Internet安全协议与分析：PGP CSP

Internet安全协议与分析

PGP&CSP问题如何在无政府状态的网络上构造一种信任模型？如何基于上述模型分享信息？如何在网络上签订电子合同？PrettyGoodPrivacy

(PGP)Email工作原理PGP的源起E-mail是Internet上最大的应用,也是唯一的广泛跨平台、跨体系结构的分布式应用安全的电子邮件主要是解决身份鉴别和保密性的安全问题PGP-PrettyGoodPrivacy作者：PhilZimmermann，（undergraduate）提供可用于电子邮件和文件存储应用的保密与鉴别服务Openpgp(基于PGP5.x基础之上)已提交IETF标准化，RFC4880/html.charters/openpgp-charter.htmlRFCsRFC2440

(draft-ietf-openpgp-formats)OpenPGPMessageFormat1998-11RFC2440(ProposedStandard)

ObsoletedbyRFC4880

RFC3156

(draft-ietf-openpgp-mime)MIMESecuritywithOpenPGP2001-08RFC3156(ProposedStandard)RFC4880

(draft-ietf-openpgp-rfc2440bis)OpenPGPMessageFormat2007-11RFC4880(ProposedStandard)

UpdatedbyRFC5581

Errata

PGP公钥的分发PGP:无政府状态,用户决定信任与否.获取某人公钥并信任它,将其加入自己的PGP系统.公钥服务器(e.g.,http://math-www.uni-paderborn.de/pgp/).PGP的证书证书可选彼此之间可以颁发证书若你信任A并且获得A签名的C的公钥，则，你信任C的公钥所以PGP灵活易用存在的风险存在的问题PGP无政府结构:A被贿赂为C颁发证书A疏于检查(密钥和身份的对应)，签发证书.答案:用不用在你给公钥信任度给证书信任度证书的撤销可以在任意时间撤销(删除)公钥可以通过私钥来撤销公钥证书的颁发者可以撤销证书.证书或者密钥的有效期信任水平数据结构pubring.pgp:公钥和证书secring.pgp:私钥.三种信任水平:none,partial,complete个体的信任水平决定其签发的证书的信任水平.加密算法PGP加密处理过程格式PGP密钥环PGP中每个收发关系可以有多个密钥对.PGPKeyRing

–

密钥数据库.私钥以加密形式存在;密码用户输入形式决定.公钥环,私钥环信任模型公钥用于加密会话密钥或者校验签名.私钥用于解密会话密钥或者创建签名.来源和信任度?信任模型PGP采用weboftrust信任模型.无集中授权机构个体签名他人公钥，存入公钥环.PGP计算公钥环内每个公钥的信任度.用户解释信任水平.信任模型公钥信任水平决定于:

密钥的签名数目;每个签名的信任度.信任水平要不时进行计算.消息生成与接收消息生成PGP发送方:签名消息:PGP使用用户的id作为索引获取发送者的私钥.PGP提示用户输入口令来解密私钥。PGP创建签名.加密消息:PGP生成会话密钥，加密消息.PGP使用用户ID作为索引获取接受方的公钥.PGP创建会话消息消息接收PGP接受方：解密消息:PGP使用消息内密钥ID字段作为索引，获取私钥.PGP提示用户输入密钥解密私钥.PGP恢复会话密钥，解密消息.认证消息:PGP使用签名密钥的密钥id作为索引，获取公钥。.PGP恢复消息摘要.PGP计算消息摘要并和传输版本比较认证.软件实现Gnupg:1.2.2PGP8.0.2FreewareReferences/html.charters/pkix-charter.html/～poole/PGP.htmContractSigningProtocolQQ游戏5子棋，禁手执黑优势不公平性ContractSigning双方签订合同多方问题更加复杂合同对于双方已知审视合同协商过程，如拍卖行为攻击者可能是网络上的另一方签订合同的对象股票交易例子WillingtosellstockatpriceXOk,willingtobuyatpriceXstockbrokercustomer合同签订的意义?抵御价格波动买卖双方协议的证据异步的网络物理方案双方坐在一起同时签名交换复印件问题如何在网上签订合同?公平交换:同时成功或者失败一些限制一致性的问题若进程出错，则难以达成一致异步设置进程初始状态为0或者1，目标状态：0或者1一致性:进程不可以在不同的状态上达成一致性脆弱的有效性:有时会发生不同的决定异步提交的问题异步提交协议有一个“脆弱性窗口（windowofvulnerability）”-单个进程的延迟会导致系统的等待现象这种现象时有发生.TTP的源起需要一个可信第三方(TTP)没有TTP无法达成健壮的协议.

两类contractsigningGradual-releaseprotocolsAlice和Bob签订合同每次交换部分签名问题猜测剩余签名信息的难度逐渐降低Alice,Bob需要判断目前所得是合法签名的一部分增加可信第三方简单的TTPcontractsigningABTTPsignaturesignaturecontractcontract问题TTP存在瓶颈如何做到更好?乐观的contractsigning仅当必须时使用TTP可能完成协议，无须TTPTTP在被请求时候决断目标公平性:不允许欺骗对方及时性:不必无限等待其余属性…普通协议过程TTP可以强制合同签订，给定前两天消息的话，宣布合同签订成功ABIamgoingtosignthecontractIamgoingtosignthecontractHereismysignatureHereismysignature承诺和随机数哈西函数函数易于计算给定f(x),难于找到y满足f(y)=f(x)提交任选一x，发送f(x)给对方完成出示x改进的协议可信第三方可以强制签订合同

