文章目录
- 一、数字签名方案
- 1.1 ECDSA:基于椭圆曲线的数字签名算法
- 1.2 EdDSA:Edwards曲线数字签名算法
- 1.3 RSA-PSS:带有概率签名方案的RSA
- 1.4 数字签名方案对比
- 二、密钥交换协议
- 2.1 Diffie-Hellman密钥交换
- 2.2 ECDH:椭圆曲线Diffie-Hellman密钥交换
- 2.3 量子抗性密钥交换协议:CRYSTALS-Kyber
- 2.4 密钥交换协议对比
- 三、密码学协议
- 3.1 TLS 1.3:传输层安全协议
- 3.2 Signal协议:端到端加密通信
- 3.3 IKEv2:互联网密钥交换协议
- 3.4 密码学协议对比
- 四、后量子密码学
- 4.1 基于格的密码学
- 4.2 基于哈希的密码学:SPHINCS+
- 4.3 基于多变量多项式的密码学:Rainbow
- 4.4 基于超椭圆曲线同源系统的密码学:SIKE
- 4.5 后量子密码学方案对比
这一部分作为了解吧,前几章有代码,可以深入学习一下。
同系列:
- 对称加密算法(AES、ChaCha20和SM4)Python实现——密码学基础(Python出现No module named “Crypto” 解决方案)
- 非对称加密算法(RSA、ECC、SM2)——密码学基础
- 哈希函数详解(SHA-2系列、SHA-3系列、SM3国密)案例:构建简单的区块链——密码学基础
一、数字签名方案
数字签名是现代信息安全体系中的基石,它为数字通信提供了身份验证、数据完整性和不可否认性。想象一下,在物理世界中,你用独特的笔迹签署文件;在数字世界中,数字签名扮演着类似角色,但提供了更强的安全保障。
1.1 ECDSA:基于椭圆曲线的数字签名算法
椭圆曲线数字签名算法(ECDSA)是一种使用椭圆曲线密码学的数字签名方案。与传统的RSA签名相比,ECDSA能够提供相同的安全强度,但使用更短的密钥长度。
工作原理:
- 密钥生成:选择一条椭圆曲线和基点G,生成私钥d(随机数)和公钥Q=d×G
- 签名生成:计算消息哈希,使用私钥和随机数k生成签名对(r,s)
- 签名验证:使用发送者的公钥验证签名的有效性
应用场景:
- 比特币和以太坊等区块链技术
- TLS/SSL安全通信
- 数字证书签名
优势:
- 高效率:相比RSA,计算速度更快
- 紧凑性:较短的密钥长度和签名大小
- 强安全性:256位ECDSA提供与3072位RSA相当的安全强度
工具与实现:
- OpenSSL库(支持各种编程语言)
- 专业密码库如Bouncy Castle (Java)
- 区块链开发工具如web3.js(以太坊)
1.2 EdDSA:Edwards曲线数字签名算法
EdDSA (Edwards-curve Digital Signature Algorithm) 是一种基于扭曲Edwards曲线的数字签名算法,最著名的实现是Ed25519。
工作原理:
- 密钥生成:从私钥种子导出扩展私钥,计算公钥
- 签名生成:使用确定性方法(无需随机数生成器),降低实现错误风险
- 签名验证:验证签名与消息和公钥的关系
主要特点:
- 确定性签名:相同消息和密钥总是产生相同签名
- 批量验证:可高效验证多个签名
- 没有特殊情况:简化实现,减少安全漏洞
应用场景:
- Signal等安全通信软件
- SSH密钥认证
- DNSsec域名系统安全扩展
工具与库:
- libsodium(跨平台密码学库)
- NaCl(Networking and Cryptography library)
- Ed25519实现库(多种编程语言)
1.3 RSA-PSS:带有概率签名方案的RSA
RSA-PSS (Probabilistic Signature Scheme) 是RSA签名的一种现代变体,增加了随机性元素,提高了安全性。
技术细节:
