密鑰密碼系統介紹
這篇文章向大家闡述了Netscape公司是如何使用RSA的公用密鑰密碼系統來實現因特網安全的。Netscape的安全套接層的實現就利用了這篇文章中所討論的技術。
RSA的公用密鑰密碼系統廣泛地應用於計算機工業的認證和加密方面。Netscape得到RSA數據安全公司的許可可以使用公用密鑰密碼系統以及其它產品,尤其是認證方面的產品。
公用密鑰加密技術使用不對稱的密鑰來加密和解密,每對密鑰包含一個公鑰和一個私鑰,公鑰是公開,而且廣泛分佈的,而私鑰從來不公開,只有自己知道。
用公鑰加密的數據只有私鑰才能解密,相反的,用私鑰加密的數據只有公鑰才能解密,正是這種不對稱性才使得公用密鑰密碼系統那麼有用。
使用公用密鑰密碼系統進行認證
認證是一個驗證身份的過程,目的是使一個實體能夠確信對方是他所聲稱的實體。下面的例子包括Alice和Bob,並且向我們演示瞭如何使用公用密鑰密碼系統來輕易的驗證身份。下面的 {something}key 表示something 已經用密鑰 key 加密或解密。
假設Alice要認證Bob,Bob有一個密鑰對,即一個公鑰和一個私鑰,Bob透露給Alice他的公鑰(至於他是怎麼做的將在以後討論)。然後Alice產生一段隨機的消息,然後把它發給Bob。
A-->B random--message
Bob用自己的私鑰來加密這段消息,然後把加密後的消息返回給Alice。
B-->A {random--message}bobs--private--key
Alice接到了這段消息,然後用Bob以前發過來的公鑰來解密。她把解密後的消息和原始的消息做比較,如果匹配的話,她就知道自己正在和Bob通信。一個***者應該不知道Bob的私鑰,因此就不能正確的加密那段Alice要檢查的隨機消息。
但是,等一下,還有......
除非你確切的知道你在加密什麼,否則用你的私鑰加密一些東西,然後發給別人永遠不是一件好事。這是因爲加密後的數據可能會背叛你(記住,只有你能加密,因爲只有你纔有密鑰)。
所以,我們不加密Alice發送的原始消息,取而代之的是,由Bob構造一個消息摘要,然後加密它。消息摘要是從隨機消息中以某種方式提取出來的,並且具有以下特點:
摘要很難逆轉,任何假冒Bob的人不能從摘要得到原始消息
假冒者無法找到具有相同摘要的不同消息
通過使用摘要,Bob能夠保護自己。他首先計算出Alice發給他的隨機消息的摘要並加密,然後把加密後的摘要返回給Alice,Alice可以計算出相同的摘要,通過解密Bob的消息然後對比一下就可以認證Bob的身份。
近一點......
剛纔描述的技術稱爲數字簽名。Bob爲Alice產生的消息簽名,這樣做其實和加密Alice產生的隨機消息一樣危險。因此我們的認證協議需要一次以上的變形。部分(或者全部)的數據需要由Bob產生。
A-->B hello,are you bob?
B-->A Alice,This Is bob{digest[Alice,This Is Bob]}bobs-private-key
當Bob使用這個協議的時候,他知道自己發給Alice的是什麼消息,並且不介意簽名。他首先發送沒有加密的消息“Alice,This Is Bob。”然後發送加密的摘要。Alice能夠輕易的判斷Bob是Bob,並且Bob沒有籤任何他不願意籤的東西。
分發公鑰
Bob如何以一種可信賴的方式分發他的公鑰呢?我們假設認證協議是這個樣子的:
A-->B hello
B-->A Hi, I'm Bob, bobs-public-key
A-->B prove it
B-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
如果使用這個協議的話,任何人都可以是Bob。你需要的只是一個公鑰和私鑰,你跟Alice慌稱你是Bob,接着你用自己的公鑰代替Bob的公鑰,然後你通過用你的私鑰加密的東西來證明,這樣Alice就不能分辨出你不是Bob。
爲了解決這個問題,標準化組織發明了一個叫做證書的東西,一個證書包括下面的一些內容:
證書發行者的名字
證書發送給的團體
主題的公鑰
一些時間戳
證書是由證書發行者的私鑰簽名的,每個人都知道證書發行者的公鑰(即證書發行者有一個證書,等等)。證書是一種把公鑰綁定到名字的標準方式。
通過使用證書這種技術,每個人都可以通過檢查Bob的證書來判斷Bob是不是僞造的。假設Bob嚴格的控制着他的私鑰,並且的確是Bob得到了他的證書,那麼一切都好。下面是補償協議:
A-->B hello
B-->A Hi, I'm Bob, bobs-certificate
A-->B prove it
B-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
當Alice收到Bob的第一條消息,她可以檢查證書,覈實簽名(如上,使用摘要和公鑰加密),然後,覈實主題(Bob的名字)來判斷那是不是真的Bob。這樣她就相信公鑰是Bob的公鑰,然後要求Bob證明他的身份。Bob則重新進行一次上面的相同過程,計算消息的摘要,簽名之後發給Alice,Alice可以用從證書得到的公鑰檢查Bob的消息摘要,從而判斷Bob的身份。
一個壞傢伙 - 我們不妨叫他Mallet - 可以做下面的事情:
A-->M hello
M-->A Hi, I'm Bob, bobs-certificate
A-->M prove it
M-->A ????
