第四章公鑰密碼學(xué)技術(shù)

第四章公鑰密碼學(xué)技術(shù)第4章公鑰密碼學(xué)技術(shù)第四章公鑰密碼學(xué)技術(shù)公開密碼學(xué)概述RSA算法Diffie-Hellman密鑰交換算法公開密鑰基礎(chǔ)設(shè)施PKI密鑰管理第四章公鑰密碼學(xué)技術(shù)公鑰密碼學(xué)是1976年由Diffie和Hellman在其“密碼學(xué)新方向”一文中提出。第四章公鑰密碼學(xué)技術(shù)

公開密鑰密碼系統(tǒng)的原理公開密鑰算法要求每個參與方擁有用一對密鑰，一個公開，另一個保密。用一個密鑰進行加密，而用另一個不同但是有關(guān)的密鑰進行解密。這些算法有以下重要特性：僅僅知道密碼算法和加密密鑰而要確定解密密鑰，在計算上是不可能的。兩個相關(guān)密鑰中任何一個都可以用作加密而讓另外一個用作解密。（某些算法，比如RSA，具有的特性）第四章公鑰密碼學(xué)技術(shù)非對稱密鑰加密算法的特點：非對稱密鑰加密算法算法基于數(shù)學(xué)函數(shù)而不是替代和置換。非對稱密鑰加密算法中的密鑰是非對稱的，它用到兩個不同的密鑰，這對于保密通信、密鑰分配和鑒別等領(lǐng)域都有著深遠的影響。非對稱密鑰加密算法成功地解決了計算機網(wǎng)絡(luò)安全的身份鑒別、數(shù)字簽名等問題，推動了包括電子商務(wù)在內(nèi)的一大批網(wǎng)絡(luò)應(yīng)用的不斷深入發(fā)展。使密鑰管理變得容易了,用戶可以容易地從對稱密碼系統(tǒng)中刪除。加密和解密較對稱密鑰加密算法慢。第四章公鑰密碼學(xué)技術(shù)非對稱密鑰加密過程中的重要步驟如下：產(chǎn)生密鑰

