信息安全原理-- 閾下信道.ppt

1、湖南大學(xué)計(jì)算機(jī)與通信學(xué)院 網(wǎng)絡(luò)與信息安全湖南省重點(diǎn)實(shí)驗(yàn)室,第五章 閾下信道,信息安全原理,2/75,加密,固定比特位為 奇/偶的密 碼數(shù)據(jù)選擇,認(rèn)證,提取奇/偶 消息比特 并解密,閾下消息bi,密碼數(shù)據(jù),閾下消息bi,ki,kp,ks,ki,公開(kāi)信道保密通信系統(tǒng),閾下信道保密通信系統(tǒng),1比特閾下信道保密通信系統(tǒng),信息安全原理,3/75,構(gòu)造參數(shù)：,ElGamal簽名,信息安全原理,4/75,簽名生成：,信息安全原理,5/75,驗(yàn)證簽名：,信息安全原理,6/75,內(nèi)容,閾下信道概述與基本理論 閾下信道的構(gòu)造及其分類 閾下信道的隱匿密鑰 閾下信道的容量 閾下信道的封閉 閾下信道的檢測(cè),信息安全原理

2、,7/75,閾下信道概述于基本理論,閾下信道的概念 閾下信道也稱為潛信道。這一概念最早是由G.J.Simmons于1978年在美國(guó)圣地亞國(guó)家實(shí)驗(yàn)室提出的。1983年Simmons通過(guò)一個(gè)在看守（Warden）的完全監(jiān)視下兩個(gè)囚犯如何協(xié)商逃跑計(jì)劃的例子引入了該信道，并正式將其命名為閾下信道。,信息安全原理,8/75,囚犯問(wèn)題,閾下信道的基本模型,信息安全原理,9/75,定義,閾下信道是信息隱藏技術(shù)的一種典型的實(shí)現(xiàn)手段，又叫潛信道，是指在公開(kāi)信道中所建立的一種實(shí)現(xiàn)隱蔽通信的信道，是一種隱蔽信道。 閾下信道是存在于諸如密碼系統(tǒng)、認(rèn)證系統(tǒng)、數(shù)字簽名方案等的加密協(xié)議中，該信道在發(fā)送者和隱藏的接收者之間傳

3、送秘密的信息，該信息不能被公眾和信道管理者所發(fā)現(xiàn)。,信息安全原理,10/75,閾下信道由Simmons在1978年提出，其目的在于證明當(dāng)時(shí)美國(guó)用于SALT-II蘇美戰(zhàn)略核武器限制條約核查系統(tǒng)中的安全協(xié)議存在漏洞。,閾下信道起源,SALT-II條約是19761980年卡特政府期間美國(guó)所推行的兩項(xiàng)國(guó)防政策之一。在該政策中，蘇美雙方被允許使用各自的方式來(lái)檢查對(duì)方裝載了戰(zhàn)略導(dǎo)彈的發(fā)射井的數(shù)量，即一方在提出詢問(wèn)要求時(shí)，另一方應(yīng)立即作出反應(yīng)，讓對(duì)方能夠知道裝載彈頭的發(fā)射井的數(shù)量。,信息安全原理,11/75,閾下信道存在的理論基礎(chǔ),在非對(duì)稱密碼體制中的許多密碼技術(shù)都具有概率特性,即一個(gè)明文可以對(duì)應(yīng)多個(gè)密文。

4、 1、有些密碼體制必須依靠概率特性才能保證安全性； 2、有些應(yīng)用情況下明文空間很小，必須引入概率特性來(lái)增加安全性。,信息安全原理,12/75,閾下信道的宿主是密碼系統(tǒng),狹義閾下信道的存在性,一般地，閾下消息與密碼數(shù)據(jù)是相互獨(dú)立的，如果宿主系統(tǒng)輸出的密碼數(shù)據(jù)是確定的，即一個(gè)明文唯一對(duì)應(yīng)一個(gè)密文數(shù)據(jù)，則n比特閾下信息能夠正確嵌入的概率僅為1/2n。,如果一個(gè)明文消息有m個(gè)可能的密文數(shù)據(jù)輸出且可從中隨機(jī)選擇一個(gè)作為密文，那么當(dāng)2nm時(shí)任一n比特的閾下信息都可至少對(duì)應(yīng)一個(gè)密文數(shù)據(jù)，這時(shí)閾下信息能夠正確嵌入。,密碼系統(tǒng)的隨機(jī)性是構(gòu)造使用閾下信道的必備條件！,信息安全原理,13/75,（1）輸出密碼數(shù)據(jù)的

