计算机网络安全02.ppt

2020 1 12 计算机网络安全02 1 计算机网络安全 2 密码系统的基本概念和常规加密方法杨寿保中国科技大学计算机系syang 3601540二 六年三月 2020 1 12 计算机网络安全02 2 密码学的历史演变 1918 WilliamFriedman sTheIndexofCoincidenceanditsApplicationsinCryptographyEdwardHebern RotorMachinefor50Years 1949 ClaudeShannon sTheCommunicationTheoryofSecrecySystem 成为理论基础1949 1967 CryptographicLiteraturewasbarren1974 IBM LucifferCipher 128位密钥作分组加密 2020 1 12 计算机网络安全02 3 密码学的历史演变 续 1975 Diffie Hellman ANewDirectioninCryptography 首次提出适应网络保密通信的公开密钥思想 揭开现代密码学研究的序幕 具有划时代的意义1976 1977 美国国家标准局正式公布实施DES DataEncryptionStandard1977 1978 Rivest Shamir Adelman第一次提出公开密钥密码系统的实现方法RSA1981 成立InternationalAssociationforCryptologyResearch1985 ElGamal提出概率密码系统ElGamal方法1990 1992 LaiXuejiaandJames IDEA TheInternationalDataEncryptionAlgorithm2000 AES AdvancedEncryptionStandard 2020 1 12 计算机网络安全02 4 Cryptology 保密学 源自希腊语 Greek Krypt s hidden logos word 是密码学和密码处理过程的研究 Cryptography TheScienceandStudyofSecretWriting 密码编码学Cryptanalysis TheScienceandStudyofSecretBreaking 密码破译学Cipher Asecretmethodofwriting加密方法Encipher encipherment encryption 将明文转换成密文的过程Decipher decipherment decryption 将密文还原成明文的过程Plaintext cleartext 原始的可读数据 明文Ciphertext Cryptogram 加密后的不可解读之文件 密文Key 密钥 对加密与解密过程进行控制的参数E m EncryptionTransformation加密变换D c DecryptionTransformation解密变换 密码学基本术语Terminologies 2020 1 12 计算机网络安全02 5 简单加密系统模型什么是密码 简单地说它就是一组含有参数K的变换E 设已知消息m 通过变换Ek得密文C 即 这个过程称为加密 E为加密算法 k不同 密文C亦不同 传统的保密通信机制 2020 1 12 计算机网络安全02 6 TheoreticalSecurity orPerfectSecurity andPracticalSecure orComputationallySecure 理论安全 或无条件安全 攻击者无论截获多少密文 都无法得到足够的信息来唯一地决定明文 Shannon用理论证明 欲达理论安全 加密密钥长度必须大于等于明文长度 密钥只用一次 用完即丢 即一次一密 One timePad 不实用 实际安全 或计算上安全 如果攻击者拥有无限资源 任何密码系统都是可以被破译的 但是 在有限的资源范围内 攻击者都不能通过系统地分析方法来破解系统 则称这个系统是计算上安全的或破译这个系统是计算上不可行 ComputationallyInfeasible 理论安全和实际安全 2020 1 12 计算机网络安全02 7 密码编码学 Cryptography 密码编码系统根据以下三个独立方面进行分类 用于将明文转换为密文操作的类型 替代和置换所使用的密钥的数量 对称密码体制 单钥系统 秘密密钥系统非对称密码体制 双钥系统 公开密钥系统明文处理的方式 分组加密和流加密密码分析学 Cryptanalysis 试图破译密文得到明文或试图获得密钥的过程为密码分析 密码破译的策略取决于加密方法及可供破译者使用的信息 Cryptology密码学 2020 1 12 计算机网络安全02 8 加密的基本概念 密码体制加密系统采用的基本工作方式称为密码体制 密码体制的基本要素是密码算法和密钥 