網(wǎng)絡(luò)中的每個端系統(tǒng)都產(chǎn)生一對用于它將報文進行加密和解密的密鑰。公開密鑰

每個系統(tǒng)都通過把自己的加密密鑰放進一個登記本或者文件來公布它。另一個密鑰則是私有的(保密)。第四章公鑰密碼學(xué)技術(shù)加密

如果A想給B發(fā)送一個報文，他就用B的公開密鑰加密這個報文。C=EKUB[p]解密

B收到這個報文后就用他的私有密鑰(保密密鑰)解密報文。其他所有收到這個報文的人都無法解密它，因為只有B才有B的私有密鑰。P=DKRB[c]第四章公鑰密碼學(xué)技術(shù)非對稱密鑰加密算法用于加密：第四章公鑰密碼學(xué)技術(shù)非對稱密鑰加密算法用于鑒別：如果A想給B發(fā)送一個簽名報文，他就用自己的私有(保密)密鑰加密這個報文。B收到這個報文后就用A的公開密鑰鑒別該報文。第四章公鑰密碼學(xué)技術(shù)常規(guī)加密和公開密鑰加密的比較特征對稱加密非對稱密鑰加密加密/解密使用的密鑰加密/解密使用的密鑰相同加密/解密使用的密鑰不相同加密/解密的速度快慢得到的密文長度通常等于或小于明文長度大于明文長度密鑰協(xié)定和密鑰交換大問題沒問題所需密鑰數(shù)和消息參與者個數(shù)的關(guān)系大約為參與者個數(shù)的平方，因此伸縮性不好N(N-1)/2等于參與者個數(shù)，因此伸縮性好用法主要用于加密/解密(保密性)，不能用于數(shù)字簽名（完整性與不可抵賴性）可以用于加密/解密(保密性)和用于數(shù)字簽名（完整性與不可抵賴性）第四章公鑰密碼學(xué)技術(shù)理想的加密機制解決方案安全完全加密/解密速度快生成的密文長度要小伸縮性好，不能引入更多復(fù)雜性要解決密鑰發(fā)布問題第四章公鑰密碼學(xué)技術(shù)基于公鑰算法的密鑰交換公鑰基本結(jié)構(gòu)PKI定義基于公鑰的密鑰交換步驟如下：發(fā)件人獲得收件人的公鑰；發(fā)件人創(chuàng)建一個隨機機密密鑰（在對稱密鑰加密中使用的單個密鑰）；發(fā)件人使用機密密鑰和對稱密鑰算法將明文數(shù)據(jù)轉(zhuǎn)換為密文數(shù)據(jù)；發(fā)件人使用收件人的公鑰將機密密鑰轉(zhuǎn)換為密文機密密鑰；發(fā)件人將密文數(shù)據(jù)和密文機密密鑰一起發(fā)給收件人；收件人使用其私鑰將密文機密密鑰轉(zhuǎn)換為明文；收件人使用明文機密密鑰將密文數(shù)據(jù)轉(zhuǎn)換為明文數(shù)據(jù)。第四章公鑰密碼學(xué)技術(shù)公開密碼學(xué)概述RSA算法Diffie-Hellman密鑰交換算法公開密鑰基礎(chǔ)設(shè)施PKI密鑰管理第四章公鑰密碼學(xué)技術(shù)RSA公鑰算法是由Rivest,Shamir和Adleman在1978年提出來的。RSA是公開密鑰密碼系統(tǒng)中最常用的是RSA算法(Rivest,Shamir,Adleman)。RSA是分組密碼體制。RSA是基于整數(shù)分解難題的算法體制，即兩個大素數(shù)很容易相乘，而對得到積因子則很難。RSA中的私鑰和公鑰基于大素數(shù)（100位以上），算法本省很簡單，但實際難度在于RSA選擇和生成私鑰和公鑰。第四章公鑰密碼學(xué)技術(shù)生成密鑰①首先任意選取兩個大素數(shù)p、q，使：n=pqn稱為模則歐拉函數(shù)φ(n)為：φ(n)=(p-1)(q-1)②然后，任意選取一個與φ(n)互素的小整數(shù)e作為公開的加密指數(shù)。③由e求出秘密的解密指數(shù)d：de=k(φ(n))+1=1modφ(n)④公鑰(n,e);私鑰(n,d)

因子p、q與私鑰一起保存或銷毀。第四章公鑰密碼學(xué)技術(shù)RSA加密/解密算法RSA加密：將明文數(shù)字化并分組，使明文分組m滿足：0≤m＜n。對每塊進行加密變換：c=EKU(m)=memodn解密過程：m=DKR(c)=cdmodnRSA體制下，加密算法和解密算法之間，有下面的關(guān)系成立：DKR(EKU(m))=(me)d=mmodn

EKU(DKR(m))=(md)e=mmodn第四章公鑰密碼學(xué)技術(shù)RSA算法實現(xiàn)的步驟如下：假設(shè)甲為實現(xiàn)者甲尋找兩個大素數(shù)p和q(2)甲計算n=p·q和φ(n)=(p-1)(q-1)(3)甲選擇一個隨機數(shù)e(0<e<φ(n))，滿足gcd(e,φ(n))=1(4)甲使用輾轉(zhuǎn)相除法計算d=e-1modφ(n)第四章公鑰密碼學(xué)技術(shù)RSA算法舉例：設(shè)p=7，q=17，n=7*17=119，因此參數(shù)T定義為T={n=119}。由此可以計算：φ(n)=(7-1)(17-1)=96，選擇e=5,gcd(5,96)=1，在這里選擇公鑰Pk=5；計算d，d*e=1mod96；d=77，可以得到私鑰Sk=77。如果明文m=19，根據(jù)計算的公鑰Pk=5和私鑰Sk=77，我們可以對明文進行加密和解密：加密：195mod119=66；66是被加密的密文；解密：6677mod119=19；19是被解密的明文。第四章公鑰密碼學(xué)技術(shù)RSA算法的安全性分析建議選擇p和q大約是100位的十進制素數(shù)，模n的長度要求至少是512比特。為了抵抗現(xiàn)有的整數(shù)分解算法，對RSA模n的素因子p和q還有如下要求：|p-q|很大，通常p和q的長度相同；p-1和q-1分別含有大素因子；gcd(p-1,q-1)應(yīng)該很小