- 使用掩码生成函数(MGF)添加随机性
- 对消息进行盐化处理,使得即使相同消息的多次签名也会产生不同结果
- 包含严格的数学证明,满足选择性伪造攻击下的安全性
应用场景:
- 企业级PKI基础设施
- 数字证书生成
- 文档签名系统
优势与劣势:
- 优势:更强的安全性证明,抵抗选择性伪造攻击
- 劣势:计算开销较大,对嵌入式设备有挑战
实现工具:
- OpenSSL (RSA-PSS模式)
- Microsoft CryptoAPI
- PKCS#11兼容设备和库
1.4 数字签名方案对比
| 特性 | ECDSA | EdDSA | RSA-PSS |
|---|---|---|---|
| 安全级别(等效位长) | 256位 | 255位 | 3072位 |
| 签名大小 | 64字节 | 64字节 | 384字节 |
| 签名速度 | 快 | 非常快 | 慢 |
| 验证速度 | 中等 | 快 | 快 |
| 随机数需求 | 高质量随机数(关键) | 不需要(确定性) | 需要盐值 |
| 数学基础 | 椭圆曲线离散对数 | 扭曲Edwards曲线 | 大数分解 |
| 量子抵抗性 | 弱 | 弱 | 弱 |
| 实现复杂度 | 中等 | 低(简单) | 高 |
| 标准化状态 | FIPS 186-4, SEC1 | RFC 8032 | PKCS#1 v2.2, RFC 8017 |
二、密钥交换协议
密钥交换是现代加密通信的基础环节,它解决了一个根本问题:如何在不安全的通道上安全地建立共享密钥。这些协议允许通信双方在没有预共享秘密的情况下,协商出一个双方都知道但窃听者无法获取的共同密钥。
2.1 Diffie-Hellman密钥交换
Diffie-Hellman密钥交换(DH)是第一个公开的密钥交换协议,由Whitfield Diffie和Martin Hellman于1976年提出,是现代密码学的里程碑。
工作原理:
- 双方共享两个公共参数:一个大素数p和一个基数g
- Alice生成私钥a,计算公钥A = g^a mod p,并发送A给Bob
- Bob生成私钥b,计算公钥B = g^b mod p,并发送B给Alice
- Alice计算共享密钥 K = B^a mod p
- Bob计算共享密钥 K = A^b mod p
- 两者得到相同的密钥K = g^(ab) mod p
安全基础:
基于离散对数问题的困难性。即使攻击者知道p、g、A和B,计算私钥a或b在计算上仍然不可行。
应用场景:
- IPsec VPN
- 早期TLS版本
- SSH密钥协商
局限性:
- 易受中间人攻击,需要额外认证机制
- 计算强度较大,对有限资源设备有挑战
- 对量子计算攻击无防护
实现工具:
- OpenSSL的DH函数
- Java JCE (Java Cryptography Extension)
- wolfSSL(嵌入式系统)
2.2 ECDH:椭圆曲线Diffie-Hellman密钥交换
ECDH是Diffie-Hellman密钥交换的椭圆曲线变体,提供了相同的功能,但有更高的效率和安全性。
技术细节:
- 双方共享椭圆曲线参数和基点G
- Alice生成私钥a,计算公钥A = aG(椭圆曲线点乘)
- Bob生成私钥b,计算公钥B = bG
- Alice计算共享点 S = aB
- Bob计算共享点 S = bA
- 两者得到相同的点S = abG,通常使用S的x坐标作为共享密钥
优势:
- 更小的密钥尺寸(256位ECDH≈3072位DH)
- 更快的计算速度
- 降低带宽和存储需求
应用场景:
- TLS 1.2/1.3
- 移动应用加密通信
- 物联网设备安全通信
常用曲线:
- P-256(NIST推荐)
- Curve25519(更高效,广泛使用于现代系统)
- Brainpool曲线(欧洲标准)
工具与库:
- BoringSSL/OpenSSL的EC函数