密码算法是一些公式 法则或程序 密钥是密码算法中的控制参数 加密系统可以用数学符号来描述 S P C K E D P 明文空间C 密文空间K 密钥空间E 加密变换D 解密变换k K 则有C Ek P P Dk C Dk Ek P 或者Dk Ek 1 且Ek Dk 1 2020 1 12 计算机网络安全02 9 现代密码学的基本原则设计加密系统时 总是假定密码算法是可以公开的 需要保密的是密钥 一个密码系统的安全性不在算法的保密 而在于密钥 即Kerckhoff原则 对加密系统的要求系统应该是实际上安全的 practicalsecure 截获密文或已知明文 密文对时 要决定密钥或任意明文在计算上是不可行的 加密解密算法适用于密钥空间中的所有元素 系统易于实现 使用方便 系统的安全性不依赖于对加密体制或加密算法的保密 而依赖于密钥 系统的使用不应使通信网络的效率过分降低 2020 1 12 计算机网络安全02 10 数据加密系统中诸元素的关系 2020 1 12 计算机网络安全02 11 加密系统由以下五部分组成 Plaintext 明文Encryptionalgorithm 加密算法SecretKey 密钥Ciphertext 密文Decryptionalgorithm 解密算法加密算法必须足够强大 使破译者不能仅根据密文破译消息 Securitydependsonthesecrecyofthekey notthesecrecyofthealgorithm 常规加密模型 2020 1 12 计算机网络安全02 12 2020 1 12 计算机网络安全02 13 2020 1 12 计算机网络安全02 14 变位法 Permutationortransposition 改变明文内容元素的相对位置 保持内容的表现形式不变 矩阵转置密码算法图形转置密码算法 加密的基本方法 2020 1 12 计算机网络安全02 15 替换法 Substitution 改变明文内容的表示形式 保持内容元素之间相对位置不变 1 单表替换密码算法明文字母用密文中对应字母代替 例 明文字母表P p0 p1 pn 1 密文字母表C c0 c1 cn 1 密钥为正整数k 加密 i k j modn 解密 j k i modn 例 恺撒密码CaesarCipher加密 C E p p k mod26解密 p D C C k mod26 0 A 1 B 25 Z 2020 1 12 计算机网络安全02 16 2 同义 homophonic 替换密码算法每个字符有多个替换的可能性 解密时替换是唯一的 3 多字母替换密码算法将一组字符分别用其他不同的文字群来代替 4 插入式密码算法将明文嵌入其他信息中加以隐蔽 如插入到文章中 或嵌入图象文件中 一幅1024x1024灰度的图象可以隐藏64K字节的密文 5 连锁替换式密码算法前面输出的密文作为后面加密的密钥 形成一个加密链 chain 又称自身密钥式密码算法 2020 1 12 计算机网络安全02 17 对称密码体制和非对称密码体制对称密码体制 SymmetricSystem One keySystem Private keySystem 加密密钥和解密密钥相同 或者一个密钥可以从另一个导出 能加密就能解密 加密能力和解密能力是结合在一起的 开放性差 非对称密码体制 AsymmetricSystem Two keySystem Public keySystem 加密密钥和解密密钥不相同 从一个密钥导出另一个密钥是计算上不可行的 加密能力和解密能力是分开的 开放性好 密码体制 2020 1 12 计算机网络安全02 18 确定型密码体制和概率密码体制确定型 当明文和密钥确定后 密文也就唯一地确定了 概率型 当明文和密钥确定后 密文通过客观随机因素从一个密文集合中产生 密文形式不确定 称为概率型密码体制 单向函数型密码体制和双向变换型密码体制单向函数型密码体制适用于不需要解密的场合 容易将明文加密成密文 如哈希函数 双向变换型密码体制可以进行可逆的加密 解密变换 2020 1 12 计算机网络安全02 19 安全的基本概念加密系统的安全性基于计算可行性 越不可行越安全 衡量不可破译性的尺度称为保密强度 若能从C推导出P或K 或从P和C推出K 则该系统是可破的 若不能从C推出P或K 则该系统是理论上不可破译的 若原则上可破 但在希望的时间内不可破 称为实际不可破译的 破译代价是否大于可能获得的结果 破译时间是否大于结果的有效期 是否能产生足够多的数据供破译使用 攻击的目标彻底攻破 Totalbreak 密钥被发现全局推演 Globaldeduction 找到与加密密钥等价的密钥 可以解密 不能加密实例推演 Instance localdeduction 局部推演 发现一个明文 密文对信息推演 Informationdeduction 