1、数字摘要 数字签名的实施问题 长度问题(签名比原文长) 速度问题 完整性问题数字摘要和Hash函数消息x任意长度数字摘要z=h(x)160位签名y=sigK(z)320位Hash函数 Hash函数适用任意信息长度 产生的摘要是定长的 易于计算 通过摘要得到原信息计算上不可行 无冲突弱无冲突与强无冲突 弱无冲突(weakly collision-free) 给定消息x,如果寻找一个xx,使得h(x)=h(x)在计算上不可行,相应的hash函数h(x)是弱无冲突的。 强无冲突(strongly collision-free) 寻找一对消息xx,使得h(x)=h(x)在计算上不可行,相应的hash函
2、数h(x)是强无冲突的。 ONE-WAY 称Hash函数是ONE-WAY FUNCTION: 给定摘要z,如果寻找一个消息x使h(x)=z计算上不可行。 2022-5-317简单简单Hash函数举例函数举例 ci散列码的第i位,i1,n mn位输入分组的个数 bij第i 个分组的第j位imi3i2i1ib.bbbC MD算法 RSA的发明者之一,R . Rivest 教授提出了消息摘要的MD算法(散列算法)。之后又出现了一系列的改进版本:MD2,MD4, MD5,其摘要的长度均为128位; SHS算法 近几年,又出现了另一个散列算法:SHS(安全Hash标准),其代表性的产品为SHA1,其摘要
3、长度为160位,安全强度比MD5的更高。 几种散列算法几种散列算法生日悖论 生日悖论:随机选取23人作为一组,则至少两人同生日的概率是1/2. 结论就是用更多比特位的结论就是用更多比特位的 hashHash攻击 40位的数字摘要足够安全 建议采用128位以上的数字摘要 DSS采用160位的数字摘要时戳 签名的时效 时戳的算法: z=h(x) z=h(z|pub)y=sigk(z) pub的选取 TTS ( Trusted Timestamping Service )消息认证 在网络通信中, 有一些针对消息内容的攻击方法, 如: 伪造消息 窜改消息内容 改变消息顺序 消息重放或者延迟 消息认证:
4、对收到的消息进行验证,证明确实是来自声称的发送方(身份认证),并且没有被修改过。 怎样实现消息认证? 通过“认证标识”(或称认证符)。即:首先产生一个认证标识,将这个认证标识加到消息中,同消息一起发给接收方。 怎样产生“认证标识”? 消息加密(Message encryption)方式 用整个消息的密文作为 “认证标识”。 Hash函数(Hash function)方式 一个公开函数,它将任意长度的消息映射到一个固定长度的散列值,作为“认证标识”(消息摘要)。 消息认证码(MAC)方式 一个公开函数加上一个密钥,产生一个固定长度的值,作为“认证标识”。产生产生“认证标识认证标识”的常用方法的常
5、用方法消息验证消息加密方式 DES 效率2022-5-3116消息加密方式消息验证Hash函数方式 无密钥2022-5-31182022-5-31192022-5-3120消息认证码消息认证码 (MAC)一种认证技术一种认证技术利用密钥来生成一个固定长度的短数据块(利用密钥来生成一个固定长度的短数据块(MAC),并),并将该数据块附加在消息之后。将该数据块附加在消息之后。MAC的值依赖于消息和密钥的值依赖于消息和密钥 MAC = Ck(M)MAC函数于加密类似,但函数于加密类似,但MAC算法算法不要求不要求可逆性,可逆性,而加密算法必须是可逆的。而加密算法必须是可逆的。接收方进行同样的接收方进
6、行同样的MAC码计算并验证是否与发送过来的码计算并验证是否与发送过来的MAC码相同码相同2022-5-3121MAC 特性特性MAC码是一个密码校验和码是一个密码校验和MAC = CK(M)消息消息M的长度是可变的的长度是可变的密钥密钥K是要保密的,且收发双方共享。是要保密的,且收发双方共享。产生固定长度的认证码产生固定长度的认证码MAC算法是一个多对一的函数算法是一个多对一的函数多个消息对应同一多个消息对应同一MAC值值但是找到同一但是找到同一MAC值所对应的多个消息应该是值所对应的多个消息应该是困难困难的。的。2022-5-3122身份认证 认证( authentication ):证明一
