安全协议考试重点
前言
這是一篇水文,全是為了9號安全協議的考試
基礎概念
破解算法的種類
1.完全破解
2.全部推導
3.實例破解
4.信息推導
協議的特性
1.各方必須了解協議
2.各方必須一致遵守。
3.協議必須明確
4.協議必須完整
安全協議的種類
1.仲裁協議:涉及可信第三方
2.判決協議:可信第三方,事后可做判決
3.自執行協議:沒有可信第三方
協議攻擊手段
1.密碼攻擊:針對協議中使用的密碼算法的攻擊、針對用于實現算法和協議的密碼技術的攻擊、對協議本身的攻擊
2.被動攻擊:竊聽協議中的部分或全部
3.主動攻擊:引入新消息,刪除消息,中斷,修改,回復
4.被動欺騙攻擊:遵循協議,但嘗試獲得更多信息
5.主動欺騙攻擊:破壞協議在進行中企圖作弊
安全協議的特征
1.機密性:只有授權獲得數據的人才能獲得數據。
2.完整性:數據未被未經授權的實體更改。
3.身份驗證:數據確實來源于所聲稱的發送者。
4.不可否認性:實體不能拒絕發送他們提交的數據。
5.新鮮度:無用的東西是不可猜測的,而且永遠不會重復使用。
Dolev-Yao 威脅模型
Dolev Yao威脅模型代表一個可以竊聽、攔截和合成任何消息的攻擊者,并且僅受所使用的加密方法的約束的限制。
假設攻擊者可以:
1.獲取通過網絡傳遞的任何消息
2.作為網絡的合法用戶(即可以發起與任何其他用戶的對話)
3.可以成為任何發送者的接收者
4.可以通過冒充任何其他實體向任何實體發送消息。
我們認為:
任何通過網絡發送的消息都是攻擊者發送的。
因此,接收到的任何消息“可能”都被攻擊者操縱了。
攻擊者可以控制事物的發送方式
但是攻擊者不能做到
1.無法猜出作為安全協議的一部分選擇的隨機數。
2.如果不知道密鑰,攻擊者無法從密文中找出明文,也不能從明文中創建密文。
3.無法解決公鑰的私鑰配對問題
4.無法控制合法用戶的計算設備的“內存”
常見攻擊方式
1.竊聽
2.篡改
3.重放
4.中間人攻擊
5.反射
6.拒絕服務
秘密的分割與共享
秘密分割
將一個消息分割成n份,每一塊單獨看都不具有意義,但所有的塊集合起來能恢復出原消息
例如:
消息m,隨機數r
m xor r = s
將r交給A
將s交給B
那么只有當A,B同時在場的時候,才可以復原消息m,單獨來看都不具備意義
存在問題:
若有人丟失了自己的那一份,則完整的秘密將無法復原
秘密共享—門限方案
將一個群體的簽名密鑰分發給群體中的每個成員,使得任何成員個數不少于門限值的子集都可以產生簽名。
任何成員個數少于門限值的子集都無法以產生簽名。
門限簽名是最普通、最常用的群體簽名。
其方法是將一個群體的簽名密鑰分發給群體中的每個成員,使得任何成員個數不少于門限值的子集都可以產生簽名
而任何成員個數少于門限值的子集都無法以產生簽名
將秘密分割為n份,只有其中m個人在一起,才能夠復原秘密,這叫做(m,n)門限方案
一般使用函數實現:
例如多次方程:
假設是(2,n)方案,那么則使用1次方程即可:ax+b=y
假設是(3,n)方案,那么則使用2次方程即可:ax^2+bx+c=y
……
假設是(m,n)方案,那么則使用m-1次方程即可:ax^(m-1)+bx^(m-2)……+z=y
閾下信道
即消息本身不包含秘密信息,通過交換完全無害的簽名消息,他們可以來回傳秘密信息
比特承諾
A向B承諾一個消息,在有效期內,A可以向B證實承諾的消息,但是A無法欺騙B
拋幣問題
讓彼此互不信任的雙方對一個隨即位達成共識
智力撲克
能夠使玩家利用虛擬撲克牌通過一條交流渠道來進行打撲克牌游戲
