【正文】 而且數(shù)字簽名己經(jīng)成功的運(yùn)用于電子資金轉(zhuǎn)賬(EFT)等。另外，利用數(shù)字簽名技術(shù)的郵件標(biāo)準(zhǔn)還有 PEM,PGP 等。這樣接收者就可以給用戶發(fā)送加密郵件了，這是因?yàn)榧用茑]件使用的是郵件接收方的公鑰即數(shù)字證書。根證書安裝方法同 SSL 根證書的安裝，通常 SSL 和 S/MIME 根證書會是同一個，因?yàn)?CA 一般是不分用途的，它只有一個用途就是簽發(fā)證書。電子郵件軟件使用用戶的私鑰加密郵件，并在郵件中添加簽名 PKCS7Signature，這個簽名包括了用戶的證書，它就會對郵件的簽名進(jìn)行驗(yàn)證。AIMC 支持常用的 PKCS12 導(dǎo)入文件格式。該密鑰對存儲于用戶本地 PC中。若要經(jīng)常使用，則要申請一個長期有效的證書，此時用戶通常需要提交足夠的身份證明和交納一定的費(fèi)用。使用安全電子郵件之前要先申請二個安全證書，用戶可以在證書頒發(fā)機(jī)構(gòu)(CA)處申請證書，也可以到其他使用標(biāo)準(zhǔn)證書格式的頒發(fā)機(jī)構(gòu)處申請。它在原有的 MIME 郵件規(guī)范的基礎(chǔ)上，新增了許多強(qiáng)有力的安全功能。 電子郵件和數(shù)據(jù)交換S/MIME 是安全電子郵件的一種規(guī)范。在能夠使用普遍和可靠的 PKI 之前，還有許多挑戰(zhàn)有特克服，然而在PKI 信任模型的標(biāo)準(zhǔn)化和可互操作方面取得的改進(jìn)，正帶領(lǐng)著我們趁著正確的方向前進(jìn)。FBCA 設(shè)計用來在屬于政府機(jī)構(gòu)的 CA 上進(jìn)行交叉認(rèn)證。橋 CA 并不是根 CA，終端實(shí)體不應(yīng)該把橋 CA 當(dāng)作可信根 CA。分層 PKI 的根 CA 或網(wǎng)格中的任何 CA 將使用橋 CA 進(jìn)行交叉認(rèn)證。 圖 45 網(wǎng)狀 PKI 模型橋式(bridge)CA 是擔(dān)當(dāng)交叉認(rèn)證中樞的 CA。然后，網(wǎng)格 PKI 可能會變得無法管理。所以，網(wǎng)格 PKI 可以比交叉認(rèn)證 PKI 的常規(guī)情形更加安全。這時，第一個 CA的最終用戶將信任由第 3 個 CA 發(fā)行的證書，第一個 CA 可能從來就沒有打算讓這種情況發(fā)生，要解決這個問題，第一個 CA 可認(rèn)證第二個 CA，但其前提條件是第二個 CA 不會再認(rèn)證其他 CA，或者，必須在第一個 CA 同意的規(guī)則下進(jìn)行，這是不切實(shí)際的。每次一個 CA 認(rèn)證另外一個CA 時，實(shí)際上就是要求它自己的終端實(shí)體去信任的另一個 CA 的誰足夠安全。交叉證書可以在各個級別上鏈接PKI，從根到根的交叉認(rèn)證，到根到中間 CA 的交叉認(rèn)證，繼而到中間 CA 到中間 CA 的交叉認(rèn)證。為了在各個獨(dú)立的 PKI 之間擴(kuò)展信任模型，各獨(dú)立 PIK 中的 CA 應(yīng)該彼此發(fā)行證書。他可以獲得 Fran 的根 CA 自簽名書的副本，把它放在可信根 CA 的數(shù)據(jù)庫中。圖 43 中顯示了一個層次PKI 模型。最后，這些 CA 將負(fù)責(zé)把證書發(fā)給本系的全體教員和學(xué)生。整個大學(xué)中的根 CA 把證書發(fā)給組成該大學(xué)的各個學(xué)院的中間 CA。從終端實(shí)體證書到根的路徑中，每一個CA 都有更大的權(quán)限。根 CA 將控制自己所有從屬 CA 的策略，包括可以有多少級中間 CA 以及每個葉級 CA 應(yīng)該把證書發(fā)行給用戶群體的那個子組。中間 CA 可以把證書發(fā)行給其他中間 CA或底層 CA，也就是葉級 CA。只有一個 CA 的證書是自簽的。 層次模型通常情況下，為大規(guī)模的群體實(shí)施 PKI 的最好方法就是按分層機(jī)構(gòu)來組織 PKI。因此需要建立一種認(rèn)證模型來組織 PKI。更大的用戶群體很難通過一個 CA 來管理。