- libsodium(X25519实现)
- Bouncy Castle加密库
2.3 量子抗性密钥交换协议:CRYSTALS-Kyber
随着量子计算的发展,传统的密钥交换协议面临风险。CRYSTALS-Kyber是NIST后量子密码标准化进程中的获胜者,提供了对抗量子计算攻击的密钥封装机制(KEM)。
工作原理:
- 基于格密码学中的模块学习带错误问题(MLWE)
- 使用多项式运算而非大数或椭圆曲线运算
- 包含独特的噪声采样和错误校正机制
技术特点:
- 提供IND-CCA2安全性(适应性选择密文攻击下的安全)
- 支持密钥封装机制(KEM)而非直接的密钥交换
- 平衡了安全性、性能和密钥/密文大小
优势与挑战:
- 优势:抵抗量子计算攻击,高效实现
- 挑战:较大的密钥和密文尺寸,新技术的部署复杂性
标准化状态:
- 2022年被NIST选为后量子密钥封装标准
- 正在整合到TLS、SSH等协议中
实现工具:
- libpqcrypto(后量子密码库)
- Open Quantum Safe项目
- BoringSSL实验分支
2.4 密钥交换协议对比
| 特性 | Diffie-Hellman | ECDH (Curve25519) | CRYSTALS-Kyber |
|---|---|---|---|
| 公钥大小 | 256-512字节 | 32字节 | 800-1568字节 |
| 私钥大小 | 256字节 | 32字节 | 1632-3168字节 |
| 计算效率 | 低 | 高 | 中等 |
| 带宽需求 | 高 | 低 | 高 |
| 数学基础 | 离散对数问题 | 椭圆曲线离散对数 | 模块化学习带错误 |
| 量子抵抗性 | 无 | 无 | 强 |
| 成熟度 | 非常成熟 | 成熟 | 新兴 |
| 典型应用 | 传统VPN | TLS 1.3, Signal | 后量子TLS (实验) |
| 安全等级 | 128位 (3072位参数) | 128位 | 128-256位 |
三、密码学协议
密码学协议整合了各种密码学原语(如加密、签名、密钥交换)来实现特定的安全目标。这些协议是现代安全通信和数据交换的基础。
3.1 TLS 1.3:传输层安全协议
TLS (Transport Layer Security) 1.3是互联网安全通信的基石,于2018年标准化,替代了旧版本TLS和过时的SSL协议。
核心创新:
- 简化握手:将加密协商减少到1-RTT(往返时间)
- 0-RTT恢复:允许客户端在首个消息中发送加密数据
- 前向安全性:即使长期密钥泄露,过去会话仍受保护
- 删除了不安全的算法:如RC4、DES、3DES、SHA-1等
- 强制加密所有握手消息:增强隐私保护
技术细节:
- 密钥导出:使用HKDF(基于HMAC的密钥派生函数)
- 握手过程:客户端Hello → 服务器Hello+加密扩展+证书+完成 → 客户端完成
- 加密套件:采用AEAD(认证加密与关联数据)如AES-GCM和ChaCha20-Poly1305
- 支持PSK(预共享密钥)和票据机制实现会话恢复
应用场景:
- HTTPS网页加密
- API安全通信
- 企业级VPN解决方案
实现工具:
- OpenSSL 1.1.1+
- GnuTLS 3.6.3+
- wolfSSL 4.0+
- BoringSSL(Google维护)
3.2 Signal协议:端到端加密通信
Signal协议是现代端到端加密即时通信的黄金标准,由Open Whisper Systems开发,提供了一系列强大的安全属性。
关键特性:
- 前向安全性:即使私钥泄露,过去的通信仍然安全
- 后向安全性(又称"未来安全性"):即使当前密钥泄露,未来通信仍然安全
- 抵抗重放、中间人和会话操纵攻击
- 隐藏元数据:最小化敏感通信模式泄露
技术组件:
- X3DH(扩展三重DH):初始密钥协商
