(3)签名应该具有时间特征,防止签名的重复使用。(时效性) 8-3 对数字签名的要求是什么? 答:数字签名的设计要求:
(1)签名必须是依赖于被签名信息的一个位串模板,即签名必须以被签名的消息为输入,与其绑定;
(2)签名必须使用某些对发送者是唯一的信息。对发送者唯一就可以防止发送方以外的人伪造签名,也防止发送方事后否认;
(3)必须相对容易地生成该数字签名,即签名容易生成; (4)必须相对容易地识别和验证该数字签名;
(5)伪造数字签名在计算复杂性意义上具有不可行性,既包括对一个已有的数字签名构造新的消息,也包括对一个给定消息伪造一个数字签名; (6)在存储器中保存一个数字签名副本是现实可行的。 8-4 数字签名的基本原理什么?
答:一个数字签名方案由两部分组成:带有陷门的公开签名算法和验证算法。公开签名算法是一个由密钥控制的函数。对任意一个消息x,一个密钥k,签名算法产生一个签名y?sigk(x),算法是公开的,但密钥是保密的,这样,不知道密钥的人不可能产生正确的签名,从而不能伪造签名。验证算法ver(x,y)也是公开的,它通过ver(x,y)?true或false来验证签名。
8-5 分类说明数字签名的实现方法及其特点。
答:最基本的数字签名有基于对称密钥密码算法和基于公开密钥密码算法两种。 (1)基于对称密钥密码算法的数字签名方法
这种方法的本质是共享密钥的验证。基本形式是:用户A与B共享对称密钥密码体制的密钥k,要签名的消息为m。则签名算法就是加密算法:
y?sigk(m)?Ek(m)
发送方向验证方发送(m,y)。 验证算法就是解密算法:
ver(m,y)?true?m?Dk(y)
或加密算法:
ver(m,y)?true?y?Ek(m)
这个方法隐含着用户A、B都知道k和m,才能验证消息。这种方法不具有“唯一性”
特征,不是严格意义上的数字签名。这种签名算法主要用于防止通信双方A、B之外的人进行伪造,但对A、B间的欺骗(如伪造签名)将无能为力,因为他们共享了密钥k。 (2)基于公钥密码算法的数字签名方法
基于公钥密码算法的数字签名方法本质上是公钥密码加密算法的逆应用。此时发送方用自己的私钥对消息进行加密,接收方收到消息后用发送方的公钥进行解密,由于私钥由发送方自己保管且只有他本人知道,入侵者只知道发送者的公钥,不可能伪造签名,从而起到签名的效果。公正的第三方可以用发送方的公钥对签名的消息进行解密,从而证实消息确实来自于该发送者。
使用公钥密码体制:用户A选定私钥KRa、公钥KUa,加解密算法分别为E,D,将KRa保密,称为签名密钥;将KUa公开,称为验证密钥,则签名和验证过程为:
设用户A要向用户B发送消息m,用户A用自己的私钥加密(签名)消息m:y?EKRa(m),向B发送(m,y);用户B用A的公钥解密 (验证)签名:
ver(m,y)?True?m?EKUa(y)
8-6 直接数字签名和可仲裁数字签名的区别是什么?
答:直接数字签名是只涉及到通信双方的数字签名。为了提供鉴别功能,直接数字签名一般使用公钥密码体制。
可仲裁数字签名在通信双方的基础上引入了仲裁者的参与。通常的做法是所有从发送方X
到接收方Y的签名消息首先送到仲裁者A,A将消息及其签名进行一系列测试,以检查其来源和内容,然后将消息加上日期(时间戳由仲裁者加上),并与已被仲裁者验证通过的签名一起发给Y。仲裁者在这一类签名模式中扮演裁判的角色。前提条件:所有的参与者必须绝对相信这一仲裁机制工作正常。
8-7 当需要对消息同时进行签名和保密时,它们应以何种顺序作用于消息?为什么? 答:应先签名后加密。否则,攻击者可能伪造签名。(参考第6.3节RSA签名部分)。
8-8 DSA中,如果签名产生过程中出现s?0,则必须产生新的k并重新计算签名,为什么?
答:0元素没有逆,不能按照DSA签名算法完成签名。
第9章 密钥管理
9-1 为什么要进行密钥管理?
答:密码学中密钥作为密码变换的参数,通过加密变换操作,可以将明文变换为密文,或者通过解密变换操作,将密文恢复为明文。密钥管理就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序。密钥管理负责密钥从产生到最终销毁的整个过程,包括密钥的生成、存储、分配、使用、备份/恢复、更新、撤销和销毁等。密钥管理作为提供机密性、实体认证、数据源认证、数据完整性和数字签名等安全密码技术的基础,在整个密码学中占有重要的地位。
9-2 密钥的种类有哪些?
答:按照所加密内容的不同,密钥可以分为用于一般数据加密的密钥(即会话密钥)和用于密钥加密的密钥,密钥加密密钥又可分为一般密钥加密密钥和主密钥。 9-3 为什么在密钥管理中要引入层次式结构?
