信息安全與密碼學介紹(7)

數(shù)字簽名和鑒別協(xié)議數(shù)字簽名鑒別協(xié)議11.

數(shù)字簽名報文鑒別示例：21.

數(shù)字簽名報文鑒別示例的安全性分析：可用來保護通信雙方免受任何第三方的攻擊。無法用來防止通信雙方的互相攻擊，無法解決通信雙方可能存在多種形式的爭執(zhí)。原因：接收方可能偽造并聲稱它來自發(fā)送方。接收方只要簡單地生成一個報文，并附加使用由發(fā)送方和接收方所共享的密鑰生成的鑒別碼即可。發(fā)送方可以否認發(fā)送過該報文。因為接收方偽造一個報文是可能的，無法證明發(fā)送方發(fā)送過該報文這一事實。31.

數(shù)字簽名解決方案：由于發(fā)方和收方之間存在欺騙或抵賴，因此除了采用防止第三方攻擊的鑒別之外還需要采用防止當事雙方相互攻擊的手段。最吸引人的解決方案是筆跡簽名的模擬——數(shù)字簽名。數(shù)字簽名必須擁有的基本性質(zhì)：必須能證實作者簽名和簽名的日期和時間。在簽名時必須能對內(nèi)容進行鑒別。簽名必須能被第三方證實以便解決爭端。41.

數(shù)字簽名密碼學上對數(shù)字簽名的需求：簽名必須是依賴于要簽名報文的比特模式。簽名必須使用對發(fā)送者來說是惟一的信息，以防偽造和抵賴。數(shù)字簽名的產(chǎn)生必須相對簡單。數(shù)字簽名的識別和證實必須相對簡單。偽造一個數(shù)字簽名在計算上是不可行的，無論是通過對已有的數(shù)字簽名來構(gòu)造新報文，還是對給定的報文構(gòu)造一個虛假的數(shù)字簽名。保留一個數(shù)字簽名的備份在存儲上是現(xiàn)實可行的。數(shù)字簽名的方法：直接的需仲裁的51.

數(shù)字簽名直接數(shù)字簽名方案實施涉及通信方——發(fā)方和收方密碼方案——非對稱密碼學使用前提——收方知道發(fā)方的公開密鑰簽名實施——可以通過使用發(fā)方的私有密鑰對整個報文進行加密，或通過使用發(fā)方的私有密鑰對報文的散列碼進行加密來形成。保密方案——可通過對整個報文和簽名進行更進一步的加密來實現(xiàn)，可采用收方的公用密鑰（公開加密）或采用雙方共享的密鑰（常規(guī)加密）來進行加密。實施關(guān)鍵收方應(yīng)假定發(fā)方對私有密鑰的完全控制61.

數(shù)字簽名直接數(shù)字簽名實施示例71.

數(shù)字簽名直接數(shù)字簽名方案弱點方案的有效性依賴于發(fā)方私有密鑰的安全性。弱點分析發(fā)方若想否認發(fā)送過某個報文，則可以聲稱該私有密鑰丟失或被盜用，且偽造了他（她）的簽名。X的私有密鑰真的可能在時間T被盜。獲得該密鑰的人便能發(fā)送帶有X的簽名報文并附上小于等于T的時間戳。81.

數(shù)字簽名需仲裁的數(shù)字簽名方案實施每個從X發(fā)往收方Y(jié)的簽名報文首先被送給仲裁者A，仲裁者A對該報文和它的簽名進行一系列的測試以檢驗它的出處和內(nèi)容。然后對報文注明日期，附上一個已經(jīng)經(jīng)過仲裁證實屬實的說明后發(fā)給Y。A的存在解決了直接簽名方案所面臨的問題：X可能否認發(fā)送過該報文。實施關(guān)鍵所有通信方必須充分信任仲裁機構(gòu)。91.

數(shù)字簽名需仲裁的數(shù)字簽名方案示例(a)常規(guī)加密，仲裁能看到報文內(nèi)容X→A：M||EKxa[IDx||H(M)]A→Y：EKay[IDx||M||EKxa[IDx||H(M)]||T](b)常規(guī)加密，仲裁不能看到報文內(nèi)容X→A：IDX||EKxy[M]||EKxa[IDX||H(EKxy[M])]A→Y：EKay[IDX||EKxy[M]||EKxa[IDX||H(EKxy[M])]||T](c)公開密鑰加密，仲裁不能看到報文內(nèi)容X→A：IDX||EKRx[IDX||EKUy(EKRx[M])]A→Y：EKRa[IDX||EKUy[EKRx[M]]||T]101.

