安全沙龙PKI漫谈.ppt

Kevin Wang,PKI漫谈,AKA安全沙龙：PKI漫谈,第0章 绪论,0.1 Whats PKI?,PKI，Short for Public Key Infrastructure. PKI正在快速地演进中，从不同的角度出发，有不同的定义. PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施.,PKI的组成,0.2 PKI基础,公钥密钥学(Public Key Cryptography) 公钥密码学解决的核心问题是密钥分发. 目录服务(Directory Services) 目录服务的目的是建立全局/局部统一的命令方案. 数字证书(Digital Certificate),密码学与信息安全,信息的私密性(Privacy) 对称加密 信息的完整性(Integrity) 数字签名 信息的源发鉴别(Authentication) 数字签名 信息的防抵赖性(Non-Reputation) 数字签名 时间戳,0.3 PKI的由来,信任管理 从根本上讲，PKI是表示和管理信任关系的工具; 数字化、电子化社会的基础之一 在数字化社会中，实体间建立信任关系的关键是能彼此确定对方的身份；,互联网困境,0.4 PKI进展,标准化进展 IETF PKIX、SPKI Workgroup；NIST，DOT (Department of the Treasury)；TOG (The Open Group)；and others (include WAPForum, etc) 产品与工程 From Pilot Projects to Practices, Various Vendors and Products PKI应用 MS Outlook/Netscape Messanger (S/MIME), IE/Navigator (SSL/TLS), PGP,PKI Queenslands Toad?,第1章 密码学,1.1 密码学的历史与发展,密码学的演进 单表代替多表代替机械密(恩格玛)现代密码学(对称与非对称密码体制)量子密码学 密码编码学和密码分析学 应用领域 军事，外交，商业，个人通信，古文化研究等,1.2 传统密码学,历史悠久，最古老与最现代的密码学 基本特点：加密和解密采用同一个密钥 let C = Cipher text, P = Plain text, k is key, E()/D() is the encryption/decryption function, then C=E(P, k), P=D(C, k) 基本技术 替换/置换和移位,DES,DES是第一个得到广泛应用的密码算法； DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位； DES是一种对称密码算法，源于Lucifer算法，其中采用了Feistel网络(Feistel Network)，即 DES已经过时，基本上认为不再安全； /Computers_and_Internet/Security_and_Encryption/RSA/RSA_Secret_Key_Challenge/,IDEA,Xuejia Lai和James Massey提出； IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位； IDEA是一种相对较新的算法，虽有坚实的理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)； IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-Tech AG拥有; PGP中已实现了IDEA；,RC系列,RC系列是Ron Rivest为RSA公司设计的一系列密码： RC1从未被公开，以致于许多人们称其只出现在Rivest的记事本上； RC2是变长密钥加密密法；(RC3在设计过程中在RSADSI内被攻破); RC4是Rivest在1987年设计的变长密钥的序列密码； RC5是Rivest在1994年设计的分组长、密钥长的迭代轮数都可变的分组迭代密码算法； DES(56),RC5-32/12/5, RC5-32/12/6,RC-32/12/7已分别在1997年被破译；,AES Candidate和Rijndeal,AES评选过程 最后的5个候选算法：Mars, RC6, Rijndael, Serpent, and Twofish Rijndael算法的原型是Square算法，其设计策略是宽轨迹策略(Wide Trail Strategy)，以针对差分分析和线性分析； Rijndael是迭代分组密码，其分组长度和密钥长度都是可变的；为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14。