網(wǎng)絡安全培訓教程--密碼學應用篇

1、1 張博張博 博士生博士生/ /研究生會主席研究生會主席西工大網(wǎng)絡信息安全中心西工大網(wǎng)絡信息安全中心西工大計算機學院多媒體與網(wǎng)絡安全研究室西工大計算機學院多媒體與網(wǎng)絡安全研究室2主要內容 v數(shù)字信封v數(shù)字指紋v數(shù)字證書v數(shù)字簽名v數(shù)字水印密碼管理密碼學的應用 3一、密碼學通常的作用 公鑰密碼(雙鑰密碼、非對稱密碼），是1976年由Diffie和Hellman在其“密碼學新方向”一文中提出的單向陷門函數(shù)是滿足下列條件的函數(shù)f：(1)給定x，計算y=f(x)是容易的；(2)給定y, 計算x使y=f(x)是非常困難的，無實際意義。(3)存在，已知 時,對給定的任何y，若相應的x存在，則計算x使y=f

2、(x)是容易的。注：1*. 僅滿足(1)、(2)兩條的稱為單向函數(shù)；第(3)條稱為陷門性， 稱為陷門信息。 密碼學的應用 4一、密碼學通常的作用 2*. 當用陷門函數(shù)f作為加密函數(shù)時，可將f公開，這相當于公開加密密鑰。此時加密密鑰便稱為公開密鑰，記為Pk。 f函數(shù)的設計者將 保密，用作解密密鑰，此時 稱為秘密鑰匙，記為Sk。由于加密函數(shù)是公開的，任何人都可以將信息x加密成y=f(x)，然后送給函數(shù)的設計者（可以通過不安全信道傳送）；由于設計者擁有Sk，他自然可以解出x=f-1(y)。 3*.單向陷門函數(shù)的第(2)條性質表明竊聽者由截獲的密文y=f(x)推測x是不可行的。密碼學的應用5Diffi

3、e-Hellman 密鑰交換算法密鑰交換算法 Diffie 和Hellman 并沒有給出公鑰密碼實例，也既沒能找出一個真正帶陷門陷門的單向函數(shù)。然而，他們給出單向函數(shù)的實例，并且基于此提出D-H密鑰交換算法。這個算法是基于有限域中計算離散對數(shù)的困難性問題之上的：對任意正整數(shù)x，計算gx 是容易的；但是已知g和y求x使y= gx，是計算上幾乎不可能的。這稱為有限域上的離散對數(shù)問題。公鑰密碼學中使用最廣泛的有限域為素域FP 。D-H密鑰交換算法擁有美國和加拿大的專利。 密碼學的應用6D-H密鑰交換協(xié)議：A和B協(xié)商一個大素數(shù)p和大整數(shù)g，1gp，g最好是FP中的本原元，即gx mod p可生成1p-

4、1中的各整數(shù)，p和g公開。當A和B按如下步驟進行保密通信：(1)A取大的隨機數(shù)x，并計算 X= gx (mod P)(2)B選取大的隨機數(shù)y，并計算Y = gy (mod P)(3)A將X傳送給B；B將Y傳送給A。(4)A計算K=YX(mod P)；B計算K Xy (mod P),易見，K=K =g xy (mod P)。 A和B已獲得了相同的秘密值K。雙方以K作為加解密鑰以傳統(tǒng)對稱密鑰算法進行保密通信。 密碼學的應用7公開密鑰算法的主要特點如下： ）用加密密鑰PK對明文A加密后得到密文，再用解密 密 鑰 S K 對 密 文 解 密 ， 即 可 恢 復 出 明 文 A 。 DSK(EPK(A)

5、A ）加密密鑰不能用來解密，即： DPK(EPK(A)A ；DSK(SK(A)A ）用SK加密的信息只能用PK解密；用PK加密的信息只能用SK解密。 ）從已知的PK不可能推導出SK。 ）加密和解密的運算可對調：EPK(DSK(A)A 密碼學的應用8一、密碼學通常的作用 維持機密性維持機密性 加密，讓別人看不懂傳輸中的公共信道和存儲的計算機系統(tǒng)非常脆弱，系統(tǒng)容易受到被動攻擊（截取、偷竊、拷貝信息），主動攻擊（刪除、更改、插入等操作）。用于鑒別用于鑒別由于網(wǎng)上的通信雙方互不見面，必須在相互通信時（交換敏感信息時）確認對方的真實身份。即消息的接收者應該能夠確認消息的來源；入侵者不可能偽裝成他人。 密

