1、2022-3-18現(xiàn)代密碼學(xué)理論與實踐-071現(xiàn)代密碼學(xué)理論與實踐第7章用對稱密碼實現(xiàn)保密性Fourth Edition by William Stallings楊壽保 苗付友2011年9月2022-3-18現(xiàn)代密碼學(xué)理論與實踐-072本章要點l鏈路加密中每個結(jié)點都需要一套加密設(shè)備，端到端加密只需在系統(tǒng)的兩個終端執(zhí)行加密和解密操作l即使通信數(shù)據(jù)都被加密，攻擊者仍能通過流量分析來獲取信息。有效的對付手段是對傳輸數(shù)據(jù)進行填充。l密鑰分配為需要傳輸加密數(shù)據(jù)的通信雙方提供傳遞密鑰的功能，需要機制和協(xié)議保障密鑰傳輸?shù)陌踩詌主密鑰不經(jīng)常使用并長期存在，臨時生成會話密鑰并分發(fā)給通信雙方l隨機或偽隨機數(shù)發(fā)生

2、器數(shù)許多密碼函數(shù)在實際應(yīng)用中必備的能力，其原則是產(chǎn)生的比特串不能夠被猜測。2022-3-18現(xiàn)代密碼學(xué)理論與實踐-073第7章 用對稱密碼實現(xiàn)保密性 本章討論加密邏輯功能所處的位置，使用加密防止通信量分析攻擊的方法，密鑰分配問題及隨機數(shù)的產(chǎn)生。7.1 密碼功能的位置l安全隱患從同一網(wǎng)上其他工作站發(fā)起的竊聽使用撥號進入局域網(wǎng)或服務(wù)器進行竊聽使用外部路由鏈接進入網(wǎng)絡(luò)和竊聽在外部鏈路上對通信業(yè)務(wù)的監(jiān)聽和修改2022-3-18現(xiàn)代密碼學(xué)理論與實踐-074鏈路加密與端到端加密l基本方法：鏈路加密與端到端加密l鏈路加密鏈路加密l加密是在每一條鏈路上獨立發(fā)生的l意味著鏈路之間每次分組交換都必須被解密l要求的

3、設(shè)備多，且需要成對的密鑰l端到端加密端到端加密l加密解密的過程在兩端系統(tǒng)中進行l(wèi)在兩端需要加密裝置，源主機與目的主機共享密鑰l依然存在弱點：不能對整個數(shù)據(jù)包加密，否則不能實現(xiàn)包的路由如果只對數(shù)據(jù)加密，信息頭保持明文，則傳輸過程又不安全了，因為可以有通信量分析攻擊2022-3-18現(xiàn)代密碼學(xué)理論與實踐-075鏈路加密與端到端加密l理想的是同時使用鏈路加密與端到端加密l端到端加密保證在整個路徑上的數(shù)據(jù)安全和提供認證l鏈路加密防止通信流被監(jiān)聽和分析2022-3-18現(xiàn)代密碼學(xué)理論與實踐-076兩種加密策略的特點2022-3-18現(xiàn)代密碼學(xué)理論與實踐-077l可以在OSI參考模型的各個層次上設(shè)置加密功

4、能l鏈路加密可以在物理層和數(shù)據(jù)鏈路層l端到端加密可以在網(wǎng)絡(luò)層、傳輸層、表示層和應(yīng)用層l越往高層移，需要加密的信息量越少，參與的實體和密鑰越多，加密越復(fù)雜，但是會更安全l采用前端處理器FEP實現(xiàn)加密功能l端系統(tǒng)用戶進程和應(yīng)用使用同一個密鑰采用同一個加密方案加密函數(shù)的邏輯位置2022-3-18現(xiàn)代密碼學(xué)理論與實踐-078通信量分析 Traffic Analysisl通信量分析是監(jiān)控通信雙方的通信流l軍事和商業(yè)環(huán)境下都有用l也可用于產(chǎn)生隱蔽信道l鏈路加密掩蓋了頭部細節(jié)l但是在網(wǎng)絡(luò)中和端節(jié)點的額外通信量仍然是可見可讀的l通信量填充可以進一步掩蓋通信流信息l但是會帶來連續(xù)的通信量2022-3-18現(xiàn)代密

5、碼學(xué)理論與實踐-079存儲轉(zhuǎn)發(fā)通信網(wǎng)絡(luò)中的加密覆蓋范圍l將加密設(shè)備用于端到端協(xié)議，不能提供網(wǎng)絡(luò)之間的服務(wù)，如電子郵件、電子數(shù)據(jù)交換和文件傳輸?shù)?。因此，端到端加密需要到?yīng)用層上進行。2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0710不同加密策略的實現(xiàn)(1)2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0711不同加密策略的實現(xiàn)(2)2022-3-18現(xiàn)代密碼學(xué)理論與實踐-07127.2 傳輸保密性l可以從通信量分析攻擊得到的信息類型l傳輸雙方的標識l傳輸雙方的聯(lián)系頻率l消息格式、消息長度，或者消息交換頻繁程度可以暗示出消息的重要性l與傳輸雙方的某些談話相關(guān)的事件l隱蔽信道問題(covert channe

