于開放網(wǎng)絡(luò)環(huán)境的安全方案，并給出這類方案安全性的形式證明。書中對于"理想世界"和"現(xiàn)實(shí)世界"、"兩類攻擊者"、"教科書式密碼"和"非教科書式或適于應(yīng)用的密碼學(xué)"、"密碼原型"和"實(shí)用密碼方案"、安全協(xié)議等的論述是十分精辟的，需要認(rèn)真體會(huì)。因此，本書對于密碼和信息安全技術(shù)專業(yè)的學(xué)生以及從事這方面的工作者來說是一本不可多得、值得認(rèn)真研讀的好書。有關(guān)安全性可證明理論，Goldreich的"FundationsofCrytography"是應(yīng)當(dāng)提及的，但這是一本嚴(yán)格而數(shù)學(xué)化的書，適合于那些有很好數(shù)學(xué)基礎(chǔ)而且要認(rèn)真研究這一理論的讀者。三十年前，要想找一本密碼方面的書并不容易。最近二十多年來，特別是最近十年來，已出版了數(shù)以百計(jì)的密碼學(xué)和信息安全技術(shù)的書。其中，中文書也已不下百本。這一方面是由于信息安全問題的重要性，另一方面也是由于借助于計(jì)算機(jī)來編寫一本書已不是什么難事。但要寫一本有特色、有存在價(jià)值的書就絕非易事。我想，當(dāng)我們讀過毛博士這本書以后，就會(huì)知道我們?yōu)槭裁匆g和出版它了。毛博士能寫這樣的書與他的經(jīng)歷是分不開的。這里向讀者簡要介紹毛博士的有關(guān)信息。毛博士于1982年7月獲復(fù)旦大學(xué)應(yīng)用數(shù)學(xué)學(xué)士學(xué)位；1987年1月獲北京航空航天大學(xué)計(jì)算機(jī)科學(xué)碩士學(xué)位；1993年7月獲英國格拉斯哥Strathclyde大學(xué)計(jì)算機(jī)科學(xué)博士學(xué)位；1992年到1994年在英國曼徹斯特大學(xué)做博士后研究，與C.Boyd博士對密碼協(xié)議和協(xié)議形式的分析進(jìn)行深入研究，做出了貢獻(xiàn)。曾在澳大利亞Technology學(xué)院、IssacNewtonInstitute及布里斯托爾大學(xué)做訪問研究。1994年11月加入HP公司做高級(jí)技術(shù)成員，在英國的布里斯托爾研究實(shí)驗(yàn)室的可信賴系統(tǒng)實(shí)驗(yàn)室，參加了多項(xiàng)重要的電子商務(wù)系統(tǒng)和信息安全系統(tǒng)的設(shè)計(jì)和開發(fā)工作，其中包括歐盟的CASENET計(jì)劃的HP部分的領(lǐng)導(dǎo)工作。在密碼算法、協(xié)議的設(shè)計(jì)和分析方面進(jìn)行了廣泛而深入的研究，做出了優(yōu)異成績。他在重要國際會(huì)議和雜志上發(fā)表了多篇論文，曾獲IEE的TheHartree獎(jiǎng)，是IEEE、BCS和IACR會(huì)員，澳大利亞昆士蘭、布里斯托爾、倫敦等大學(xué)客座研究員。多個(gè)有關(guān)密碼和信息安全重要國際會(huì)議的程序委員會(huì)成員和有關(guān)雜志的密碼和信息安全方面專輯的編輯或顧問組成員。自2年4月至今任HP公司總工程師、技術(shù)領(lǐng)導(dǎo)。毛博士正在撰寫"CryptographicProtocol"一書，我們期待它早日問世。參加本書翻譯的八位博士生，他們對于所分擔(dān)部分的內(nèi)容都比較熟悉，與他們博士論文的研究方向比較接近。翻譯的初稿，先兩兩一組相互校對，然后由姜正濤做仔細(xì)的初校，最后由我做全面的校對，有些部分進(jìn)行了多回合的商榷和訂正。