Thirdpartycandeclarecontractbindingbysigningfirsttwomessages.ABsign(A,contract,hash(rand_A))sign(B,contract,hash(rand_B))rand_Arand_B乐观的协议MKInput:PKK,T,textInput:PKM,T,textm1=sigM

(PKM,PKK,T,text,hash(RM))m2=sigK

(m1,hash(RK))m3=RMm4=RKm1,RM,m2,RKContractfromnormalexecutionContractissuedbythirdpartyAborttokenissuedbythirdparty不同的结果m1,RM,m2,RKsigT

(m1,m2)sigT

(abort,a1)TTP的职责T强制达成协议双方都同意的情况下T发放撤销令牌不发布合同T应约解决问题基于first-come-first-serve之上撤销还是签订仅仅在被M或者K请求下介入成交子协议TKNetMNetr1

=m1,m2r2aborted?Yes:r2

=sigT

(abort,a1)No:resolved:=true

r2

=sigT

(m1,m2)r2m1=sigM

(…hash(RM))m3=???m4=???m2=sigK

(…hash(RK))sigT

(m1,m2)sigT

(abort,a1)OR撤销子协议Mm2=???KNetworkTa1

=sigM

(abort,m1)a2resolved?Yes:a2

=sigT

(m1,m2)No:aborted:=true

a2

=sigT

(abort,a1)m1=sigM

(…hash(RM))sigT

(m1,m2)sigT

(abort,a1)OR公平性和适时性IfAcannotobtainB’ssignature,thenBshouldnotbeabletoobtainA’ssignatureandviceversaFairness“Oneplayercannotforcetheothertowait--afairandtimely

terminationcanalwaysbeforcedbycontactingTTP”Timeliness[Asokan,Shoup,WaidnerEurocrypt‘98]BAm1=sign(A,c,hash(r_A))sign(B,m1,hash(r_B))r_Ar_BAgreeABNetworkTAbort???ResolveAttack?BANetTsigT

(m1,m2)m1???m2ATAsokan-Shoup-Waidner协议Ifnotalreadyresolved

a1

sigT

(a1,abort)Later...sigM

(PKM,PKK,T,text,hash(RM))K重放攻击IntrudercausesKtocommittooldcontractwithMsigK

(m1,hash(QK))RMQKMKRMsigM

(…hash(RM))RKsigK

(...hash(RK))修正协议MKInput:PKK,T,textInput:PKM,T,textm1=sigM(PKM,PKK,T,text,hash(RM))m2=sigK(m1,hash(RK))m3=RMm4=RKm1,RM,m2,RK

sigM(

,hash(RK))电子合约签名的理想属性公平性一方得到合同，另一方也可以解释责任若有人欺骗，则消息流可以指认AbusefreeNopartycanshowthattheycandetermineoutcomeoftheprotocolAbuse-FreeContractSigningABPCSA(text,B,T)PCSB(text,A,T)sigA(text)sigB(text)[Garay,Jakobsson,MacKenzie]防止“abuse”PrivateContractSignature特殊的加密原语B无法将来自A的消息拿来，呈现给CT转换签名，但不自用TTP的作用T可将PCS转换为普通签名ResolvetheprotocolifnecessaryT发布撤销令牌PromisenottoresolveprotocolinfutureT仅仅在被请求时候介入decideswhethertoabortorresolveonafirst-come-first-servedbasisonlygetsinvolvedifrequestedbyAorB成交子协议BANetTr1

=PCSA(text,B,T),sigB(text)aborted?Yes:r2

=sigT(a1)No:resolved:=true

r2

=sigA(text)storesigB(text)r2

PCSA(text,B,T)???PCSB(text,A,T)sigT(a1)sigA(text)OR撤销子协议A

???BNetworkTa1=sigA(m1,abort)a2resolved?Yes:a2

=sigB(text)No:aborted:=true

a2

=sigT(a1)

m1=PCSA(text,B,T)sigB(text)sigT(a1)ORBAPCSA(text,B,T)PCSB(text,A,T)sigA(text)sigB(text）AgreeABNetworkT

m1=PCSA(text,B,T)Abort???ResolveAttackBANetTPCSA(text,B,T)sigB(text)

PCSA(text,B,T)???PCSB(text,A,T)BTsigT(abort)abort

ANDsigB(text)abortLeakedbyT攻击情形BPCSA(text,B,T),

sigB(text)

sigT(abort)PCSA(text,B,T)PCSB(text,A,T)TsigA(abort)sigT(abort)LeakedbyTabort

ANDsigB(text)onlyabort修正协议BPCSA(text,B,T),

PCSB(text,A,T)

PCSA(text,B,T)

PCSB(text,A,T)TIfTconvertsPCSintoaconventionalsignature,Tcanbeheldaccountable平衡没有哪一方能够单边决定结果Stocksaleexample:thereisapointintheprotocolwhere

thebrokercanunilaterallychoosewhetherthesalehappensornot乐观协议能否同时兼备公平和平衡?优势WillingtosellstockatpriceXOk,willingtobuyatpriceXstockbrokercustomerMustbeabletoaskTTPtocancelthisinstanceofprotocol,orwillbestuckindefinitelyifcustomerdoesnotrespond

可以继续执行，完成合同,OR

请求TTP撤销合同(TTPdoesn’tknowcustomerhasresponded)乐观等待响应…Chooseswhetherdealwillhappen:

doesnothavetocommitstockforsale,canca