上海交大密碼學(xué)課件第14講：安全實(shí)踐

1、第十五講：安全實(shí)踐第十五講：安全實(shí)踐鄭東上海交通大學(xué)計(jì)算機(jī)科學(xué)系 14 實(shí)踐中的安全實(shí)踐中的安全, 用戶識別用戶識別 n密碼學(xué)應(yīng)用n安全 email (s/mime, pgp), n用戶身份識別問題. 1. 實(shí)踐中的安全實(shí)踐中的安全 email-安全安全email 是使用最廣泛的網(wǎng)絡(luò)業(yè)務(wù) 消息不安全 可以在傳輸過程被竊聽可以在目的地被竊聽 2. email 安全服務(wù)安全服務(wù) n機(jī)密性n認(rèn)證性 n消息完整性n消息不可否認(rèn)性 3. 安全安全 email 實(shí)施實(shí)施n需要利用公鑰算法及證書機(jī)制進(jìn)行密鑰交換及認(rèn)證n使用對稱加密算法 4. pem & s/mime npem 是安全 email標(biāo)準(zhǔn)

2、 ns/mime（安全/通用internet郵件擴(kuò)充）n保密性 - des 加密 n完整性- des encrypted hash (md2/md5) n認(rèn)證性 - des 或 rsa 加密的hash n不可否認(rèn)性 - rsa 加密的hash n密鑰管理：n中心在線-私鑰服務(wù)器n公鑰證書，使用 x.509 強(qiáng)認(rèn)證 n由證書機(jī)構(gòu)簽發(fā)ca) ns/mime 修改版本:n使用 des, triple-des, rc2nx.509 證書5. pgpnpretty good privacy n廣泛使用的安全 email 標(biāo)準(zhǔn)nphil zimmermann 開發(fā)n可以用在 unix, pc, macin

3、tosh and amiga systems n最初是免費(fèi)的! 現(xiàn)在已有商業(yè)版n保密性 - idea encryption n完整性 - rsa encrypted mic (md5) n認(rèn)證與不可否認(rèn)性 - rsa encrypted mic npgp公鑰管理（參見書p292) 6. pgp程序程序n所有的 pgp功能有一個(gè)程序運(yùn)行n必須集成在 email/news n每個(gè)用戶要有一個(gè)已知的密鑰環(huán)n包括公開密鑰和私鑰 (用口令保護(hù)) n公開密鑰可以直接傳送n公鑰對由可信方簽發(fā)n用于簽名或加密n用于驗(yàn)證接收到的消息8. pgp 8. pgp 使用使用 n現(xiàn)在可以合法被任何人使用: n非商業(yè)版可

4、以合法使用 (in us/canada ）with licenced mit version n商業(yè)版本是 viacrypt version（ in us/canada ）n其它國家的非商業(yè)應(yīng)用（ outside the us） 是國際版本（ international version ）n國際版的商業(yè)應(yīng)用需要idea許可證（ 美國以外使用）9.pgp服務(wù)功能n數(shù)字簽名 dss/sha或rsa/shan消息加密 cast-128或idea或3des + diffie-hellman或rsan數(shù)據(jù)壓縮 使用zip對報(bào)文壓縮，用于存儲或傳輸n郵件兼容 加密的報(bào)文可以使用64基轉(zhuǎn)換算法轉(zhuǎn)換成asci

5、i字符（radix 64）n數(shù)據(jù)分段n-為滿足最大報(bào)文長度的限制，pgp完成報(bào)文的分段和重新裝配ks: session keykra : 用戶a的私鑰kua: 用戶a的公鑰ep: 公鑰加密dp: 公鑰解密ec: 常規(guī)加密dc: 常規(guī)加密h: 散列函數(shù)|: 連接z: 用zip算法數(shù)據(jù)壓縮r64 : 用radix64轉(zhuǎn)換到ascii格式9.1記號說明9.2 只進(jìn)行鑒別的服務(wù)n圖a 的步驟：n1. 發(fā)送者創(chuàng)建報(bào)文n2. 使用sha-1生成160bit散列碼n3. 使用發(fā)送者私鑰,采用rsa算法,對散列碼簽名,并串接在報(bào)文前面n4. 接收者使用發(fā)送者的公鑰,驗(yàn)證簽名結(jié)果 9.3 只保證機(jī)密性的服務(wù)n圖