各部分分工如下：王繼林譯前言、目錄、圖的列表、第1章、第2章，伍前紅譯第4章、第18章、第19章、第2章，龐遼軍譯第3章、第1章，郝艷華譯第5章、第7章，姜正濤譯第6章、第8章，張鍵紅譯第9章、第13章，田海波譯第11章、第12章，陳原譯第14章、第15章、第16章、第17章。名詞索引的初稿由伍前紅和王繼林譯出。他們都認(rèn)真、負(fù)責(zé)和按時(shí)完成了任務(wù)。姜正濤付出最多，他連續(xù)工作了三個(gè)多月，寒假也在工作；他的英語水平高，漢語語言表達(dá)能力強(qiáng)；他工作認(rèn)真、細(xì)心，負(fù)責(zé)，出色地完成了校對任務(wù)。沒有這八位同學(xué)的努力和合作，就不可能把這本書及時(shí)獻(xiàn)給中文讀者。毛博士曾仔細(xì)地閱讀了中譯本的初稿，提出不少修改意見，在此表示衷心的感謝！感謝電子工業(yè)出版社在我們翻譯本書時(shí)所給予的協(xié)助和支持，以及編輯們的辛勤工作！我們衷心希望這本書的中文版能在我國的密碼和信息安全技術(shù)領(lǐng)域發(fā)揮它應(yīng)有的作用。雖然我們做了努力，但有些地方的譯文未必能正確表達(dá)出原書的意思，甚至?xí)绣e(cuò)誤。敬請讀者批評和指正。西安電子科技大學(xué)王育民ymwang@xidian.edu.cn24年3月18日前言我們的社會(huì)已經(jīng)進(jìn)入了一個(gè)嶄新時(shí)代，傳統(tǒng)的商務(wù)活動(dòng)、事務(wù)處理以及政府服務(wù)已經(jīng)或越來越多地將要通過開放的計(jì)算機(jī)和通信網(wǎng)，如Internet，特別是基于萬維網(wǎng)的工具來實(shí)施和提供。對在世界各個(gè)角落的人來說，在線工作有著"隨時(shí)可得"的巨大優(yōu)點(diǎn)。下面是一些可以或即將可以在線完成的事例：銀行業(yè)務(wù)、賬單支付、家中購物、股票交易、拍賣、稅收、賭博、小額支付（例如按下載支付）、電子身份、對醫(yī)藥記錄的在線訪問、虛擬保密網(wǎng)、安全數(shù)據(jù)存檔與恢復(fù)、文件的掛號(hào)遞送、敏感文件的公平交換、公平合同簽署、時(shí)戳、公正、選舉、廣告、授權(quán)、訂票、交互式游戲、數(shù)字圖書館、數(shù)字權(quán)限管理、盜版追蹤等。只有在開放網(wǎng)絡(luò)能提供安全通信的條件下，上述誘人的商務(wù)活動(dòng)、事務(wù)處理以及服務(wù)才能實(shí)現(xiàn)。而要保證在開放網(wǎng)絡(luò)中通信的安全性，一個(gè)有效的解決辦法就是利用密碼技術(shù)。加密、數(shù)字簽名、基于口令的用戶認(rèn)證是實(shí)現(xiàn)安全通信的一些最基本的密碼技術(shù)。但是，正如我們將在本書中多次看到的那樣，即使是最基本的密碼技術(shù)，在應(yīng)用中也存在令人驚訝的難以捉摸和嚴(yán)重的安全性問題。而且對很多像上一段所列出的"想像的"應(yīng)用來說，這些基本的密碼技術(shù)是不夠的。越來越復(fù)雜的電子商務(wù)、事務(wù)處理和服務(wù)形式GartnerGroup預(yù)計(jì)，歐盟的B2B和B2C電子商務(wù)稅收在24年將以.7的概率達(dá)到2.6萬億美元，是2年的28倍［5］。eMarketer［15］也報(bào)告，美國金融機(jī)構(gòu)在22年因電子身份問題被竊的損失為14億美元，并預(yù)計(jì)每年將會(huì)以29%的速度增加。對在開放的網(wǎng)絡(luò)中實(shí)現(xiàn)安全通信的需求正迅速增加。對能夠進(jìn)行設(shè)計(jì)、開發(fā)、分析和維護(hù)信息安全系統(tǒng)和密碼協(xié)議的信息安全方面的專業(yè)人員的需求量正日益增大。