安全協(xié)議與標(biāo)準(zhǔn)01b-密碼學(xué)與PKI提要

1、應(yīng)用密碼學(xué)與PKI介紹linfb 目錄對(duì)稱加密技術(shù)more OP-MODE公鑰密碼技術(shù)認(rèn)證和Hash算法數(shù)字簽名PKI原理PKI應(yīng)用與實(shí)驗(yàn)案例分析加密技術(shù)基本術(shù)語(yǔ)明文、密文plaintext, cipher密鑰key加密算法、解密算法encryption,decryption密碼分析（攻擊者行為）密碼算法 vs. 密碼協(xié)議原理 vs. 標(biāo)準(zhǔn)algorithm vs. protocolcryptographic加密算法分兩類對(duì)稱加密算法symmetric cryptography解密時(shí)使用和加密時(shí)相同的密鑰非對(duì)稱加密算法asymmetric cryptography 公鑰算法public-key

2、 cryptography解密時(shí)使用不同的密鑰公鑰、私鑰對(duì)稱密碼體制圖示對(duì)稱加密對(duì)稱加密的數(shù)學(xué)抽象Alice加密E（P，K） CBob解密D（C，K） P1、Key只有A、B知道2、函數(shù)E、D公開(kāi)，且一般DE安全性分類無(wú)條件安全性即使攻擊者有無(wú)限的計(jì)算能力，也不能得出明文符合該特性的算法都?xì)w為one-time pad，不便實(shí)用有條件安全性/計(jì)算安全性假設(shè)攻擊者擁有的計(jì)算能力有限，則在合適的時(shí)間內(nèi)不能得到明文密碼學(xué)上主要考慮滿足該特性的算法對(duì)稱加密算法的兩種形式分組密碼算法block cipher明文分塊叫分組，典型64或128bits(8/16字節(jié))每個(gè)分組使用相同的密鑰加密流密碼算法(序列密

3、碼)stream cipher使用密鑰做為隨機(jī)數(shù)種子，用產(chǎn)生的偽隨機(jī)序列和明文序列XOR常用的對(duì)稱加密算法DES(Lucifer)第一代美國(guó)(國(guó)際)標(biāo)準(zhǔn)，1970s2000AES(Rijndael)第二代，2000+RC4非常流行的流密碼算法，靈活又快速IDEA、CAST、RC5/6、Blowfish/Twofish、DESLucifer by Feistel, IBM分組64bits密鑰56bitsFeistel體制16輪常量S盒, 8個(gè)小表FIPS-46DES Overview神秘的S盒(Substitution box)續(xù)DES工作模式DES算法每次處理64位/8個(gè)字節(jié)，如何用來(lái)加密大消

4、息/文件？推薦的4種工作模式ECBCBCOFBCFBCTSCT 電子密碼本方式ECB: Electronic Codebook報(bào)文被順序分割分成8字節(jié)分組各個(gè)分組獨(dú)立加密，解密時(shí)需等齊整個(gè)分組必要的填充* 優(yōu)點(diǎn)并行加密、隨機(jī)存取* 缺點(diǎn)Padding相同的明文分組對(duì)應(yīng)著相同的密文分組，暴露了統(tǒng)計(jì)規(guī)律，也存在替換、竄改、亂序重排等威脅ECB 密碼分組鏈接方式CBC: Cipher Block Chaining明文分組被加密前先和前一個(gè)密文異或初始向量(initialization vector)被視為第0個(gè)密文(IV不必保密，但必須一致)* 優(yōu)點(diǎn)避免明密對(duì)應(yīng)還可以用做鑒別碼(authentica

5、tion code)* 缺點(diǎn)等待緩沖區(qū)湊足8字節(jié)分組，否則需padding不能并行加密、隨機(jī)存取CBC 其他模式CFBOFBCTSCTRCFB: Cipher Feedback密碼反饋方式IV 64bit，IV用Key加密得到RIV不必保密，但是必須相同明文s比特，與R的高位s比特XOR，得密文s比特s比特的密文同時(shí)從R的低位進(jìn)入，擠掉R的高位的s比特* 優(yōu)點(diǎn)流密碼 stream cipher也有校驗(yàn)的效果CFB OFB: Output Feedback輸出反饋方式（也是一種流方式應(yīng)用）重復(fù)加密初始向量IV，獲得密鑰流IV不必保密，但是雙方得一致明文與之XOR* 優(yōu)點(diǎn)比特錯(cuò)誤不會(huì)擴(kuò)散（自同步，