6、碼學的應用9一、密碼學通常的作用 保證完整性保證完整性消息的接收者能夠驗證在傳送過程中消息是否被篡改；入侵者不可能用假消息代替合法消息。用于抗抵賴用于抗抵賴在網(wǎng)上開展業(yè)務的各方在進行數(shù)據(jù)傳輸時，必須帶有自身特有的、無法被別人復制的信息，以保證發(fā)生糾紛時有所對證。發(fā)送者事后不可能否認他發(fā)送的消息。 密碼學的應用 10數(shù)字信封數(shù)字信封數(shù)字信封(DIGITAL ENVELOPE) ：對數(shù)據(jù)進行加密的密鑰必須經(jīng)常更換。單鑰體制：密鑰分發(fā)困難；高效；數(shù)據(jù)的加密公鑰體制：加解密時間長；靈活；密鑰的加密目的：利用數(shù)據(jù)接收者的公鑰來封裝保護加密數(shù)據(jù)的密鑰。 密碼學的應用 11數(shù)字信封發(fā)方： A1：生成對稱密鑰

7、，用該密鑰對報文加密； A2 ：用收方的公鑰加密上述對稱密鑰； A3 ：將A1、A2步驟的結果傳給收方；收方： B1： 用自己的私鑰解密對稱密鑰； B2 ：用得到的對稱密鑰解密報文。 密碼學的應用12數(shù)字信封 密碼學的應用13密鑰管理極其重要。包括密鑰的產生、分配、存儲、驗證和使用等。1 由密鑰分發(fā)中心(KDC)為用戶A和B分別分發(fā)公鑰PkA、PKB和私鑰SkA、SKB作為用戶A、B的主密鑰。2 當A要向B發(fā)信時，由A隨機產生一個大數(shù)作為A、B之間通信的工作密鑰。3 A用SkA和PKB對工作密鑰進行加密并傳送給B。4 B用SKB和PkA進行解密，得到工作密鑰5 A、B雙方用此工作密鑰進行保密通

8、信。 密碼學的應用14數(shù)字證書 數(shù)字證書數(shù)字證書 ：標志通訊各方身份的數(shù)據(jù)。 數(shù)字標識 數(shù)字憑證 “電子身份證”數(shù)字證書是一種安全分發(fā)公鑰的方式。過去采用通行字，安全性差，現(xiàn)在一般采用交互式詢問回答，在詢問和回答過程中采用密碼加密。特別是采用密碼技術的帶CPU的智能卡，安全性好。在電子商務系統(tǒng)中，所有參與活動的實體都需要用數(shù)字證書來表明自己的身份。 密碼學的應用15密鑰管理中心負責密鑰的發(fā)放、注銷及驗證。RSA公鑰體制就是采用這種方式進行密鑰管理的。密鑰管理中心又稱為證書授權中心(CA) 。CA為每個申請公開密鑰的用戶發(fā)放一個證書，證明該用戶擁有證書中列出的公鑰。數(shù)字證書內容：持證人的個人信息

9、（姓名、性別、地址、E-mail)；持證人的公鑰；證書過期時間；證書序列號CA的名稱；CA的數(shù)字簽名；CA的數(shù)字簽名保證不能偽造和篡改該證書，因此，數(shù)字證書既能分配公鑰，又實現(xiàn)了身份認證。 密碼學的應用16身份認證 密碼學的應用用戶A用戶B1 用戶A的標識符2 y1=EPA(RB);y2=DSB(y1)3 y3=EPB(RB)y1? EPB(y2) 相等則確認BRB? DSB (y3)相等則確認A17身份認證首先，A將自己的身份傳送給B，但B不能確定此信息是來自A還是竊密者T；B產生一很大的隨機數(shù)RB，用PA加密RB得到EPA（RB）傳送給A，并用SB做DSB（EPA（RB）運算，將結果傳送給

10、A。A對y1解密得到DSA（EPA（RB）RB，由于只有A知道SA，因此只有A才可求得RB，然后A用PB將y2加密，得到EPB（RB），由于只有合法的B才擁有SB，因此可以通過將計算結果與EPA（RB）比較，A就可以確認通信對方是B；合法者A將求得的RB用PB加密傳送給B，因為只有合法的A可以求得RB從而可以得到正確的EPB（RB）；B只需用SB解密y3即可得到DSB（EPB（RB）RB，將此RB與原來的RB對比就可確認對方是A。 密碼學的應用18二、數(shù)字指紋 在數(shù)字簽名中有重要作用的“報文摘要”算法，即生成報文“數(shù)字指紋”的方法，近年來倍受關注，構成了現(xiàn)代密碼學的一個重要側面。為防止傳輸和存