這些專業(yè)人員可能是從IT系統(tǒng)的管理員、信息安全工程師和有安全要求的軟/硬件系統(tǒng)產(chǎn)品的開發(fā)人員，直到密碼學(xué)家。在過去的幾年里，作者作為在英國布里斯托爾HewlettPachard實(shí)驗(yàn)室信息安全與密碼系統(tǒng)方面的一名技術(shù)顧問，已經(jīng)注意到了對信息安全人員需求的持續(xù)增長和現(xiàn)有專業(yè)人員明顯短缺這一失調(diào)現(xiàn)象。結(jié)果，很多在密碼或信息安全方面缺少適當(dāng)訓(xùn)練的面向應(yīng)用的工程師，由于應(yīng)用的需要，不得不"挽起袖子"成了安全系統(tǒng)或密碼協(xié)議的設(shè)計(jì)者或者開發(fā)者。盡管這是不爭的事實(shí)，但要設(shè)計(jì)密碼系統(tǒng)和協(xié)議，即便對密碼學(xué)專家來說，也不是件容易的事。作者的工作性質(zhì)允許他有機(jī)會(huì)審查很多信息安全系統(tǒng)和密碼協(xié)議，其中有一些就是由"挽袖子"工程師所提出和設(shè)計(jì)的，而且是用在一些重要的實(shí)用上。在很多場合，作者看到了這些系統(tǒng)中存在有所謂的"教科書式密碼"的特征，這是把很多密碼學(xué)教科書中一般都介紹的密碼算法直接拿來應(yīng)用的結(jié)果。利用基本的公鑰加密算法（如RSA）直接對口令（一個(gè)不大的秘密數(shù)）進(jìn)行加密就是"教科書式密碼"的一個(gè)典型例子。教科書式密碼以"不可忽略的概率"在重要應(yīng)用場合下的出現(xiàn)引起了作者的擔(dān)心。看來，教科書式密碼的一般危害，尚沒有被那些針對重要現(xiàn)實(shí)應(yīng)用來設(shè)計(jì)和開發(fā)信息安全系統(tǒng)的許多人所意識(shí)到?？紤]到對信息安全專業(yè)人才的大量需求，并相信專業(yè)人才的密碼學(xué)知識(shí)不能僅囿于教科書式密碼學(xué)，作者寫了這本"非教科書式密碼學(xué)"教材。本書致力于：在強(qiáng)調(diào)"非教科書式"的情況下，廣泛介紹有關(guān)密碼算法、方案和協(xié)議。通過展示對這類系統(tǒng)的大量攻擊和總結(jié)典型的攻擊技術(shù)，來說明"教科書式密碼"的不安全性。通過對標(biāo)準(zhǔn)的關(guān)注，為密碼系統(tǒng)和協(xié)議的設(shè)計(jì)、分析與實(shí)施提供原理和指導(dǎo)原則。研究嚴(yán)格建立密碼系統(tǒng)和協(xié)議的強(qiáng)而實(shí)用安全性表示的形式化技術(shù)和方法。為希望系統(tǒng)了解這一領(lǐng)域的讀者精心選取學(xué)習(xí)現(xiàn)代密碼學(xué)必備的理論素材。本書范圍在過去的3年里，現(xiàn)代密碼學(xué)的研究可謂突飛猛進(jìn)，其研究領(lǐng)域非常廣泛和深入。本書集中討論一個(gè)方面的問題：對以其強(qiáng)安全性能明確建立起來的實(shí)用密碼方案和協(xié)議進(jìn)行介紹。本書分為6部分：第一部分這一部分共有兩章內(nèi)容（第1章，第2章），是本書和密碼學(xué)與信息安全的入門性介紹。其中第1章以解決一個(gè)微妙的通信問題為開場白，來闡述密碼學(xué)的效用。本章將給出一個(gè)在電話上實(shí)現(xiàn)公平擲幣的簡單密碼協(xié)議（本書的第一個(gè)協(xié)議）并對其進(jìn)行討論。然后對要研究領(lǐng)域的文化和"貿(mào)易"進(jìn)行介紹。第2章使用一系列的簡單認(rèn)證協(xié)議，來表明該領(lǐng)域的一個(gè)不幸的事實(shí)：缺陷處處存在。