6、l)l隱蔽信道就是以一種通信設(shè)施設(shè)計者未設(shè)想的方式進行通信的方法，通常這個信道被用于以一種違反安全規(guī)定的方式傳送信息。2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0713鏈路加密方式l使用鏈路加密時分組首部要加密，因此可以減少通信量分析的機會，但攻擊者仍有可能估算出網(wǎng)絡(luò)上的通信量并觀察到進入和離開每個端系統(tǒng)的通信量的大小。有效防范措施是通信量填充(traffic padding)2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0714端到端加密的方法l端到端加密方式l端到端加密方式使信息防護者可以采用的措施更有限，例如應(yīng)用層加密可以使攻擊者確定哪些通信實體參與了通信過程；傳輸層加密仍會透露網(wǎng)絡(luò)層地址和通信

7、量模式。l解決辦法是在傳輸層或應(yīng)用層把所有數(shù)據(jù)單元都填充到一個統(tǒng)一的長度，以防止攻擊者獲得端用戶之間交換的數(shù)據(jù)量信息，掩蓋通信量模式。2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0715l密鑰分發(fā)問題l對稱的加密機制要求雙方一個秘密密鑰l問題是如何安全保密地傳遞這個密鑰l許多密碼系統(tǒng)出問題多在密鑰分發(fā)上 l密鑰分發(fā)可以采用的多種方法密鑰由A選擇，并親自交給B第三方C選擇密鑰后親自交給A和B如果A和B以前或最近使用過某密鑰，其中一方可以用它加密一個新密鑰后再發(fā)送給另一方1.A和B與第三方C均有秘密渠道，則C可以將密鑰分別秘密發(fā)送給A和B7.3 密鑰分配2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0716

8、端到端加密所涉及的密鑰分配任務(wù)的難度lN個結(jié)點需要的密鑰數(shù)量是N(N-1)/2l1000個結(jié)點需要多達50萬個密鑰2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0717密鑰層次結(jié)構(gòu)的使用2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0718lA和B各自擁有與KDC共享的主密鑰KA和KB：lA向KDC發(fā)出請求，要求得到與B通信的會話密鑰lKDC用KA加密傳送給A如下內(nèi)容：l一次性會話密鑰KSl原始請求報文l用KB加密的要發(fā)給B的會話密鑰KS和A的標識符IDAlA得到會話密鑰KS并將有關(guān)信息發(fā)給BlA和B之間進行認證，并正式秘密通信lNonces(臨時交互號，或現(xiàn)時，可以是時間戳、計數(shù)器或隨機數(shù))，主要用在認

9、證協(xié)議中防范重放攻擊一個密鑰分配方案2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0719一種密鑰分配過程：分配加認證2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0720層次化密鑰控制和會話密鑰的使用壽命l分層式密鑰的控制l建立一系列KDC，各個KDC之間存在層次關(guān)系，使得主密鑰分配所涉及的工作量減至最小，因為大部分的主密鑰都是由一個本地的KDC和它的本地實體共享的，并將出錯或受到破壞的KDC的危害限制在它的本地區(qū)域l會話密鑰的生命期l會話密鑰更換越頻繁就越安全l對于面向連接的協(xié)議，每次會話使用新的密鑰l對于無連接的協(xié)議，每次交互使用新的密鑰，或者每個固定時間或?qū)τ谝欢〝?shù)量的交互使用一個給定的會話密鑰2

10、022-3-18現(xiàn)代密碼學(xué)理論與實踐-0721一種透明的密鑰控制方案2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0722分散式密鑰的控制l要求每個端系統(tǒng)能夠與所有潛在的伙伴以安全方式為了會話密鑰分配的目的進行通信，因此對于一個有n個端系統(tǒng)的配置可能需要多達n(n-1)/2個主密鑰2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0723控制密鑰的使用方式l因用途不同而定義的不同類型密鑰l數(shù)據(jù)加密密鑰lPIN加密密鑰l文件加密密鑰l依據(jù)密鑰特征限制密鑰的使用方式l給予每個密鑰一個關(guān)聯(lián)標記，如DES64位密鑰中留作做奇偶校驗的8位非密鑰比特l1比特指示此密鑰是主密鑰還是會話密鑰l1比特指示此密鑰是否可以用于加密

11、l1比特指示此密鑰是否可以用于解密l其余比特留待將來使用l控制向量的方案2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0724帶控制向量的加密和解密2022-3-18現(xiàn)代密碼學(xué)理論與實踐-07257.4 隨機數(shù)的產(chǎn)生l隨機數(shù)random numbers的用途l用于相互鑒別authentication，以防重放攻擊l會話密鑰session keys的產(chǎn)生l產(chǎn)生公開密鑰，如在RSA算法中產(chǎn)生密鑰l一次一密密碼中的密鑰流lNonces(臨時交互號或現(xiàn)時，可以是時間戳、計數(shù)器或隨機數(shù))lStatistically random(隨機程度)luniform distribution, 均勻分布，每個數(shù)出現(xiàn)的頻

