數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)    
發(fā)布時(shí)間：  2003-11-3    作者：秩名    
我們經(jīng)常需要一種措施來(lái)保護(hù)我們的數(shù)據(jù)，防止被一些懷有不良用心的人所看到或者破壞。在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人，使他們受益，同樣，信息也可以用來(lái)對(duì)他們構(gòu)成威脅，造成破壞。在競(jìng)爭(zhēng)激烈的大公司中，工業(yè)間諜經(jīng)常會(huì)獲取對(duì)方的情報(bào)。因此，在客觀上就需要一種強(qiáng)有力的安全措施來(lái)保護(hù)機(jī)密數(shù)據(jù)不被竊取或篡改。數(shù)據(jù)加密與解密從宏觀上講是非常簡(jiǎn)單的，很容易理解。加密與解密的一些方法是非常直接的，很容易掌握，可以很方便的對(duì)機(jī)密數(shù)據(jù)進(jìn)行加密和解密。

  

一：數(shù)據(jù)加密方法

      在傳統(tǒng)上，我們有幾種方法來(lái)加密數(shù)據(jù)流。所有這些方法都可以用軟件很容易的實(shí)現(xiàn)，但是當(dāng)我們只知道密文的時(shí)候，是不容易破譯這些加密算法的（當(dāng)同時(shí)有原文和密文時(shí)，破譯加密算法雖然也不是很容易，但已經(jīng)是可能的了）。最好的加密算法對(duì)系統(tǒng)性能幾乎沒(méi)有影響，并且還可以帶來(lái)其他內(nèi)在的優(yōu)點(diǎn)。例如，大家都知道的pkzip，它既壓縮數(shù)據(jù)又加密數(shù)據(jù)。又如，dbms的一些軟件包總是包含一些加密方法以使復(fù)制文件這一功能對(duì)一些敏感數(shù)據(jù)是無(wú)效的，或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。

    

      幸運(yùn)的是，在所有的加密算法中最簡(jiǎn)單的一種就是“置換表”算法，這種算法也能很好達(dá)到加密的需要。每一個(gè)數(shù)據(jù)段（總是一個(gè)字節(jié)）對(duì)應(yīng)著“置換表”中的一個(gè)偏移量，偏移量所對(duì)應(yīng)的值就輸出成為加密后的文件。加密程序和解密程序都需要一個(gè)這樣的“置換表”。事實(shí)上，80x86  cpu系列就有一個(gè)指令‘xlat’在硬件級(jí)來(lái)完成這樣的工作。這種加密算法比較簡(jiǎn)單，加密解密速度都很快，但是一旦這個(gè)“置換表”被對(duì)方獲得，那這個(gè)加密方案就完全被識(shí)破了。更進(jìn)一步講，這種加密算法對(duì)于黑客破譯來(lái)講是相當(dāng)直接的，只要找到一個(gè)“置換表”就可以了。這種方法在計(jì)算機(jī)出現(xiàn)之前就已經(jīng)被廣泛的使用。

  

        對(duì)這種“置換表”方式的一個(gè)改進(jìn)就是使用2個(gè)或者更多的“置換表”，這些表都是基于數(shù)據(jù)流中字節(jié)的位置的，或者基于數(shù)據(jù)流本身。這時(shí)，破譯變的更加困難，因?yàn)楹诳捅仨氄�確的做幾次變換。通過(guò)使用更多的“置換表”，并且按偽隨機(jī)的方式使用每個(gè)表，這種改進(jìn)的加密方法已經(jīng)變的很難破譯。比如，我們可以對(duì)所有的偶數(shù)位置的數(shù)據(jù)使用a表，對(duì)所有的奇數(shù)位置使用b表，即使黑客獲得了明文和密文，他想破譯這個(gè)加密方案也是非常困難的，除非黑客確切的知道用了兩張表。

  

      與使用“置換表”相類(lèi)似，“變換數(shù)據(jù)位置”也在計(jì)算機(jī)加密中使用。但是，這需要更多的執(zhí)行時(shí)間。從輸入中讀入明文放到一個(gè)buffer中，再在buffer中對(duì)他們重排序，然后按這個(gè)順序再輸出。解密程序按相反的順序還原數(shù)據(jù)。這種方法總是和一些別的加密算法混合使用，這就使得破譯變的特別的困難，幾乎有些不可能了。例如，有這樣一個(gè)詞，變換起字母的順序，slient  可以變?yōu)閘isten，但所有的字母都沒(méi)有變化，沒(méi)有增加也沒(méi)有減少，但是字母之間的順序已經(jīng)變化了。

  