6、適合衛(wèi)星通信）* 缺點(diǎn)正是優(yōu)點(diǎn)的反面OFB CTR: Counter Mode計(jì)數(shù)方式（也是一種流方式應(yīng)用，但是可以非順序存?。┲貜?fù)加密初始counter，得密鑰流明文與之XOR優(yōu)點(diǎn)適合隨機(jī)存取* 注意：Counter的初值須不能預(yù)測(cè)CTR CBCRC5模式之CTS: Ciphertext Stealing Mode CN-1DecPNCNX+XCNDecPN-1+KCN-20KDES標(biāo)準(zhǔn)文檔 FIPS 46-3, Data Encryption Standard (DES)/publications/fips/fips46-3/fips46-3.pdfDES實(shí)現(xiàn)OpenSSLMicrosof

7、t CryptoAPIDES應(yīng)用實(shí)例分析/etc/passwd|shadowusername:Npge08pfz4wuk:503:100:FN:/home/username:/bin/shchar *crypt(const char *key, const char *salt);Zip cracker sampleAdvanced ZIP Password Recovery statistics:Encrypted ZIP-file: sdjfks.zipTotal passwords: 2,091,362,752Total time: 6m 58s 725ms Average speed

8、(passwords/s): 4,994,597Password for this file: 7uee23Password in HEX: 37 75 65 65 32 33DES已不再安全使用窮舉密鑰攻擊，如果每秒能嘗試100萬(wàn)個(gè)密鑰(70s)，則約需要1000年才能枚舉完所有256個(gè)密鑰。使用特制的專用硬件芯片，結(jié)合互聯(lián)網(wǎng)分布式計(jì)算，最快曾經(jīng)在1天內(nèi)攻擊成功?！癉eep Crack” Hardware CrackerDeveloped by the Electronic Frontier FoundationCost$80,000 design$210,000 materials (ch

9、ips, boards, chassis etc)Chip by Advanced Wireless Technologies40 MHz /16 cycles per encryption = 2.5 million keys/s24 search units per chip，64 chips per board ，29 boards into 6 cabinets90 billion keys/s，solved RSAs DES-III in 22 hoursJan 18, 199937,000 search unitsc.f. Distributed Nets 34 billion k

10、eys/s3DES關(guān)于2DES關(guān)于3DESAES“Rijndael”分組128bits密鑰128bits(也可192/256)常量S盒使用有限域GF(28)構(gòu)造1+9+1輪FIPS-197AES Overview 1 RoundS-box in AESx/y 0 1 2 3 4 5 6 7 8 9 A B C D E F0 63 7C 77 7B F2 6B 6F C5 30 01 67 2B FE D7 AB 761 CA 82 C9 7D FA 59 47 F0 AD D4 A2 AF 9C A4 72 C02 B7 FD 93 26 36 3F F7 CC 34 A5 E5 F1 71

11、D8 31 153 04 C7 23 C3 18 96 05 9A 07 12 80 E2 EB 27 B2 754 09 83 2C 1A 1B 6E 5A A0 52 3B D6 B3 29 E3 2F 845 53 D1 00 ED 20 FC B1 5B 6A CB BE 39 4A 4C 58 CF6 D0 EF AA FB 43 4D 33 85 45 F9 02 7F 50 3C 9F A87 51 A3 40 8F 92 9D 38 F5 BC B6 DA 21 10 FF F3 D28 CD 0C 13 EC 5F 97 44 17 C4 A7 7E 3D 64 5D 19

12、739 60 81 4F DC 22 2A 90 88 46 EE B8 14 DE 5E 0B DBA E0 32 3A 0A 49 06 24 5C C2 D3 AC 62 91 95 E4 79B E7 C8 37 6D 8D D5 4E A9 6C 56 F4 EA 65 7A AE 08C BA 78 25 2E 1C A6 B4 C6 E8 DD 74 1F 4B BD 8B 8AD 70 3E B5 66 48 03 F6 0E 61 35 57 B9 86 C1 1D 9EE E1 F8 98 11 69 D9 8E 94 9B 1E 87 E9 CE 55 28 DFF 8C

