2024密码安全技术基本知识

PAGEPAGE363密码技术基本知识2024目录TOC\o"1-3"\h\u13861密码算法 4236311.1.1.对称密码算法 4114131.序列密码和分组密码 689312.分组密码的工作模式 7154303.ZUC 1197644.SM4 1314495.AES 1546561.1.2.非对称密码算法 1692231.公钥密码模型 16241072.SM2 17243073.SM9 2052354.RSA 22153851.1.3.摘要算法 23239691.密码摘要算法的结构 2373732.密码摘要算法的应用 24277603.SM3 24114594.国外摘要算法 266657密码协议 27214641.2.1.密钥交换协议 28156331.Diffie-Hellman 28109662.MQV 28235883.SM2 29132031.2.2.实体鉴别协议 2965711.2.3.综合密码协议 30222431.IPSec 30293572.SSL 3032557密码认证 31275231.3.1.单向散列函数 317339(1)检测软件是否被篡改 3225508(2)基于口令的加密 322200(3)消息认证码 3320625(4)数字认证 339943(5)伪随机数生成器 3324929(6)一次性口令 33250551.3.2.消息认证码 35224041.什么是消息认证码 35150822.消息认证码实现方法 3617083.消息认证码应用 37145211.3.3.数字签名 38156221.什么是数字签名 3844672.数字签名使用 3877143.数字签名应用 3841901.3.4.证书 3936481.什么是证书 39323912.证书使用方法 40309393.证书应用 4019865密钥管理 42216651.4.1.密钥全生命周期管理 42323661.密钥生成 4262172.密钥存储 43187193.密钥导入导出 43119954.密钥分发 43313895.密钥使用 44121316.密钥备份和恢复 45235837.密钥归档 45315358.密钥销毁 45232681.4.2.对称密钥管理 46161316.1.4.3. 公钥基础设施 476938密码价值 50304431.5.1.机密性 50140571.5.2.完整性 50208771.消息鉴别码实现完整性 51130452.数字签名实现完整性 51305131.5.3.真实性 53153171.基于密码技术的鉴别机制 5366102.基于静态口令的鉴别机制 5472453.基于动态口令的鉴别机制 5479294.基于生物特征的鉴别机制 5467331.5.4.不可否认性 55310281.起源的不可否认 5564102.传递的不可否认 55本节简要介绍密码的概念和作用，指出密码需要合规、正确、有效地使用，并对密码技术的核心内容：密码算法、基于密码的认证、密钥管理、密码协议、密码功能进行介绍。[56]密码算法码算法、公钥密码算法和摘要密码算法。对称密码算法图109对称密码加密和解密基本流程二是分组密码。序列密码和分组密码序列密码和分组密码的区别分组、密钥和初始向量一起作为输入，通过分组加密算法直接输出密文分组。图110序列密码和分组密码的加密流程初始向量密文是不同的。分组密码的工作模式我国于2008年发布了规定分组密码算法工作模式的国家标准GB/T17964-2008《信息安全技术分组密码算法的工作模式》。在分组密码算法中，模式、密文分组链接（CBC）模式、密文反馈（CFB）模式、输出反馈（OFB）模模式、GCMECB、CBC、CTR、GCMECBECB，ECB所示。图111ECB模式的加密和解密流程可以看出ECB模式具有如下性质：对某一个分组的加密或解密可独立于其他分组进行；对密文分组的重排将导致明文分组的重排；不能隐蔽数据模式，即相同的明文分组会产生相同的密文分组；ECBCBCCBCIV密文分组不仅与当前明文分组有关，而且通过反馈作用还与以前的明文分组有IV图112CBC模式的加密和解密流程CBC模式具有如下性质：组的重新编排不会导致对相应明文分组的重新编排。