《公钥密码学：设计原理与可证安全》重点介绍公钥密码的可证安全理论和旁道攻击技术，内容包括公钥密码基础理论、公钥密码的可证安全理论和旁道攻击三个部分。第一部分为公钥密码学基础理论，介绍了公钥密码体制的提出和特点、公钥密码与杂凑函数、公钥基础设施以及基本体制；第二部分为公钥密码体制的可证安全理论，重点论述加密体制的可证安全、签名体制的可证安全以及混合加密体制的可证安全性分析；第三部分概略介绍公钥密码的旁道攻击技术。
　　 《公钥密码学：设计原理与可证安全》适合高等学校计算机、信息安全、电子信息与通信、信息与计算科学等专业的研究生以及相关专业的研究人员使用。

1976年，Diffie和Hellman在《密码学的新方向》（Neu，Directions in Crypto-graphy）一文中首次提出了公钥密码体制的思想，开创了密码学的新纪元。公钥密码体制中，每个用户拥有公开的公钥和私有的私钥，且由公钥无法导出私钥。这不仅避免了对称密码体制固有的密钥分发问题，也催生了数字签名体制，而公钥密码体制所提供的可认证性、机密性、不可否认性和数据完整性等安全服务使得其成为当前网络环境下保障信息安全的核心技术。
密码体制的安全性分析是密码体制设计中不可或缺的重要环节，而对直观上的“安全”给予严格的定义是安全性分析的基础。到目前为止，学术界有两种定义方法：信息论方法和复杂度方法。信息论方法所关注的是密文是否具有相应明文的信息。粗略地说，如果密文含有相应明文的某些信息，则认为该加密体制是不安全的。已经证明，只有当密钥长度超过所加密的明文时，才能实现高级别的安全性（无条件的安全）。在实际应用中，这是极其不方便的。只使用中等长度的密钥就可以进行不限量安全通信的密码是更可取的。但是暴力破解的存在使得在原则上不可能有这样的密码，然而如果该密码没有其他破译方法，且暴力破解对于当前的计算能力而言是不可行的，那么在实际中人们仍然可以使用该密码。但问题在于如何确信密码不能被快速破译。当然，在数学上对上述问题给予证明是最佳方案，但是NP是否不等于P是世界难题，这说明无法数学证明密码是不可破译的，所以人们似乎只能依靠实际证据来说明密码体制是安全的。过去，密码的质量靠请专家破译密码来评价，如果他们不能破译，就会增强对密码安全的信心。这种方法有明显的不足，如果别人有更好的专家，或者我们对自己的专家缺乏信任，那么密码的完善性可能受到损害。尽管如此，直到最近这个方法仍是唯一可供使用的方法，并且靠它支持像美国国家标准局正式批准的数字加密标准（DES、AES）这样一些广泛使用的密码的可靠性。
随着对密码基础研究的深入，密码学家认为将密码的不可破译性与公认的数学难题相挂钩，则在现有的计算能力下，可以说明密码的安全性，这便是计算复杂度方法的安全性证明思想。

祝跃飞，解放军信息工程大学教授、博士生导师。长期从事信息安全领域的教学与研究工作。曾参与编著《算法数论》、《椭圆曲线密码导引》和《密码学与通信安全基础》。
张亚娟，解放军信息工程大学博士、副教授，长期从事密码学领域的研究工作。曾参与编著《椭圆曲线密码导引》。

第1章 引论
1.1 信息安全
1.2 密码学
1.3 杂凑函数
1.3.1 设计方法
1.3.2 与公钥密码的关系
1.4 公钥基础设施
1.4.1 数字证书
1.4.2 授权
思考题

第2章 基本体制
2.1 公钥密码
2.2 大数分解类
2.3 离散对数类
2.4 椭圆曲线离散对数类
2.5 具有特殊功能的公钥密码
2.5.1 基于身份公钥密码
2.5.2 代理签名体制
2.5.3 不可否认签名
2.5.4 失败即停签名
2.5.5 盲签名方案
2.5.6 群签名
思考题

第3章 可证安全理论
3.1 谕示与模型
3.2 数学难题
3.3 可证安全性分析
3.4 简单的证明实例
思考题

第4章 加密体制的可证安全
4.1 安全性定义
4.2 定义间的关系
4.3 证明实例
4.3.1 OAEP
4.3.2 FO变换
4.3.3 CS体制
4.4 小结
思考题

第5章 签名体制的可证安全
5.1 安全性定义
5.2 一般签名体制和Forking引理
5.3 DSA类签名体制
5.3.1 一般群模型
5.3.2 Abstract .DSA体制
5.4 小结
思考题

第6章 混合加密体制
6.1 密钥封装机制
6.1.1 安全性定义
6.1.2 实例
6.2 数据封装机制
6.3 混合加密体制的安全性
思考题

第7章 旁道攻击
7.1 时间攻击
7.2 差错攻击
7.3 能量攻击
7.4 电磁攻击
7.5 应对措施
思考题
参考文献