5、隨機(jī)性, 系統(tǒng)輸入的隨機(jī)參數(shù)，它是主要的隨機(jī)源, 明文消息作為系統(tǒng)輸入數(shù)據(jù)時(shí)本身冗余度所引入的隨機(jī)參數(shù)，即同一語(yǔ)義有多種可能的消息符號(hào)表示；, 對(duì)看守而言的發(fā)送信息的語(yǔ)義隨機(jī)性，即每次發(fā)送前看守對(duì)要發(fā)送的消息的不確知性。,信息安全原理,14/75,（2）狹義閾下信道在密碼系統(tǒng)中的存在性, 傳統(tǒng)的對(duì)稱密碼體制，其本身只用于加密，顯然這樣的密碼數(shù)據(jù)中建立閾下信道沒(méi)有意義，而且在確定的密鑰下對(duì)稱密碼體制中的明文和密文是一一對(duì)應(yīng)的，通常沒(méi)有數(shù)據(jù)擴(kuò)展，無(wú)隨機(jī)冗余比特可利用，所以對(duì)稱體制中不存在使用的閾下信道；, 在非對(duì)稱密碼體制中，比如簽名、認(rèn)證體制、零知識(shí)證明、秘密共享和電子現(xiàn)金等等所采用的密碼技術(shù)均

6、具有概率特性，密碼數(shù)據(jù)包含了較多的隨機(jī)冗余數(shù)據(jù)，這為閾下信道的存在創(chuàng)造了條件。,信息安全原理,15/75,應(yīng)用,軍事情報(bào) 個(gè)人隱私 簽名防偽 信用標(biāo)識(shí) 罪犯追蹤 違規(guī)紀(jì)錄 貨幣水印,信息安全原理,16/75,含閾下信道的宿主系統(tǒng)應(yīng)滿足幾個(gè)必要條件：,Sys為原始密碼系統(tǒng)，Sys*為嵌入閾下信道后的密碼系統(tǒng)：, Sys*的輸入數(shù)據(jù)與Sys的輸入數(shù)據(jù)的公開(kāi)說(shuō)明相一致； 閾下消息嵌入算法包含于Sys*，并且該嵌入算法是透明的，即它只影響Sys中隨機(jī)參數(shù)的選擇，而不影響Sys中算法描述的任何其他細(xì)節(jié)； Sys*的輸出數(shù)據(jù)與Sys的輸出數(shù)據(jù)的公開(kāi)說(shuō)明相一致； 對(duì)除閾下接收方以外的任何第三方，Sys*保留

7、了Sys的全部密碼功能； 宿主密碼系統(tǒng)每一次所傳輸?shù)墓_(kāi)數(shù)據(jù)應(yīng)該是不引起任何第三方懷疑的無(wú)害消息，該消息不應(yīng)具有保密性而只能有認(rèn)證性。,信息安全原理,17/75,（1）敵手,閾下信道的攻擊模型,主動(dòng)的攻擊者：通過(guò)攻破或偽造修改宿主系統(tǒng)，而使得閾下信道系統(tǒng)崩潰的敵手；,被動(dòng)的攻擊者：觀測(cè)或截獲通信數(shù)據(jù)并試圖得到其中的秘密，但宿主系統(tǒng)不具有消息保密性，故這類攻擊的研究沒(méi)有意義；,被動(dòng)的看守：以檢測(cè)秘密的存在性為目的；,主動(dòng)的看守：和主動(dòng)的攻擊者不同，他介入通信而又不影響合法通信，其目的只為封閉閾下信道。,閾下信道關(guān)注的敵手包括：主動(dòng)攻擊者以及被動(dòng)的看守,信息安全原理,18/75,一個(gè)被動(dòng)看守的主要

