第18章网络安全I密码学基础1

第第18章章 网络安全网络安全I密码学基础密码学基础-1 网络安全基本概念Internet上常见的攻击：(IP spoofing)(denial of service)网络安全基本概念网络安全基本概念安全服务安全服务 国际标准化组织ISO在提出开放系统互连参考模型OSI之后，在1989年提出网络安全体系结构SA(Security Architecture)，称为OSI-SA，它定义了五类安全服务。：验证通信参与者的身份与其申明的一致，不是冒名顶替者。认证服务是向接收方保证消息确实来自所声称的源。身份认证是其它服务，如访问控制的前提。网络安全基本概念网络安全基本概念安全服务安全服务(续续)保证网络资源(主机系统、应用程序)不被未经授权的用户使用。访问权限包括读、写、删、执行等。在用户进程被授予权限访问资源前，必须首先通过身份认证。访问权限一般由目标系统控制。通过加密，保护数据免遭泄漏，防止信息被未授权用户获取，包括防分析。网络安全基本概念网络安全基本概念安全服务安全服务(续续)防止通信参与者事后否认曾参与通信。有两种不可抵赖服务：，防止数据发送者否认曾发送过此数据；，防止数据接收者否认曾收到此数据。例：签名函、挂号信。确保收到的信息在传递过程中没有被插入、篡改、删除、重放。目前讨论安全服务，常常增加：防止或恢复因攻击造成系统的不可用。对安全的攻击对安全的攻击非授权用户假冒合法用户、甚至特权用户的身份进行通信，这是对身份认证和访问控制的攻击。它还包括在网络中插入伪造的报文，截取通信双方交换的信息进行攻击等。正常通信假冒对安全的攻击对安全的攻击(续续)非授权用户截获了对某资源的访问，这是对访问控制的攻击。例如通过监控网络或搭线窃听以获取数据。截取对安全的攻击对安全的攻击(续续)非授权用户不仅获得了对某资源的访问，而且篡改了某资源，这是对数据完整性的攻击。例如篡改文件、程序、在网络中传输的信息内容等。篡改对安全的攻击对安全的攻击(续续)破坏系统资源，使系统不能使用或不可访问。如破坏通信设备，切断通信线路，破坏文件系统等。破坏性攻击还包括对特定目标发送大量信息流，使目标超载以至瘫痪。破坏对安全的攻击对安全的攻击(续续)对网络的攻击又分主动攻击和被动攻击：是在传输中的偷听或监视，目的是截取在网上传输的重要敏感信息，包括。在局域网如以太网上监听是很容易的。在用 telnet作远程登录时，用户的标识名和口令也是一个个字符封装传输。被动攻击检测困难，主要通过加密防止其成功。：包括假冒、重放、篡改、破坏。杜绝主动攻击很困难，要对所有设施保护，主要是靠检测，及时发现和恢复。IP欺骗欺骗(IP spoofing)IP欺骗是指攻击者在IP层假冒一个合法的主机。攻击者只要用伪造的源IP地址生成IP数据报，就可以进行IP欺骗了。IP欺骗常和其它攻击(如服务拒绝)结合使用，攻击者利用IP欺骗隐瞒自己的真实地址。攻击者可以使用窃听和协议分析确定TCP连接的状态和数据片序号，当某个连接建立后，在客户和服务器之间进行的数据片交换过程中，攻击者可利用IP欺骗冒充该客户方，插入自己的数据片，这种攻击称。Telnet.服务拒绝服务拒绝(denial of service)所谓服务拒绝是一种破坏性攻击，是对某特定目标发送大量或异常信息流，。这类攻击有“”,“”等。“ping A”是向主机A发送ICMP的“回答请求”报文，它封装在IP数据报中。IP数据报最大长度是字节。若攻击者发送ICMP“回答请求”报文，且总长度超过65535字节。IP层在发送此报文会分段，目标主机在段重组时会因缓冲区溢出而瘫痪。这就是“Ping O Death”。服务拒绝服务拒绝(续续)TCP连接的建立需要三次握手，它以发起方的同步数据片SYN开始，并以发起方的确认数据片ACK结束。攻击者向某目标的某TCP端口发送大量的同步数据片SYN，但在收到目标方的ACK和SYN后，不发送作为第三次握手的ACK片。这样使大量TCP连接处于半建立状态，最终将超过TCP接收方设定的上限，而使它拒绝后面的连接请求，直至前面的连接过程超时。这就是“”攻击。服务拒绝服务拒绝(续续)2002年10月21日，有人针对DNS的13台根服务器发动了“服务拒绝”攻击，攻击持续了1个小时，13台中的9台受到影响。由于根服务器中设有安全措施、数据备份，全世界Internet用户对此毫无觉察。