智能卡的安全与鉴别

第7章智能卡的安全与鉴别本章主要内容：身份鉴别技术报文鉴别技术密码技术数字签名7.1IC卡面临的安全问题

7.2物理安全

7.3逻辑安全

7.4密码技术

7.5IC卡的安全使用第7章智能卡的安全与鉴别

7.1IC卡面临的安全问题如何保证IC卡的内部信息在存储和交易工程中的完整性、有效性和真实性使用伪造IC卡（在个人化过程进行伪造）主动攻击（对交换过程的信息进行截听、修改）盗/冒用IC卡7.2物理安全增强机械强度加强电气保护增加伪造难度（制造设备的高精尖、

IC卡技术难度和专有、参数保密性）控制制造过程（技术、管理、授权）7.3逻辑安全逻辑安全用户鉴别存储区域安全通信安全7.3.1用户鉴别用户鉴别（个人身份鉴别）－验证持卡人的身份。方法：验证个人识别号PIN（personalidentificationnumber）；生物特征；下意识特征；读卡器与卡间以明码传输，在IC卡内部完成PIN的鉴别；（图7.1）1.PIN密码运算鉴别方法键入PIN提交明码指令检查明码＝内部所存密码PIN明码PIN卡片是否用户终端机带密码运算的PIN鉴别（CPU卡）键入PIN用户PIN产生随机数指令密码运算M＝f(NPIN,AK)提交结果M,AK产生随机数N解密运算N′＝f′(M,AK)检查NPIN=N’M，AK参数是否终端机卡片2.生物鉴别方法拒绝失败率接受失败率生物鉴别方法拒绝失败率接受失败率动态手写签名1.00.5手形<1.01.5指纹1.00.025语音3.0<1.0视网膜<1.0可忽略访问条件确认发行密码确认PIN7.3.2存储区的保护－把智能卡的数据存储器划分为若干区，对每个区都设定各自的访问条件；只有符合设定的条件，才允许对数据存储区进行访问。表7.2存储区划分后，普通数据和重要数据被有效分离，各自接受不同程度的保护，提高了逻辑安全的强度。7.3.3卡的通信安全与保密通信方面对信息的修改有以下方式：更改、删除、添加信息内容；改变信息的源或目的；改变信息分组帧的顺序；重复利用曾发送或存储过的信息；篡改回执……信息的完整性、真实性、有效性、合法性、保密性。采取必要的技术防范措施：保证信息交换过程－1.完整性－采用报文鉴别为保证所交换的信息内容未被非法修改，在信息报文中加入报头/尾（即鉴别码）。鉴别码是通过对报文进行某种运算而得到的，它与报文的内容有关，报文的正确与否可以通过鉴别码来检验。鉴别码1＋报文相等，接受。不相等，拒收并报警。（接收方）对报文解密得到明文；（接收方）对明文用约定算法计算解密报文的鉴别码2；将两个鉴别码比较。接收方；加密鉴别过程的安全性取决于鉴别算法的密钥管理的安全性。DSA(decimalshiftandadd)算法是Sievi在1980年提出的。鉴别算法－DSA算法（1）DSA算法在收发双方同时利用两个十位长的任选的十进制数b1和b2，作为密钥。将被鉴别的信息看成十进制数串，然后分组，十位一组。每次运算（加法）取一组，两个运算流并行进行，直到所有信息组运算完毕，得到鉴别码。（2）DSA算法举例用R（X）D表示对D循环右移X位，如D＝1234567890，则R（3）D＝8901234567。用S（3）D表示相加之和：S（3）D＝R（3）D＋D（mod1010）。其中：R（3）D＝8901234567＋D＝1234567890S（3）D＝0135802457假设信息M＝158349263752835869，鉴别码的计算如下：先将信息分成十位一组，最后一组不足十位时补0；即：m1=1583492637，m2=5283586900；任选密钥：b1=5236179902，b2=4893524771；两个运算流同时运算。运算流1运算流2m11583492637m11583492637＋b24893524771＋R(4)p=2539681967p=6819672539q=6477017408＋R(5)q=1740864770S(4)p=9359354506S(5)q=8217882178＋m25283586900＋m25283586900＋R(8)u=4294140646u=4642941406v=3501469078＋R(2)v=7835014690S(8)u=8937082052S(2)v=1336483768至此，两组信息组运算完毕，得到两个十位长的十进制数，再组合一下，将它们按模1010相加。S(8)u=8937082052＋S(2)v=13364837680273565820鉴别码练习：假设信息M＝285139263743715687，如何计算DSA算法的鉴别码？2.有效性保证－对报文时间的鉴别在传输中，防止对曾经发送过的或存储过的信息的再利用。通过对报文时间性的鉴别，保证所传送的消息是唯一的。随后重发的消息是非法的。实现方法：收发方预先约定一个时间变量，然后用它作为初始化向量对所发送的报文加密；收发方预先约定一个时间变量，然后在发送的每份报文中插入该时间变量，保证报文的唯一性。3.真实性保证－双向鉴别对报文发送方和接收方的鉴别。智能卡和主机之间的相互鉴别是消息认证和电子签名的基础。4.安全性保证－报文源鉴别报文中加入发送者的标识号；通过报文加密实现，而且卡和读卡器采用不同的密钥进行加密。5.保密性保证：加密/解密。利用密码技术对信息进行加密处理，以掩盖真实信息，到达保密的目的。也是最安全、最有效的措施。7.4密码技术密码技术－通过规则的变换（算法algorithm）来伪装信息，其实现的方法称为密码体制（cryptosystem）。如最早的密码变换规则：Φ＝θ＋3mod26密文明文密钥7.4.1密码技术被伪装的信息称为“明文”；伪装后的信息称为“密文”；加密时所采用的信息变换规则称为“密码算法”；把密文转变为明文的过程称为“解密”。加密解密明文密文PC原明文PE(P)D(C)加密解密流程图7.4.2名词解释明文P：在IC卡中表现为二进制数据或比特流。密文C：也是二进制数据。解密明文密文PC原明文PE(P)D(C)加密E(P)＝CD(C)＝P即：D(E(P))＝P密码体制密码算法：公式、法则和程序密钥K现代密码学总是假定密码算法是公开的，真正需要保密的是密钥。算法是相对稳定的，变化的只是密钥。密钥k：密码算法中的可变参数，在现代加密算法中得到使用。加密函数Ek（P）＝C解密函数Dk（C）＝PDK(Ek（P）)＝P使用密钥K后，加密/解密表达式为：与加密对应的是密码分析，也叫“破译”。是指非授权者通过各种方法窃取密文，并通过各种方法推导出密钥，从而读懂密文的操作过程。衡量一个加密系统的不可破译性的尺度称为保密强度。序列密码体制与分组密码体制（按照算法对明文信息的加密方式）确定型密码体制与概率密码体制（按照加密过程中是否有随机因素）单向函数密码体制与双向密码体制（按照是否能进行可逆的加密变换）对称密码体制与非对称密码体制（按照能否由加密过程推导出解密过程）