11、儲的消息被有意或無意地篡改，采用哈希函數(shù)對消息進行運算生成消息摘要，附在消息之后發(fā)出或與信息一起存儲。它在票據(jù)防偽中具有重要應用（如稅務的金稅系統(tǒng)和銀行的支付密碼器）。 密碼學的應用19二、數(shù)字指紋 數(shù)字指紋是通過一類特殊的散列函數(shù)(HASH函數(shù))生成的，對這類HASH函數(shù)的特殊要求是：1輸入報文的長度沒有限制；2對輸入任何報文，能生成固定長度的摘要(數(shù)字指紋)；3從報文能方便地算出摘要；4極難從指定的摘要生成一個報文，而由該報文又反推算出該指定的摘要；5兩個不同的報文極難生成相同的摘要。 密碼學的應用20二、數(shù)字指紋 哈希函數(shù)的安全因素： 一致性：相同的輸入產生相同的輸出。隨機性：消息摘要外

12、觀是隨機的，以防被猜出源消息。唯一性：幾乎不可能找到兩個消息產生相同的消息摘要。單向性：即如果給出輸出，則很難確定出輸入消息。 密碼學的應用21二、數(shù)字指紋 基本過程是：1發(fā)送者寫一消息，并作為單向哈希函數(shù)的輸入。2消息摘要連消息一齊發(fā)送3接受者分離消息和消息摘要，并利用消息生成消息摘要。4比較兩消息摘要，如果相同，則消息在傳送期間沒被更改。 密碼學的應用22二、數(shù)字指紋 可以使用公開密鑰技術對消息摘要加密，防止同時更改消息和消息摘要。消息摘要算法中兩種流行的方式是：MD2和MD5。 一個消息摘要是一個加密校驗和，不像CRC是一個算術校驗和。常用的哈希函數(shù)有：消息摘要4（MD4）算法消息摘要5

13、（MD5）算法安全哈希函數(shù)（SHA） 密碼學的應用23三、MD5算法 MD5報文摘要算法RFC1321由Rivest于1992年提出?？蓪θ我忾L的報文進行運算，得出128位的MD代碼。MD5算法是對雜湊壓縮信息塊按512位進行處理的，首先它對雜湊信息進行填充，使信息的長度等于512的倍數(shù)。從八十年代末到九十年代,Rivest開發(fā)了好幾種RSA公司專有的報文摘要算法,包括MD、MD2、MD5等。據(jù)稱，可以花費一千萬美元去制造一臺專門的機器,針對MD5搜索兩個不同的報文具有相同的摘要,即碰撞現(xiàn)象,平均用24天才能找到一個碰撞。,MD5被認為仍是一個安全的。 密碼學的應用24四、數(shù)字簽名 鑒別文件或

14、書信真?zhèn)蔚膫鹘y(tǒng)做法親筆簽名或蓋章。簽名起到認證，核準，生效的作用。電子商務、政務要求對電子文檔進行辨認和驗證，因而產生數(shù)字簽名。數(shù)字簽名的作用：保證信息完整性；提供信息發(fā)送者的身份認證。與傳統(tǒng)簽名的區(qū)別：需要將簽名與消息綁定在一起。通常任何人都可驗證。要考慮防止簽名的復制、重用。 密碼學的應用25四、數(shù)字簽名 數(shù)字簽名(Digital Signature) 信息發(fā)送者使用公開密鑰算法技術，產生別人無法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可確定消息來自于誰，同時也是對發(fā)送者發(fā)送的信息的真實性的一個證明。發(fā)送者對所發(fā)信息不能抵賴。 密碼學的

15、應用26四、數(shù)字簽名 數(shù)字簽名的過程：假設A要發(fā)送一個電子文件給B。 1系統(tǒng)初始化：選擇簽名所需的算法、參數(shù)2. 產生簽名：A用其私鑰加密文件并發(fā)送給B ；3簽名驗證：B用A的公鑰解開A送來的文件 簽名體制的構成：簽名算法；驗證算法 密碼學的應用27四、數(shù)字簽名 數(shù)字簽名必須保證：v可驗證：簽字是可以被確認的v防抵賴：發(fā)送者事后不承認發(fā)送報文并簽名；v防假冒：攻擊者冒充發(fā)送者向收方發(fā)送文件；v防篡改：收方對收到的文件進行篡改；v防偽造：收方偽造對報文的簽名。簽名對安全、防偽、速度要求比加密更高。 密碼學的應用28消息認證與數(shù)字簽名的區(qū)別：前者能驗證消息來源及完整性，防范第三者；后者在收發(fā)雙方產