发现与实际使用的密钥或明文有关的信息 加密系统的安全问题 2020 1 12 计算机网络安全02 20 对加密系统的攻击 2020 1 12 计算机网络安全02 21 被动攻击 试图了解密文和密钥的内容未知算法攻击 仅从密文进行破译仅知明文攻击 根据加解密算法和密文进行破译已知明文攻击 攻击者拥有部分密文和对应的明文 要找密钥选择明文攻击 有选择地使用任意明文和与之对应的密文信息选择密文攻击 有选择地使用密文和与之对应的明文信息主动攻击意图篡改或伪造密文 以达到伪造明文的目的 象合法用户一样发送加密信息 可以截获或重发信息 可以任意篡改信息 对加密系统的攻击 2020 1 12 计算机网络安全02 22 加密算法的选择公开发表的加密算法政府指定的加密算法著名厂家产品使用专家推荐的加密算法通信信道的加密链路加密 点到点加密高层连接加密 端到端加密存储数据的加密硬盘级加密和文件级加密 加密的使用 2020 1 12 计算机网络安全02 23 一次一密密码系统 One timePAD 是一种序列密码 由AT T的G W Vernam发明 明文信息逐位逐字符与永不重复的随机密钥序列相加 所有密钥K1 k2 kn都用随机方法产生 每个密钥只用一次 密钥长度等于明文长度 如 明文码11010密文码00111 密钥码11101 密钥码11101 密文00111明文11010加密解密 对称密码体制 2020 1 12 计算机网络安全02 24 分组密码是在密钥控制下一次变换一个明文分组的密码体制 1 要求分组长度足够大 以防穷举明文空间攻击密钥量应足够大 以防穷举密钥空间攻击密码算法足够复杂 攻击者除了用穷举法之外 找不到其他简洁的数学破译方法 2 基本方法替换substitution 为2k个可能的输入确定一个k位的输出 有2k k 之多 变位transposition 对输入的k个比特重新排列 得新的k位输出 有k 个 将两者结合 对每一块分组基于密钥替换一次 再变位一次 构成一轮 重复多次构成循环 这个循环的正向进行或反向进行则构成了加密和解密 分组加密 2020 1 12 计算机网络安全02 25 背景概述1972年 NBS NIST 美国国家标准局征集加密标准1974年 IBM的Tuchman和Meyers发明Luciffer加密算法1976年 NBS公布DES 1976 11 23 当年估计破译需要2283年时间 1981年 DES成为ANSIX3 92标准 改称DEA 1990年 Shamir和Biham提出破译各种分组加密算法的差分密码分析方法 DifferentialCryptanalysis 通过明文 密文对之间的差别分析来寻找最大可能的密码 再辅以穷尽分析 1997年1月28日 RSA公司发起破译RC4 RC5 MD2 MD5 以及DES的活动 破译DES奖励10000美金 明文是 Strongcryptographymakestheworldasaferplace 256 72 057 584 037 927 936 7 2亿亿 从3 18 6 17 仅搜索了24 6 的密钥空间便得到结果 DataEncryptionStandard DES 2020 1 12 计算机网络安全02 26 对密钥穷尽搜索所需的平均时间 2020 1 12 计算机网络安全02 27 DES的基本工作原理 用56位的密钥加密64位长的数据块 得到64位长的密文 将明文分成左右两部分 Li Ri 1Ri Li 1xorF Ri 1 Ki 将32 bit右半部和48 bit子密钥做以下动作 expandsRto48 bitsusingpermEaddstosubkeypassesthrough8S boxestoget32 bitresultfinallypermutesthisusing32 bitpermP 2020 1 12 计算机网络安全02 28 2020 1 12 计算机网络安全02 29 初始置换IP InitialPermutation 和逆置换 2020 1 12 计算机网络安全02 30 扩展置换和置换函数 2020 1 12 计算机网络安全02 31 2020 1 12 计算机网络安全02 32 SubstitutionBoxesS HaveeightS boxeswhichmap6to4bitsEachS boxisactually4little4bitboxesouterbits1 6 rowbits selectonerowsinnerbits2 5 colbits aresubstitutedresultis8lotsof4bits or32bitsRowselectiondependsonbothdata keyfeatureknownasautoclaving autokeying Example S 1809123d11173839 