- Double Ratchet算法:持续更新密钥
- 预共享密钥:抵抗未来量子计算攻击
- AEAD加密:确保消息机密性和完整性
工作流程:
- 注册:用户生成身份密钥对、签名预密钥和一批一次性预密钥
- 初始协商:使用X3DH建立初始共享密钥
- 会话维护:通过Double Ratchet算法定期更新密钥
- 消息传递:使用派生密钥加密消息,确保安全属性
应用产品:
- Signal Messenger
- Facebook Messenger私密对话
- Google Messages的RCS加密
实现库:
- libsignal(多平台实现)
- Signal Protocol Java库
- Signal Protocol JavaScript库
3.3 IKEv2:互联网密钥交换协议
IKEv2 (Internet Key Exchange version 2) 是IPsec VPN的关键组件,负责认证VPN对等体并建立安全关联(SA)。
协议功能:
- 相互认证:确保连接双方身份
- 密钥协商:安全生成共享密钥
- 建立安全关联:定义IPsec通信参数
- 支持NAT穿越:解决网络地址转换问题
- 快速恢复:提高移动设备连接可靠性
技术细节:
- 消息交换格式:请求/响应对,简化错误处理
- 认证方法:预共享密钥、数字证书、EAP
- DH密钥交换:支持多种组,包括椭圆曲线选项
- 生存检测:快速检测失效连接
- 密钥材料生成:使用PRF(伪随机函数)
应用场景:
- 站点到站点VPN
- 远程访问VPN
- 移动VPN连接(特别适合切换网络)
主要实现:
- strongSwan(开源IKEv2实现)
- Cisco IOS/IOS-XE
- Windows 10/11内置VPN客户端
- iOS/macOS内置VPN客户端
3.4 密码学协议对比
| 特性 | TLS 1.3 | Signal协议 | IKEv2 |
|---|---|---|---|
| 主要用途 | Web安全、API通信 | 即时消息加密 | VPN隧道建立 |
| 握手往返次数 | 1-RTT (0-RTT恢复) | 异步/非交互式 | 2-RTT |
| 前向安全性 | 支持 | 强支持(每消息) | 支持(可选) |
| 后向安全性 | 不支持 | 支持 | 不支持 |
| 认证方法 | 证书、PSK | 身份密钥+指纹验证 | PSK、证书、EAP |
| 密钥协商 | (EC)DHE | X3DH+Double Ratchet | (EC)DHE |
| 协议复杂度 | 中等 | 高 | 高 |
| 故障恢复能力 | 中等 | 强 | 强 |
| 部署普及度 | 极高 | 高(即时通讯) | 高(企业VPN) |
| 标准化 | IETF RFC 8446 | 开放规范 | IETF RFC 7296 |
四、后量子密码学
后量子密码学(PQC)是为了应对量子计算威胁而发展的新型密码学分支。量子计算机一旦实用化,将能通过Shor算法快速破解RSA、ECC等传统密码系统。后量子密码学提供了能够抵抗量子计算攻击的替代方案。
4.1 基于格的密码学
格密码学是后量子密码学中最成熟、应用最广泛的分支,基于格中的硬问题。
NTRU
NTRU是最早的实用格基加密系统之一,基于多项式环中的格问题。
技术原理:
- 使用两个小系数多项式作为私钥
- 公钥是这两个多项式的商在特定环中的表示
- 加密通过与随机多项式的组合实现
- 解密使用私钥多项式执行逆运算
优势:
- 高效实现:比RSA和ECC快数倍
- 专利过期:可自由使用
- 长期安全研究:自1996年提出以来持续研究
应用场景:
- 长期数据加密
- 嵌入式系统加密
- 物联网安全通信
实现工具:
- NTRU Open Source Project
- OpenQuantumSafe库
- Bouncy Castle新版
CRYSTALS-Kyber
