CIW应用加密技术

CIW网络安全认证培训,第七讲 应用加密技术,学习目标,密码学起源和发展使用加密的意义和作用使用公共密钥创建信任关系了解对称加密、非对称加密和hash加密了解与加密相关的术语在Windows 2003和Linux系统中应用和部署公共密钥加密企业中PKI技术的应用数字签名的作用,密码学起源和发展,1949年之前 密码学是一门艺术19491975年 密码学成为科学1976年以后 密码学的新方向公钥密码学,第1阶段古典密码,密码学还不是科学,而是艺术 出现一些密码算法和加密设备 密码算法的基本手段出现，针对的是字符 简单的密码分析手段出现 主要特点：数据的安全基于算法的保密,第2阶段 19491975,计算机使得基于复杂计算的密码成为可能 相关技术的发展1949年Shannon的“The Communication Theory of Secret Systems” 1967年David Kahn的The Codebreakers1971-73年I B M Watson实验室的Horst Feistel等几篇技术报告主要特点：数据的安全基于密钥而不是算法的保密,第3阶段 1976,1976年：Diffie & Hellman 的 “New Directions in Cryptography” 提出了不对称密钥密1977年Rivest,Shamir & Adleman提出了RSA公钥算法90年代逐步出现椭圆曲线等其他公钥算法主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能,第3阶段 1976,1977年DES正式成为标准80年代出现“过渡性”的“Post DES”算法,如IDEA,RCx,CAST等90年代对称密钥密码进一步成熟 Rijndael,RC6, MARS, Twofish, Serpent等出现2001年AES(Rijndael)成为DES的替代者,加密的主要功能,数据的保密性：加密能防止数据不被未授权的用户知道。身份验证：通过验证用户的加密要素，从而识别用户的身份。保证数据的完整性：加密能保证和检查数据有没有被更改。,创建信任关系,应用加密意味着在两个主机之间建立信任关系，主机利用密钥加密信息，从而保证只有相对应的某个远程主机才能解密信息，加密过程一般用公共密钥完成。公钥的发布方法有两种： 手动发布 :这种方法通常用在邮件信息的加密里面。 自动发布：主要使用到的是公共密钥结构体系，如Windows 2003的域里面就是采用了自动发布公钥。,Round,加密术语Round是在加密过程中一个离散过程。通常一种算法要经过很多“轮”的运算。大多数的对称加密算法都使用很多次的轮数进行加密。,Parallelization,Parallelization是指使用多进程、多处理器或多台机器来破解一种加密算法。,Strong Encryption,强加密是使用一些超过128位长度的密钥来实施的。,对称密钥加密,对称密钥加密也称为单密钥加密,特点：快速并易于实施，适合大量信息的加密，管理不便 ，容易被破解。,对称加密算法,对称加密算法有:DES (Data Encryption Standard) 数据加密标准Triple DES 三重DESRSA算法 RC2 and RC4RC5RC6Blowfish (up to 448bit) and Two fish（up to 256）Skipjack 美国国家安全局设计的加密程序MARS 由IBM设计，速度比DES要快,数据加密标准 DES,DES是一种block（块）密文的加密算法，是把数据加密成64位长度的block（块）。使用相同的密钥来加密和解密，这种标准使用一种叫做“diffusion and confusion”的技术。每64位的数据被分成两半，并利用密钥对每一半进行运算(称做次round或是轮)，DES运行16个rounds，并且对于每个round运算所使用密钥的位数是不同的。,TripleDES (三重DES ),信息首先被使用56位的密钥加密，然后用另一个56位的密钥译码，最后再用原始的56位密钥加密，实际上运行了三次，也就是原有DES密钥长度的3倍。,RSA安全公司的对称算法,RC2和RC5 :RC2是一种block（块）模式的密文，就是把信息加密成64位的数据块。RC5使用128位密钥的算法并有12到16个rounds。 