5fd25e03 2020 1 12 计算机网络安全02 33 2020 1 12 计算机网络安全02 34 2020 1 12 计算机网络安全02 35 子密钥的产生 FormssubkeysusedineachroundConsistsof initialpermutationofthekey PC1 whichselects56 bitsintwo28 bithalves16stagesconsistingof selecting24 bitsfromeachhalfpermutingthembyPC2foruseinfunctionf rotatingeachhalfseparatelyeither1or2placesdependingonthekeyrotationscheduleK 2020 1 12 计算机网络安全02 36 子密钥的产生 2020 1 12 计算机网络安全02 37 DES的解密是加密的逆过程 采用相同算法 但是子密钥使用的次序正好相反 雪崩效应AvalancheEffect明文或密钥的一比特的变化 引起密文许多比特的改变 如果变化太小 就可能找到一种方法减小有待搜索的明文和密文空间的大小 如果用同样密钥加密只差一比特的两个明文 0000000000000000 000000001000000000000000 000000003次循环以后密文有21个比特不同 16次循环后有34个比特不同如果用只差一比特的两个密钥加密同样明文 3次循环以后密文有14个比特不同 16次循环后有35个比特不同 2020 1 12 计算机网络安全02 38 2020 1 12 计算机网络安全02 39 密钥长度问题56 bit密钥有256 72 057 584 037 927 936 7 2亿亿之多强力搜索 bruteforcesearch 似乎很困难 20世纪70年代估计要1000 2000年技术进步使穷举搜索成为可能1997年1月28日 RSA公司发起破译RC4 RC5 MD2 MD5 以及DES的活动 破译DES奖励10000美金 明文是 Strongcryptographymakestheworldasaferplace 结果仅搜索了24 6 的密钥空间便得到结果 耗时96天 1998年在一台专用机上 EFF 只要几天时间即可1999年在超级计算机上只要22小时 S box问题 其设计标准没有公开差分密码分析攻击问题 DES不能抵御差分分析 DES的安全强度 2020 1 12 计算机网络安全02 40 主要利用了加密器的一些深层的结构搜集加密信息最终设法恢复部分或全部子密钥的位如果必要的话对其余部分再辅以穷举搜索这些攻击实际上是统计分析 包括差分分析线性分析相关密钥攻击 针对DES的密码分析攻击 2020 1 12 计算机网络安全02 41 差分与线性密码分析 差分密码分析DifferentialCryptanalysis历史1990年 Murphy Biham和Shamir首次提出用差分密码分析攻击分组密码和散列函数 是第一种可以以少于255的复杂性对DES进行破译的方法 差分密码分析攻击方法两个报文的异或 m m m 中间过程有 mi mi mi 则 2020 1 12 计算机网络安全02 42 如果使用相同子密钥 对于f 具有系统差值的许多输入对将产生相同的输出差值 即如果在异或值为X的输入对中 有p部分使输出异或值为Y 则X产生Y的概率为p 假定存在很多X 具有很大概率产生一个特定的输出差值 如果已知 mi 1和 mi具有很大概率 则 mi 1也具有很大概率 如果确定很多这样的差值 则容易确定函数f中使用的子密钥 右图说明差值经过三次循环后的传播情况 输出差值为所示差值的概率为0 25x1x0 25 0 0625 2020 1 12 计算机网络安全02 43 双重DES DoubleDES 双重DES DoubleDES 给定明文P和加密密钥K1和K2 加密 C EK2 EK1 P 解密 P DK1 DK2 C 密钥长度为56x2 112位存在中途相遇攻击问题 2020 1 12 计算机网络安全02 44 这种攻击对使用两次加密的分组密码都有效C EK2 EK1 P 则X EK1 P DK2 C 若已知 P C 则对256个可能的K1加密P 结果存入表中 按X值排序对256个可能的K2解密C 在表中寻找匹配如果产生匹配 则用一个新的明文密文对检测所得两个密钥如果两密钥产生正确的密文 则接受为正确密钥对任意给定的明文P 双重DES产生的密文有264可能 使用密钥有2112可能 平均来说对一个给定的明文P 将产生给定密文C的不同的112位密钥的个数是2112 264 248 即虚警为248 再加上一个64位已知明文密文对 虚警降低到2 16 中途攻击检测到正确密钥的概率是1 2 16 攻击双重DES 工作量仅为256 