信息安全與密碼學(xué)介紹(7)

數(shù)字簽名和鑒別協(xié)議數(shù)字簽名鑒別協(xié)議11.

數(shù)字簽名報(bào)文鑒別示例：21.

數(shù)字簽名報(bào)文鑒別示例的安全性分析：可用來(lái)保護(hù)通信雙方免受任何第三方的攻擊。無(wú)法用來(lái)防止通信雙方的互相攻擊，無(wú)法解決通信雙方可能存在多種形式的爭(zhēng)執(zhí)。原因：接收方可能偽造并聲稱它來(lái)自發(fā)送方。接收方只要簡(jiǎn)單地生成一個(gè)報(bào)文，并附加使用由發(fā)送方和接收方所共享的密鑰生成的鑒別碼即可。發(fā)送方可以否認(rèn)發(fā)送過(guò)該報(bào)文。因?yàn)榻邮辗絺卧煲粋€(gè)報(bào)文是可能的，無(wú)法證明發(fā)送方發(fā)送過(guò)該報(bào)文這一事實(shí)。31.

數(shù)字簽名解決方案：由于發(fā)方和收方之間存在欺騙或抵賴，因此除了采用防止第三方攻擊的鑒別之外還需要采用防止當(dāng)事雙方相互攻擊的手段。最吸引人的解決方案是筆跡簽名的模擬——數(shù)字簽名。數(shù)字簽名必須擁有的基本性質(zhì)：必須能證實(shí)作者簽名和簽名的日期和時(shí)間。在簽名時(shí)必須能對(duì)內(nèi)容進(jìn)行鑒別。簽名必須能被第三方證實(shí)以便解決爭(zhēng)端。41.

數(shù)字簽名密碼學(xué)上對(duì)數(shù)字簽名的需求：簽名必須是依賴于要簽名報(bào)文的比特模式。簽名必須使用對(duì)發(fā)送者來(lái)說(shuō)是惟一的信息，以防偽造和抵賴。數(shù)字簽名的產(chǎn)生必須相對(duì)簡(jiǎn)單。數(shù)字簽名的識(shí)別和證實(shí)必須相對(duì)簡(jiǎn)單。偽造一個(gè)數(shù)字簽名在計(jì)算上是不可行的，無(wú)論是通過(guò)對(duì)已有的數(shù)字簽名來(lái)構(gòu)造新報(bào)文，還是對(duì)給定的報(bào)文構(gòu)造一個(gè)虛假的數(shù)字簽名。保留一個(gè)數(shù)字簽名的備份在存儲(chǔ)上是現(xiàn)實(shí)可行的。數(shù)字簽名的方法：直接的需仲裁的51.

數(shù)字簽名直接數(shù)字簽名方案實(shí)施涉及通信方——發(fā)方和收方密碼方案——非對(duì)稱密碼學(xué)使用前提——收方知道發(fā)方的公開(kāi)密鑰簽名實(shí)施——可以通過(guò)使用發(fā)方的私有密鑰對(duì)整個(gè)報(bào)文進(jìn)行加密，或通過(guò)使用發(fā)方的私有密鑰對(duì)報(bào)文的散列碼進(jìn)行加密來(lái)形成。保密方案——可通過(guò)對(duì)整個(gè)報(bào)文和簽名進(jìn)行更進(jìn)一步的加密來(lái)實(shí)現(xiàn)，可采用收方的公用密鑰（公開(kāi)加密）或采用雙方共享的密鑰（常規(guī)加密）來(lái)進(jìn)行加密。實(shí)施關(guān)鍵收方應(yīng)假定發(fā)方對(duì)私有密鑰的完全控制61.

數(shù)字簽名直接數(shù)字簽名實(shí)施示例71.

數(shù)字簽名直接數(shù)字簽名方案弱點(diǎn)方案的有效性依賴于發(fā)方私有密鑰的安全性。弱點(diǎn)分析發(fā)方若想否認(rèn)發(fā)送過(guò)某個(gè)報(bào)文，則可以聲稱該私有密鑰丟失或被盜用，且偽造了他（她）的簽名。X的私有密鑰真的可能在時(shí)間T被盜。獲得該密鑰的人便能發(fā)送帶有X的簽名報(bào)文并附上小于等于T的時(shí)間戳。81.

數(shù)字簽名需仲裁的數(shù)字簽名方案實(shí)施每個(gè)從X發(fā)往收方Y(jié)的簽名報(bào)文首先被送給仲裁者A，仲裁者A對(duì)該報(bào)文和它的簽名進(jìn)行一系列的測(cè)試以檢驗(yàn)它的出處和內(nèi)容。然后對(duì)報(bào)文注明日期，附上一個(gè)已經(jīng)經(jīng)過(guò)仲裁證實(shí)屬實(shí)的說(shuō)明后發(fā)給Y。A的存在解決了直接簽名方案所面臨的問(wèn)題：X可能否認(rèn)發(fā)送過(guò)該報(bào)文。實(shí)施關(guān)鍵所有通信方必須充分信任仲裁機(jī)構(gòu)。91.