認(rèn)證信任模型的特色就是認(rèn)證路徑中 CA 之間的關(guān)系。這里的驗(yàn)證鏈只有兩個證書的長度。認(rèn)證鏈的長度和鏈上的實(shí)體是相關(guān)的，它們影響了證書的使用者必須實(shí)施的鏈驗(yàn)證過程的復(fù)雜程度。證書的持有者和使用者都必須信任發(fā)行這些證書的 CA?？蛇x的 CRL 分發(fā)點(diǎn)可以包含在證書的擴(kuò)展域中，以20指出用戶該在什么位置獲得發(fā)行 CA 的 CRL。所以，Ezra 通過依賴于驗(yàn)證 CA 自我簽署證書的相同信任基礎(chǔ)設(shè)施，就可以驗(yàn)證 CRL 上的 CA 簽名。CRL 中包含了一個時間戳，指出 CA 何時發(fā)行了它。如果 CA 要撤銷 Fran 的證書，那么它必須有一種通知 Ezra 的方式，以告訴 Ezra 該證書已經(jīng)不再生效了。撤銷證書最常見的原因就是 CA 認(rèn)證過的身份已經(jīng)發(fā)生了變化。 證書撤銷所有證書都有有效期，并且所有證書最終都會過期。這就可以起到身份認(rèn)證的作用。當(dāng) CA 從 Fran 處收到認(rèn)證請求時，必須驗(yàn)證她的身份。當(dāng) CA 同意了她的延期請求時，會給她發(fā)行一個新的證書，并根據(jù)選擇把新的證書發(fā)布到自己的證書庫中。她的當(dāng)前證書可能要過期了；她可能需要包含不同信息的證書。有了證書后，F(xiàn)ran 對她自己簽署過的文件必須負(fù)責(zé)，而且無法抵賴。一些 CA 會自動創(chuàng)建由硬件設(shè)備使用的證書，比如使用該技術(shù)的調(diào)制解調(diào)器。在退化情況下，她沒有進(jìn)行任何請求；CA 為她創(chuàng)建了一個證書。當(dāng)證書過期或明確撤銷時，就到了證書的終結(jié)點(diǎn)。盡管 CA 可以在沒有請求的情況下分發(fā)證書，但通常情況下，為了響應(yīng)認(rèn)證請求才會發(fā)行證書。由于證書的有效性狀態(tài)發(fā)生了變化，所以管理證書對于 PKI 而言是必要的。證書中公鑰的安全性可能會受到許多事情的破壞，如私鑰的意外暴露或者攻擊者成功破解了密鑰。19 證書管理發(fā)行的證書只具備有限的有效期。用戶可以向 LDAP 服務(wù)器發(fā)送 LDAP 查詢，以獲取某個證書或 CRL。訪問存儲在 目錄中的證書或 CRL 的方法是 LDAP(輕量型目錄訪問協(xié)議)。證書庫可以使用不同的數(shù)據(jù)庫技術(shù)來實(shí)施，但 目錄正贏得人們的普遍認(rèn)同。證書庫能夠被 PKI 的所有用戶作為證書的中心源泉，因此也可以作為公鑰源。 證書庫證書庫是了 CA 發(fā)行證書的數(shù)據(jù)庫。CA 可能仍然會負(fù)責(zé)與證書庫進(jìn)行交互，并仍然應(yīng)該簽署 CRL 及證書。在證書上生成數(shù)字簽名是計算密集型活動。RA 擔(dān)當(dāng)了 CA 的前端處理器的角色，執(zhí)行 CA 的策略。可將 RA 配置為代表 CA 處理認(rèn)證請求或撤銷請求，或者這兩種服務(wù)。RA 的基本職責(zé)有認(rèn)證服務(wù)和驗(yàn)證服務(wù)。 注冊權(quán)威機(jī)構(gòu)RA 是可選的實(shí)體，用于分配 CA 的工作量。通常情況下，CA 將通知 Fran 她的證書已被撤銷。CA 負(fù)責(zé)認(rèn)證該撤銷請求，從而確保冒名頂替無法撤銷該用戶的證書。當(dāng)必須撤銷某證書時，CA 將為該證書的創(chuàng)建撤銷信息，并管理該信息。CA 還會把這個新證書分發(fā)給 Fran。如果對 CA 進(jìn)行配置，讓其使用一個證書庫。它對 Fran 的身份進(jìn)行認(rèn)證，并驗(yàn)證Fran 請求中的內(nèi)容。CA 的責(zé)任是發(fā)行、管理和證書。這些消息包含了證書發(fā)行和撤銷的請示，以及作為響應(yīng)而創(chuàng)建的證書和證書撤銷清單。圖 42 顯示了 PKI 的基本組件。由于使用 Fran 證書的人可以獲得它的公鑰，所以 Ezra 被認(rèn)為是證書用戶或依賴方。 