6、bn1. 發(fā)送者生成報(bào)文和對稱加密的會話密鑰n2.采用cast-128(或idea,3des),使用會話密鑰對壓縮的報(bào)文加密n3. 采用rsa,使用接收者的公開密鑰,對對會話密鑰加密,并附加在報(bào)文前n4. 接收者采用rsa算法,使用自己的私有密鑰對會話密鑰進(jìn)行解密n5.使用會話密鑰解密報(bào)文n圖cn1.先對報(bào)文生成簽名，并附加在報(bào)文首部，n2。利用對稱算法，對明文和簽名加密，n3。使用rsa對會話密鑰進(jìn)行加密。9.4 鑒別與機(jī)密性服務(wù)9.5 數(shù)據(jù)壓縮n發(fā)生在簽名后、加密前。n對郵件傳輸或存儲都有節(jié)省空間的好處。9.6 分段與重組nemail常常受限制于最大消息長度（一般限制在最大50000字節(jié)）

7、n更長的消息要進(jìn)行分段，每一段分別郵寄。npgp自動分段，（在其它處理完成之后進(jìn)行）并在接收時(shí)自動恢復(fù)。n簽名只需一次，在第一段中。pgp報(bào)文的傳輸和接收10 加密密鑰和鑰匙環(huán)npgp使用四種類型的密鑰：一次性會話傳統(tǒng)密鑰，公鑰，私鑰，基于口令短語的常規(guī)密鑰。n三種獨(dú)立的需求： 1、需要一種生成不可預(yù)知的會話密鑰的方法 2、允許用戶有多個(gè)公開/私有密鑰對。需要某種方法來標(biāo)識具體的密鑰。 3、每個(gè)pgp實(shí)體必須維護(hù)一個(gè)保存其公鑰/私鑰對文件，及保存通信對方公鑰的文件。10.1會話密鑰的生成n128位的隨機(jī)數(shù)是由cast-128自己生成的。輸入包括一個(gè)128位的密鑰和兩個(gè)64位的數(shù)據(jù)塊作為加密的輸

8、入。使用cfb方式，cast-128產(chǎn)生兩個(gè)64位的加密數(shù)據(jù)塊，這兩個(gè)數(shù)據(jù)塊的結(jié)合構(gòu)成128位的會話密鑰。（算法基于ansi x12.17）n作為明文輸入的兩個(gè)64位數(shù)據(jù)塊，是從一個(gè)128位的隨機(jī)數(shù)流中導(dǎo)出的。這些數(shù)是基于用戶的鍵盤輸入的。鍵盤輸入時(shí)間和內(nèi)容用來產(chǎn)生隨機(jī)流。因此，如果用戶以他通常的步調(diào)敲擊任意鍵，將會產(chǎn)生合理的隨機(jī)性。n參見附錄12c10.2 密鑰標(biāo)識符n一個(gè)用戶有多個(gè)公鑰/私鑰對時(shí)，接收者如何知道發(fā)送者是用了哪個(gè)公鑰來加密會話密鑰？ 將公鑰與消息一起傳送。（浪費(fèi)空間） 將一個(gè)標(biāo)識符與一個(gè)公鑰關(guān)聯(lián)。對一個(gè)用戶來說做到一一對應(yīng)。npgp的解決方法：n定義keyid 包括64個(gè)有效

9、位：(kua mod 264)npgp的數(shù)字簽名也需要keyid。（接受者必須知道用哪個(gè)密鑰驗(yàn)證）會話密鑰部分keyid of recipientspublic key (kub)session key(ks)timestampkeyid of senderspublic key (kua)leading two octetsof message digestmessage digest簽名filenametimestampdata報(bào)文ekubekrazipeksr64contentoperationpgp消息的一般格式（a to b)10.3 密鑰環(huán)n私有密鑰環(huán)的一般結(jié)構(gòu) 時(shí)間戳 密鑰id

10、公開密鑰： 私有密鑰：密鑰對的私有密鑰部分（加密的內(nèi)容） 用戶id，典型值是電子郵件，也可以選取其它值?？梢杂糜脩鬷d或密鑰id來索引鑰匙環(huán)n密鑰環(huán)的結(jié)構(gòu)pgp報(bào)文生成pgp報(bào)文接收10.4 pgp公鑰管理n由于pgp廣泛地在正式或非正式環(huán)境下應(yīng)用，沒有建立嚴(yán)格的公鑰管理模式。n密鑰管理的重要性如果a的公鑰環(huán)上有一個(gè)從bbs上獲得b發(fā)布的公鑰，但已暴露給c了，這是就存在兩條通道。c可以向a發(fā)信并冒充b的簽名，a以為是來自b；a與b的任何加密消息c都可以讀取。n若干種方法可用為了防止a的公鑰環(huán)上包含錯(cuò)誤的公鑰，有4種于降低這種風(fēng)險(xiǎn)。10.5 四種方法1、物理上得到b的公鑰。2、通過電話驗(yàn)證公鑰。

