现代密码学与应用 --- L01

现代密码学与应用

• 应用, 云盘加密存储, 如何在数据库中快速查询(用户上传新的明文, 查询已有密文数据)

  
  

Why

• core part in information security

  信息安全, 系统安全

  X.800 安全标准

  Data Confidentiality, 保密性, 防止未受权的访问, 不能够被第三方看见

  Data Integrity, 完整性, 消息认证, 防篡改, 校验, hash

  Authentication, 实体认证, 身份认证, B 想从 A 获得消息, 要确保消息确实是 A 发送的, 好比登陆的时候发送手机短信验证用户(且5分钟内有效), msg + 时间戳, 对发送方的约束

  Non-Repudiation, 不可抵赖性, 经常使用于金融纠纷, 对发送方的约束

  Access Control, 访问控制, 开机须要登陆

  Availability, 可用性, 服务器奔溃了, 就算有帐号密码也登陆不了, 就是可用性出了问题

  
  

• 三个角色

  Alice --- Bob
         |
        Eve

  
  

Where

• 聊天

  
  

• 登陆

  注册时候的验证码, 能够当盐

  数据库一条记录: 用户名 + hash + salt

  
  

• 网银

  安全控件, 从驱动层面防止鼠标键盘的输入泄露

  
  

• 电子货币

  
  

• 安全威胁

  拦截, 伪造, 修改, 时序攻击(计时攻击), 辐射攻击

  
  

• 邮件

  签署(数字签名, 防抵赖) + 加密(须要秘钥协商)

  
  

• 产品秘钥

  
  

小结

• Who steal secret infomation ? --- Data Confidentiality

  
  

• Software download security, 有没有加入其它东西(木马) ? --- Data Integrity, hash

  
  

• Who is chatting with you? --- Entity Authentication

  
  

• Who creates message sent to me ? --- Message Authentication, 重放攻击

  
  

• How can I do if someone deny a fact? --- Non-Repudiation

  
  

Course Objective

• Understand basic concept of cryptographic techniques and use them safely(如何安全使用)

  Encryption, Hash, Digital Signature, Authentication(Message Authentication, Identification)

  
  

• Understand applications of cryptographic techniques

  Authentication: X.509

  Cloud security, 云计算的应用场景

  Web Security: Secure storage

  Email

  
  

• Textbook

  Cryptographic and Network Security, William Stallings

  Handbook of applied cryptography

  
  

• Schedule

  DES, 3DES, Finite Fields

  AES

  
  

• Labs

  lab1, many time pad

  lab2, discrete log

  lab3, AES

  lab4, RSA

  lab5, data integrity

  Python / C++