1、第八章 密码学技术课程内容课程内容Internet Internet 加密技术加密技术对称加密方法对称加密方法非对称加密方法非对称加密方法HashHash散列加密方法散列加密方法PKI/CAPKI/CAPKI PKI(Public Key Infrastructure Public Key Infrastructure)公钥基础设施。)公钥基础设施。CA CA(Certificate Authority Certificate Authority)认证中心。)认证中心。密码学与信息安全密码学与信息安全信息的私密性信息的私密性(Privacy)数据在保存和传输过程中是保密的数据在保存和传输过程中
2、是保密的信息的完整性信息的完整性(Integrity)信息在传输的过程中没有被篡改信息在传输的过程中没有被篡改信息的源发鉴别信息的源发鉴别(Authentication)接受信息者能正确确认发送者身份接受信息者能正确确认发送者身份信息的防抵赖性信息的防抵赖性(Non-Reputation)信息发送者不能否认他的操作信息发送者不能否认他的操作信息加密的基本模型信息加密的基本模型三要素:信息明文、密钥、信息密文三要素:信息明文、密钥、信息密文nC=C=E Ek k (P)(P)现代密码学理论,现代密码学理论,“一切秘密存在于密钥之中一切秘密存在于密钥之中”密钥密钥(K)密码分析者密码分析者进行破译
3、分析进行破译分析密码学的历史与发展密码学的历史与发展密码学的演进密码学的演进单表代替单表代替 多表代替多表代替 机械密机械密(恩格玛恩格玛)现代密码学现代密码学(对称与非对称与非对称密码体制对称密码体制)量子密码学量子密码学密码编码学和密码分析学密码编码学和密码分析学应用领域应用领域军事,外交,商业,个人通信,古文化研究等军事,外交,商业,个人通信,古文化研究等密码分析和攻击密码分析和攻击假设破译者假设破译者hackerhacker是在已知密码体制的前提下来破是在已知密码体制的前提下来破test2test2使用的密钥。这个假设称为使用的密钥。这个假设称为KerckhoffKerckhoff原则
4、。最常见的原则。最常见的破解类型如下:破解类型如下:n 唯密文攻击:唯密文攻击:hackerhacker具有密文串具有密文串y.y.n 已知明文攻击已知明文攻击:hacker:hacker具有明文串具有明文串x x和相应的密文和相应的密文y.y.n 选择明文攻击:选择明文攻击:hackerhacker可获得对加密机的暂时访问,因此他能可获得对加密机的暂时访问,因此他能选择明文串选择明文串x x并构造出相应的密文串并构造出相应的密文串y y。n 选择密文攻击选择密文攻击:hacker:hacker可暂时接近密码机可暂时接近密码机,可选择密文串可选择密文串y y,并,并构造出相应的明文构造出相应的
5、明文x.x.n 软磨硬泡软磨硬泡(Rubber-hose)攻击攻击这一切的目的在于这一切的目的在于破译出密钥唯密文攻击唯密文攻击密码分析者有消息的密文,这些消息都用同一加密算法加密密码分析者有消息的密文,这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文,或者最好是能。密码分析者的任务是恢复尽可能多的明文,或者最好是能推算出加密消息的密钥来,以便可采用相同的密钥解出其推算出加密消息的密钥来,以便可采用相同的密钥解出其他被加密的消息。他被加密的消息。已知明文攻击已知明文攻击 密码分析者不仅可得到一些消息的密文,而且也知道密码分析者不仅可得到一些消息的密文,而且也知道这些消息的明文
