10密碼學(xué)與網(wǎng)絡(luò)安全第十講new

密碼學(xué)與網(wǎng)絡(luò)安全第十講電子郵件的安全討論議題?PGP?S/MIME互聯(lián)網(wǎng)上電子郵件傳遞簡圖電子郵件十分脆弱，從瀏覽器向Internet上的另一人發(fā)送郵件時，如果未經(jīng)加密，不僅信件像明信片一樣是公開的，且無法知道它在到達(dá)目的之前，信件經(jīng)過多少機器，只要經(jīng)過的機器都可以閱讀信件。所以電子郵件的安全亟待解決。安全電子郵件?E-mail是Internet上最大的應(yīng)用，也是唯一的廣泛跨平臺、跨體系結(jié)構(gòu)的分布式應(yīng)用。?安全的電子郵件主要是解決身份鑒別和保密性的安全問題。涉及到的問題：安全算法的選擇；系統(tǒng)郵件的信息格式；如何實現(xiàn)認(rèn)證和信任管理；郵件服務(wù)器的可靠性。?應(yīng)用實際例子：目前Internet上有兩個端到端的安全電子郵件標(biāo)準(zhǔn)PGP、S/MIME(MultipurposeInternetMailExtensions)。安全的郵件服務(wù)器：對郵件服務(wù)器的攻擊由來已久，WORM病毒、網(wǎng)絡(luò)入侵和拒絕服務(wù)等；防范措施：1）防止來自外部的攻擊--拒絕來自特定地址的連接請求、限制單個IP的連接數(shù)量。2）防止來自內(nèi)部的攻擊--實現(xiàn)用戶身份的鑒別。一、PGP概述PGP（PrettyGoodPrivacy）是Internet上一個著名的共享加密軟件，它與具體的應(yīng)用無關(guān)，可獨立提供數(shù)據(jù)加密、數(shù)字簽名和密鑰管理等功能適用于電子郵件內(nèi)容的加密和文件內(nèi)容的加密。PGP廣泛應(yīng)用的原因：免費、可用于多平臺。DOS/Windows、Unix、Macintosh；選用算法的生命力和安全性被公眾認(rèn)可；具有廣泛的可用性；不由政府或標(biāo)準(zhǔn)化組織控制。PGP安全業(yè)務(wù)數(shù)字簽名：DSS/SHA或RSA/SHA；完整性：RSA、MD5；消息加密：CAST-128或IDEA或3DES+Diffie-Hellman或RSA；數(shù)據(jù)壓縮：ZIP；郵件兼容：Radix64；數(shù)據(jù)分段PGP加密功能概要記號說明：Ks:sessionkeyKRa:用戶A的私鑰KUa:用戶A的公鑰EP:公鑰加密DP:公鑰解密EC:常規(guī)加密DC:常規(guī)加密H:散列函數(shù)||:連接Z:用ZIP算法數(shù)據(jù)壓縮R64:用radix64轉(zhuǎn)換到ASCII格式3、PGP的功能：1）身份鑒別?發(fā)送方–產(chǎn)生消息M–用SHA-1對M生成一個160位的散列碼H–用發(fā)送者的私鑰對H加密，并與M連接?接收方–用發(fā)送者的公鑰解密并恢復(fù)散列碼H–對消息M生成一個新的散列碼，與H比較。如果一致，則消息M被鑒別。PGP身份鑒別說明RSA的強度保證了發(fā)送方的身份；SHA-1的強度保證了簽名的有效性；也可使用DSS/SHA-1作為簽名的可選方案。PGP——保密性?發(fā)送方–生成消息M并為該消息生成一個隨機數(shù)作為會話密鑰；–用會話密鑰加密M；–用接收者的公鑰加密會話密鑰并與消息M結(jié)合。?接收方–用自己的私鑰解密恢復(fù)會話密鑰；–用會話密鑰解密恢復(fù)消息M。4）PGP—保密性說明采用CAST-128(或IDEA或3DES)、64位CFB（加密反饋）方式。一次性密鑰，單向分發(fā)，公鑰算法保護；對稱加密算法和公鑰加密算法的結(jié)合可以縮短加密時間；用公鑰算法解決了會話密鑰的分配問題：不需要專門的會話密鑰交換協(xié)議；由于郵件系統(tǒng)的存儲-轉(zhuǎn)發(fā)的特性，用握手方式交換密鑰不太可能；每個消息都有自己的一次性密鑰，進一步增強了保密強度。所以，每個密鑰只加密很小部分的明文內(nèi)容；公開密鑰算法的長度決定安全性RSA（768~3072bit）、DSS（1024bit）5）保密與鑒別同時運用?兩種服務(wù)都需要時，發(fā)送者先用自己的私鑰簽名，然后用會話密鑰加密，再用接收者的公鑰加密會話密鑰。