中途相遇攻击 Meet in the MiddleAttack 2020 1 12 计算机网络安全02 45 两个密钥的三重DES使用加密 解密 加密的序列C EK1 DK2 EK1 P 穷举攻击的代价为2112 三个密钥的三重DES使用加密 解密 加密的序列C EK3 DK2 EK1 P 穷举攻击的代价为2168 2020 1 12 计算机网络安全02 46 分组密码的工作模式 2020 1 12 计算机网络安全02 47 电子密码本模式ElectronicCodebook ECB 明文分成64的分组进行加密 必要时填充 每个分组用同一密钥加密 同样明文分组得相同密文 2020 1 12 计算机网络安全02 48 AdvantagesandLimitationsofECBrepetitionsinmessagemayshowinciphertextifalignedwithmessageblockparticularlywithdatasuchgraphicsorwithmessagesthatchangeverylittle whichbecomeacode bookanalysisproblemweaknessduetoencryptedmessageblocksbeingindependentmainuseissendingafewblocksofdata 2020 1 12 计算机网络安全02 49 密码分组链接模式CipherBlockChaining CBC 加密输入是当前明文分组和前一密文分组的异或 形成一条链 使用相同的密钥 这样每个明文分组的加密函数输入与明文分组之间不再有固定的关系 2020 1 12 计算机网络安全02 50 AdvantagesandLimitationsofCBC eachciphertextblockdependsonallmessageblocksthusachangeinthemessageaffectsallciphertextblocksafterthechangeaswellastheoriginalblockneedInitialValue IV knowntosender receiverhoweverifIVissentintheclear anattackercanchangebitsofthefirstblock andchangeIVtocompensatehenceeitherIVmustbeafixedvalue asinEFTPOS oritmustbesentencryptedinECBmodebeforerestofmessageatendofmessage handlepossiblelastshortblockbypaddingeitherwithknownnon datavalue egnulls orpadlastblockwithcountofpadsizeeg b1b2b300005 3databytes then5bytespad count 2020 1 12 计算机网络安全02 51 是一种将DES转化成流密码的技术 不再要求报文被填充成整个分组 可以实时运行 如果要传输一个字符流 每个字符都可以使用面向字符的流密码立刻加密和传输 加密 加密函数的输入是一个64位的移位寄存器 产生初始向量IV 加密函数高端j位与明文P1的第一单元异或 产生j位密文C1进入移位寄存器低端 继续加密 与P2输入异或 如此重复直到所有明文单元都完成加密 解密 采用相同方案 但是使用加密函数而非解密函数 密码反馈模式CipherFeedBack CFB 2020 1 12 计算机网络安全02 52 2020 1 12 计算机网络安全02 53 AdvantagesandLimitationsofCFB appropriatewhendataarrivesinbits bytesmostcommonstreammodelimitationisneedtostallwhiledoblockencryptionaftereveryn bitsnotethattheblockcipherisusedinencryptionmodeatbothendserrorspropagateforseveralblocksaftertheerror 2020 1 12 计算机网络安全02 54 输出反馈模式OutputFeedBack OFB 结构上类似CFB 但是OFB中加密函数输出被反馈回移位寄存器 CFB中是密文单元被反馈回移位寄存器 优点是传输中的比特差错不会传播 缺点是比CFB更容易受报文流篡改攻击 输出反馈模式OutputFeedBack OFB 2020 1 12 计算机网络安全02 55 2020 1 12 计算机网络安全02 56 AdvantagesandLimitationsofOFB