不經意傳輸
A掌握某個秘密信息,B不知道信息
協議結束后,B以1/2的概率獲得信息s
但是A不知道B是否得到了s
認證與密鑰建立協議
關于身份認證
一般的交互傳輸,很容易產生重放攻擊
較為好的做法是引入挑戰響應機制
加入Nonce和hash函數,如此一來可以阻止重放攻擊
建立一個擁有第三方的密鑰建立協議
1.0版本
這顯然存在顯著攻擊問題,一切傳輸皆明文,攻擊者可竊聽,偽造,中間人攻擊
2.0版本
傳輸過程中,用服務器與A和B的公共密鑰,分別加密KAB
防止明文傳輸,導致竊聽等問題
但存在中間人攻擊問題:
攻擊1:
中間人只需要攔截最后A給B的消息,并將發送給B的人改成自己,即可和B建立連接
攻擊2:
在A給服務器請求和B通信的時候,攻擊者攔截消息,將想要通信的人改為自己
則可以輕松讓A建立與自己的聯系,成功偽造成B
3.0版本
為了讓A知道自己和誰在通信,所以服務器在反饋時加入了通信對象
在給A的信息中,加入了即將通信對象B
在給B的信息中,加入了即將通信對象A
但依舊存在偽造攻擊
即服務器不能確定,向自己申請的人是否和發送的消息相符
比如我是C,我卻說自己是A,服務器無法辨別
4.0版本
為此加入了挑戰響應機制
即加入了nonce,服務器即可判斷給他發送消息的人是誰
為了保證A不被C假冒(B無法辨別A的身份):
故此加入了雙重挑戰響應機制,來到了最后的5.0版本
5.0版本
最后得到了較為穩定安全的密鑰建立協議
基于Diffie-Hellman的三方密鑰建立協議
1.A選擇一個隨機大整數x,然后將g^x%n發送給B
2.B選擇一個隨機大整數y,然后將g^y%n發送給C
3.C選擇一個隨機大整數z,然后將g^z%n發送給A
4.A將(g^zx)%n發送給B
5.B將(g^xy)%n發送給C
6.C將(g^yz)%n發送給A
7.A將(g^yzx)%n發送給B
8.B將(g^zxy)%n發送給C
9.C將(g^yxz)%n發送給A
最后大家都得到了密鑰g^xyz%n
基于口令的協議
1.在線字典攻擊:加入圖形碼
2.離線字典攻擊:加入salt
EKE協議
防止離線字典攻擊:
前向安全簽名
概念
把密鑰的有效期分成時段,在每個時段的最后,簽名者以一個單向的模式,從當前時段的秘密密鑰得到一個新的下一個時段秘密密鑰,并且安全地刪除不再使用的秘密密鑰。
整個密鑰的生命周期里的公鑰不改變,這個方法確保了泄露秘密的時段以前的所有簽名的有效性。
解決問題
解決問題:一旦秘密密鑰丟失,由這個密鑰生成的以前所有簽名都變得無效。
station to station 協議
即使得到x和y,也無法計算出k
存在攻擊:未知密鑰共享攻擊
攻擊者使用自己的簽名替換第三條消息,攻擊者對A使用假冒身份B,對B使用真實身份C. A以為與B通信,但B以為與C
零知識證明
設P表示掌握某些信息,并希望證實這一事實的實體
設V是證明這一事實的實體
假如某個協議向V證明P的確掌握某些信息,但V無法推斷出這些信息是什么,我們稱P實現了最小泄露證明
不僅如此,如果V除了知道P能夠證明某一事實外,不能夠得到其他任何知識,我們稱P實現了零知識證明,相應的協議稱作零知識證明協議
零知識證明特性
正確性
P無法欺騙V。換言之,若P不知道一個定理的證明方法,則P使V相信他會證明定理的概率很低
完備性
V無法欺騙P。若P知道了一個定理的證明方法,則P使V以絕對優勢的概率相信他能證明
零知識性
V無法獲得任何額外的知識
圖同構
圖同構的概念
百度百科概念,我不做解釋
