应用密码学基础知识培训.pptxVIP

2014应用密码学基础知识目录数字世界的安全威胁1应用密码学基础2正确使用密码学34用户信息大泄露事件2011年12月21日，国内最大的程序员社区CSDN上600万用户密码被盗，黑客公布的文件中包含用户的邮箱账号和密码。CSDN网站随后发表了官方公告称承认数据库被盗一事属实，并向用户致歉。22日，人人、开心、多玩、7k7k、178游戏、嘟嘟牛等网站用户信息被黑客公布，涉及用户资料近5000万份。25日，国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏，据了解此次被泄漏用户数量达到4000万之多。25日，腾讯QQ数据库泄露：QQ泄露4G大小数据库，涉及3亿帐号。26日，泄密事件再升级，新浪微博用户密码泄露……2012年5月9日，AirDemon网站报道全球最大的社交网站之一的Twitter遭到不明身份的黑客攻击，55,000名Twitter用户的登陆账号及密码信息被曝光。用户信息大泄露事件2011年11月26日，京东商城用户资料完全泄露： 京东商城在某些业务上存在用户权限控制不当的漏洞，导致用任意用户登录系统后，都可以正常访问到所有用户的信息，包括：姓名、地址、电话、Email等。京东用户的用户名、密码、余额、积分信息，以及该账户是否手机验证、是否邮箱验证，所有信息一应俱全。用户信息大泄露事件2013年10月5日报道，搜狗浏览器泄露大量用户密码技术漏洞：搜狗首先是上传了用户的帐户密码保存在服务器； 然后又让其他用户下载到了本地，不分区域的。 如果用户选择用QQ登录会自动下载大量未知用户保存的用户名和密码，可以随意查看QQ、邮箱、支付宝、银行等涉及用户财产的账户信息，甚至可以直接进入其他人的支付宝进行转账购物，或直接进行支付交易。用户信息大泄露事件安全威胁：一旦有犯罪分子非法获取，就可以用来办理所有需要个人身份资料的经济活动，包括贷款、担保、购房、消费等一系列活动。还有一些犯罪分子直接用窃取的客户资料，到现实生活中欺骗，而且此类案件屡见不鲜。补救措施：用户修改密码，能够确保安全？技术缺陷：明文储存密码信息，而密码设置的最基本原则，就是不能明文保存棱镜门事件2013年6月，斯诺登揭露的棱镜门事件震惊世界斯洛登爆料：过去6年间，美国国家安全局和联邦调查局通过进入/view/2353.htm微软、/view/1931.htm谷歌、/view/1331.htm苹果、/view/7750.htm雅/view/10872.htm虎等九大网络巨头的服务器，监控全球的秘密资料。监控的主要有10类信息：电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节。监听：就是指在你不知情的时候，把服务器硬盘、个人终端硬盘、以及网络上正在传输的信息导入监听机构的硬件设施中。如何防范棱镜门事件1、要想阻止监听，在PC和手机硬件、服务器硬件、路由器、交换机等等硬件以及相应的OS、编译器、DBMS和应用软件完全自主之前是不现实的，因为这些环节全都是美国的知识产权；2、在现在这种软硬件核心技术完全由美国掌控的情况下，短期策略只能是加密有必要加密的信息，使他们无法破解或者很难破解。信息如何丧失 正常的信息流动:破坏了信息的哪些性质？1）中断：2）截取：可用性保密性3）篡改：4）伪造：完整性鉴别性攻击的分类被动攻击：试图获取和使用系统中的信息，但是不会对系统的资源产生破坏主动攻击：试图改变系统的资源或者伪装成系统中的合法用户进行操作数字世界的信息安全需求信息安全的四大要素 机密性 — 是指信息不能被非授权者、实体或进程利用或泄露的特性。完整性 — 信息没有遭受以未授权方式所作的篡改和或没经授权的使用。 身份鉴别 — 网上交易的双方很可能素昧平生，相隔千里，必须方便而可靠地确认对方身份。不可否认性 — 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。如何保护数据的信息安全？密码学是信息安全的核心技术目录数字世界面临的安全威胁1应用密码学基础2正确使用密码学34密码学的基本假设Kerckhoffs原则 秘密必须全寓于密钥中，即使密码分析员已经掌握了密码算法及其实现的全部详细资料，也无助于用来推导出明文或密钥。随机数 随机数是密码学的根基，相当于一个国家的农业，农业基础打不好，国家的经济肯定不可能持续发展。 随机数在没有一个统一的数学定义，都是从统计学的角度来阐述随机数。学界认为随机数应该是独立的、互不相关的、具有长周期、均匀分布、不可压缩等等性质。 随机数在密码中的用途：对称密钥、SM2私钥、SM9主私钥，还有密码协议的安全性很大程度上依赖于随机数的选取。随机数伪随机数：一般认为确定系统产生的随机数是伪随机数（如，软件产生的随机数）真随机数：只有在真实的物理世界中才存在真随机数；随机性能好坏的评价标准：FIPS140