7、个对象的身份的过程。 比如某个人说她是Alice,认证系统的任务就是作出她是否就是Alice的结论 授权( authorization ):决定把什么特权附加给该身份 1 口令认证口令认证2 物理认证物理认证 生物认证生物认证4 密码认证密码认证口令认证的工作过程 下图是基于口令的认证系统的组成与工作原理,这个系统用起来非常方便,但存在明显的安全问题。口令认证存在的问题 (1) 攻击者可以在Alice登录时实施侦听以获取口令。 (2) 攻击者可以读取计算机中所存储的口令信息。 (3) 攻击者可以进行口令猜测。 (4) 如果试图强制用户选择无法猜测的口令,那么系统可能变得不便于使用,用户可能不得
8、不写下口令。物理认证通过“你所拥有的东西”进行认证介绍信、证明、学生证、第一代身份证等。信用卡、智能卡生物认证基于“你是谁”的认证不能用于对网络的其他实体(主机、机构等)的认证。指纹识别、虹膜扫描认证、掌纹识别认证、语音识别认证、手工签名认证单向口令认证 协议1:密码学认证方法单向口令认证的改进(协议2)协议1的另一种变形 协议3协议2修改成协议4协议协议4 这要求这要求Alice和和Bob有同步时钟,有同步时钟,Alice加密加密当前时间,当前时间,Bob解密时间并验证时间在一定解密时间并验证时间在一定的时差之内。的时差之内。 前面几个协议都是使用共享密钥方案KAB,共同的缺点是,如果攻击者
9、能够获得KAB ,那么就能够冒充Alice。 公钥认证协议5/6的问题 协议5可以诱骗Alice对某些消息进行签名;协议6可以诱骗Alice对某些消息解密。避免这些问题的可行的方法有两种: 一是不要将相同的密钥用于两种不同的目的;二是确定用于认证的消息应当有固定的格式。双向认证 两个方向上的独立认证,两个方向上的独立认证, (协议(协议7)(协议8)对协议8的反射攻击协议8的改进 有两种方法可以避免反射攻击,(1)在认证Alice和Bob时使用不同的密钥;(2) 要求挑战者和响应者使用的随机数有不同的格式。协议协议8的改进的改进用公钥实现双向认证(协议9)协议9的问题 协议9存在两个问题: (
10、1) 如何让Alice知道Bob的公钥(密钥的分配) (2) 在Alice只知道口令的情况下,如何让Alice知道她自己的私钥?(密钥的产生) 密钥管理与公钥基础设施秘密密钥分配方法 共享的秘密密钥,为防止攻击者得到密钥,必须时常更新密钥。因此,密码系统的强度也依赖于密钥分配技术 两个用户A和B获得共享密钥的方法有以下4种: 密钥由A选取并通过物理手段发送给B 密钥由第三方选取并通过物理手段发送给A和B 如果A、B事先已有一密钥,则其中一方选取新密钥后,用已有的密钥加密新密钥并发送给另一方 如果A和B与第三方C分别有一保密信道,则C为A、B选取密钥后,分别在两个保密信道上发送给A、B 第1和第
11、2种方法称为人工发送 在通信网中,当n很大时,密钥分配的代价非常大,密钥的人工发送是不可行的 对于第3种方法 攻击者一旦获得一个密钥就可获取以后所有的密钥;而且用这种方法对所有用户分配初始密钥时,代价仍然很大。 第4种方法比较常用 密钥分配中心(KDC)。 每一用户必须和KDC有一个共享密钥,称为主密钥。 会话密钥:用于一对用户之间的保密通信。 通信完成后,会话密钥即被销毁。密钥分配的一个实例如图:假定两个用户A、B分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥KA和KB,A希望与B建立一个共享的一次性会话密钥,可通过以下几步来完成: A向KDC
12、发出会话密钥请求表示请求的消息由两个数据项组成: 第1项Request是A和B的身份第2项是这次业务的惟一识别符N1,称N1为一次性随机数,可以是时戳、计数器或随机数每次的N1都应不同,且为防止假冒,应使敌手对N1难以猜测。因此用随机数作为这个识别符最为合适。防重放,防篡改防重放,防篡改公钥体制的密钥管理 一是公钥密码体制所用的公开密钥的分配 二是如何用公钥体制来分配单钥密码体制所需的密钥用公钥体制来分配单钥密码体制所需的密钥简单的秘密钥分配: 中间人攻击 如果敌手E已接入A、B双方的通信信道,就可通过以下不被察觉的方式截获双方的通信: 与上面的步骤相同 E截获A的发送后,建立自己的一对密钥P
