|
|
|
|
|
数据加密是防止未经授权的用户访问敏感信息的手段,这就是人们通常理解的安全措施,也是其他安全方法的基础。研究数据加密的科学叫做密码学(Cryptography),它又分为设计密码体制的密码编码学和破译密码的密码分析学。
|
|
|
|
一般的保密通信模型如下图所示。在发送端,把明文P用加密算法E和密钥K加密,变换成密文C,即
|
|
|
|
|
|
|
|
|
|
在接收端利用解密算法D和密钥K对C解密得到明文P,即
|
|
|
|
|
|
这里加/解密函数E和D是公开的,而密钥K(加解密函数的参数)是秘密的。在传送过程中,偷听者得到的是无法理解的密文,而且他得不到密钥,这就达到了对第三者保密的目的。
|
|
|
|
不论偷听者获取了多少密文,如果密文中没有足够的信息可以确定出对应的明文,则这种密码体制是无条件安全的,或称为是理论上不可破解的。在无任何限制的条件下,目前几乎所有的密码体制都不是理论上不可破解的。能否破解给定的密码,取决于使用的计算资源。所以密码专家们研究的核心问题就是要设计出在给定计算费用的条件下,计算上(而不是理论上)安全的密码体制。下面分析简要介绍曾经使用过的和目前正在使用的加密方法。
|
|
|
|
|
|
常用的加密算法有DES、IDEA、AES、流加密算法和RC4、RSA算法等。
|
|
|
|
DES(Data Encryption Standard)
|
|
|
|
1977年1月,美国NSA(National Security Agency)根据IBM的专利技术Lucifer制定了DES。明文被分成64位的块,对每个块进行19次变换(替代和换位),其中16次变换由56位密钥的不同排列形式控制(IBM使用的是128位的密钥),最后产生64位的密文块,如下图所示。
|
|
|
|
|
|
|
|
由于NSA减少了密钥,而且对DES的制订过程保密,甚至为此取消了IEEE计划的一次密码学会议。人们怀疑NSA的目的是保护自己的解密技术,因而对DES从一开始就充满了怀疑和争论。
|
|
|
|
1977年,Diffie和Hellman设计了DES解密机。只要知道一小段明文和对应的密文,该机器就可以在一天之内穷试256种不同的密钥(这叫做野蛮攻击)。
|
|
|
|
三重DES(Triple-DES)是DES的改进算法,它使用两个密钥对报文做三次DES加密,效果相当于将DES密钥的长度加倍,克服了DES密钥长度较短的缺点。本来,应该使用3个不同的密钥进行3次加密,这样就可以把密钥的长度加长到3×56=168位。但许多密码设计者认为168位的密钥已经超过了实际需要,所以便在第一层和第三层中使用相同的密钥,产生一个有效长度为112位的密钥。之所以没有直接采用两重DES,是因为第二层DES不是十分安全,它对一种称为“中间可遇”的密码分析攻击极为脆弱,所以最终还是采用了利用两个密钥进行三重DES加密操作。
|
|
|
|
|
|
|
|
|
|
(3)对步骤(2)的结果使用密钥K1进行DES加密。
|
|
|
|
这种方法的缺点是要花费原来三倍的时间,但从另一方面来看,三重DES的112位密钥长度是很“强壮”的加密方式。
|
|
|
|
IDEA(International Data Encryption Algorithm,国际数据加密算法)
|
|
|
|
1990年,瑞士联邦技术学院的来学嘉和Massey建议了一种新的加密算法。这种算法使用128位的密钥,把明文分成64位的块,进行8轮迭代加密。IDEA可以用硬件或软件实现,并且比DES快。在苏黎世技术学院用25MHz的VLSI芯片,加密速率是177MB/s。
|
|
|
|
IDEA经历了大量的详细审查,对密码分析具有很强的抵抗能力,在多种商业产品中得到应用,已经成为全球通用的加密标准。
|
|
|
|
AES(Advanced Encryption Standard,高级加密标准)
|
|
|
|
1997年1月,美国国家标准与技术局(NIST)为高级加密标准征集新算法。最初从许多响应者中挑选了15个候选算法,经过世界密码共同体的分析,选出了其中的5个。经过用ANSI C和Java语言对5个算法的加/解密速度、密钥和算法的安装时间,以及对各种攻击的拦截程度等进行了广泛的测试后,2000年10月,NIST宣布Rijndael算法为AES的最佳候选算法,并于2002年5月26日发布为正式的AES加密标准。
|
|
|
|
AES支持128、192和256位3种密钥长度,能够在世界范围内免版税使用,提供的安全级别足以保护未来20~30年内的数据,可以通过软件或硬件实现。
|
|
|
|
|
|
所谓流加密,就是将数据流与密钥生成二进制比特流进行异或运算的加密过程。这种算法采用以下两个步骤:
|
|
|
|
(1)利用密钥K生成一个密钥流KS(伪随机序列)。
|
|
|
|
(2)用密钥流KS与明文P进行“异或”运算,产生密文C。
|
|
|
|
|
|
解密过程则是用密钥流与密文C进行“异或”运算,产生明文P。
|
|
|
|
|
|
为了安全,对不同的明文必须使用不同的密钥流,否则容易被破解。
|
|
|
|
Ronald L. Rivest是MIT的教授,用他的名字命名的流加密算法有RC2~RC6系列算法,其中RC4是最常用的。
|
|
|
|
RC代表Rivest Cipher或Ron's Cipher,RC4是Rivest在1987年设计的,其密钥长度可选择64位或128位。
|
|
|
|
RC4是RSA公司私有的商业机密,1994年9月被人匿名发布在因特网上,从此得以公开。这个算法非常简单,就是256内的加法、置换和异或运算。由于简单,所以速度极快,加密的速度可达到DES的10倍。