usedwhenerrorfeedbackaproblemorwhereneedtoencryptionsbeforemessageisavailablesuperficiallysimilartoCFBbutfeedbackisfromtheoutputofcipherandisindependentofmessageavariationofaVernamcipherhencemustneverreusethesamesequence key IV senderandreceivermustremaininsync andsomerecoverymethodisneededtoensurethisoccursoriginallyspecifiedwithm bitfeedbackinthestandardssubsequentresearchhasshownthatonlyOFB 64shouldeverbeused 2020 1 12 计算机网络安全02 57 Counter CTR a new mode thoughproposedearlyonsimilartoOFBbutencryptscountervalueratherthananyfeedbackvaluemusthaveadifferentkey countervalueforeveryplaintextblock neverreused Ci PiXOROiOi DESK1 i uses high speednetworkencryptions 计数器模式Counter CRT 2020 1 12 计算机网络安全02 58 Counter CTR 2020 1 12 计算机网络安全02 59 AdvantagesandLimitationsofCTR efficiencycandoparallelencryptionsinadvanceofneedgoodforbursthighspeedlinksrandomaccesstoencrypteddatablocksprovablesecurity goodasothermodes butmustensureneverreusekey countervalues otherwisecouldbreak cfOFB simplicity 2020 1 12 计算机网络安全02 60 背景1990年由瑞士苏黎世联邦工业大学的LaiXuejia和JamesMessey提出 1992年最终完成 算法形式同DES 用循环加密方式 64位明文经128位密钥加密成64位密文 穷举分析需要1038次试探 按每秒100万次计算说 则需要1013年 加密密钥与解密密钥不同 但是从一个主密钥派生出来 因此仍是对称的加密体制 目前尚无破译方法 算法本身倾向于软件实现 加密速度快 基本运算IDEA的基本操作是将两个16位的值映射成一个16位的值 操作是 半加 模216的加法 修改过的适应216范围的乘法x 先计算32位结果 然后再用216 1取余 IDEA InternationalDataEncryptionAlgorithm 2020 1 12 计算机网络安全02 61 IDEA的基本运算加密解密A B CC B AA B CC B AAxB CCxB 1 AIDEA工作原理64位数据分成4个子块 每个子块16位 X1 X2 X3 X4 全部共8轮迭代 每轮迭代都在4个子块彼此间及16位子密钥进行异或 模216的加法 和模216 1做乘法 任何一轮迭代第三和第四子块互换 2020 1 12 计算机网络安全02 62 2020 1 12 计算机网络安全02 63 2020 1 12 计算机网络安全02 64 2020 1 12 计算机网络安全02 65 2020 1 12 计算机网络安全02 66 穷举搜索 2128 1038次试探 每秒100万次需要1013年 用1024个ASIC芯片做需一天 抗差分分析和相关分析 无弱密钥问题 IDEA似不构成群 将子块长度由16位改为32位 密钥由128改为256 采用模232加 模232 1乘 可以进一步强化IDEA IDEA的安全性 2020 1 12 计算机网络安全02 67 使用常规加密方法进行保密通信 讨论加密逻辑功能所处的位置 使用加密防止通信量分析攻击的方法 密钥分配问题及随机数的产生加密功能的位置窃密攻击的可能位置从同一网上其他工作站发起的窃听使用拨号进入局域网或服务器进行窃听使用外部路由链接进入网络和窃听在外部链路上对通信业务的监听和修改 2020 1 12 计算机网络安全02 68 链路加密与端到端加密 2020 1 12 计算机网络安全02 69 Linkencryptionencryptionoccursindependentlyoneverylinkimpliesmustdecrypttrafficbetweenlinksrequiresmanydevices