对称密码学
对称密码学研究的是通信双方使用相同的密钥来保护和恢复数据,从而以高速提供机密性、完整性和真实性的方案。
用 PaperMind 寻找选题即将推出Find papers & topics
Tools & resources
Learn & explore
视频即将推出
Definition
对称密码学是密码学的一个分支,其中加密和解密(或标记和验证)操作使用相同的密钥,或两个可以很容易地从彼此派生出来的密钥,这些密钥在合法方之间预先共享。
Scope
该领域涵盖了依赖于单个共享密钥的密码学原语:分组密码及其操作模式、流密码、密码散列函数和消息认证码。它探讨了这些原语的构建方式、它们旨在实现的安全目标(不可区分性、抗碰撞性、不可伪造性)以及它们必须抵御的密码分析攻击。它不包括使用密钥对的公钥方案(在公钥密码学中涵盖)以及基于这些原语构建的交互式协议(在密码协议中涵盖)。
Sub-topics
Core questions
- 固定的共享密钥如何保护任意长的消息的机密性和完整性?
- 哪些设计原则(混淆和扩散)使密码能够抵抗密码分析?
- 分组密码如何通过操作模式转化为安全的加密方案?
- 哪些安全定义区分了“安全”的对称方案,以及它们如何形式化?
- 如何通过散列函数和消息认证码提供完整性和真实性?
Key concepts
- 共享密钥
- 分组密码
- 流密码
- 操作模式
- 密码散列函数
- 消息认证码
- 混淆与扩散
- 伪随机置换
- 认证加密
Key theories
- 混淆与扩散
- 香农关于安全密码的设计原则:混淆使密钥和密文之间的关系尽可能复杂,而扩散则将每个明文位的影响分散到许多密文位上,从而抵御统计分析。
- 伪随机置换和函数
- 现代对称安全性通过将分组密码视为伪随机置换和将带密钥的散列视为伪随机函数来建模——这些对象对于任何高效的攻击者来说,在计算上与真正的随机对象无法区分。
- 选择明文攻击下的不可区分性
- 如果没有任何高效的攻击者,即使是能够获得所选明文的加密的攻击者,也无法比猜测更好地区分其选择的两个消息的加密,那么对称加密方案就是安全的。
Clinical relevance
对称密码学是已部署安全的主力:AES保护磁盘加密、Wi-Fi (WPA) 和TLS会话的批量数据;HMAC和AES-GCM认证API请求和网络数据包;散列函数是密码存储、文件完整性检查和区块链的基础。由于对称操作比公钥操作快得多,实际协议通常只使用公钥方法来建立对称会话密钥,然后依靠对称密码学处理实际数据。
Evidence & guidelines
标准化原语在实践中至关重要:AES (FIPS 197)、SHA-2和SHA-3 (FIPS 180-4, FIPS 202) 以及HMAC (FIPS 198-1) 是NIST批准的主要选择;由于已知的密码分析弱点,DES、RC4、MD5和SHA-1等传统原语已被弃用。
History
对称加密是密码学最古老的形式,从古典的替换密码和置换密码到二战时期的转子机。香农1949年的论文为其奠定了严谨的信息论基础。数据加密标准(1977年)带来了公开的标准化分组密码;其最终的过时导致了开放的AES竞赛,Rijndael在2000年获胜。并行工作线产生了标准化的散列函数(MD和SHA家族)和消息认证码。
Key figures
- Claude Shannon
- Horst Feistel
- Joan Daemen
- Vincent Rijmen
- Jonathan Katz
- Yehuda Lindell
Related topics
Seminal works
- shannon1949
- katz2020
- menezes1996
Frequently asked questions
- 如果公钥密码学解决了密钥分发问题,为什么还要使用对称密码学?
- 对称操作速度快几个数量级,并且不会产生密文扩展,因此它们用于保护实际数据。公钥密码学通常仅用于安全地协商对称密钥,之后由对称密码学承担主要工作。
- 仅靠加密是否足以保证数据安全?
- 不是。加密提供机密性但不能提供完整性;攻击者可能会在未被检测到的情况下篡改密文。现代实践将加密与消息认证码结合使用,或使用认证加密模式(如AES-GCM),以同时保证机密性和完整性。