密碼協(xié)議培訓(xùn)資料

1、密碼協(xié)議中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系第一章第一章 Introduction 課程介紹課程介紹1.1 1.1 什么是安全協(xié)議（密碼協(xié)議）什么是安全協(xié)議（密碼協(xié)議）1.2 1.2 為什么研究密碼協(xié)議為什么研究密碼協(xié)議1.3 1.3 兩個簡單有趣的安全協(xié)議攻擊實例兩個簡單有趣的安全協(xié)議攻擊實例1.4 1.4 實驗：設(shè)計一個密鑰建立協(xié)議實驗：設(shè)計一個密鑰建立協(xié)議1.5 Dolev-Yao1.5 Dolev-Yao模型模型1.6 1.6 密碼屬性密碼屬性中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.1 什么是安全協(xié)

2、議（密碼協(xié)議）什么是安全協(xié)議（密碼協(xié)議）Definition: As with any protocol, a Definition: As with any protocol, a security security protocolprotocol ( also known as ( also known as cryptographic protocolcryptographic protocol ) ) comprises a prescribed sequence of interactions comprises a prescribed sequence of interacti

3、ons between entities designed to a achieve a certain end, between entities designed to a achieve a certain end, deferent from a communications protocol which is deferent from a communications protocol which is designed to establish communication between agents, designed to establish communication be

4、tween agents, i.e. set up a link, agree syntax, and so on.i.e. set up a link, agree syntax, and so on.Goals:Goals:- Authentication of agents or nodesAuthentication of agents or nodes- Establishing session keys between nodesEstablishing session keys between nodes- Ensuring secrecy, integrity, anonymi

5、ty, non-Ensuring secrecy, integrity, anonymity, non-repudiation and so on.repudiation and so on.中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系How to implement: Typically they make How to implement: Typically they make liberal use of various cryptographic liberal use of various cryptographic mechanism, such as symmetric and asymm

6、etric mechanism, such as symmetric and asymmetric encryption, hash functions, and digital encryption, hash functions, and digital signatures.signatures.中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.2 為什么研究密碼協(xié)議為什么研究密碼協(xié)議即使只討論最基本的認(rèn)證協(xié)議，其中參加協(xié)議的主即使只討論最基本的認(rèn)證協(xié)議，其中參加協(xié)議的主體只有體只有2-32-3個，交換的消息只有個，交換的消息只有3-53-5條，設(shè)計一個正條，設(shè)計一個正確的、符合認(rèn)證目標(biāo)的、沒有冗余的

7、認(rèn)證協(xié)議也是確的、符合認(rèn)證目標(biāo)的、沒有冗余的認(rèn)證協(xié)議也是很不容易的。很不容易的。Needham-SchroederNeedham-Schroeder公開密鑰認(rèn)證協(xié)議（公開密鑰認(rèn)證協(xié)議（NSPKNSPK）于）于19781978年提出，年提出，Gavin LoweGavin Lowe與與19961996年發(fā)現(xiàn)年發(fā)現(xiàn)NSPKNSPK協(xié)議缺協(xié)議缺陷。陷。中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.3 兩個簡單有趣的安全協(xié)議攻擊實例之一兩個簡單有趣的安全協(xié)議攻擊實例之一現(xiàn)代轎車鎖現(xiàn)代轎車鎖:Engine Controller:Engine Controller與與Transponder in Transpond

8、er in the Car Keythe Car Key之間的交互之間的交互挑戰(zhàn)應(yīng)答協(xié)議挑戰(zhàn)應(yīng)答協(xié)議(Challenge-Response)(Challenge-Response)-E-T: NE-T: N-T-E:T,NT-E:T,NK K考慮當(dāng)考慮當(dāng)Engine ControllerEngine Controller產(chǎn)生的隨機(jī)數(shù)可預(yù)測時產(chǎn)生的隨機(jī)數(shù)可預(yù)測時會有什么攻擊會有什么攻擊? ?中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.3 兩個簡單有趣的安全協(xié)議攻擊實例之二安哥拉兩個簡單有趣的安全協(xié)議攻擊實例之二安哥拉-南南非空戰(zhàn)非空戰(zhàn)8080年代，南非（年代，南非（South AfricaSouth A

9、frica）與古巴空軍在南安）與古巴空軍在南安哥拉（哥拉（Southern AngolaSouthern Angola）與北納米比亞）與北納米比亞（Northern NamibiaNorthern Namibia）間展開戰(zhàn)爭。）間展開戰(zhàn)爭。南非的戰(zhàn)爭目標(biāo)是：確保南非在南非的戰(zhàn)爭目標(biāo)是：確保南非在NamibiaNamibia的白人統(tǒng)的白人統(tǒng)治；且在治；且在AngolaAngola建立一個親南非的安盟建立一個親南非的安盟( (爭取安哥爭取安哥拉徹底獨立全國聯(lián)盟，簡稱拉徹底獨立全國聯(lián)盟，簡稱UNITA)UNITA)政府政府安哥拉安哥拉“安人運安人運”( (安哥拉人民解放運動，簡稱安哥拉人民解放運動，

