加密演算法更換協定.ppt

QA討論時間 本章結束 * * 第十二章 網路安全綜合 解決方案 課前指引 目前最廣為熟知的幾個軟體與協定分別為PGP、SETSSL與防火牆。由於電子郵件在傳送上安全的重要性與日俱增，且內容格式愈趨多樣化，已非單純的文字檔，更加入影音、影像等許多檔案形式增強電子郵件功能，於是製定一套通訊協定標準整合各項通訊格式，並顧及傳輸上的安全性，已成為政府機關、研究組織的研究目標。 章節大綱 備註：可依進度點選小節 12-1 PGP 12-2 SETSSL 12-4 Snort使用 12-5 Nessus 12-3 防火牆 12-6 結語 電子郵件易遭竄改且不會留下痕跡，收件者無法知道此封電子郵件在傳送途中是否經過他人變更。 電子郵件在網路上傳送會經過許多端點(Node)，如同明信片一般任何人均可窺見郵件內容，無法達到機密性。 第三者可以很容易假冒他人寄電子郵件，收件者無法肯定電子郵件所顯示的來源位址是否真的是該寄件者所寄。 PGP(Pretty Good Privacy) 的問世，有效解決電子郵件在傳送上所碰到的種種問題。 12-1 PGP PGP廣受歡迎原因 PGP是免費的軟體 使用的演算法： IDEA(International Data Encryption Algorithm) RSA MD5(Message Digest)單向HASH函數(One-way Hash Function) 確保電子郵件機密性、完整性、身份認證、不可否認性。 12-1 PGP PGP原理 對稱式金鑰密碼系統：使用的是IDEA單金鑰加密方法對文件進行加密，利用的即是「對稱式金鑰密碼系統」加密速度快速的優點。PGP能產生一把128位元的加密金鑰以IDEA技術加密文件。 非對稱式金鑰密碼系統：使用RSA演算法以收件者的公開金鑰將IDEA加密金鑰做加密，將用IDEA加密的密文、加密過的IDEA加密金鑰傳送給收件者。 12-1 PGP PGP加密及簽章流程 12-1 PGP PGP運作流程 加密 數位簽章 壓縮 電子郵件相容性 切割 12-1 PGP PGP運作流程-加密 寄件者將寫好的訊息，利用PGP所產生的128位元的連線會期金鑰(session key)進行加密，此把連線會期金鑰所運用的加密演算法即是IDEA，為對稱式金鑰密碼系統。 利用RSA技術以接收者的公開金鑰將連線會期金鑰加密，並和加密後的訊息一起傳給收件者。 12-1 PGP PGP運作流程-解密 收件者利用和此把公開金鑰相對應的私密金鑰解密，得到連線會期金鑰。 收件者再利用此把連線會期金鑰將密文解密得到原文。 12-1 PGP PGP運作流程-數位簽章 寄件者將寫好的訊息以MD5單向HASH函數做運算，得到一128位元Digest。 寄件者以RSA演算法金鑰對裡的私密金鑰對Digest做加密，然後將加密後的Digest和訊息傳給收件者。 收件者利用寄件者的公開金鑰將私密金鑰加密的Digest解密，得到原Digest。 收件者將訊息以相同的單向HASH演算法做運算，得到Digest。並和解密後的Digest做比對，如果結果相同，則此訊息在傳送的過程中並未遭到竄改；反之，則是遭到竄改。 12-1 PGP PGP運作流程-電子郵件相容性 經由PGP加密處理過的文件，並無法在只能使用ASCII文字的電子郵件系統中正常傳送，必須得將文件再處理過。 Radix-64便是讓加密過的文件符合限制轉換為可列印的ASCII字元，其轉換雖然會讓原訊息長度增為原來的1/3倍，但原訊息已經先經過壓縮處理，所以實際上經過Radix-64轉換後的訊息長度仍會比原訊息長度較短。 12-1 PGP PGP運作流程-切割 電子郵件通常有最大長度的限制，例如有些電子郵件系統限定郵件長度最大不得超過50000位元組，若超過此上限，便會將此郵件切割成許多段，每段長度均要在規定以下，再分別寄出。 12-1 PGP 安全電子交易(Secure Electronic Transaction，簡稱SET)。 制定目的，在於確保網路交易的安全性，讓資訊在傳輸過程中保持其機密性和資訊的完整性，並能夠對商家及消費者做身份認證。 12-2 SETSSL SET交易流程 12-2 SETSSL SET-雙重簽章(Dual Signature) 以HASH演算法對付款資訊及訂單資訊運算，取得兩份Digests：D-PI及D-OI。 將兩Digests合併在一起，再做一次HASH運算取得第三份Digest：D-POI。 將D-POI以消費者的私密金鑰做加密，便是所謂雙重簽章。 12-2 SETSSL SSL 安全傳輸協定(Secure Socket Layer，簡稱SSL)。 介於應用層和TCP/