數(shù)字簽名需仲裁的數(shù)字簽名方案示例討論方案(a)和(b)存在的問題X必須確信A不會泄露Kxa，也不會產(chǎn)生虛假的簽名。(仲裁能和收方結(jié)成聯(lián)盟來偽造發(fā)方的簽名。)Y必須確信A只有在散列碼正確且確是X簽名的情況下才發(fā)送。(仲裁能和發(fā)方結(jié)成聯(lián)盟來否認一個簽名報文。)雙方必須確信A能公平地解決爭端。(仲裁作用。)方案(c)的優(yōu)點通信前各方?jīng)]有共享任何信息，可防止結(jié)盟欺騙的發(fā)生。假定KRa是安全的，即使KRx已不安全，日期不對的報文不會被發(fā)送。從X發(fā)給Y的報文內(nèi)容對A和其他任何人都是保密的。112.

鑒別協(xié)議主要涉及內(nèi)容在報文鑒別的基礎(chǔ)上，進行更深層次的通信對象和通信內(nèi)容有效性的鑒別。相互鑒別單向鑒別122.

鑒別協(xié)議相互鑒別相互鑒別的必要性通信對象的確認——通信各方相互證實對方的身份信息交換的機密性——防止信息的篡改和泄漏信息交換的時效性——防止報文重放的威脅報文重放威脅的表現(xiàn)最好情況——一個成功的重放會通過為通信方提供用似是而非的報文而打亂正常的操作。最差情況——可能允許對手獲取會話密鑰或成功地假扮為通信的另一方。132.

鑒別協(xié)議相互鑒別重放攻擊的常用方法示例簡單重放：對手簡單地拷貝一個報文并在后來重放。能被日志記錄的重復：對手可以在有效的時間窗口內(nèi)重放有時間戳的報文。能被日志記錄的重復：對手可以在有效的時間窗口內(nèi)重放有時間戳的報文。沒有修改的退回重放：這是一種報文返回發(fā)方的重放。如果使用常規(guī)加密，這種攻擊是可能的，并且發(fā)方不容易依據(jù)內(nèi)容識別發(fā)送過的報文與收到的報文間的不同。142.

鑒別協(xié)議相互鑒別對付重放攻擊的常用方法為每個用來鑒別交換的報文分配一個序號，新的報文只有在它的序號滿足一種正確的次序時才被接收。這種方法的難點在于它需要通信各方記錄已處理的最近一個序號。因為有這種負擔，序號一般不用于鑒別和密鑰交換。時間戳：A方接收一個報文，只有當報文包含的時間戳（經(jīng)A判斷后）與A了解的當前時間足夠接近，才認為報文是新的。這種方法的難點在于它需要通信各方的時鐘保持同步。首先，需要某種協(xié)議來維持不同處理機時鐘的同步，這個協(xié)議還必須是容錯的和安全的，即要能對付網(wǎng)絡(luò)的故障和惡意的攻擊。其次，如果暫時失去同步會導致一方的時鐘機制出錯，那攻擊成功的機率將大為增加。最后，因為網(wǎng)絡(luò)時延的可變性和不可預(yù)知性，很難期望分布時鐘能保持精確的同步。因此，任何基于時間戳的過程必須申請足夠大的時間窗口以適應(yīng)網(wǎng)絡(luò)時延，同時又要使時間窗口足夠小以使攻擊成功的機率最小。盤問/響應(yīng)：若A方期望從B接收一個新近的報文，就先要向B發(fā)送一個現(xiàn)時報文（nonce）（即盤問），然后要求隨后從B接收的報文（即響應(yīng)）包含正確的現(xiàn)時值。這種方法不大適合面向無連接的應(yīng)用，因為在任何無連接傳輸之前它需要有握手的負擔，這將在很大程度上丟失無連接傳輸?shù)闹饕卣鳌?52.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案示意圖162.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案過程描述A→KDC：IDA||IDB||N1KDC→A：EKa[Ks||IDB||N1||EKb[Ks||IDA]]A→B：EKb[Ks||IDA]B→A：EKs[N2]A→B：EKs[f(N2)]相互鑒別的常規(guī)加密原始方案可能存在的攻擊模式簡單地對第3步進行觀察、記錄并重放，加重通信負擔。假定X是一個對手，已經(jīng)獲得了一個舊的會話密鑰，則X可冒充A，使用舊密鑰通過簡單的重放第3步就可以欺騙B。除非B一直牢記所有與A的會話密鑰，否則B無法確定這是一個重放。172.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案改進1過程描述A→KDC：IDA||IDBKDC→A：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]A→B：EKb[Ks||IDA||T]B→A：EKs[N1]A→B：EKs[f(N1)]相互鑒別的常規(guī)加密原始方案改進1的防重發(fā)機制增加時間戳T，它能向A和B確保該會話密鑰是剛產(chǎn)生的。這樣，A和B雙方都知道這個密鑰分配是一個最新的交換。A和B通過驗證下式來證實時效性：|Clock–T|＜△t1+△t2其中△t1是估計的KDC時鐘與本地時鐘（A或B）的正常偏差，△t2是預(yù)期的網(wǎng)絡(luò)時延。每個結(jié)點可參照某些標準參考源設(shè)置自己的時鐘。時間戳T是用主密鑰加密的，即使對手獲得舊的會話密鑰，由于步驟3的重放將會被B檢測出不及時而不會成功。182.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密原始方案改進1存在的危險分布時鐘由于陰謀破壞或同步時鐘、同步機制的故障變得不同步。當發(fā)方的時鐘快于預(yù)想的收方時鐘時，這個問題就會發(fā)生。在這種情況下，對手可截獲發(fā)自A的報文，當報文中的時間戳變成收方的當前時間時就重放該報文。這種重放可導致不可預(yù)料的結(jié)果。這樣的攻擊被稱為抑制——重放攻擊。相互鑒別的常規(guī)加密原始方案改進1的可能改進加強通信各方定期與KDC時鐘的校準。避免時鐘同步的需求，依賴使用現(xiàn)時的握手。（依然會帶來其它問題，其原因是因為收方選擇的現(xiàn)時對發(fā)送方是不可預(yù)測的。）192.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密改進方案A→B：IDA||NaB→KDC：IDB||Nb||EKb[IDA||Na||Tb]KDC→A：EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||NbA→B：EKb[IDA||Ks||Tb]||EKs[Nb]相互鑒別的常規(guī)加密改進方案的優(yōu)點信任狀的過期時間Tb是相對于B的時鐘。這樣，這個時間戳不需要同步時鐘，因為B只檢查自身產(chǎn)生的時間戳。

