資訊安全-入門手冊

1、資訊平安入門手冊第 12 章 加密.第 12 章 加密良好的加密是平安的不二法門。假設(shè)可以利用加密來保護(hù)資訊，也就沒有人可以看得到內(nèi)容或修正內(nèi)容。假設(shè)運用加密，也可以確認(rèn)交談對象的身份。加密確實是非常重要的平安工具、加密機(jī)制可以協(xié)助確認(rèn)資訊的來源，但是加密本身並不是最後的答案。在平安計畫之中廣泛地運用加密機(jī)制，只是因為加密機(jī)制可以協(xié)助資訊的機(jī)密性、完好性和可說明性。.12-1 認(rèn)識加密的根本概念加密就是利用某種方式將資訊打散，防止無權(quán)檢視資訊內(nèi)容的人看到資訊的內(nèi)容，而且允許真正獲得授權(quán)的人才干看到資訊的內(nèi)容。獲得授權(quán)的人是指擁有解密金鑰key的人。加密是讓毫無相關(guān)的人員難以讀取資訊的內(nèi)容。即使

2、得知加密系統(tǒng)所運用的加密演算法，但沒有金鑰也就無從得知資訊的內(nèi)容。 .透過加密可以提供以下三種平安服務(wù)：機(jī)密性：不論是在傳輸或儲存設(shè)備之中，都可以利用加密隱藏資訊。完好性：不論是在傳輸或儲存設(shè)備之中，都可以利用加密確認(rèn)資訊的完好性?？烧f明性：加密可以用來確認(rèn)資訊的來源，且可讓資訊的來源無法否認(rèn)資訊的出處。.12-1-2 針對加密的攻擊加密系統(tǒng)能夠遭到以下三種攻擊：透過演算法的缺點暴力破解金鑰透過系統(tǒng)週遭的弱點當(dāng)演算法遭到攻擊時，分解員會找尋將原文轉(zhuǎn)成密文的演算法缺點，且在沒有金鑰的情況下快速還原資訊的原文。假設(shè)是具有這類弱點的演算法，也就不能稱為牢靠的演算法，當(dāng)然也就不能運用。.圖12-1 根

3、本的加密運算方式 .暴力攻擊是企圖利用一切能夠的金鑰，企圖將密文還原成原文。利用系統(tǒng)周遭的缺點是最後一種攻擊方式。在討論加密的內(nèi)容時，普通都不太會探討這種問題。攻擊系統(tǒng)周遭的缺陷會比攻擊加密演算法來得容易。 .12-2 認(rèn)識私密金鑰加密加密法可以分為私密金鑰與公眾金鑰兩大類。運用私密金鑰加密時，只需經(jīng)過授權(quán)並擁有一樣金鑰的人，都可以讀取資訊的內(nèi)容。資訊的保護(hù)類型可簡化為金鑰的保護(hù)。私密金鑰加密是運用相當(dāng)廣泛的加密類型。.什麼是私密鎖鑰加密？由於加密解密運用一樣的金鑰，因此私密金鑰加密也稱為對稱式金鑰加密。只需金鑰的擁有人，才可以解密訊息。在傳輸?shù)倪^程中，訊息發(fā)生任何變化都會呵斥解密失敗，因此可

4、以得知訊息能否遭到修正。.私密金鑰加密無法確認(rèn)建立金鑰、加密和傳送有效訊息的人。建立私密金鑰加密的速度相當(dāng)快，而且很容易利用軟體或硬體建置私密金鑰。.圖12-2 私密金鑰加密 同樣KEY.12-2-2 替換式密碼替換式密碼的存在，已經(jīng)超過2500年以上。最早利用的範(fàn)例是在西元600年左右，內(nèi)容是以顛倒的希伯來文構(gòu)成的。凱薩大帝Julius Caesar也曾經(jīng)運用稱為Caesar密碼的替換式密碼。假設(shè)攻繫者充分搜集密文，即可破解替換式密碼。.12-2-3 One-Time Pads理論上來講，One-Time PadOTP是獨一無法破解的加密系統(tǒng)。OTP運用一連亂數(shù)陳列的數(shù)字，對一段訊息進(jìn)行編碼