11月5日美国域名管理公司VERISIGN对其掌控的两台根服务器中的一台安装到公司内部网。密码学基础密码学基础-1(conventional cryptography)密码学基础密码学基础概念概念 迄今为止，网络和通信安全的最重要的工具是加密。身份认证、数据机密性、数字签名等都是以密码学为基础的。(plaintext)：原始、可理解、有意义的消息。(ciphertext)：经过(加密)处理的，表面上是一串杂乱、无规则、无意义的数据。(encryption)：从明文变换成密文的过程。(decryption)：从密文恢复成明文的过程。加密或解密变换由和组成。传统密码体系传统密码体系传输密文C明文明文加密算法解密算法共享密钥K传统密码系统模型加密变换解密变换PP传统密码体系传统密码体系特点特点 加密变换由和组成，记作，密钥独立于明文，它控制算法。同一明文用相同算法，不同的密钥将产生不同的密文。改变密钥就改变了算法的输出。过程，记作，传统密码体系也称密码体系(symmetric key cryptography)。对称密钥是通信双方共享的，也称(shared key)。传统密码体系传统密码体系(续续)加密算法基于两个基本原理：-：明文中每个元素(比特、字母、比特组、字符组)被映射为另一个元素；-：明文中的元素被重。对它们的基本要求是不丢失信息，即所有操作是可逆的。多数系统包括多个阶段的替代和置换。传统密码经典技术传统密码经典技术凯撒密码凯撒密码 最早、最简单的(substitution cipher)，是Julius Caesar所使用的密码。明文的每个字母用(字母表中)其后第 3个字母来替换，注意字母循环排列，Z后是A。a b c d e f g h i j k l m n o p q r s t u v w x y z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 例 明文：密文：传统密码经典技术传统密码经典技术凯撒密码凯撒密码(续续)为每个字母指定数字(a=0,b=1,等)，则算法：，。更通用的Caesar算法：，。凯撒密码是一种(monoalphabetic cipher)，即一个明文字母对应的密文字母是确定的。它对很脆弱。因消息中字母出现的频率和前后连缀关系有一定的统计规律，例如英文文本中出现频率最高。此外密钥只有25个不同的值，非常不安全。传统密码经典技术传统密码经典技术Vigenere密码密码：Vigenere是法国密码专家，以他命名的密码算法是一种最简单的(polyalphabetic cipher)。设密钥，明文，其中 ki，pi 都是字母，则密文，其中 注意密钥的长短与明文长短没有关系。对于长度为 n(个字母)的密钥 K，可以把明文 P 分成 n(个字母)长的段，一段一段进行加密。传统密码经典技术传统密码经典技术Vigenere密码密码(续续)例如：K=bdcsig，若P=money，则C=NRPWG，若P=internet，则C=JQVWZTFW。Vigenere密码可以看作是26个 Caesar 密码组成的，一组单字母表替代规则，每个密码由密钥的一个字母表示。多字母表密码方法的共同特点是：使用一组相关的单字母表替代规则。密钥确定变换中选择哪些特定规则。传统密码算法的安全性传统密码算法的安全性，仅根据密文破译出明文是不切实际的。传统密码算法的安全性取决，不是算法的安全性。知道密文和加密/解密算法，不知道密钥，要破译出明文是不现实的。所以，。密钥的穷举猜测攻击不可避免，。例密钥长256位，密钥空间为 2256，约1077。若计算机每秒能对密钥空间进行1亿次搜索，全部搜索一遍需1061年以上。传统加密的现代技术传统加密的现代技术流密码和块密码流密码和块密码对数字数据流一次加密一个比特或一个字节。经典流密码的例子是 Vigenere 密码。明文分块，一个明文块被作为一个整体处理，产生一个等长的密文块。通常使用的块大小是64位。现代密码设计基础现代密码设计基础 Claude 1949年的论文“communication Theory of Secrecy Systems”奠定了密码学的理论基础。假设密码攻击者对明文的统计特性有所了解，如字母频率分布等。若这些统计特性以某种方式反映在密文中，则攻击者就可以推测出密钥。Shannon提出用()和()交替的方法构造密码，目的是挫败基于统计分析的密码破译。