深入浅出密码学

本书由资深的密码学大咖David Wong编写，由专业研究密码学的博士和硕士团队翻译完成。原汁原味地还原了书中关于密码学深入浅出的讲解，通过插画和简明易懂的描述，将密码学相关的知识点和实践技巧讲得通透明白。 本书各章还有若干习题，以便于读者巩固知识点。在书的附录中，对应提供了相关习题的答案，以便于读者对照参考。此外，本书还提供配套的彩图下载，以优化读者的阅读体验。

密码学是信息安全的基础，本书教读者应用加密技术来解决现实世界中的一系列难题，并畅谈了密码学的未来，涉及“加密货币”、密码验证、密钥交换和后量子密码学等话题。
全书分为两个部分，第一部分介绍密码原语，涉及密码学基础概念、哈希函数、消息认证码、认证加密、密钥交换、非对称加密和混合加密、数字签名与零知识证明、随机性和秘密性等内容；第二部分涉及安全传输、端到端加密、用户认证、“加密货币”、硬件密码学、后量子密码、新一代密码技术等内容。
本书形式新颖、深入浅出，非常适合密码学领域的师生及信息安全从业人员阅读，也适合对密码学及其应用感兴趣的读者阅读。

David Wong是O(1)实验室的一位高级密码工程师，他致力于Mina“加密货币”的研发。在此之前，他曾在Facebook Novi工作，担任Diem（正式名称为Libra）“加密货币”研发团队的安全顾问。在Facebook工作前，他还在NCC集团的加密服务机构做过安全顾问。 David在他的职业生涯中多次参与开源审计工作，比如审计OpenSSL库和Let's Encrypt项目。他曾在多个会议（如“Black Hat”和“DEF CON”）上做过报告，并在“Black Hat”会议上讲授密码学课程。他为TLS 1.3协议和Noise协议框架的发展做出了贡献。此外，他还发现了许多库存在的漏洞，例如?Go?语言标准库中的CVE-2016-3959漏洞，TLS库中的CVE-2018-12404、CVE-2018-19608、CVE-2018-16868、CVE-2018-16869和CVE-2018-16870漏洞。 David还是Disco协议和基于智能合约的去中心化应用程序安全项目的开发者之一。他的研究内容包括对RSA的缓存攻击、基于QUIC的协议、对ECDSA的时序攻击或针对DH算法的后门攻击等领域的安全技术。

第一部分密码原语：密码学的重要组成部分
第1章引言3
1．1密码学使协议安全3
1．2对称密码：对称加密概述4
1．3Kerckhoff原则：只有密钥保密6
1．4非对称加密：两个密钥优于一个密钥8
1．4．1密钥交换9
1．4．2非对称加密11
1．4．3数字签名：与手写签名作用一样13
1．5密码算法分类和抽象化15
1．6理论密码学vs．实用密码学16
1．7从理论到实践：选择独特冒险17
1．8警示之言21
1．9本章小结21
第2章哈希函数22
2．1什么是哈希函数22
2．2哈希函数的安全属性24
2．3哈希函数的安全性考量26
2．4哈希函数的实际应用28
2．4．1承诺28
2．4．2子资源完整性28
2．4．3比特流29
2．4．4洋葱路由29
2．5标准化的哈希函数29
2．5．1SHA-2哈希函数30
2．5．2SHA-3哈希函数33
2．5．3SHAKE和cSHAKE：两个可扩展输出的函数37
2．5．4使用元组哈希避免模糊哈希38
2．6口令哈希39
2．7本章小结41
第3章消息认证码42
3．1无状态cookie——一个引入MAC的范例42
3．2一个代码示例45
3．3MAC的安全属性46
3．3．1伪造认证标签46
3．3．2认证标签的长度47
3．3．3重放攻击48
3．3．4在固定时间内验证认证标签49
3．4现实世界中的MAC49
3．4．1消息认证码49
3．4．2密钥派生50
3．4．3cookie的完整性51
3．4．4哈希表51
3．5实际应用中的消息认证码51
3．5．1HMAC——一个基于哈希函数的消息认证码算法52
3．5．2KMAC——基于cSHAKE的消息认证码算法53
3．6SHA-2和长度扩展攻击53
3．7本章小结56
第4章认证加密57
4．1密码的定义57
4．2高级加密标准59
4．2．1AES算法的安全级别59
4．2．2AES算法的接口60
4．2．3AES内部构造61
4．3加密企鹅图片和CBC操作模式62
