加密密钥公开.pptVIP

* 目的: 避免回放攻击 失败, 缺点? Figure 7.11 goes here 杜撰字(nonce): number (R) 的结果只用一次 ap4.0: 为证明 Alice是否处于“激活”状态, Bob 给 Alice发送 nonce, R. Alice 必须回送 R, 同时使用共享密钥对R进行加密 ap4.0 要求共享对称密钥 问题: Bob, Alice 如何才能在共享秘钥上达成一致 我们能否使用公开密钥机进行身份验证? ap5.0: 使用 nonce, 公开密钥加密技术 * Figure 7.12 goes here 中间人攻击: Trudy 对 Alice假扮 Bob而对 Bob假扮 Alice * Figure 7.14 goes here 结论：需要 “资质认证的” 公钥 模拟手签的加密技术. 发送方(Bob) 对文件进行数字签名, 确定他是文件的拥有者和创建者. 可供鉴定, 不可否认证据:接受方 (Alice) 可以确认这是 Bob发送的文件. 对报文进行简单的数字签名 : Bob 使用其私钥dB 对 m 加密, 创建了签过名的报文, dB(m). Bob 将原始报文m 和数字签名 dB(m) 发给 Alice. * 假设 Alice收到了原始报文m, 和数字签名 dB(m) Alice核对m报文的签名过程是使用 Bob的公钥 eB 对数字签名档 dB(m) 进行解密，然后确认是否eB(dB(m) ) = m. 如果 eB(dB(m) ) = m, 那么无论是谁签署了原始报文m ，必定使用了 Bob的私钥。 Alice 即可确认: Bob 签署了原始报文m. 不会是他人签署的 m. Bob签署的就是m 而不是 m’. 不可否认: Alice 可以将原始报文 m, 和数字签名dB(m) 提交法庭作为Bob签署了报文m的证据. * 对长报文进行公钥加密计算成本非常昂贵 目的: 固定长度, 产生容易计算的数字签名, “指纹” 应用散列函数 H() 可以对报文m进行处理, 得到固定长度的报文摘要, H(m). 理想散列函数的特点: 多对一(Many-to-1) 产生固定长度的报文摘要 (指纹) 假设有一个报文摘要x, 但是如果想通过计算得到报文 m 的摘要并使 x = H(m)是不可能的 使用计算方法想找出两个报文m 和 m’ 并使得 H(m) = H(m’)也是不可能的 * Bob 发数字签名报文: Alice 对所收报文的签名和报文完整性进行核对 * 因特网校验和可以看成性能很差的报文摘要. 要找到两个相同的校验和十分容易. MD5散列函数得到了广泛的使用. 通过4个步骤计算 128位报文摘要. 任意的128位串 x, 如果要构造一个报文m使得其MD5 散列结果等于x至少是十分困难的. SHA-1 也有应用. US 标准 160-bit 报文摘要 * 问题: 如何解决两个实体通过网络实现对称密钥的共享? 解决办法: 具有公信力的密钥分发中心（key distribution center (KDC) ）来作为诸多实体间的中介 问题: 当Alice获取Bob的公钥时 (可以从网站、 e-mail, 甚至软盘), 如何能够使她相信这就是 Bob的公钥, 而不是 Trudy的? 解决办法: 具有公信力的认证机构（certification authority (CA)） * Alice,Bob 需要共享对称密钥. KDC: 为每个注册的用户提供不同的密钥服务. Alice, Bob 在KDC注册后，获取了自己的对称密钥, KA-KDC KB-KDC . * Alice 与 KDC联系, 取得了会话密钥 R1, and KB-KDC(A,R1) Alice 给Bob发送 KB-KDC(A,R1), Bob 取出 R1 Alice, Bob 现在共享 R1. 认证机构(CA)为特定的实体管理公开密钥. 实体(个人, 路由器, etc.) 可以在CA注册公开密钥. 实体提供 “身份证明” 给 CA. CA 创建信任状将实体与公开密钥进行绑定. 由CA对信任状进行数字签名. 当 Alice需要Bob的公开密钥时: 获取Bob信任状 (从Bob 或其他什么地方). 把 CA提供的公开密钥对Bob的信任状进行认证和解码,从而得到 Bob的公钥 * * 产生一个随机的对称密钥, KS. 使用 KS 对报文进行加密 同时使用 Bob的公钥对KS 进行加密. 同时将 KS(m) 和eB(KS) 两项内容发给 Bob. Alice 要发送保密邮件报文, m, 给 Bob. * 如果Alice需要提供发送方身份认证和报文完整性. Alice