數(shù)字簽名需仲裁的數(shù)字簽名方案示例(a)常規(guī)加密，仲裁能看到報(bào)文內(nèi)容X→A：M||EKxa[IDx||H(M)]A→Y：EKay[IDx||M||EKxa[IDx||H(M)]||T](b)常規(guī)加密，仲裁不能看到報(bào)文內(nèi)容X→A：IDX||EKxy[M]||EKxa[IDX||H(EKxy[M])]A→Y：EKay[IDX||EKxy[M]||EKxa[IDX||H(EKxy[M])]||T](c)公開(kāi)密鑰加密，仲裁不能看到報(bào)文內(nèi)容X→A：IDX||EKRx[IDX||EKUy(EKRx[M])]A→Y：EKRa[IDX||EKUy[EKRx[M]]||T]101.

數(shù)字簽名需仲裁的數(shù)字簽名方案示例討論方案(a)和(b)存在的問(wèn)題X必須確信A不會(huì)泄露Kxa，也不會(huì)產(chǎn)生虛假的簽名。(仲裁能和收方結(jié)成聯(lián)盟來(lái)偽造發(fā)方的簽名。)Y必須確信A只有在散列碼正確且確是X簽名的情況下才發(fā)送。(仲裁能和發(fā)方結(jié)成聯(lián)盟來(lái)否認(rèn)一個(gè)簽名報(bào)文。)雙方必須確信A能公平地解決爭(zhēng)端。(仲裁作用。)方案(c)的優(yōu)點(diǎn)通信前各方?jīng)]有共享任何信息，可防止結(jié)盟欺騙的發(fā)生。假定KRa是安全的，即使KRx已不安全，日期不對(duì)的報(bào)文不會(huì)被發(fā)送。從X發(fā)給Y的報(bào)文內(nèi)容對(duì)A和其他任何人都是保密的。112.

鑒別協(xié)議主要涉及內(nèi)容在報(bào)文鑒別的基礎(chǔ)上，進(jìn)行更深層次的通信對(duì)象和通信內(nèi)容有效性的鑒別。相互鑒別單向鑒別122.

鑒別協(xié)議相互鑒別相互鑒別的必要性通信對(duì)象的確認(rèn)——通信各方相互證實(shí)對(duì)方的身份信息交換的機(jī)密性——防止信息的篡改和泄漏信息交換的時(shí)效性——防止報(bào)文重放的威脅報(bào)文重放威脅的表現(xiàn)最好情況——一個(gè)成功的重放會(huì)通過(guò)為通信方提供用似是而非的報(bào)文而打亂正常的操作。最差情況——可能允許對(duì)手獲取會(huì)話密鑰或成功地假扮為通信的另一方。132.

鑒別協(xié)議相互鑒別重放攻擊的常用方法示例簡(jiǎn)單重放：對(duì)手簡(jiǎn)單地拷貝一個(gè)報(bào)文并在后來(lái)重放。能被日志記錄的重復(fù)：對(duì)手可以在有效的時(shí)間窗口內(nèi)重放有時(shí)間戳的報(bào)文。能被日志記錄的重復(fù)：對(duì)手可以在有效的時(shí)間窗口內(nèi)重放有時(shí)間戳的報(bào)文。沒(méi)有修改的退回重放：這是一種報(bào)文返回發(fā)方的重放。如果使用常規(guī)加密，這種攻擊是可能的，并且發(fā)方不容易依據(jù)內(nèi)容識(shí)別發(fā)送過(guò)的報(bào)文與收到的報(bào)文間的不同。142.

