【文章內(nèi)容簡介】 只對(duì)密碼族進(jìn)行認(rèn)證而不加密，易被攻擊者截獲并刪除該消息，致使通信雙方將不再更新當(dāng)前的密碼族，即不再對(duì)傳送的數(shù)據(jù)作 MAC認(rèn)證或加密。由于商定的密碼族不起作用，攻擊者在通信雙方不知道的情況下，可以隨心所欲地篡改通信數(shù)據(jù)。為了避免該攻擊，可以將 ChangeCipherSpec加人到 Finished消息的 認(rèn)證計(jì)算中。 密碼族降級(jí)攻擊 (Cipher Suite Rollback Attacks) SSL Hell。中的 Cipher Suite明文數(shù)據(jù)，在不被察覺的情況下讓通信雙方使用安全強(qiáng)度較弱的密碼算法。在 缺陷進(jìn)行了彌補(bǔ)，通過 Finished消息，利用主密鑰 Master Secret對(duì)握手過程中的消息進(jìn)行認(rèn)證。這樣，攻擊者在握手過程中的任何篡改消息的行為都會(huì)被發(fā)現(xiàn)。 密鑰交換算法欺作 服務(wù)器用 Server Key Exchange消息來發(fā)送臨時(shí)公共密鑰參數(shù)，客戶使用這些公開參數(shù)和服務(wù)器交換密鑰，獲得共享的主密鑰。但是，“密鑰交換算法”這個(gè)域不在服務(wù)器對(duì)公開參數(shù)的簽名中，這樣攻擊者可以濫用服務(wù)器對(duì) DH參數(shù)的簽名來欺騙客戶，而讓服務(wù)器認(rèn)為發(fā)送了對(duì) RSA參數(shù)的簽名。這時(shí)，通信雙方認(rèn)為已經(jīng)成功協(xié)商了一個(gè)密碼族，而事實(shí)上它們各自認(rèn)定的密碼族卻是不同的。攻擊者使用密碼族反轉(zhuǎn)攻擊，使服務(wù)器使用臨時(shí)的 DH密鑰交換，而客戶使用臨時(shí)的 RSA密鑰交換。這樣，客戶將使用假的 RSA參數(shù)加密 Premastersecret發(fā)送給服務(wù)器。這樣，攻 擊者可以容易地還原 Premastersecret，此后的通信安全將被擊潰 151。為避免這種攻擊，協(xié)議實(shí)現(xiàn)者應(yīng)當(dāng)在接收到 Server Key Exchange消息時(shí)進(jìn)行健全性檢查，從而辨別所使用的密鑰交換算法。 版本降級(jí)攻擊 SSL的舊版本含有很多缺陷，例如 : exportweakened模式下，不必要地將認(rèn)證密碼降低為 40位 。MAC加密密鑰與傳輸加密密鑰采用同一密碼，安全性差 。在塊密碼模式中，對(duì)填充長度沒有認(rèn)證保護(hù)。因此，在新舊版本同時(shí)存在的情況下，攻擊者能修改 Hell。消息，使它看起來像 Hello消息，然后利用 。于是有人利用 RSA作為唯一的密第 12 頁 共 32 頁 鑰交換算法的特點(diǎn)，設(shè)計(jì)了一個(gè)檢測這種攻擊的方法，即支持 RSA的 PKCS填充字節(jié)中嵌人一些固定的冗余以示支持 ，而 機(jī)的 PKCS填充。這樣 SSL新老版本既能并存工作，又能區(qū)別開來，從而防止版本降級(jí)攻擊。 第 13 頁 共 32 頁 第四章加密 一、網(wǎng)絡(luò)加密技術(shù) 為 了保證網(wǎng)絡(luò)安全，我們可以采取各種防范措施和手段。如對(duì)信息加密、設(shè)置防火墻、對(duì)用戶進(jìn)行認(rèn)證等。其中最重要的、也是最基礎(chǔ)的是加密技術(shù)。