13、 A1 89 0D BF E6 42 68 41 99 2D 0F B0 54 BB 16S-box in AES (逆)x/y 0 1 2 3 4 5 6 7 8 9 A B C D E F0 52 09 6A D5 30 36 A5 38 BF 40 A3 9E 81 F3 D7 FB1 7C E3 39 82 9B 2F FF 87 34 8E 43 44 C4 DE E9 CB2 54 7B 94 32 A6 C2 23 3D EE 4C 95 0B 42 FA C3 4E3 08 2E A1 66 28 D9 24 B2 76 5B A2 49 6D 8B D1 254 72 F8

14、F6 64 86 68 98 16 D4 A4 5C CC 5D 65 B6 925 6C 70 48 50 FD ED B9 DA 5E 15 46 57 A7 8D 9D 846 90 D8 AB 00 8C BC D3 0A F7 E4 58 05 B8 B3 45 067 D0 2C 1E 8F CA 3F 0F 02 C1 AF BD 03 01 13 8A 6B8 3A 91 11 41 4F 67 DC EA 97 F2 CF CE F0 B4 E6 739 96 AC 74 22 E7 AD 35 85 E2 F9 37 E8 1C 75 DF 6EA 47 F1 1A 71

15、1D 29 C5 89 6F B7 62 0E AA 18 BE 1BB FC 56 3E 4B C6 D2 79 20 9A DB C0 FE 78 CD 5A F4C 1F DD A8 33 88 07 C7 31 B1 12 10 59 27 80 EC 5FD 60 51 7F A9 19 B5 4A 0D 2D E5 7A 9F 93 C9 9C EFE A0 E0 3B 4D AE 2A F5 B0 C8 EB BB 3C 83 53 99 61F 17 2B 04 7E BA 77 D6 26 E1 69 14 63 55 21 0C 7DAES標(biāo)準(zhǔn)文檔AES - Advance

16、d Encryption Standard - FIPS PUB 197/publications/fips/fips197/fips-197.pdfAES實(shí)現(xiàn)OpenSSLMicrosoft CryptoAPI使用對(duì)稱算法為傳輸而加密 vs. 為存儲(chǔ)而加密 （0）考慮需求（1）選定算法（2）產(chǎn)生密鑰(2.1) 自動(dòng)產(chǎn)生密鑰 vs. 從口令衍生密鑰（3）遵循標(biāo)準(zhǔn)，如PKCS#5對(duì)稱密碼體制的缺陷使用對(duì)稱算法時(shí)，接收/解密方必須持有和發(fā)送/加密方一模一樣的密鑰把密鑰傳遞給接收方通常是困難的因?yàn)橹辽賯鬟f密鑰時(shí)，不能使用和傳輸密文同樣的信道非對(duì)稱加密1976年，Diffie和Hellman指明方向公

17、鑰加密，私鑰解密Diffie-Hellman密鑰交換協(xié)議 選取公開(kāi)參數(shù)：大素?cái)?shù)q，Zq的生成元gA選擇隨機(jī)數(shù)Xa，B選擇隨機(jī)數(shù)Xb A計(jì)算YagXa mod q, B計(jì)算YbgXb mod q 交換Ya，YbA計(jì)算KYbXa mod q, B計(jì)算KYaXb mod q 事實(shí)上，KKDiffie-Hellman key agreement is not limited to negotiating a key shared by only two participants.Diffie-Hellman密鑰協(xié)商標(biāo)準(zhǔn)文檔RFC-2631, 2409/3526RFC2631 Diffie-Hellma

18、n Key Agreement MethodRFC2409 The Internet Key Exchange (IKE)RFC3526 More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) U.S. Patent 4,200,770, now expired, describes the algorithm and credits Hellman, Diffie, and Merkle as inventors.RSA算法1977年，Rivest, Shamir & Adle