13、KE,SKE,并将PKEIDA发送给B。 B产生会话密钥KS后,将EPKEKS发送出去。 E截获B发送的消息后,由DPKEEPKE KS解读KS。 E再将EPKAKS发往A。 现在A和B知道KS,但并未意识到KS已被E截获。A、B在用KS通信时,E就可以实施监听具有保密性和真实性的密钥分配具有保密性和真实性的密钥分配假设双发已安全交换了各自的公钥假设双发已安全交换了各自的公钥:注意:这个方案其实是有漏洞的,即第4条消息容易被重放,假设敌手知道上次通话时协商的会话密钥Ks,以及A对Ks的签名和加密,则通过简单的重放即可实现对B的欺骗,解决的方法是将第3和第4条消息合并发送混合方式的密钥分配混合方
14、式的密钥分配 保留私钥配发中心保留私钥配发中心( KDC ) 每用户与每用户与KDC共享一个主密钥共享一个主密钥 用主密钥分配会话密钥用主密钥分配会话密钥 公钥用于分配主密钥公钥用于分配主密钥在大范围分散用户的情况下尤其有用在大范围分散用户的情况下尤其有用公钥本身的分配公钥本身的分配 公钥分配方法:公钥分配方法:公开发布公开发布公开可访问目录公开可访问目录公钥授权公钥授权公钥证书公钥证书公钥的公开发布公钥的公开发布 用户分发自己的公钥给接收者或广播给用户分发自己的公钥给接收者或广播给通信各方通信各方例如:把例如:把PGP的公钥放到消息的最后,发的公钥放到消息的最后,发布到新闻组或邮件列表中布到
15、新闻组或邮件列表中 缺点:伪造缺点:伪造任何人都可以产生一个冒充真实发信者的任何人都可以产生一个冒充真实发信者的公钥来进行欺骗公钥来进行欺骗直到伪造被发现,欺骗已经形成。直到伪造被发现,欺骗已经形成。公开可访问的目录公开可访问的目录 通过使用一个公共的公钥目录可以获得通过使用一个公共的公钥目录可以获得更大程度的安全性更大程度的安全性 目录应该是可信的,特点如下:目录应该是可信的,特点如下: 包含包含 姓名,公钥姓名,公钥 目录项目录项 通信方只能安全的注册到目录中通信方只能安全的注册到目录中 通信方可在任何时刻进行密钥更替通信方可在任何时刻进行密钥更替 目录定期发布或更新目录定期发布或更新 目
16、录可被电子化地访问目录可被电子化地访问 缺点:仍存在被篡改伪造的风险缺点:仍存在被篡改伪造的风险公钥授权公钥授权通过更加严格地控制目录中的公钥分配,使公钥分配更加安通过更加严格地控制目录中的公钥分配,使公钥分配更加安全。全。具有目录特性具有目录特性每一通信方必须知道目录管理员的公钥每一通信方必须知道目录管理员的公钥用户和目录管理员进行交互以安全地获得所希望的公钥用户和目录管理员进行交互以安全地获得所希望的公钥当需要密钥时,确实需要能够实时访问目录。公钥目录管理员当需要密钥时,确实需要能够实时访问目录。公钥目录管理员称为系统的瓶颈。称为系统的瓶颈。公钥授权公钥授权公钥证书公钥证书用证书进行密钥交
17、换,可以避免对公钥目录的实时授权访问用证书进行密钥交换,可以避免对公钥目录的实时授权访问证书包含标识和公钥等信息证书包含标识和公钥等信息 通常还包含有效期,使用权限等其它信息通常还包含有效期,使用权限等其它信息含有可信公钥或证书授权方含有可信公钥或证书授权方CA(certificate authority)的签名的签名知道公钥或证书授权方的公钥的所有人员都可以进行验证知道公钥或证书授权方的公钥的所有人员都可以进行验证例如:例如:X.509标准标准公钥证书公钥证书密钥管理的内容密钥管理的内容 主要内容:密钥的产生、分配和维护。主要内容:密钥的产生、分配和维护。 其中维护涉及密钥的存储、更新、备份
18、、其中维护涉及密钥的存储、更新、备份、恢复、销毁等方面。恢复、销毁等方面。 Public Key Infrastructure公钥基础设施,是一公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务种运用公钥的概念与技术来实施并提供安全服务的具有普遍适用性的网络安全基础设施。的具有普遍适用性的网络安全基础设施。PKI的功能:的功能:q信息的真实性信息的真实性q信息的完整性信息的完整性q信息的机密性信息的机密性q信息的不可抵赖性信息的不可抵赖性PKI数字证书 数字证书:Digital Certificates 实际上是一个计算机文件,如同护照一样。护照项目护照项目数字证书项目数字证书项目姓
