密码学安全性的实作.pptx

密碼學Chapter 8 密碼學/安全性的實作Practical Implementations of Cryptography/Security 實務上密碼學的實作Java密碼學微軟密碼學第三方組織之解決方案使用 Java 來做密碼學概括上來說，Java 密碼學架構有兩個主要的技術Java密碼學架構 (JCA)Java密碼學延伸 (JCE)Java密碼學Java密碼學架構 (JCA)Java密碼學延伸 (JCE)Java密碼學架構Java Cryptography Architecture, JCAJCA是預設的Java應用程式發展環境(JDK)的一部分提供基本的密碼學功能存取控制、許可、金鑰對、訊息摘要、數位簽章Packagejava.security介面與實作JCA設計的主要目標是將密碼學概念(Java的介面)與實際的演算法實作(Java的實作)分離介面(interfaces)定義什麼是介面可以執行的，也就是介面的行為實作(implementation)定義執行的細節，也就是如何被執行介面與實作引擎類別 (engine class)JCA套件包含了很多類別，稱為引擎類別引擎類別是密碼學功能的邏輯呈現例如訊息摘要或數位簽章提供者(provider)類別執行演算法的實際實作可由很多廠商提供引擎類別和提供者類別之間的關係JCA引擎類別和提供者JCA中的金鑰管理Java2 使用金鑰工具(Keytool)將公開金鑰與私密金鑰分別儲存儲存的資料庫稱為金鑰儲存(keystore)簡單的電腦檔案，.keystore金鑰工具提供的重要服務建立金鑰對和自我簽署憑證輸出憑證在要求憑證時，發出憑證簽署要求(CSR)給憑證授權中心(CA)輸入其他人的憑證做為簽章驗證Java中使用JCA建立訊息摘要的例子Java密碼學延伸Java Cryptography Extension, JCE密碼學政策美國政府限制密碼學軟體的出口JCA訊息摘要與數位簽章包含在JDK中JCE加密與解密另外下載JCE架構JCE架構擁有與JCA相同的型態基於引擎類別和提供者類別的概念差異在於包含一個引擎類別的實作昇陽公司提供的預設實作Java中使用JCE加密的例子JCA 和 JCE結論JCA 和 JCE 都是很強大的密碼學架構。它們已經經過很小心地規劃和設計，因此允許其未來的延伸和供應商獨立發展。優點它是免費的缺點不像其他密碼學產品一樣複雜使用微軟的密碼學方法微軟密碼學應用程式介面Microsoft Cryptography Application Programming Interface, MS-CAPI微軟發展出的一個綜合的密碼學軟體MS-CAPI是免費的Windows作業系統的一部分MS-CAPI如同JCA/JCE的架構使用引擎與提供者類別的方法使用自有專門術語描述密碼學服務提供者Cryptographic Service Providers, CSP等同JCA的提供者提供一個共通CSP獨立的介面提供一個預設的CSP實作可由第三方組織的CSP時作取代MS-CAPI和CSP的關係MS-CAPI方法和CSP使用MS-CAPI建立的數位簽章MS-CAPI結論完全免費IE與Windows作業系統的一部分非常受到歡迎的密碼學軟體密碼學工具很多公司專注在提供密碼學工具(cryptographic toolkits)RSA Data Security IncEntrustBaltimore不同的工具會提供不同的密碼學功能，需要中間層確保其可相互運作安全性和作業系統對象UNIX 的安全性Windows 2000 的安全性討論存取控制使用者鑑別UNIX 的存取控制UNIX一開始被設計成多使用者的作業系統需要確保許多使用者可同時存取作業系統服務需要高度的安全性與隱私性標示所有檔案、程序、資源UID(使用者身份識別碼)GID(群組身份識別碼)UNIX檔案存取權限的例子UNIX的使用者鑑別使用者的密碼取得訊息摘要後儲存在使用者資料庫使用salt避免字典攻擊法UNIX密碼產生程序Windows 2000的安全特徵SID在Windows 2000中，每個使用者與群組都被指定一個唯一的SID程序和其執行序是在使用者的SID下執行所有程序都有一個存取符記，包含SID和其他資訊每個資源都有一個與它相關的安全性描述符號，描述這個SID被允許做什麼活動Windows 2000的使用者鑑別使用Kerberos來作使用者鑑別支援Windows NT的挑戰/回應機制NT LAN管理者(NTLM)基於挑戰/回應機制，避免使用者密碼明文傳送Windows NTLM鑑別程序章節總結Java 密碼學方法是以 Java 密碼學架構和 Java 密碼學延伸為基礎。JCA 將介面和實作分離出來。JCA 提供即插即用架構。JC