5、詳見圖12-3。假設(shè)OTP真的全部都運用亂數(shù)、OTP只能運用一次，OTP的長度比訊息長，那麼就因為找不出密文中的金鑰OTP本身，因此也就無法解出訊息內(nèi)容。OTP還有一點必須特別留意的事項 只能運用一次。假設(shè)重複運用，就能夠進(jìn)行分析和破解。 .圖12-3 One-Time pad運算方式 .12-2-4 資料加密標(biāo)準(zhǔn)資料加密標(biāo)準(zhǔn)Data Encryption Standard，DES是由IBM在1970年代初期發(fā)展出來的演算法。在經(jīng)過NSA審核、修正、認(rèn)可之後，美國國家標(biāo)準(zhǔn)與技術(shù)協(xié)會United States National Institute of Standards and Technol

6、ogy，NIST，在1977年正式採用並做為DES的加密標(biāo)準(zhǔn)。在1983、1988、1993和1999年，也再次認(rèn)定這個標(biāo)準(zhǔn)。 .DES運用56位元金鑰，且運用7個8位元的位元組每個位元組的第8個位元是做為同位元檢查做為金鑰的內(nèi)容。DES屬於區(qū)塊式密碼block chiper，一次處理64位元明文詳見圖12-4演算法的區(qū)塊方塊圖。DES密碼共有16個循環(huán)，每個循環(huán)都運用不同的次金鑰subkey，且每一個金鑰都會透過本人的演算法獲得16個次金鑰詳見圖12-5。 .圖12-4 DES區(qū)塊演算法 .圖12-5 DES產(chǎn)生次金鑰演算法 .在DES方塊圖之中，可以看到幾個重新陳列的替換方塊。標(biāo)準(zhǔn)也定義了

7、重新陳列每一次替換的特定位元。一樣的演算法也可用來產(chǎn)生次金鑰，而且也會重新陳列替換選項1和2特定位元。在圖12-4之中可以找到標(biāo)示為f的函數(shù)。函數(shù)內(nèi)含稱為S區(qū)塊，這是一個將6位元輸入轉(zhuǎn)換成4位元輸出的對照表標(biāo)準(zhǔn)裡面也有定義。 .12-2-5 Triple DES在1992年研討人員發(fā)現(xiàn)重複運用DES即可建立牢靠的加密法則。因此產(chǎn)生了Triple DESTDES。在運算的時候， TDES所需的時間約略是DES的三倍，這是因為含有三次DES運算。大多數(shù)的應(yīng)用程式已選用TDES取代DES。 .圖12-6 Triple DES方塊圖 .12-2-6 密碼加密標(biāo)準(zhǔn)UNIX密碼加密機(jī)制是屬於DES的變形。

8、雖然實際上是採用單向函數(shù)one-way function做為密碼加密方式也就是說，無法從密文解出原文，不過還是需求探討應(yīng)用程式如何這種類型的DES。每個運用者選擇一組密碼，該演算法運用密碼的前八個字元。密碼加密或裁掉超過8個字元的密碼。.假設(shè)密碼長度少於8個位元，會補(bǔ)足8個字元。取用每個字元的前七個位元，因此密碼會轉(zhuǎn)換成56位數(shù)。系統(tǒng)會依據(jù)系統(tǒng)時間選擇12位元數(shù)字，這個數(shù)字被稱為salt。同時運用salt和密碼做為密碼加密函數(shù)的輸入資料詳見12-7。.salt依據(jù)12位元的1補(bǔ)數(shù)產(chǎn)生4096組不同的方式，修正DES演算法之中的一個陳列表E Permutation。起始原文是由56個0位元組成，