作為入門性介紹，這一部分是為想進(jìn)入該領(lǐng)域的新手寫的。第二部分這一部分介紹學(xué)習(xí)本書必備的數(shù)學(xué)背景知識(shí)，它包含4章內(nèi)容（第3章～第6章）。只想"知其然"，即了解如何使用實(shí)用密碼方案和協(xié)議的讀者，可以跳過這一部分而基本上不影響大多數(shù)后續(xù)章節(jié)的閱讀。要想知道"所以然"，即為什么這些方案和協(xié)議具有強(qiáng)安全性的讀者將會(huì)發(fā)現(xiàn)，這里給出的數(shù)學(xué)背景知識(shí)是足夠的。當(dāng)我們揭示方案和協(xié)議的工作原理，指出其中的一些方案和協(xié)議是不安全的，或者論述別的協(xié)議和方案是安全的時(shí)候，我們就能在這里找到相應(yīng)的理論根據(jù)。這一部分也可作為學(xué)習(xí)現(xiàn)代密碼學(xué)理論基礎(chǔ)的系統(tǒng)背景知識(shí)。第三部分這部分也有4章內(nèi)容（第7章～第1章），介紹提供保密和數(shù)據(jù)完整性保護(hù)最基本的密碼算法和技術(shù)。其中第7章是對稱加密方案，第8章是非對稱加密技術(shù)，第9章討論的是，在數(shù)據(jù)是隨機(jī)的理想條件下，利用基本通用的非對稱密碼函數(shù)所擁有的一個(gè)重要的安全特性。最后的第1章是數(shù)據(jù)完整性技術(shù)。由于這里介紹的是最基本的方案和技術(shù)，其中多數(shù)屬于"教科書式密碼"，因而是不安全的。在介紹這些方案的同時(shí)，也給出不少相應(yīng)的攻擊，并明確闡述了告誡注釋。對于那些不想對實(shí)用密碼和它們的強(qiáng)安全性概念做深入研究的實(shí)際工作人員，教科書式密碼部分也仍會(huì)就教科書式密碼的不安全性向他們提出明確的預(yù)警信號(hào)。第四部分這部分有3章內(nèi)容（第11章～第13章），介紹應(yīng)用密碼學(xué)和信息安全中一個(gè)重要的概念：認(rèn)證。這些章節(jié)的研究范圍很廣，第11章介紹技術(shù)背景、原理、一系列的基礎(chǔ)協(xié)議和標(biāo)準(zhǔn)，以及常規(guī)的攻擊技術(shù)和防護(hù)措施。第12章是對四個(gè)著名的認(rèn)證協(xié)議系統(tǒng)在現(xiàn)實(shí)應(yīng)用案例的研究。第13章介紹特別適合于開放系統(tǒng)的有關(guān)最新技術(shù)。企業(yè)中信息安全系統(tǒng)的管理者、安全產(chǎn)品的軟/硬件開發(fā)商們將會(huì)發(fā)現(xiàn)這一部分對他們是非常有用的。第五部分這部分有4章內(nèi)容（第14章～第17章），對公鑰密碼技術(shù)（加密、簽名和簽密）的強(qiáng)（實(shí)用）安全性概念進(jìn)行嚴(yán)格的形式化處理，并給出認(rèn)證協(xié)議的形式化分析方法。第14章介紹強(qiáng)安全性概念的形式化定義，接著的兩章是和第三部分教科書式密碼方案相對的實(shí)用密碼方案，具有形式化建立起（即明確推理）的強(qiáng)安全性。最后，第17章對在第四部分尚未進(jìn)行分析的認(rèn)證協(xié)議，給出其形式化的分析方法和技術(shù)。第六部分這是本書的最后一部分，包括兩個(gè)技術(shù)章節(jié)（第18章～第19章）和一個(gè)簡短的評述（第2章）。其主要的技術(shù)章節(jié)，第18章，介紹了一類被稱為零知識(shí)協(xié)議的密碼協(xié)議。