19、man提出基于大數(shù)分解難題解密n=pq是困難的公鑰密碼算法事實(shí)上的標(biāo)準(zhǔn)，PKI的支柱RSA加密算法找素?cái)?shù)，典型選取兩個(gè)512bit的隨機(jī)素?cái)?shù)p, q計(jì)算模n pq找ed1 mod (p-1)(q-1)選取數(shù)e，用擴(kuò)展Euclid算法求數(shù)d公布公鑰(e, n)，保密私鑰(d, n)加密明文分組m(被視為整數(shù)須小于n)c=me mod n解密m=cd mod nRSA加密解密計(jì)算實(shí)例選p7，q17則npq119且(n)(p-1)(q-1)61696取e5則d77 (57738549611 mod 96)公鑰（5，119），私鑰（77，119） 加密m19則cme mod n= 195 mod 11

20、9 = 66 mod 119解密c66mcd mod n = 6677mod 11919 mod 119關(guān)于大數(shù)的模冪乘： XY mod Z關(guān)于提速與芯片計(jì)算a8 % m8次累乘：aaaaaaaa % m3次平方：(a2)2)2 % m 進(jìn)一步：(a2%m)2%m)2%m再比如a47 % ma47 a32+8+4+2+1% m a32a8a4a2a1% m RSA的安全性分解整數(shù)：一般數(shù)域篩法For an ordinary computer, the general number field sieve (GNFS) is the best published algorithm for la

21、rge n (more than about 100 digits). For a b-bit number n, its running time is:PKCS#1, RFCRSA.comPKCS系列標(biāo)準(zhǔn)PKCS#1，關(guān)于RSA算法的工業(yè)規(guī)范密鑰產(chǎn)生、消息編碼加密/解密簽名/驗(yàn)證其他PKCS#RFC 2313 - PKCS #1: RSA Encryption Version 1.5RFC 2437 - PKCS #1: RSA Cryptography Specifications Version 2.0RFC 3447 - PKCS #1: RSA Cryptography Speci

22、fications Version 2.1其他公鑰加密算法兩個(gè)密碼算法依賴的數(shù)學(xué)難解問(wèn)題大數(shù)分解問(wèn)題：分解n=pq離散對(duì)數(shù)問(wèn)題：求解y=gx mod p中的xDSA、 ECDSA: FIPS PUB 186-3: Digital Signature Standard其他公鑰加密算法新方向：橢圓曲線密碼算法(ECC)以橢圓曲線上點(diǎn)的加法運(yùn)算為背景的離散對(duì)數(shù)問(wèn)題在達(dá)到相同安全強(qiáng)度的前提下，ECC速度快很多混合密碼體制：使用公鑰傳遞會(huì)話密鑰公鑰算法太慢典型情況，對(duì)稱算法比公鑰算法快1000倍只用來(lái)傳遞會(huì)話密鑰(假設(shè)A已經(jīng)有B的公鑰KeB)A發(fā)起和B的通信A產(chǎn)生會(huì)話密鑰Ks，并用KeB加密后傳給BB能

23、用自己的私鑰KdB解開(kāi)其他人不會(huì)知道Ks使用Ks和對(duì)稱算法處理批量數(shù)據(jù)混合密碼體制應(yīng)用實(shí)例PKCS#5 Password-Based Cryptography StandardSSL/TLSPGP消息認(rèn)證 why？（此前一直討論加密）消息加密后可以抵抗竊聽(tīng)。因?yàn)闆](méi)有密鑰，攻擊者無(wú)法讀懂密文。但是密文仍可以被惡意篡改，而且接收方解密后未必一定能發(fā)現(xiàn)這種攻擊。?問(wèn)題：對(duì)密文的篡改，能否一定被察覺(jué)？密文不能提供完整性保護(hù)兩個(gè)例子（1）解密后能發(fā)現(xiàn)異常（2）解密后不能發(fā)現(xiàn)異常消息認(rèn)證 & 身份認(rèn)證認(rèn)證和加密是兩種不同的技術(shù)(服務(wù))，有的場(chǎng)合需要不加密需要保護(hù)完整性認(rèn)證技術(shù)涉及消息認(rèn)證和身份認(rèn)證兩個(gè)方面