9、而金鑰是來自密碼的56個位元。演算法重複執(zhí)行25次，每一次都是以前一次的輸出做為輸入資料。最後的輸出結(jié)果會轉(zhuǎn)換成11個字元，而salt會轉(zhuǎn)換成2個字元並放在輸出資料的最前面。.圖12-7 Unix密碼演算法函式 .這個系統(tǒng)主要的弱點在於密碼的選用。因為大部分運用者都會運用小寫字元做為密碼的內(nèi)容，因此會產(chǎn)生268種能夠的組合，這個數(shù)字遠(yuǎn)小於DES產(chǎn)生255金鑰的能夠組合。暴力破解Unix系統(tǒng)的密碼，會比DES來得容易許多。 基於前述的緣由，大多數(shù)的Unix系統(tǒng)都提供運用shadow密碼檔案的選擇。假設(shè)很容易暴力破解加密之後的密碼，因此將密碼隱藏起來可以添加系統(tǒng)的平安性。不過和其他的系統(tǒng)一樣，假設(shè)

10、root選擇不夠牢靠的密碼或是密碼遭到破解，那麼運用者選用再好的密碼也於事無補(bǔ)。 .12-2-7 AES:Rijndael為了取代DES，NIST在1997年公布AESAdvanced Encryption Standard，高等加密標(biāo)準(zhǔn)徵選活動。在2000年底，NIST宣佈來自比利時的兩位密碼學(xué)家 JoanDaemon-VincentRijmen，他們提出的Rijmen演算法贏得這項競賽。牢靠度、適用於高速網(wǎng)路、可在硬體設(shè)備建置等要素，都是這個演算法獲選的緣由。Rijmen也是屬於區(qū)塊式密碼金鑰，區(qū)塊的大小為128、192和256位元。.截至目前為止，依然沒有暴力破解金鑰長度的計算方法。依據(jù)

11、原文的區(qū)塊大小和金鑰的長度而定，演算法之中會包含10到14個循環(huán)。圖l2-8顯示了每個循環(huán)的計算方式。在認(rèn)可Rijmen演算法之後，許多系統(tǒng)已經(jīng)開始出現(xiàn)Rijmen演算法。而且也成了取代TDES的最正確選擇。.12-2-8 其它私密金鑰演算法在平安系統(tǒng)上可以選用的私密金鑰演算法如下：IDEAInternational Data Encryption Algorithm，國際資料加密演算法：是由瑞士發(fā)展出來的。IDEA運用128位元的金鑰，所以也可以用在PGPPretty Good Privacy。RC5：RC5是由MIT的Ron Rivest發(fā)展出來的。它允許變動金鑰的長度。Skipjack：

12、Skipjack是由美國政府運用Clipper Chip發(fā)展出來的。它運用80位元金鑰長度，在可見的未來將會變得不夠牢靠。.Blowfish：Blowfish允許運用的金鑰長度最長可達(dá)448位元，且在32位元處理器上執(zhí)行會有最正確化的執(zhí)行效率。Twofish：Twofish運用128位元區(qū)塊，且可運用128位元、192位元或256位元金鑰。CAST-128：CAST-128運用128位元金鑰，且應(yīng)用在較為新版的PGP之中。GOST：GOST用來回應(yīng)DES的蘇聯(lián)標(biāo)準(zhǔn)，運用256位元金鑰。 .12-3 認(rèn)識公眾金鑰加密和私密金鑰加密相較之下，公眾金鑰加密算是較新的發(fā)明。兩者之間最大的不同點在於 用

13、於運算的金鑰數(shù)量不同。在私密金鑰加密之中，加密解密運用一樣的金鑰，但是公眾金鑰加密卻運用兩組不同的金鑰。其中一組金鑰是用於資訊加密，而另一組金鑰則是用於解密。.什麼是公眾金鑰加密？發(fā)送端與接納端各有一組金鑰。兩組金鑰之間相互關(guān)聯(lián)因此稱為金鑰組，但金鑰的內(nèi)容不同。在實務(wù)上，其中一組金鑰稱為公眾金鑰public key，另一把則稱為私密金鑰private key。金鑰組的擁有人保管私密金鑰，並對外公開公眾金鑰。公眾金鑰加密的另一個特征 即使擁有其中一組金鑰也無法推算出另一組金鑰。.假設(shè)屬於機(jī)密性的需求時，資訊也可以運用公眾鎖鑰加密。只需私密金鑰的擁有人才干對資訊解密。只需公眾金鑰的擁有人才干對資訊