19、名(姓名(Full Name)主体名(主体名(Subject name)护照号(护照号(Passport number)序号(序号(Serial number)起始日期(起始日期(Valid from)相同相同终止日期(终止日期(Valid to)相同相同签发者(签发者(Issued by)签发者名(签发者名(Issuer name)照片与签名(照片与签名(Photograph and signature)公钥(公钥(Public key)证书机构 如同护照的签发必须由政府部门一样 数字证书的签发必须有一个权威或第三方信任的组织来做。这就是证书机构 证书机构通常是一些著名的组织,如邮局、财务机
20、构、软件公司等。 世界上最著名的证书机构是VeriSign与Entrust。X.509数字证书字段描述V1字段字段描述描述版本(版本(Verison)标识本数字证书使用的标识本数字证书使用的X.509的版本。的版本。证书序号(证书序号(Certificate Serial Number)包含包含CA产生的唯一整数值产生的唯一整数值签名算法标识符(签名算法标识符(Signature Algorithm Identifier)标识标识CA签名数字证书时使用的算法签名数字证书时使用的算法签发者名(签发者名(Issuer Name)CA区别名(区别名(DN)有效期(之前有效期(之前/之后)之后)(Va
21、lidity(Not Before/Not After)包含两个日期(含日期和时间),精度包含两个日期(含日期和时间),精度为秒或毫秒为秒或毫秒主体名(主体名(Subject Name)证书所指实体(用户或组织)的区别名证书所指实体(用户或组织)的区别名(DN),除非),除非V3扩展中定义了替换名,扩展中定义了替换名,否则这个字段必须有值否则这个字段必须有值主体公钥信息(主体公钥信息(Subject Public Key Information)主体的公钥和与密钥有关的算法,必须主体的公钥和与密钥有关的算法,必须有有X.509数字证书字段描述V2字段字段描述描述签发者唯一标识符(签发者唯一标识
22、符(Issuer Unique Identifier)在两个或多个在两个或多个CA使用相同签发者名字使用相同签发者名字时标识时标识CA主体唯一标识符(主体唯一标识符(Subject Unique Identifier)在两个或多个主体使用相同签发者名时在两个或多个主体使用相同签发者名时标识标识CA证书的生成 关系人图最终用户最终用户最终用户最终用户证书机构CA注册机构RA证书机构任务很多,如签发新证书,维护旧证书、吊销无效证书等。于是将这些工作交给第三方注册机构(RA)来办理。注册机构(RA)是用户与证书机构之间的中间实体,帮助证书机构完成日常工作。证书层次根CA二级CA(A1)二级CA(A2
23、)二级CA(A3)三级CA(B1)三级CA(B2)三级CA(B10)三级CA(B11)AliceBobCA的交叉证书美国的根CA二级CA(A1)二级CA(A3)三级CA(B1)三级CA(B2)三级CA(B10)三级CA(B11)AliceBob中国的根CAAlice认证认证Bob证书的顺序:证书的顺序:BobB11A3Bob的根的根CAAlice的根的根CAPKI-信息传输中的典型案例 PKI-数字证书 q 数字证书是数字证书是PKI体系中最基本的元素,体系中最基本的元素,PKI系统所有的安全操作都是通过数字系统所有的安全操作都是通过数字证书来实现。证书来实现。q 数字证书采用公钥体制,即利用一对数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。互相匹配的密钥进行加密、解密。PKI-完整的公钥加密与签名案例 PKI-数字签名方法图例用户用户George签名与传输文件签名与传输文件Hash原始文档原始文档私有密钥私有密钥数字签名数字签名GeorgeMary加密加密消息摘要消息摘要George的密钥的密钥PKI-数字签名方法图例用户用户Mary的验证过程的验证过程解密解密Hash对比对比GeorgeMary消息摘要消息摘要消息摘要消息摘要公开密钥公开密钥数字签名数字签名原始文档原始文档George的密钥的密钥
