密码学教材资料安全性的实作.pptVIP

實務上密碼學的實作 Java密碼學 微軟密碼學 第三方組織之解決方案 使用 Java 來做密碼學 概括上來說，Java 密碼學架構有兩個主要的技術 Java密碼學架構 (JCA) Java密碼學延伸 (JCE) Java密碼學架構 Java Cryptography Architecture, JCA JCA是預設的Java應用程式發展環境(JDK)的一部分 提供基本的密碼學功能 存取控制、許可、金鑰對、訊息摘要、數位簽章 Package java.security 介面與實作 JCA設計的主要目標是將密碼學概念(Java的介面)與實際的演算法實作(Java的實作)分離 介面(interfaces) 定義什麼是介面可以執行的，也就是介面的行為 實作(implementation) 定義執行的細節，也就是如何被執行 介面與實作 引擎類別 (engine class) JCA套件包含了很多類別，稱為引擎類別 引擎類別是密碼學功能的邏輯呈現 例如訊息摘要或數位簽章 提供者(provider)類別 執行演算法的實際實作 可由很多廠商提供 引擎類別和提供者類別之間的關係 JCA引擎類別和提供者 JCA中的金鑰管理 Java2 使用金鑰工具(Keytool) 將公開金鑰與私密金鑰分別儲存 儲存的資料庫稱為金鑰儲存(keystore) 簡單的電腦檔案，.keystore 金鑰工具提供的重要服務 建立金鑰對和自我簽署憑證 輸出憑證 在要求憑證時，發出憑證簽署要求(CSR)給憑證授權中心(CA) 輸入其他人的憑證做為簽章驗證 Java中使用JCA建立訊息摘要的例子 Java密碼學延伸 Java Cryptography Extension, JCE 密碼學政策 美國政府限制密碼學軟體的出口 JCA 訊息摘要與數位簽章 包含在JDK中 JCE 加密與解密 另外下載 JCE架構 JCE架構擁有與JCA相同的型態 基於引擎類別和提供者類別的概念 差異在於包含一個引擎類別的實作 昇陽公司提供的預設實作 Java中使用JCE加密的例子 JCA 和 JCE結論 JCA 和 JCE 都是很強大的密碼學架構。它們已經經過很小心地規劃和設計，因此允許其未來的延伸和供應商獨立發展。 優點 它是免費的 缺點 不像其他密碼學產品一樣複雜 使用微軟的密碼學方法 微軟密碼學應用程式介面 Microsoft Cryptography Application Programming Interface, MS-CAPI 微軟發展出的一個綜合的密碼學軟體 MS-CAPI是免費的 Windows作業系統的一部分 MS-CAPI 如同JCA/JCE的架構 使用引擎與提供者類別的方法 使用自有專門術語描述 密碼學服務提供者 Cryptographic Service Providers, CSP 等同JCA的提供者 提供一個共通CSP獨立的介面 提供一個預設的CSP實作 可由第三方組織的CSP時作取代 MS-CAPI和CSP的關係 MS-CAPI方法和CSP 使用MS-CAPI建立的數位簽章 MS-CAPI結論 完全免費 IE與Windows作業系統的一部分 非常受到歡迎的密碼學軟體 密碼學工具 很多公司專注在提供密碼學工具(cryptographic toolkits) RSA Data Security Inc Entrust Baltimore 不同的工具會提供不同的密碼學功能，需要中間層確保其可相互運作 安全性和作業系統 對象 UNIX 的安全性 Windows 2000 的安全性 討論 存取控制 使用者鑑別 UNIX 的存取控制 UNIX一開始被設計成多使用者的作業系統 需要確保許多使用者可同時存取作業系統服務 需要高度的安全性與隱私性 標示所有檔案、程序、資源 UID(使用者身份識別碼) GID(群組身份識別碼) UNIX檔案存取權限的例子 UNIX的使用者鑑別 使用者的密碼取得訊息摘要後儲存在使用者資料庫 使用salt避免字典攻擊法 UNIX密碼產生程序 Windows 2000的安全特徵 SID 在Windows 2000中，每個使用者與群組都被指定一個唯一的SID 程序和其執行序是在使用者的SID下執行 所有程序都有一個存取符記，包含SID和其他資訊 每個資源都有一個與它相關的安全性描述符號，描述這個SID被允許做什麼活動 Windows 2000的使用者鑑別 使用Kerberos來作使用者鑑別 支援Windows NT的挑戰/回應機制 NT LAN管理者(NTLM) 基於挑戰/回應機制，避免使用者密碼明文傳送 Windows NTLM鑑別程序 章節總結 Java 密碼學方法是以 Java 密碼學架構和 Java 密碼學延伸為基礎。 JCA 將介面和實作分