8、攻擊行為是檢測(cè)宿主系統(tǒng)輸出數(shù)據(jù)的實(shí)際特性與原始特性的差別。,（2）被動(dòng)的看守與攻擊模型,畸變函數(shù)定義：設(shè)Q0和Q1分別表示概率試驗(yàn)的觀測(cè)樣本集合上的兩種概率分布，則分布Q1相對(duì)于Q0的畸變函數(shù)Af是一個(gè)非負(fù)函數(shù)，以非負(fù)實(shí)數(shù)集D=d|d0表示函數(shù)值域，則有， d=Af(Q0 |Q1)D 它表示一個(gè)集合上兩種概率分布的差別，當(dāng)且僅當(dāng) Q0Q1時(shí)，d=0。,信息安全原理,19/75,攻擊模型包含兩個(gè)部分：秘密信道和攻擊信道,秘密信道：描述了閾下通信方在進(jìn)行閾下通信時(shí)，消息的嵌入對(duì)于密碼數(shù)據(jù)原始分布的影響。,定義：如果一個(gè)含有閾下信道的宿主系統(tǒng)其輸出密碼數(shù)據(jù)的真實(shí)分布為QT，則一個(gè)秘密信道是指滿足下式

9、的畸變度。 =Af(Q0 |QT) 其中為Q0原始分布。此時(shí)的閾下信道系統(tǒng)被稱為-安全的。,看守主要通過(guò)檢測(cè)宿主密碼系統(tǒng)輸出的隨機(jī)性改變來(lái)判斷是否有閾下信道存在！,信息安全原理,20/75,定義：設(shè)一個(gè)閾下信道使用了t次（不管有無(wú)閾下信息嵌入），看守從這t個(gè)觀測(cè)到的樣本得到的試驗(yàn)統(tǒng)計(jì)概率為Q1，則一個(gè)攻擊信道是滿足下式的畸變度：對(duì)給定的t0, 滿足式p(dtd0)=1- t的最小非負(fù)數(shù)d0 ，其中dt=Af(Q0 |Q1)， t為誤差容忍度。即如果誤差容忍度為t ，那么當(dāng)且僅當(dāng)dt 0,d0時(shí)看守認(rèn)為系統(tǒng)中無(wú)正在使用的閾下信道。,信息安全原理,21/75,定理1：如果一個(gè)閾下信道是安全的則至少

10、滿足秘密信道的畸變度小于攻擊信道的畸變度，即： d0,定理2：一個(gè)t次使用的閾下信道是安全的，則對(duì)于除閾下收發(fā)雙方之外的任何第三方來(lái)說(shuō)，就我們定義的攻擊信道而言，Sys與Sys*的輸出數(shù)據(jù)是不可區(qū)分的。,信息安全原理,22/75,嵌入成功率：閾下信息能夠成功嵌入閾下信道并能夠被收方正確提取的概率,（3）嵌入成功率與信道使用率,影響嵌入成功率的因素： 作為宿主系統(tǒng)而言，每個(gè)秘密輸入的隨機(jī)參數(shù)只能使用一次，否則將有可能泄漏系統(tǒng)的秘密密鑰。 在某些基于搜索的窄帶信道中，如果在搜索次數(shù)的最大上限之內(nèi)沒(méi)有找到合適的碼字，那么閾下消息就不能成功嵌入。 給定閾下信道方案Sub，對(duì)于閾下發(fā)方而言，任意可能的閾

11、下消息u U的編碼v V必須滿足一定的編碼限制條件，如果不能正確編碼，就成為不可嵌入消息。,信息安全原理,23/75,如果一個(gè)信道在每m次使用中平均n次有閾下消息傳遞，則該信道的使用率pu定義為： Pu=n/m,在Pu1時(shí)，就必須在閾下消息中引入標(biāo)識(shí)符來(lái)實(shí)現(xiàn)，比如當(dāng)某一固定比特位值為“1”時(shí)可判定所提取的數(shù)據(jù)時(shí)閾下消息，“0”時(shí)不是。,信息安全原理,24/75,閾下信道的安全性,定理：假設(shè)宿主密碼系統(tǒng)是無(wú)條件安全的（或計(jì)算上安全的），那么閾下信道是無(wú)條件安全的，當(dāng)且僅當(dāng)下式成立， I（U ; C）= H（U）- H（U | C）= 0,不安全因素：閾下消息的嵌入改變了密碼數(shù)據(jù)集的原始分布特性，

12、如果一個(gè)閾下信道僅使用少數(shù)次，看守只能獲得很少的密碼數(shù)據(jù)，將不產(chǎn)生統(tǒng)計(jì)效應(yīng)。,信息安全原理,25/75,閾下信道構(gòu)造及其分類,目前所構(gòu)造的方案絕大多數(shù)是基于離散對(duì)數(shù)困難問(wèn)題（DLP）和橢圓曲線離散對(duì)數(shù)問(wèn)題（ECDLP）的密碼系統(tǒng)，且多為數(shù)字簽名系統(tǒng)。,信息安全原理,26/75,寬帶閾下信道(Broadband subliminal channel)與窄帶閾下信道(Narrowband subliminal channel ) 如果在一個(gè)簽名方案中，比特用于傳送簽名，僅 比特用于提供前面那個(gè)的抗偽造、抗篡改和抗移植等安全的能力，其中 ， 則剩余-比特可被用于閾下通信。閾下信道受構(gòu)造方法和宿主參數(shù)

