上海交大密码学课件第14讲：安全实践

1、第十五讲：安全实践第十五讲：安全实践郑东上海交通大学计算机科学系 14 实践中的安全实践中的安全, 用户识别用户识别 n密码学应用n安全 email (s/mime, pgp), n用户身份识别问题. 1. 实践中的安全实践中的安全 email-安全安全email 是使用最广泛的网络业务 消息不安全 可以在传输过程被窃听可以在目的地被窃听 2. email 安全服务安全服务 n机密性n认证性 n消息完整性n消息不可否认性 3. 安全安全 email 实施实施n需要利用公钥算法及证书机制进行密钥交换及认证n使用对称加密算法 4. pem & s/mime npem 是安全 email标准

2、 ns/mime（安全/通用internet邮件扩充）n保密性 - des 加密 n完整性- des encrypted hash (md2/md5) n认证性 - des 或 rsa 加密的hash n不可否认性 - rsa 加密的hash n密钥管理：n中心在线-私钥服务器n公钥证书，使用 x.509 强认证 n由证书机构签发ca) ns/mime 修改版本:n使用 des, triple-des, rc2nx.509 证书5. pgpnpretty good privacy n广泛使用的安全 email 标准nphil zimmermann 开发n可以用在 unix, pc, macin

3、tosh and amiga systems n最初是免费的! 现在已有商业版n保密性 - idea encryption n完整性 - rsa encrypted mic (md5) n认证与不可否认性 - rsa encrypted mic npgp公钥管理（参见书p292) 6. pgp程序程序n所有的 pgp功能有一个程序运行n必须集成在 email/news n每个用户要有一个已知的密钥环n包括公开密钥和私钥 (用口令保护) n公开密钥可以直接传送n公钥对由可信方签发n用于签名或加密n用于验证接收到的消息8. pgp 8. pgp 使用使用 n现在可以合法被任何人使用: n非商业版可

4、以合法使用 (in us/canada ）with licenced mit version n商业版本是 viacrypt version（ in us/canada ）n其它国家的非商业应用（ outside the us） 是国际版本（ international version ）n国际版的商业应用需要idea许可证（ 美国以外使用）9.pgp服务功能n数字签名 dss/sha或rsa/shan消息加密 cast-128或idea或3des + diffie-hellman或rsan数据压缩 使用zip对报文压缩，用于存储或传输n邮件兼容 加密的报文可以使用64基转换算法转换成asci

5、i字符（radix 64）n数据分段n-为满足最大报文长度的限制，pgp完成报文的分段和重新装配ks: session keykra : 用户a的私钥kua: 用户a的公钥ep: 公钥加密dp: 公钥解密ec: 常规加密dc: 常规加密h: 散列函数|: 连接z: 用zip算法数据压缩r64 : 用radix64转换到ascii格式9.1记号说明9.2 只进行鉴别的服务n图a 的步骤：n1. 发送者创建报文n2. 使用sha-1生成160bit散列码n3. 使用发送者私钥,采用rsa算法,对散列码签名,并串接在报文前面n4. 接收者使用发送者的公钥,验证签名结果 9.3 只保证机密性的服务n图

6、bn1. 发送者生成报文和对称加密的会话密钥n2.采用cast-128(或idea,3des),使用会话密钥对压缩的报文加密n3. 采用rsa,使用接收者的公开密钥,对对会话密钥加密,并附加在报文前n4. 接收者采用rsa算法,使用自己的私有密钥对会话密钥进行解密n5.使用会话密钥解密报文n图cn1.先对报文生成签名，并附加在报文首部，n2。利用对称算法，对明文和签名加密，n3。使用rsa对会话密钥进行加密。9.4 鉴别与机密性服务9.5 数据压缩n发生在签名后、加密前。n对邮件传输或存储都有节省空间的好处。9.6 分段与重组nemail常常受限制于最大消息长度（一般限制在最大50000字节）

7、n更长的消息要进行分段，每一段分别邮寄。npgp自动分段，（在其它处理完成之后进行）并在接收时自动恢复。n签名只需一次，在第一段中。pgp报文的传输和接收10 加密密钥和钥匙环npgp使用四种类型的密钥：一次性会话传统密钥，公钥，私钥，基于口令短语的常规密钥。n三种独立的需求： 1、需要一种生成不可预知的会话密钥的方法 2、允许用户有多个公开/私有密钥对。需要某种方法来标识具体的密钥。 3、每个pgp实体必须维护一个保存其公钥/私钥对文件，及保存通信对方公钥的文件。10.1会话密钥的生成n128位的随机数是由cast-128自己生成的。输入包括一个128位的密钥和两个64位的数据块作为加密的输