,Summary,DES是应用最广泛的对称密码算法(由于计算能力的快速进展，DES已不在被认为是安全的)； IDEA在欧洲应用较多； RC系列密码算法的使用也较广(已随着SSL传遍全球); AES将是未来最主要，最常用的对称密码算法；,1.3 公钥密码学,Whitefield Diffie，Martin Hellman，New Directions in Cryptography,1976 公钥密码学的出现使大规模的安全通信得以实现 解决了密钥分发问题； 公钥密码学还可用于另外一些应用：数字签名、防抵赖等； 公钥密码体制的基本原理 陷门单向函数(troopdoor one-way function),RSA,Ron Rivest, Adi Shamir和Len Adleman于1977年研制并于1978年首次发表； RSA是一种分组密码，其理论基础是一种特殊的可逆模幂运算，其安全性基于分解大整数的困难性； RSA既可用于加密，又可用于数字签名，已得到广泛采用； RSA已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳； RSA-155(512 bit), RSA-140于1999年分别被分解；,RSA (cont.),设n是两个不同奇素数之积，即n = pq，计算其欧拉函数值(n)=(p-1)(q-1). 随机选一整数e,1e(n), (n),e)=1. 因而在模(n)下,e有逆元 取公钥为n,e,秘密钥为d.(p,q不再需要，应该被舍弃，但绝不可泄露) 定义加密变换为 解密变换为,DH/DSA,Diffie-Hellman(DH)是第一个公钥算法，其安全性基于在有限域中计算离散对数的难度； DH可用于密钥分发，但不能用于加/解密报文； DH算法已得到广泛应用，并为许多标准化组织(IETF等)接纳； DSA是NIST于1991年提出的数字签名标准(DSS),该标准于1994年5月19日被颁布； DSA是Schnorr和Elgemal签名算法的变型,DSA只能用于数字签名不能用于加密；,Elgemal,Elgemal于1985年基于离散对数问题提出了一个既可用于数字签名又可用于加密的密码体制；(此数字签名方案的一个修改被NIST采纳为数字签名标准DSS) Elgemal,Schnorr和DSA签名算法都非常类似。事实上，它们仅仅是基于离散对数问题的一般数字签名的三个例子。,Summary,RSA是最易于实现的； Elgemal算法更适合于加密； DSA对数字签名是极好的，并且DSA无专利费，可以随意获取； Diffie-Hellman是最容易的密钥交换算法；,1.4 单向杂凑(Hash)函数,杂凑(Hash)函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数，我们关心的通常是单向杂凑函数； 强单向杂凑与弱单向杂凑 (无碰撞性collision-free)； 单向杂凑函数的设计理论 杂凑函数除了可用于数字签名方案之外，还可用于其它方面，诸如消息的完整性检测、消息的起源认证检测等 常见的攻击方法,MD系列,Ron Rivest设计的系列杂凑函数系列: MD4Rivest 1990, 1992, 1995; RFC1320 MD5是MD4的改进型RFC1321 MD2RFC1319,已被Rogier等于1995年攻破 较早被标准化组织IETF接纳，并已获得广泛应用 安全性介绍,SHA和SHA-1,NIST和NSA为配合DSS的使用，设计了安全杂凑标准(SHS)，其算法为SHAFIPS PUB 180，修改的版本被称为SHA-1FIPS PUB 180-1 SHA/SHA-1采用了与MD4相似的设计准则，其结构也类似于MD4，但其输出为160bit 目前还没有针对SHA有效的攻击,RIPE-MD,欧共体的RIPERACE 1992计划下开发的杂凑算法，为MD4的变型，是针对已知的密码攻击而设计的，杂凑值为128bit; RIPE-MD的改进型为RIPEMD-160；,HMAC,HMAC是利用散列函数计算报文鉴别码值 HMAC能够证明嵌入散列函数提供的安全性有某些合理的密码分析强度,SHA与MD4和MD5的比较,1.5 各种算法的特点,对称密码算法 加/解密速度快，但密钥分发问题严重 非对称密码算法 加/解密速度较慢，但无密钥分发问题 杂凑函数 计算速度快，结果长度统一,1.6 进一步的读物,Bruce Schneier,Applied Cryptography: Protocols, algorithms and source code in C,1996 Simon Singh,The Code Book,1999 冯登国，裴定一,密码学导引,科学出版社, 1999 王育民，刘建伟,通信网的安全 - 理论与技术,西安电子科技大学出版社, 1999 梁晋，施仁，王育民等,电子商务核心技术 安全电子易协议的理论与设计,2000 William Stallings著，杨明，胥光辉，齐望东等译,密码编码学与网络安全：原理与实践(第二版),电子工业出版社，2001,第2章 