现代密码设计基础现代密码设计基础(续续)所谓：明文的统计结构被扩散、消失到密文的长程统计特性中，即每个密文数字被许多明文数字影响。扩散机制使 所谓：使与之间的关系尽量复杂。Feistel 基于Shannon的设想，提出用替代和置换交替方式构造密码，提出。当前用的几乎所有对称加密算法都基于此结构！Feistel密码结构密码结构明文(2w比特)FL0 w 比特w 比特 R0K1L1R1第 1 轮.Feistel密码结构密码结构(续续)FK iL iR i第 i 轮.Li-1Ri-1Feistel密码结构密码结构(续续)FKnLnRn密文(2w比特)第 n 轮Feistel密码结构设计特点密码结构设计特点：块越大安全性越高，但加密/解密速度越慢。，在块密码设计中这几乎是通用的值。：密钥越长安全性越高，但加密/解密速度越慢。64比特或更短的密钥长度现在广泛认为不够安全，。：一次循环不够安全，多次循环可增加安全性，。：算法越复杂密码分析越困难。Feistel密码结构设计特点密码结构设计特点(续续)：F越复杂则抗击密码分析能力越强。在密码设计中还要考虑：在很多情况下加密被嵌入到应用程序中，以至无法用硬件实现，所以要考虑算法执行速度。：虽然希望算法难以破译，但使算法容易分析却有好处。若算法能简明地解释，就可以通过分析算法找到其弱点，进行强化。DES的功能原理就不容易分析。Feistel解密算法解密算法Feistel解密过程和加密过程实质是相同的。解密规则：以密文作为算法输入。以相反的次序使用子密钥Ki。即第一轮使用Kn，第二轮使用Kn-1，最后一轮使用K1。这个特点使得，就行。这容易证明。数据加密标准数据加密标准DES 是IBM开发，在1977年被美国标准局NBS(美国标准技术局NIST的前身)采纳为第46号联邦信息处理标准，是。，数据被分成64位的块进行加密，。批评者担心56位密钥不足以抵御穷举式攻击。DES实际上很成功，它在工商业界广泛采用，特别是金融领域。1992年底NIST把联邦政府使用DES的有效期又延长了5年。1997年NIST公开征集新算法来取代DES。DES算法算法初始排列 IP排列 PC-1迭代 1迭代 1迭代 16迭代 16.32位交换逆初始排列.64位明文56位密钥64位密文K1K16(1)(3)(2)(4)(5)DES算法算法(续续)DES加密算法：(1)对：第1位是原来的第58位，第2位是原来的第50位等，按IP表进行。(2)对。密钥分为8 组，每组7位，每组再加1个奇校验位，所以共64位，排列按PC-1表进行，输出56位。(3)明文初始排列后与密钥经 PC-1排列后的结果进行，DES算法算法(续续)密钥迭代结果分别为，i=1,16，称为。(4)将16次迭代后64位输出值的。(5)对交换后的64位结果再做一次排列，它是，第1位换为第58位，第2位换为第50位等，按IP-1表进行，就得到密文。DES解密与加密使用相同算法，只是使用密文作为输入，而且以逆序使用密钥Ki，即第1次迭代使用K16，第16次迭代使用K1。DES算法算法初始排列初始排列IP表表 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7DES算法算法迭代迭代迭代 第(i-1)次迭代产生64位中间结果，记为 LiRi，其中 Li、Ri 分别是其左、右各32位。第(i-1)次迭代既产生56位的密钥，记为 CiDi，其中 Ci、Di 分别是密钥的左28位和右28位；也产生48位的子密钥记为 Ki。一次迭代过程如下图所示：DES算法算法迭代迭代(续续)L i-1R i-1C i-1D i-1R iL iC iD iK i48位F32位28位DES算法算法迭代迭代(续续)1.关于 F 中的运算下面介绍。2.：Ci-1和Di-1分别循环左移1或2位(i=1,2,9,16 时左移1位，i为其它值时左移2位)，移位后的值作为下次迭代的输入Ci 和Di。3.：利用 PC-2 表从56位的 Ci Di 构造48位的符号串，作为迭代的子密钥 Ki。此运算不仅重排列，也从中选择，称排列选择。4.将 Li-1和 F 运算的结果进行后作为 Ri，原Ri-1作 Li。DES算法算法 F运算运算R(32位)48位K(48位).32位DES算法算法 F运算运算(续续)(1)：利用表 E将右半部分从32位扩展到48位符号串。