8、入。使用cfb方式，cast-128产生两个64位的加密数据块，这两个数据块的结合构成128位的会话密钥。（算法基于ansi x12.17）n作为明文输入的两个64位数据块，是从一个128位的随机数流中导出的。这些数是基于用户的键盘输入的。键盘输入时间和内容用来产生随机流。因此，如果用户以他通常的步调敲击任意键，将会产生合理的随机性。n参见附录12c10.2 密钥标识符n一个用户有多个公钥/私钥对时，接收者如何知道发送者是用了哪个公钥来加密会话密钥？ 将公钥与消息一起传送。（浪费空间） 将一个标识符与一个公钥关联。对一个用户来说做到一一对应。npgp的解决方法：n定义keyid 包括64个有效

9、位：(kua mod 264)npgp的数字签名也需要keyid。（接受者必须知道用哪个密钥验证）会话密钥部分keyid of recipientspublic key (kub)session key(ks)timestampkeyid of senderspublic key (kua)leading two octetsof message digestmessage digest签名filenametimestampdata报文ekubekrazipeksr64contentoperationpgp消息的一般格式（a to b)10.3 密钥环n私有密钥环的一般结构 时间戳 密钥id

10、公开密钥： 私有密钥：密钥对的私有密钥部分（加密的内容） 用户id，典型值是电子邮件，也可以选取其它值。可以用用户id或密钥id来索引钥匙环n密钥环的结构pgp报文生成pgp报文接收10.4 pgp公钥管理n由于pgp广泛地在正式或非正式环境下应用，没有建立严格的公钥管理模式。n密钥管理的重要性如果a的公钥环上有一个从bbs上获得b发布的公钥，但已暴露给c了，这是就存在两条通道。c可以向a发信并冒充b的签名，a以为是来自b；a与b的任何加密消息c都可以读取。n若干种方法可用为了防止a的公钥环上包含错误的公钥，有4种于降低这种风险。10.5 四种方法1、物理上得到b的公钥。2、通过电话验证公钥。

11、 b将其公钥email给a，a可以用pgp对该公钥生成一个160位的sha-1摘要，并以16进制显示。这一特点称作密钥的“指纹”。然后a打电话给b，让b在电话中对证“指纹”。如果双方一致，则该公钥被认可。3、从双方都信任的个体d处获得b的公钥。 d是介绍人，生成一个签名的证书。其中包含b的公钥，密钥生成时间。d对该证书生成一个sha-1摘要，用其私钥加密这个摘要，并将其附加在证书后。因为只有d能够产生这个签名，没有人可以生成一个错误的公钥并假装是d签名的。这个签名的证书可以由b或d直接发给a，也可以贴到公告牌上。4、从一个信任的ca中心得到b的公钥。11.s/mimens/mime(安全/通用

12、internet邮件扩充：secure/multipurpose internet mail extension)ns/mime可能作为商业和组织使用的工业标准，pgp作为个人安全电子邮件的选择11.1 rfc822nrfc 822 定义了使用电子邮件发送正文报文的格式。nrfc 822 标准结构简单: -一些首部行及正文主体组成.例:见p296.11.2 通用internet 邮件扩充mimenmime 是rfc822框架的扩充, 是为了解决使用smtp或其他邮件传输协议以及rfc822 传递邮件的一些问题和局限11.3 mime 概述nmime 规约: 1. 定义了5个新的,可以包含在rf

13、c 822 报文首部的字段,这些字段提供了有关报文主体的信息. 2. 定义了一组内容格式,标准化了支持多媒体电子邮件的表示 3. 定义了传送编码,使得任何格式的内容都可以转换成一种保护于不同邮件系统之外的形式 11.4 s/mime 的功能n与pgp功能相似-加密-签名-?-签名并且加密的数据12. 用户的身份鉴别n用户身份鉴别 (identity verification) -向系统证明你的身份-在系统向你提供服务之前n用户鉴别基于三种方法 -你知道什么 -你有什么 -你是什么 12.1 用户身份鉴别方法n用户提供的信息与用户信息表对应，如个一致，验证通过。12.2 你知道什么口令或口令短语

14、n先为用户注册提供用户名和口令短语 n通过验证口令的正确性鉴别用户身份n在有些系统, 口令以明文的形式存储，现在认为是不安全 n常使用一个单向函数，有输出值难以计算输入值n可以取固定大小的输入 (eg 8 chars) n或采用hash函数，可以接受任意大小的输入n需要精心选择口令，防止对穷搜索攻击12.3 你知道什么一次性口令n传统口令存在的问题在不安全信道上传输口令容易被窃听n一种解决方法：使用一次性口令 -这些口令都是使用一次 -下一个口令不能由前面的口令预料n或提前生成口令列表，每次使用一个n或利用单向函数生成序列？12.4 你有什么?n通过验证用户拥有某些对象对身份进行鉴别(常与口令联系在一起)n被动的或主动的n被动的对象常常是磁卡或磁性电键