IVIVIVIVECB分组执行解密操作可以获得明文分组，因此解密过程可以并行化。MAC。MACCTRCTRCTR密和解密流程如下图所示。图113CTR模式的加密和解密流程IV01IVCTR模式具有如下性质：支持加密和解密并行计算，可事先生成密钥流，进行加密和解密准备。♘用到了分组密码算法的分组加密操作。传播。GCMGCM是认证加密模式中的一种，是遵循EtM方式（先加密后认证Encrypte-then-MAC，EtM）MACCTRGMACIPIPMACEkkSM4图114GCM模式的加密流程GCM模式具有如下性质：能同时确保数据的保密性、完整性及真实性。可以提供附加消息的完整性校验。ZUCZUC（祖冲之密码算法）是我国发布的商用密码算法中的序列密码算法，可用于数据保密性保护、完整性保护等。ZUCZUC（LFSR）、比特重组（BR）F7ZUC16LFSRBR，F。图115ZUC算法结构ZUCZUC128128IVLFSRZUCZUC128-EEA34G备和无线网络控制设备之间的无线链路上通信信令和数据的加密和解密。ZUC128-EIA34G备和无线网络控制设备之间的无线链路上通信信令和数据的完整性校128-EIA3MACMACZUCZUC较高的安全冗余，并且算法速度快，软/硬件实现性能都比较好。SM4SM4WAPI2006201238GB/T32907-2016分组密码算法》。SM4SM412812832（非FeistelFeistel32每一轮迭代的函数是相同的，不同的是输入的轮密钥。图116迭代加密算法的基本结构SM4算法中密钥扩展算法和加密算法的结构如下图所示。图117SM4算法结构图SM4SM4算法具有安全高效的特点，在设计和实现方面具有以下优势：在设计上实现了资源重用，密钥扩展过程和加密过程类似。于软件编程实现，更适合硬件芯片实现。轮变换使用的模块包括异或运算、88S3232128AES-128SM4AESDES、3DESAESAESAESDES128128192256AESAES-128AES-192AES-256AES-128AES-192AES-256的加/解密思路基本一样，♘是密钥扩展算法的过程略有不同，加密和解密的轮数会适当增加，但加/解密的操作是一样的。表43AES基本特性AES密钥长度（比特）分组长度（比特）加密轮数AES-12812812810AES-19219212812AES-25625612814非对称密码算法主要用途。SM2、SM9SM2公钥密码模型导出公钥，但从公钥推导出私钥在计算上是不可行的。公钥加密算法加密要保护的消息。当接收方接收到消息后，用自己的私钥解密出原消息。数字签名算法钥对消息进行签名，使用公钥对签名进行验证。SM2SM2SM2由于基于椭圆曲线上离散对数问题的困难性要高于一般乘法群上的离散对数问椭圆曲线密码基础知识ECC换算法都要求计算椭圆曲线点乘运算，其计算效率直接决定着签名/验证、加/密运算的速度。SM2SM2SM2SM2钥杂凑值及待验证消息进行压缩。GB/T32918.2-2016SM2SM2AB通常用在对称密码算法中。GB/T32918.4-2016SM2SM2GB/T32918.3-2016SM2SM2以SM2公钥加密算法为例，它的安全性主要体现在三个方面：算出明文在计算上是不可行的；无法区分出其是由给定的两个明文中的哪一个加密而来；扩展密文来构造出新的合法密文。RSA，SM2256SM2相当。密钥短。SM2256RSA2048私钥产生简单RSASM2256风险也相对较小。签名速度快同等安全强度下，SM2算法在用私钥签名时，速度远超RSA算法。SM2SM2GM/T《SM2GM/T0010-2012《SM22017GB/T35276-2017SM2GB/T35275-2017SM2SM2GM/T0009-2012SM2密钥协商等计算过程进行了规范。