|
|
|
|
RSA(Rivest Shamir and Adleman)算法
|
|
|
|
这是一种公钥加密算法,方法是按照下面的要求选择公钥和密钥:
|
|
|
|
|
|
|
|
|
|
|
|
明文P被分成k位的块,k是满足2k<n的最大整数,于是有0≤P
|
|
|
|
|
|
|
|
|
|
|
|
用例子说明这个算法,设p=3,q=11,n=33,z=20,d=7,e=3,C=P3(mod 33),P=C7(mod 33)。则有
|
|
|
|
|
|
P=87(mod 33)=2097152(mod 33)=2
|
|
|
|
RSA算法的安全性基于大素数分解的困难性。如果攻击者可以分解已知的n,得到p和q,然后可得到z,最后用Euclid算法,由e和z得到d。然而要分解200位的数,需要40亿年;分解500位的数,则需要1025年。
|
|
|
|
|
|
|
|
使用最广的报文摘要算法是MD5,这是Ronald L. Rivest设计的一系列Hash函数中的第5个。其基本思想就是用足够复杂的方法把报文位充分“弄乱”,使得每一个输出位都受到每一个输入位的影响。具体的操作分成下列几个步骤:
|
|
|
|
(1)分组和填充。把明文报文按512位分组,最后要填充一定长度的“1000....”,使得
|
|
|
|
|
|
(2)附加。最后加上64位的报文长度字段,整个明文恰好为512的整数倍。
|
|
|
|
(3)初始化。置4个32位长的缓冲区ABCD分别为:
|
|
|
|
A=01234567B=89ABCDEFC=FEDCBA98D=76543210
|
|
|
|
(4)处理。用4个不同的基本逻辑函数(F,G,H,I)进行4轮处理,每一轮以ABCD和当前512位的块为输入,处理后送入ABCD(128位),产生128位的报文摘要,如下图所示。
|
|
|
|
|
|
|
|
关于MD5的安全性可以解释如下:由于算法的单向性,因此要找出具有相同Hash值的两个不同报文是不可计算的。如果采用野蛮攻击,寻找具有给定Hash值的报文的计算复杂性为2128,若每秒试验10亿个报文,需要1.07×1022年。采用生日攻击法,寻找有相同Hash值的两个报文的计算复杂性为264,用同样的计算机需要585年。从实用性考虑,MD5用32位软件可高速实现,所以有广泛应用。
|
|
|
|
|
|
安全散列算法(The Secure Hash Algorithm,SHA)由美国国家标准和技术协会于1993年提出,并被定义为安全散列标准(Secure Hash Standard,SHS)。SHA-1是1994年修订的版本,纠正了SHA一个未公布的缺陷。这种算法接收的输入报文小于264位,产生160位的报文摘要。该算法设计的目标是使得找出一个能够匹配给定的散列值的文本实际是不可能计算的。也就是说,如果对文档A已经计算出了散列值H(A),那么很难找到一个文档B,使其散列值H(B)=H(A),尤其困难的是无法找到满足上述条件的,而且又是指定内容的文档B。SHA算法的缺点是速度比MD5慢,但是SHA的报文摘更长,更有利于对抗野蛮攻击。
|
|
|
|
|
|
散列式报文认证码(Hashed Message Authentication Code,HMAC)是利用对称密钥生成报文认证码的散列算法,可以提供数据完整性数据源身份认证。为了说明HMAC的原理,假设H是一种散列函数(例如MD5或SHA-1),H把任意长度的文本作为输入,产生长度为L位的输出(对于MD5,L=128;对于SHA-1,L=160),并且假设K是由发送方和接收方共享的报文认证密钥,长度不大于64字节,如果小于64字节,后面加0,补够64字节。假定有下面两个64字节的串ipad(输入串)和opad(输出串)。处理过程如下:
|
|
|
|
|
|
|
函数HMAC把K和Text作为输入,产生HMACK(Text)=H 作为输出,即:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(6)把第(4)步产生的结果附加在第(5)步结果的后面。
|
|
|
|
(7)对第(6)步产生的结果引用函数H,并输出计算结果。
|
|
|
|
HMAC的密钥长度至少为L位,更长的密钥并不能增强函数的安全性。HMAC允许把最后的输出截短到80位,这样更简单有效,且不损失安全强度。认证一个数据流(Text)的总费用接近于对该数据流进行散列的费用,对很长的数据流更是如此。
|
|
|
|
HMAC使用现有的散列函数H而不用修改H的代码,这样可以使用已有的H代码库,而且可以随时用一个散列函数代替另一个散列函数。HMAC-MD5已经被IETF指定为Internet安全协议IPsec的验证机制,提供数据源认证和数据完整性保护。
|
|
|
|
HMAC的一个典型应用是用在“提问/响应(Challenge/Response)”式身份认证中,认证流程如下:
|
|
|
|
|
|
(2)服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为提问)。
|
|
|
|
(3)客户端将收到的随机数提供给ePass(数字证书的存储介质),由ePass使用该随机数与存储的密钥进行HMAC-MD5运算,并得到一个结果作为证据传给服务器(此为响应)。
|
|
|
|
(4)与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
|
|
|