11、 b將其公鑰email給a，a可以用pgp對該公鑰生成一個(gè)160位的sha-1摘要，并以16進(jìn)制顯示。這一特點(diǎn)稱作密鑰的“指紋”。然后a打電話給b，讓b在電話中對證“指紋”。如果雙方一致，則該公鑰被認(rèn)可。3、從雙方都信任的個(gè)體d處獲得b的公鑰。 d是介紹人，生成一個(gè)簽名的證書。其中包含b的公鑰，密鑰生成時(shí)間。d對該證書生成一個(gè)sha-1摘要，用其私鑰加密這個(gè)摘要，并將其附加在證書后。因?yàn)橹挥衐能夠產(chǎn)生這個(gè)簽名，沒有人可以生成一個(gè)錯(cuò)誤的公鑰并假裝是d簽名的。這個(gè)簽名的證書可以由b或d直接發(fā)給a，也可以貼到公告牌上。4、從一個(gè)信任的ca中心得到b的公鑰。11.s/mimens/mime(安全/通用

12、internet郵件擴(kuò)充：secure/multipurpose internet mail extension)ns/mime可能作為商業(yè)和組織使用的工業(yè)標(biāo)準(zhǔn)，pgp作為個(gè)人安全電子郵件的選擇11.1 rfc822nrfc 822 定義了使用電子郵件發(fā)送正文報(bào)文的格式。nrfc 822 標(biāo)準(zhǔn)結(jié)構(gòu)簡單: -一些首部行及正文主體組成.例:見p296.11.2 通用internet 郵件擴(kuò)充mimenmime 是rfc822框架的擴(kuò)充, 是為了解決使用smtp或其他郵件傳輸協(xié)議以及rfc822 傳遞郵件的一些問題和局限11.3 mime 概述nmime 規(guī)約: 1. 定義了5個(gè)新的,可以包含在rf

13、c 822 報(bào)文首部的字段,這些字段提供了有關(guān)報(bào)文主體的信息. 2. 定義了一組內(nèi)容格式,標(biāo)準(zhǔn)化了支持多媒體電子郵件的表示 3. 定義了傳送編碼,使得任何格式的內(nèi)容都可以轉(zhuǎn)換成一種保護(hù)于不同郵件系統(tǒng)之外的形式 11.4 s/mime 的功能n與pgp功能相似-加密-簽名-?-簽名并且加密的數(shù)據(jù)12. 用戶的身份鑒別n用戶身份鑒別 (identity verification) -向系統(tǒng)證明你的身份-在系統(tǒng)向你提供服務(wù)之前n用戶鑒別基于三種方法 -你知道什么 -你有什么 -你是什么 12.1 用戶身份鑒別方法n用戶提供的信息與用戶信息表對應(yīng)，如個(gè)一致，驗(yàn)證通過。12.2 你知道什么口令或口令短語

14、n先為用戶注冊提供用戶名和口令短語 n通過驗(yàn)證口令的正確性鑒別用戶身份n在有些系統(tǒng), 口令以明文的形式存儲，現(xiàn)在認(rèn)為是不安全 n常使用一個(gè)單向函數(shù)，有輸出值難以計(jì)算輸入值n可以取固定大小的輸入 (eg 8 chars) n或采用hash函數(shù)，可以接受任意大小的輸入n需要精心選擇口令，防止對窮搜索攻擊12.3 你知道什么一次性口令n傳統(tǒng)口令存在的問題在不安全信道上傳輸口令容易被竊聽n一種解決方法：使用一次性口令 -這些口令都是使用一次 -下一個(gè)口令不能由前面的口令預(yù)料n或提前生成口令列表，每次使用一個(gè)n或利用單向函數(shù)生成序列？12.4 你有什么?n通過驗(yàn)證用戶擁有某些對象對身份進(jìn)行鑒別(常與口令聯(lián)系在一起)n被動的或主動的n被動的對象常常是磁卡或磁性電鍵