计算机网络安全原理（第2版）课件 第4章 PKI与数字证书

第四章PKI与数字证书内容提纲数字证书2PKI3证书透明性4密钥管理1密钥管理基于密钥保护的安全策略：保护密钥密钥管理包括密钥的产生、存储、分发、组织、使用、停用、更换、销毁等一系列问题，涉及每个密钥的从产生到销毁的整个生命周期。如何安全可靠、迅速高效地分配和管理密钥是密码学领域的重要研究课题。密钥管理重要阶段密钥生成：包括对密钥密码特性方面的测量，以保障生成密钥的随机性和不可预测性，以及生成算法或软件在密码上的安全性。用户可以自己生成所需的密钥，也可以从可信中心或密钥管理中心申请，密钥长度要适中。密钥使用：利用密钥进行正常的密码操作，如加密、解密、签名等，注意应用环境对密钥的安全性的影响。密钥更新：在密钥过期之前，为保证密钥的安全性，以新密钥代替旧的密钥，包括密钥的生成、密钥的推导、执行密钥交换协议等。密钥管理重要阶段密钥备份：以安全方式存储密钥，用于密钥恢复。密钥恢复：若密钥丧失但未被泄露，就可以用安全方式从密钥备份中恢复。密钥存档：不再正常使用的密钥可以存入档案中，用于解决争执。它是密钥的后运行阶段工作。密钥吊销：若密钥丢失或在密钥过期之前，需要将它从正常使用的集合中删除。密钥销毁：对于不再需要使用的密钥，要将其所有复本销毁，而不能再出现。不同性质密钥的管理问题对称加密：通信双方必须共享一个密钥，这个密钥还要防止被他人获得；公开加密：通信各方必须发布其公开密钥，并防止其私钥被其他人获得。

密钥还需经常更换，以便攻击者知道密钥的情况下使得泄漏的数据量最小2024/7/226对称密钥分配的几种方法

人工方法：A选定密钥，通过物理方法安全传递给B。可信任第三方C选定密钥，通过物理方法安全传递给A和B。人工方法不适用于大量连接的现代通信对称密钥分配的几种方法

通信方法：如果A和B先前或者最近使用过一个密钥，则一方可以将新密钥用旧密钥加密后发送给另一方如果A和B到第三方C（密钥分配中心，KDC）有加密连接，C可以通过该加密连接将密钥传送给A和B若第三方C（认证中心CA）发布A和B的公钥，A和B可用彼此的公钥来加密通信公开密钥的管理公开密码体制的密钥管理：私钥的分发与对称密码体制类似，公钥的分发问题：将产生的公开密钥安全地发送给相关通信参与方的技术和方法问题：如果公钥的完整性和真实性受到危害，则基于公钥的各种应用的安全性将受到危害。在公钥管理过程中采取了将公钥和公钥所有人信息绑定的方法，这种绑定产生的就是用户数字证书（DigitalCertificate,DC）内容提纲数字证书2PKI3证书透明性4密钥管理1数字证书是一种由一个可信任的权威机构（CA）签署的信息集合。在不同的应用中有不同的证书，如公钥证书（PublicKeyCertificate,PKC）、PGP证书、SET证书等。数字证书公钥证书公钥证书主要用于确保公钥及其与用户绑定关系的安全，一般包含持证主体身份信息、主体的公钥信息、CA信息以及附加信息，再加上用CA私钥对上述信息的数字签名。目前应用最广泛的证书格式是国际电信联盟（InternationalTelecommunicationUnion,ITU）制定的X.509标准中定义的格式数字证书X.509最初是在1988年的7月3日发布的，版本是X.509v1，当时是作为ITUX.500目录服务标准的一部分。在此之后，ITU分别于1993年和1995年进行过两个修改，分别形成了X.509版本2(X.509v2)和版本3(X.509v3)，其中v2证书并未得到广泛使用X.509证书X.509数字证书360浏览器中的数字证书证书保存格式证书保存格式aDERencodedcertificateopenedinaHEXeditorthesamecertencodedasBase64alsoopenedinaHEXeditor证书保存格式FinallyhereisthesamecertificateinASN.1humanreadableform(thisisn’tthewholecert)数字证书数字证书数字证书数字证书数字证书数字证书数字证书?关于证书指纹1、浏览器显示的指纹就是证书签名吗？2、YES，那为什么长度都是160位？3、NO，那它跟证书签名有什么关系？是证书签名值的一部分还是完全独立的？摊销证书列表（CRL）证书有效性验证内容提纲数字证书2PKI3证书透明性4密钥管理1有了证书以后，将涉及证书的申请、发布、查询、撤销等一系列管理任务，因此需要一套完整的软硬件系统、协议、管理机制来完成这些任务，由此产生了公钥基础设施（PKI）PKI一、PKI组成PKI系统组成PKI认证体系2024/7/2233在PKI中，CA是所有注册用户所依赖的权威机构，它严格遵循证书策略机制所制定的PKI策略来进行证书的全生命周期的管理，包括签发证书，管理和撤销证书。CA是信任的起点，只有信任某个CA，才信任该CA给用户签发的数字证书。为确保证书的真实性和完整性，CA需要在给用户签发证书时加上自己的签名CA对于大范围的应用，特别是在互联网环境下，由于用户众多，建立一个管理全世界所有用户的全球性PKI是不现实的，因此往往需要很多个CA才能满足应用需要，这就涉及到CA间的信任问题，即CA信任模型CA对于具有明显层次结构的行业或组织，如政府（国家省市县）、全国性的公司（如银行、中石油、中石化、税务、工商等）等，可以将组织中的最高层次的机构作为信任的起点。等级层次高的CA为下层的CA颁发数字证书，其中最高层的CA被称为根CA（RootCA），面向终端用户的一般是最下层的CA，这就是“树模型（treemodel）”或“层次模型（hierarchymodel）”CA树模型CA树模型信任树（treeoftrust）信任锚（trustanchor）要验证一份证书（C1）的真伪（即验证CA对该证书信息的签名是否有效），需要用签发该证书（C1）的CA的公钥进行验证，而CA的公钥保存在对这份证书进行签名的CA证书（C2）内，故需要下载该CA证书（C2），但使用该证书验证又需先验证该证书本身的真伪，故又要用签发该证书的证书（C3）来验证，这样一来就构成一条证书链的关系（C1-C2-C3……），这条证书链在哪里终结呢？CA树模型根证书是一份特殊的证书，它的签发者是它本身（根CA），安装了根证书就表明你对该根证书以及用它所签发的证书都表示信任，不需要再通过其他证书来验证，证书的验证追溯至根证书即结束。CA信任模型如果一个组织本身就采用层次结构，则上述层次结构的CA组织方式就非常有效。但是，对于内部不采用层次结构的组织以及组织之间，则很难使用层次结构的CA组织方式。解决这个问题的一般方式是权威证书列表，即将多个CA证书机构内受信任的、含有公钥信息的证书安装到验证证书的应用中。一个被广泛使用的典型应用就是Web浏览器。权威证书列表：Web模型权威证书列表：Web模型★

