应用上的考虑分析

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,用密码学实现保密,加密的使用位置（,P105,）,密钥分配与管理（对称,/,公钥）,随机数产生（,P119,）,1,加密的位置,攻击可能发生的位置（,1,）,局域网,LAN,上,一半以上的安全威胁来自内部,广播式网络,集线器,Hub,交换机,Switch,拨号入,LAN,的,户内,/,户外搭线窃听,远程入侵控制,2,攻击可能发生的位置（,2,、,3,）,出入口（属于,LAN,）,交换机,switch,路由器,Router,网关,Gateway,局部交换中心,公共网络通信子网,电信营运商网络,干线、光纤、交换中心,管理职能,3,攻击可能发生的位置（,4,）,无线网络,WLAN IEEE802.11,蓝牙,Bluetooth/IEEE802.15,兼容,微波发射,无线漫游,4,链路加密,在一段同质导线的两端,链路两端分别设置加密设备,(,硬件居多,),要求所有线路段上都加密才行,可以加密整个包,包,/,分组基本结构,【,目的地址源地址控制数据校验,】,但是在路由器中得解密成明文,*位于第一二层,即物理层和数据链路层,*适合高度内聚的单一主体,如军队,5,端到端加密,端到端加密存在于两个程序进程之间,只是在源和目的两端架设保密设备,只能加密有效,数据,载荷部分,适合公共商用网,因此不能避免流量分析,*位于在,3,层,网络层,VPN,、传输层,SSL,、应用层,PGP,*适合分散用户,如一般的个人、公众、商业应用等,6,关于通信流量分析,Traffic Analysis,可能会泄漏的信息,参与通信双方的身份,从,IP,地址就可以知道很多信息,追捕、,http:/ key,）,如果需要时才达成,安全信道,/,可靠手段,10,密钥分配方案（,1,）,（方案，或协议）,准备,KDC,密钥分发中心,用户，和,KDC,有共享的唯一密钥，如,Ka,、,Kb,假设的方法,1 Alice,KDC,E,Ka,（,IDa,，,IDb,，,Ks,）,2 KDCBob,E,Kb,（,IDa,，,IDb,，,Ks,）,或者,1 Alice,KDC,E,Ka,（,IDa,，,IDb,，,Ks,）,2 Alice,KDC,E,Kb,（,IDa,，,IDb,，,Ks,）,3 Alice,Bob,E,Kb,（,IDa,，,IDb,，,Ks,）,11,问题,没有身份的鉴别,KDC,和,A,之间相互的身份判定,B,和,A,之间的身份识别,不能抵抗会话重放,没有关于时间或会话一次性标识的信息,T,A,B,T,A,B,12,Popek,Kline,的方案,过程,1 Alice,KDC,，请求和,Bob,通信,请求,(IDa,IDb,N1),N1,防止重放,2 Alice,KDC,，响应,E,Ka,(,请求,Ks,E,Kb,(Ks,IDa),3 Alice,Bob,E,Kb,(Ks,IDa),4 Alice,Bob,E,Ks,(N2),N2,防止重放,5 Alice,Bob,E,Ks,(f(N2),13,P,K,图示,14,密钥讨论,讨论,0,密钥,(key),不同于通行字,/,口令,(passwd),用口令衍生出密钥的习惯也是不好的,1,密钥寿命,必须勤更换，但也不是越短越好,强制更换，且不得重复,2,密钥分类：一定不要到处用同一个密钥,/,密码,不同的用途的密钥分开,采用主密钥来传送或分发会话密钥,文件加密密钥,签名和加密的密钥分开,目录服务,3,密钥的选择,随机数，好的随机数,15,秘密,(,密钥,),共享,秘密分割（多人共同持有秘密）,秘密,K,需要,t,个人联合打开,产生随机数,R,1,、,R,2,、,、,R,t-1,、,R,t,=K,R,1,R,2,R,t-1,t,个人分别持有,R,i,恢复秘密,K,R,1,R,2,R,t-1,R,t,16,两个方面,公钥的分配,公钥密码用于传统密码体制,公钥密码分配,17,公钥的分配,公开发布,公钥授权,公开可访问目录,公钥证书,任何人都可以伪造,A,进行公钥发布,18,公钥的分配,公开发布,公钥授权,公开可访问目录,公钥证书,如果攻击者获取目标管理员的私钥，,则可窃取任何发送方的信息；,亦可以通过修改目录记录完成攻击；,比个人公开发布方式安全；,19,公钥的分配,公开发布,公钥授权,公开可访问目录,公钥证书,6:,使,A,确认对方就是,B,7:,使,B,确认对方就是,A,但是：,公钥管理员还是系统瓶颈,20,公钥的分配,公开发布,公钥授权,公开可访问目录,公钥证书,交换密钥的时候不需要公钥管理员,安全性不减低！,1,任何通信方可以读取证书，并确定证书拥有者的姓名和公钥；,2,任何通信方可以验证该证书出自证书管理员，而不是伪造的；,3,只有证书管理员才可以产生并更新证书；,4,任何通信方可以验证证书的当前性,考虑,A,丢失自己的私钥情况。