6、。分析者的任务就是用加密信息推出用这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法,此算法可以对用同一密来加密的密钥或导出一个算法,此算法可以对用同一密钥加密的任何新的消息进行解密。钥加密的任何新的消息进行解密。选择明文攻击选择明文攻击 密码分析者有短暂的机会接触加密机。他不能打开密码分析者有短暂的机会接触加密机。他不能打开机器来找密钥,但可以加密大量经过适当选择的明文机器来找密钥,但可以加密大量经过适当选择的明文,然后试着利用所得的密文来推断密钥。,然后试着利用所得的密文来推断密钥。选择密文攻击选择密文攻击 密码分析者能选择不同的被加密的密文,并可得到密码分析者能选
7、择不同的被加密的密文,并可得到对应的解密的明文,例如密码分析者存取一个防窜改的对应的解密的明文,例如密码分析者存取一个防窜改的自动解密盒,密码分析者的任务是推出密钥。自动解密盒,密码分析者的任务是推出密钥。这种攻击主要用于公开密钥体制,选择密文攻击有时也可这种攻击主要用于公开密钥体制,选择密文攻击有时也可有效地用于对称算法(有时选择明文攻击和选择密文攻有效地用于对称算法(有时选择明文攻击和选择密文攻击一起称作选择文本攻击。)击一起称作选择文本攻击。)软磨硬泡软磨硬泡(Rubber-hose)(Rubber-hose)攻击攻击 密码分析者威胁、勒索,或者折磨某人,直到他给密码分析者威胁、勒索,或
8、者折磨某人,直到他给出密钥为止。行贿有时称为购买密钥攻击。这些是非出密钥为止。行贿有时称为购买密钥攻击。这些是非常有效的攻击,并且经常是破译算法的最好途径。常有效的攻击,并且经常是破译算法的最好途径。密码体制分类密码体制分类对称密码体制:加密和解密的密码算法和密钥相同对称密码体制:加密和解密的密码算法和密钥相同nC=EC=En n(K(K,T)T=DT)T=Dn n(K(K,C)C),E En n 、D Dn n相同相同n典型代表:伪随机序列、典型代表:伪随机序列、DESDES、.3DES.RC.3DES.RC系列系列.IDEA.IDEA非对称密码体制:加密和解密的密钥不同非对称密码体制:加密
9、和解密的密钥不同nC=EC=En n(K(Ke e,T)T=DT)T=Dn n(K(Kd d,C)C),K Ke e 、K Kd d不同且不能相互推导不同且不能相互推导n典型代表:典型代表:RSARSA、DSADSA、椭圆曲线、椭圆曲线单向散列函数:作用于一任意长度的消息单向散列函数:作用于一任意长度的消息M M,返回固定,返回固定的散列值的散列值h hnh=H(M)h=H(M)或或 h=H(Kh=H(K,M)M)nM M的样本空间一般大于的样本空间一般大于h h的样本空间的样本空间n典型代表:典型代表:MD5MD5、SHASHA对称加密对称加密特点:加密和解密的密钥相同特点:加密和解密的密钥
10、相同优点:速度快优点:速度快缺点:缺点:密钥的传输和保管存在问题密钥的传输和保管存在问题通信双方必须统一密钥通信双方必须统一密钥数字签名困难数字签名困难 常用算法:常用算法:DES,3DES,IDEA,AESDES,3DES,IDEA,AESDESDES数据加密标准(数据加密标准(Data Encryption StandardData Encryption Standard,DESDES)是美国国家标准局)是美国国家标准局开始研究除国防部以外的其它部门的计算机系统的数据加密标准。开始研究除国防部以外的其它部门的计算机系统的数据加密标准。DESDES是一个分组加密算法,它以是一个分组加密算法,
11、它以6464位为分组对数据加密。位为分组对数据加密。DESDES是一个对称算法:是一个对称算法:输入的明文为输入的明文为64位,密钥为位,密钥为56位,生成的密位,生成的密文为文为64位;位;DES是第一个得到广泛应用的密码算法;是第一个得到广泛应用的密码算法;DESDESDESDES使用使用5656位密钥。实际上,最初的密钥为位密钥。实际上,最初的密钥为6464位,但在位,但在DESDES过过程开始之前放弃密钥的每个第八位,从而得到程开始之前放弃密钥的每个第八位,从而得到5656位密钥位密钥,即放弃第,即放弃第8 8、1616、2424、3232、4040、4848、5656和和6464位,