為了提高加密速度，通常取e為特定的小整數(shù).第四章公鑰密碼學(xué)技術(shù)1977年RSA的三個發(fā)明人在《科學(xué)美國人》雜志的數(shù)學(xué)游戲?qū)诹粝铝艘粋€129位的十進制數(shù)(426bit)密鑰，懸賞$100，估計破譯時間為4億億年后。1994年Atkins等人動用網(wǎng)上的1600臺計算機，耗時8個月，成功地破譯了該密碼。1999年一個國際密碼研究小組在RSA公司舉辦的RSA密鑰競賽中榮獲冠軍。該小組用7個月時間，使用世界各地11個地點292臺計算機，其中160臺SGI和SUN工作站及120臺PIIPC機，確定了生成單個512位RSA密鑰所用的兩個素數(shù)。512bit154位10進制數(shù)不夠安全768bit231位10進制數(shù)個人應(yīng)用1024bit308位10進制數(shù)商業(yè)應(yīng)用2048bit616位10進制數(shù)重要場合第四章公鑰密碼學(xué)技術(shù)公開密碼學(xué)概述RSA算法Diffie-Hellman密鑰交換算法公開密鑰基礎(chǔ)設(shè)施PKI密鑰管理第四章公鑰密碼學(xué)技術(shù)Diffie-Hellman密鑰交換算法Diffie與Hellman在其開創(chuàng)公鑰體制的文章中給出了公鑰密碼的思想。這篇論文中給出的算法常被稱為Diffie-Hellman密鑰交換算法，它是第一個公開發(fā)表的公開密鑰密碼算法。嚴(yán)格地說，它并不能完成信息的加/解密功能，只能用于網(wǎng)絡(luò)環(huán)境中的密鑰交換。目前許多商用產(chǎn)品都使用這種密鑰交換技術(shù)。該算法的目的是使兩個用戶安全地交換一個密鑰，以便于今后的報文加密，本算法僅限于密鑰交換的用途。Diffie-Hellman算法的有效性依賴于計算離散對數(shù)的難度。第四章公鑰密碼學(xué)技術(shù)算法描述離散對數(shù)的概念原根：如果是素數(shù)p的一個原根，那么數(shù)值：

modp，2modp，…，p-1

modp

是各不相同的整數(shù)，且以某種排列方式組成了從1到p-1的所有整數(shù)。離散對數(shù)：如果對于一個整數(shù)b和素數(shù)p的一個原根，可以找到一個唯一的指數(shù)i，使得：

b=i

modp 其中0≤i≤p-1那么指數(shù)i稱為b的以為基數(shù)的模p的離散對數(shù)。第四章公鑰密碼學(xué)技術(shù)Diffie-Hellman算法的有效性依賴于計算離散對數(shù)的難度，其含義是：當(dāng)已知大素數(shù)p和它的一個原根后，對給定的b，要計算i，被認為是很困難的，而給定i計算b卻相對容易。

Diffie-Hellman算法假如用戶A和用戶B希望交換一個密鑰。取一個素數(shù)q和一個整數(shù)，是q的一個原根。用戶A選擇一個隨機數(shù)XA<q，并計算YA=XAmodq。用戶B選擇一個隨機數(shù)XB<q，并計算YB=XBmodq。每一方都將X保密而將Y公開讓另一方得到。第四章公鑰密碼學(xué)技術(shù)用戶A計算密鑰的方式：KA=(YB)

