基于RSA签名的TLS协议的新攻击发现及其改进.docVIP

基于RSA签名的TLS协议的新攻击发现及其改进 　　摘 要：本文首先对TLS协议及RSA签名算法等基础知识进行了介绍，主要针对符号理论分析安全协议所存在的不足，受可证明安全理论中分析安全协议思想的启发，从密码体制角度出发，针对于TLS协议中所使用的RSA签名算法可能受到的已知消息攻击，在两类攻击者模型中分析描述了该协议可能受到攻击者伪造合法参与者签名的攻击情形，并对协议进行了改进，这对于协议在安全性要求较高的应用中是具有实际意义的。 　　关键词：RSA签名；TLS协议；供给；改进 　　中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 14-0000-01 　　一、TLS协议 　　（一）TLS协议概况 　　TLS协议是以会话的加密和认证的Internet协议为基础的，它为客户和服务器间的通信建立了一个安全的通道，TLS提供了服务器认证服务和可选的客户端认证服务，其目的就是要防止监听、篡改及消息伪造等发生在客户-服务器应用中。TLS提供机密性服务的方式是在两个实体之间建立一个共享的秘密。用户采用的应用层协议与TLS协议没有关系，因为TLS协议只是工作在传输层上。这其实也是TLS协议的最大优点。图1显示了TLS在TCP/IP 中的位置。在如何使TLS协议能增加安全性以及交换证书等方案时要由协议应用者来决定。TLS协议包括三个基本阶段： 　　利用相应的函数进行对等协商支援； 　　利用私钥加密交换公钥及PKI证书进行相应的身份确认； 　　利用公钥对数据进行相应加密传输。 　　TLS由两个协议组—TLS记录协议和TLS握手协议构成的复合协议。很多不同格式的信息包含在各个组中。TLS记录协议是一种分层协议，长度、描述和内容等字段构成了每一层中的信息，而TLS握手协议则是由TLS密码规范协议、TLS警告协议、HTTP协议共三个协议构成。该协议允许对等双方在记录层的安全参数上达成一致。体系结构图如图2。 　　（二）安全隐患 　　由于TLS握手协议用来建立连接会话状态的密码参数，当采用TLS协议进行第一次通信的协议双方，首先需要对协议版本以及密码算法进行选择、确定，然后再对对方的身份进行相应的认证，最终生成共享秘密。由于RSA算法既可用于加密又可用于签名，具有安全，易懂的优点，是目前应用最广泛的公开密钥密码算法。TLS协议很多情况下缺省使用该算法作为数字签名的公开密钥密码算法，但该算法同时却会给TLS协议的安全带来隐患。目前有很多文献对TLS协议主要是从符号理论角度进行安全性分析，但由于符号理论的缺陷，以串空间模型为例，在分析协议的正确性时，屏蔽了密码体制，只分析协议中存在的内在的安全缺陷，这种过于理想化的假设，容易导致本来证明是安全的，实际上也许并不安全。 　　作者运用可证明安全理论的思想，着重于从密码体制角度对协议的安全性进行了分析，从而发现了攻击者能够利用RSA签名算法的漏洞，对TLS协议通信方的签名进行伪造的攻击。 　　二、数字签名方案及其攻击者目标 　　我们先来对数字签名方案做一个形式化定义： 　　一个数字签名方案由以下3个算法组成。 　　①密钥生成算法K：输入系统参数，输出一对匹配的公钥和私钥 。 　　②输入消息m和私钥 ，输出签名 　　③验证算法V：输入签名 ，消息m和公钥 ，输出1（表示签名有效）或0（表示签名无效）。 　　对于所有的数字签名方案来说，攻击者A都有如下模型： 　　A具有三级目标：通过将提供签名的人的私钥获取，即完全破译，该目标级别最高；构建假冒的签名程序，即通用伪造， 这种签名算法必须保证成功概率值足够大，通常情况下会在一定的范围内；重新构造一个消息-签名对，即存在性伪造，以此来欺骗合法参与者。 　　A的两类攻击：未知消息攻击和已知消息攻击。其中已知消息攻击还可按攻击强度进行分类，攻击能力最强的要属适应性选择消息攻击类型，这种攻击一旦发生，那么它所截获的任何消息的签名都能得到，主要是采用向真正的签名者询问，最理想的结果是直接获得答案，否则，根据反馈结果，不断调整问题，重新询问，直到得到答案。 　　RSA签名体制及其可能受到的攻击 　　RSA体制的加密算法和解密算法是一对互逆运算，这在数字签名系统中非常有用。设M为明文， 是A的公开密钥， 是A的保密的私钥。则 ，其中 便是A对M的签名。验证签名的过程是：如果 ，则 是M的签名。然而由于RSA 算法的数学特性，导致该签名算法会遭受这样一种攻击：利用已有签名进行攻击。 　　假设攻击者想要伪造A对 的签名，它很容易找到另外两个数据 和 ，使得 　　三、基于RSA签名算法的TLS协议可能受到的攻击 　　其中一种简化版的TLS协议如下： 　　已知g 是生成元，它是公开的， 是S的私钥