12、可以用位,可以用这些位进行奇偶校验,保证密钥中不包含任何错误这些位进行奇偶校验,保证密钥中不包含任何错误 3DES(33DES(3个密码的个密码的3DES)3DES)三重三重DESDES就是三次执行就是三次执行DESDES,分为两大类:一种用三个密钥,分为两大类:一种用三个密钥,一种用两个密钥,一种用两个密钥,三个密钥的三重三个密钥的三重DESDES是首先用密钥是首先用密钥K1K1加密明文块加密明文块P P,然,然后用密钥后用密钥K2K2加密,最后用密钥加密,最后用密钥K3K3加密,其中加密,其中K1K1、K2K2、K3K3各不相同。各不相同。IDEAIDEAXuejia Lai和和James
13、 Massey提出;提出;IDEA是对称、分组密码算法,输入明文为是对称、分组密码算法,输入明文为64位,密钥为位,密钥为128位,生成位,生成的密文为的密文为64位;位;IDEA是一种相对较新的算法,虽有坚实的理论基础,但仍应谨慎使是一种相对较新的算法,虽有坚实的理论基础,但仍应谨慎使用用(尽管该算法已被证明可对抗差分分析和线性分析尽管该算法已被证明可对抗差分分析和线性分析);IDEA是一种专利算法是一种专利算法(在欧洲和美国在欧洲和美国),专利由,专利由Ascom-Tech AG拥有拥有;PGP(Pretty Good Privacy)中电子邮件隐私技术已实现了)中电子邮件隐私技术已实现了
14、IDEA;非对称加密非对称加密特点:有一对密钥,用于相互加密和解密,也常被称为公特点:有一对密钥,用于相互加密和解密,也常被称为公钥加密方法钥加密方法公钥(公钥(Public KeyPublic Key)和私钥()和私钥(Private KeyPrivate Key)n公钥和私钥是成对生成的,这两个密钥互不相同公钥和私钥是成对生成的,这两个密钥互不相同n不能根据一个密钥而推算出另外一个密钥不能根据一个密钥而推算出另外一个密钥n公钥对外公开,私钥只有私钥的持有人才知道公钥对外公开,私钥只有私钥的持有人才知道 n私钥应该由密钥的持有人妥善保管私钥应该由密钥的持有人妥善保管 常见算法:常见算法:RS
15、A,ECCRSA,ECC(移动设备用)、(移动设备用)、Diffie-HellmanDiffie-Hellman、DSADSA(数字签名用)(数字签名用)非对称加密非对称加密优点:优点:n私有密钥只有持有者拥有私有密钥只有持有者拥有n密钥少,便于管理。密钥少,便于管理。n密钥分配简单密钥分配简单n可以实现数字签名可以实现数字签名缺点:缺点:n处理速度慢,相比对称加密算法差几个数量级处理速度慢,相比对称加密算法差几个数量级散列函数散列函数(哈希算法)哈希算法)将任意长度的二进制值映射为固定长度的较小二进制将任意长度的二进制值映射为固定长度的较小二进制,这个小的二进制值称为哈希值。哈希值是一段数据
16、,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式唯一且极其紧凑的数值表示形式特点:特点:作用于一任意长度的消息作用于一任意长度的消息M M,返回固定的散列摘要值,返回固定的散列摘要值h h具有单向不可逆行具有单向不可逆行摘要值定长摘要值定长速度极快速度极快典型代表:典型代表:MD5MD5、SHASHAMDMD系列系列Ron Rivest设计的系列杂凑函数系列设计的系列杂凑函数系列:nMD4128MD4128位位,1995;RFC1320,1995;RFC1320nMD5MD5是是MD4MD4的改进型的改进型128128位,位,RFC1321RFC1321nMD2RFC
17、1319,MD2RFC1319,已被已被RogierRogier等于等于19951995年攻破年攻破较早被标准化组织较早被标准化组织IETF接纳,并已获得广泛应用接纳,并已获得广泛应用SHASHA和和SHA-1SHA-1SHA:安全散列算法安全散列算法(Secure Hash Aigorithm)修改的版本被称为修改的版本被称为SHA-1SHA/SHA-1采用了与采用了与MD4相似的设计准则,其结构也类似于相似的设计准则,其结构也类似于MD4,但其输出为,但其输出为160位位目前还没有针对目前还没有针对SHA很有效的攻击很有效的攻击加密技术的应用加密技术的应用虽然有多种加密方法,但在实际应用当