鑒別協(xié)議相互鑒別對(duì)付重放攻擊的常用方法為每個(gè)用來(lái)鑒別交換的報(bào)文分配一個(gè)序號(hào)，新的報(bào)文只有在它的序號(hào)滿足一種正確的次序時(shí)才被接收。這種方法的難點(diǎn)在于它需要通信各方記錄已處理的最近一個(gè)序號(hào)。因?yàn)橛羞@種負(fù)擔(dān)，序號(hào)一般不用于鑒別和密鑰交換。時(shí)間戳：A方接收一個(gè)報(bào)文，只有當(dāng)報(bào)文包含的時(shí)間戳（經(jīng)A判斷后）與A了解的當(dāng)前時(shí)間足夠接近，才認(rèn)為報(bào)文是新的。這種方法的難點(diǎn)在于它需要通信各方的時(shí)鐘保持同步。首先，需要某種協(xié)議來(lái)維持不同處理機(jī)時(shí)鐘的同步，這個(gè)協(xié)議還必須是容錯(cuò)的和安全的，即要能對(duì)付網(wǎng)絡(luò)的故障和惡意的攻擊。其次，如果暫時(shí)失去同步會(huì)導(dǎo)致一方的時(shí)鐘機(jī)制出錯(cuò)，那攻擊成功的機(jī)率將大為增加。最后，因?yàn)榫W(wǎng)絡(luò)時(shí)延的可變性和不可預(yù)知性，很難期望分布時(shí)鐘能保持精確的同步。因此，任何基于時(shí)間戳的過(guò)程必須申請(qǐng)足夠大的時(shí)間窗口以適應(yīng)網(wǎng)絡(luò)時(shí)延，同時(shí)又要使時(shí)間窗口足夠小以使攻擊成功的機(jī)率最小。盤(pán)問(wèn)/響應(yīng)：若A方期望從B接收一個(gè)新近的報(bào)文，就先要向B發(fā)送一個(gè)現(xiàn)時(shí)報(bào)文（nonce）（即盤(pán)問(wèn)），然后要求隨后從B接收的報(bào)文（即響應(yīng)）包含正確的現(xiàn)時(shí)值。這種方法不大適合面向無(wú)連接的應(yīng)用，因?yàn)樵谌魏螣o(wú)連接傳輸之前它需要有握手的負(fù)擔(dān)，這將在很大程度上丟失無(wú)連接傳輸?shù)闹饕卣鳌?52.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案示意圖162.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案過(guò)程描述A→KDC：IDA||IDB||N1KDC→A：EKa[Ks||IDB||N1||EKb[Ks||IDA]]A→B：EKb[Ks||IDA]B→A：EKs[N2]A→B：EKs[f(N2)]相互鑒別的常規(guī)加密原始方案可能存在的攻擊模式簡(jiǎn)單地對(duì)第3步進(jìn)行觀察、記錄并重放，加重通信負(fù)擔(dān)。假定X是一個(gè)對(duì)手，已經(jīng)獲得了一個(gè)舊的會(huì)話密鑰，則X可冒充A，使用舊密鑰通過(guò)簡(jiǎn)單的重放第3步就可以欺騙B。除非B一直牢記所有與A的會(huì)話密鑰，否則B無(wú)法確定這是一個(gè)重放。172.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案改進(jìn)1過(guò)程描述A→KDC：IDA||IDBKDC→A：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]A→B：EKb[Ks||IDA||T]B→A：EKs[N1]A→B：EKs[f(N1)]相互鑒別的常規(guī)加密原始方案改進(jìn)1的防重發(fā)機(jī)制增加時(shí)間戳T，它能向A和B確保該會(huì)話密鑰是剛產(chǎn)生的。這樣，A和B雙方都知道這個(gè)密鑰分配是一個(gè)最新的交換。A和B通過(guò)驗(yàn)證下式來(lái)證實(shí)時(shí)效性：|Clock–T|＜△t1+△t2其中△t1是估計(jì)的KDC時(shí)鐘與本地時(shí)鐘（A或B）的正常偏差，△t2是預(yù)期的網(wǎng)絡(luò)時(shí)延。每個(gè)結(jié)點(diǎn)可參照某些標(biāo)準(zhǔn)參考源設(shè)置自己的時(shí)鐘。時(shí)間戳T是用主密鑰加密的，即使對(duì)手獲得舊的會(huì)話密鑰，由于步驟3的重放將會(huì)被B檢測(cè)出不及時(shí)而不會(huì)成功。182.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案改進(jìn)1存在的危險(xiǎn)分布時(shí)鐘由于陰謀破壞或同步時(shí)鐘、同步機(jī)制的故障變得不同步。當(dāng)發(fā)方的時(shí)鐘快于預(yù)想的收方時(shí)鐘時(shí)，這個(gè)問(wèn)題就會(huì)發(fā)生。在這種情況下，對(duì)手可截獲發(fā)自A的報(bào)文，當(dāng)報(bào)文中的時(shí)間戳變成收方的當(dāng)前時(shí)間時(shí)就重放該報(bào)文。這種重放可導(dǎo)致不可預(yù)料的結(jié)果。這樣的攻擊被稱為抑制——重放攻擊。相互鑒別的常規(guī)加密原始方案改進(jìn)1的可能改進(jìn)加強(qiáng)通信各方定期與KDC時(shí)鐘的校準(zhǔn)。避免時(shí)鐘同步的需求，依賴使用現(xiàn)時(shí)的握手。（依然會(huì)帶來(lái)其它問(wèn)題，其原因是因?yàn)槭辗竭x擇的現(xiàn)時(shí)對(duì)發(fā)送方是不可預(yù)測(cè)的。）192.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密改進(jìn)方案A→B：IDA||NaB→KDC：IDB||Nb||EKb[IDA||Na||Tb]KDC→A：EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||NbA→B：EKb[IDA||Ks||Tb]||EKs[Nb]相互鑒別的常規(guī)加密改進(jìn)方案的優(yōu)點(diǎn)信任狀的過(guò)期時(shí)間Tb是相對(duì)于B的時(shí)鐘。這樣，這個(gè)時(shí)間戳不需要同步時(shí)鐘，因?yàn)锽只檢查自身產(chǎn)生的時(shí)間戳。