16、生利害沖突時，解決糾紛。數(shù)字簽名需要解決的一些問題1簽字后的文件可能被B重復使用。如果簽字后的文件是一張支票，B很容易多次用該電子支票兌換現(xiàn)金，為此A需要在文件中加上一些該支票的特有的憑證，如timestamp等，以防止上述情況發(fā)生。 密碼學的應用29四、數(shù)字簽名 2公鑰算法效率很低，不易用于長文件的加密。一般采用Hash函數(shù)，將原文件單向映射為H=Hash(P)，H只有幾百bit，并且由P可以很快生成H，但由于H幾乎不可能生成P。 將公鑰算法作用在H上生成“簽名”S，記為Ek1（H）=S，k1為A的私鑰，A將（P，S）傳給B，B收到(P,S)后，要驗證S是A的簽字。若Dk2（S）=Hash（

17、P），則S就是A的簽字。密碼學的應用30四、數(shù)字簽名 密碼學的應用31四、數(shù)字簽名 密碼學的應用）發(fā)方用單向散列函數(shù)對信息生成摘要。 ）用自己的私鑰簽名信息摘要。 ）把信息本身和已簽名的信息摘要一起發(fā)送出去。 ）收方通過使用同一個單向散列函數(shù)對接收的信息生成新摘要，再用的公鑰對數(shù)字簽名解密，并與新生成的信息摘要比較，以確認發(fā)方的身份和信息是否被修改過。32 密碼學的應用加密和數(shù)字簽名相結合。設SKA和SKB分別為A和B的秘密密鑰，而PKA和PKB分別為A和B的公開密鑰。A用SKA對報文M進行解密運算，得到DSKA(M)，再用B的公鑰PKB加密得到EPKB(DSKA(M)，然后傳送給B；B用私鑰

18、SKB解密得到DSKA(M)，再用A的公鑰PKA加密恢復出明文EPKA(DSKA(M)M。除A外沒有別人能產生密文DSKA（M），這樣，報文M就被簽名了。若A要抵賴曾發(fā)送報文給B，B可將M及DSKA（M）出示給公證機關，公證機關很容易用PKA去證實A確實發(fā)送消息M給B。反之，如果B將M偽造成M，則B不能在第三者面前出示DSKA（M），這樣就證明B偽造了報文。 33 密碼學的應用v可仲裁的數(shù)字簽名直接數(shù)字簽名的缺陷：簽名者聲稱私鑰被盜，簽名是他人假冒。為此引入第三方作仲裁者。簽名過程：發(fā)方X 收方Y 仲裁A 消息M XA: M | EkXAIDx|H(M)AY: EkAY IDx| M|EkXA

19、 IDx|H(M)|T說明：E:單鑰加密，kXA ，kAY 分別為X和A、A和Y的共享密鑰。T:時戳（不是舊消息的重放） Idx：x的身份 H(M):M的雜湊值34 密碼學的應用v可仲裁數(shù)字簽名Y對收到的內容保存，以備爭議時使用。前提：雙方都信任仲裁者由于Y不知kXA，不能直接驗證X的簽名，而是依靠仲裁者。因此，仲裁者必須做到：X相信A不會泄漏kXA，不會偽造X的簽名；Y相信A確實收到X的簽名并驗證無誤后發(fā)送；X和Y都相信A可以公正地解決爭議。35上述方法缺陷：若A不公正，與X共謀否認簽名，或與Y串通偽造簽名。新簽名方案：XA: IDx | EskXIDx| Epky Eskx (M)AY:

20、(A先用X的公鑰解密得IDx| Epky Eskx (M) EskAIDx|EpkyEskX(M)|T說明：skX 和skA 為X、A的私鑰，pky為Y的公鑰。優(yōu)點：無共享密鑰，防共謀； X發(fā)給Y的信息對第三方保密(包括A)； 只要A的私鑰不泄漏，則消息不能重放。36四、數(shù)字簽名 密碼學的應用v不可否認的數(shù)字簽名沒有簽名者的合作，接收者無法驗證簽名，在某種程度上保護了簽名者的利益。如果簽名者不希望接收者未經(jīng)他許可就向別人出示簽名并證明其真實性，則可用此方法。例如：軟件開發(fā)商利用此法保護其軟件，只對購買產品的客戶驗證簽名，并對產品負責。37四、數(shù)字簽名 密碼學的應用v群數(shù)字簽名允許群中各成員以群

