曹珍富博士报告会：密码学与信息安全(5)

    
    谢海光：大家听了以后觉得有点明白，在业内的人，在有些非信息安全、密码学的人可能对公钥、密钥基本的内容不太清楚，而这又是非常关键的，是否曹老师简单介绍一下公钥、密钥之间的关系。
    曹珍富：公钥密码是迪非-赫尔曼提出来的概念，它的意思就是加密密钥与解密密钥分开，加密密钥公开，所以也叫公钥；解密密钥保密，也叫私钥。传统的密码不是这样的，传统密码的加密与解密用同一个密钥，密钥需要严格保密，密码算法被称为私钥密码算法。
    谢海光：传统密码的密钥只有我们两个人知道，第三者得不到，如果得到就能解开。
    曹珍富：是的，这是对称的。但对称密码本身使用是很不方便的，例如事先要约定密钥和管理很多密钥。公钥密码就是针对这个，将加密密钥公开，大家都可像电话号码一样公开在电话号码本里面，任何人翻开查到你的名字都可以找到密钥，因而可以给你发送加密消息，只有你能解得开，因为对应的解密密钥在你手里。当然，通常要求加密、解密是非常快的；从公开的加密密钥找到保密的解密密钥是不能够找到的。什么叫做不能够找到？这是计算的问题，就是从加密密钥找到解密密钥的问题是一个比较复杂的架构，最好是NP问题或NPC问题。如果满足了这些条件，这样一个公钥密码算法就已经被找到。
    谢海光：这样公钥和密钥等于吻合在一起。
    曹珍富：等于两个，公钥公开用于加密，密钥保密用于解密。
    谢海光：还有一个问题，请问专家对于最近上市的指纹认证有什么看法，是否会取代传统的密码身份的认证？
    曹珍富：指纹认证肯定是一个方向，因为它结合了一些生物信息在里面，只有这样好多东西解决起来会容易一些，但是仅用指纹识别是不够的，应该跟密码算法同时使用，这是我个人的看法，只有同时使用，它的安全性才会得到保障。这最主要是用来做防伪，防止信息伪造，由于个人的指纹是不变的，指纹信息放进去肯定是一个方向，这是我过去曾经坚持希望做的，但是我在这一块至今研究的很少，我想应该是这样的。
    谢海光：那么曹老师根据你的见解，你发现或者是你认为指纹是否会取代传统的密码身份的认证？
    曹珍富：不会。指纹仅仅是用来做防伪的一个中间环节，它不能够做加密和防复制，像前面提到的密码学是不能被取代的。
    谢海光：为什么不能加密？
    曹珍富：指纹怎么能加密，只能做识别用，就是识别这个东西是真的还是假的，是不是你的，它不能够做其他的用处。就是它本身识别还要跟密码算法结合。
    谢海光：指纹信息就更多了，包括生物信息等等，这些信息肯定更加复杂，这些信息再转换为算法，就更加难以破译？
    曹珍富：指纹图象采集也可以变成数字，可以变成数字信息。
    谢海光：从这个意义上讲是一样的。
    曹珍富：仅靠这个东西不能用来完成密码所能做的，就是仅仅靠它来识别还可能被别人伪造、复制、改变，所以还要进行不可否认性等等的动作，这些动作需要密码算法保障的。