GM/T0010-2012SM2SM9标识密码（IBC）是在传统的公钥基础设施（PKI）PKIPKI书的问题，使安全应用更加易于部署和使用。2016GM/T0044-2016SM9SM2SM92017ISOISO/IEC14888-3SM9SM9SM9证书库或密钥库。SM9用椭圆曲线对实现的基于标识的数字签名算法包括数字签名生成算法和验源的真实性和数据发送者的身份。SM9该协议可以使通信双方通过对方的标识和自身的私钥经两次或可选三次信对称密码算法的会话密钥，协议中可以实现密钥确认。SM9行加密，唯有接收者可以用相应的私钥对该密文进行解密，从而获取消息。SM9SM9256Barreto-Naehrig(BN5公钥加密算法示例。SM9目前，没有发现明显影响双线性对密码系统应用的安全性风险。SM9全性远远高于同类算法。RSA常见的国外公钥密码算法有RSA进行介绍。RSARSA认证等。1992RSAX.509RSA算法安全性和效率需要注意的是，1024RSARSA-2048ECCECC摘要算法摘要算法也称作“杂凑算法”、“散列算法”或“哈希算法”。密码摘要算法对任意长度的消息进行压缩，输出定长的消息摘要或杂凑值。一般来说，摘要算法具有如下性质：值推出消息是困难的。抗第二原像攻击：输入的任何微小变化都会使摘要结果有很大不同。强抗碰撞性：要发现不同的输入映射到同一输出在计算上是困难的。密码摘要算法的结构M-DMD5、SHA-1、SHA-2SM3M-DSHA-3M-DM-DF10F能力的压缩函数。图118M-D结构密码摘要算法的应用密码摘要算法的直接应用就是产生消息摘要，进一步可以检验数据的完整性，被广泛应用于各种不同的安全应用和网络协议中。例如，用户收到消息后，要算法也与公钥密码算法一同使用来产生数字签名。SM3SM3SM32012GM/T0004-2012《SM32016GB/T32905-2016SM3201810SM3法正式成为国际标准。SM3SM3M-D256SM3SM3SM3M-D16P实现效能。SM3SHA-256SHA-256SHA-256，SM3SHA-256HMACHMACSSLGB/T15852.2-2012《信2HMAC进行了规范。国外摘要算法MD5SHASHA-0、SHA-1、SHA-2SHA-3。MD5MD551232128MD5SSL30MD5MD5SHA-1算法：SHA-1MD4MD52641602005SHA-1269次运算。20172SHA-1SHA-1但内容截然不同的文件，针对SHA-1算法的攻击从理论变为现实，继续使用SHA-1SHA-1MD520174SHA-1SM3SHA-2算法：SHA-2M-DSHA-2224、256、3845126、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。其中，SHA-256和SHA-512是主要算法，其他算法都是在这两者基础上输入不同初始值，并对输出进行截断。目前没有发现对SHA-2算法的有效攻击。SHA-3算法：MD5、SHA-1、SHA-2M-DSHA-3SHA-2密码协议的而约定的交互规则。密钥交换协议通信信道。Diffie-Hellman1976年Diffie和Hellman提出公钥密码学概念，并提出了著名的Diffie-Hellman密钥交换协议。用户A和用户B之间的Diffie-Hellman密钥交换协议如下图所示。图119经典Diffie-Hellman密钥交换协议抵抗中间人攻击，同时也不能提供相互鉴别的安全保障。MQVDiffie-HellmanSM2SM2MQV同决定的会话密钥。实体鉴别协议GB/T15843息交换。递，相互鉴别则需三次或四次传递（依赖于所采用的机制）。综合密码协议IPSecSSL身份鉴别和抗重放攻击等。不同的是，IPSecSSLIPSec一般用于终端到子网之间的通信，称为端到站的通信。