4．4选用具有认证机制的AES-CBC-HMAC算法65
4．5认证加密算法的一体式构造66
4．5．1有附加数据的认证加密67
4．5．2AEAD型算法AES-GCM68
4．5．3ChaCha20-Poly1305算法72
4．6其他类型的对称加密76
4．6．1密钥包装76
4．6．2抗Nonce误用的认证加密算法77
4．6．3磁盘加密77
4．6．4数据库加密77
4．7本章小结78
第5章密钥交换79
5．1密钥交换的定义79
5．2Diffie-Hellman（DH）密钥交换82
5．2．1群论82
5．2．2离散对数问题：DH算法的基础86
5．2．3DH密钥交换标准87
5．3基于椭圆曲线的DH密钥交换算法88
5．3．1椭圆曲线的定义88
5．3．2ECDH密钥交换算法的实现91
5．3．3ECDH算法的标准93
5．4小子群攻击以及其他安全注意事项94
5．5本章小结96
第6章非对称加密和混合加密97
6．1非对称加密简介97
6．2实践中的非对称加密和混合加密99
6．2．1密钥交换和密钥封装99
6．2．2混合加密101
6．3RSA非对称加密的优缺点104
6．3．1教科书式RSA算法104
6．3．2切勿使用PKCS#1v1．5标准中的RSA算法108
6．3．3非对称加密RSA-OAEP109
6．4混合加密ECIES112
6．5本章小结114
第7章数字签名与零知识证明115
7．1数字签名的定义115
7．1．1现实应用中计算和验证签名的方法117
7．1．2数字签名应用案例：认证密钥交换117
7．1．3数字签名的实际用法：公钥基础设施118
7．2零知识证明：数字签名的起源119
7．2．1Schnorr身份识别协议：一种交互式零知识证明120
7．2．2数字签名作为非交互式零知识证明123
7．3签名算法的标准123
7．3．1RSAPKCS#1v1．5：一个有漏洞的标准124
7．3．2RSA-PSS：更优的标准127
7．3．3椭圆曲线数字签名算法128
7．3．4Edwards曲线数字签名算法130
7．4签名方案特殊性质133
7．4．1对签名的替换攻击133
7．4．2签名的可延展性134
7．5本章小结134
第8章随机性和秘密性136
8．1随机性的定义136
8．2伪随机数发生器138
8．3获取随机性的方法141
8．4生成随机数和安全性考虑143
8．5公开的随机性145
8．6用HKDF算法派生密钥146
8．7管理密钥和秘密信息150
8．8分布式门限密码技术151
8．9本章小结154
第二部分协议：密码学的核心作用
第9章安全传输157
9．1SSL和TLS协议157
9．1．1从SSL到TLS的转化158
9．1．2TLS的实际应用158
9．2TLS协议的工作原理160
9．2．1TLS协议的握手阶段161
9．2．2TLS1．3中加密应用程序数据的方法172
9．3Web加密技术发展现状172
9．4其他安全传输协议174
9．5Noise协议框架：TLS新的替代方案175
9．5．1Noise协议框架中不同的握手模式175
9．5．2Noise协议的握手过程176
9．6本章小结177
第10章端到端加密178
10．1为什么使用端到端加密178
10．2信任源缺失180
10．3邮件加密的失败案例181
10．3．1PGP或GPG协议的工作原理181
10．3．2将Web系统信任机制扩展到用户之间184
10．3．3寻找PGP公钥是个难题184
10．3．4PGP的替代品185
10．4安全消息传递：现代端到端加密协议Signal187
10．4．1比Web信任机制更友好：信任可验证188
10．4．2X3DH：Signal协议的握手过程190
10．4．3双棘轮协议：Signal握手结束之后的协议193
10．5端到端加密最新进展197
10．6本章小结198
第11章用户认证200
11．1认证性的定义200
11．2用户身份认证202
11．2．1用一个口令来控制所有口令：单点登录以及口令管理器204
11．2．2避免口令的明文传输：使用非对称的口令认证密钥交换协议205
11．2．3一次性口令并不是真正的口令：使用对称密钥进行无口令操作208
11．2．4用非对称密钥替换口令211