一般稱被加密的信息原文為明文，用 P 表示，加密結(jié)果稱為密文，用 C 表示 。加密算法用 E 表示，解密算法用 D 表示 。密鑰用 K 表示 。加密過程可表示為 C=Ek (P)，解密過程可表示為 P=Dk (C)，并且 Dk (Ek(P))=P。其基本思想就是在加密密鑰的控制下，按照加密算法對(duì)明文 P 進(jìn)行處理，產(chǎn)生密文 C，然后經(jīng)過網(wǎng)絡(luò)傳輸，解密則是在解密密鑰的作用下，按解密算法對(duì)密文進(jìn)行還原。 (如下圖所示 ) 通常形成一個(gè)穩(wěn)定的加密算法需要數(shù)年時(shí)間，因此它的公開性是不言而喻的。而對(duì)于密鑰我們可以秘密保存并隨時(shí)更換，所以密鑰的長度就決定了算法的安全性。例如在密碼鎖中，二位密鑰只有 100 種可能，三位密鑰則有 1000 種可能，六位密鑰就有 1000， 000 種可能，解密者的工作量隨密鑰長度按指數(shù)遞增。對(duì)于個(gè)人信息， 64 位密鑰足夠了，而對(duì)于國家機(jī)密則需使用 256 位以上的密鑰。 傳統(tǒng)上的加密方式主要有兩種。一種是替代加密，就是用一組字母替換另一組字母。乍一看可能覺得這種方法很 安全。如 26 個(gè)字母的替換共有 26 1(4*1026)種可能性。即醫(yī)門使每微秒測試一種方案仍需 1013 年。但是若以字母、字母組合出現(xiàn)的頻率以及常用詞作為突破口，則常常是“柳暗花明又一村”。傳統(tǒng)加密法中的另一種是換位加密，即打破明文順序進(jìn)行重排，為破譯密文解密者首先需要確定是否用了換位加密法，然后根據(jù)一常用詞或詞組來判斷加密問距，最后確定各列的順序。 現(xiàn)代加密法與傳統(tǒng)加密思想基本相同。但傳統(tǒng)加密主要是使用一個(gè)簡單的算法和一個(gè)非常長的密鑰 。而現(xiàn)代加密剛好相反，一般使用一個(gè)極其復(fù)雜的算法，這樣即使解密者得到 大量密文也無計(jì)可施。目前加密算法很多，根據(jù)密鑰性質(zhì)，可分為私有密鑰加密和公有密鑰加密。 二、 私有密鑰加密技術(shù) 私有密鑰加密的安全性土要依賴以下幾點(diǎn) : 首先，加密算法必須非常強(qiáng)大，僅知道密文是無法解密的 :另外，必須保證密鑰的安全，即使知道加、解密算法和密文仍然無法破譯。這樣我們無需保密加密算法，僅 僅 保證密鑰安全即可。 對(duì)于私有密鑰加密，比較常用的是分組加密法，即固定長度的輸入產(chǎn)生同樣長度的輸出，其中最著名的是 DES (Data Encryption Standard). 對(duì)于 任何分組加密，都可采用差異分析法 (the Differential Cryptanalysis)進(jìn)行破譯。即使用一對(duì)明文塊，其中僅有幾個(gè)位不同，并觀察 每 一步加密后的結(jié)果，這樣將會(huì)導(dǎo)致一個(gè)可能的攻擊。 在 DES 之后比較重要的算法要屬 IDE(Internationa Data Encryption Algorithm). 它是由瑞士的兩個(gè)研究人員設(shè)計(jì)的，這種算法的基本結(jié)構(gòu)與 DES 類似，現(xiàn)已分第 14 頁 共 32 頁 別實(shí)現(xiàn)了 IDEA 的硬件和軟件方案。 三、公開密鑰密碼體制 歷史上，密鑰分配問題一直是加密系統(tǒng)的薄弱環(huán)節(jié) 。一日 .密鑰失竊，攻擊將易如反掌。 1 9 7 6 年， Diffie 和 Hellman 提出了一種新的加密方法，使用不同的加密密鑰和解密密鑰，無法由加密密鑰推導(dǎo)出解密密鑰。 