10、簡稱MPLA) MPLA) 得到古巴（得到古巴（CubaCuba）支持，屬于蘇聯(lián)社會主義）支持，屬于蘇聯(lián)社會主義陣營。陣營。敵我識別系統(tǒng)敵我識別系統(tǒng)Identify-Friend-or-Foe(IFF)Identify-Friend-or-Foe(IFF)中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.4 實驗：設(shè)計一個密鑰建立協(xié)議實驗：設(shè)計一個密鑰建立協(xié)議背景：背景：A A（AliceAlice）和）和B B（BobBob）希望建立一個新鮮的）希望建立一個新鮮的會話密鑰（會話密鑰（Session KeySession Key）用來加密他們隨后的通）用來加密他們隨后的通信。

11、信。我們采用我們采用TTPTTP（Third Trusted PartyThird Trusted Party）的方式來傳）的方式來傳遞信任關(guān)系遞信任關(guān)系協(xié)議主體：協(xié)議主體：A A，B B，S S（Third Trusted ServerThird Trusted Server）前提：前提： A A與與B B之間沒有信任關(guān)系；之間沒有信任關(guān)系；A A信任信任S S；B B信任信任S S；S S的任務(wù)是產(chǎn)生隨機(jī)的會話密鑰的任務(wù)是產(chǎn)生隨機(jī)的會話密鑰K KABAB并傳輸給并傳輸給A A和和B B會話密鑰會話密鑰(Session Key)(Session Key)與長期密鑰與長期密鑰中山大學(xué)計算機(jī)系中

12、山大學(xué)計算機(jī)系協(xié)議目標(biāo)協(xié)議目標(biāo)在協(xié)議結(jié)束時，在協(xié)議結(jié)束時，K KABAB應(yīng)該為應(yīng)該為A A和和B B所知，但是除了所知，但是除了S S之之外的其它主體應(yīng)該無法知道外的其它主體應(yīng)該無法知道K KABABA A和和B B應(yīng)該知道應(yīng)該知道K KABAB時最新產(chǎn)生的時最新產(chǎn)生的中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系第一次嘗試協(xié)議第一次嘗試協(xié)議中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系A(chǔ)lice-Bob 記號（記號（Notation）1. A - S : A, B1. A - S : A, B2. S - A : K2. S - A : KABAB3. A - B : K3. A - B : KABAB, A, A這種

13、記法雖然簡潔但是有很多局限這種記法雖然簡潔但是有很多局限中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.4.1 機(jī)密性機(jī)密性(Confidentiality)安全假設(shè)安全假設(shè)1:1:敵手能夠竊聽密碼協(xié)議中傳送的所有消敵手能夠竊聽密碼協(xié)議中傳送的所有消息息. .中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系第二次嘗試協(xié)議第二次嘗試協(xié)議A，S共享：共享：KASB，S共享：共享：KBS中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系完美密碼假設(shè)完美密碼假設(shè)Perfect Cryptography中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.4.2 鑒別鑒別(Authentication)安全假設(shè)安全假設(shè)2:2:敵手能夠使用任何可用的信息修改一個敵手能

14、夠使用任何可用的信息修改一個密碼協(xié)議中所傳送的所有消息密碼協(xié)議中所傳送的所有消息. .敵手能夠把任何消敵手能夠把任何消息重發(fā)給任何其他的主體息重發(fā)給任何其他的主體. .這包括產(chǎn)生和插入全新這包括產(chǎn)生和插入全新消息的能力消息的能力. .中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系對第二次協(xié)議的攻擊對第二次協(xié)議的攻擊中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系對第二次協(xié)議的另一種攻擊對第二次協(xié)議的另一種攻擊中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系安全假設(shè)安全假設(shè)3:3:敵手可以是合法的協(xié)議參與者敵手可以是合法的協(xié)議參與者(an (an insider),insider),或者一個外來者或者一個外來者(an outsider),(

15、an outsider),或者是或者是兩者的組合兩者的組合. .中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系第三次嘗試協(xié)議第三次嘗試協(xié)議中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.4.3 重放重放(Replay)安全假設(shè)安全假設(shè)4:4:敵手能夠從以前協(xié)議運行中通過密碼分?jǐn)呈帜軌驈囊郧皡f(xié)議運行中通過密碼分析獲取會話密鑰析獲取會話密鑰K KABAB. .中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系對第三次嘗試協(xié)議的攻擊對第三次嘗試協(xié)議的攻擊中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系定義定義: :一個臨時值一個臨時值(Nonce)(Nonce)是一個主體產(chǎn)生的隨機(jī)數(shù)是一個主體產(chǎn)生的隨機(jī)數(shù)并且在協(xié)議的一條消息中回傳給該主體以表明此條并且在協(xié)議