Web模型依赖于流行的浏览器浏览器CA的公钥（如Verisign）

CA的私钥Web服务器的数字证书浏览器厂商起到信任锚的作用，预装公钥的CA就是它所认证的CA——有隐含根的严格层次结构。预装

签发

信任的传递浏览器用户得到Web服务器的公钥大多数Web浏览器中包含有50个以上的受信任的CA证书，并且用户可以向浏览器中增加受信任的CA证书，也可以从中删除不受信任的证书。当接收到一个证书时，只要浏览器能在待验证证书与其受信任的CA证书之间建立起一个信任链，浏览器就可以验证证书。权威证书列表：Web模型360浏览器预置的CA数字证书权威证书列表：Web模型(a)根CA证书(b)中间CA证书从本质上讲，上述Web浏览器信任模型是一种隐含根（将权威证书列表中的证书作为受信任的根CA）的严格层次模型，通常称为“Web模型（WebModel）”。权威证书列表：Web模型Web模型有什么问题呢？信任“不称职的”CA带来的安全问题信任“坏的”CA带来的安全问题撤销一个受信任的CA根证书的困难性权威证书列表：Web模型当前，CA的信任体系没有唯一的信任根（信任锚点，TrustAnchor），预装到浏览器或操作系统中的可信根CA证书有一百多个，他们又通过成千上万个二级或三级CA签发最终的Web服务器证书。这种信任模型最大的安全问题是，任何一个CA都可以为任何一个网站（域名）签发公钥证书，而不需要该网站的授权讨论：Web信任模型的安全问题讨论：Web信任模型的安全问题如果CA出了问题，如私钥泄露了该怎么办？2011年8月，荷兰CA安全证书提供商DigiNotar的服务器被发现遭黑客入侵。黑客为包括G在内的20多个领域的531个网站发行了伪造的CA证书，经分析DigiNotar的8台证书服务器均遭入侵。2011年7月19被发现入侵，但外界直到8月份才知道。出了这种事，后果是什么？用户如何应对？讨论：Web信任模型的安全问题如果根CA不可信，会有什么后果？如果互联网接入服务提供商（ISP）能作为CA签发证书，它能做什么？交叉认证（crosscertification）是指通过某种方法将以前无关的CA连接在一起，建立起信任关系，彼此可以进行安全认证。它通过信任传递机制来完成两者信任关系的建立，是第三方信息关系的拓展，即一个CA的用户信任所有与自己CA有交叉认证的其他CA的用户。CA交叉信任模型三种实现方式各PKI的CA之间互相签发证书，从而在局部PKI之间建立起了信任关系由用户控制交叉认证，即由用户自己决定信任哪个CA或拒绝哪个CA由桥接CA控制交叉认证。桥接CA（BridgeCA）是一个第三方CA，由它来沟通各个根CA之间的连接和信任关系。CA交叉信任模型CA交叉信任模型一般将上述交叉认证建立的CA信任模型称为“森林模型”CA交叉信任模型假设Alice有CA1公钥，Bob有CA2公钥，交叉认证后，Alice的信任能扩展到CA2的主体群（包括Bob），反之亦然。CA交叉信任模型双向交叉认证有什么问题？只适用于CA数量较少的情况，但当CA数量较大时，大量CA两两进行交叉认证就会形成复杂的网状结构，且证书策略经过多次映射之后会使证书用途大大受限CCS2020论文：PKIs是目前网络安全建设的基础和核心，其中CAs是PKI的核心。CAs能够为服务器，应用或者用户签发证书，证书可以被用来证明所有者的身份。论文对证书交叉签名的使用和安全性进行了系统性研究，分析了WebPKI系统中交叉验证现状，展示了交叉验证的优点和风险交叉认证问题交叉认证问题交叉认证的四种类型交叉认证问题交叉签名在带来好处的同时，也承担着一定的风险：一方面，交叉签名没有被系统的跟踪，这给HTTPS安全审计带来了挑战；另一方面，中间证书的撤销机制一般由CA完成，因此被交叉验证的中间证书的撤销也可能存在问题。