6）數(shù)據(jù)壓縮壓縮的位置：發(fā)生在簽名后、加密前;壓縮之前生成簽名；在加密前壓縮：壓縮的報文更難分析。對郵件傳輸或存儲都有節(jié)省空間的好處。LZ77的壓縮過程（壓縮比1.24）4、E-mail兼容性?加密后是任意的8位字節(jié)，需要轉(zhuǎn)換到ASCII格式。?Radix64將3字節(jié)輸入轉(zhuǎn)換到4個ASCII字符，并帶CRC校驗。?長度擴大33%?與壓縮綜合后，長度為：–1.33×0.5X=0.665X(仍然有1/3被壓縮)Radix-64變換:將任意二進制輸入映射成可打印字符的輸出。分段與重組Email常常受限制于最大消息長度（一般限制在最大50000字節(jié)）；更長的消息要進行分段，每一段分別郵寄。PGP自動分段并在接收時自動恢復(fù)。簽名只需一次，在第一段中。7、PGP消息的傳送與接收8、加密密鑰和密鑰環(huán)PGP使用四種類型的密鑰：一次性會話常規(guī)密鑰，公鑰，私鑰，基于口令短語的常規(guī)密鑰。1）密鑰標(biāo)識符?一個用戶有多個公鑰/私鑰對時，接收者如何知道發(fā)送者是用了哪個公鑰來加密會話密鑰？–將公鑰與消息一起傳送。–將一個標(biāo)識符與一個公鑰關(guān)聯(lián)。對一個用戶來說做到一一對應(yīng)。發(fā)送消息的格式?一個消息包含三部分成員：報文messagecomponent、簽名signature(optional)和會話密鑰sessionkeycomponent(optional)密鑰環(huán)?我們已經(jīng)看到KeyID對于PGP是如何關(guān)鍵。兩個keyID包含在任何PGP消息中，提供保密與鑒別功能。需要一種系統(tǒng)化的方法存儲和組織這些key以保證使用。?PGP在每一個節(jié)點上提供一對數(shù)據(jù)結(jié)構(gòu)：存儲該節(jié)點擁有的公鑰/私鑰對；（私鑰環(huán)）存儲本節(jié)點知道的其他用戶的公鑰；（公鑰環(huán)）9、PGP報文的生成PGP—發(fā)送方處理消息的過程?簽名：從私鑰環(huán)中得到私鑰，利用userid作為索引；PGP提示輸入口令短語，恢復(fù)私鑰；構(gòu)造簽名部分。?加密：PGP產(chǎn)生一個會話密鑰，并加密消息；PGP用接收者userid從公鑰環(huán)中獲取其公鑰；構(gòu)造消息的會話密鑰部分。PGP報文的接收PGP—接收方處理消息的過程?解密消息：PGP用消息的會話密鑰部分中的KeyID作為索引，從私鑰環(huán)中獲取私鑰；PGP提示輸入口令短語，恢復(fù)私鑰；PGP恢復(fù)會話密鑰，并解密消息。?驗證消息PGP用消息的簽名部分中的KeyID作為索引，從公鑰環(huán)中獲取發(fā)送者的公鑰；PGP恢復(fù)被傳輸過來的消息摘要；PGP對于接收到的消息作摘要，并與上一步的結(jié)果作比較公鑰管理問題?由于PGP重在廣泛地在正式或非正式環(huán)境下應(yīng)用，沒有建立嚴(yán)格的公鑰管理模式。?如果A的公鑰環(huán)上有一個從BBS上獲得B發(fā)布的公鑰，但已被C替換，這是就存在兩條通道。C可以向A發(fā)信并冒充B的簽名，A以為是來自B；A與B的任何加密消息C都可以讀取。?為了防止A的公鑰環(huán)上包含錯誤的公鑰，有若干種方法可用于降低這種風(fēng)險。1、物理上得到B的公鑰。2、通過電話驗證公鑰。B將其公鑰email給A，A可以用PGP對該公鑰生成一個160位的SHA-1摘要，并以16進制顯示。這一特點稱作密鑰的“指紋”。然后A打電話給B，讓B在電話中對證“指紋”。如果雙方一致，則該公鑰被認(rèn)可。3、從雙方都信任的個體D處獲得B的公鑰。D是介紹人，生成一個簽名的證書。其中包含B的公鑰，密鑰生成時間。D對該證書生成一個SHA-1摘要，用其私鑰加密這個摘要，并將其附加在證書后。因為只有D能夠產(chǎn)生這個簽名，沒有人可以生成一個錯誤的公鑰并假裝是D簽名的。這個簽名的證書可以由B或D直接發(fā)給A，也可以貼到公告牌上。4、從一個信任的CA中心得到B的公鑰。信任關(guān)系的應(yīng)用?盡管PGP沒有包含任何建立認(rèn)證權(quán)威機構(gòu)或建立信任體系的規(guī)格說明，但它提供了一個利用信任關(guān)系的手段，將信任與公鑰關(guān)聯(lián)，利用信任信息。