        但是，還有一種更好的加密算法，只有計(jì)算機(jī)可以做，就是字/字節(jié)循環(huán)移位和xor操作。如果我們把一個(gè)字或字節(jié)在一個(gè)數(shù)據(jù)流內(nèi)做循環(huán)移位，使用多個(gè)或變化的方向（左移或右移），就可以迅速的產(chǎn)生一個(gè)加密的數(shù)據(jù)流。這種方法是很好的，破譯它就更加困難！而且，更進(jìn)一步的是，如果再使用xor操作，按位做異或操作，就就使破譯密碼更加困難了。如果再使用偽隨機(jī)的方法，這涉及到要產(chǎn)生一系列的數(shù)字，我們可以使用fibbonaci數(shù)列。對(duì)數(shù)列所產(chǎn)生的數(shù)做模運(yùn)算（例如模3），得到一個(gè)結(jié)果，然后循環(huán)移位這個(gè)結(jié)果的次數(shù)，將使破譯次密碼變的幾乎不可能！但是，使用fibbonaci數(shù)列這種偽隨機(jī)的方式所產(chǎn)生的密碼對(duì)我們的解密程序來(lái)講是非常容易的。

  

        在一些情況下，我們想能夠知道數(shù)據(jù)是否已經(jīng)被篡改了或被破壞了，這時(shí)就需要產(chǎn)生一些校驗(yàn)碼，并且把這些校驗(yàn)碼插入到數(shù)據(jù)流中。這樣做對(duì)數(shù)據(jù)的防偽與程序本身都是有好處的。但是感染計(jì)算機(jī)程序的病毒才不會(huì)在意這些數(shù)據(jù)或程序是否加過(guò)密，是否有數(shù)字簽名。所以，加密程序在每次load到內(nèi)存要開(kāi)始執(zhí)行時(shí)，都要檢查一下本身是否被病毒感染，對(duì)與需要加、解密的文件都要做這種檢查！很自然，這樣一種方法體制應(yīng)該保密的，因?yàn)椴《境绦虻木帉?xiě)者將會(huì)利用這些來(lái)破壞別人的程序或數(shù)據(jù)。因此，在一些反病毒或殺病毒軟件中一定要使用加密技術(shù)。

循環(huán)冗余校驗(yàn)是一種典型的校驗(yàn)數(shù)據(jù)的方法。對(duì)于每一個(gè)數(shù)據(jù)塊，它使用位循環(huán)移位和xor操作來(lái)產(chǎn)生一個(gè)16位或32位的校驗(yàn)和  ，這使得丟失一位或兩個(gè)位的錯(cuò)誤一定會(huì)導(dǎo)致校驗(yàn)和出錯(cuò)。這種方式很久以來(lái)就應(yīng)用于文件的傳輸，例如  xmodem-crc。  這是方法已經(jīng)成為標(biāo)準(zhǔn)，而且有詳細(xì)的文檔。但是，基于標(biāo)準(zhǔn)crc算法的一種修改算法對(duì)于發(fā)現(xiàn)加密數(shù)據(jù)塊中的錯(cuò)誤和文件是否被病毒感染是很有效的。

  

  二．基于公鑰的加密算法

  

        一個(gè)好的加密算法的重要特點(diǎn)之一是具有這種能力：可以指定一個(gè)密碼或密鑰，并用它來(lái)加密明文，不同的密碼或密鑰產(chǎn)生不同的密文。這又分為兩種方式：對(duì)稱(chēng)密鑰算法和非對(duì)稱(chēng)密鑰算法。所謂對(duì)稱(chēng)密鑰算法就是加密解密都使用相同的密鑰，非對(duì)稱(chēng)密鑰算法就是加密解密使用不同的密鑰。非常著名的pgp公鑰加密以及rsa加密方法都是非對(duì)稱(chēng)加密算法。加密密鑰，即公鑰，與解密密鑰，即私鑰，是非常的不同的。從數(shù)學(xué)理論上講，幾乎沒(méi)有真正不可逆的算法存在。例如，對(duì)于一個(gè)輸入‘a(chǎn)’執(zhí)行一個(gè)操作得到結(jié)果‘b’,那么我們可以基于‘b’，做一個(gè)相對(duì)應(yīng)的操作，導(dǎo)出輸入

‘a(chǎn)’。在一些情況下，對(duì)于每一種操作，我們可以得到一個(gè)確定的值，或者該操作沒(méi)有定義（比如，除數(shù)為0）。對(duì)于一個(gè)沒(méi)有定義的操作來(lái)講，基于加密算法，可以成功地防止把一個(gè)公鑰變換成為私鑰。因此，要想破譯非對(duì)稱(chēng)加密算法，找到那個(gè)唯一的密鑰，唯一的方法只能是反復(fù)的試驗(yàn)，而這需要大量的處理時(shí)間。