交叉认证问题Let’sEncrypt提供免费加密证书服务，在获得IdenTrust交叉签名认证后为主流浏览器支持。Let’sEncrypt证书已经被黑客用的极度泛滥了交叉认证问题基于区块链实现的分布式信任模型CA机构以联盟链的方式，通过共识完成CA证书的验证工作。经过共识的证书将记录到区块链当中，这些证书就被区块链中所有CA认为是可信的证书。CA分布式信任模型CA分布式信任模型以用户为中心的信任模型（usercentrictrustmodel）每个用户自己决定信任其他哪些用户，还可以信任介绍人介绍的对象，从而形成一种信任网（Weboftrust）。但是，这种信任关系的传递不一定是必须的（A信任B，B信任C，并不代表A也要完全信任C。在信任传递过程中，信任的程度可能是递减的）。PGP采用的就是这种信任模型用户为中心的信任模型RA（RegistrationAuthority）是专门负责受理用户申请证书的机构，它是用户和CA之间的接口RA和CA可以合一（小型PKI），最好分离支持在线受理和离线受理RA为方便证书的查询和使用，CA采用“证书目录”的方式集中存储和管理证书，通过建立目录服务器证书库的方式为用户提供证书服务。大多数PKI中的证书目录遵循的标准是X.500，在互联网环境下更多采用了简化版的X.500：轻量级目录存取协议LDAP。证书发布系统PKI策略是指一个组织建立和定义的公钥管理方面的指导方针、处理方法和原则。在PKI中有两种类型的策略：一是证书策略，用于管理证书的使用；另一个是证书实践指南（CertificatePracticeStatement,CPS）PKI策略二、证书签发和撤销证书签发和撤销流程签发流程：申请用户向RA申请注册经RA批准后由CA产生密钥，并签发证书将密钥进行备份将证书存入证书目录。CA将颁发的证书信息存入证书目录，以便用户下载或查询CA将证书副本送给RA，RA进行登记RA将证书副本送给用户证书签发什么情况下需要撤销证书?过了有效期证书公钥对应的私钥被泄露或证书的持有企业倒闭，或证书的持有人严重违反证书的规定等情况证书持有人还可申请临时停用证书，称为“证书冻结”证书撤销撤销流程：申请、批准、撤销两种发布证书撤销消息的方式一是CA定期公布证书撤销列表（CRL），时间间隔由CA的证书策略决定（实时性和效率）二是用户在线查询：IETFPKIX制定的在线证书状态查询协议（OnlineCertificateStatusProtocol,OCSP）支持用户在线查询，实时获得证书的状态（有效、撤销、冻结）证书撤销CA的证书也需要撤销，描述CA等证书机构的撤销证书的列表称为机构撤销列表（AuthorityRevocationList,ARL）证书撤销三、证书使用证书使用查询首先获取证书，以及一些额外辅助验证的证书（如CA的证书，用于验证发送者证书的有效性）然后，验证证书证书使用验证证书过程用CA根证书中的CA的公钥验证证书上的CA签名（这个签名是用CA的私钥生成的）是否正确检查证书的有效期项是否处在有效期内验证证书内容的真实性和完整性验证证书是否已被撤销或冻结（OCSP在线查询方式或CRL发布方式）验证证书的使用方式是否与证书策略和使用限制相一致。证书使用从使用过程来看，CA用于签发证书的私钥的保密性非常重要，如果一旦泄露，所有由该CA签发的证书将不能再使用。因为获得该CA私钥的任何人都可以签发证书，导致用户无法区分是真正CA签发的，还是获得泄露出来的CA私钥的人签发的。2011年8月，荷兰CA供应商DigiNotar的8台证书服务器被黑客入侵事件