7.4.3密码体制分类加密密钥与解密密钥相同或可互相导出。密钥管理是系统安全的关键。1.对称密码体制对称密码体制也称单钥密码体制、对称密钥密码体制、秘密密钥密码体制。在智能卡中应用较多的加密技术也是对称密码体制，其典型的加密算法是DES算法（DataEncryptionStandard），即数据加密标准。DES算法是一种分组密码算法；是IBM公司于1975年公开发表的；开创了公开全部算法的先河；1977年美国国家标准所批准DES用于非国家保密机关，称为数据加密算法DEA；之后，出现了专门的DES加密算法的硬件。关于DES算法分组密码算法的技巧：扩散（diffusion）与混乱(confusion)扩散：将每位明文尽可能扩散到较多的输出密文中，以隐蔽明文的统计性。作用：密文中的每一位都尽可能和明文相联系，防止密钥被破译。混乱：指密文和明文之间的统计性尽可能复杂化，避免出现很有规律的、线性的相关关系。

（1）DES算法加密过程64位明文输入块64位密文输出块64位密钥（其中8位为奇偶校验位）初始置换IP功能：输入的64位数据块按位（表7.3）重新组合后，输出分为L0、R0。58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157初始置换IPL0

R0L0＝b58b50…b8

R0＝b57b49…b7

48位初始密钥k经分解、移位后产生子密钥ki；将R0与子密钥k1经密码函数f运算得到f(R0,k1)；与L0按位以模2加，得到R1；将R0作为L1，完成第一次迭代；依次类推，得到第i次迭代：

