密碼學原理與實踐（第三版）(2016年電子工業出版社出版的圖書)

本書是密碼學領域的經典著作，被世界上的多所大學用做指定教科書。本書在第二版的基礎上增加了7章內容，不僅包括一些典型的密碼算法，而且還包括一些典型的密碼協定和密碼套用。全書共分14章，從古典密碼學開始，繼而介紹了Shannon資訊理論在密碼學中的套用，然後進入現代密碼學部分，先後介紹了分組密碼的一般原理、數據加密標準(DES)和高級加密標準(AES)、Hash函式和MAC算法、公鑰密碼算法和數字簽名、偽*數生成器、身份識別方案、密鑰分配和密鑰協商協定、秘密共享方案，同時也關注了密碼套用與實踐方面的一些進展，包括公開密鑰基礎設施、組播安全和著作權保護等。在內容的選擇上，全書既突出了廣泛性，又注重對要點的深入探討。書中每一章後都附有大量的習題，這既利於讀者對書中內容的總結和套用，又是對興趣、思維和智力的挑戰。

第1章 古典密碼學 1

1.1 幾個簡單的密碼體制 1

1.1.1 移位密碼 2

1.1.2 代換密碼 5

1.1.3 仿射密碼 6

1.1.4 維吉尼亞密碼 9

1.1.5 希爾密碼 10

1.1.6 置換密碼 14

1.1.7 流密碼 16

1.2 密碼分析 19

1.2.1 仿射密碼的密碼分析 21

1.2.2 代換密碼的密碼分析 22

1.2.3 維吉尼亞密碼的密碼分析 24

1.2.4 希爾密碼的密碼分析 27

1.2.5 LFSR流密碼的密碼分析 28

1.3 注釋與參考文獻 29

習題 30

第2章 Shannon理論 36

2.1 引言 36

2.2 機率論基礎 37

2.3 完善保密性 38

2.4 熵 42

2.4.1 Huffman編碼 43

2.5 熵的性質 46

2.6 偽密鑰和**解距離 48

2.7 乘積密碼體制 52

習題 54

第3章 分組密碼與高級加密標準 57

3.1 引言 57

3.2 代換-置換網路 58

3.3 線性密碼分析 61

3.3.1 堆積引理 61

3.3.2 S盒的線性逼近 63

3.3.3 SPN的線性密碼分析 66

3.4 差分密碼分析 69

3.5 數據加密標準 74

3.5.1 DES的描述 74

3.5.2 DES的分析 78

3.6 高級加密標準 79

3.6.1 AES的描述 80

3.6.2 AES的分析 84

3.7 工作模式 84

3.8 注釋與參考文獻 87

習題 88

第4章 Hash函式 92

4.1 Hash函式與數據完整性 92

4.2 Hash函式的安全性 93

4.2.1 隨機諭示模型 94

4.2.2 隨機諭示模型中的算法 95

4.2.3 安全性準則的比較 98

4.3 疊代Hash函式 100

4.3.1 Merkle-Damg?rd 結構 101

4.3.2 安全Hash算法 106

4.4 訊息認證碼 108

4.4.1 嵌套MAC和HMAC 109

4.4.2 CBC-MAC 111

4.5 無條件安全訊息認證碼 113

4.5.1 強泛Hash函式族 115

4.5.2 欺騙機率的最佳化 117

4.6 注釋與參考文獻 119

習題 120

第5章 RSA密碼體制和整數因子分解 126

5.1 公鑰密碼學簡介 126

5.2 更多的數論知識 127

5.2.1 Euclidean算法 127

5.2.2 中國剩餘定理 131

5.2.3 其他有用的事實 133

5.3 RSA密碼體制 135

5.3.1 實現RSA 136

5.4 素性檢測 139

5.4.1 Legendre和Jacobi符號 140

5.4.2 Solovay-Strassen算法 142

5.4.3 Miller-Rabin算法 146

5.5 模n的平方根 147

5.6 分解因子算法 148

5.6.1 Pollard p?1算法 148

5.6.2 Pollard ?算法 150

5.6.3 Dixon的隨機平方算法 152

5.6.4 實際中的分解因子算法 156

5.7 對RSA的其他攻擊 157

5.7.1 計算?(n) 157

5.7.2 解密指數 158

5.7.3 Wiener的低解密指數攻擊 162

5.8 Rabin密碼體制 165

5.8.1 Rabin密碼體制的安全性 167

5.9 RSA的語義安全性 168

5.9.1 與明文比特相關的部分信息 169

5.9.2 **非對稱加密填充 171

5.10 注釋與參考文獻 176

習題 177

第6章 公鑰密碼學和離散對數 184

6.1 ElGamal密碼體制 184

6.2 離散對數問題的算法 186

6.2.1 Shanks算法 186

6.2.2 Pollard ?離散對數算法 188

6.2.3 Pohlig-Hellman算法 190

6.2.4 指數演算法 193

6.3 通用算法的複雜度下界 194

6.4 有限域 197

6.5 橢圓曲線 201

6.5.1 實數上的橢圓曲線 201

6.5.2 模素數的橢圓曲線 203

6.5.3 橢圓曲線的性質 206