13、安全條件的限制往往不能達(dá)到最大容限。通常把它分為寬帶和窄帶兩種，如果閾下信道用到所有或者幾乎所有-比特的密碼數(shù)據(jù)，則稱之為寬帶信道，否則稱之為窄帶信道。,Simmons的猜想,信息安全原理,27/75,寬帶閾下信道,信息安全原理,28/75,寬帶閾下信道,接收者B可以使用標(biāo)準(zhǔn)方法驗(yàn)證簽名,并可提取閾下消息: 本方案的限制: B必須事先知道dA 當(dāng)r=0或s=0時(shí),m不能作為閾下消息傳遞,信息安全原理,29/75,窄帶閾下信道,1) A 和B商定一個(gè)作為模的隨機(jī)素?cái)?shù)Z (不同于簽名方案中的參數(shù)n) , 對(duì)該閾下信道來(lái)說(shuō),這是他們的秘密密鑰。 2) A 簽署一個(gè)無(wú)害的消息m。如果想發(fā)送給B的閾下信

14、息為1, 則要確保簽名的參數(shù)r 是對(duì)模Z 的二次剩余; 如果想發(fā)送給B閾下信息為0, 則要確保簽名的參數(shù)r 是對(duì)模Z 的非二次剩余。 3) A給B發(fā)送該簽名消息。 4) B驗(yàn)證簽名, 以確信該消息是真實(shí)的; 檢查r 是否是對(duì)模Z 的二次剩余, 同時(shí)恢復(fù)閾下信息。,信息安全原理,30/75,牛頓信道,屬于寬帶閾下信道 性能折中 會(huì)泄漏部分密鑰,信息安全原理,31/75,Simmons把閾下信道分為I型和II型。I型是指閾下發(fā)方必須把秘密簽名密鑰交給閾下收方，以使收方能恢復(fù)閾下消息，否則稱為II型信道。,Simmons猜想： （1）所有寬帶閾下信道都是I型信道； （2）所有II型信道都是窄帶閾下信

15、道。,信息安全原理,32/75,根據(jù)閾下信道不同的構(gòu)造機(jī)理將現(xiàn)有閾下信道分為4類：,閾下信道的種類, A類信道：收發(fā)雙方共享宿主密碼系統(tǒng)的部分或全部的陷門(mén)信息，這些共享信息是收方提取閾下信息所必需的； B類信道：通過(guò)控制單向函數(shù)的輸入或輸出比特來(lái)嵌入閾下消息，此時(shí)收發(fā)雙方的計(jì)算復(fù)雜度是不對(duì)稱的，其中一方在提取或嵌入消息時(shí)要依賴于計(jì)算能力； C類信道：基于素性測(cè)試，產(chǎn)生元測(cè)試或可逆性測(cè)試等在公開(kāi)密鑰中嵌入閾下消息； D類信道：失敗終止式閾下信道，如消息嵌入成功則發(fā)送，否則發(fā)送方終止宿主密碼協(xié)議。,狹義閾下信道,信息安全原理,33/75,（1）A類信道,閾下信息嵌入： Step1: Alice選取

16、隨機(jī)數(shù)k，計(jì)算t = kq + u (mod p-1)，且滿足gcd(t, p-1)=1，并計(jì)算k=t-1。 Step2: Alice以k為會(huì)話密鑰產(chǎn)生簽名，發(fā)送給閾下收方Bob；,設(shè)q是ElGamal簽名的簽名子群的階p-1的一個(gè)因子，且閾下收發(fā)雙方可知。xq=x (mod q)為收發(fā)雙方所共享的部分秘密鑰。要嵌入的閾下信息為uU，滿足uq，且有g(shù)cd(u,q)=1,信息安全原理,34/75,閾下信息提取：,Step3: Bob首先驗(yàn)證簽名(r, s)，如果不正確，則拒絕該消息，否則轉(zhuǎn)到下一步。 Step4: Bob對(duì)簽名方程 兩邊模q得到 ，其中hq表示 H(m) (mod q)； Ste