18、中有时是多种加密虽然有多种加密方法,但在实际应用当中有时是多种加密方法一起配合使用,来弥补各自的缺点来完成加密应用的方法一起配合使用,来弥补各自的缺点来完成加密应用的,当然也有就只有用一种加密技术的应用,比如:系统登,当然也有就只有用一种加密技术的应用,比如:系统登录密码的加密就只用到录密码的加密就只用到 散列函数散列函数常见的加密技术应用常见的加密技术应用PKI/CAPKI/CAEFSEFSSSL WEBSSL WEB(httpshttps)IPSEC VPNIPSEC VPNPKI/CAPKI/CA发展历程发展历程源动力源动力电子商务对认证的需求PKI/CAPKI/CA发展历程发展历程安全
19、要素安全要素1.1你是谁?RickMaryInternet/Intranet应用系统1.2怎么确认你就是你?l认证认证1.1我是Rick.1.2 口令是1234.l授权授权l保密性保密性l完整性完整性l防抵赖防抵赖2.我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3.我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.PKI/CAPKI/CA发展历程发展历程安全要素安全要素l认证认证我不认识你我不认识你!-!-你是谁?你是谁?我怎么相信你就是你我怎么相信你就是你?-?-要是别人冒充你怎么办要是别人冒充你怎么办?l授权授权我
20、能干什么我能干什么?-?-我有什么权利我有什么权利?你能干这个你能干这个,不能干那个不能干那个.l保密性保密性我与你说话时我与你说话时,别人能不能偷听别人能不能偷听?l完整性完整性收到的传真不太清楚收到的传真不太清楚?传送过程过程中别人篡改过没有传送过程过程中别人篡改过没有?l防抵赖防抵赖我收到货后我收到货后,不想付款不想付款,想抵赖想抵赖,怎么样怎么样?我将钱寄给你后我将钱寄给你后,你不给发货你不给发货,想抵赖想抵赖,如何如何?PKI/CAPKI/CA发展历程发展历程认证使用无所不在认证使用无所不在认证贯穿每一天:早晨、白天、晚上认证贯穿每一天:早晨、白天、晚上父母父母/亲戚亲戚/朋友对自己
21、的认证朋友对自己的认证学校上课对学生的认证学校上课对学生的认证机场安检对个人的认证机场安检对个人的认证电话购火车票,现场取票时认证电话购火车票,现场取票时认证彩票中奖后领奖时认证彩票中奖后领奖时认证电信公司对固话用户的认证电信公司对固话用户的认证移动公司对手机用户的认证移动公司对手机用户的认证 PKI/CAPKI/CA发展历程发展历程时间历程时间历程19761976年,提出年,提出RSARSA算法算法2020世纪世纪8080年代,美国学者提出了年代,美国学者提出了PKIPKI的概念的概念为了推进为了推进PKIPKI在联邦政府范围内的应用,在联邦政府范围内的应用,19961996年就成立了联邦年
22、就成立了联邦PKIPKI指导委员会指导委员会19961996年,以年,以VisaVisa、MastCardMastCard、IBMIBM、NetscapeNetscape、MSMS、数家银行、数家银行推出推出SETSET协议,推出协议,推出CACA和证书概念和证书概念19991999年,年,PKIPKI论坛成立论坛成立20002000年年4 4月,美国国防部宣布要采用月,美国国防部宣布要采用PKIPKI安全倡议方案。安全倡议方案。20012001年年6 6月月1313日,在亚洲和大洋洲推动日,在亚洲和大洋洲推动PKIPKI进程的国际组织宣告进程的国际组织宣告成立,该国际组织的名称为成立,该国际