butpairedkeysEnd to endencryptionencryptionoccursbetweenoriginalsourceandfinaldestinationneeddevicesateachendwithsharedkeysTrafficAnalysiswhenusingend to endencryptionmustleaveheadersinclear sonetworkcancorrectlyrouteinformationhencealthoughcontentsprotected trafficpatternflowsarenotideallywantbothatonceend to endprotectsdatacontentsoverentirepathandprovidesauthenticationlinkprotectstrafficflowsfrommonitoring 2020 1 12 计算机网络安全02 70 2020 1 12 计算机网络安全02 71 PlacementofEncryptioncanplaceencryptionfunctionatvariouslayersinOSIReferenceModellinkencryptionoccursatlayers1or2end to endcanoccuratlayers3 4 6 7asmovehigherlessinformationisencryptedbutitismoresecurethoughmorecomplexwithmoreentitiesandkeysTrafficAnalysisismonitoringofcommunicationsflowsbetweenpartiesusefulbothinmilitary commercialspherescanalsobeusedtocreateacovertchannellinkencryptionobscuresheaderdetailsbutoveralltrafficvolumesinnetworksandatend pointsisstillvisibletrafficpaddingcanfurtherobscureflowsbutatcostofcontinuoustraffic 2020 1 12 计算机网络安全02 72 采用前端处理器FEP实现加密功能 端系统用户进程和应用使用同一个密钥采用同一个加密方案 2020 1 12 计算机网络安全02 73 存储转发通信的加密覆盖范围 2020 1 12 计算机网络安全02 74 各种加密策略所包含的内容 2020 1 12 计算机网络安全02 75 TrafficConfidentiality 可以从通信量分析攻击得到的信息类型IdentitiesofpartnersHowfrequentlythepartnersarecommunicatingMessagepattern length quantitythatsuggestimportantinformationisbeingexchangedTheeventsthatcorrelatewithspecialconversationsbetweenparticularpartners隐蔽信道问题 covertchannel 隐蔽信道就是以一种通信设施设计者未设想的方式进行通信的方法 通常这个信道被用于以一种违反安全规定的方式传送信息 2020 1 12 计算机网络安全02 76 链路加密方式 使用链路加密时分组首部要加密 因此可以减少通信量分析的机会 但攻击者仍有可能估算出网络上的通信量并观察到进入和离开每个端系统的通信量的大小 有效防范措施是通信量填充 trafficpadding 2020 1 12 计算机网络安全02 77 端到端加密方式 端到端加密方式使信息防护者可以采用的措施更有限 例如应用层加密可以使攻击者确定哪些通信实体参与了通信过程 传输层加密仍会透露网络层地址和通信量模式 解决办法是在传输层或应用层把所有数据单元都填充到一个统一的长度 以防止攻击者获得端用户之间交换的数据量信息 掩盖通信量模式 2020 1 12 计算机网络安全02 78 密钥分发问题symmetricschemesrequirebothpartiestoshareacommonsecretkeyissueishowtosecurelydistributethiskeyoftensecuresystemfailureduetoabreakinthekeydistributionscheme密钥分发可以采用的多种方法AcanselectkeyandphysicallydelivertoBThirdpartycanselect