X.500目录服务和数字证书,2.1 概述,证书和证书吊销列表(CRL)的存储(主要针对X.509格式来说) 是X.500和目录服务标准的主题,2.2 X.500目录服务,X.500, ITU-T Recommendation: The Directory Overview of Concepts and Models. X.500目录服务是一个高度复杂的信息存储机制，包括客户机-目录服务器访问协议、服务器-服务器通信协议、完全或部分的目录数据复制、服务器链对查询的响应、复杂搜寻的过滤功能等. X.500对PKI的重要性.,2.3 X.509数字证书,X.509, ITU-T Recommendation: Information Technology Open System Interconnection The Directory: Authentication Framework X.509是X.500标准系列的一部分，在PKI的发展中，X.509起到了无可比拟的作用. X.509定义并标准化了一个通用的、灵活的证书格式. X.509的实用性来源于它为X.509 v3和X.509 v2 CRL定义的强有力的扩展机制.,2.4 LDAP协议,LDAP, Lightweight Directory Access Protocol. LDAP的发展 LDAP v1, v2, v3, ldapbis, ldapext, ldup,第3章 PKI及其构件,3.1 综述,PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。 PKI的构件，PKI的安全策略,3.2 PKI构件,A PKI includes the following components: CA, RA, Directory, EE, PKI-enabled Applications, Certificate Status Checking PKI构件及证书生命周期(接下页),PKI构件与证书生命周期(接上页),PKI实体,常见的信任模型,VeriSign PKI层次图,3.3 PKI运作与CPS,CPS是CA在发行公钥证书时使用的实践(practice, 惯例)的声明，统率PKI的整体运作 RFC2527 - Certificate Policy and Certification Practices Framework VeriSign, Entrust, DoD PKI, SHECA, CFCA etc.,VeriSign CPS处于中心角色,3.4 PMI与TSA,PMI, 即Privilege Management Infrastructure, 在ANSI, ITU X.509和IETF PKIX中都有定义 特权管理服务(PKI Based)依赖于策略，所谓策略就是将实体、组和角色与相应的特权进行映射(如 列出实体名称或角色被允许还是禁止的权限). TSA, 即Time Stamp AuthorityRFC3162, Time-Stamp Protocol TSA是一个产生时间戳记号的可信第三方，该时间戳记号用以显示数据在特定时间前已存在.,特权管理基础设施机制,实现特权管理基础设施(PMI)有很多机制，大致可以分为三类：,第4章 PKI实践 技术问题,4.1 数字证书,证书与数字证书 Loren M. Kohnfelder, 1978 (bachelor thesis) 数字证书的用途 Authentication, Authorization and Authority Delegation 常见的数字证书格式 X.509, PGP, SDSI/SPKI, X9.59(AADS), AC, Others,X.509数字证书(VeriSign),4.2 证书验证与证书生命周期,证书有效性或可用性验证 密钥/证书生命周期 初始化阶段：终端实体注册-密钥对产生-证书创建和密钥/证书分发，证书分发，密钥备份 颁发阶段：证书检索，证书验证，密钥恢复，密钥更新 取消阶段：证书过期，证书恢复，证书吊销，密钥历史，密钥档案,Cert Lifecycle in VeriSign CPS,4.3 交叉认证,交叉认证是把以前无关的CA连接在一起的机制 交叉认证可以是单向的，也可以是双向的 不同的交叉认证信任模型 Subordinated Hierarchy，Cross-certified Mesh，Hybrid，Bridge CA，Trust Lists etc. 域内交叉认证，域外交叉认证 约束 名字约束，策略约束，路径长度约束,4.4 标准化(PKIX文档概况),概貌(Profiles) RFC2459 运作协议 RFC2559, RFC2560, RFC2585, etc. 管理协议 RFC2510, RFC2511, RFC2797, etc. 