XAmodqKA=(

XBmodq)

XAmodq=(

XB)XAmodq=

XBXAmodq=

XAXBmodq用戶B計算密鑰的方式：KB=(YA)

XBmodqKB=(

XAmodq)XBmodq=(

XA)XBmodq=

XAXBmodq可見：KA=KB

這樣雙方已經(jīng)交換了一個密鑰K。由于XA和XB是保密的，而第三方只有q、、YB、YA可以利用，只有通過取離散對數(shù)來確定密鑰，但對于大的素數(shù)，計算離散對數(shù)是十分困難的。第四章公鑰密碼學(xué)技術(shù)例子假如用戶A和用戶B希望交換一個密鑰。取一個素數(shù)q=97和97的一個原根=5。A和B分別選擇秘密密鑰XA=36和XB=58，并計算各自的公開密鑰：

YA=XAmodq=536mod97=50

YB=XBmodq=558mod97=44他們交換了公開密鑰之后，計算共享密鑰如下：

A：K=(YB)XAmodq=4436mod97=75 B：K=(YA)XBmodq=5058mod97=75第四章公鑰密碼學(xué)技術(shù)公開密碼學(xué)概述RSA算法Diffie-Hellman密鑰交換算法公開密鑰基礎(chǔ)設(shè)施PKI密鑰管理第四章公鑰密碼學(xué)技術(shù)PKI是一種遵循既定標(biāo)準(zhǔn)的基于公鑰密碼學(xué)（PublicKeyCryptography）理論、提供密鑰產(chǎn)生和管理的安全基礎(chǔ)平臺設(shè)施。支持用戶實現(xiàn)高效數(shù)據(jù)加密和密鑰交換，為所有網(wǎng)絡(luò)應(yīng)用透明地提供加密和數(shù)字簽名等密碼服務(wù)，以及所必需的密鑰和證書管理服務(wù)。PKI就是利用公鑰理論和技術(shù)建立為Internet提供普適性安全服務(wù)。PKI技術(shù)是信息安全技術(shù)的核心也是電子商務(wù)技術(shù)的基礎(chǔ)。第四章公鑰密碼學(xué)技術(shù)PKI的應(yīng)用第四章公鑰密碼學(xué)技術(shù)一個完整的PKI系統(tǒng)應(yīng)具有認證中心CA(CertificateAuthority)、證書注冊機構(gòu)RA(RegistrationAuthority)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、PKI應(yīng)用程序接口API（ApplicationProgrammingInterface）等基本構(gòu)成部分。其中CA是PKI的核心。第四章公鑰密碼學(xué)技術(shù)認證中心CA：負責(zé)數(shù)字證書的申請和簽發(fā)的機構(gòu)。它必須具有權(quán)威性，是PKI的核心構(gòu)成要素。證書注冊機構(gòu)RA（RegistrationAuthority）：數(shù)字證書的注冊審查機構(gòu)，是用戶和CA之間的一個中介。它負責(zé)證書申請人的資料錄入、審核和發(fā)放。同時，對證書完成相應(yīng)的管理功能。第四章公鑰密碼學(xué)技術(shù)數(shù)字證書庫：用于存放和檢索認證中心已經(jīng)簽發(fā)的數(shù)字證書和證書撤銷列表。密鑰備份及恢復(fù)系統(tǒng)：PKI提供的備份與恢復(fù)密鑰的機制。證書作廢系統(tǒng)：負責(zé)數(shù)字證書的撤銷，通常將作廢的證書存儲于證書撤銷列表CRL中。應(yīng)用程序接口：提供PKI應(yīng)用的統(tǒng)一標(biāo)準(zhǔn)接口，方便應(yīng)用。第四章公鑰密碼學(xué)技術(shù)CA系統(tǒng)CA是負責(zé)簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。典型的CA系統(tǒng)組成：安全服務(wù)器、CA服務(wù)器、注冊機構(gòu)RA、數(shù)據(jù)庫服務(wù)器和LDAP服務(wù)器。第四章公鑰密碼學(xué)技術(shù)發(fā)布//返回撤消下載查詢典型CA系統(tǒng)組成CA服務(wù)器CA數(shù)據(jù)庫安全服務(wù)器