Keylegitimacyfield（密鑰合法性字段）：表明PGP將信任這是一個對該用戶是合法的公鑰；信任級別越高，這個userID對這個密鑰的綁定越強。這個字段是由PGP計算的。每一個簽名與一個signaturetrustfield（簽名信任字段）關(guān)聯(lián)，表明這個PGP用戶對簽名人對公鑰簽名的信任程度。Keylegitimacyfield是由多個signaturetrustfield導(dǎo)出的。Ownertrustfield（擁有者信任字段）：表明該公鑰被信任用于簽名其它公鑰證書的信任程度。這一級別的信任是由用戶給出的。信任關(guān)系處理過程1、當(dāng)A向公鑰環(huán)中插入一個新公鑰時，PGP必須向trustflag賦值，該標(biāo)志與該公鑰的主人相關(guān)。如果其主人是A，則該值為最高信任(ultimatetrust)。否則，PGP詢問用戶，讓用戶給出信任級別。用戶可選：該公鑰的主人是不認(rèn)識(unknown)、不信任(untrusted)、接近信任(marginallytrusted)或完全信任(completetrusted)。2、當(dāng)新公鑰進入時，可能有一個或多個簽名跟隨其后。許多簽名可以以后再加入。當(dāng)一個簽名插入到一個條目中時，PGP查找該公鑰環(huán)中是否已有公鑰的主人中包含該公鑰的作者。如果包含，則這個主人的OWNERTRUST值被賦予該簽名的SIGTRUST字段。否則，賦予unknownuser值。3、keylegitimacyfield的值基于該條目中signaturetrustfield來計算。如果至少一個簽名有一個簽名信任值為ultimate，則klf的值設(shè)為complete。否則，PGP計算一個信任值的加權(quán)和。公鑰的作廢?密鑰暴露或定時更新導(dǎo)致需要公鑰報廢功能；?通常的報廢方法是由主人簽發(fā)一個密鑰報廢證書。這個證書具有與通常簽名證書相同的形式，但包含一個指示符表明這個證書是要作廢該公鑰的使用。注意到必須使用所對應(yīng)的私鑰來簽名一個密鑰報廢證書，其主人應(yīng)盡可能越廣越快散布這個證書，以使得潛在的有關(guān)人員更新他們的公鑰環(huán)。?注意：對手也可以發(fā)出這個證書，然而，這將導(dǎo)致他自己也被否決。因此，這樣比起惡意使用偷來的私鑰來看似乎會減少漏洞。二、S/MIME?是對MIME電子郵件格式的安全擴展；?技術(shù)來自RSADataSecurity；?與PKI的結(jié)合，使用X.509證書，以及PKCS標(biāo)準(zhǔn)；（PKCS#7,也叫做加密消息的語法標(biāo)準(zhǔn)，由RSA安全體系在公鑰加密系統(tǒng)中交換數(shù)字證書產(chǎn)生的一種加密標(biāo)準(zhǔn)。）–算法協(xié)商不可能在線進行，只能用一組規(guī)則保證盡可能地達(dá)到安全性；–不嚴(yán)格的信任模型，由客戶實現(xiàn)和用戶來決定；?S/MIME更象商用或組織使用的工業(yè)標(biāo)準(zhǔn)，PGP更面向個體用戶選用。MIME?SMTP822的擴展局限：SMTP不能傳送可執(zhí)行文件或其他二進制文件；SMTP不能傳送包含自然語言字符的正文數(shù)據(jù)；SMTP服務(wù)器可能拒絕超過某一大小限制的郵件；SMTP網(wǎng)關(guān)轉(zhuǎn)換ASCII和EBCDIC（ExtendedBinaryCodedDecimalInterchangeCode）碼未用一個一致的映射集，導(dǎo)致轉(zhuǎn)換問題。MIME概要1）定義了5種新的消息頭字段，提供了關(guān)于消息體的信息；2）定義了若干內(nèi)容格式，從而標(biāo)準(zhǔn)化地表達(dá)多媒體電子郵件；3）定義多種轉(zhuǎn)換編碼方式，使得任意內(nèi)容格式轉(zhuǎn)換到由郵件系統(tǒng)保護以防變化的格式。S/MIMEFunctionality功能?Envelopeddata:這包含任意類型的加密內(nèi)容和加密內(nèi)容加密密鑰，對一個或多個接收者。?Signeddata：取要簽名內(nèi)容的消息摘要形成