第3講 PKI技術(shù)及應(yīng)用

PKI技術(shù)及應(yīng)用馬兆豐博士信息安全中心/數(shù)字內(nèi)容中心網(wǎng)絡(luò)攻防教育部重點(diǎn)實(shí)驗(yàn)室網(wǎng)絡(luò)與交換國(guó)家重點(diǎn)實(shí)驗(yàn)室災(zāi)備技術(shù)國(guó)家工程實(shí)驗(yàn)室mzf算機(jī)網(wǎng)絡(luò)安全系列講座密碼學(xué)簡(jiǎn)介PKI技術(shù)PKI的應(yīng)用密碼學(xué)與信息安全信息的私密性(Privacy)

對(duì)稱加密信息的完整性(Integrity)

數(shù)字簽名信息的源發(fā)鑒別(Authentication)

數(shù)字簽名信息的防抵賴性(Non-Reputation)

數(shù)字簽名＋時(shí)間戳PKI=PublicKeyInfrastructure信任管理

PKI是表示和管理信任關(guān)系的工具;數(shù)字化、電子化社會(huì)的基礎(chǔ)之一 在數(shù)字化社會(huì)中，實(shí)體間建立信任關(guān)系的關(guān)鍵是能彼此確定對(duì)方的身份；PKI的由來

對(duì)稱密鑰體制(SecretKeyCryptography)

非對(duì)稱密鑰體制(PublicKeyCryptography)DES,IDEA,RC4,RC5,…...RSA,DH/DSA,ECDH/ECDSA

新一代加密標(biāo)準(zhǔn)AES密碼學(xué)簡(jiǎn)介相同對(duì)稱密碼算法信息M對(duì)稱密鑰算法密鑰K密文C對(duì)稱密鑰算法密文CUserBUserA信息M密鑰K網(wǎng)絡(luò)對(duì)稱密碼算法的加密過程DESDES是第一個(gè)得到廣泛應(yīng)用的密碼算法；DES是一種分組加密算法，輸入的明文為64位，密鑰為64位，生成的密文為64位；DES是一種對(duì)稱密碼算法，源于Lucifer算法，其中采用了Feistel網(wǎng)絡(luò)(FeistelNetwork)，即

DES已經(jīng)過時(shí)，基本上認(rèn)為不再安全；

IDEAXuejiaLai和JamesMassey提出；IDEA是對(duì)稱、分組密碼算法，輸入的明文為64位，密鑰為128位，生成的密文為64位；IDEA是一種相對(duì)較新的算法，有堅(jiān)強(qiáng)的理論基礎(chǔ)，但仍應(yīng)謹(jǐn)慎使用(盡管該算法已被證明可對(duì)抗差分分析和線性分析)；IDEA是一種專利算法(在歐洲和美國(guó))，專利由Ascom-TechAG擁有;PGP中已實(shí)現(xiàn)了IDEA；RC系列RC系列是RonRivest為RSA公司設(shè)計(jì)的一系列密碼：RC1從未被公開，以致于許多人們稱其只出現(xiàn)在Rivest的記事本上；RC2是變長(zhǎng)密鑰加密密法；(RC3在設(shè)計(jì)過程中在RSADSI內(nèi)被攻破);RC4是Rivest在1987年設(shè)計(jì)的變長(zhǎng)密鑰的序列密碼；RC5是Rivest在1994年設(shè)計(jì)的分組長(zhǎng)、密鑰長(zhǎng)的迭代輪數(shù)都可變的分組迭代密碼算法；DES(56),RC5-32/12/5,RC5-32/12/6,RC5-32/12/7已分別在1997年被破譯；AES標(biāo)準(zhǔn)和RijndaelAES：下一代的加密標(biāo)準(zhǔn)最后的5個(gè)候選算法：Mars,RC6,Rijndael,Serpent,andTwofishRijndael算法的原型是Square算法，其設(shè)計(jì)策略是寬軌跡策略(WideTrailStrategy)，以針對(duì)差分分析和線性分析；Rijndael是迭代分組密碼，其分組長(zhǎng)度和密鑰長(zhǎng)度都是可變的；為了滿足AES的要求，分組長(zhǎng)度為128bit，密碼長(zhǎng)度為128/192/256bit，相應(yīng)的輪數(shù)r為10/12/14。歷史悠久：最古老與最現(xiàn)代的密碼學(xué)基本特點(diǎn)：加密和解密采用同一個(gè)密鑰 設(shè)C=密文,P=明文,k