14、解密換句話說，私密金鑰的擁有人，且只需金鑰對的擁有人才干持有傳送過的資訊。不論是利用哪一種金鑰都可以保護(hù)資訊的完好性。 .圖12-9 公眾金鑰加密 不同KEY.12-3-2 Diffie-Hellman金鑰交換Whitfield Diffie和Martin Hellman在1976年發(fā)展出公眾金鑰加密系統(tǒng)。Diffie-Hellman系統(tǒng)，是用來解決私密金鑰系統(tǒng)的金鑰配送問題。Diffie-Hellman並不能用於資訊的加密解密。.Diffie-Hellman演算法的運算方式：1.假設(shè)兩個人需求平安的通訊，所以需求認(rèn)可加密金鑰。2.P1和P2認(rèn)可整數(shù)a和b，所以產(chǎn)生1ab。3.P1接著選擇隨機(jī)

15、數(shù)值a並計算 I = ai mod b。P1將I傳送給P2。4.P2接著依據(jù)隨機(jī)數(shù)值a產(chǎn)生隨機(jī)數(shù)值j並計算 J = aj mod b。P2將J傳送給P1。.5.P1計算k1 = Ji mod b。6.P2計算k2 = Ij mod b。7.結(jié)果就會產(chǎn)生 k1 = k2 = aij mod b，且k1和k2可以做為其他傳輸?shù)慕痂€。 .假設(shè)某人監(jiān)聽線上的流量時，他們或許會得知a、b、I和J，但是i和j依舊平安無虞。這個系統(tǒng)的平安性，主要是依據(jù)即使得知I = ai mod b也很難找到i。這個問題稱為離散對數(shù)問題，因此數(shù)字越大也就越難算出結(jié)果也就是說以現(xiàn)今的電腦才干也很難算出結(jié)果。必須非常小心選擇a

16、和b。 .許多運用Diffie-Hellman金鑰交換的平安系統(tǒng)，都是運用額外的流量來交換平安金鑰。Diffie-Hellman的弱點是圖12-10中間人攻擊man-in-the-middle。假設(shè)攻擊者系統(tǒng)放在P1和P2之間的流量路徑並攔截一切通訊時，且分別冒充P2和P1溝通以及冒充P1和P2溝通。因此，在P1、攻擊者和P2之間，就會發(fā)生金鑰交換。 .圖12-10 Diffie-Hellman 中間人攻擊 .12-3-3 RSARon Rivest、Adi Shamir和Len Adleman在1978年發(fā)表了Rivest-Shamir-AdlemanRSA公眾金鑰演算法。和Diffle-H

17、ellman演算法不同，RSA主要是依據(jù)難以找出最大公因數(shù)。假設(shè)數(shù)字很大時大於等於1024位元，就會難以找出最大公因數(shù)。.針對機(jī)密性的根本加密演算法非常簡單：密文 = (原文)e mod n原文 = (密文) d mod n私密金鑰 = d, n公眾金鑰 = e, n上述算式的困難點在於 即使獲得e和n也難以計算出d。公式假設(shè)金鑰對的擁有人，保管私密金鑰而公開公眾金鑰。.值得一提的是RSA也可以逆向操作，即可確認(rèn)資訊的來源。演算法計算式如下：密文 = (原文)d mod n原文 = (密文) e mod n私密金鑰 = d, n公眾金鑰 = e, n.只需私密金鑰非常平安，金鑰的擁有人就可以運