A和B分別檢查各自生成的現(xiàn)時Na和Nb，確保不是重放。信任狀的過期時間Tb的使用使得在有效時間內(nèi)A又想與B建立新的會話時，雙方不必重復多次與鑒別服務(wù)器聯(lián)系的必要。202.

鑒別協(xié)議相互鑒別相互鑒別的常規(guī)加密改進方案建立新會話的方案A→B：EKb[IDA||Ks||Tb],N’aB→A：N’b,EKa[N’a]A→B：EKa[N’b]建立新會話的方案的安全保障信任狀的過期時間Tb驗證報文中的票據(jù)沒有過期。新產(chǎn)生的現(xiàn)時N’a和N’b將向每方保證這不是重放攻擊。212.

鑒別協(xié)議相互鑒別相互鑒別的公開密鑰加密原始方案A→AS：IDA||IDBAS→A：EKRas[IDA||KUa

||T]||EKRas[IDB||KUb||T]A→B：EKRas[IDA||KUa

||T]||EKRas[IDB||KUb||T]||EKUb[EKRa[Ks||T]]相互鑒別的公開密鑰加密原始方案特點中心系統(tǒng)被稱為鑒別服務(wù)器（AS），因為實際上它并不負責密鑰的分配。AS實際上提供公開密鑰證書。會話密鑰的選擇和加密由A完成；因此沒有AS泄漏密鑰的危險。時間戳防止危及密鑰安全的重放攻擊，但需要時鐘的同步。222.

鑒別協(xié)議相互鑒別相互鑒別的公開密鑰加密改進方案1A→KDC：IDA||IDBKDC→A：EKRauth[IDB||KUb]A→B：EKUb[Na||IDA]B→KDC：IDB||IDA||EKUauth[Na]KDC→B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDB]]B→A：EKUa[EKRauth[Na||Ks||IDB]||Nb]A→B：EKs[Nb]相互鑒別的公開密鑰加密改進方案1特點使用現(xiàn)時，不需要時鐘的同步。會話密鑰由KDC代表B產(chǎn)生。存在安全漏洞(步驟5)。232.

鑒別協(xié)議相互鑒別相互鑒別的公開密鑰加密改進方案1的改進A→KDC：IDA||IDBKDC→A：EKRauth[IDB||KUb]A→B：EKUb[Na||IDA]B→KDC：IDB||IDA||EKUauth[Na]KDC→B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDA||IDB]]B→A：EKUa[EKRauth[Na||Ks||IDA||IDB]||Nb]A→B：EKs[Nb]242.

鑒別協(xié)議單向鑒別單向鑒別的必要性通信對象的確認——通信的接收方證實發(fā)送方的身份信息交換的機密性——防止信息的篡改和泄漏252.

鑒別協(xié)議單向鑒別單向鑒別的常規(guī)加密方案過程描述A→KDC：IDA||IDB]||N1KDC→A：EKa[Ks||IDB||N1||EKb[Ks||IDA]]A→B：EKb[Ks,IDA]||EKs[M]單向鑒別的常規(guī)加密方案可能存在的攻擊模式無法防止重放攻擊。由于潛在的時延，即使采用時間戳，其作用也有限。假定X是一個對手，已經(jīng)獲得了一個舊的會話密鑰及相應(yīng)的EKb[Ks,IDA]，則X就可以簡單地進行信息偽造。262.

鑒別協(xié)議單向鑒別單向鑒別的公開密鑰加密方案示意圖272.

鑒別協(xié)議單向鑒別單向鑒別的公開密鑰加密方案描述關(guān)心機密性A→B：EKU