RC4 :RC4是种流式的密文而不是块式密文件，加密是动态的，不像RC2有个固定的块大小，就是实时的把信息加密成一个整体。密钥的长度也是可变的，在美国一般密钥长度是128位，向外出口时限制到40位，因为受到美国出口法的限制。Lotus Notes，Oracle SQL都使用RC4的算法。,Two fish和MARS,Two fish这种算法使用128位的block并且速度很快。Two fish支持28位，192，和256位的密钥，是一种可用于智能卡上的加密算法。 MARS是由IBM提出的种算法，并且速度要比DES还要快，和Two fish一样，它主要也是面向工作在智能卡上而设计的。,其它的对称加密算法,Misty1和Misty2:是由日本三菱电子开发的一种算法，采用一种128位的块密钥加密，每块64位。Misty2经过改进比Misty更快。Gost: 最初是由苏联用于研究用途，也是一种块密文的加密方式，密钥长度为256位，每块的长度为4位。Cast 256:一种采用64位为一块，而密钥长度为256的块密文加密方式。HNC：用于一系列的私有加密或非正式加密的应用，它由HNC（）公司所开发，主要用于创建分发软件包的访问代码。,实验7-1,使用Apocalypso程序加密和解密文件,非对称加密,也称为公钥加密，成对使用，公钥对外公开，私钥需要安全保护。,特点：算法精密，保密性好，密钥便于管理，加密速度慢。,非对称密钥加密元素,非对称密钥加密元素包括:RSA美国国家技术标准局的标准，被广泛采用DSA (Digital Signature Algorithm) 用于LINUXDiffie-Hellman 密钥交换协议，开放式标准,HASH加密,HASH加密是把一些不同长度的信息转化成杂乱的128位编码，叫做hash值。解密是不可能的，也叫一次性加密，广泛用于身份识别，安全加密，数字签名等。,HASH算法,HASH算法包括:MD2, MD4 and MD5 :使用不同长度的数据流，产生一个唯一的指纹，用于对E-mail,证书，保证内容完整性的相关应用。安全HASH算法(SHA) :由NIST和NSA开发并应用于美国政府，160位hash值，结构与MD5类似，速度比MD5慢25%，比MD5更安全，产生的Hash值比MD5长25%。,扩展实验7-2,在LINUX中用MD5验证HASH算法在Windows 2003中用MD5验证HASH算法,应用加密-邮件加密签名,应用加密-邮件加密签名,实验7-3,学习使用PGP发送加密电子邮件1、安装PGP 2、生成密钥对3、对公共密钥导出、交换、签名4、交换加密信息5、使用PGP对文件进行加密,什么是PKI,PKI-Public Key Infrastructure公共基础设施，一个基于非对称加密技术实现并提供安全服务的具有通用性的安全设施。通过一组规程和组件支持利用数字证书管理密钥并建立信任关系。 支持PKI的应用标准可以保护信息的完整性、保密性和不可否认性等安全特征。,证书,PKI由多个组件组成，其中最基本的组件是证书。证书与现实生活中的公民身份证有相似之处PKI中的证书是将持有者的身份信息和其所拥有的公钥进行绑定的文件，包含颁发证书的权威机构（CA）对该证书的签名、持有者的公钥和相关信息。,数字证书的原理,数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人的私钥，它将存放在用户的计算机上。数字证书认证中心CA(Certificate Agency),公钥,私钥,公钥,私钥,数字证书认证中心CA,证书申请与颁发,证书申请与颁发,PKI组件,CA-Certificate Authority 证书权威机构，也称证书颁发机构或认证中心。CA是PKI的核心，负责证书颁发、吊销、更新和续订等证书管理任务。RA-Registration Authority 注册权威机构，也称为注册审批机构或注册受理机构，是CA证书管理功能的延伸，用于在证书请求过程中审核申请者的身份。,CA服务器与PKI体系结构,层次结构模型-创建多个CA，最顶层是根CA，子CA工作在根CA下面，根CA向子CA发行证书，终端可以从子CA或根CA请求证书。对等模型-CA之间通过交叉证明建立横向信任关系。,部署基于Windows的CA,应用加密-SSL,PGP和GPG,针对电子邮件和文本文件