這類協(xié)議能提供一種重要的安全性業(yè)務(wù)，它為"想像中"的各種電子商務(wù)和事務(wù)處理應(yīng)用所必需，在對所聲明的內(nèi)容保持嚴(yán)格保密性的情況下，對一個(gè)秘密數(shù)所宣稱的性質(zhì)進(jìn)行證實(shí)（例如，符合商業(yè)上的需求）。這部分要引入零知識(shí)協(xié)議，說明了在各種現(xiàn)實(shí)應(yīng)用中對特定安全性需求的多樣性。這種多樣性超越了機(jī)密性、完整性、認(rèn)證和不可否認(rèn)性。在本書的最后一個(gè)技術(shù)章節(jié)（第19章）中，我們將解決本書一開始介紹的協(xié)議中的遺留問題：實(shí)現(xiàn)"通過電話公平擲幣"。最后的實(shí)現(xiàn)協(xié)議不但在效率上適宜實(shí)用，而且也明確地建立起了強(qiáng)安全性。不用說，對每一個(gè)實(shí)用密碼協(xié)議或方案的描述，都是要先給出與之相應(yīng)的教科書式密碼不適用的原因。我們總是以給出相應(yīng)存在的攻擊來說明原因，就相應(yīng)的攻擊而言，這些方案和協(xié)議往往存在某些微妙之處。另外，一個(gè)實(shí)用密碼協(xié)議和方案的描述，也必是以其所宣稱的必須包含的強(qiáng)（實(shí)用）安全性成立的分析來結(jié)束。因而，本書一些部分不可避免地要包含有數(shù)學(xué)和邏輯推理、為明示和對付攻擊所需的歸納和變換。實(shí)用密碼學(xué)并不是一個(gè)輕易駕馭或者稍稍讀讀就能掌握的論題。盡管如此，本書并不是一本僅為專業(yè)密碼學(xué)家所感興趣的高深研究課題的書。這里所介紹的東西對密碼學(xué)家來說都是已知的和相當(dāng)基本的。作者相信，在有充足的解釋、實(shí)例、足夠的數(shù)學(xué)背景知識(shí)和參考材料的情況下，這些東西完全能被非專業(yè)人士理解。本書針對的讀者對象為：已經(jīng)或即將完成計(jì)算機(jī)、信息科學(xué)、應(yīng)用數(shù)學(xué)第一學(xué)位課程并計(jì)劃從事信息安全行業(yè)的學(xué)生。對他們來說，本書可以作為應(yīng)用密碼學(xué)的高級(jí)教程。在高科技公司從事信息安全系統(tǒng)設(shè)計(jì)和開發(fā)的安全工程師。如果我們說在科學(xué)研究計(jì)劃中，教科書式密碼所產(chǎn)生的危害不是很大的話，至多是出現(xiàn)一種令人尷尬的場面，那么在信息安全產(chǎn)品中使用教科書式密碼將會(huì)造成嚴(yán)重?fù)p失。因此對這類讀者來說，了解教科書式密碼在現(xiàn)實(shí)中的不適用性是非常必要的。而且，這類讀者應(yīng)該對隱藏在實(shí)用方案和協(xié)議下的安全原理有很好的理解，以便能正確地使用這些方案和原理。第II部分所給出的自足的數(shù)學(xué)基礎(chǔ)材料使得本書很適合這類讀者自學(xué)。對企業(yè)信息安全系統(tǒng)管理人員或者生產(chǎn)安全產(chǎn)品的軟/硬件開發(fā)商這類讀者來說，第I部分是簡單而基本的文化和"商務(wù)"方面的培訓(xùn)教程，第III部分和第IV部分是一個(gè)適當(dāng)裁減的密碼學(xué)和信息安全知識(shí)集。這三部分包含有很多基本的密碼方案和協(xié)議，以及很多對應(yīng)的攻擊方法和防護(hù)措施。這些攻擊方法和防護(hù)措施能被大多數(shù)讀者理解，不需要有所謂理論基礎(chǔ)的負(fù)擔(dān)。對于剛開始從事密碼學(xué)或計(jì)算機(jī)安全方面研究的博士生這類讀者來說，將會(huì)欣賞一本能包含強(qiáng)安全性概念的形式化處理并對其進(jìn)行適當(dāng)和詳細(xì)解釋的書感興趣。本書將能幫助他們快速深入地進(jìn)入這一浩瀚的研究領(lǐng)域。