PKI 組件前面已經(jīng)討論了 PKI 中包含的一些實(shí)體，由于證書中的主體 Fran 被認(rèn)為認(rèn)證過的終端實(shí)體。擴(kuò)展域可以包含大量不同的信息。此域用在當(dāng)同一個 名字用于多個證書持有者時，用 1 比特字符串來惟一標(biāo)識證書持有者的 名字?？蛇x。(8)發(fā)行者惟一標(biāo)識符：發(fā)行者惟一標(biāo)識符在第 2 版加入證書定義中。(7)公鑰：證書持有者公開密鑰信息域包含兩個重要信息：證書持有者的公開密鑰的值；公開密鑰使用的算法標(biāo)識符。17(6)主體名稱：指定證書持有者的 惟一名字。包括國家、組織機(jī)構(gòu)單位部門和通用名。(3)簽名算法：簽名算法標(biāo)識符用來指定 CA 簽發(fā)證書時所使用的公開密鑰算法和 hash 算法。(1)版本號：指明證書的格式版本，現(xiàn)在的值可以為 3，也為將來的版本進(jìn)行了預(yù)定義。圖 41 列出了 的最終版本 V3 的證書格式。為了適應(yīng)新的需求 ISO/IEC 和 ANSI X9 發(fā)展了 V3 版本證書格式，該版本證書通過增加標(biāo)準(zhǔn)擴(kuò)展項對 V1 和 V2 證書進(jìn)行了擴(kuò)展。 由 ITUT (前身為 CCITT )或 ISO/IEC 95948 定義，最早以 目錄建議的一部分發(fā)表于 1988 年，并作為 V1 版本的證書格式。但 本身不是 Inter 標(biāo)準(zhǔn)，而是國際電聯(lián)ITU 標(biāo)準(zhǔn)，它定義了一個開放的框架，并在一定的范圍內(nèi)可以進(jìn)行擴(kuò)展。在 Inter 網(wǎng)絡(luò)中，應(yīng)用程序使用的證書都來自不同的廠商或組織，為了實(shí)現(xiàn)可交互性，要求證書能夠被不同的系統(tǒng)識別，符合一定的格式，并實(shí)現(xiàn)標(biāo)準(zhǔn)化。CA 的簽名可以保證證書內(nèi)容的完整性和真實(shí)性。信任是公鑰基礎(chǔ)設(shè)施所依賴的基本規(guī)則。這就是一種信任關(guān)系。但這個關(guān)系不必是非對稱密鑰用戶之間的。公鑰加密的最大優(yōu)點(diǎn)是無需預(yù)先建立通信者之間的關(guān)系，而這正是對稱加密遇到的問題。公鑰所有者身份的保證叫做公鑰認(rèn)證(Certification)。如果 Ezra 確定自己所有的公鑰屬于 Fran，她就可以非常有信心地使用這個密鑰。這要?dú)w功于破解非對稱密鑰相當(dāng)困難，而且攻擊者也難于在使用相同密鑰進(jìn)行多次對稱加密的過程中通過相似性而獲得好處。公鑰并不需要像對稱密鑰那樣經(jīng)常改變。在講解 PKI 的各個組成部分之前，我們有必要先認(rèn)識一下認(rèn)證和數(shù)字證書，之后還將介紹幾種常用的認(rèn)證模型。15第四章 公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure)簡稱 PKI，PKI 的基本定義十分簡單。此后，有人在橢圓曲線密碼算法實(shí)現(xiàn)了類似 ELGamal 的加密算法，以及可以恢復(fù)明文的數(shù)字簽名方案。橢圓曲線密碼其根據(jù)是有限域上的橢圓曲線上的點(diǎn)群中的指數(shù)級的難度。橢圓曲線數(shù)字簽名算法(ECDSA)和 RSA與 DSA 的功能相同，并且數(shù)字簽名的產(chǎn)生與認(rèn)證速度要比 RSA 與 DSA 快。橢圓曲線數(shù)字簽名算法(ECDSA)設(shè)計的數(shù)學(xué)原理是基于橢圓曲線離散對數(shù)問題的難解性。另外，對于 DSA，它是另一種公開密鑰算法，但它不能用作加密，只能用作數(shù)字簽名。DSA 算法的安全性也依賴于整數(shù)有限域上的離散對數(shù)問題，安全強(qiáng)度和速度均低于 RSA 算法，其優(yōu)點(diǎn)是不涉及專利問題。當(dāng)然這并不意味著可以高枕無憂了，而是應(yīng)該未雨綢繆,尋找新的雜湊函數(shù)和改進(jìn)措施，提高安全性。