保密性是指为存储的信息或个人和群体之间的通信保守秘密，它或许是被提得最多的一 个密码系统目标

两大密码系统

完整性(integrity)确保数据没有在未经授权的情况下被更改。

消息完整性可通过使用加密的消息摘要来实现；这个摘要被称为数字签名(digitalsignature)

身份认证(authentication)用于验证系统用户自称的身份，是密码系统的一项主要功能

挑战-应答协议

不可否认性(non-repudiation) 向接收者保证：消息发自发送者，而且没有人冒充发送者。

不可否认性由公钥或非对称密钥密码系统提供

布尔数学(Boolean mathematics) 为用于构成任何计算机神经系统的位和字节定义了规则。

一个电路只会有两种可能的状态一“开”和“关“，前者代表有电流存在，后者代表不存在电流

科学家把“开”状态称作真(true)值，把“关”状态称作假(false)值

逻辑运算往往在整个布尔词（而非单个值）上进行

AND（与）：''AND” 运算（用符号 “^” 表示）检查两个值是否都为真,X 和 Y 都为真时输出值才为真

OR（或）：“OR” 运算（用符号 “V” 表示）检查输入值中是否至少有一个为真

NOT（非）："NOT” 运算（用符号”~”表示）只是颠倒一个输入变量的

Exclusive OR（XOR异或）：最重要和最常用的一 “ExclusiveOR" （异或）函数。数学文献把它写成 XOR 函数，通常用符号 “⊕” 表示，只有当一个输入值为真的时候， XOR 函数才返回一个真值

模函数非常简单，它是一次除法运算之后留下的余数

模函数在等式中通常用其缩写 “mod" 表示，不过有时也用运算符"%”表示

单向函数(one-way function) 是能方便地为输入的每种可能组合生成输出值的—种数学运算，们这运算会导致无法恢复输入值。

密码常通过给加密过程添加随机性来获得强度。实现这一点的方法之一就是使用 nonce 。nonce 是一个随机数，可在数学函数中充当占位符变量。

nonce 每次被使用时都必须是一个唯一的数。比较有名的 nonce 例子之一是初始化向量(IV) ，这是一个随机位串，长度与块大小相同，针对消息执行 XOR 操作

你向某个第三方证明，你确实知道一个事实，但不把这个事实本身披露给该第三方常,通过口令和其他秘密鉴别符实现

当执行某项操作所要求的信息或权限被分散到多名用户手中时，任何一个人都不会具有 足够的权限来破坏环境的安全

分割知识(split knowledge):这种把职责分离和双人控制融于一个解决方案的做法叫分割知识

密钥托管(keyescrow)概念是体现分割知识的最佳例子

采用密钥托管后，密码密钥会被给一个第三方妥善保存

恢复代理(recovery agent) :当满足某些条件时，第三方可以用托管密钥来恢复授权用户的访问权限或自行解密资料。这个第三方叫恢复代理

N 之取 M 控制(M of N Control)要求代理总数心）:至少有 M 个代理同时在场时才能执行高安全级任务

八之取三控制：在被指派执行密钥托管恢复任务的八个代理中，只有当三个代理同时在场时才能从密钥托管数据库中提取一个密钥（其中 M 总是小于或等于 N) 。

代码/暗号:是由代表单词和矩语的符号构成的密码系统；尽管代码有时是保密的，但它们并不一定提供保密性保护

旗语和莫尔斯电码也是代码的例子

例如，一个间谍用“老鹰已着陆”这句话来报告敌军派来－架飞机这一消息。

需要记住，代码作用于单词和短语，而密码作用于字符、位和块。

密码则始终要隐藏消息的真实含义。将消息从明文转变成密文

移位密码(transposition cipher):通过一种加密算法重新排列明文消息的字母，形成密文消息。解密算法只需要逆向执行加密位移便可恢复原始消息。

替换密码(substitution cipher)：通过加密算法用一个不同的字符替换明文消息的每个字符或位

单次密本(one-time pad)/Vemam 密码：是极其强力的一种替换密码。单次密本为明文消息中的每个字母使用一个不同的替换字母表，认为是无法破解的只使用一次，最安全

运动密钥密码/滚动密码(running key cipher) ：这种密码也叫书密码(book cipher) 。在这种密码中，加密密钥与消息本身一样长，而且往往选自一部普通图书、一张报纸或一本杂志