17、p5: Bob利用共享的部分簽名秘密鑰xq，從Step4的方程中求解閾下消息。,信息安全原理,35/75,參數(shù)：函數(shù)Sch表示搜索規(guī)則；以N表示搜索次數(shù)的最大上限；以f表示宿主密碼系統(tǒng)的單向函數(shù)，如果輸入為隨機(jī)數(shù)k，則輸出c=f(k)；u表示待嵌入的閾下消息；g表示閾下消息的提取規(guī)則，在該規(guī)則下消息的提取是容易的，u=g(c)，宿主系統(tǒng)以ElGamal簽名為例：,（2）B類信道,閾下消息的嵌入： Step1: Alice計(jì)算k=Sch(t)，其中t為搜索函數(shù)的初始值； Step2: Alice以k為輸入計(jì)算單向函數(shù)值r=f(k)=gk (mod p); Step3: Alice 比較g(r)是

18、否等于閾下消息u，如果相等則嵌入成功，以k為會(huì)話密鑰產(chǎn)生ElGamal簽名(r,s)，發(fā)送給Bob；否則比較搜索次數(shù)n是否小于N,如果成立則轉(zhuǎn)到Step1，如果n大于或等于N，則終止搜索，嵌入失敗。,信息安全原理,36/75,閾下消息的提?。?Step4: Bob首先驗(yàn)證簽名，如果不正確，則拒絕該消息，否則轉(zhuǎn)到下一步； Step5: Bob利用規(guī)則g來(lái)提取閾下消息u=g(r),B類閾下信道方案示意圖,信息安全原理,37/75,方案一：提取規(guī)則為單向函數(shù)的輸出值r對(duì)收發(fā)收發(fā)雙方共享的幾個(gè)秘密模數(shù)的二次剩余特性。,假設(shè)收發(fā)雙方共享一組秘密模數(shù)P1,P2,Pt , 待傳閾下消息u=(u1,u2,ut

19、)共t比特，則嵌入時(shí)當(dāng)閾下比特ui=0時(shí)滿足r是模Pi的平方剩余， ui=1時(shí)是非平方剩余，這樣發(fā)方通過(guò)搜索簽名的會(huì)話密鑰k來(lái)控制輸出r使其對(duì)這t個(gè)模數(shù)的二次剩余特性恰與t比特閾下信息相適應(yīng)，從而實(shí)現(xiàn)消息的嵌入。,信息安全原理,38/75,方案二：提取規(guī)則為輸出值r的某幾個(gè)固定比特位的值。消息嵌入時(shí)，發(fā)送方通過(guò)搜索適合的簽名會(huì)話密鑰k來(lái)控制輸出值r的某幾個(gè)固定比特位使之等于待傳的閾下消息比特。,有的方案中也可能把搜索的計(jì)算量讓閾下收方來(lái)承擔(dān)。,B類信道的簽名權(quán)力不能被收方濫用是一個(gè)優(yōu)點(diǎn)，而付出的代價(jià)是容量收到極大的影響，均系窄帶信道。,信息安全原理,39/75,ECElGamal橢圓曲線加密算

20、法中的B類閾下信道,信息安全原理,40/75,信息安全原理,41/75,基于本方案可以 構(gòu)造一個(gè)陷門(mén),信息安全原理,42/75,以下是基于RSA公鑰的一個(gè)典型構(gòu)造實(shí)例：,C類信道,參數(shù)：假設(shè)Alice的RSA密鑰對(duì)記為(n,e),(p,q,d)，其中n=pq, ed1 mod (n), (n,e)為公開(kāi)密鑰, (p,q,d)為秘密鑰,為方便見(jiàn)簡(jiǎn)記為(n,e),d), (n)為歐拉函數(shù)。Bob的RSA密鑰對(duì)記為(N,E),D)。閾下消息為u。,閾下消息的嵌入： Step1: Alice首先用Bob的公鑰(N, E)對(duì)閾下消息u加密，并將密文作為其加密指數(shù)e=RSA(N,E)(u)； Step2:

21、 Alice隨機(jī)選取p,q，并計(jì)算n=pq； Step3: Alice驗(yàn)證是否有g(shù)cd(e, (n)=1（元素可逆性）且en，如果不成立則轉(zhuǎn)到Step2，否則繼續(xù),信息安全原理,43/75,閾下消息的嵌入（續(xù)）： Step4: Alice計(jì)算其解密指數(shù)d，完成其密鑰產(chǎn)生發(fā)布； 閾下消息的提?。?Step5: Bob可通過(guò)簡(jiǎn)單的對(duì)加密指數(shù)e恢復(fù)閾下消息u=RSA(D)(e),基于SETUP體制的閾下信道要求的條件很強(qiáng)，宿主系統(tǒng)的密鑰對(duì)必須由用戶隨機(jī)選取而不是由系統(tǒng)分發(fā)，而且必須在更換密鑰時(shí)才能實(shí)行。,信息安全原理,44/75,主要思想：在嵌入過(guò)程中，如果輸出數(shù)據(jù)恰好與閾下比特相適應(yīng)，則嵌入成功，

22、閾下消息將被傳遞，否則發(fā)方將終止協(xié)議，但由于看守參與協(xié)議的執(zhí)行，終止協(xié)議將引起看守的懷疑，因而有很大的風(fēng)險(xiǎn)。該類信道沒(méi)有實(shí)用性，其存在的價(jià)值是理論上的。,D類信道,信息安全原理,45/75,閾下信道中的隱匿密鑰,隱匿密鑰的兩個(gè)作用,（1）隱匿密鑰的提取作用,（2）隱匿密鑰的隨機(jī)化作用,隱匿密鑰協(xié)商,（1）標(biāo)準(zhǔn)化假設(shè),（2）通信雙方預(yù)先得到的知識(shí)與實(shí)現(xiàn)隱匿密鑰協(xié)商的基本協(xié)議： a. 閾下通信雙方已共享隱匿密鑰； b. 閾下通信雙方已知秘密比特串R； c. Alice僅知道Bob的一個(gè)公鑰,信息安全原理,46/75,密鑰鏡像：把宿主密碼系統(tǒng)的一個(gè)密鑰對(duì)直接作為某一公鑰密碼算法的密鑰對(duì)，該公鑰密碼算

23、法與宿主密碼系統(tǒng)基于同一個(gè)數(shù)學(xué)難題的標(biāo)準(zhǔn)公鑰加密算法。,消息r的自驗(yàn)證性：滿足r=k|Hash(k)，或者是一個(gè)有意義的消息，把r這一特性記為V(r)=True，否則記為V(r)=False,（3）已知公鑰的隱匿密鑰協(xié)商的基本協(xié)議： Step1: Alice選擇一個(gè)隨機(jī)數(shù)r, 該隨機(jī)數(shù)滿足自驗(yàn)證特性V(r)= True, Alice用Bob的公鑰y加密得到密文c=Asymy(r) , Asym為Bob所擁有的一個(gè)公鑰加密算法； Step2: Alice采用Bob可知的一個(gè)標(biāo)準(zhǔn)的數(shù)據(jù)嵌入方案S將c嵌入到宿主密碼系統(tǒng)中，并將隱匿數(shù)據(jù)發(fā)送給Bob；,信息安全原理,47/75,Step3: Bob可以

24、用他的密鑰x解密，從而得到Alice發(fā)給他的隨機(jī)串r，Bob可通過(guò)對(duì)該串進(jìn)行驗(yàn)證V(r)=True或False來(lái)判斷r是不是Alice發(fā)給他的秘密比特串。,信息安全原理,48/75,閾下信道的容量,閾下信道容量的定義 閾下信道的容量是指一次數(shù)據(jù)傳遞所能攜帶的比特量，用比特/次來(lái)衡量。 定義：設(shè)宿主系統(tǒng)的輸出集合為C，隱匿密鑰集合為K，閾下消息集合為U，那么對(duì)于僅使用一次的閾下信道系統(tǒng)Sub，其實(shí)際容量定義為： Capa=I（U; C|K） 它表示在給定集合K的情況下，集合U（或C）中事件出現(xiàn)后給出的集合C（或U）中事件出現(xiàn)的信息量的均值。,定理：宿主系統(tǒng)的最大理論容量為CMax=H(c),信息

25、安全原理,49/75,影響容量的因素,閾下信道的實(shí)際容量受到諸多因素的限制，很難達(dá)到最大值CMax。影響因素主要包括：,（1）構(gòu)造機(jī)理,（2）嵌入成功率：pa,（3）發(fā)送方的風(fēng)險(xiǎn)承受能力,（4）信道使用率：pu,定理：如果信道使用率pu1，則為了使收方以概率1確認(rèn)和提取閾下消息，必須引入至少1比特確定冗余度（即消息標(biāo)識(shí)符），并且最終信道可達(dá)容量為： CaCapa-1 其中，Capa表示一次使用信道容量。,信息安全原理,50/75,針對(duì)閾下信道的攻擊,明文,簽名,封閉,檢測(cè),信息安全原理,51/75,閾下信道封閉的概念,閾下信道的封閉,如果一個(gè)密碼系統(tǒng)的所有可能閾下信道均被封閉，閾下通信方無(wú)法通