所以，只有采取提高摘要的長度，從而提高生日攻擊的難度。一旦發(fā)現(xiàn)產(chǎn)生相同散列輸出的任意的兩個輸入，就認(rèn)為該散列的生日攻擊是成功的。而 DSS 簽名體制中，其對應(yīng)的散列算法有 SHASHA25SHA38SHA512，這些算法分別產(chǎn)生 160、2538512 比特的散列值。如果 X 為無窮遠(yuǎn)點(diǎn)，則拒絕簽名，否則計算：v＝x l mod n；如果 v＝r，則接受簽名，否則拒絕簽名。如果 r或 s 為零，則重新計算，否則生成的簽名信息為(r，s)。ECDSA 算法密鑰對的生成過程為：在區(qū)間[1，n1]上選擇一個隨機(jī)數(shù) d，計算Q＝dP，則 Q 為公鑰，d 為私鑰。今定義橢圓曲線方程為：y2+xy＝x 3+ax2+b a,b∈GF(2m)則橢圓曲線的域參數(shù)為 D(m,f(x),a,b,P,n)其中,f(x)為 GF(2m)的多項式基表示的不可約多項式。ECDSA 的設(shè)計正是基于這一問題的難解性。由有限域橢圓曲線上的所有點(diǎn)外加無窮遠(yuǎn)點(diǎn)組成的集合，連同按照“弦切法”所定義的加法運(yùn)算構(gòu)成一個有限 Abel 群。F 可為有理解域、實(shí)數(shù)域、復(fù)數(shù)域，也可為有限域 GF(q)。橢圓曲線是指由韋爾斯特拉斯(Weierstrass)方程：y2+a1xy+a3y=x3+a2x2+a4x+a6所確定的平面曲線。 ECDSA 簽名算法橢圓曲線數(shù)字簽名算法(ECDSA)設(shè)計的數(shù)學(xué)原理是基于橢圓曲線離散對數(shù)問題的難解性。主循環(huán)有四輪(MD4 只有三輪)，每輪很相似。這兩步的作用是使消息長度恰好是 512 位的整數(shù)倍(算法的其余部分要求如此)，同時確保不同的消息在填充后不相同。首先填充消息使其長度恰好為一個比 512 位的倍數(shù)僅小 64 位的數(shù)。(4)驗(yàn)證：如果 v=r，則簽名被驗(yàn)證。(2)私人密鑰：x 小于 q。②q ：160 位長，并與 p1 互素的因子。(3)接受者通過計算來驗(yàn)證簽名：如果 v=r，則簽名有效。對消息 m 簽名時：(1)發(fā)送者產(chǎn)生一個小于 q 的隨機(jī)數(shù) k。三個參數(shù) p，q 和 h 是公開的，且可以被網(wǎng)絡(luò)中所有的用戶公有。另外，算法使用一個單向散列函數(shù) H (m)。其中是小于 p1 并且滿足大于 1 的任意數(shù)。DSA 簽名算法中用到了以下參數(shù)：p 是 L 位長的素數(shù)，其中 L 從 512 到 1024 且是 64 的倍數(shù)。它也可用于由第三方去確定簽名和所簽數(shù)據(jù)的真實(shí)性。DSA（Digital Signature Algorithm，數(shù)字簽名算法，用作數(shù)字簽名標(biāo)準(zhǔn)的一部分） ，它是另一種公開密鑰算法，它不能用作加密，只用作數(shù)字簽名。對于短期安全性，n 的長12度至少應(yīng)該為 1024 比特，而長期安全性則要求 n 至少為 2048 比特?，F(xiàn)在，人們已能分解多個十進(jìn)制位的大素數(shù)。目前，RSA 的一些變種算法已被證明等價于大數(shù)分解。(2)RSA 的安全性RSA 的安全性依賴于大數(shù)分解，但是否等同于大數(shù)分解一直未能得到理論上的證明，因?yàn)闆]有證明破解 RSA 就一定需要作大數(shù)分解。注意:如果密文 C 在傳輸過程中被竊聽了，別人想從它推斷出 M，使用 M=Cd mod n，其中只有 d 為未知數(shù)，想推出 d，d=e1mod[(p1)*(q1)]。第五步 Carol 使用 C=Me mod n 把 M 加密成 C，并把 C 發(fā)送給 Bob。第三步 Bob 計算私有指數(shù) d=e 1 mod [(pl)*(q1)]。第一步 Bob 選擇大的質(zhì)數(shù) p 和 q，并使它們相乘，從而得到 n。然后，如果 Carol 的明文是 M，那么她就能夠通過計算 C=Me mod n，把它加密成密文 C。所選擇的指數(shù) e 必須與(p1)*(