1、第十五講：安全實踐第十五講：安全實踐鄭東上海交通大學計算機科學系 14 實踐中的安全實踐中的安全, 用戶識別用戶識別 n密碼學應用n安全 email (s/mime, pgp), n用戶身份識別問題. 1. 實踐中的安全實踐中的安全 email-安全安全email 是使用最廣泛的網絡業務 消息不安全 可以在傳輸過程被竊聽可以在目的地被竊聽 2. email 安全服務安全服務 n機密性n認證性 n消息完整性n消息不可否認性 3. 安全安全 email 實施實施n需要利用公鑰算法及證書機制進行密鑰交換及認證n使用對稱加密算法 4. pem & s/mime npem 是安全 email標準

2、 ns/mime（安全/通用internet郵件擴充）n保密性 - des 加密 n完整性- des encrypted hash (md2/md5) n認證性 - des 或 rsa 加密的hash n不可否認性 - rsa 加密的hash n密鑰管理：n中心在線-私鑰服務器n公鑰證書，使用 x.509 強認證 n由證書機構簽發ca) ns/mime 修改版本:n使用 des, triple-des, rc2nx.509 證書5. pgpnpretty good privacy n廣泛使用的安全 email 標準nphil zimmermann 開發n可以用在 unix, pc, macin

3、tosh and amiga systems n最初是免費的! 現在已有商業版n保密性 - idea encryption n完整性 - rsa encrypted mic (md5) n認證與不可否認性 - rsa encrypted mic npgp公鑰管理（參見書p292) 6. pgp程序程序n所有的 pgp功能有一個程序運行n必須集成在 email/news n每個用戶要有一個已知的密鑰環n包括公開密鑰和私鑰 (用口令保護) n公開密鑰可以直接傳送n公鑰對由可信方簽發n用于簽名或加密n用于驗證接收到的消息8. pgp 8. pgp 使用使用 n現在可以合法被任何人使用: n非商業版可

4、以合法使用 (in us/canada ）with licenced mit version n商業版本是 viacrypt version（ in us/canada ）n其它國家的非商業應用（ outside the us） 是國際版本（ international version ）n國際版的商業應用需要idea許可證（ 美國以外使用）9.pgp服務功能n數字簽名 dss/sha或rsa/shan消息加密 cast-128或idea或3des + diffie-hellman或rsan數據壓縮 使用zip對報文壓縮，用于存儲或傳輸n郵件兼容 加密的報文可以使用64基轉換算法轉換成asci

5、i字符（radix 64）n數據分段n-為滿足最大報文長度的限制，pgp完成報文的分段和重新裝配ks: session keykra : 用戶a的私鑰kua: 用戶a的公鑰ep: 公鑰加密dp: 公鑰解密ec: 常規加密dc: 常規加密h: 散列函數|: 連接z: 用zip算法數據壓縮r64 : 用radix64轉換到ascii格式9.1記號說明9.2 只進行鑒別的服務n圖a 的步驟：n1. 發送者創建報文n2. 使用sha-1生成160bit散列碼n3. 使用發送者私鑰,采用rsa算法,對散列碼簽名,并串接在報文前面n4. 接收者使用發送者的公鑰,驗證簽名結果 9.3 只保證機密性的服務n圖

6、bn1. 發送者生成報文和對稱加密的會話密鑰n2.采用cast-128(或idea,3des),使用會話密鑰對壓縮的報文加密n3. 采用rsa,使用接收者的公開密鑰,對對會話密鑰加密,并附加在報文前n4. 接收者采用rsa算法,使用自己的私有密鑰對會話密鑰進行解密n5.使用會話密鑰解密報文n圖cn1.先對報文生成簽名，并附加在報文首部，n2。利用對稱算法，對明文和簽名加密，n3。使用rsa對會話密鑰進行加密。9.4 鑒別與機密性服務9.5 數據壓縮n發生在簽名后、加密前。n對郵件傳輸或存儲都有節省空間的好處。9.6 分段與重組nemail常常受限制于最大消息長度（一般限制在最大50000字節）

7、n更長的消息要進行分段，每一段分別郵寄。npgp自動分段，（在其它處理完成之后進行）并在接收時自動恢復。n簽名只需一次，在第一段中。pgp報文的傳輸和接收10 加密密鑰和鑰匙環npgp使用四種類型的密鑰：一次性會話傳統密鑰，公鑰，私鑰，基于口令短語的常規密鑰。n三種獨立的需求： 1、需要一種生成不可預知的會話密鑰的方法 2、允許用戶有多個公開/私有密鑰對。需要某種方法來標識具體的密鑰。 3、每個pgp實體必須維護一個保存其公鑰/私鑰對文件，及保存通信對方公鑰的文件。10.1會話密鑰的生成n128位的隨機數是由cast-128自己生成的。輸入包括一個128位的密鑰和兩個64位的數據塊作為加密的輸