26、過(guò)該系統(tǒng)傳遞閾下消息，那么就稱該系統(tǒng)具有無(wú)閾下性（subliminal-freeness）,Desmedt最早從事系統(tǒng)無(wú)濫用性以及無(wú)閾下性的研究，在1987年的美密會(huì)上Desmedt等提出了第一個(gè)具有無(wú)濫用性零知識(shí)證明方案。,信息安全原理,52/75,主動(dòng)的看守：在有關(guān)封閉閾下信道的研究中，把試圖阻止閾下通信的一方稱為看守，他參與協(xié)議的執(zhí)行并有效地影響各參數(shù)的生成。,主動(dòng)的看守的引入時(shí)封閉閾下信道的一個(gè)必要條件！,S(L)系統(tǒng)：比如A是一個(gè)簽名系統(tǒng)，mL表示待簽名的消息，則斷言S(m,A)的意義為A(m)是消息m的簽名。,最小系統(tǒng)：S(L) 是一個(gè)最小系統(tǒng)是指：當(dāng)A執(zhí)行時(shí)，收方只能獲取系統(tǒng)A所

27、限定的傳輸?shù)男畔?，而不能獲得除此之外的任何信息。,信息安全原理,53/75,定義：稱一個(gè)S(L)系統(tǒng)A是就有無(wú)閾下性的，如果滿足以下性質(zhì)：,（1）公平性：當(dāng)系統(tǒng)A執(zhí)行時(shí)，w=0幾乎總是成立，所謂公平是指如果A沒(méi)有被A（比如含有閾下信道的系統(tǒng)）代替，那么看守將不會(huì)誤認(rèn)為該系統(tǒng)是A。 （2）最小性：A是一個(gè)最小系統(tǒng)。 （3）可檢測(cè)性：如果一個(gè)S(L)系統(tǒng)A被另一個(gè)S(L)系統(tǒng)A替換，看守幾乎總能檢測(cè)到閾下信道的存在；如果檢測(cè)不到閾下信道的存在即w=0，則閾下收方也不能從中獲取任何閾下信息。,信息安全原理,54/75,封閉閾下信道的若干方法,（1）承諾掩蔽 這里所謂“承諾”(commitment)是

28、指宿主數(shù)據(jù)的發(fā)方對(duì)其所選擇的參數(shù)向看守的一個(gè)承諾，而且一旦承諾，則不能隨意改變。而“掩蔽”(cover)是指看守對(duì)發(fā)放選擇數(shù)據(jù)的隨機(jī)性進(jìn)行掩蓋。常采用二者相結(jié)合的技術(shù)來(lái)封閉閾下信道。,信息安全原理,55/75,DSA的一個(gè)封閉實(shí)例： Step1: Alice隨機(jī)選取kR1,q，計(jì)算rgk(mod p)發(fā)送給Warden；（承諾） Step2: Warden隨機(jī)選取k R1,q發(fā)送給Alice； Step3: Alice計(jì)算k=kk(mod q)（掩蔽）,利用k產(chǎn)生簽名(r,s)，并將(m,r,s)發(fā)送給Warden; Step4: Warden通過(guò)如下計(jì)算驗(yàn)證k的正確性，即r (rk mod

29、p) mod q是否成立。（驗(yàn)證承諾）并驗(yàn)證簽名，如果正確則轉(zhuǎn)發(fā)至收方，否則將Alice抓獲。,信息安全原理,56/75,DSA,信息安全原理,57/75,Desmedt構(gòu)造的失敗終止式閾下信道說(shuō)明了該協(xié)議并沒(méi)有完全封閉會(huì)話密鑰所引入的信道，構(gòu)造如下：,Step3.1: Alice計(jì)算k kk (mod q), 及 r (gk mod p) mod q Step3.2: Alice比較r的某一個(gè)固定比特位ri是否等于閾下比特u，如果相等則產(chǎn)生簽名發(fā)送給Warden，否則終止協(xié)議。,信息安全原理,58/75,（2）分割選擇,分割選擇的思想在密碼學(xué)中的許多領(lǐng)域都有應(yīng)用，包括盲簽名，電子現(xiàn)金，零知識(shí)