為密鑰,E()/D()為加密、解密算法，那么：

C=E(P,k),P=D(C,k)基本技術(shù):替換/置換和移位對(duì)稱密碼算法特點(diǎn)總結(jié)不相同非對(duì)稱密碼算法信息M非對(duì)稱密鑰算法B之公鑰密文C非對(duì)稱密鑰算法密文CUserBUserA信息MB之私鑰網(wǎng)絡(luò)非對(duì)稱密碼算法的加密過程公鑰密碼算法概念加密與解密由不同的密鑰完成 加密:X

Y:Y=EKU(X)

解密:Y

X:X=DKR(Y)=DKR(EKU(X))知道加密算法,從加密密鑰得到解密密鑰在計(jì)算上是不可行的兩個(gè)密鑰中任何一個(gè)都可以用作加密而另一個(gè)用作解密(不是必須的) X=DKR(EKU(X))=EKU(DKR(X))DH兩個(gè)人(Diffie,Hellman)，《NewDirectionsinCryptography》,1976公鑰密碼學(xué)的出現(xiàn)使大規(guī)模的安全通信得以實(shí)現(xiàn)–

解決了密鑰分發(fā)問題；公鑰密碼學(xué)還可用于另外一些應(yīng)用：數(shù)字簽名、防抵賴等；公鑰密碼體制的基本原理–

陷門單向函數(shù)公鑰密碼算法歷史

設(shè)n是兩個(gè)不同奇素?cái)?shù)之積，即n=pq，計(jì)算其歐拉函數(shù)值Φ(n)=(p-1)(q-1).

隨機(jī)選一整數(shù)e,1≤e<Φ(n),(Φ(n),e)=1.

因而在模Φ(n)下,e有逆元

d=e-1modΦ(n)

取公鑰為n,e,秘密鑰為d.(p,q不再需要，應(yīng)該被舍棄，但絕不可泄露)

定義加密變換為解密變換為公鑰密碼算法RSA公鑰密碼算法－－RSA密碼體制

RSA密碼是由Rivest,Shamir和Adleman三位學(xué)者于1977年聯(lián)合提出的雙密鑰（公鑰）密碼系統(tǒng)，RSA是由他們的名字的首字母命名。

RSA算法是迄今理論上最為成熟完善的一種公鑰密碼體制。

RSA密碼基于計(jì)算復(fù)雜性原理獲得加密強(qiáng)度，但其缺點(diǎn)是系統(tǒng)的安全取決于所用的兩個(gè)大素?cái)?shù)，如果能找出一種快速方法分解這兩個(gè)大素?cái)?shù)，系統(tǒng)很容易被攻破。舉例：

選p=7，q=17。求n=p×q=119，φ(n)=(p-1)(q-1)=96。取e=5，滿足1<e<φ(n)，且gcd(φ(n),e)=1。確定滿足d·e=1mod96且小于96的d，因?yàn)?7×5=385=4×96+1，所以d為77.因此公開鑰為{5，119}.私鑰為{77，119}.RSA解密算法舉例設(shè)明文m=19，則由加解密過程如下：加密：c≡me=195mod119≡2476099mod119≡66解密：m=cd=6677mod119≡19RSA解密算法舉例

RSA算法描述

RSA加、解密算法(1978Rivest,Shamir,Adelman)

分組大小為k,2k<n

2k+1

公開密鑰n（兩素?cái)?shù)p和q的乘積）（推薦p,q等長(zhǎng)）

e（與(p-1)(q-1)互素）

ed1(mod(p-1)(q-1))

私人密鑰d（e-1mod(p-1)(q-1))