11．3用户辅助身份认证：人工辅助设备配对213
11．3．1预共享密钥215
11．3．2CPace对称口令认证密钥交换216
11．3．3用短认证字符串避免密钥交换遭受MIMT攻击217
11．4本章小结219
第12章“加密货币”221
12．1拜占庭共识算法介绍222
12．1．1数据恢复问题：分布式数据可恢复协议222
12．1．2信任问题：利用去中心化解决信任问题223
12．1．3规模问题：无许可和不受审查的网络224
12．2Bitcoin的工作原理225
12．2．1Bitcoin处理用户余额和交易的方式226
12．2．2挖掘数字黄金BTC227
12．2．3解决挖矿中的冲突230
12．2．4使用Merkle树减小区块的大小233
12．3“加密货币”之旅234
12．3．1波动性235
12．3．2延迟性235
12．3．3区块链规模235
12．3．4机密性236
12．3．5电能消耗236
12．4DiemBFT：一种拜占庭容错共识协议236
12．4．1安全性和活跃性：BFT共识协议的两大属性236
12．4．2一轮DiemBFT协议237
12．4．3协议对不诚实行为的容忍度238
12．4．4DiemBFT协议的投票规则238
12．4．5交易最终得到确认240
12．4．6DiemBFT协议安全性的直观解释240
12．5本章小结242
第13章硬件密码学244
13．1现代密码学中常见的攻击模型244
13．2不可信环境：让硬件提供帮助245
13．2．1白盒密码学不可取246
13．2．2智能卡和安全元件247
13．2．3硬件安全模块——银行业的宠儿248
13．2．4可信平台模块：安全元件的有效标准化250
13．2．5在可信执行环境中进行保密计算252
13．3何为最优解决方案253
13．4防泄露密码255
13．4．1恒定时间编程256
13．4．2隐藏与盲化258
13．4．3故障攻击258
13．5本章小结259
第14章后量子密码261
14．1震动密码学界的量子计算机261
14．1．1研究小物体的量子力学262
14．1．2量子计算机从诞生到实现量子霸权264
14．1．3Shor和Grover算法对密码学的影响265
14．1．4可抵抗量子算法的后量子密码266
14．2基于哈希函数的一次性签名266
14．2．1Lamport一次性签名267
14．2．2具有较小密钥长度的Winternitz一次性签名方案268
14．2．3XMSS和SPHINCS+多次签名270
14．3基于格密码的短密钥和签名方案272
14．3．1格的定义273
14．3．2格密码的基础：LWE问题274
14．3．3基于格的密钥交换算法Kyber275
14．3．4基于格的数字签名算法Dilithium277
14．4有必要恐慌吗278
14．5本章小结280
第15章新一代密码技术281
15．1安全多方计算282
15．1．1隐私集合求交282
15．1．2通用MPC协议284
15．1．3MPC发展现状285
15．2全同态加密及其在云技术中的应用286
15．2．1基于RSA加密方案的同态加密方案示例286
15．2．2不同类型的同态加密287
15．2．3Bootstrapping：全同态加密的关键287
15．2．4一种基于LWE问题的FHE方案289
15．2．5FHE的用武之地290
15．3通用零知识证明291
15．3．1zk-SNARK的工作原理293
15．3．2同态承诺隐藏部分证据294
15．3．3利用双线性对改进同态承诺方案294
15．3．4简洁性的来源294
15．3．5程序转换为多项式295
15．3．6程序转换为算术电路296
15．3．7R1CS运算电路296
15．3．8将R1CS转换为多项式297
15．3．9隐藏在指数中的多项式297
15．4本章小结299
第16章密码技术并非万能300
16．1寻找到正确的密码原语或协议301
16．2如何使用加密原语或协议——文雅标准与形式验证302
16．3哪里能找到出色的密码库304
16．4滥用密码技术：开发者是密码学家的敌手305
16．5可用安全性306
16．6密码学并非一座孤岛308
16．7不要轻易亲自实现密码算法309
16．8本章小结310
附录习题答案312