答:层次化的密钥结构意味着以少量上层密钥来保护大量下层密钥或明文数据,这样,可保证除了主密钥可以以明文的形式基于严格的管理受到严密保护外(不排除受到某种变换的保护),其他密钥则以加密后的密文形式存储,改善了密钥的安全性。层次化的密钥结构具有安全性强、可实现密钥管理的自动化的优点。 9-4 密钥管理的生命周期包括哪些阶段?
答:主要可分为:用户登记、系统和用户初始化、密钥材料的安装、密钥的生成、密钥的登记、密钥的使用、密钥材料的备份、密钥的存档、密钥的更新、密钥的恢复、密钥的恢复、密钥的撤消。
9-5 密钥安全存储的方法有哪些?
答:有两种方法:一种是基于口令的软保护,一种是基于硬件的物理保护。 9-6 密钥的分发方法有哪些?如何实现?
答:从分发途径的不同来区分,密钥的分发方法有网外分发和网内分发两种方式。网外分发方式是通过非通信网络的可靠物理渠道携带密钥分发给互相通信的各用户。网内分发方式是通过通信与计算机网络的密钥在线、自动分发方式。有两种:一种是在用户之间直接实现分配,另一种是设立一个密钥分发中心,由它负责密钥分发。后一种方法已成为使用得较多的密钥分发方法。
按照密钥分发内容的不同,密钥的分发方法主要分为秘密密钥的分发和公开密钥的分发两大类。
9-7 什么是数字证书?X.509的鉴别机制是什么?为什么要引入数字证书链?其工作原理是什么? 答:数字证书就是提供一种确保证书所携带的公钥与密钥持有人具有某种关联的可靠性以及传递这种关联和公钥本身的机制。
X.509的鉴别机制:要求在一次处理中,每一方A与一个称作认证中心CA的离线可信方相联系,A要登记他的公钥并获得CA的证书证实公钥。CA通过将A的公钥与它的身份绑
定来认证A的公钥,结果生成一个证书。证书由证书管理员产生,并发给拥有相应私钥的通信方(该证书的拥有者)。通信一方通过传递证书将密钥信息传递给另一方,其他通信各方可以验证该证书确实是由证书管理者产生的来获得公钥认证。由CA产生的用户证书有两个方面的特点:一是任何有CA公开密钥的用户都可以恢复并证实用户公开密钥;二是除了CA没有任何一方能不被察觉地更改该证书。正是基于这两点,证书是不可伪造的,因此它们可以放在一个目录内,而无需对目录提供特殊的保护。
如果用户的数目巨大,让所有用户向同一个CA申请证书涉及到大数据量的管理、通信量、响应速度等问题,同时CA的公开密钥要求要能安全地提供给每个客户也有困难。于是提出了一种分布式的CA认证方式,引入多个CA,多个CA还可以形成层次关系,位于上层的CA可以对下层CA颁发数字证书,从而形成证书链。
在一个证书链中,跟随每一份证书的是该证书签发者的证书;每份证书包含证书签发者的区别名(DN),该区别名就是证书链中下一份证书的主体的名字;每份证书都是使用签发者的私钥签发的。证书中的签名可以使用签发者证书(即证书链中的下一份证书)中的公钥加以验证。
9-8 简述X.509的三种鉴别过程。 答:1)单向鉴别
单向鉴别涉及到信息从一个用户A传送到另一个用户B,它只验证发起实体的身份,而不验证响应实体。
报文至少包括一个时间戳tA(防止报文的延迟传送)、一个不重复的随机数rA(用于检测重放攻击,并防止伪造签名)、B的身份标识。它们都用A的私钥签名。报文也可能传递一个会话密钥KAB,该密钥用B的公开密钥加密。
A→B: tA,rA,B,sgnData,EKUB?KAB?
2)双向鉴别
双向鉴别允许通信双方互相验证对方的身份。处理方式与单向鉴别相似,只是响应方要将发起方传来的随机数rA返回。
A→B:tA,rA,B,sgnData,EKUB?KAB? B→A:tB,rB,A,rA,sgnData,EKUA?KAB?
3)三向鉴别
在三向鉴别中,除了进行双向鉴别的两个传递外,还有一个从A到B的报文,它包含的是一个随机数rB的备份。这样,两个随机数都由另一方返回,每一方都可以检查返回的随机数来检测重放攻击,不再需要时间戳。因此这种方法适合没有同步时钟的应用。
A→B:tA,rA,B,sgnData,EKUB?KAB? B→A:tB,rB,A,rA,sgnData,EKUA?KAB?
A→B:?rA?