公開密鑰算法要求每個(gè)用戶持有 2 個(gè)密鑰 :一個(gè)用于其他用戶加密信息并發(fā)給此用戶，稱謂公鑰 :令一個(gè)用于解密此密文，稱謂私鑰 .其基本步驟如下 : 網(wǎng)絡(luò)中的每個(gè)終端系統(tǒng)生成一個(gè)密鑰對(duì)，用于加密和解密 每個(gè)系統(tǒng)都將公鑰公開，而將私鑰秘密保存 如果 A 想和 B 通信，他使用 B 的公鑰加密信息 當(dāng) B 收到信息后，他 使用私鑰進(jìn)行解密，其他用戶無法知道 B 的私鑰，因而也無法解密。 公共密鑰算法和典型的代表是 RSA算法，這是發(fā)明者的名字命名的 (Rivest， Shamir， Adleman)。 RSA 算法是基于數(shù)論中大素?cái)?shù)分解的難度問題。還有一些公共密鑰的算法基于計(jì)算獨(dú)立對(duì)數(shù)的難度 (Computing Discrete Logarithms)。 加密的位 抵抗網(wǎng)絡(luò)攻擊最常用、最有效的方法就是加密，使用加密方法時(shí)，我們需要決定在什么位置，對(duì)什么內(nèi)容進(jìn)行加密。有兩個(gè)基本的選擇 :線路加密或者端到端加密。 對(duì)于易受攻擊的 線路，可采用線路加密，即在線路兩端各配備一個(gè)加密設(shè)各。因此，所有線路上的通信都是安全的，當(dāng)然在一個(gè)大的網(wǎng)絡(luò)上需要很多的加密設(shè)備。這種方法的價(jià)值是很明了的。然而，這種方法的一個(gè)缺點(diǎn)是信息每次進(jìn)入包交換設(shè)備必須進(jìn)行解密。因?yàn)?，?jié)點(diǎn)必須讀取信息頭中的地址以進(jìn)行轉(zhuǎn)發(fā) .這樣在每個(gè)節(jié)點(diǎn)信息較易受到攻擊 .對(duì)于公共網(wǎng)絡(luò)，用戶對(duì)節(jié)點(diǎn)無任何控制權(quán)時(shí)情況尤為嚴(yán)重。 對(duì)于端至端加密，加密過程在兩個(gè)終端系統(tǒng)進(jìn)行，源主機(jī)對(duì)信息進(jìn)行加密然后傳輸，到達(dá)目的主機(jī)后，使用同一密鑰解密數(shù)據(jù)，這種方法看起來很安全，但仍存在弱點(diǎn)。 綜合使用兩種方法，主機(jī)對(duì)用戶數(shù)據(jù)進(jìn)行端到端加密而整個(gè)數(shù)據(jù)包則使用線路加密。當(dāng)數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)時(shí)，每個(gè)節(jié)點(diǎn)對(duì)數(shù)據(jù)包使用線路加密密鑰進(jìn)行解密，以讀取頭部信息。然后再對(duì)整個(gè)數(shù)據(jù)包進(jìn)行線路加密以便轉(zhuǎn)發(fā)。這樣，整個(gè)數(shù)據(jù)包都是安全的，除了在節(jié)點(diǎn)內(nèi)存中這時(shí)數(shù)據(jù)包頭是公開的。 四、認(rèn)證協(xié)議 認(rèn)證也稱鑒別或確認(rèn)，證實(shí)被認(rèn)證對(duì)象的真實(shí)性和有效性，防止入侵者的主動(dòng)攻擊。認(rèn)證是許多應(yīng)用系統(tǒng)安全保障的第一道防線。認(rèn)證和授權(quán)是兩個(gè)不同的概念。認(rèn)證主要是處理通信雙方的身份，而授權(quán)則是是否允許你執(zhí)行某些操作。