IPSecIPSecIETFRFCIPIPIPv6IPv4IPSecIPSecIPv4IPv62014GM/T《IPSecVPNIPSecSSLSSL协议是网络上实现数据安全传输的一种通用协议，采用浏览器/服务端（B/S）结构是SSL协议的一种典型实现方式。2014GM/T0024-2014《SSLVPNSSLGM/T0024-2014TLS1.1版本，并在TLS1.1ECC、IBCDH交换方式，修改了密码套件的定义以使其支持商用密码算法。密码认证单向散列函数什么是单向散列函数Hash称为该消息的散列值。一般用于产生消息摘要，口令加密等。[57]单向散列函数根据消息的内容计算出散列值。图120单向散列函数单向散列函数的实际应用检测软件是否被篡改是否一致。图121使用单向散列函数检测软件是否被篡改基于口令的加密PBE(salt伪随机数生成器产生的随机值)混合后计算其散列值，然后将这个散列值用作加密的密钥。通过这样的方法能够防御针对口令的字典攻击。消息认证码检测并防止通信过程中的错误、篡改以及伪装。数字认证散列值，然后再对这个散列值施加数字签名。伪随机数生成器使用单向散列函数可以构造伪随机数生成器。密码技术中所使用的随机数需要具备“事实上不可能根据过去的随机数列预测未来的随机数列”这样的性质。为了保证不可预测性，可以利用单向散列函数的单向性。一次性口令信链路上传送一次,因此即使窃听者窃取了口令，也无法使用。单向散列函数的具体例子MD4、MD5MD4128MD4出，现在它已经不安全了。MD5128MD5现在已经能够产生具备相同散列值的两条不同的消息，因此它也已经不安全了。MD4和MD5中的MD是消息摘要（MessageDigest）的缩写。SHA-1、SHA-2SHA-11601993国联邦信息处理标准规格发布的是SHA,SHA-1SHA-120054，也就是说，现在已经能够产生具备相同散列值的两条不同的消息。SHA-266SHA-2SHA-256SHA-512表446种版本的SHA-2名称输出长度内部状态长度备注SHA-22422432x8=256SHA-25632SHA-25625632x8=25642005年针对SHA-1的碰撞攻击算法及范例是由山东大学王小云教授的团队提出的，在2004年王小云团队就已经提出了针对MD5、SHA-0等散列函数的碰撞攻击算法。SHA-512/22422464x8=512将SHA-512的结果截掉288比特SHA-512/25625664x8=512将SHA-512的结果截掉256比特SHA-38438464x8=512SHA-512128SHA-51251264x8=512RIPEMD-160RIPEMD-160160RIPEMD-160RIPERIPEMDRIPEMD-128RIPEMD-256RIPEMD-320CRYPTREC清单》中，RIPEMD-160已经被列入“可谨慎运用的密码清单”，即除了用于保持兼容性的目的以外，其他情况下都不推荐使用。RIPEMD2004RIPEMD-160SHA-32005SHA-1，NISTSHA-1SHA-3、SHA-3AES一样采用公开竞争的方式进行标准化。消息认证码什么是消息认证码消息认证码是一种确认完整性并进行认证的技术，简称为MAC。消息认证码的输入包括任意长度的消息和一个发送者与接收者之间共享的密钥，它可以输出固定长度的数据，这个数据称为MAC值。MACMAC1消息认证码是一种与密钥相关联的单向散列函数。图122消息认证码消息认证码实现方法使用单向散列函数实现SHA-2HMAC。使用分组密码实现使用AES之类的分组密码可以实现消息认证码。CBC因此将除最后一个分组以外的密文部分全部丢弃，而将最后一个分组用作MAC值。其他实现方法此外，使用流密码和公钥密码等也可以实现消息认证码。消息认证码应用下面我们来介绍几个消息认证码在现实世界中应用的实例SWIFTSWIFT以及对消息进行验证，SWIFTIPsecIPsecIP(InternetProtocolIPsecSSL/TLSSSL/TLSSSL/TLS容的认证和完整性校验也使用了消息认证码。