证书使用扩展：常见证书错误扩展：常见证书错误扩展：常见证书错误扩展：常见证书错误扩展：常见证书错误扩展：常见证书错误扩展：常见证书错误四、PKIXIETF成立了PKI工作组，制定了PKIX系列标准（Public

Key

Infrastructure

on

X.509,PKIX）。PKIX定义了X.509证书在Internet上的使用规范，包括证书的产生、发布、获取、撤销，各种产生和发布密钥的机制，以及怎样实现这些标准的框架结构等PKIX标准PKIX标准PKIX标准PKIX内容提纲数字证书2PKI3证书透明性4密钥管理1PKI体系中，用户无条件信任由可信第三方（CA）签发的证书。但是，如果CA服务器被攻击或CA在签发证书时没有对申请者进行严格的尽职调查，就会产生严重的安全问题。几起典型CA问题事件CA有问题怎么办？为了解决盲目信任CA签发的证书所存在的潜在风险，Google于2013年3月提出了数字证书透明性（CertificateTransparency,CT)技术，用于提升服务器证书的可信性，从而提高使用证书的系统的安全性。同年6月，IETF发布CT试验性标准：RFC6962(CertificateTransparency)。2014年1月，IETF成立PublicNotaryTransparency(TRANS)工作组，专门讨论设计、部署、使用CF时碰到的各种问题CA有问题怎么办？证书透明性Gossip协议

CT能够对证书进行公开审计，确保网站访问者不受恶意或者错误的证书所害。安全风险：CT也引入了新的运行风险，如Log服务器为虚假证书创建了一条日志，Monitor不通知域名所有者存在针对其域名的虚假证书等证书透明性本章小结作业参考内容一、证书指纹关于证书指纹用openssl读出来的google的证书的数字签名算法和数字签名,证书里没有“指纹”这个字段关于证书指纹用openssl读出来的apple的证书的数字签名算法和数字签名,证书里也没有“指纹”这个字段关于证书指纹用openssl的命令查看google证书的sha1指纹：与浏览器中看到的指纹一致！关于证书指纹指纹并不是证书本身的一个字段，而是浏览器额外计算出来显示的，进一步验证结果和浏览器显示的指纹一致=整个证书的sha1散列值关于证书指纹指纹并不是证书本身的一个字段，而是浏览器额外计算出来显示的，IE/360浏览器默认用sha1计算指纹(160位)，而google的chrome默认计算了sha1和sha256指纹1、浏览器显示的指纹就是证书签名吗？2、YES，那为什么长度都是160位？3、NO，那它跟证书签名有什么关系？是证书签名值的一部分还是完全独立的？关于证书指纹1、浏览器为什么要计算整个证书的指纹？关于证书指纹1、浏览器为什么要计算整个证书的指纹？关于证书指纹2、证书中哪些字段参与哈希签名计算？关于证书指纹2、证书中哪些字段参与哈希签名计算？关于证书指纹2、证书中哪些字段参与哈希签名计算？关于证书指纹3、证书中哪些字段参与指纹计算？关于证书指纹/2013/04/16/understanding-x-509-digital-certificate-thumbprints/关于证书指纹关于证书指纹关于证书指纹关于证书指纹二、Web证书信任问题证书共享：随着技术的发展，多个实体（如网站）共享一个证书的情况已经比比皆是了CDN场景集团公司和子公司场景讨论：证书共享的安全问题类似IBM和nic.weatherchannel的情况非常普遍，由于Web网站的HTTPS部署比较复杂而且技术仍在进一步发展，共享证书的多个网站之间难免会出现配置故障或者策略不一致的现象。讨论：证书共享的安全问题用自签名证书伪造知名网站证书2020.3.26