10现代密码学第十讲：身份鉴别协议.ppt

* 挑战-应答身份鉴别协议 Okamoto身份识别协议 目前还没有发现Schnorr身份识别协议是可证明安全的，1922年的Crypto92会议上，T.Okamoto提出了Schnorr身份识别协议的改进版。具有可证明安全性。 Okamoto身份识别协议，A和B分别是证明者与验证者。 1.参数设置 TA选择两个大素数p和q，满足q|(p-1).Zp中的阶为q的元素。A秘密选择s1,s2∈Zq，并计算出Zq中元素v=g1-s1g2-s2 mod p.(p,q,g1,g2,v)是TA证实的A的公钥。 * 挑战-应答身份鉴别协议 2.协议消息 ①A选择r1,r2∈Zq，计算commit= g1r1g2r2mod p，发送给B ②B选择challenge（1≤challenge≤2t＜q）发送给A ③A置response1=r1+s1*challenge mod q, response2=r2+s2*challenge mod q, 把response1,response2发送给B。 ④B验证commit= g1response1g2response2 vchallenge mod p 是否成 立。 * 挑战-应答身份鉴别协议 可见，Okamoto方案和Schnorr方案的区别在于前者使用了两个生成元g1，g2。由于当p与q较大时，计算离散对数问题logg1g2是困难的，这也正是Okamoto方案具有可证明安全性的原因。但是Okamoto方案比Schnorr方案的计算量大，因而速度与效率较低。 * 身份鉴别与数字签名 身份识别方案可转换为数字签名方案 数字签名： 包含可变的消息摘要 通常提供不可抵赖性，以允许事后法官来解决争端 签署的消息通常是可公开验证的 身份识别： 消息的语义基本固定（在当前时刻及时地声称身份） 声称可以立即确证或拒绝，从而实时保证或解除相关的特权或访问 仅通信双方可以验证对方身份 * 转换为签名方案 利用H(x||m)代替验证者的随机挑战e x：证据 m：要签署的消息 H：hash函数 挑战e的比特大小要足够大，以排除对杂凑函数的离线攻击 * 对身份识别协议的攻击和对策 假冒攻击：一个实体声称是另一个实体 重放攻击(replay attack)： 利用从以前执行的协议中获得的信息进行假冒或其他欺骗。 对策：用挑战-响应技术；用时变值；在响应值中嵌入目标身份 * 对身份识别协议的攻击和对策 反射攻击(reflection attack)： 从正在执行的协议将信息发送回该协议的发送者的交织攻击 对策：在挑战-响应中嵌入目标的标识符；避免消息的对称性；单向密钥的使用 强迫延时(forced delay)： 使协议的过程暂时终止，在延迟一段时间后，再使协议继续进行 对策：随机数与短响应延时结合使用；时戳加上适当的附加技术 * 对身份识别协议的攻击和对策 交织攻击(interleaving attack)： 从一个或多个以前的或同时正在执行的单个协议中获得的信息进行有选择地组合，以实现假冒或欺骗 对策：使用链接的临时值 * 对身份识别协议的攻击和对策 选择文本攻击(chosen-text attack) 是对挑战-响应的攻击，敌手有策略地选择挑战以尝试提取声称者的长期密钥的信息 对策：用零知识技术，在每个挑战-响应中嵌入自选择随机数 截断攻击 攻击者在身份识别之后，切断A和B的通信，以声称者的身份进行下面的访问 对策：认证的同时生成一些其它保护信息，如会话密钥，用于后面的访问；或者周期性地进行重认证 * 对身份识别协议的攻击和对策 与实现相关的攻击： 例如：A→B: Ek(N) B→A: Ek(N-1) 如果采用按位加密算法，且N碰巧是奇数（末位为1），则Ek(N)与Ek(N-1)的差别仅仅是末位相反，因而可以攻击 防止方法：选择合适的密码算法和密码体制 * 本讲主要内容 身份鉴别的定义 口令认证 挑战应答身份鉴别协议 零知识证明与身份鉴别协议 对身份识别协议的攻击和对策 * * THE END！ 身份鉴别的定义 分析和评价身份认证协议应考虑如下几个方面： （1）交互性：是单方还是双方的身份认证； （2）计算的有效性； （3）通信的有效性； （4）是否需要第三方的实时参与； （5）对第三方的可信度的要求； （6）安全保证（可证明安全、零知识证明）； （7）用来存储共享秘密数据的地方和方法。 * * * * * * * * * * * * * * * * * * * * 时变参数 序列号： 对交换的每一条消息加上序列号，序列号正确才被 接收 要求每个用户分别记录与其他每一用户交互的序列号，增加用户负担，因而