24、消息認(rèn)證：鑒別消息來(lái)源，保護(hù)消息的完整性身份認(rèn)證：提供身份真實(shí)性鑒別服務(wù)消息認(rèn)證碼MAC認(rèn)證碼 (Message Authentication Code)離線：表明消息是完整的（未被篡改）在線：表明自己/對(duì)方是真實(shí)的（未被假冒）生成MAC也需要密鑰，有兩個(gè)思路產(chǎn)生基于加密的方法，比如CBD模式最后一個(gè)密文分組（FIPS-113）基于Hash函數(shù)的方法（HMAC）CBC-MAC：CBC模式最后一個(gè)分組把消息明文和CN一起傳送，以表明消息的真實(shí)性FIPS PUB 113HMAC從概念上講，HMAC可以這樣理解HMAC = Hash（M | Key）引出Hash函數(shù)相關(guān)的標(biāo)準(zhǔn)：HMAC，RFC-21

25、04Hash函數(shù)輸入任意長(zhǎng)度(或264)報(bào)文輸出固定長(zhǎng)度n=128/160/224/256/384/512bits函數(shù)特性單向性質(zhì)對(duì)給定的h，找x滿足H(x)h是困難的弱抗碰撞特性對(duì)于給定的y，找x滿足H(x)H(y)是困難的強(qiáng)抗碰撞特性（生日攻擊）找x和y滿足H(x)H(y)是困難的常用的Hash函數(shù)MD5輸出128bitsSHA-0，F(xiàn)IPS PUB 180 SHA-1，F(xiàn)IPS PUB 180-1輸出160bitsSHA-2輸出192/224/256/384/512bitsMD5 OverviewRFC 1321MD5 MD5 crack2004年的國(guó)際密碼討論年會(huì)（CRYPTO）尾聲，

26、王小云及其研究同工展示了MD5、SHA-0及其他相關(guān)雜湊函數(shù)的雜湊沖撞。所謂雜湊沖撞指兩個(gè)完全不同的訊息經(jīng)雜湊函數(shù)計(jì)算得出完全相同的雜湊值。根據(jù)鴿巢原理，以有長(zhǎng)度限制的雜湊函數(shù)計(jì)算沒(méi)有長(zhǎng)度限制的訊息是必然會(huì)有沖撞情況出現(xiàn)的。可是，一直以來(lái)，電腦保安專家都認(rèn)為要任意制造出沖撞需時(shí)太長(zhǎng)，在實(shí)際情況上不可能發(fā)生，而王小云等的發(fā)現(xiàn)可能會(huì)打破這個(gè)必然性。2005年2月，王小云與其同事提出SHA-1雜湊函數(shù)的雜湊沖撞。由于SHA-1雜湊函數(shù)被廣泛應(yīng)用于現(xiàn)今的主流電腦保安產(chǎn)品，其影響可想而知。王小云所提的雜湊沖撞算法只需少于269步驟，少于生日攻擊法（Birthday Attack）所需的280步。同年8月

27、，王小云、姚期智，以及姚期智妻子姚儲(chǔ)楓聯(lián)手于國(guó)際密碼討論年會(huì)提出SHA-1雜湊函數(shù)雜湊沖撞算法的改良版。此改良版使破解SHA-1時(shí)間縮短為263步。1Collisions in the MD5HMACHMAC(K,M) = H(K+opad) |H(K+ipad) | M身份認(rèn)證：使用公鑰算法如果你已經(jīng)有他的公鑰Ke，則可鑒別他的身份取隨機(jī)秘密消息P加密C = E（P，Ke）把密文C交給所謂的”他”，請(qǐng)他來(lái)解密除非”他”擁有Kd，否則不能解開(kāi)D（C，Kd）P比較他解出的明文P是否正確如果他能正確解密，則”他”是真他HMAC標(biāo)準(zhǔn)文檔FIPS PUB 198 - The Keyed-Hash Me

