密钥配送问题
问题缘由
之前讲的分组密码算法是使用的对称密钥,也就是说加密和解密用的同一个密钥。如果两个人通信。其中一个是发送者,一个是接收者,这两者之间要正常通信,就必须同时知道这个密钥。这就是密钥配送问题的由来。
配送问题解决办法
- 事先共享密钥。这个很容易理解,例如先用人把密钥告诉对方。问题也很明显,每次通话都需要不同的密钥,那么密钥数量是海量的。这会导致人力根本无法晚成。
-
通过密钥中心分配。简单的说是通过一个中心服务器进行分配密钥。这个解决办法带出会话密钥的概念。具体的方式如下:
1、中心服务器为每一个人分配唯一一个私有的密钥
2、A和B需要通信,就向中心服务器申请一个临时的会话密钥
3、中心服务器把会话密钥分别用A和B的私有密钥进行加密,然后发送给A和B
4、A和B接收到会话密钥的密文后,用自己的私有密钥进行解密获得会话密钥,再用会话密钥进行通信。
问题。全部人员所有通信密钥都产生于一个地方,这个地方的压力就相当大,而且一旦此服务器坏掉,则所有人员无法通信。 - Diffie-Hellman密钥交换解决办法。这个的特点是通信双方通过交换一些信息,分别计算出通信密钥。而这些信息哪怕被窃听者知道,窃听者也无法计算出密钥。SSL通信使用的就是这种技术。
- 公钥密码解决办法。这个就是本章要介绍的解决办法。
公钥密码
- 所谓公钥密码,其实就是参与加密和解密的是两套密钥。
加密用接收者的公钥,接收者用私钥进行解密,公钥和私钥是成对的。
由于加密的是公钥,也就是本身就是公开的,所以即使是窃听者截获了公钥也不能对密文进行解密。这就解决了刚才讨论的对称密钥的密钥配送问题。 - 目前RSA是事实的公钥密码算法标准。
-
问题:
1、公钥是否是真的接收者发送的公钥?这个涉及到公钥认证问题,也就是可能受到中间人攻击。
2、公钥密码加密的速度远远低于对称密钥,大概只有对称密钥的几百分之一,这在实际应用中也是一个明显的缺陷。
RSA
加解密算法
-
加密算法。
- 密文 = 明文 E mod N ,就是明文自己乘以自己E次(E次幂),再和N取模。
- 公钥 = {E,N}
-
解密算法。
- 明文 = 密文 D mod N ,就是密文自己乘以自己D次(D次幂),再和N取模。
- 私钥 = {D,N}
-
生成密钥对。也就是计算 E、N、D。
- 准备两个很大的质数 p 和 q。
- N = p x q
- L = lcm(p-1, q-1) 【L是中间过程的数值,L为 (p-1) 和 (q-1)的最小公倍数】
- 求解E,满足如下条件:
1 < E < L
gcd(E, L) = 1 【E和L的最大公约数为1】 - 求解D,满足如下条件:
1 < D < L
E x D mod L = 1
针对RSA攻击
-
基于密钥生成原理的攻击
从上面的生成原理可以看到,E、N是公开的,D、p、q、L不是公开的。- 通过密文求得明文。
如果仅仅是"密文 = 明文 E",那么完全可以通过求对数由密文得到明文。但是由于加上了"mode N",所以问题变成了求离散对数。
这个目前没有高效的算法,此办法不通。 - 暴力破解D。
目前p和q基本是512比特,N为1024,E和D基本和N一样。
如此长度下,暴力破解几乎不可能,此办法不通。 - 通过E和N求出D。
问题在于L不知道,其实最根本的是不知道p和q。
p和q是绝对不能让攻击者知道的,这等同于知道私钥。 - 对N进行质因数分解攻击。
N是由p和q相乘得到的,N是公开的,所以如果能进行N的质因数分解,就能得到p和q。
但现在没有针对打证书进行质因数分解的高效算法,所以目前RSA还未破解。
从中可以得到p和q的长度很重要。 - 通过推测p和q进行攻击。
p和q是伪随机数生成的,如果伪随机数的算法很差,那么密码是可以被推测破译的。
- 通过密文求得明文。
中间人攻击
下面讲解整个流程,就很清楚如何进行攻击的了。
- 发送者通知接收者传递其公钥,用来加密信息
- 攻击者窃听到此内容
- 接收者向发送者发送公钥
- 攻击者截留接收者发送的公钥信息,而自己将自己的公钥发送给发送者
- 发送者收到攻击者的公钥后,以为是接收者的公钥,则加密发送信息给接收者
- 攻击者截留发送者发送信息,然后用自己的私钥解密,获得明文信息
- 攻击者篡改发送者信息,然后用第4步截留的接收者的公钥将篡改后的信息加密,发送给接收者
- 接收者接收到攻击者篡改的密文后,可以正常的解密此信息,会认为此篡改的信息是发送者发送的
中间人攻击成功的根因在于,发送者和接收者都无法判断接收到的信息,是否是真正的正确的人发送的信息。这就涉及到认证的问题。此问题后面章节会解决。