策略概要(Policy Outline) RFC2527 时间戳、数据验证和数据认证服务 RFC3029, RFC3161 Time-Stamp, Data Verification, and Data Certification Services,4.5 互操作,MISPC, Minimum Interoperability Specifications for PKI Components /pki/mispc/welcome.html PKI Forum /,第5章 PKI实践 非技术问题,5.1 CP与CPS,CP, Certificate Policy 定义了一个用户对其它用户数字证书信任的程度 CPS, Certification Practice Statement 人们与组织根据CA的CPS来确定他们对该CA的信任程度 RFC 2527 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework,PKI的安全策略,Certification Practice Statement 证书政策 责任与其它法律考虑,5.2 运作考虑,客户端软件 在线需求与离线运作 物理安全 硬件部件 用户密钥的威胁 灾难恢复,5.3 PKI涉及到的法律问题,数字签名的法律状况 PKI的法律框架 许可权，角色与责任，私有PKI(企业PKI) 密码管理政策与法规(不同的密码管理政策),第6章 PKI应用,6.1 SSL/TLS,由Netscape，IETF TLS工作组开发 SSL/TLS在源和目的实体间建立了一条安全通道(在传输层之上)，提供基于证书的认证、信息完整性和数据保密性 SSL体系结构：SSL协议栈,6.2 S/MIME & PGP,PGP, Phil Zimmerman, 1991 PGP的操作描述、加密密钥和密钥环、公开密钥管理 RFC2440， S/MIME RFC822 - MIME - S/MIME v2, v3 S/MIME的功能 S/MIME证书的处理 S/MIME增强的安全服务 Signed receipt，Security Label和Security mailing list.,6.3 IPSec,IP层的安全包括了3个功能域：鉴别、机密性和密钥管理 IPSec的重要概念 鉴别报头(AH), 封装安全有效负载(ESP), 传输模式, 隧道模式, 安全关连(SA), 安全关连组(SA Bundle), ISAKMP. IPSec，IPv6将使互联网(尤其是网络安全)发生巨大变化,IPSec(Cont.),IPSec安全服务 IPSec密钥管理 人工，自动，ISAKMP/Oakley,IPSec文档结构概况,6.4 SET,1996年2月，IBM, Microsoft, Netscape, RSA, Terisa和VeriSign开发了SET v1(针对MasterCard和Visa安全标准的需要而出现的 SET是开放的、设计用来保护Internet上信用卡交易的加密和安全规范 从本质上，SET提供了三种服务： 在交易涉及的各方之间提供安全的通信信道 通过使用X.509 v3数字证书来提供信任。 保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用 交易过程：购买请求、支付认可和支付获取,6.5 时间戳服务,RFC3161 (TSP, Time Stamp Protocol) 时间戳也是一种安全服务 可信第三方时间戳权威(TSA, Time Stamp Authority)签名某信息，为此信息在特定时间前存在提供证据 数字签名 时间戳 可提供不可否认服务 TDA(Temporal Data Authority),6.6 DVCS,RFC3029, Data Validation and Certification Service DVCS是验证提交给它的特定数据的正确性的可信第三方,第7章 PKI厂商、产品及实现,7.1 著名的PKI厂商,VeriSign (/) Entrust (/) Baltimore (/) RSA Security (/),Differences between Enterprise CA And Trade CA,Enterprise CA is a model that your company hold everything of PKI including CA, RA, Directory Server etc. Entrust，Baltimore，RSA Security, InfoSec, JIT, Koal and NetFront etc. Trade CA is another model that a trusted third party (often are PKI vendors) will manage every thing for you, but maybe you can control the user enrollment process. Verisign, CFCA, CTCA The selection between them will base on a