28、ssage Authentication Code (HMAC)RFC 2104 - HMAC: Keyed-Hashing for Message Authentication(轉(zhuǎn)折) 數(shù)字簽名加密抗偷窺，認(rèn)證抗篡改，以上都是人民聯(lián)手共同對(duì)付“敵我矛盾”的手段，現(xiàn)在是處理“人民內(nèi)部矛盾”的時(shí)候了“內(nèi)部矛盾”主要指抵賴拒絕承認(rèn)曾經(jīng)發(fā)出過(guò)某條消息拒絕承認(rèn)曾經(jīng)收到過(guò)內(nèi)部矛盾不能靠共享密鑰解決手寫簽名簽名的含義簽名者慎重表達(dá)認(rèn)可文件內(nèi)容的意向的行為主要形式手寫簽名、簽章、手指紋印(其他生物技術(shù))特性不可偽造，特異性不可改變，能發(fā)現(xiàn)涂改、轉(zhuǎn)移意義或用途不可重用，日期和時(shí)間相關(guān)性不可抵賴，能夠質(zhì)證可仲裁

29、的，可做為法律證據(jù)數(shù)字簽名: 要適應(yīng)的新變化數(shù)字簽名手寫簽名數(shù)字文件紙版文件數(shù)字小文件手寫字（簽章）如何綁定?同一頁(yè)紙關(guān)于掃描手寫字跡、鼠標(biāo)手寫No !數(shù)學(xué)支持: 簽名函數(shù)數(shù)字簽名/驗(yàn)證操作概念簽名驗(yàn)證簽名函數(shù)報(bào)文(大)報(bào)文簽名(小)秘密報(bào)文簽名驗(yàn)證函數(shù)身份是否用私鑰運(yùn)算(加密)當(dāng)作簽名簽名：給定報(bào)文m，使用私鑰d產(chǎn)生簽名值smd = s驗(yàn)證：用公鑰e判斷(m,s)是否符合se =? m是否滿足簽名要求的特性不可偽造、不可改變因此抗抵賴兩個(gè)重要問(wèn)題簽名過(guò)程(公鑰運(yùn)算)太慢啟用散列函數(shù)，用散列值代表消息PKCS #1公鑰/私鑰的管理如何得到公鑰？如何讓人相信該公鑰的真實(shí)和正確？*如何把公鑰和身份

30、信息綁定m，h(m)d mod n如何發(fā)布公鑰臨時(shí)索要是靠不住的朋友之間(相互信任的人之間)傳播比如PGP在線中心：公開(kāi)目錄、離線中心：PKI無(wú)中心方式當(dāng)要通信時(shí)，臨時(shí)向?qū)Ψ剿饕涔€沒(méi)有先驗(yàn)知識(shí)，不能確定對(duì)方的身份，不能提供鑒別特性只能用在不究身份時(shí)的加密，如萍水相逢的兩人之間的防偷聽(tīng)聊天朋友擴(kuò)散通過(guò)可信的朋友之間的輾轉(zhuǎn)交換PGP中即有此種公鑰交換機(jī)制朋友并不總可信問(wèn)題：相信閣下的人品，但是不相信閣下的智商在線中心：公開(kāi)目錄公開(kāi)的目錄服務(wù)目錄的維護(hù)得由信得過(guò)的機(jī)構(gòu)執(zhí)行每個(gè)用戶在目錄里有一項(xiàng) 身份信息，其公鑰 面對(duì)面的審核和注冊(cè)可以更新或廢止提供網(wǎng)絡(luò)的訪問(wèn)手段，可公開(kāi)查詢目錄中心的安全負(fù)擔(dān)太重

31、，也是性能瓶頸在線中心的一種設(shè)計(jì)有在線中心幫助的公鑰交換A請(qǐng)求中心給B的公鑰，帶時(shí)間戳中心用私鑰簽署的消息，包括：原始請(qǐng)求和時(shí)間戳，B的公鑰，A用B的公鑰加密：自己的身份IDa和會(huì)話標(biāo)識(shí)號(hào)N1B也如法取得A的公鑰B用A的公鑰加密：N1和N2A用B的公鑰加密N2，以最后確認(rèn)會(huì)話在線中心容易成為單點(diǎn)故障和性能瓶頸在線中心 離線中心：PKI/證書Certificate Authentication CA是受信任的權(quán)威機(jī)構(gòu)，有一對(duì)公鑰私鑰。每個(gè)用戶自己產(chǎn)生一對(duì)公鑰和私鑰，并把公鑰提交給CA申請(qǐng)證書。CA以某種可靠的方式核對(duì)申請(qǐng)人的身份及其公鑰，并用自己的私鑰“簽發(fā)”證書。證書主要內(nèi)容：用戶公鑰，持有人

