嚴肅的密碼學：實用現代加密術

本書是著名密碼演算法BLAKE2、SipHash和NORX的創造者、當代應用密碼學大師Jean-Philippe Aumasson的重磅力作的中文譯本。正如其名，本書並非淺嘗輒止的領域概述，而是全面深入地討論了密碼工程的理論、技術以及前沿進展。

本書面向密碼學研究及從業人員，從本書中您不僅能學到密碼演算法的工作原理，還將學習如何在實際的系統中使用它們。

第1章 加密
古典密碼
凱撒密碼
維吉尼亞密碼
密碼是如何工作的：置換|操作模式
完美的加密：一次一密體制
加密安全性
非對稱加密
加密之外的密碼學
認證加密|格式保持加密|全同態加密|可搜索加密|可調加密
意外如何發生：弱密碼|錯誤模型
 
第2章 隨機性
作為概率分佈的隨機性
熵：不確定性的度量指標
亂數發生器和偽亂數發生器
現實世界中的PRNG
在基於UNIX的系統中生成隨機比特
Windows中的CryptGenRandom()函數
基於硬體的PRNG：英特爾微處理器中的RDRAND
意外如何發生：熵源不理想|啟動時熵不足|非加密PRNG|對強隨機性的採樣漏洞

第3章 密碼學中的安全性
理論上安全：資訊安全性|實際安全：計算安全性
以比特度量安全性|全攻擊成本|選擇和評估安全強度
安全實現：可證明安全性|啟發式安全性
生成對稱金鑰|生成非對稱金鑰|保護金鑰
意外如何發生：不正確的安全性證明|支援遺留系統的短金鑰

第4章 區塊編碼器
安全目標|分組大小|碼本攻擊
如何構造區塊編碼器：區塊編碼器的輪數|滑動攻擊和子金鑰|替換-置換網路|Feistel結構
高級加密標準（AES）：AES內核|使用AES
實現AES：基於查詢表實現|原生指令集
電碼本模式（ECB）|密碼分組連結（CBC）模式|如何在CBC模式中加密消息|計數（CTR）模式
意外如何發生：中間相遇攻擊|Padding Oracle攻擊

第5章 序列密碼
基於狀態轉移的和基於計數器的序列密碼
面向硬體的序列密碼：回饋移位暫存器|Grain-128a演算法|A5/1演算法
面向軟體的序列密碼：RC4|Salsa20
意外如何發生：nonce的重複使用|破解RC4|硬體燒制時的弱密碼

第6章 雜湊函數
雜湊函數的安全性：不可預測性|原像攻擊抗性|抗碰撞性|查找碰撞
基於壓縮的雜湊函數：Merkle–Damgård結構
基於置換的雜湊函數：海綿函數
雜湊函數SHA系列：SHA-1|SHA-2|SHA-3競賽|Keccak（SHA-3）
BLAKE2雜湊函數
意外如何發生：長度擴展攻擊|欺騙存儲證明協定

第7章 帶金鑰的雜湊
安全通信中的消息認證碼|偽造和選擇消息攻擊|重放攻擊
偽隨機函數：PRF的安全性|為什麼PRF比MAC更安全
加秘密首碼的構造方法|帶秘密尾碼的構造方法
HMAC的構造方法|針對基於雜湊的MAC的一般攻擊
由區塊編碼器構造的帶金鑰雜湊：CMAC：破解CBC-MAC|修改CBC-MAC
專用設計：Poly1305|SipHash
意外如何發生：針對MAC認證的計時攻擊|當海綿結構洩露

第8章 認證加密
使用MAC的認證加密
使用關聯資料的認證加密|使用nonce來避免可預測性
怎樣才是一個好的認證加密演算法
AES-GCM：認證加密演算法標準
OCB: 比GCM更快的認證加密演算法
SIV是最安全的認證演算法嗎
基於置換的AEAD
意外如何發生：AES-GCM和弱雜湊金鑰|AES-GCM和短標籤

第9章 困難問題
計算困難性：測量執行時間|多項式時間vs超多項式時間
複雜度的分類：非確定多項式時間|NP完全問題|P問題vs NP問題
因數分解問題：實踐中的分解大數演算法|分解演算法是NP完全的嗎
離散對數問題
意外如何發生：小規模的困難問題並不困難

第10章 RSA
RSA背後的數學概念
RSA陷門置換
RSA的金鑰生成和安全性
利用教科書式RSA加密的擴展性進行攻擊|加強版RSA加密：OAEP
針對教科書式RSA簽名的攻擊|PSS簽名標準|全域雜湊簽名
RSA的實現：快速求冪演算法：平方乘|用於更快公開金鑰操作的小指數|中國剩餘定理
意外如何發生：針對RSA-CRT的Bellcore攻擊|共用秘密指數或共用模數

第11章 Diffie-Hellman
Diffie-Hellman函數
Diffie-Hellman問題
非DH金鑰協商協定示例|金鑰協商協定的攻擊模型
匿名Diffie-Hellman協定|含身份驗證的Diffie-Hellman協定|Menezes–Qu–Vanstone（MQV）協定
意外如何發生：不雜湊共用秘密|TLS中Diffie–Hellman的歷史遺留問題|不安全的群參數

第12章 橢圓曲線
整數上的橢圓曲線|加法點和乘法點|橢圓曲線群
ECDLP問題
橢圓曲線上的Diffie–Hellman金鑰協商
NIST曲線|曲線25519
意外如何發生：隨機性差的ECDSA|用另一條曲線破解ECDH

第13章 TLS
TLS協議套件：TLS和SSL協議家族的簡單歷史
TLS握手協定|TLS 1.3的密碼演算法
TLS 1.3對TLS 1.2的改進：降級保護|單次往返握手|會話恢復
TLS安全性的優勢：認證|前向保密性
意外如何發生：不安全的憑證授權|不安全的伺服器|不安全的用戶端|實現中的缺陷

第14章 量子和後量子時代的密碼學
量子電腦的工作原理：量子比特|量子門
量子加速：指數加速和Simon問題|Shor演算法的威脅
Shor演算法解決因數分解問題|Shor演算法和離散對數問題|Grover演算法
為什麼製造量子電腦如此困難
後量子密碼演算法：基於編碼的密碼|基於格的密碼|基於多變數的密碼|基於雜湊的密碼
意外如何發生：不明晰的安全水準|快進：如果太晚會發生什麼|實現問題

Jean-Philippe Aumasson是總部位於瑞士的國際網路安全公司Kudelski Security的首席研究工程師，他在密碼學和密碼分析領域發表文章40餘篇。他設計了廣為人知的雜湊函數BLAKE2和SipHash，也是Black Hat、DEF CON、Troopers和Infiltrate等資訊安全會議上的常客。
 
譯者介紹：
 
陳華瑾，資訊工程大學網路空間安全學院副教授，2013年獲得密碼學博士學位。長期從事密碼學教學與科研工作，研究方向是對稱密碼設計與分析。
 
俞少華，公安部第三研究所資訊網路安全公安部重點實驗室網路安全專家，2007年碩士畢業于浙江大學數學系，一直從事網路安全工作，在網路攻擊與防禦、網路安全事件取證溯源和密碼學領域有著深入研究。