加密c=memodn

解密m=cdmodn

用戶首先選擇一對(duì)不同的素?cái)?shù)p，q，計(jì)算n=pq，f(n)=(p-1)(q-1).并找一個(gè)與f(n)互素的數(shù)d，并計(jì)算其逆a,即da=1modf(n)。則密鑰空間K=(n,p,q,a,d)。加密過程為mamodn=c，解密過程為cdmodn=m。其中m,c分別為明文和密文.n和a公開，而p，q，d是保密的。RSA算法舉例取兩個(gè)質(zhì)數(shù)p=11，q=13，p和q的乘積為n=p×q=143算出另一個(gè)數(shù)f=(p-1)×(q-1)=120；再選取一個(gè)與f=120互質(zhì)的數(shù)，例如e=7，則公開密鑰=（n，e）=（143，7）。對(duì)于這個(gè)e值，可以算出其逆：d=103。因?yàn)閑×d=7×103=721，滿足e×dmodf=1；即721mod120=1成立。則秘密密鑰=（n，a）=（143，103）。設(shè)張小姐需要發(fā)送機(jī)密信息（明文）m=85給李先生，她已經(jīng)從公開媒體得到了李先生的公開密鑰（n，e）=（143，7），于是她算出加密值：c=memodn=857mod143=123并發(fā)送給李先生。李先生在收到密文c=123后，利用只有他自己知道的秘密密鑰計(jì)算：m=camodn=123103mod143=85所以，李先生可以得到張小姐發(fā)給他的真正的信息m=85，實(shí)現(xiàn)了解密。RSA的安全性就目前的計(jì)算機(jī)水平用1024位的密鑰是安全的，2048位是絕對(duì)安全的。RSA實(shí)驗(yàn)室認(rèn)為，512位的n已不夠安全，應(yīng)停止使用現(xiàn)在的個(gè)人需要用668位的n，公司要用1024位的n，極其重要的場(chǎng)合應(yīng)該用2048位的n。RSA算法的脆弱性公開密鑰算法p、q選擇不當(dāng)，則變換周期性、封閉性而泄密例：p=17，q=11，e=7，則n=187。設(shè)m=123，則

C1=1237mod187=183C2=1837mod187=72C3=727mod187=30C4=307mod187=123

明文m經(jīng)過4次加密，恢復(fù)成明文?？傊?，RSA對(duì)用戶要求太苛刻，密鑰不能常更換。DH/DSADiffie-Hellman(DH)是第一個(gè)公鑰算法，其安全性基于在有限域中計(jì)算離散對(duì)數(shù)的難度；DH可用于密鑰分發(fā)，但不能用于加/解密報(bào)文；DH算法已得到廣泛應(yīng)用，并為許多標(biāo)準(zhǔn)化組織(IETF等)接納；DSA是NIST于1991年提出的數(shù)字簽名標(biāo)準(zhǔn)(DSS),該標(biāo)準(zhǔn)于1994年5月19日被頒布；DSA是Schnorr和Elgamal簽名算法的變型,DSA只能用于數(shù)字簽名不能用于加密；密鑰管理復(fù)雜性計(jì)算速度開發(fā)費(fèi)用和成本私鑰體制公鑰體制復(fù)雜簡(jiǎn)單快慢較小較大兩類不同算法的對(duì)比對(duì)稱密碼算法 加/解密速度快，但密鑰分發(fā)問題嚴(yán)重非對(duì)稱密碼算法 加/解密速度較慢，但無密鑰分發(fā)問題信息M非對(duì)稱算法B之公鑰密文C’非對(duì)稱算法密文C’UserBUserA信息MB之私鑰網(wǎng)絡(luò)對(duì)稱算法密鑰K密文CK的密文密文CK的密文密鑰K對(duì)稱算法兩類密碼體制的混合使用對(duì)稱算法解決：數(shù)據(jù)加密問題非對(duì)稱算法解決：密鑰分發(fā)問題私鑰體制(SKC)數(shù)據(jù)加密公鑰體制(PKC)密鑰交換數(shù)字簽名兩類密碼體制的使用范圍身份認(rèn)證關(guān)于密碼算法的強(qiáng)度算法設(shè)計(jì)密鑰長(zhǎng)度密鑰管理基于時(shí)間空間的觀點(diǎn)基于成本的觀點(diǎn)影響密碼算法強(qiáng)度的因素128bitRC4vs40bitRC4重點(diǎn)One-wayHASH(單向散列算法)Hi,DearLi:IhavelivedinBeijingfor10years…..…………...Uyge78317#@4%^&*HASH算法算法特點(diǎn)：不定長(zhǎng)度輸入，固定長(zhǎng)度輸出（MD5-16字節(jié)、SHA1-20字節(jié)）輸入很小的變動(dòng)可引起輸出較大變動(dòng)完全單向：已知輸出無法推算出輸入，已知兩個(gè)輸出的差別無法推算出輸入的差別