        

        rsa加密算法使用了兩個(gè)非常大的素?cái)?shù)來(lái)產(chǎn)生公鑰和私鑰。即使從一個(gè)公鑰中通過(guò)因數(shù)分解可以得到私鑰，但這個(gè)運(yùn)算所包含的計(jì)算量是非常巨大的，以至于在現(xiàn)實(shí)上是不可行的。加密算法本身也是很慢的，這使得使用rsa算法加密大量的數(shù)據(jù)變的有些不可行。這就使得一些現(xiàn)實(shí)中加密算法都基于rsa加密算法。pgp算法(以及大多數(shù)基于rsa算法的加密方法)使用公鑰來(lái)加密一個(gè)對(duì)稱(chēng)加密算法的密鑰，然后再利用一個(gè)快速的對(duì)稱(chēng)加密算法來(lái)加密數(shù)據(jù)。這個(gè)對(duì)稱(chēng)算法的密鑰是隨機(jī)產(chǎn)生的，是保密的，因此，得到這個(gè)密鑰的唯一方法就是使用私鑰來(lái)解密。

      

        我們舉一個(gè)例子：假定現(xiàn)在要加密一些數(shù)據(jù)使用密鑰‘12345’。利用rsa公鑰，使用rsa算法加密這個(gè)密鑰‘12345’，并把它放在要加密的數(shù)據(jù)的前面（可能后面跟著一個(gè)分割符或文件長(zhǎng)度，以區(qū)分?jǐn)?shù)據(jù)和密鑰），然后，使用對(duì)稱(chēng)加密算法加密正文，使用的密鑰就是‘12345’。當(dāng)對(duì)方收到時(shí)，解密程序找到加密過(guò)的密鑰，并利用rsa私鑰解密出來(lái)，然后再確定出數(shù)據(jù)的開(kāi)始位置，利用密鑰‘12345’來(lái)解密數(shù)據(jù)。這樣就使得一個(gè)可靠的經(jīng)過(guò)高效加密的數(shù)據(jù)安全地傳輸和解密。

  

      一些簡(jiǎn)單的基于rsa算法的加密算法可在下面的站點(diǎn)找到：

        ftp://ftp.funet.fi/pub/crypt/cryptography/asymmetric/rsa  

  

    三．一個(gè)嶄新的多步加密算法

  

        現(xiàn)在又出現(xiàn)了一種新的加密算法，據(jù)說(shuō)是幾乎不可能被破譯的。這個(gè)算法在1998年6月1日才正式公布的。下面詳細(xì)的介紹這個(gè)算法:

使用一系列的數(shù)字（比如說(shuō)128位密鑰），來(lái)產(chǎn)生一個(gè)可重復(fù)的但高度隨機(jī)化的偽隨機(jī)的數(shù)字的序列。一次使用256個(gè)表項(xiàng)，使用隨機(jī)數(shù)序列來(lái)產(chǎn)生密碼轉(zhuǎn)表，如下所示：

把256個(gè)隨機(jī)數(shù)放在一個(gè)距陣中，然后對(duì)他們進(jìn)行排序，使用這樣一種方式（我們要記住最初的位置）使用最初的位置來(lái)產(chǎn)生一個(gè)表，隨意排序的表，表中的數(shù)字在0到255之間。如果不是很明白如何來(lái)做，就可以不管它。但是，下面也提供了一些原碼（在下面）是我們明白是如何來(lái)做的�，F(xiàn)在，產(chǎn)生了一個(gè)具體的256字節(jié)的表。讓這個(gè)隨機(jī)數(shù)產(chǎn)生器接著來(lái)產(chǎn)生這個(gè)表中的其余的數(shù)，以至于每個(gè)表是不同的。下一步，使用"shotgun  technique"技術(shù)來(lái)產(chǎn)生解碼表�；�本上說(shuō)，如果  a映射到b，那么b一定可以映射到a，所以b[a[n]]  =  n.（n是一個(gè)在0到255之間的數(shù)）。在一個(gè)循環(huán)中賦值，使用一個(gè)256字節(jié)的解碼表它對(duì)應(yīng)于我們剛才在上一步產(chǎn)生的256字節(jié)的加密表。

  