對這類人員來說，第II、IV、V和VI部分構(gòu)成了一個(gè)適當(dāng)深度的文獻(xiàn)綜述材料，這將能引導(dǎo)他們找到更進(jìn)一步的文獻(xiàn)，并能幫助他們明確自己的研究課題。本書的適當(dāng)取舍（如第1章、第2章、第3章和第6章）也可以組成適合計(jì)算機(jī)、信息科學(xué)和應(yīng)用數(shù)學(xué)大學(xué)高年級(jí)學(xué)生學(xué)習(xí)用的應(yīng)用密碼學(xué)教程。致謝非常感謝FengBao、ColinBoyd、StevenGalbraith、DieterGollmann、KeithHarrison、MarcusLeech、HelgerLipmaa、HoiKwongLo、JavierLopez、JohnMalonelee、CaryMeltzer、ChristianPaquin、KennyPaterson、DavidPointcheval、VincentRijmen、NigelSmart、DavidSoldera、PaulvanOorschot、SergeVaudenay和StefekZaba。他們花費(fèi)了大量時(shí)間校閱有關(guān)章節(jié)或全書，并提供了非常有價(jià)值的評論、批評和建議，使得本書更加完善。本書還得益于向下列人士的請教：MihirBellare、JanCamenisch、NeilDunbar、YairFrankel、ShaiHalevi、AntoineJoux、MarcJoye、ChalieKaufman、AdrianKent、HugoKrawczyk、CatherineMeadows、BillMunro、PhongNguyen、RadiaPerlman、MarcoRicca、RonaldRivest、SteveSchneider、VictorShoup、IgorShparlinski和MotiYung。作者還要感謝PrienticeHallPTR的JillHarry和HPProfessionalBooks的SusanWright，他們鼓勵(lì)并引導(dǎo)我寫作了本書，并在我漫長的寫作中提供了技術(shù)幫助，感謝PrienticeHallPTR的JenniferBlackwell、RobinCarroll、BrendaMulligan、JustinSomma和MarySudul以及HPProfessionalBooks的WalterBruce和PatPekary。還要感謝我在布里斯托爾Hewlettpackard實(shí)驗(yàn)室的同事們在技術(shù)、修辭和管理方面給予的支持，他們是DavidBall、RachardCardwell、LiqunChen、LanCole、GarethJones、StephenPearson和MartinSadler。作者于英國布里斯托爾23年5月

　　WenboMao，1993年獲英國格拉斯哥Strathclyde大學(xué)計(jì)算機(jī)科學(xué)博士。1992年到1994年在英國Manchester大學(xué)做博士后研究期間，與C.Boyd博士對密碼協(xié)議和協(xié)議形式的分析進(jìn)行了深入研究并做出了貢獻(xiàn)。后加入HP公司做高級(jí)技術(shù)成員，在英國的Bristol研究實(shí)驗(yàn)室的可信賴系統(tǒng)實(shí)驗(yàn)室，參加了多項(xiàng)重要的電子商務(wù)系統(tǒng)和信息安全系統(tǒng)的設(shè)計(jì)和開發(fā)工作。他是多個(gè)有關(guān)密碼和信息安全重要國際會(huì)議的程序委員會(huì)成員和有關(guān)雜志的密碼及信息安全方面專輯的編輯或顧問組成員。自2000年4月至今任HP公司總工程師、技術(shù)領(lǐng)導(dǎo)。