下面讓我們來看一下消息認(rèn) 證的各種方法 : 基于共享密鑰的認(rèn)證 此方法假設(shè)收發(fā)雙方己經(jīng)共同擁有一個(gè)秘密密鑰 KAB，其原理如圖一所示 :設(shè) A 為發(fā)方， B 為收方。 RI 表示 I 發(fā)出的請(qǐng)求。 KI 表示 I 的密鑰。 KS 表示會(huì)話密鑰 (Session Key)。 第 15 頁 共 32 頁 首先， A 向 B 發(fā)出他的身份 A， B 一石落確定 A 的來源，所以選擇一個(gè)非常大的隨機(jī)數(shù) RB 并發(fā)給 A， A 收到后，以共享密鑰進(jìn)行加密 KAB(RB)，并將密文返回給 B， B 收到后即可確認(rèn) A 的身份，之后 A 也取一個(gè)隨機(jī)數(shù) RA，以明文形式發(fā)給 B B 返回 KAB(RA)，這樣 A 也可確定 B 的身份。 A, B 互相認(rèn)證后即可挑選一個(gè) KS 進(jìn)行通信。 基于 密鑰分配中心的認(rèn)證 (Key Distribution Center)與每個(gè)用戶都建立一個(gè)共享密鑰是可以實(shí)現(xiàn)的，但這顯然非常麻煩，保密 N 個(gè)密鑰不是一件簡單的事。因此，可以引進(jìn)一個(gè)可信的 KDC 作為第三方參加通信。其主要負(fù)責(zé)認(rèn)證和密鑰管理。 基于 Kerberoa 的認(rèn)證 Kerberos 是許多實(shí)際系統(tǒng)中使用的認(rèn)證協(xié)議。此系統(tǒng)包含三個(gè)服務(wù)器 :認(rèn)證服務(wù)器 ( Authentication Server)用于認(rèn)證登錄用戶 :票據(jù)服務(wù) (TicketGrantingServer )用于發(fā)放作為證明的“票據(jù)” 。其它應(yīng)用服務(wù)器。 基于公共密鑰的認(rèn)證 通信雙方 A. B 可以使用公共密鑰技術(shù)相互認(rèn)證，結(jié)束后使用秘密密鑰技術(shù)講行折 4E 選俐既 ， 伴保征安產(chǎn)傳輸 ， 全性 。 五、鏈路加密 鏈路加密為經(jīng)過兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的專用鏈路傳輸?shù)臄?shù)據(jù)提供安全保密。采用鏈路加密 (也叫做線內(nèi)式加密 )，所有的信息都是在加密之后才傳輸。在每個(gè)節(jié)點(diǎn)內(nèi)，輸入信息被解密，然后用預(yù)定轉(zhuǎn)發(fā)信息的下一條鏈路的密鑰重新加密。信息可經(jīng)多條通信鏈路傳送到最終目的地。 由于發(fā)送的信息在其通過的每個(gè)節(jié)點(diǎn)上都進(jìn)行解密和重 新加密，所以凡在鏈路上流動(dòng)的數(shù)據(jù)都加密，包括路由信息。因此，鏈路加密掩蔽發(fā)送信息的源 — 目的地模式。因?yàn)槭褂锰畛浼霸跊]有傳輸數(shù)據(jù)加密時(shí)連續(xù)填充字符，所以不僅可以隱蔽消息頻次和長度特征，而且可以防止業(yè)務(wù)量分析攻擊。 雖然鏈路加密是計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中最常見的加密形式，但它并非就不存在問題。鏈路加密通常用在點(diǎn)到點(diǎn)同步或異步線路上 它要求鏈路端的加密設(shè)備同步，接著才采用鏈接模式加密它們之間傳送的所有數(shù)據(jù)。