8、入。使用cfb方式，cast-128產生兩個64位的加密數據塊，這兩個數據塊的結合構成128位的會話密鑰。（算法基于ansi x12.17）n作為明文輸入的兩個64位數據塊，是從一個128位的隨機數流中導出的。這些數是基于用戶的鍵盤輸入的。鍵盤輸入時間和內容用來產生隨機流。因此，如果用戶以他通常的步調敲擊任意鍵，將會產生合理的隨機性。n參見附錄12c10.2 密鑰標識符n一個用戶有多個公鑰/私鑰對時，接收者如何知道發送者是用了哪個公鑰來加密會話密鑰？ 將公鑰與消息一起傳送。（浪費空間） 將一個標識符與一個公鑰關聯。對一個用戶來說做到一一對應。npgp的解決方法：n定義keyid 包括64個有效

9、位：(kua mod 264)npgp的數字簽名也需要keyid。（接受者必須知道用哪個密鑰驗證）會話密鑰部分keyid of recipientspublic key (kub)session key(ks)timestampkeyid of senderspublic key (kua)leading two octetsof message digestmessage digest簽名filenametimestampdata報文ekubekrazipeksr64contentoperationpgp消息的一般格式（a to b)10.3 密鑰環n私有密鑰環的一般結構 時間戳 密鑰id

10、公開密鑰： 私有密鑰：密鑰對的私有密鑰部分（加密的內容） 用戶id，典型值是電子郵件，也可以選取其它值。可以用用戶id或密鑰id來索引鑰匙環n密鑰環的結構pgp報文生成pgp報文接收10.4 pgp公鑰管理n由于pgp廣泛地在正式或非正式環境下應用，沒有建立嚴格的公鑰管理模式。n密鑰管理的重要性如果a的公鑰環上有一個從bbs上獲得b發布的公鑰，但已暴露給c了，這是就存在兩條通道。c可以向a發信并冒充b的簽名，a以為是來自b；a與b的任何加密消息c都可以讀取。n若干種方法可用為了防止a的公鑰環上包含錯誤的公鑰，有4種于降低這種風險。10.5 四種方法1、物理上得到b的公鑰。2、通過電話驗證公鑰。

11、 b將其公鑰email給a，a可以用pgp對該公鑰生成一個160位的sha-1摘要，并以16進制顯示。這一特點稱作密鑰的“指紋”。然后a打電話給b，讓b在電話中對證“指紋”。如果雙方一致，則該公鑰被認可。3、從雙方都信任的個體d處獲得b的公鑰。 d是介紹人，生成一個簽名的證書。其中包含b的公鑰，密鑰生成時間。d對該證書生成一個sha-1摘要，用其私鑰加密這個摘要，并將其附加在證書后。因為只有d能夠產生這個簽名，沒有人可以生成一個錯誤的公鑰并假裝是d簽名的。這個簽名的證書可以由b或d直接發給a，也可以貼到公告牌上。4、從一個信任的ca中心得到b的公鑰。11.s/mimens/mime(安全/通用

12、internet郵件擴充：secure/multipurpose internet mail extension)ns/mime可能作為商業和組織使用的工業標準，pgp作為個人安全電子郵件的選擇11.1 rfc822nrfc 822 定義了使用電子郵件發送正文報文的格式。nrfc 822 標準結構簡單: -一些首部行及正文主體組成.例:見p296.11.2 通用internet 郵件擴充mimenmime 是rfc822框架的擴充, 是為了解決使用smtp或其他郵件傳輸協議以及rfc822 傳遞郵件的一些問題和局限11.3 mime 概述nmime 規約: 1. 定義了5個新的,可以包含在rf

13、c 822 報文首部的字段,這些字段提供了有關報文主體的信息. 2. 定義了一組內容格式,標準化了支持多媒體電子郵件的表示 3. 定義了傳送編碼,使得任何格式的內容都可以轉換成一種保護于不同郵件系統之外的形式 11.4 s/mime 的功能n與pgp功能相似-加密-簽名-?-簽名并且加密的數據12. 用戶的身份鑒別n用戶身份鑒別 (identity verification) -向系統證明你的身份-在系統向你提供服務之前n用戶鑒別基于三種方法 -你知道什么 -你有什么 -你是什么 12.1 用戶身份鑒別方法n用戶提供的信息與用戶信息表對應，如個一致，驗證通過。12.2 你知道什么口令或口令短語

14、n先為用戶注冊提供用戶名和口令短語 n通過驗證口令的正確性鑒別用戶身份n在有些系統, 口令以明文的形式存儲，現在認為是不安全 n常使用一個單向函數，有輸出值難以計算輸入值n可以取固定大小的輸入 (eg 8 chars) n或采用hash函數，可以接受任意大小的輸入n需要精心選擇口令，防止對窮搜索攻擊12.3 你知道什么一次性口令n傳統口令存在的問題在不安全信道上傳輸口令容易被竊聽n一種解決方法：使用一次性口令 -這些口令都是使用一次 -下一個口令不能由前面的口令預料n或提前生成口令列表，每次使用一個n或利用單向函數生成序列？12.4 你有什么?n通過驗證用戶擁有某些對象對身份進行鑒別(常與口令聯系在一起)n被動的或主動的n被動的對象常常是磁卡或磁性電鍵