申 請 證 書

安全服務(wù)器

注冊機構(gòu)

RA申請/撤消 返回證書LDAP

返 回 結(jié) 果第四章公鑰密碼學(xué)技術(shù)數(shù)字證書數(shù)字證書是經(jīng)CA簽名認證的包含有用戶信息及公鑰的文件。最簡單的證書應(yīng)包含有一個公鑰、證書名稱和CA數(shù)字簽名。X.509標(biāo)準(zhǔn)第四章公鑰密碼學(xué)技術(shù)X.509證書X.509證書是由可信的證書權(quán)威機構(gòu)(CA)簽發(fā)的一個關(guān)于實體及其公開密鑰關(guān)聯(lián)的數(shù)字聲明。該證書具有權(quán)威性。X.509證書的核心是公開密鑰、公開密鑰持有者(主體)和CA的簽名，證書完成了公開密鑰與公開密鑰持有者的權(quán)威性綁定。X.509目錄服務(wù)可以為X.509證書提供存放機制，提供一個易于訪問的位置以便用戶獲得證書。由CA產(chǎn)生的用戶證書的特點是：任何擁有CA公開密鑰的用戶都可以對該CA簽發(fā)的證書進行驗證，從而獲得一個可信的用戶公開密鑰。任何一方(除了證書權(quán)威機構(gòu)CA)都不可能不被察覺地修改證書。第四章公鑰密碼學(xué)技術(shù)X.509證書的一般格式如圖所示。

X.509證書格式

起始時間

結(jié)束時間

公鑰算法

算法參數(shù)

簽名算法

算法參數(shù)

簽名算法標(biāo)識

簽名值

Tbs證書

版本一

版本二

版本三

版

本

證書序列號

簽名算法標(biāo)識

頒發(fā)者名字

有

效

期

主

體

名

主體公開密鑰信息

頒發(fā)者惟一標(biāo)識符

主體惟一標(biāo)識符

擴

展

簽名算法

算法參數(shù)

簽名值

主體公鑰

第四章公鑰密碼學(xué)技術(shù)證書擴展包含一個或多個擴展字段的集合。擴展字段提供了將用戶及其密鑰與其附加屬性關(guān)聯(lián)起來的方法。這些附加屬性可以:密鑰用途、證書策略、主體別名、基本約束、名字約束和策略約束等等。X.509還允許機構(gòu)定義自己專用的擴展。第四章公鑰密碼學(xué)技術(shù)X.509的基本信息證書版本號證書序列號簽名算法標(biāo)示符認證機構(gòu)名稱證書使用期限持證人信息認證機構(gòu)數(shù)字簽名第四章公鑰密碼學(xué)技術(shù)證書版本號：用來區(qū)分X.509的不同版本，并與X.509未來版本兼容。證書序列號：每一個證書的唯一標(biāo)示號。簽名算法標(biāo)示符：CA所使用的簽名算法，用來指定用CA簽發(fā)證書時所使用的簽名算法。認證機構(gòu)名稱：發(fā)放該數(shù)字證書的機構(gòu)名稱，即發(fā)出該證書的機構(gòu)唯一的CA名。證書使用期限：證書使用的有效期限。持證人信息：包括持證人姓名、公鑰值、公鑰算法、持證人身份標(biāo)示等信息。認證機構(gòu)數(shù)字簽名：以確保這個證書在發(fā)放之后沒有被撰改過。第四章公鑰密碼學(xué)技術(shù)CA的主要功能包括：證書發(fā)放、證書撤消、證書更新、證書認證、證書查詢以及證書存儲。第四章公鑰密碼學(xué)技術(shù)（1）證書的發(fā)放：CA接受用戶數(shù)字證書的申請信息，對申請用戶信息進行審核備案，判斷決定是否發(fā)放數(shù)字證書。如果決定發(fā)放證書，則進一步?jīng)Q定授予用戶證書的類型再發(fā)放證書到專用數(shù)據(jù)庫LDAP，供用戶下載使用。第四章公鑰密碼學(xué)技術(shù)