23、组织的名称为“亚洲亚洲PKIPKI论坛论坛”,其宗旨是在,其宗旨是在亚洲地区推动亚洲地区推动PKIPKI标准化,为实现全球范围的电子商务奠定标准化,为实现全球范围的电子商务奠定基础基础 PKI/CAPKI/CA发展历程发展历程亚洲亚洲PKIPKI论坛论坛包括中国包括中国.日本日本.韩国韩国.新加坡新加坡.中国香港中国香港.中国台北和马来西亚。中国台北和马来西亚。亚洲亚洲PKIPKI论坛以促进亚太地区国家、区域间的论坛以促进亚太地区国家、区域间的PKIPKI共用、共用、PKIPKI在电在电子商务中的推广应用为宗旨;以促进亚太地区实现跨边界、无子商务中的推广应用为宗旨;以促进亚太地区实现跨边界、无
24、局限的电子商务、促进成员间的合作,协调跨边界事宜及寻求局限的电子商务、促进成员间的合作,协调跨边界事宜及寻求解决办法、服务于所有成员方的共同利益为首要目标。论坛的解决办法、服务于所有成员方的共同利益为首要目标。论坛的主要活动包括:主要活动包括:召开信息交流会,促进召开信息交流会,促进PKIPKI制度及技术的跨国界协调;制度及技术的跨国界协调;推动确定课题所需的调查、验证实验以及工作组活动;推动确定课题所需的调查、验证实验以及工作组活动;有效地协调与其他地区各类电子商务活动的合作;有效地协调与其他地区各类电子商务活动的合作;参与参与PKIPKI技术标准化和成员间互操作活动;技术标准化和成员间互操
25、作活动;研讨电子交易的相关法律、法规。研讨电子交易的相关法律、法规。论坛还呼吁加强亚洲国家和地区与美国论坛还呼吁加强亚洲国家和地区与美国PKIPKI论坛、欧洲论坛、欧洲EESSIEESSI等等PKIPKI组织的联系,促进国际间组织的联系,促进国际间PKIPKI互操作体系的建设与发展。互操作体系的建设与发展。PKI/CAPKI/CA发展历程发展历程中国中国PKIPKI论坛论坛经国家计委批准成立的非营利性跨行业中介组织经国家计委批准成立的非营利性跨行业中介组织是国家授权与国外有关是国家授权与国外有关PKIPKI机构和组织沟通的窗口机构和组织沟通的窗口中国中国PKIPKI论坛现任亚洲论坛现任亚洲PK
26、IPKI论坛副主席论坛副主席中国中国PKIPKI论坛目前挂靠在国家信息中心论坛目前挂靠在国家信息中心其网址为其网址为 PKI/CAPKI/CA发展历程发展历程什么是什么是PKIPKIPKIPKI就是利用公共密钥理论和技术建立的提供安全服务就是利用公共密钥理论和技术建立的提供安全服务的基础设施。的基础设施。所谓基础设施,就是在某个大环境下普遍适用的系统所谓基础设施,就是在某个大环境下普遍适用的系统和准则。和准则。在现实生活中有一个大家熟悉的例子,在现实生活中有一个大家熟悉的例子,这就是电力系统,它提供的服务是电能这就是电力系统,它提供的服务是电能我们可以把电灯、电视、电吹风机等看成是电力系统这个
27、基我们可以把电灯、电视、电吹风机等看成是电力系统这个基础设施的一些应用。础设施的一些应用。公共密钥基础设施公共密钥基础设施(PKI)(PKI)则是希望从技术上解决网上身则是希望从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用(如浏览器、电子邮件、电子交易)提供为网络应用(如浏览器、电子邮件、电子交易)提供可靠的安全服务。可靠的安全服务。PKI/CAPKI/CA发展历程发展历程什么是什么是PKIPKIPublic Key Infrastructure,公钥基础结构,公钥基础结构通过公钥技术与数字证书确保信息安全的体系通过
28、公钥技术与数字证书确保信息安全的体系由公钥加密技术、数字证书、由公钥加密技术、数字证书、CA、RA等共同组成等共同组成PKI体系能够实现的功能有体系能够实现的功能有身份认证身份认证数据完整性数据完整性数据机密性数据机密性操作的不可否认性操作的不可否认性公钥加密技术公钥加密技术公钥加密技术是公钥加密技术是PKIPKI的基础的基础公钥(公钥(Public KeyPublic Key)和私钥()和私钥(Private KeyPrivate Key)n公钥和私钥是成对生成的,这两个密钥互不相同,两个密钥可以公钥和私钥是成对生成的,这两个密钥互不相同,两个密钥可以互相加密和解密互相加密和解密 n不能根据