        使用這個(gè)方法，已經(jīng)可以產(chǎn)生這樣的一個(gè)表，表的順序是隨機(jī)，所以產(chǎn)生這256個(gè)字節(jié)的隨機(jī)數(shù)使用的是二次偽隨機(jī),使用了兩個(gè)額外的16位的密碼.現(xiàn)在，已經(jīng)有了兩張轉(zhuǎn)換表，基本的加密解密是如下這樣工作的。前一個(gè)字節(jié)密文是這個(gè)256字節(jié)的表的索引�；蛘撸瑸榱颂岣呒用苄Ч�，可以使用多余8位的值，甚至使用校驗(yàn)和或者crc算法來(lái)產(chǎn)生索引字節(jié)。假定這個(gè)表是256*256的數(shù)組,將會(huì)是下面的樣子:

      

        crypto1  =  a[crypto0][value]

  

        變量'crypto1'是加密后的數(shù)據(jù)，'crypto0'是前一個(gè)加密數(shù)據(jù)（或著是前面幾個(gè)加密數(shù)據(jù)的一個(gè)函數(shù)值）。很自然的，第一個(gè)數(shù)據(jù)需要一個(gè)“種子”，這個(gè)“種子”  是我們必須記住的。如果使用256*256的表，這樣做將會(huì)增加密文的長(zhǎng)度�；蛘撸�可以使用你產(chǎn)生出隨機(jī)數(shù)序列所用的密碼，也可能是它的crc校驗(yàn)和。順便提及的是曾作過(guò)這樣一個(gè)測(cè)試:  使用16個(gè)字節(jié)來(lái)產(chǎn)生表的索引,以128位的密鑰作為這16個(gè)字節(jié)的初始的"種子"。然后，在產(chǎn)生出這些隨機(jī)數(shù)的表之后，就可以用來(lái)加密數(shù)據(jù)，速度達(dá)到每秒鐘100k個(gè)字節(jié)。一定要保證在加密與解密時(shí)都使用加密的值作為表的索引，而且這兩次一定要匹配。

  

        加密時(shí)所產(chǎn)生的偽隨機(jī)序列是很隨意的，可以設(shè)計(jì)成想要的任何序列。沒(méi)有關(guān)于這個(gè)隨機(jī)序列的詳細(xì)的信息，解密密文是不現(xiàn)實(shí)的。例如：一些ascii碼的序列，如“eeeeeeee"可能被轉(zhuǎn)化成一些隨機(jī)的沒(méi)有任何意義的亂碼，每一個(gè)字節(jié)都依賴(lài)于其前一個(gè)字節(jié)的密文，而不是實(shí)際的值。對(duì)于任一個(gè)單個(gè)的字符的這種變換來(lái)說(shuō)，隱藏了加密數(shù)據(jù)的有效的真正的長(zhǎng)度。

  

        如果確實(shí)不理解如何來(lái)產(chǎn)生一個(gè)隨機(jī)數(shù)序列，就考慮fibbonacci數(shù)列，使用2個(gè)雙字（64位）的數(shù)作為產(chǎn)生隨機(jī)數(shù)的種子，再加上第三個(gè)雙字來(lái)做xor操作。  這個(gè)算法產(chǎn)生了一系列的隨機(jī)數(shù)。算法

如下：

  

unsigned  long  dw1,  dw2,  dw3,  dwmask;

int  i1;

unsigned  long  arandom[256];

  

dw1  =  {seed  #1};

dw2  =  {seed  #2};

dwmask  =  {seed  #3};

//  this  gives  you  3  32-bit  "seeds",  or  96  bits  total

for(i1=0;  i1  <  256;  i1++)

{

dw3  =  (dw1  +  dw2)  ^  dwmask;

arandom[i1]  =  dw3;

dw1  =  dw2;

dw2  =  dw3;

}

  

      如果想產(chǎn)生一系列的隨機(jī)數(shù)字，比如說(shuō)，在0和列表中所有的隨機(jī)數(shù)之間的一些數(shù)，就可以使用下面的方法：

  

int  __cdecl  mysortproc(void  *p1,  void  *p2)

{

unsigned  long  **pp1  =  (unsigned  long  **)p1;

unsigned  long  **pp2  =  (unsigned  long  **)p2;

if(**pp1  <  **pp2)

return(-1);

else  if(**pp1  >  *pp2)

return(1);

return(0);

}

  

...

int  i1;

unsigned    long    *aprandom[256];

unsigned    long    arandom[256];        //  same  array  as  before,  in  this  case

int    aresult[256];                                //  results  go  here

  

for(i1=0;  i1  <  256;  i1++)

{

aprandom[i1]  =  arandom  +  i1;

}

  

//  now  sort  it

qsort(aprandom,  256,  sizeof(*aprandom),  mysortproc);

  

//  final  step  -  offsets  for  pointers  are  placed  into  output  array

for(i1=0;  i1  < 

 256;  i1++)

{

aresult[i1]  =  (int)(aprandom[i1]  -  arandom);

}

...