證書發(fā)布流程用戶提交申請

判斷

是否合法？

是判定證書類型生成證書CA簽名存儲/發(fā)布

CA數(shù)據(jù)庫/ LDAP數(shù)據(jù) 庫否拒絕申請第四章公鑰密碼學(xué)技術(shù)（2）證書的更新：證書更新過程同發(fā)放過程類似。認證中心根據(jù)用戶的請求或者證書期限的要求定期要更新發(fā)放的數(shù)字證書。（3）證書的撤銷：當(dāng)用戶的數(shù)字證書使用期限到達、密鑰存儲介質(zhì)的丟失、密鑰泄密等情況下，需要CA撤銷發(fā)放的數(shù)字證書。第四章公鑰密碼學(xué)技術(shù)證書吊銷的常見原因：數(shù)字證書持有者的數(shù)字證書被盜；CA發(fā)現(xiàn)簽發(fā)數(shù)字證書時出錯；證書持有者辭職，而證書使其在職期間簽發(fā)的。第四章公鑰密碼學(xué)技術(shù)證書吊銷狀態(tài)監(jiān)查機制證書吊銷檢查脫機吊銷狀態(tài)檢查聯(lián)機吊銷狀態(tài)檢查證書吊銷列表（CRL）聯(lián)機證書驗證協(xié)議（OCSP）簡單證書驗證協(xié)議（OCSP）第四章公鑰密碼學(xué)技術(shù)（4）證書的認證：CA要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。（5）證書的查詢：通常證書的查詢指用戶申請證書的查詢和用戶使用證書的查詢兩種。通過訪問LDAP服務(wù)器實現(xiàn)證書的查詢使用。（6）證書的存儲：通常證書存儲在數(shù)字證書的專用數(shù)據(jù)庫中。第四章公鑰密碼學(xué)技術(shù)CA信任關(guān)系A(chǔ)信任關(guān)系中有三種類型的信任模型：（1）基于層次結(jié)構(gòu)的信任模型（2）交叉認證（3）以用戶為中心的信任模型第四章公鑰密碼學(xué)技術(shù)基于層次結(jié)構(gòu)的信任模型（1）CA層次結(jié)構(gòu)建立過程如下：根CA具有一個自簽名的證書；根CA依次對它下面的CA進行簽名；層次結(jié)構(gòu)中葉子節(jié)點上的CA用于對安全個體進行簽名；對于個體而言，它只需要信任根CA，中間的CA是透明的，可以不必關(guān)心；同時它的證書是由底層的CA簽發(fā)；在CA的機構(gòu)中，為了要維護這棵樹，在每個節(jié)點CA上，需要保存兩種證書：前向證書（ForwardCertificates）和反向證書（ReverseCertificates）。第四章公鑰密碼學(xué)技術(shù)CA層次結(jié)構(gòu)的建立第四章公鑰密碼學(xué)技術(shù)CA證明鏈第四章公鑰密碼學(xué)技術(shù)（2）交叉認證：兩個不同的CA層次結(jié)構(gòu)之間可以使用單向交叉認證和雙向交叉認證兩種方式建立信任關(guān)系。單向交叉認證：一個CA可以承認另一個CA在一定名字空間范圍內(nèi)的所有被授權(quán)簽發(fā)的證書。雙向交叉認證：交叉認證可以分為域內(nèi)交叉認證(同一個層次結(jié)構(gòu)內(nèi)部)和域間交叉認證(不同的層次結(jié)構(gòu)之間)。交叉認證的約束：名字約束、路徑長度約束、策略約束。第四章公鑰密碼學(xué)技術(shù)（3）以用戶為中心的信任模型