deliverkeytoA BIfA BhavecommunicatedpreviouslycanusepreviouskeytoencryptanewkeyIfA BhavesecurecommunicationswithathirdpartyC CcanrelaykeybetweenA B KeyDistribution 2020 1 12 计算机网络安全02 79 端到端加密所涉及的密钥分配任务的难度 N个结点需要的密钥数量是 N N 1 21000个结点需要多达50万个密钥 2020 1 12 计算机网络安全02 80 密钥层次结构的使用 2020 1 12 计算机网络安全02 81 一个密钥分配方案A和B各自拥有与KDC共享的主密钥KA和KB A向KDC发出请求 要求得到与B通信的会话密钥KDC用KA加密传送给A如下内容 一次性会话密钥KS原始请求报文用KB加密的要发给B的会话密钥KS和A的标识符IDAA得到会话密钥KS并将有关信息发给BA和B之间进行认证 并正式秘密通信Nonces 现时 可以是时间戳 计数器或随机数 inauthenticationprotocolstopreventreplay 2020 1 12 计算机网络安全02 82 2020 1 12 计算机网络安全02 83 层次化密钥控制建立一系列KDC 各个KDC之间存在层次关系 使得主密钥分配所涉及的工作量减至最小 因为大部分的主密钥都是由一个本地的KDC和它的本地实体共享的 并将出错或受到破坏的KDC的危害限制在它的本地区域会话密钥的使用寿命会话密钥更换越频繁就越安全对于面向连接的协议 每次会话使用新的密钥对于无连接的协议 每次交互使用新的密钥 或者每个固定时间或对于一定数量的交互使用一个给定的会话密钥 2020 1 12 计算机网络安全02 84 一种透明的密钥控制方案 2020 1 12 计算机网络安全02 85 分散式密钥控制 要求每个端系统能够与所有潜在的伙伴以安全方式为了会话密钥分配的目的进行通信 因此对于一个有n个端系统的配置可能需要多达 n n 1 2个主密钥 2020 1 12 计算机网络安全02 86 控制密钥的使用方式 因用途不同而定义的不同类型密钥数据加密密钥PIN加密密钥文件加密密钥依据密钥特征限制密钥的使用方式给予每个密钥一个关联标记 如DES64位密钥中留作做奇偶校验的8位非密钥比特1比特指示此密钥是主密钥还是会话密钥1比特指示此密钥是否可以用于加密1比特指示此密钥是否可以用于解密其余比特留待将来使用控制向量的方案 2020 1 12 计算机网络安全02 87 控制向量的加密和解密 2020 1 12 计算机网络安全02 88 随机数的产生 随机数randomnumbers的用途用于相互鉴别authentication 以防重放攻击会话密钥sessionkeys的产生Publickeygeneration 如在RSA算法中产生密钥Key streamforaone timepadNonces 现时 可以是时间戳 计数器或随机数 inauthenticationprotocolstopreventreplayStatisticallyrandom 随机程度 uniformdistribution 均匀分布 每个数出现的频率应该近似相等Independent 独立性 系列中的任意一个数都无法从其他数推测得到Unpredictable 不可预测程度 cannotinferfuturesequenceonpreviousvalues 2020 1 12 计算机网络安全02 89 随机数的来源BestsourceisnaturalrandomnessinrealworldFindaregularbutrandomeventandmonitorDogenerallyneedspecialhardwaretodothis e g radiationcounters radionoise audionoise thermalnoiseindiodes leakycapacitors mercurydischargetubes etc Problemsofbiasorunevendistributioninsignalhavetocompensateforthiswhensampleandusebesttoonlyuseafewnoisiestbitsfromeachsample 2020 1 12 计算机网络安全02 90 PublishedSourceAfewpublishedcollectionsofrandomnumbersRandCo in1955 published1millionnumbersgeneratedusinganelectronicroulettewheelhasbee