21、的名義匿名地簽發(fā)消息。只有群的成員能代表這個群簽名；簽名接收者能驗證它是這個群的合法簽名，但不知具體是哪個成員；在發(fā)生爭端時，借助群成員或可信機構能識別出那個簽名者。用途：投標38四、數(shù)字簽名 密碼學的應用v盲數(shù)字簽名消息M的擁有者A，想讓B對M簽名，但又不希望B知道M的內容，而只是讓B以證人身份證實在某一時刻存在文件M。簽名步驟：A將M乘以一個隨機數(shù)(盲因子)得M并發(fā)送給B;B在M上簽名得SIG(M)，并發(fā)送給A；A通過去除盲因子，由SIG(M)得到SIG(M)。39四、數(shù)字簽名 密碼學的應用v盲數(shù)字簽名直觀的說明： 所謂盲簽名，就是將要隱藏的文件放進信封里，而除去盲因子就是打開信封。當文件

22、在信封時，任何人都不能讀它。對文件的簽名就是通過在信封里放一張復寫紙，當簽名者在信封上簽名時，他的簽名便透過復寫紙簽到了文件上。40四、數(shù)字簽名 密碼學的應用v雙重簽名：實現(xiàn)三方通信時的身份認證和信息完整性、防抵賴的保護。網(wǎng)上購物：客戶和商家之間要完成在線付款，在客戶(甲) 、商家(乙)和銀行(丙)之間將面臨以下問題：甲向乙發(fā)送訂單和甲的付款信息；乙收到訂單后，要同丙交互，以實現(xiàn)資金轉帳。但甲不愿讓乙看到自己的帳戶信息，也不愿讓丙看到訂購信息。此時甲使用雙重簽名技術對兩種信息作數(shù)字簽名，來完成以上功能。41密碼學的應用雙重數(shù)字簽名的實現(xiàn)步驟如下： ）甲對發(fā)給乙的信息M1生成摘要A1； ）甲對發(fā)

23、給丙的信息M2生成摘要A2 ； ）甲把A1和A2合起來生成摘要A3，并用私鑰簽名A3，Sig(A3)； ）甲把M1、A2和Sig(A3)發(fā)給乙； ）甲把M2、A1和Sig(A3)發(fā)給丙； 42密碼學的應用）乙接收信息后，對M1生成信息摘要A1，把A1和收到的A2合在一起，并生成新的信息摘要，同時使用甲的公鑰對A3的簽名進行驗證，以確認信息發(fā)送者的身份和信息是否被修改過； ）丙接收信息后，對M2生成信息摘要A2，把A2和收到的A1合在一起，并生成新的信息摘要，同時使用甲的公鑰對A3的簽名進行驗證，以確認信息發(fā)送者的身份和信息是否被修改過。43五、數(shù)字水印 密碼學的應用1996年英國，首屆國際信息

24、隱藏會議對付的非法復制、傳播、篡改，保護產權在多媒體信息中隱蔽地嵌入可辨別的標記，實現(xiàn)版權聲明與跟蹤。嵌入信息 掩飾信息(文本、圖像、音頻)信息隱藏要求：不影響原系統(tǒng)；善于偽裝，使人不易察覺；44五、數(shù)字水印 密碼學的應用隱藏信息分布范圍要廣；能抵抗數(shù)據(jù)壓縮、過濾等變換及人為攻擊；隱藏信息的算法公開，只隱蔽密鑰；數(shù)字水印：將特定的標記隱藏在數(shù)字產品中。用以證明原創(chuàng)者對產品的所有權，并作為起訴侵權者的證據(jù)。透明性；健壯性；多重性；安全性45六、密碼管理 密碼學的應用1999年10月7日，第273號國務院令，頒布了商用密碼管理條例。目的：加強商用密碼管理，保護信息安全，保護公民和組織的合法權益，維護國家的安全和利益。管理方式：商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行?？毓芾怼９芾頇C構：國家密碼管理委員會及其辦公室。46六、密碼管理 密碼學的應用科研、生產、銷售和使用商用密碼的科研、生產、銷售由國家密碼管理機構指定的單位承擔。任何單位或者個人只能使用經(jīng)國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品。境外組織或者個人在中國境內使用密碼產品或者含有密碼技術的設備，須經(jīng)國家密碼管理機構批準；外國駐華外交代表機構、領事機構除外。47六、密碼管理 密碼學的應用商