29、一个密钥而推算出另外一个密钥不能根据一个密钥而推算出另外一个密钥n公钥对外公开,私钥只有私钥的持有人才知道公钥对外公开,私钥只有私钥的持有人才知道 n私钥应该由密钥的持有人妥善保管私钥应该由密钥的持有人妥善保管 根据实现的功能不同,可以分为根据实现的功能不同,可以分为数据加密数据加密和和数字签名数字签名PKI/CAPKI/CA标准与协议标准与协议基础标准基础标准/协议协议算法标准q数字签名n身份认证身份认证n数据完整性数据完整性n操作的不可否认性操作的不可否认性MaryRick明文Mary的私有密钥加密摘要技术Mary的公开密钥解密明文数字签名摘要摘要摘要技术摘要比较?相同-通过不相同-失败制
30、作数字签名制作数字签名验证数字签名验证数字签名PKI/CAPKI/CA标准与协议标准与协议基础标准基础标准/协议协议算法标准q数据加密数据机密性数据机密性Rick明文密文Rick的公开密钥加密对称密钥加密(随机会话密钥)密文Rick自己的私有密钥解密明文对称密钥解密(随即会话密钥)数字信封制作数字信封制作数字信封解开数字信封解开数字信封什么是证书什么是证书证书用于保证密钥的合法性证书用于保证密钥的合法性证书把公钥与拥有对应私钥的主体标识信息捆绑在一起证书把公钥与拥有对应私钥的主体标识信息捆绑在一起证书的主体可以是用户、计算机、服务等证书的主体可以是用户、计算机、服务等证书格式遵循证书格式遵循X
31、.509X.509标准标准X.509X.509是由国际电信联盟制定的数字证书标准是由国际电信联盟制定的数字证书标准n使用者的公钥值使用者的公钥值n使用者标识信息(如名称和电子邮件地址)使用者标识信息(如名称和电子邮件地址)n有效期(证书的有效时间)有效期(证书的有效时间)n颁发者标识信息颁发者标识信息n颁发者的数字签名颁发者的数字签名 什么是证书什么是证书证书可以应用于证书可以应用于nWebWeb服务器身份验证服务器身份验证nWebWeb用户身份验证用户身份验证n安全电子邮件安全电子邮件nInternetInternet协议安全协议安全(IPSec)(IPSec)数字证书由权威公正的第三方机构
32、即数字证书由权威公正的第三方机构即CACA签发签发CACA的作用的作用CACA(Certificate AuthorityCertificate Authority,证书颁发机构),证书颁发机构)CACA的核心功能是颁发和管理数字证书的核心功能是颁发和管理数字证书 CACA的作用的作用n处理证书申请处理证书申请n鉴定申请者是否有资格接收证书鉴定申请者是否有资格接收证书n证书的发放证书的发放n证书的更新证书的更新n接收最终用户数字证书的查询、撤销接收最终用户数字证书的查询、撤销n产生和发布证书吊销列表(产生和发布证书吊销列表(CRLCRL)n数字证书的归档数字证书的归档n密钥归档密钥归档n历史数
33、据归档历史数据归档证书发放过程证书发放过程用户RACA1证书申请2RA确认用户3处理策略4RA提交申请信息到CA证书目录56CA将证书传给RA7RA将证书传给用户/用户自己取回证书验证基于基于PKIPKI技术的协议技术的协议SSLSSLn认证用户和服务器,确保数据发送到正确的客户机和服务器认证用户和服务器,确保数据发送到正确的客户机和服务器n加密数据以防止数据中途被窃取加密数据以防止数据中途被窃取n维护数据的完整性,确保数据在传输过程中不被改变维护数据的完整性,确保数据在传输过程中不被改变EFSEFSNTFSNTFS加密文件系统加密文件系统HttpsHttpsn使用使用SSLSSL来实现安全的通信来实现安全的通信IPSecIPSecn目前已经成为最流行的目前已经成为最流行的VPNVPN解决方案解决方案