16次迭代

密码函数f的生成利用放大换位表E，将32位的Ri-1扩展成48位；放大换位表E32123454567898910111213121314151617161718192021202122232425242526272829282930313218个6位长与子密钥ki按位以模2相加；把结果分为8个6位长的数据块（48位）；再分别经选择函数（把6位转化为4位输出）S1、S2、…S8的变换，产生8个4位长的块，合为32位

；最后经单纯换位P得到输出。例：（1）利用放大换位表E，将32位的Ri-1扩展成48位；放大换位表EE1E2E3E4E5E6E7E832123454567898910111213121314151617161718192021202122232425242526272829282930313218个6位长（2）与子密钥ki按位以模2相加；（3）把结果分为8个6位长的数据块（48位）；设结果如下：B1B2B3B4B5B6B7B81001010100101101111101111011010100101001010110118个6位长（4）再分别经选择函数（把6位转化为4位输出）S1、S2、…S8的变换，产生8个4位长的块，合为32位

；B1＝b1b2b3b4b5b6＝100101h＝b2b3b4b5＝0010＝2R＝b1b6＝11＝3查表7.6得S1＝8＝1000B1B2B3B4B5B6B7B81001010100101101111101111011000100

10000101011011h=2h=9h=11h=11h=6h=9h=2h=13R=3R=0R=3R=3R=2R=0R=1R=1S1=8＝1000S2=7＝0111S3=14＝1110S4=14＝1110S5=7＝0111S6=13＝1101S7=11＝1011S8=14＝111032位48位经放大换位并与子密钥模2运算的结果经选择函数运算的结果（5）最后经单纯换位P得到输出f。S1S2S3S4S5S6S7S8100001111110111001111101101111108个4位长单纯换位表P167202129122817115232651831102824143227391913306221142516次迭代后的R16L16，经IP-1得到密文。逆置换IP-1Ri，Li分别为32位的，故16次迭代后的LiRi为64位的；这64位的数据经过IP-1

置换；40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725子密钥的生成密钥本身是64位，但其中第8，16，24，‥64位是奇偶校验位，所以K实质只有56位；这56位的数据经过选择换位PC－1；57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124C0D08×7这56位的数据经过选择换位PC－1后产生的结果分为两部分C0、D0，分别是上下各28位；然后分别经过循环左移位，得到C1、D1；每次移位的次数有规定（表7.10）。迭代次数12345678910‥1516左移位数1122222212‥21将C1、D1合并后再经过缩小换位PC－2，即得到48位的子密钥K1。依次类推，产生K2、K3‥K16。1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932缩小选择换位PC－2（2）DES算法解密过程DES的解密算法与加密算法一样，只是第一次迭代的过程中使用密钥k16，第二次使用k15‥‥，最后一次使用k1。或者采用循环右移密钥的方法，每次移位的次数和加密是相同。迭代次数12345678910‥1516左移位数1122222212‥21（3）DES算法的安全性56位密钥的穷举空间256；1秒钟攻击100万个密钥，需2000年；金融卡主要采用：双长度密钥3-DES算法。（4）弱密钥某些数据组合的密钥（全0、全1或一半全0和全1）可能形成相同的子密钥；只产生2种不同的子密钥（半弱密钥）；只产生4种不同的子密钥。序号弱密钥值（初值，56位）加上校验位的初始密钥值（64位）10000000000000001010101010101012FFFFFFFFFFFFFFFEFEFEFEFEFEFEFE30000000FFFFFFF01010101FEFEFEFE4FFFFFFF0000000FEFEFEFE01010101表7.11DES弱密钥（16进制）对明文用不同的密钥进行多次加密。三重DES算法：C＝EK1(DK2(EK1(P)))P＝DK1(EK2(DK1(C)))（5）多重DES对称密码体制的密钥使用了一段时间以后就需要更换，加密方需通过某种秘密渠道把新密钥传送给解密方。（6）DES算法存在的问题由于对称密码体制的加密密码和解密密码相同，因此：当密钥使用一段时间后，需要修改，存在密钥传递的过程，可能容易泄漏。其次，发送方和接收方都可以利用密码修改信息，产生信息的不真实，而第三方也无从考证何方正确。2.非对称密码体制加密密钥与解密密钥不同；且不能用加密密钥推出解密密钥，从而使加密密钥可以公开传递。（1）特点（2）优点密钥分发简单；秘密保存的密钥量减少；公钥的出现使得非对称密码体制可以适应开放性的使用环境；可以实现数字签名－安全。（3）数字签名利用加密技术实现的一种数据传送方式。优点：接收方能对公证的第三方证明其收到的报文的真实性；发送源也能够说明其真实性。（4）非对称密码体制存在的问题保密强度远远达不到对称密码体制；保密强度建立在某一个特定的数学问题的求解的困难上；（5）非对称密码体制的代表