32、和簽發(fā)人的信息，用途，有效期間，簽名等。證書在需要通信時(shí)臨時(shí)交換，并用CA的公鑰驗(yàn)證。有了經(jīng)CA簽名保證的用戶公鑰，則可進(jìn)行下一步的身份驗(yàn)證和交換會(huì)話密鑰等。CA PKI：信息安全的基礎(chǔ)設(shè)施密碼學(xué)在互聯(lián)網(wǎng)上的應(yīng)用主要體現(xiàn)為PKI。PKI的核心目的是公鑰的可信發(fā)布。PKI給出了以證書為載體的公鑰發(fā)布方法，以及進(jìn)一步做加密、認(rèn)證和數(shù)字簽名的規(guī)范。PKI系統(tǒng)中的關(guān)鍵角色是證書中心CA。在PKI的應(yīng)用過(guò)程中，必須結(jié)合使用加密算法、認(rèn)證算法、 Hash及簽名算法等 密碼學(xué)要素。PKIPKI的首要環(huán)節(jié)在于分發(fā)公鑰證書中心CA (Certificate authority)目的：可信地分發(fā)公鑰CA是一個(gè)受到

33、各方信任的權(quán)威機(jī)關(guān)所謂可信第三方CA有自己的公鑰私鑰對(duì)，其公鑰廣為所知CA的功能和職責(zé)是簽發(fā)證書Certificate 證書證書是一個(gè)帶有CA的數(shù)字簽名的文件。證書是用戶公鑰的載體和容器。證書的基本內(nèi)容公鑰持有人信息簽發(fā)人信息簽名其他輔助內(nèi)容證書的申請(qǐng)用戶自己產(chǎn)生公鑰私鑰對(duì)(或委托CA產(chǎn)生)用戶自己保密私鑰用戶提交公鑰到CA/RA，PKCS#10格式Registration AuthorityRA負(fù)責(zé)審核用戶的信息的真實(shí)性(收費(fèi))CA簽名，產(chǎn)生證書證書(連同CA的公鑰)返回用戶CA公鑰是以CA自簽名證書的形式存在目錄分發(fā)證書的格式版本序列號(hào)簽名算法標(biāo)識(shí)其參數(shù)簽發(fā)者名字不早于，不遲于主題名(持有

34、人名)算法標(biāo)識(shí)其參數(shù)公鑰簽發(fā)人標(biāo)識(shí)(重名)持有人標(biāo)識(shí)擴(kuò)展簽名算法參數(shù)簽名證書的使用取得證書從公開(kāi)目錄獲得，或臨時(shí)交換判斷證書本身的有效性驗(yàn)證CA的簽名（需要用到CA的證書/公鑰）在離線協(xié)議中用公鑰加密傳遞會(huì)話密鑰在在線協(xié)議中進(jìn)一步判別對(duì)方是否持有對(duì)應(yīng)的私鑰然后通信證書的撤銷在證書有效期內(nèi)需要提前作廢證書CA會(huì)定期簽發(fā)作廢證書黑名單(CRL)證書使用者需要經(jīng)常更新CRL即使證書本身合法有效，仍有可能在CRL中OCSP - Online Certificate Status Protocol 把證書有效性檢查工作推給了服務(wù)器，有利于小客戶端PKI技術(shù)標(biāo)準(zhǔn)與規(guī)范PKI擴(kuò)展與之外SPKI by IET

35、F (Simple PKI)merged with SDSI (Simple Distributed Security Infrastructure)XKMS - XML Key Management Specification XKISS, XKRSSXML Signature, XML Encryption SAMLWeb of Trust (PGP-like)small world phenomenonCA的運(yùn)營(yíng)電子簽名法、電子認(rèn)證服務(wù)管理辦法等CA運(yùn)營(yíng)公司資質(zhì)安保措施機(jī)房環(huán)境硬件環(huán)境軟件系統(tǒng)服務(wù)和管理規(guī)程SDCA “aboutus”,于2000年12月28日揭牌成立的為信息安全提供綜合