,21,利用公钥分配对称密码密钥(1),简单的分配,攻击方法：如果,E,能够控制通信信道,22,利用公钥分配对称密码密钥(2),具有保密性和真实性的密钥分配,23,Diffie-Hellman Key Exchange,Diffie和Hellman1976年首次提出了公钥算法，给出了公钥密码学的定义；,note:now know that James Ellis(UK CESG)secretly proposed the concept in 1970；,算法的目的是使两个用户能安全的交换密钥，以便在后续的加密过程中使用。,许多商业产品中使用了这种密钥交换技术,24,Diffie-Hellman Key Exchange,Diffie-Hellman,算法：,不能用于任意消息的加密,;,仅能交换密钥,;,只能两方参与,;,密钥的值取决于双方,(and their private and public key information),求关于素数的模幂运算,-easy,计算离散对数,hard,25,Diffie-Hellman Key Exchange,素数,p,的本原根,a,：是一个整数，且其幂模,p,可产生,1 p-1,a mod p,a,2,mod p,a,p-1,mod p,。能得到,1 p-1,对任意整数,b,和素数,p,的本原根,a,可以找到 唯一的指数,i,使得：,i,为,b,的以,a,为底的模,p,离散对数,b a,i,mod p,求关于素数的模幂运算,-easy,计算离散对数,hard,26,Diffie-Hellman Key Exchange,算法：,1,生成素数,q,和其本原根,a,，并公开；,2 A,随机生成,X,A,q;,计算,Y,A,=a,X,A,mod q,公开,Y,A,假设：,A,与,B,要进行密钥交换,A,计算,K=(Y,B,),X,A,mod q,B,计算,K=(Y,A,),X,B,mod q,很容易证明上面两个式子相等,(P216),3 B,随机生成,X,B,q;,计算,Y,B,=a,X,B,mod q,公开,Y,B,27,攻击,要确定离散对数！,对于很大的数来说很困难,计算上不可行！,28,随机数产生,随机数的用途,会话密钥的产生,鉴别方案中用来避免重放攻击,每次使用不同的随机数,RSA,密钥产生,大素数的产生和测试,很多挑战,-,应答协议里的挑战因素,*安全不仅依赖于密钥的保密，,也依赖于随机数的质量,29,随机数的质量要求,均匀分布,在任何尺度上看其统计规律是均匀的,比如,0,、,1,的平均各半,字节,0,255,的出现概率是,1/256,双字节,0,65535,的出现概率是,1/65536,等等,独立性,无法推导或预测，也不能靠观察过去预知将来，类似洗牌、抛硬币、摇奖等，否则大家就不会买彩票了，即不要相信那些计算彩票中奖号码的把戏,*无理数,e,，,，,2,，,30,真随机数来源,真随机数来源,确实有，比如,抛硬币（抛高点了）,摇奖器具,搅拌机（曾用过）,物理噪声发生器，白,/,背景噪声、热运动、齐纳击穿,但都不实用,尤其不适合软件产生,数字计算机本身不能产生真正的不可预测的随机数,专用硬件,(,芯片,/,板卡,),Intel Random Number Generator,31,伪随机数产生器,理论研究有很多，迭代是一个一般性的思路,x0,seed,x1,f,（,x0,）,x2,f,（,x1,）,x3,f,（,x2,）,x i,f,（,xi,1,）,即,x,f,（,x,）迭代,线性同余方法,X,0,=seed,X,i+1,(aX,i,+c)%m,要求,循环周期为,m,能够通过随机性测试,取值,m,2,31,1,a,7,5,16807,（,IBM,）,32,线性同余是可预测的,线性同余不能产生密码学要求的随机数,随机性表现和抛硬币出来的几乎没有差别,但是完全依赖于种子,x0,的选取,在选定了种子后，就没有随机性了，因为可以算出来,x,1,ax,0,c,m,x,2,ax,1,c,m,求,a,、,c,、,m,x,3,ax,2,c,m,线性同余可改造,但是不如干脆不用的好,33,基于加密算法的产生方法,34,ANSI X9.17 PRNG,时间,保密且专用,随机数,新种子,种子,EDE:3DES,35,Blum Blum Shub PRNG(,史上最强,),方法,x,0,seed,n=pq,p,q,3(mod 4),x,i,x,i-1,2,n,取,x,i,的最低比特输出,特点,优点是很好的不能预测性质,预测等价于解离散对数问题,缺点是很慢,因为要求,n,很大,*故只适合密码学上应用,p,q:,两个大素数,例如：,7,11,X,0,与,n,互素,36,