??????????第10章 序列密码
10-1 什么是序列密码?同步序列密码?自同步序列密码? 答:序列密码是以位或字节作为基本处理单元的密码。
在一个同步序列密码中,发送方和接收方必须是同步的,用同样的密钥且该密钥操作在同样的位置(态),才能保证正确地解密。
自同步序列密码的密钥流的产生与密钥和已经产生的固定数量的密文字符有关,即是一种有记忆变换的序列密码。
10-2 同步序列密码和自同步序列密码的特点分别是什么? 答:同步序列密码的特点:同步要求、无错误传播。
自同步序列密码的特点:自同步、有限的错误传播。 10-3 简述密钥流生成器在序列密码中的重要作用。
答:密钥流生成器生成的密钥流的周期、复杂度、随机(伪随机)特性等,是保证序列密码安全性的主要指标。
10-4 比较序列密码与分组密码。
答:分组密码以一定大小的分组作为每次处理的基本单元,而序列密码则是以一个元素(如一个字母或一个比特)作为基本的处理单元。
序列密码使用一个随时间变化的加密变换,具有转换速度快、低错误传播的优点,硬件实现电路更简单;其缺点是:低扩散(意味着混乱不够)、插入及修改的不敏感性。
分组密码使用的是一个不随时间变化的固定变换,具有扩散性好、插入的敏感性等优点;其缺点是:加解密处理速度慢、存在错误传播。 10-5 为什么序列密码的密钥不能重复使用?
答:序列密码是模仿的“一次一密”加密算法,其安全强度取决于密钥流生成器生成的密钥流的周期、复杂度、随机(伪随机)特性等,密钥的重复使用将导致其安全性降低。 10-6 在序列密码中为什么要使用线性反馈移位寄存器? 答:(1)LFSR非常适合硬件实现; (2)它们能产生大的周期序列; (3)它们能产生好的统计特性的序列;
(4)它们的结构能够应用代数方法进行很好的分析。 10-8 简要介绍RC4实现序列密码的主要算法。
答:RC4有两个主要的算法:密钥调度算法KSA和伪随机数生成算法PRGA。
密钥调度算法的作用是将一个随机密钥(典型大小是40位-256位)变换成一个初始置换,即相当于初始化状态矢量S,然后伪随机数生成算法PRGA利用该初始置换生成一个伪随机输出序列。伪随机数生成算法主要完成密钥流的生成。
第12章 密码学与数字通信安全
12-1 保密数字通信系统的一般组成是什么?
答:一般由以下8部分组成:信源编/译码单元、加密运算器、密码序列产生单元、密码同步控制单元、密码同步信号插入电路、密码同步信号检测与提取电路、解密运算器和信道传输设备。
12-2 对保密数字通信系统有什么要求? 答:略。
12-3 举例说明保密数字通信系统的一般模型。 答:略。
12-4 WAP是如何工作的?
答:一个安全的WAP会话通过两阶段实现:(1)WAP网关与WEB服务器间通过SSL进行安全通信,确保了保密性、完整性和服务器认证;(2)WAP网关和移动用户之间的安全通信使用WTLS协议。WAP网关将来自WEB服务器的经SSL加密的消息翻译成适合WTLS安全协议的无
线网络传输格式,再传给Web浏览器(即手机);从手机发往WEB服务器的消息同样经由WAP网关将WTLS格式转换成SSL格式。 12-5 在WTLS中如何使用密码算法? 答:略。
12-6 什么是WEP?
答:WEP是无线局域网标准802.11的有线等价保密协议,提供了认证和保密两个服务以实现无线局域网的客户和访问点AP间加密通信功能。认证被用于代替有线媒体的物理连接;保密被用于提供封闭式有线媒体的机密性。WEP定义用来防止非授权用户的“意外偷听”,它使用了对称密钥加密算法和RC4序列密码体制手段用来加密位于移动单元和基站之间的无线网络连接通信。
12-7 WEP的加、解密原理是什么? 答:
IVIV密钥种子WEPPRNG密钥序列XOR||密文消息明文完整性算法ICV||图12-12 WEP加密密钥IV
明文完整性算法||种子WEPPRNG密钥序列XOR密文消息ICV’比较ICV图12-14 WEP的解密
12-9 WEP有何优、缺点? 答: WEP的优势:
1) 全部报文都使用校验和,提供了抵抗篡改的能力。
2) 通过加密来维护一定的保密性。如果没有密钥,就不能把报文解密。 3) WEP非常容易实现。
4) WEP能为无线局域网WLAN应用提供基本的保护。
5) 可以由用户定义WEP密钥,而且没有限制。不必使用预定义的密钥,可以而且应该经常
更换它们。 WEP的缺点:
1)RC4加密算法是个公开的序列加密算法。这意味着为了加密,它使用有限的密钥来试图生成无限的伪随机密钥,这是序列加密算法的基本特征。
2)一旦修改了密钥,就不得不告诉每个人,以便他们能够调整设置。告诉的人越多,信息就变得越公开。
3)如果仅仅使用WEP,并不能提供足够的无线局域网WLAN安全。 4)必须在每个客户端和每个访问点AP间实现WEP,才能生效。 12-10 IPSec如何实现通信安全? 答:略。
12-11 VPN有何优势?
答:与一般专网相比,其突出的优势表现为低廉的费用和良好的可扩展性。 12-12 PGP如何保证电子邮件的安全性?
答:基于鉴别、机密性、压缩、电子邮件的兼容性和分段五种服务,实现电子邮件的机密性和可鉴别等安全功能。
第13章 密码学与工业网络控制安全