块密码(block cipher) 在消息“块“上运算，在同一时间对整个消息执行加密算法

移位密码是块密码的例子，一整个单词块颠倒

流密码(stream cipher)一次在消息（或消息流）的一个字符或一个位上运行

凯撒密码是流密码的一个例子。单次密本也是一种流密码，因为算法在明文消息的每个字母上单独运行。

混淆(confusion)：混淆运算时，明文和密钥之间有着极复杂的关系，以至于攻击者不能只靠改动明文和分析结果密文来确定密钥

扩散(diffusion) ：使用扩散运算时，明文中发生的一点变化会导致多个变化在整个密文中传播

例子：一种密码算法首先进行一次复杂的替换，然后通过移位重新排列被替换密文的字符位置。在这个例子中，替换带来的就是混淆，移位带来的就是扩散。

始终安全地存储密钥，如果你必须通过网络传输密钥，则应采取适当的方式，使密钥免遭未经授权的泄露

可能以随机性高的方法选择密钥，充分利用整个密钥空间

密钥不再被需要时，安全地将它们销毁。

最常见的例子是传输层安全(TLS)协议，它用非对称密码建立 一条加密信道，然后切换到使用临时密钥的对称密码

密钥分发是主要问题。双方在通过一个对称密钥协议建立通信之前，首先必须找到一种安全的方法来交换秘密密钥，如果这时没有现成的安全电子信道可供使用，则往往需要采用一种安全的线下密钥分发方法（即带外交换）。

对称密钥加密法不提供不可否认性。由于任何通信方都能用共享的秘密密钥对消息进行加密和解密，因此无法证明一条消息到底是从何处发出的

算法缺乏可扩展性。如果通信群体规模较大，将很难使用对称密钥加密法。只有在每个可能的用户组合都共享一个私钥的情况下，才能在群体内的个人之间实现安全的私密通信。

密钥必须经常重新生成。每当有参与者离开通信群体时，该参与者知道的所有密钥都必须弃用

对称密钥加密法的主要优势在于它的运算速度。对称密钥加密非常快，往往比非对称算法快 1 000 到 10000 倍

添加新用户时只需要生成一个公钥－私钥对

便于从非对称系统移除用户

只需要在用户私钥失信的情况下重新生成密钥。

非对称密钥加密可提供完整性、身份认证和不可否认性

密钥分发简便易行

不需要预先建立通信关联

每次处理一个64位块

加密过程添加身份认证标记(authentication tag)

DES不安全

DES 是一种 64 位块密码，共有 5 种运行模式

DES 的所有模式都是一次性在 64 位明文上进行运算，以生成 64 位密文块。 DES 使用的密钥长 56 位

DES 规范要求使用 64 位密钥。但是在这 64 位中，只有 56 位含密钥信息。余下的 8 位应该包含奇偶校验信息，以确保其他 56 位准确无误。但是实践中很少使用这些奇偶校验位。你将 56 这个数字记住即可

DES 通过长长的一系列异或(XOR)运算生成密文。这个过程会为每个加密／解密操作重复16遍加密

CAST-128 用大小为 40~128 位的密钥对 64 位明文块进行 12~16 轮 Feistel 网络加密。

CAST-256 用大小为 128 、 160 、 192 、 224 或 256 位的密钥对 128 位明文块进行48 轮

预白化处理(prewhitening) 指第 1 轮加密前用一个单独的子密钥对明文进行异或运算。

白化后处理(postwhitening) 指第 16 轮加密后执行同样的运算

线下分发： 这种在技术上最简单（但存在物理上的不便）的方法涉及密钥材料的物理交换

公钥加密 ：许多通信者希望享受秘密密钥加密的速度好处而免去分发密钥的麻烦

Diffie-Hellman（DH） ： 有时，无论是公钥加密还是线下分发，都不能满足需求。双方可能需要直接相互沟通，但他们之间没有可用来交换密钥材料的物理手段，而且没有现成的公钥基础设施以便交换秘密密钥

绝不将加密密钥与被加密数据保存在同一个系统里，否则会让攻击者轻易入侵！

对于敏感密钥，考虑安排两个人各持一半片段

基于软件的存储机制可把密钥作为数字对象保存到使用它们的系统里，例如，把密钥存进本地文件系统

基于硬件的存储机制是专用于管理密钥的硬件设备。

公平密码系统：在这种托管方法中，用于通信的秘密密钥被分解成两个或多个片段，每个片段都被交付给一个独立的第三方保管

托管加密标准：这种托管方法向政府或另一授权代理提供了解密密文的技术手段。专门针对 Clipper 芯片提出的

当相关人员从讥构离职，而其他员工需要访问被加密的数据时，或者当密钥丢失时，密钥托管和恢复机制会体现出它们的价值。

密钥恢复代理(recovery agent, RA)能够恢复分配给各个用户的加密密钥