但是Mallet在最後的消息中不能滿足Alice。Mallet沒有Bob的私鑰,所以他無法構造一條使Alice相信來自Bob的消息。
交換祕密
一旦Alice認證了Bob,她就可以做另外一件事-她能發給一條只有Bob才能解碼的消息:
A-->B {secret}bobs-public-key
A-->B hello
B-->A Hi, I'm Bob, bobs-certificate
A-->B prove it
B-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
A-->B ok bob, here is a secret {secret} bobs-public-key
B-->A {some message}secret-key
secret-key 的計算取決於協議的定義,但是它可以簡化成一個 secret 的副本。
你說什麼?
Mallet的袋子裏有很多詭計。雖然Mallet不能發現Alice和Bob交換的祕密,但是他可以干預並且破壞他們的對話。舉例來說,如果Mallet位於Alice和Bob,他可以選擇讓大多數的消息返回以及向前繼續傳輸沒有改變,但是破壞了特定位的消息(這對他來說很容易,因爲他知道Alice和Bob之間通信的協議)。
A-->M hello
M-->B hello
B-->M Hi, I'm Bob, bobs-certificate
M-->A Hi, I'm Bob, bobs-certificate
A-->M prove it
M-->B prove it
B-->M Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
M-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
A-->M ok bob, here is a secret {secret} bobs-public-key
M-->B ok bob, here is a secret {secret} bobs-public-key
B-->M {some message}secret-key
M-->A Garble[ {some message}secret-key ]
Mallet一直讓數據沒有改變的通過,直到Alice和Bob分享一個祕密。然後Mallet通過改變Bob發送給Alice的消息來進入這個方式中。這時候Alice是相信Bob的,因此她就可能相信這個改變的消息,然後按照它來做。注意Mallet並不知道這個祕密-他能做的所有事就是破壞用這個祕密的密鑰加密的數據。他可能不能利用這個協議製造出一條有效的消息,但是下一次,他可能幸運一點。
爲了防止這種破壞,Alice和Bob在他們的協議中引入了一種消息認證碼(MAC)。MAC是根據祕密的密鑰和傳輸的數據計算出來的,上面描述的摘要算法的屬性正好可以用於構造抵抗Mallet的MAC功能。
MAC := Digest[ some message, secret ]
因爲Mallet不知道這個祕密的密鑰,所以他無法計算出這個摘要的正確數值。即使Mallet隨機的改變消息,如果摘要數據很大的話,他成功的可能性也很小。舉例來說,通過使用MD5(RSA公司發明的一種很好的密碼摘要算法),Alice和Bob能和他們的消息一起發送128位的MAC值。Mallet猜中這個正確的MAC值的機率是18,446,744,073,709,551,616 分之1-也就是從來也不會猜出來。
下面是樣本協議,又訂正了一次:
A-->B hello
B-->A Hi, I'm Bob, bobs-certificate
A-->B prove it
B-->A {digest[Alice, This Is Bob] } bobs-private-key
ok bob, here is a secret {secret} bobs-public-key
{some message,MAC}secret-key
Mallet現在有麻煩了,Mallet可以改變任何的消息,但是MAC的計算將揭露他的欺詐行爲。Alice和Bob能發現僞造的MAC值並停止會話,Mallet就不能僞造Bob的消息了。
這是什麼時候的事?
最後的,但是同樣重要的是要防範Mallet鸚鵡學舌。如果Mallet記錄了會話的過程,他雖然可能不知道會話的內容,但是他可以重放這些會話。實際上,Mallet能在Alice和Bob之間做一些真正齷齪的事。解決的辦法就是從會話的雙方因如隨機因素。