圖論當中的術語,假設G=(V,E)和G1=(V1,E1)是兩個圖,如果存在一個雙射m:V→V1,使得對所有的x,y∈V均有xy∈E等價于m(x)m(y)∈E1,則稱G和G1是同構的,這樣的一個映射m稱之為一個同構,如果G=G1,則稱他為一個自同構
在同構意義下封閉的圖族叫做圖性質
圖同構的困難性
圖是否同構是NP完全問題,對于一個非常大的圖,判斷兩個圖是否同構是非常困難的。
對于圖G1和G2,如果存在一個一一對應的函數F:F的定義域是G1的頂點集。F的值域是G2的頂點集。當且僅當[g1,g2]是G1中的一條邊,[F(g1),F(g2)]才是G2中的一條邊,稱G1和G2同構的。
零知識證明
假設Peggy知道圖G1和G2之間同構,Peggy使用下面的協議使Victor相信G1和G2同構:
(1)Peggy隨機置換G1產生另一個圖H,并且H和G1同構。因為Peggy知道G1和H同構,也就知道了H和G2同構。
(2)Peggy把H送給Victor。
(3)對如下兩個問題Victor選擇其中的一個,要求Peggy證明。但是,Victor不要求兩者都證明。
證明G1和H同構,或者證明G2和H同構。
(4)Peggy按Victor的要求證明。
(5)Peggy和Victor重復步驟(1)至(4)n次
正確性證明
如果Peggy不知道G1和G2之間的同構性,Peggy就只能創造一個圖或者與G1同構或者與G2同構。每一輪中Peggy只有50%的機會猜中Victor的選擇。又因為Peggy在協議的每一輪都產生一個新圖H,故不管經過多少輪協議Victor也得不到任何信息,他不能從Peggy的答案中了解G1和G2的同構性。圖同構的零知識證明只具有理論意義,從實現來看,是不實用的。
Hamilton回路
Hamilton回路概念
在圖論中,圖G中的回路是指始點和終點相重合的路徑,若回路通過圖的每個頂點一次且僅一次,則稱圖G為哈密爾頓回路,構造圖G的哈密爾頓回路是NPC問題
零知識證明
假定P知道圖G的哈密爾頓回路,并希望向V證明這一事實,則:
(1)P隨機地構造一個與圖G同構的圖W,并將W交給V
(2)V隨機的要求P做下述兩件工作之一:
1.證明圖G和圖W同構
2.指出圖W的一條哈密爾頓回路
(3)P根據要求做下述兩件工作之一:
1.證明圖G和圖W同構,但不能指出圖G或者圖W的哈密爾頓回路
2.指出圖W的哈密爾頓回路,但不證明圖G和圖W同構
(4)P和V重復以上過程n次
正確性證明
協議執行完后,V無法獲得任何信息是自己可以構造圖G的哈密爾頓回路,因此該協議是零知識證明協議
事實上,如果P向V證明圖G和圖W同構,這個結論對V并沒有意義,因為構造圖G的哈密爾頓回路和構造圖W的哈密爾頓圖同樣困難。
如果P向V指出圖W的一條哈密爾頓回路,這一事實也無法向V提供任何幫助,因為求兩個圖之間的同構并不比求一個圖的哈密爾頓回路容易。
在協議的每一輪中,P都隨機地執行一個與圖G同構的新圖,因此不論協議執行多少輪,V都得不到任何有關構造圖G的哈密爾頓回路的信息
盲簽名
概念
所謂盲簽名就是指簽名人只是完成對文件的簽名工作,并不了解所簽文件的內容
而平常的簽名內容,都是簽名者對所簽內容是知道的
特點
(1)簽名者不知道所簽署的數據內容
(2)在簽名被簽名申請者泄露后,簽名者不能追蹤簽名
步驟
(1)申請者對待簽名文件進行盲化
(2)簽名者對文件簽名
(3)申請者將簽名后文件去盲,即可得到原始數據的簽名
部分盲簽名
概念
“部分”意味著待簽名的消息是由簽名申請方和簽名方共同生成的