數(shù)字簽名例、PGP加密軟件是美國(guó)NetworkAssociateInc.出產(chǎn)的Internet免費(fèi)軟件，可用它對(duì)文件、郵件進(jìn)行加密，你還可和同樣裝有PGP軟件的朋友互相傳遞加密文件，安全十分保障。

PGP的7.0版是免費(fèi)版， 在

上可以下載，7.8M。 是基于RSA的雙鑰加密體制。

軟件用法：首先生成一對(duì)密鑰（同時(shí)生成）一個(gè)公鑰，你可以把它分發(fā)給你的朋友們，用來加密文件，另一個(gè)私鑰，自己保存，解密文件的。打開“開始”中“PGP”的“PGPKEYS”，點(diǎn)擊圖標(biāo)或者用菜單key>newkey開始生成密鑰。PGPKeys窗口常用工具窗口PGPKeys窗口密鑰（公鑰、私鑰）的產(chǎn)生公鑰以.asc或.txt文件保存，并發(fā)送對(duì)方，用于加密。文件加密注意選擇加密的密鑰注意選擇適當(dāng)?shù)墓€進(jìn)行加密數(shù)字證書和認(rèn)證為什么使用數(shù)字證書?數(shù)字證書的內(nèi)容?怎樣使用數(shù)字證書?證書管理為什么使用數(shù)字證書？(總結(jié))必須要使用公鑰?如何保證公鑰可信?答案：采用大家都信任的第三方為每個(gè)人頒發(fā)數(shù)字證書!用戶名稱發(fā)證機(jī)構(gòu)有效期限………...簽名算法公鑰信息用戶名稱發(fā)證機(jī)構(gòu)有效期限公鑰信息簽名結(jié)果………...數(shù)字簽名什么是數(shù)字證書？數(shù)字證書使用證書進(jìn)行身份認(rèn)證SSL協(xié)議概述由Netscape，IETFTLS工作組開發(fā)SSL/TLS在源和目的實(shí)體間建立了一條安全通道(在傳輸層之上)，提供基于證書的認(rèn)證、信息完整性和數(shù)據(jù)保密性SSL體系結(jié)構(gòu)：SSL協(xié)議棧IPTCPSSL記錄協(xié)議SSL握手協(xié)議SSL修改算法協(xié)議SSL告警協(xié)議HTTP協(xié)議SSL協(xié)議流程客戶端發(fā)出連接請(qǐng)求服務(wù)端應(yīng)答，發(fā)送服務(wù)端數(shù)字證書，服務(wù)端可以請(qǐng)求客戶證書，對(duì)客戶身份進(jìn)行驗(yàn)證HELLO?驗(yàn)證服務(wù)端數(shù)字證書，必要時(shí)發(fā)送客戶端證書給服務(wù)端身份驗(yàn)證完畢，客戶端產(chǎn)生會(huì)話密鑰，并將會(huì)話密鑰使用服務(wù)端的公鑰加密發(fā)送給服務(wù)端會(huì)話密鑰已建立，發(fā)送應(yīng)用層數(shù)據(jù)ServerIDClientIDSessionkeyServerClientSSL目前的應(yīng)用領(lǐng)域網(wǎng)絡(luò)銀行（個(gè)人、企業(yè)）網(wǎng)上報(bào)稅電子商務(wù)系統(tǒng)管理其他安全協(xié)議PGP（個(gè)人電子郵件）S/MIMEIPSec證書管理證書的發(fā)布證書的更新證書的廢除證書的查詢證書的使用證書的申請(qǐng)證