密码协议的具体结构模块.pptVIP

对公钥密码的攻击 在所有公钥密码协议中，回避了Alice怎么得到Bob的公钥这件事。 得到某人的公钥的最容易的方法是从某个地方的安全数据库中得到。这个数据库必须是公开的，以便任何人都可得到其他人的公钥。数字库也必须阻止Trent以外的其他人写入数据；否则Mallory可能用他选取的任意一个公钥代替Bob的，他那样做后，Bob就不能解读发给他的信息，但Mallory却能读。 即使公钥存贮在安全数据库中，Mallory仍能在传送期间用另外的公钥来代替。为了防止这个问题，Trent可用他的私钥对每一公钥进行签名。当用这种方式时，Trent常被称为密钥鉴证机关或密钥分配中心（KDC）。在实际的实现中，KDC对由用户名、公钥和其他用户的重要信息组成的一组信息进行签名。被签名的这组信息存贮在KDC数据库中。当Alice得到Bob的密钥时，她验证KDC的签名以使自己确信密钥的有效性。 在最后的分析中，对Mallory来说并不是不可能，只不过更困难了：Alice仍将KDC的公钥存贮在某个地方，Mallory只得用自己的公钥代替那个密钥，破坏数据库，然后用自己的密钥代替有效密钥（好像他就是KDC一样，用自己的私钥对所有密钥签名），再进行运算，如果Mallory要制造更多的麻烦，他甚至连文件签名都可以伪造。 随机和伪随机序列的产生 为什么我们不厌其烦地谈论随机数产生呢？随机数产生器已嵌入在大多数编译器中了，产生随机数仅仅是函数调用而已。为什么不用编译器的那种呢？ 不幸的是，那些随机数产生器对密码来说几乎肯定是不安全的，甚至可能不是很随机的。它们中的大多数都是非常差的随机数。 随机序列产生器并不是随机的，因为它们不必要是完全随机的。像计算机游戏，大多数简单应用中只需几个随机数，几乎无人注意到它们，然而密码学对随机数产生器的性质是极其敏感的。用粗劣的随机数产生器，你会得到十分奇妙的相关和奇怪的结果。如果安全性依赖于你的随机数发生器，那么你得到的最后的东西就是这种奇妙的相关和结果。 随机和伪随机序列的产生 随机数产生器不能产生随机序列，它甚至可能产生不了乍看起来像随机序列的数。当然，在计算机上不可能产生真正的随机数。 “任何人考虑用数学的方法产生随机数肯定是不合情理的”。计算机确是怪兽：数据从一端进入，在内部经过完全可预测的操作，从另一端出来的却是不同的数据；把同一数据在不相干情况下输入进去，两次出来的数据是相同的；把同样的数据送入相同的两个计算机，它们的运算结果是相同的。计算机只能是一个有限的状态数（一个大数，但无论如何是有限的），并且输出状态总是过去的输入和计算机当前状态的确定的函数。这就是说计算机中的随机序列产生器（至少，在有限状态机中）是周期性的，周期性的任何东西都是可预测的。如果是可预测的，那么它就不可能是随机的。真正的随机序列产生器需要随机输入，计算机不可能提供这种随机输入。 伪随机序列 最好的计算机能产生的是伪随机序列产生器，什么意思呢？随机数序列是看起来是随机的序列，序列的周期应足够长，使得实际应用中相当长的有限序列都不是周期性的。就是说如果你需要十亿个随机比特，就不要选择仅在一万六千比特后就重复的序列产生器。这些相对短的非周期性的子序列应尽可能和随机序列没有多少区别。 我们的意思是，如果一序列产生器是伪随机的，它应有下面的性质：看起来是随机的，这表明它通过了我们所能找到的所有随机性统计检验。 人们在计算机上已经做了许多努力来产生好的伪随机序列，学术文献中有很多讨论伪随机序列产生器和各种随机性检验的，但所有这些产生器是周期的（都不可能例外）。然而周期大于2256比特的随机数序列，能够得到大量应用。 这里的关键问题还是那些奇妙的相关性和奇怪的结果。如果你以某种方式使用它们，则每个随机数序列产生器都将产生这些结果。这正是为什么密码分析者用它来对系统进行攻击的原因 密码学意义上安全的伪随机序列 密码的应用比其他大多数应用对伪随机序列的要求更严格。密码学的随机性并不仅仅意味着统计的随机性，虽然它也是其中的一部分。密码学意义上安全的伪随机数，还必须具有下面的性质：它是不可预测的。即使给出产生序列的算法或硬件和所有以前产生的比特流的全部知识，也不可能通过计算来预测下一个随机比特应是什么。 密码学意义上安全的伪随机序列应该是不可压缩的……除非你知道密钥。密钥通常是用来设置产生器的初始状态的种子。 像任何密码算法一样，密码学意义上安全的伪随机序列产生器也会受到攻击，就好像加密算法有可能被破译一样，破译密码学意义上安全的伪随机序列产生器也是可能的。密码学讲的都是关于如何使产生器抵抗攻击。 真正的随机序列 现在我们走进哲学家的领域，真有随机数这样的东西吗？随机序列是什么？你怎么知道序列是随机的？“101110100”比“101010101”更随机吗