16、的一條消息中回傳給該主體以表明此條消息是最新產(chǎn)生的消息是最新產(chǎn)生的. .即挑戰(zhàn)應(yīng)答（即挑戰(zhàn)應(yīng)答（challenge-responsechallenge-response）中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系第四次嘗試協(xié)議（第四次嘗試協(xié)議（Needham-Schroeder）NSSK中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系對第四次嘗試協(xié)議的攻擊對第四次嘗試協(xié)議的攻擊中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系第五次嘗試協(xié)議（第五次嘗試協(xié)議（final）中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系對比最終協(xié)議和第四次嘗試協(xié)議對比最終協(xié)議和第四次嘗試協(xié)議Key ConfirmationKey Confirmation中山大學(xué)計算機(jī)系中

17、山大學(xué)計算機(jī)系1.5 Dolev-Yao模型模型將密碼協(xié)議本身與密碼協(xié)議所具體采用的密碼系統(tǒng)將密碼協(xié)議本身與密碼協(xié)議所具體采用的密碼系統(tǒng)分開，在假定密碼系統(tǒng)分開，在假定密碼系統(tǒng)“完善完善”的基礎(chǔ)上討論密碼的基礎(chǔ)上討論密碼協(xié)議本身的正確性、安全性、冗余性等課題協(xié)議本身的正確性、安全性、冗余性等課題建立了攻擊者模型。攻擊者可以控制整個通信網(wǎng)絡(luò)。建立了攻擊者模型。攻擊者可以控制整個通信網(wǎng)絡(luò)。攻擊者具有如下能力：攻擊者具有如下能力：-竊聽所有經(jīng)過網(wǎng)絡(luò)的消息；竊聽所有經(jīng)過網(wǎng)絡(luò)的消息；-阻止和截獲所有經(jīng)過網(wǎng)絡(luò)的消息；阻止和截獲所有經(jīng)過網(wǎng)絡(luò)的消息；-存儲所獲得的或自己創(chuàng)造的消息；存儲所獲得的或自己創(chuàng)造的消息

18、；-可以根據(jù)存儲的消息偽造消息并發(fā)送消息；可以根據(jù)存儲的消息偽造消息并發(fā)送消息；-可以作為合法的主體參與協(xié)議的運行。可以作為合法的主體參與協(xié)議的運行。中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系姚期智簡介姚期智簡介Andrew Chi-Chih Yao, 世界著名計算機(jī)科學(xué)世界著名計算機(jī)科學(xué)家，家，2000年獲得圖靈獎?，F(xiàn)任清華大學(xué)高年獲得圖靈獎?，F(xiàn)任清華大學(xué)高等研究中心等研究中心(The Center for Advanced Study in Tsinghua University)教授。姚期教授。姚期智先生于智先生于1967年獲得臺灣大學(xué)物理學(xué)士學(xué)年獲得臺灣大學(xué)物理學(xué)士學(xué)位，位，1972年獲得美國哈

19、佛大學(xué)物理博士學(xué)年獲得美國哈佛大學(xué)物理博士學(xué)位，位，1975年獲得美國伊利諾依大學(xué)計算機(jī)年獲得美國伊利諾依大學(xué)計算機(jī)科學(xué)博士學(xué)位?？茖W(xué)博士學(xué)位。In recognition of his fundamental contributions to the theory of computation, including the complexity-based theory of pseudorandom number generation, cryptography, and communication complexity.中山大學(xué)計算機(jī)系中山大學(xué)計算機(jī)系1.6 構(gòu)造密碼協(xié)議的密碼算法構(gòu)造密

20、碼協(xié)議的密碼算法(Cryptographic Algorithm) 所提供的密碼屬性所提供的密碼屬性(服務(wù)服務(wù))密碼算法能為我們提供一下不同的密碼屬性（密碼服務(wù)）密碼算法能為我們提供一下不同的密碼屬性（密碼服務(wù)）機(jī)密性機(jī)密性(Confidentiality)(Confidentiality)：確保數(shù)據(jù)僅能為那些被授權(quán)的：確保數(shù)據(jù)僅能為那些被授權(quán)的主體獲得。通常是通過這種方式來實現(xiàn)，即對數(shù)據(jù)進(jìn)行加密主體獲得。通常是通過這種方式來實現(xiàn)，即對數(shù)據(jù)進(jìn)行加密以使得只有掌握正確解密密鑰的主體能夠恢復(fù)它的。在密碼以使得只有掌握正確解密密鑰的主體能夠恢復(fù)它的。在密碼協(xié)議中，機(jī)密性是確保密鑰和其它數(shù)據(jù)安全的重要手段。具協(xié)議中，機(jī)密性是確保密鑰和其它數(shù)據(jù)安全的重要手段。具體通過體通過對稱或非對稱密碼算法對稱或非對稱密碼算法實現(xiàn)。實現(xiàn)。數(shù)據(jù)完整性數(shù)據(jù)完整性(Integrity)(Integrity)：確保數(shù)據(jù)沒有被未授權(quán)的主體修：確保數(shù)