36、服務(wù)的有限責(zé)任公司，是山東地區(qū)唯一從事跨部門、跨行業(yè)數(shù)字證書簽發(fā)的權(quán)威性認(rèn)證機(jī)構(gòu)，又是山東地區(qū)數(shù)字證書安全認(rèn)證體系的建設(shè)與管理主體。 $是信任服務(wù)和安全認(rèn)證服務(wù)的專業(yè)提供商，把建設(shè)互聯(lián)網(wǎng)安全信任有序的環(huán)境作為目標(biāo)，保證交易方主體身份的真實(shí)性，為信息的保密性、完整性以及交易的不可抵賴性提供全面的服務(wù)。SDCA將為網(wǎng)絡(luò)安全和電子商務(wù)等網(wǎng)上作業(yè)提供信任服務(wù)。 $為電子商務(wù)、電子政務(wù)、網(wǎng)上金融、網(wǎng)上證券、網(wǎng)上辦公等提供安全可靠的認(rèn)證和信任服務(wù)，作為被信任的第三方，從四個(gè)方面保證交易的安全：1、信息傳輸中的機(jī)密性；2、信息的不可篡改；3、身份的認(rèn)證；4、交易的不可抵賴。$主要負(fù)責(zé)數(shù)字證書的申請(qǐng)、簽發(fā)、制

37、作、認(rèn)證和管理，為個(gè)人、企事業(yè)單位、網(wǎng)站、軟件代碼等提供網(wǎng)上身份認(rèn)證、數(shù)字簽名、證書目錄查詢、電子公正、安全電子郵件、密鑰托管、企事業(yè)單位安全辦公、政府安全上網(wǎng)、CA建設(shè)和運(yùn)行咨詢等服務(wù)。CA間的互通層次式的CA體系橋模式的CA互認(rèn)證體系CA軟件項(xiàng)目和產(chǎn)品CA in OpenSSL，簡(jiǎn)陋，可用于開(kāi)發(fā)和測(cè)試CA in Windows，可用于企業(yè)環(huán)境簡(jiǎn)單應(yīng)用EJBCA，一個(gè)基于J2EE的CA項(xiàng)目OpenCA國(guó)內(nèi)外各安全公司的商業(yè)化產(chǎn)品各CA公司自己開(kāi)發(fā)或基于商業(yè)或/開(kāi)源產(chǎn)品修改增強(qiáng)的系統(tǒng)應(yīng)用與實(shí)驗(yàn)CA in Windows ServerSSL：IIS + IE, HTTPS安全電子郵件：S/MIM

38、E with Outlook ExpEFS in WindowsEJBCAPGPVPNPPTP/VPN in WindowsIPSec/VPN in IPv4/IPv6OpeVPN實(shí)驗(yàn)環(huán)境介紹：VmwareCA in Windows Server接下來(lái)，現(xiàn)場(chǎng)實(shí)驗(yàn)或觀看實(shí)驗(yàn)過(guò)程的屏幕錄像CA in Windows 2003Windows server 2000/2003添加/配置CA組件HTTP+SSL=HTTPS給IE發(fā)證給IIS發(fā)證安全電子郵件 S/MIMES/MIME with Outlook Exp實(shí)驗(yàn)演示EFS in Windows EFS原理Windows為用戶產(chǎn)生一對(duì)RSA公鑰私鑰

39、公鑰以證書形式存在，私鑰受口令保護(hù)加密文件時(shí)，產(chǎn)生密鑰Key，使用對(duì)稱算法(DES?)加密文件，而Key使用公鑰加密保護(hù)解密是用戶使用自己的私鑰(需提供口令)解密得到Key，再用Key解密得到明文文件。備份EFS證書和私鑰如果重新安裝了Windows系統(tǒng)，則先前使用EFS加密的文件和目錄將無(wú)法解密。為了能夠解密，必須事先備份好舊的Windows中的EFS證書及私鑰，并在重裝后導(dǎo)入舊的EFS證書及私鑰。關(guān)于備份員。EJBCA實(shí)驗(yàn)過(guò)程的屏幕錄像EJBCA is a fully functional Certificate Authority. Based on J2EE technology it constitutes a robust, high performance and component based CA. Both flexible and platform independent, EJBCA can be used standalone or integrated in any J2EE application. EJBCA is an enterprise class PKI,