18、用私密金鑰對資訊加密。每個人都可以用公眾金鑰將資訊解密，假設(shè)驗證無誤，就可以確定這個資訊是由金鑰對的主人所發(fā)出的。 .產(chǎn)生RSA金鑰 在產(chǎn)生RSA金鑰的時候，請依據(jù)以下步驟小心、謹(jǐn)慎地產(chǎn)生RSA金鑰：1.選用相當(dāng)平安的質(zhì)數(shù)p和q。2.計算 n= pq。3.計算 (n) = (p-1)(q-1)。4.選擇(n)的相對質(zhì)數(shù)e。5.判斷d能否符合(d)(e)=1 mod (n)以及 d(n)。數(shù)值n必須大於等於200位數(shù)十進(jìn)位。 記得在範(fàn)例中，選用的數(shù)值純粹是做為範(fàn)例展現(xiàn)用途。在實際應(yīng)用時，應(yīng)該選用較大的數(shù)值。.可用的RSA範(fàn)例 產(chǎn)生RSA金鑰的範(fàn)例如下：1.首先選用質(zhì)數(shù)p=11和q=13。2.計算

19、n=(p)(q)結(jié)果等於n=(11)(13)=143。3.計算(n)=(p-1)(q-1)=(11-1)(13-1)=120。4.選擇(n)的相對質(zhì)數(shù)e，所以e的值是7。5.依據(jù)(d)(e) = 1 mod (n)，因此，(d)(7)=1 mod 120，所以(d)必須小於120。接著找到 d=103。(103)(7) = 721，所以721 mod 120 = 1，商數(shù)等於6 。.6.私密金鑰 = 103, 143。7.公眾金鑰 = 7, 143。 解密的計算公式如下：密文 = (原文)e mod n原文 = (密文)d mod n.12-3-4 其他公眾金鑰演算法還有其它幾種具有Diffi

20、e-Hellman和RSA一樣效果的演算法。三種較為流行的演算法如下：Elgamal數(shù)位簽章演算法橢圓曲線加密.ElgamalTaher Elgamal屬於Diffie-Hellman的變形。這個演算法強(qiáng)化了Diffie-Hellman系統(tǒng)，最後也具有加密的功能，且演算法之一還具有確認(rèn)來源的才干。Elgmal並沒有專利權(quán)RSA有專利權(quán)，因此是一個較為省錢的選擇不需求支付專利費用。這個演算法是以Diffie-Hellman為基礎(chǔ)，因此也是屬於離散對數(shù)的計算問題。 .數(shù)位簽章演算法數(shù)位簽章演算法Digital Signature Algorithm，DSA是美國政府發(fā)展的數(shù)位簽章標(biāo)準(zhǔn)詳見下一節(jié)數(shù)位

21、簽章。這個演算法是Elgamal的變形，不過只能做為身份確認(rèn)用途，且不能用於機(jī)密性資訊的保護(hù)用途。.橢圓曲線加密在1985年提出的橢圓曲線加密Elliptic curves Encryption構(gòu)想。普通認(rèn)為，Elliptic Curve CryptosystemsECC有別於因式分解和離散對數(shù)的數(shù)學(xué)計算。計算問題如下：假設(shè)橢圓曲線的兩個點A和B，產(chǎn)生的計算式為A = kB，因此很難找到整數(shù)k。運用ECC的效益會比RSA或Diffie-Hellman來得好。.在一樣的平安等級情況下，ECC的金鑰長度更短這就是ECC問題的困難點，計算速度也比較快。在普遍接受ECC之前，還必須深化研討和調(diào)查，而且

22、ECC也已具有許多專利。.12-4 認(rèn)識數(shù)位簽章數(shù)位簽章Digital Signature並不是手寫簽名的影像檔，數(shù)位簽章是一種提供身份確認(rèn)的加密方式。數(shù)位簽章逐漸流行，且是邁向無紙化環(huán)境的重要關(guān)鍵。前美國總統(tǒng)柯林頓曾經(jīng)簽署過，讓數(shù)位簽章具有法律效能的法案。.12-4-1 什麼是數(shù)位簽章？數(shù)位簽章是一種利用電子資訊加密的身份確認(rèn)法則。 假設(shè)可以運用某人的私密金鑰將資訊解密，也就可以確認(rèn)資訊來源的私密金鑰擁有人。假設(shè)資訊可以正確地解密，那也代表資訊的內(nèi)容沒有修正過，因此也可提供完好性的保護(hù)。有了數(shù)位簽章之後，我們會希望在接納資訊和解密之後，並利用數(shù)位簽章進(jìn)一步保護(hù)資訊不會遭到竄改。.圖12-11