RSA算法－－分组密码算法，其安全性是建立在大整数的素数因子分解的困难性上的。（6）RSA算法简介任选两个大素数p、q，计算乘积n；

n＝p×q相应的欧拉Euler函数；

Φ（n）＝（p－1）（q－1）任选一个与Φ（n）互素的整数e作为加密密钥，再根据e求出解密密钥d，d满足：de≡1modΦ（n）（6）RSA算法简介加密过程：先将明文（m）数字化：（用二进制数据表示明文）；分割：把明文分成长度小于logn位的明文块，以确保每个明文块值不超过n。注意：在参数p、q、n、Φ（n）、e、d，p、q、Φ（n）、d是保密的，n、e则是公开的；计算中P、q不再需要，可以舍去，但绝不能泄露。明文和密文的对应关系：c≡E（m）＝memodn；解密过程：

m≡D（c）＝cdmodn；RSA算法举例：（1）设计密钥设素数p=5，q=17，公开密钥e＝19。计算：n＝p×q＝5×17＝85

Φ（n）＝（p－1）（q－1）＝64其中，p、q、Φ（n）是保密的，

n和e是公开的：n＝85，e＝19。（2）计算解密密钥d采用转辗相除法：首先令：G（0）＝Φ（n），G（1）＝e,V（0）＝0，V（1）＝1，然后计算：G（i＋1）＝G（i－1）－[G（i－1）/G（i）]·G（i）V（i＋1）＝V（i－1）＋[G（i－1）/G（i）]·V（i）商取整数一直进行到G（k）＝1为止，此时的V（k）即为解密密钥d。

G（0）＝Φ（n）＝64，

G（1）＝e＝19V（0）＝0，V（1）＝1，

G（2）＝

G（0）－[G（0）/G（1）]·G（1）＝64－[64/19]·19＝7商取整数

V（2）＝

V（0）＋[G（0）/G（1）]·V（1）＝0＋[64/19]·1＝3

G（3）＝

G（1）－[G（1）/G（2）]·G（2）＝19－[19/7]·7＝5

V（3）＝

V（1）＋[G（1）/G（2）]·V（2）＝1＋[19/7]·3＝7

G（4）＝

G（2）－[G（2）/G（3）]·G（3）＝7－[7/5]·5＝2

V（4）＝

V（2）＋[G（2）/G（3）]·V（3）＝3＋[7/5]·7＝10

G（5）＝

G（3）－[G（3）/G（4）]·G（4）＝5－[5/2]·2＝1

V（5）＝

V（3）＋[G（3）/G（4）]·V（4）＝7＋[5/2]·10＝27即密码的解密密钥d＝V（5）＝

27。c＝219（mod85）＝（216）（mod85）×23（mod85）＝（28）2（mod85）×23（mod85）＝1×8（mod85）＝8（mod85）（3）用密钥e将明文转换成密文c设明文为数字“2”，则密文：c≡E（m）＝memodn＝219（mod85）取余数m＝827（mod85）＝（281）（mod85）＝（28）10（mod85）×2

（mod85）＝1×2（mod85）＝2（mod85）（4）用密钥d将密文转换成明文mm≡D（c）＝cdmodn＝827（mod85）得到明文“2”。（5）RSA算法的缺点密钥的产生过于麻烦，受到素数生成技术的限制；为保证安全性，密钥n要求在500位以上，从而降低运算速度。（6）RSA算法的优点发送方不知道接收方的解密密钥；发送方不可能伪造或修改发方的报文，可解决数字签名的问题。

7.4.4密钥管理IC卡采用哪种密码体制，涉及到密钥的管理问题。由于密钥是可变的，密钥成了加密系统的关键。Question：IC卡中采用哪种密码体制，关键是什么？Answer：2.有何标准？国际标准化组织开展了密钥管理的标准化工作，制订了密钥管理标准DIS-8732。1.何谓密钥管理？密钥的产生、检验、分配、传递、保管、使用、销毁的过程。3.密钥管理系统－－层次结构密钥管理系统基本思想：用密钥来保护密钥；用第i层的密钥ki

来保护第（i+1）层的密钥Ki+1；Ki

本身也受到ki-1层的保护；