12、率應(yīng)該近似相等lIndependent，獨立性，系列中的任意一個數(shù)都無法從其他數(shù)推測得到lUnpredictable (不可預(yù)測程度)，基于前值不能推導(dǎo)出未來的隨機數(shù)序列2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0726l最好的來源是真實世界中的自然隨機事件l可以找一個一般的但是隨機的事件進行監(jiān)控l一般需要特殊的硬件來實現(xiàn)，如衰變計數(shù)器，無線電噪聲，聲音噪聲，二極管熱噪聲，漏電電容，閘流管等。l這些隨機數(shù)源的問題是信號偏離或者信號的不均勻分布 l所以在采樣和使用時需要加以補償 l最好是只使用每個采樣中最具噪聲的位l還可以來自隨機數(shù)出版物的內(nèi)容，但是隨機數(shù)有限，有些知名隨機數(shù)用得太多太濫了隨機數(shù)的

13、來源2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0727lPseudorandom Number Generators (PRNGs)l產(chǎn)生隨機數(shù)的算法與技術(shù)l盡管不是完全隨機，但是產(chǎn)生的偽隨機數(shù)仍然可以通過某些隨機性測試偽隨機數(shù)產(chǎn)生器(PRNG)2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0728lLinear Congruential Generator (線性同余)lm，模數(shù)，m0la，乘數(shù)，0=a=mlc，增量，0=c=mlX0，初始值或種子， 0=X0=ml通用迭代技術(shù)采用 Xn+1 = (aXn + c) mod ml給定恰當(dāng)?shù)膮?shù)，能夠產(chǎn)生長的類隨機序列l(wèi)e.g. a=7, c=0, m

14、=32, X0=1, 產(chǎn)生7, 17, 23, 1, 7, ., 不滿足隨機性，因為周期是4le.g. a=5, c=0, m=32, X0=1, 產(chǎn)生1, 5, 25, 29, 17, 21, 9, 13, 1, ., 周期為8線性擬合發(fā)生器2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0729隨機數(shù)產(chǎn)生器的評價l必須產(chǎn)生完整周期full-period l產(chǎn)生的序列應(yīng)該看起來是隨機的l用32位算法實現(xiàn)容易一種容易的實現(xiàn)是選擇素數(shù)m，如 m=231-1，則有 Xn+1 = (aXn + c) mod (231-1)，由此產(chǎn)生的隨機數(shù)很少有通不過隨機性測試的l如果給定的數(shù)值太小，攻擊者可以重組隨機數(shù)序

15、列2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0730用密碼學(xué)方法生成隨機數(shù)l循環(huán)加密從一個主密鑰產(chǎn)生會話密鑰Xi = EKmi2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0731DES輸出反饋模式和ANSI X9.17 PRNG生成隨機數(shù)lDES輸出反饋模式Xi = EKmXi-1lANSI X9.17 PRNG采用日期/時間加“種子”作為輸入，Triple-DES加密產(chǎn)生新的種子和隨機數(shù)2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0732l基于公開密鑰算法l首先選擇兩個大素數(shù)p和q，滿足pq3 mod 4l設(shè)n=p.q, 選擇隨機數(shù)s，gcd(s, n)=1, 算法為：lX0=s2 mod n lfo

16、r i=1 to l xi=(xi-1)2 mod nl Bi=xi mod 2l隨機數(shù)系列不可預(yù)期，通過next-bit測試l安全性取決于合數(shù)N的因子分解 l速度慢，因為要用到非常大的數(shù) l如果用來做加密就太慢了，但是適用于做密鑰產(chǎn)生器2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0733BBS產(chǎn)生器操作過程舉例2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0734真隨機數(shù)發(fā)生器和偏差l真隨機數(shù)發(fā)生器(TRNG)使用不可預(yù)測源來產(chǎn)生隨機數(shù)，大多數(shù)通過物理噪聲來實現(xiàn)，如離子輻射、閘流管、漏電容等。Intel開發(fā)出一種發(fā)大電阻兩端電壓產(chǎn)生的熱噪聲的芯片；Bell實驗室利用硬盤讀操作產(chǎn)生的輻射作為隨機源；LavaRnd使用充滿光源的CCD作為混沌源產(chǎn)生種子，用軟件將種子加工成各種形式的真隨機數(shù)。l這些隨機數(shù)的隨機性和精度都存在問題，設(shè)備笨拙。l一個真隨機數(shù)發(fā)生器的輸出有時會有偏差，比如1的個數(shù)比0多，或者反之。將一個比特串減少或消除偏差的方法稱為消偏算法，如通過MD5或SHA-1等散列函數(shù)進行處理。2022-3-18現(xiàn)代密碼學(xué)理論與實踐-0735思考題與習(xí)題What is the difference between link and end-to-end encryption?What is the difference between a ses