Kyber是NIST后量子密码标准化过程中的获胜者,采用模块化学习带错误(MLWE)问题。
技术特点:
- 模块化设计:更高效的实现和验证
- 可调参数集:根据安全需求和性能平衡
- CCA2安全:抵抗自适应选择明文攻击
应用前景:
- 成为后量子TLS的标准KEM
- 替代现有密钥协商协议
- 用于混合加密方案
实现状态:
- 正在集成到主流密码库
- 多语言实现可用
- TLS和SSH的实验性支持
4.2 基于哈希的密码学:SPHINCS+
SPHINCS+是一种无状态哈希基签名方案,仅依赖哈希函数的安全性,不需要额外的密码学假设。
关键技术:
- 超树结构:使用多层默克尔树
- 少量签名:减少签名大小和生成时间
- FORS(Forest of Random Subsets):提高安全性和效率
优缺点:
- 优点:保守安全假设,仅依赖哈希函数
- 缺点:大签名尺寸(约30KB)和较慢的签名生成
适用场景:
- 固件验证
- 软件发布签名
- 长期证书
实现工具:
- SPHINCS+参考实现
- PQClean项目
- Open Quantum Safe框架
4.3 基于多变量多项式的密码学:Rainbow
Rainbow是一种多变量公钥密码系统,基于多变量二次方程组求解的困难性。
技术细节:
- 油和醋结构:特殊结构使签名生成高效
- 多层设计:平衡安全性和效率
- 小签名尺寸:相比其他后量子方案优势明显
安全状态:
- 注意:2022年被发现存在安全问题
- 不再被推荐用于生产环境
- 研究继续改进下一代方案
研究价值:
- 多变量密码学仍是重要研究方向
- 为未来抗量子签名提供思路
- 合适参数集可能恢复安全性
4.4 基于超椭圆曲线同源系统的密码学:SIKE
SIKE (Supersingular Isogeny Key Encapsulation) 基于超奇异椭圆曲线同源图的计算困难性。
原理概述:
- 使用超奇异椭圆曲线的同源映射
- 公钥是曲线变换的结果
- 私钥是产生特定同源的整数
- 共享秘密通过计算特殊曲线上的j-不变量获得
技术特点:
- 最紧凑的后量子方案:密钥和密文尺寸小
- 基于传统椭圆曲线操作:可利用现有硬件加速
- 计算密集型:操作复杂且计算量大
安全状态:
- 注意:2022年被Castryck-Decru攻击破解
- 已退出NIST标准化流程
- 研究团队正开发改进版本
研究意义:
- 同源密码学仍是活跃研究领域
- 为紧凑型后量子方案提供思路
- 改进版本可能修复当前缺陷
4.5 后量子密码学方案对比
| 特性 | NTRU | CRYSTALS-Kyber | SPHINCS+ | Rainbow | SIKE |
|---|---|---|---|---|---|
| 密码类型 | 加密/KEM | KEM | 签名 | 签名 | KEM |
| 数学基础 | 格问题 | 模块化格问题 | 哈希函数 | 多变量方程 | 同源图 |
| 公钥大小 | 699-1230字节 | 800-1568字节 | 32-64字节 | ~60KB | ~330字节 |
| 密文/签名大小 | 699-1230字节 | 768-1568字节 | ~17-50KB | ~33字节 | ~330字节 |
| 运算速度 | 快 | 快 | 慢 | 中等 | 非常慢 |
| 标准化状态 | 备选 | NIST第一轮选定 | NIST第一轮选定 | 已淘汰 | 已淘汰 |
| 安全状态 | 安全 | 安全 | 安全 | 已攻破 | 已攻破 |
| 实现成熟度 | 高 | 中高 | 中 | 中 | 中 |
| 主要优势 | 长期研究 | 效率与安全平衡 | 保守安全假设 | 小签名尺寸 | 小密钥尺寸 |
| 主要劣势 | 参数选择复杂 | 相对新 | 大签名尺寸 | 安全问题 | 已被攻破 |
详解)
显示GPU卡数量只有一张)
拾取我的待办)