23、顯示如何達(dá)成的能夠方式，首要的步驟是摘取或雜湊hash訊息的功能。雜湊之後會產(chǎn)生訊息的檢查碼，再運用檢查碼做為私密金鑰加密的資料來源。最後，將訊息和加密之後的檢查碼一同傳送給資訊的接納端。 在接納端獲得資訊之後，可將檢查碼輸入到一樣的雜湊函數(shù)之中。.接著利用公眾鎖鑰將加密之後的檢查碼解密，在比對兩者的檢查碼能否一樣。假設(shè)檢查的結(jié)果一樣，表示資訊沒有遭到修正。 數(shù)位簽章實用性的關(guān)鍵要素如下：運用者私密金鑰的保護(hù)方式平安的雜湊函數(shù)假設(shè)運用者沒有妥善保護(hù)本人的私密金鑰，也就無法確認(rèn)私密金鑰的擁有人。最後，也就無法確認(rèn)能否是運用者本人簽署的電子文件。 .圖12-11 數(shù)位簽章運算 .12-4-2 平安

24、的雜湊函數(shù)平安的雜湊函數(shù)是數(shù)位簽章不可或缺的部分。平安的雜湊函數(shù)必須滿足以下條件：單向函數(shù)。也就是說，可以計算出訊息的檢查碼，但是無法利用檢查碼建立訊息的內(nèi)容。縱使提供一樣的檢查碼，也很難建立一樣的訊息。檢查碼的長度比資訊短，才會便於簽章核、傳送和保管。平安的雜湊函式也可以建立大於等於12位元檢查碼。.目前最常用的是可以產(chǎn)生128位元檢查碼的MD5，以及產(chǎn)生160位元的SHA。 目前，已經(jīng)證實MD5能夠遭到計算攻擊的缺點。這種攻擊會讓兩組不同的資訊產(chǎn)生一樣的檢查碼。由美國政府發(fā)展的SHA，目前仍是非常平安。大多數(shù)的平安軟體都允許選用MD5或SHA雜湊函數(shù)。 .12-5 認(rèn)識金鑰管理金鑰管理是一

25、切加密系統(tǒng)的平安問題癥結(jié)點。只需能夠獲得金鑰，也就可以利用金鑰將加密過的資訊解密，也就是說金鑰本身是最有價值的資訊。在某些情況下，甚至也有能夠勝利獲得金鑰。金鑰管理不止是保護(hù)金鑰的運用方式而已，還包含了建立牢靠的金鑰、遠(yuǎn)端運用者如何獲得金鑰、如何認(rèn)證金鑰的正確性、遭到破解或過期時如何註銷。.12-5-1 建立金鑰某些金鑰的演算法，具有非常嚴(yán)重的平安性問題。例如全部運用0補(bǔ)數(shù)的金鑰，就算運用DES也不能提供牢靠的平安性。在運用RSA的時候，也必須非常謹(jǐn)慎地選用質(zhì)數(shù)p和q。大部分加密系統(tǒng)都具有金鑰的產(chǎn)生方式。.在某些情況下，會允許運用者利用密碼做為金鑰。在這種情況下，最好能引導(dǎo)運用者選用包含數(shù)字和特殊字元在內(nèi)的密碼。 某些加密系統(tǒng)採用隨機(jī)產(chǎn)生金鑰。真正的亂數(shù)產(chǎn)生器並不多，大多數(shù)都是屬於虛擬亂數(shù)pseudo-random，是指依據(jù)樣本產(chǎn)生的亂數(shù)，最後也會發(fā)生重複。假設(shè)亂數(shù)產(chǎn)生器不是產(chǎn)生真正的亂數(shù)，那麼攻擊者就有能夠猜出下一個數(shù)字。 .必須謹(jǐn)慎選擇金鑰的長度。某些演算法運用固定的金鑰長度例如DES運用56位元金鑰，某些則運用可變動的金鑰長度。普通而言，金鑰長度越長代表越平安。 表12-1列出了不同演算