A和B分別檢查各自生成的現(xiàn)時(shí)Na和Nb，確保不是重放。信任狀的過(guò)期時(shí)間Tb的使用使得在有效時(shí)間內(nèi)A又想與B建立新的會(huì)話時(shí)，雙方不必重復(fù)多次與鑒別服務(wù)器聯(lián)系的必要。202.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密改進(jìn)方案建立新會(huì)話的方案A→B：EKb[IDA||Ks||Tb],N’aB→A：N’b,EKa[N’a]A→B：EKa[N’b]建立新會(huì)話的方案的安全保障信任狀的過(guò)期時(shí)間Tb驗(yàn)證報(bào)文中的票據(jù)沒(méi)有過(guò)期。新產(chǎn)生的現(xiàn)時(shí)N’a和N’b將向每方保證這不是重放攻擊。212.

鑒別協(xié)議相互鑒別相互鑒別的公開(kāi)密鑰加密原始方案A→AS：IDA||IDBAS→A：EKRas[IDA||KUa

||T]||EKRas[IDB||KUb||T]A→B：EKRas[IDA||KUa

||T]||EKRas[IDB||KUb||T]||EKUb[EKRa[Ks||T]]相互鑒別的公開(kāi)密鑰加密原始方案特點(diǎn)中心系統(tǒng)被稱為鑒別服務(wù)器（AS），因?yàn)閷?shí)際上它并不負(fù)責(zé)密鑰的分配。AS實(shí)際上提供公開(kāi)密鑰證書(shū)。會(huì)話密鑰的選擇和加密由A完成；因此沒(méi)有AS泄漏密鑰的危險(xiǎn)。時(shí)間戳防止危及密鑰安全的重放攻擊，但需要時(shí)鐘的同步。222.

鑒別協(xié)議相互鑒別相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1A→KDC：IDA||IDBKDC→A：EKRauth[IDB||KUb]A→B：EKUb[Na||IDA]B→KDC：IDB||IDA||EKUauth[Na]KDC→B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDB]]B→A：EKUa[EKRauth[Na||Ks||IDB]||Nb]A→B：EKs[Nb]相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1特點(diǎn)使用現(xiàn)時(shí)，不需要時(shí)鐘的同步。會(huì)話密鑰由KDC代表B產(chǎn)生。存在安全漏洞(步驟5)。232.

鑒別協(xié)議相互鑒別相互鑒別的公開(kāi)密鑰加密改進(jìn)方案1的改進(jìn)A→KDC：IDA||IDBKDC→A：EKRauth[IDB||KUb]A→B：EKUb[Na||IDA]B→KDC：IDB||IDA||EKUauth[Na]KDC→B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDA||IDB]]B→A：EKUa[EKRauth[Na||Ks||IDA||IDB]||Nb]A→B：EKs[Nb]242.

鑒別協(xié)議單向鑒別單向鑒別的必要性通信對(duì)象的確認(rèn)——通信的接收方證實(shí)發(fā)送方的身份信息交換的機(jī)密性——防止信息的篡改和泄漏252.

鑒別協(xié)議單向鑒別單向鑒別的常規(guī)加密方案過(guò)程描述A→KDC：IDA||IDB]||N1KDC→A：EKa[Ks||IDB||N1||EKb[Ks||IDA]]A→B：EKb[Ks,IDA]||EKs[M]單向鑒別的常規(guī)加密方案可能存在的攻擊模式無(wú)法防止重放攻擊。由于潛在的時(shí)延，即使采用時(shí)間戳，其作用也有限。假定X是一個(gè)對(duì)手，已經(jīng)獲得了一個(gè)舊的會(huì)話密鑰及相應(yīng)的EKb[Ks,IDA]，則X就可以簡(jiǎn)單地進(jìn)行信息偽造。262.

鑒別協(xié)議單向鑒別單向鑒別的公開(kāi)密鑰加密方案示意圖272.

鑒別協(xié)議單向鑒別單向鑒別的公開(kāi)密鑰加密方案描述關(guān)心機(jī)密性A→B：EKU