6.5.4 點壓縮與ECIES 206

6.5.5 計算橢圓曲線上的乘積 208

6.6 實際中的離散對數算法 210

6.7 ElGamal體制的安全性 211

6.7.1 離散對數的比特安全性 211

6.7.2 ElGamal體制的語義安全性 214

6.7.3 Diffie-Hellman問題 215

6.8 注釋與參考文獻 216

習題 217

第7章 簽名方案 222

7.1 引言 222

7.2 簽名方案的安全性需求 224

7.2.1 簽名和Hash函式 225

7.3 ElGamal簽名方案 226

7.3.1 ElGamal簽名方案的安全性 228

7.4 ElGamal簽名方案的變形 230

7.4.1 Schnorr簽名方案 230

7.4.2 數字簽名算法(DSA) 232

7.4.3 橢圓曲線DSA 234

7.5 可證明安全的簽名方案 235

7.5.1 一次簽名 235

7.5.2 全域Hash 238

7.6 不可否認的簽名 241

7.7 fail-stop簽名 245

7.8 注釋與參考文獻 248

習題 249

第8章 偽隨機數的生成 252

8.1 引言與示例 252

8.2 機率分布的不可區分性 255

8.2.1 下一比特預測器 257

8.3 Blum-Blum-Shub生成器 262

8.3.1 BBS生成器的安全性 264

8.4 機率加密 268

8.5 注釋與參考文獻 272

習題 272

第9章 身份識別方案與實體認證 275

9.1 引言 275

9.2 對稱密鑰環境下的挑戰-回響方案 277

9.2.1 攻擊模型和敵手目標 281

9.2.2 互動認證 282

9.3 公鑰環境下的挑戰-回響方案 284

9.3.1 證書 285

9.3.2 公鑰身份識別方案 285

9.4 Schnorr身份識別方案 287

9.4.1 Schnorr身份識別方案的安全性 290

9.5 Okamoto身份識別方案 293

9.6 Guillou-Quisquater身份識別方案 296

9.6.1 基於身份的身份識別方案 298

9.7 注釋與參考文獻 299

習題 299

第10章 密鑰分配 303

10.1 引言 303

10.2 Diffie-Hellman密鑰預分配 306

10.3 無條件安全的密鑰預分配 307

10.3.1 Blom密鑰預分配方案 307

10.4 密鑰分配模式 313

10.4.1 Fiat-Naor密鑰分配模式 315

10.4.2 Mitchell-Piper密鑰分配模式 316

10.5 會話密鑰分配方案 319

10.5.1 Needham-Schroeder方案 320

10.5.2 針對NS方案的Denning-Sacco攻擊 321

10.5.3 Kerberos 321

10.5.4 Bellare-Rogaway方案 324

10.6 注釋與參考文獻 326

習題 327

第11章 密鑰協商方案 330

11.1 引言 330

11.2 Diffie-Hellman密鑰協商 330

11.2.1 端-端密鑰協商方案 332

11.2.2 STS的安全性 332

11.2.3 已知會話密鑰攻擊 335

11.3 MTI 密鑰協商方案 336

11.3.1 關於MTI/A0的已知會話密鑰攻擊 339

11.4 使用自認證密鑰的密鑰協商 341

11.5 加密密鑰交換 344

11.6 會議密鑰協商方案 346

11.7 注釋與參考文獻 348

習題 349

第12章 公開密鑰基礎設施 351

12.1 引言：PKI簡介 351

12.1.1 一個實際協定：安全套接層SSL 353

12.2 證書 354

12.2.1 證書生命周期管理 355

12.3 信任模型 356

12.3.1 嚴格層次模型 356

12.3.2 網路化PKI模型 357

12.3.3 Web瀏覽器模型 359

12.3.4 Pretty Good Privacy(PGP) 359

12.4 PKI的未來 361

12.4.1 PKI的替代方案 361

12.5 基於身份的密碼體制 362

12.5.1 基於身份的Cock加密方案 363

12.6 注釋與參考文獻 367

習題 368

第13章 秘密共享方案 370

13.1 引言：Shamir門限方案 370

13.1.1 簡化的(t, t)門限方案 373

13.2 訪問結構和一般的秘密共享 374

13.2.1 單調電路構造 375

13.2.2 正式定義 379

13.3 信息率和高效方案的構造 382

13.3.1 向量空間構造 383

13.3.2 信息率上界 389

13.3.3 分解構造 392

13.4 注釋與參考文獻 395

習題 396

第14章 組播安全和著作權保護 398

14.1 組播安全簡介 398

14.2 廣播加密 398

14.2.1 利用Ramp方案的一種改進 406

14.3 組播密鑰重建 409

14.3.1 “黑名單”方案 410