Ri-1的第1位排到第2位和第48位，第4位排到第5和7位等，所以称扩展排列。这个运算有两个目的：产生和子密钥相同长度数据进行异或；在 S 替换运算时进行压缩。但从密码学看由于输入的一位将影响两个替换位，输出对输入依赖性将传播更快，这叫。(2)将扩展排列 E 的48位结果和48位子密钥 Ki 进行运算，即按位做模2 加。DES算法算法 F运算运算(续续)(3)：将第 2 步的 48 位结果分成 8 组，每组 分别按表 S1，S2，S8。在中，设 6 位 ，令，作为十进制数，。在 的查出一个，可用4个二进制数表示为，它就是替换 Si 的。每6位都替换为4位，因此合成32位。注意，它比DES的其它任何一步提供更好安全性。DES算法算法 F运算运算(续续)16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25(4)：将S替换后的32位结果按下表再排列。P排列的目的是增强算法的扩散特性。DES的雪崩效应的雪崩效应 加密算法应有的一个特性是明文或密钥的一点小变动应该使密文发生大变化，这称雪崩效应(avalanche effect)。DES具有很强的雪崩效应。例设，一个64位全 0，一个首位为 1 其余全为0。密钥：0000001 1001011 0100100 1100010 0011100 0011000 0011100 0110010在仅2次循环后两个数据块就有21位不同,见表(a)。DES的雪崩效应的雪崩效应(续续)(a)(a)明文相差明文相差 1 1 位位 (b)(b)密钥相差密钥相差 1 1 位位循环循环结果结果不同比特数不同比特数循环循环结果不同比特数结果不同比特数 0 1 0 0 1 6 1 2 2 21 2 14 3 35 3 28 8 29 8 3416 3416 35DES的雪崩效应的雪崩效应(续续)假设 密钥1：110010 1111011 1101111 0011000 0011101 0000100 0110001 1101110 密钥2：110010 1111011 1101111 0011000 0011101 0000100 0110001 1101110 明文：01101000 10000101 00101110 01111010 00010011 01110110 11101011 10100100从表(b)看，雪崩效应同样在几轮循环后就很明显。DES的强度的强度 RSA在1997年1月29日发起一个破译DES密钥的竞赛：奖金1万美元，要求在给定密文和部分明文的情况下找到密钥，明文开始的3个块包含24字符的短语“the unknown message is：”。Rocke Verser 编了一个穷举式程序，并通过Internet 分发，这个项目连接了Internet上超过7万个系统。每个计算机自愿者加入时，项目组为此计算机分配部分密钥空间做测试。项目1997年2月18日开始，96天后找到正确密钥，大约搜索了全部可能密钥的1/4。.DES的操作模式的操作模式 DES算法实际上是提供数据安全的基本构件。为了在各种应用中使用DES，定义了四种操作模式：电子密码本ECB(electronic codebook)，密码反馈CFB(cipher feedback)和输出反馈OFB(output feedback)，后两种用于流密码。最常用的是。DES的操作模式的操作模式 CBC时刻1P1时刻2P2C1KKC2时刻NPNKCN.CN-1IV加密DES的操作模式的操作模式 CBC(续续)每个明文块在加密前都与前一密文块进行异或运算；对每一块使用相同的密钥；第一个明文块与一个随机选择的初始向量IV进行异或，IV可使用时间戳或随机位串。发送方和接收方必须都知道IV，IV应和密钥一样保护。采用DES-CBC，在不同位置的相同明文块将产生不同的密文块。DES-CBC的解密是加密的逆过程。DES的操作模式的操作模式 CBC(续续)KKK.C1C2CNP1P2PNIVCN-1解密三重三重DES(triple DES)对DES的批评是密钥太短。1977年Tuchman 提出用2个密钥三次执行DES：(1)用密钥1加密；(2)用密钥2解密；(3)用密钥1加密。称为三重DES。解密方法是.。目前还没有针对三重DES的实用密码分析攻击方法，三重DES的穷举式密钥搜索的代价是2112，约 51033量级。