  

        變量'aresult'中的值應(yīng)該是一個(gè)排過(guò)序的唯一的一系列的整數(shù)的數(shù)組，整數(shù)的值的范圍均在0到255之間。這樣一個(gè)數(shù)組是非常有用的，例如：對(duì)一個(gè)字節(jié)對(duì)字節(jié)的轉(zhuǎn)換表，就可以很容易并且非�？煽康膩�(lái)產(chǎn)生一個(gè)短的密鑰（經(jīng)常作為一些隨機(jī)數(shù)的種子）。這樣一個(gè)表還有其他的用處，比如說(shuō)：來(lái)產(chǎn)生一個(gè)隨機(jī)的字符，計(jì)算機(jī)游戲中一個(gè)物體的隨機(jī)的位置等等。上面的例子就其本身而言并沒(méi)有構(gòu)成一個(gè)加密算法，只是加密算法一個(gè)組成部分。

  

        作為一個(gè)測(cè)試，開(kāi)發(fā)了一個(gè)應(yīng)用程序來(lái)測(cè)試上面所描述的加密算法。程序本身都經(jīng)過(guò)了幾次的優(yōu)化和修改，來(lái)提高隨機(jī)數(shù)的真正的隨機(jī)性和防止會(huì)產(chǎn)生一些短的可重復(fù)的用于加密的隨機(jī)數(shù)。用這個(gè)程序來(lái)加密一個(gè)文件，破解這個(gè)文件可能會(huì)需要非常巨大的時(shí)間以至于在現(xiàn)實(shí)上是不可能的。

  

    四．結(jié)論：

        由于在現(xiàn)實(shí)生活中，我們要確保一些敏感的數(shù)據(jù)只能被有相應(yīng)權(quán)限的人看到，要確保信息在傳輸?shù)倪^(guò)程中不會(huì)被篡改，截取，這就需要很多的安全系統(tǒng)大量的應(yīng)用于政府、大公司以及個(gè)人系統(tǒng)。數(shù)據(jù)加密是肯定可以被破解的，但我們所想要的是一個(gè)特定時(shí)期的安全，也就是說(shuō)，密文的破解應(yīng)該是足夠的困難，在現(xiàn)實(shí)上是不可能的，尤其是短時(shí)間內(nèi)。

  

  

  

參考文獻(xiàn)：

  

1  .  pgp!    http://www.pgpi.com/  

cyber  knights(new  link)    http://members.tripod.com/cyberkt/  

(old  link:    http://netnet.net/~merlin/knights/  )

2  .  crypto  chamber    http://www.jyu.fi/~paasivir/crypt/  

  

3  .  ssh  cryptograph  a-z  (includes  info  on  ssl  and  https)    http://www.ssh.fi/tech/crypto/  

  

4  .  funet'  cryptology  ftp  (yet  another  finland  resource)    ftp://ftp.funet.fi/pub/crypt/  

a  great  enigma  article,  how  the  code  was  broken  by  polish  scientists

  http://members.aol.com/nbrass/1enigma.htm  

  

5  .  ftp  site  in  uk    ftp://sable.ox.ac.uk/pub/crypto/  

  

6  .  australian  ftp  site    ftp://ftp.psy.uq.oz.au/pub/  

  

7  .  replay  associates  ftp  archive    ftp://utopia.hacktic.nl/pub/replay/pub/crypto/  

  

8  .  rsa  data  security  (why  not  include  them &n

bsp;too!)    http://www.rsa.com/  

netscape's  whitepaper  on  ssl

  http://developer1.netscape.com/docs/manuals/security/sslin/contents.htm  

【數(shù)據(jù)加密技術(shù)】相關(guān)文章：

數(shù)據(jù)加密技術(shù)08-06

數(shù)據(jù)加密技術(shù)08-06

數(shù)據(jù)加密技術(shù)-08-06

數(shù)據(jù)加密技術(shù)與安全電子交易淺析08-06

一種新的數(shù)據(jù)加密技術(shù)08-06

詳解加密技術(shù)概念、加密方法以及應(yīng)用08-06

詳解加密技術(shù)概念、加密方法以及應(yīng)用08-06

單片機(jī)系統(tǒng)的動(dòng)態(tài)加密技術(shù)08-06

數(shù)據(jù)挖掘技術(shù)與用戶知識(shí)獲取08-05