数字签名什么是数字签名另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。[58]数字签名使用数字签名是具法律效力的，正在被普遍使用。2000年，中华人民共和国的新《合同法》首次确认了电子合同、电子签名的法律效力。200541数字签名应用安全信息公告这些警告信息是否真的是该组织所发布的呢？如何确认发布这些信息的网页没是否合法。软件下载我们经常会从网上下载软件，我们需要判断所下载的软件是否可以安全运之后验证数字签名，就可以识别出软件是否遭到了主动攻击者的篡改。公钥证书签名所得到的就是公钥证书。SSL/TLSSSL/TLS在认证服务器身份是否合法时会使用服务器证书，它就是加上了数字签名的服务器公钥。证书什么是证书持有对应私钥的个人、设备或服务的身份。大多数普通用途的证书基于证书标准。通常，证书包含以下信息：主体的公钥值主体标识符信息有效期颁发者标识符信息关系的有效性证书使用方法构(CA)可以把证书颁发给人员、设备和计算机上运行的服务。和服务也频繁地需要确认它们正在访问的信息来自可信任的信息源。并且使用包含在证书中的公钥来加密会话密钥以便所有与证书主体随后进行的通讯都是安全的，试图建立信任的实体就可以继续进行信息交换。证书应用在组织中的证书应用(VPNVPNVPN务器。VPNVPN用点对点协议(PPP)身份验证方法，发生用户级别的身份验证。对于L2TP/IPSec连接，客户端和服务器双方均需要计算机证书。客户端计算机证书可以服务于多个目的，这些目的大多数是基于身份验证的，这就允许客户端使用很多组织的资源，而不需要为每个资源分别准备证书。VPNWeb构决定每个证书的用途数目。颁发给个人的证书以证明真实性的个人电子邮件。件人信任向发送者颁发证书的证书颁发机构。密钥管理人所忽视的一项重要内容。密钥全生命周期管理密钥生命周期指的是密钥从生成到销毁的时间跨度,不同的密钥有不同的生命周期：签名密钥对可能有数年的生命周期,而一些临时密钥的生命周期为单次包括但不限于用户口令、密钥生成和密码计算过程中使用的随机数或中间结果。信息系统中的密钥在其生命周期内涉及到生成、存储、导入和导出、分发、使用、备份和恢复、归档、销毁等环节，以下具体介绍每个环节。密钥生成密钥存储密钥导入导出安全的密钥导入和导出方式包括加密传输和知识拆分。加密传输术完成的密钥加密一般称为数字信封。知识拆分入时，每个密钥分量单独导入，最终在密码产品内部进行合成。密钥分发要分为人工分发和自动分发。这两者的主要区别在于人工分发方式需要人工参密码技术在线自动完成密钥分发。人工分发量密钥的分发，一般用于根密钥的分发。自动分发进行自动加密分发。自动分发的安全性主要通过密码技术本身来保证。密钥使用类型的密钥不能混用，一个密钥不能用于不同用途，这主要有以下几个原因。将一个密钥用于不同的用途，可能会降低密钥的安全性。毁；如果一个密钥对同时用作加密和签名，将会产生矛盾。限制密钥的用途可以降低密钥泄露时可能造成的损害。密钥备份和恢复与拥有者身份和其他信息的关联关系。计信息；审计信息应包括备份或恢复的主体、备份或恢复的时间等。密钥归档名密钥对的私钥不应进行归档。密钥销毁密钥的销毁是密钥生命周期的终点。密钥生命周期结束后，要对原始密钥进行销毁，并根据情况重新生成密钥，完成密钥更换。密钥销毁主要有两种情况。钥在使用完毕时应当立即销毁。行密钥销毁。对称密钥管理些特殊系统中应用广泛，如门禁系统、金融系统等。在门禁系统中，GM/T0036-2014卡的唯一标识（UID）以及用于密码分散的特定发行信息进行加密，获得卡片的在金融系统中，对称密钥管理标准有美国国家标准ANSIX9.17（零售GB/T17901.1-1999《信息技术安全技术密钥管理第1部分：框架》，针对金融系统发布了国家标准GB/T27909.2-2011（零售2生命周期》。6.1.4.3. 公钥基础设施公钥基础设施（PKI）是基于公钥密码技术实施的具有普适性的基础设施，性等安全服务。PKISM2及其相关安全技术规范》等系列标准对我国公众服务的数字证书认证系统的设计、建设、检测、运行及管理进