30、證明等。對(duì)分割樣本數(shù)為n而選擇其中t份的方案稱為(n,t)分割選擇方案。,采用分割選擇法封閉DSA中閾下信道的方法： Step1: Alice隨機(jī)選取n個(gè)會(huì)話密鑰k1,k2,knR1,q，計(jì)算ri gki (mod p)，(i=1,2,n)發(fā)送給Warden; （分割） Step2: Warden從收到的n個(gè)值中隨機(jī)選取n-1個(gè)值ri1,ri2, rin-1發(fā)送給Alice（選擇）; Step3: Alice把所對(duì)應(yīng)于這n-1個(gè)值的會(huì)話密鑰ki1,ki2,kin-1以及利用剩余的一個(gè)秘密會(huì)話密鑰k所產(chǎn)生的對(duì)消息m的簽名(r,s)發(fā)送給Warden;,信息安全原理,59/75,采用分割選擇法封閉

31、DSA中閾下信道的方法（續(xù)）： Step4: Warden驗(yàn)證rij gkij (mod p) ,(j=1,2,n-1)這n-1個(gè)值及其簽名(r,s)的正確性，如果全部正確則將(m,r,s)發(fā)送給收方Bob，如果n-1個(gè)值中至少有一個(gè)錯(cuò)誤或簽名 驗(yàn)證沒(méi)有通過(guò)則Warden終止協(xié)議，并將Alice抓獲；（驗(yàn)證選擇） Alice欺騙Warden的概率為1/n 上述方法是否實(shí)現(xiàn)了對(duì)閾下信道的封閉？,（1）失敗終止式協(xié)議 （2）選擇每一個(gè)會(huì)話密鑰中含有相同的t比特的閾下消息和(l-t)比特的隨機(jī)成分。,NO!,信息安全原理,60/75,Simmons在1988年提出的一種封閉方案。以DSA為例， n表

32、示分割選擇的樣本數(shù)； t表示看守Warden將產(chǎn)生的簽名轉(zhuǎn)發(fā)給收方的樣本數(shù)tn； a表示n個(gè)樣本中含有閾下消息的樣本個(gè)數(shù)； 采用(n,t)分割選擇方案： Step1: Alice隨機(jī)選取n個(gè)會(huì)話密鑰k1, k2, knR1,q，計(jì)算ri gki (mod p)，(i=1,2,n)發(fā)送給Warden; （分割、承諾） Step2: Warden隨機(jī)選取k1, k2, kn R1,q發(fā)送給Alice；,（3）承諾掩蔽與分割選擇,信息安全原理,61/75,Step3: Alice計(jì)算ki=kiki(mod q), 產(chǎn)生消息m的n個(gè)簽名(ri,si)，并將(m,ri,si), i=1,2,n發(fā)送給Wa

33、rden; （掩蔽） Step4: Warden驗(yàn)證ri (riki mod p) mod q及簽名(ri,si)的正確性, i=1,2,n。如果全部選擇正確則隨機(jī)選取其中的t個(gè)簽名發(fā)給收方，否則將Alice抓獲。（驗(yàn)證承諾、選擇）,信息安全原理,62/75, 數(shù)據(jù)轉(zhuǎn)換 零知識(shí)證明與分割選擇 零知識(shí)證明與承諾掩蔽 可轉(zhuǎn)換協(xié)議,（4）其他方法,信息安全原理,63/75,閾下信道的檢測(cè),基于隨機(jī)數(shù)特性的檢測(cè) 基于密文隨機(jī)特征的檢測(cè),信息安全原理,64/75,其他閾下信道,對(duì)稱加密中的閾下信道 即時(shí)通信系統(tǒng)中的閾下信道,信息安全原理,65/75,對(duì)稱加密中的閾下信道,基于文件創(chuàng)建時(shí)間的初始向量信息隱藏方案 基于隨機(jī)數(shù)列表的初始向量信息隱藏方案,信息安全原理,66/75,即時(shí)通信系統(tǒng)中的閾下信道,QQ閾下信道的存在性 SKYPE閾下信道的存在性,信息安全原理,67/75,QQ閾下信道的存在性,QQ的填充算法 具體的填充算法是： 1) a = (len + 10) mod 8。 Len為明文長(zhǎng)度。 2) 將a填充到明文的第一個(gè)字節(jié)。 3) 用隨機(jī)數(shù)rand