网络安全理论与应用第八章.pptVIP

第八章 电子邮件的安全 实例--PGP and S/MIME 引言 E-mail 是Internet上最大的应用,也是唯一的广泛跨平台、跨体系结构的分布式应用。 安全的电子邮件主要是解决身份鉴别和保密性的安全问题。 PGP - Pretty Good Privacy 作者：Phil Zimmermann 提供可用于电子邮件和文件存储应用的保密与鉴别服务。 S/MIME - Secure/Multipurpose Internet Mail Extension) PGP发展特点 选择最可用的加密算法作为系统的构造模块 将这些算法集成到一个通用的应用程序中，该程序独立于操作系统和处理器，并且基于一个使用方便的小命令集。 程序、文档在Internet上公开 一个商业公司提供全兼容、低成本的商业版本。 PGP广泛应用的原因 免费、可用于多平台。 选用算法的生命力和安全性公众认可。 具有广泛的可用性 不由政府或标准化组织控制。 PGP运行描述 数字签名 DSS/SHA或RSA/SHA 消息加密 CAST-128或IDEA或3DES + Diffie-Hellman或RSA 数据压缩 ZIP 邮件兼容 Radix 64 数据分段 身份认证 发送者产生消息M 用SHA-1对M生成一个160位的散列码H H用发送者的私钥加密，并与M连接 接收者用发送者的公钥解密并恢复散列码H 对消息M生成一个新的散列码，与H比较。如果一致，则消息M被认证。 DSS/SHA-1可选替代方案。 签名与消息分离的支持。 加密 发送者生成消息M并为该消息生成一个128位的随机数作为会话密钥。 M被加密，使用会话密钥、CAST-128算法（或 IDEA或3DES） 会话密钥用RSA及接收者的公钥加密并与消息M结合。（也可用Diffie-Hellman算法） 接收者用自己的私钥解密恢复会话密钥 用会话密钥解密恢复消息M。 保密与认证同时运用 两种服务都需要时，发送者先用自己的私钥签名，然后用会话密钥加密，再用接收者的公钥加密会话密钥。 数据压缩 发生在签名后、加密前。 对邮件传输或存储都有节省空间的好处。 E-mail兼容性 加密后是任意的8位字节，需要转换到ASCII格式。 Radix64将3字节输入转换到4个ASCII字符，并带CRC校验。 长度扩大33% 与压缩综合后，长度为： 1.33x0.5xM = 0.665xM 分段与重组 Email常常受限制于最大消息长度（一般限制在最大50000字节） 更长的消息要进行分段，每一段分别邮寄。 PGP自动分段并在接收时自动恢复。 签名只需一次，在第一段中。 加密密钥和钥匙环 PGP使用四种类型的密钥：一次性会话传统密钥，公钥，私钥，基于过度阶段的传统密钥。 需求： 1、需要一种生成不可预知的会话密钥的手段 2、需要某种手段来标识具体的密钥。 一个用户拥有多个公钥/私钥对。（更换，分组） 3、每个PGP实体需要维护一个文件保存其公钥私钥对，和一个文件保存通信对方的公钥。 会话密钥的生成 以CAST-128为例。 128位的随机数是由CAST-128自己生成的。输入包括一个128位的密钥和两个64位的数据块作为加密的输入。使用CFB方式，CAST-128产生两个64位的加密数据块，这两个数据块的结合构成128位的会话密钥。（算法基于ANSI X12.17） 作为明文输入的两个64位数据块，是从一个128位的随机数流中导出的。这些数是基于用户的键盘输入的。键盘输入时间和内容用来产生随机流。因此，如果用户以他通常的步调敲击任意键，将会产生合理的随机性。 密钥标识符 一个用户有多个公钥/私钥对时，接收者如何知道发送者是用了哪个公钥来加密会话密钥？ 将公钥与消息一起传送。 将一个标识符与一个公钥关联。对一个用户来说做到一一对应。 定义KeyID 包括64个有效位：(PKa mod 264) KeyID同样也需要PGP数字签名。 发送消息的格式 一个消息包含三部分成员： 消息（message component） 消息签字（signature (optional)） 会话密钥（session key component (optional)） 钥匙环 我们已经看到KeyID对于PGP是如何关键。 两个keyID包含在任何PGP消息中，提供保密与认证功能。 需要一种系统化的方法存储和组织这些key以保证使用。 PGP在每一个节点上提供一对数据结构： 存储该节点拥有的公钥/私钥对； （私钥环） 存储本节点知道的其他用户的公钥；（公钥环） 私钥环说明 UserID：通常是用户的邮件地址。也可以是一个名字，或重用一个名字多次。 Private Key：使用CAST-128(或ID