這點(diǎn)可能會(huì)給網(wǎng)絡(luò)性能和可管理性帶來不利影響。在可能出現(xiàn)間發(fā)線路 /信號(hào)損失的海外連接或衛(wèi)星網(wǎng)絡(luò)內(nèi)，鏈路加密機(jī)經(jīng)營需要 重新同步，其結(jié)果是數(shù)據(jù)丟失或重新傳輸。此外，所有的發(fā)送數(shù)據(jù)都必須加密，哪怕只是其中的少量數(shù)據(jù)要求這樣的安全保密。 鏈路加密只是在通信鏈路上提供安全保密。在網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)部，消息以明文形式駐留。所以，必須保證所有節(jié)點(diǎn)的物理安全，因?yàn)槿魏尉W(wǎng)絡(luò)節(jié)點(diǎn)損害勢必暴露大量的信息。但是，維護(hù)每個(gè)節(jié)點(diǎn)安全的費(fèi)用卻很高，其支出包括雇員保護(hù)節(jié)點(diǎn)物理安全、頻繁審計(jì)以保證安全策略和方法正確貫徹實(shí)施等日益增長的花費(fèi)，以及為防備損失性安全破壞而支付的保險(xiǎn)費(fèi)。 按常規(guī)加密算法，解密消息所用密鑰和加密消息所用密鑰相同，這種密鑰必須嚴(yán)格保守秘密和 定期更換。鏈路加密系統(tǒng)的密鑰分發(fā)是個(gè)很重要的問題。因?yàn)槊總€(gè)節(jié)點(diǎn)都必須存儲(chǔ)與之相連的每條鏈路的加密密鑰，所以要么采用物理方法傳送密鑰，要么建立專用網(wǎng)絡(luò)設(shè)施。網(wǎng)絡(luò)節(jié)點(diǎn)的地理分布疏散使過程復(fù)雜，使連續(xù)密鑰分發(fā)費(fèi)用增加。 六、節(jié)點(diǎn)加密 第 16 頁 共 32 頁 雖然節(jié)點(diǎn)加密能為網(wǎng)絡(luò)數(shù)據(jù)提供較高的安全保密度，但節(jié)點(diǎn)加密的操作方式卻與鏈路加密差不多。節(jié)點(diǎn)加密和鏈路加密三者皆為經(jīng)過通信鏈路發(fā)送的消息提供安全保密，而且二者也都需要在每個(gè)中間節(jié)點(diǎn)先解密然后再重新加密發(fā)送的消息，再加上所有的傳輸數(shù)據(jù)都必須加密，所以加密操作對(duì)用戶保持透明。 然而，節(jié)點(diǎn)加密又頗有些不同于鏈路加密，它不允許消息以明文形式駐留在網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)部，而代之以在節(jié)點(diǎn)的保密模塊內(nèi)先解密，然后再用不同的密鑰重新加密。 節(jié)點(diǎn)加密要求以明文形式傳輸消息和路由信息。這樣，中間節(jié)點(diǎn)才能讀出處理消息所要求的細(xì)節(jié)。因此，這種加密方法很容易遭到業(yè)務(wù)分析攻擊。 七、端 一端加密 端一端加密允許數(shù)據(jù)以保密方式從源傳輸?shù)侥康牡?。采用端一端加?(也叫做分組加密或線外式加密 )方式，消息在發(fā)送時(shí)加密，一直到抵達(dá)最終目的地時(shí)才解密。由于消息在整個(gè)傳輸過程中受到保護(hù)，所以即使某個(gè)節(jié)點(diǎn)遭到破壞。也不會(huì)泄漏消息。 端一端加密系統(tǒng)少花錢、較可靠，構(gòu)想、實(shí)現(xiàn)和維修都要比鏈路加密系統(tǒng)或節(jié)點(diǎn)加密系統(tǒng)簡單得多。而且，端一端加密系統(tǒng)避免了其它加密系統(tǒng)所固有