弱随机数漏洞及防治方法.docVIP

弱随机数漏洞及防治方法 　　摘要：随着随机数产生算法的优化和安全程度的不断提升，弱随机数漏洞已成为信息安全研究的一个重点。该文阐述了三种随机数生成机制的特点和相应漏洞的成因，利用弱随机数源代码缺陷和具体的漏洞实例进一步说明弱随机数漏洞的危害程度和影响范围、并提出防治方法。 　　关键词：加密；弱随机数；漏洞；缺陷 　　中图法分类号：TP309.7 文献标识码：A文章编号：1009-3044(2011)31-0000-00 　　Weak Random Numbers Vulnerabilities and Defensive Methods 　　HUANG Yao-feng1,2 　　(1.Faculty of Mathematics and Computer Science, Hubei University, Wuhan 430062, China; 2.China Information Technology Security Evaluation Center, Beijing 100085, China) 　　Abstract: With random numbers algorithms’ optimization and degree of safety’s improvements, weak random numbers vulnerabilities research has become a focus in software security field. This paper describes three characteristics of random number generation mechanism and the causes of corresponding vulnerabilities, uses specific vulnerabilities and source code weakness examples to illustrate the dangers, affected extent and defensive methods of the vulnerabilities. 　　key words: encryption; weak random numbers; vulnerabilities; weakness 　　 　　1 引言 　　随机数在信息安全领域有着广泛地应用，密码算法的优劣很大程度上依赖随机数产生的质量。很多加密算法的原理就是从一个种子（密钥）产生一系列的随机数，并用这串随机数与明文进行异或（XOR）运算。使用这种随机数生成器作为密码，很容易被猜解。完善的一次一密系统，安全性依赖于密钥，密钥必须保持可靠的随机性[1]。 　　随机数是指一个数列，其中的每一个体称为随机数，其值与数列中的其它数无关；在一个均匀分布的随机数序列中，每一个体出现的概率均等。随机数具有以下特点：1）看起来是随机的；2）序列不可预测；3）序列不能重复产生[1]。随机数由随机数生成器生成，根据其满足随机数的特性情况分为：真随机数和伪随机数。处理随机数的最大安全隐患在于以非加密方式使用随机数。 　　2 弱随机数漏洞现状 　　伪随机数生成算法很多，如取中法、移位法、同余法等[2]，不过安全性一直不高。1996年，Ian Goldberg和Davis Wagner判断出Netscape的SSL实现是通过MD5算法应用到某些非随机数据（系统时间和进程ID）上来创建“随机”会话密钥的，在1996年的硬件水平上用不到25秒的时间破解实际会话[3]，而在今天，破解时间会更快。本文将阐述三种类型随机数生成器的特点以及相应的弱随机数漏洞。 　　2.1 PRNG中的漏洞 　　PRNG：（Pseudo Random Number Generator）非密码伪随机数生成器，用于生成非密码随机数。常见的PRNG的种子参照系统时钟生成，使用系统时间的某一点作为种子，即如果得出生成器的发生时间，就可以推算出由生成器生成的每一个值，此类的伪随机数可以通过观察输出判断生成器的完整状态。通常应用程序不会直接使用此类输出，而是将其映射到一个较小的空间，但是对于大多数非密码生成器而言，所能产生的状态是有限的，程序每次反馈出部分随机数的信息（如：说明是奇数或是偶数）。即便是在内部状态未知的情况下，攻击者也可以排除一半的状态。攻击者只要获取一定的输出，就可以破译完整的状态。PRNG产生的随机数安全性最低。 　　2.2 CRNG中的漏洞 　　CRNG：（Cryptographically Secure Pseudo Random Number Generator）密码伪随机数生成器。CPRNG除