即待簽名消息包括簽名申請者提交的待簽名消息和簽名者提供的”身份消息”
改進
允許簽名者添加一些諸如簽名時間、簽名有效期和對簽署消息性質的說明性信息等內容
1.保證了待簽消息對簽名者的盲性
2.阻止了簽名申請者提供非法信息而濫用簽名
3.有效的保護了簽名者的合法權益
公平盲簽名
概念
可以在需要的時候讓一個可信任第三方發布信息,允許簽名人把消息——簽名對和簽名時的具體內容聯系起來,實現對簽名申請人的追蹤
新特性
引入可信中心,通過可信中心的授權,簽名者可追蹤簽名
在需要的時候讓一個可信任第三方發布信息,允許簽名人把消息——簽名對和他簽名時候的具體內容聯系起來,揭開簽名,實現對簽名申請者的追蹤
公平盲簽名方案
方案1:
給定盲化的消息,仲裁者能讓簽名者有效識別出相應的消息簽名對
方案2:
給定消息簽名對,仲裁者能讓簽名者有效的鑒別出申請簽名的用戶,即識別出簽名時的盲化消息
一次性簽名
至多可以用來對一個消息進行簽名,否則簽名就可能被偽造,我們稱這種簽名為一次性數字簽名
群簽名
群的成員可以代表群進行簽名,簽名可用單一的群公開密鑰驗證。
一旦消息被簽名,除了指定的群管理者,沒有人能夠確定該簽名是哪個特定的群成員簽署的。
特點:
正確性、匿名性、不可偽造性、不可關聯性、可跟蹤性、抗合謀攻擊性、防陷害攻擊
環簽名
環簽名是作為一種沒有管理者的類群簽名方案,環中任何一個成員都可以代表整個環進行簽名
而驗證者只知道這個簽名來自這個環,但不知道誰是真正的簽名者
特點:
無須設置
簽名者的完美匿名性
組成結構
多個發送者
一個簽名者
一個可信的第三方
非否認協議
概念
防止不誠實者否認他們參與了某項事務而拒絕承擔相應的責任而設計的協議
功能需求
1.確保通信主體不能對通信事件抵賴
2.確保在協議執行的任何階段,任何通信主體不能獲得優于其他主體的好處
非否認服務
1.發送方非否認:提供一種保護使得發送方不能否認他發送過某條消息
2.接收方非否認:提供一種保護使得接收方不能否認他接受過某條消息
3.發送方非否認證據:非否認服務向接收方提供不可抵賴的證據,證明接受到的消息的來源
4.接收方非否認證據:非否認服務向發送發提供不可抵賴的證據,證明接收方已收到了某條消息
非否認協議的步驟
1.服務請求
2.證據產生
3.證據傳遞和存儲
4.證據驗證
5.糾紛解決
非否認協議性質
1.非否認性
2.可追究性
3.公平性
4.時限性
5.非濫用性
Zhou-Gollman協議
1.A發送密文c=Ek(m)、標簽l、接受者名字B的簽名。
B使用這個信息作為A在協議標識l下發送了Ek(m)的證據
2.B使用一個簽名作為響應,表示在協議標識l下接收到了Ek(m)。
A將使用這個信息作為B在協議標識l下接收到了Ek(m)的證據
3.A接著把密鑰K與協議標識l發送給可信服務器。
如果A進行欺騙而發送一個錯誤的密鑰K’,他就不能得到他需要的證據,因為Ek(m)與K’不能提供證據說明A發送了m。
4和5中,A與B都可以從可信第三方獲取密鑰
最后,A可以證明B對消息m的正確性負責,且B可以證明A對消息m的正確性負責
公平交換協議
概念
要么每一方都得到他所期待的信息或者物品
要么每一方都沒有得到任何有意義的東西
當一個系統涉及兩個或者多個互不信任的主體,就必須要考慮滿足所有主體的安全性
從主體利益的角度考慮,如果一個系統不會損害其中任何一個誠實主體的利益,那么該系統具有公平性
從交換結果考慮,如果在交換結束后,要么每一方都得到了他所期待的信息或者物品,要么每一方都沒有得到任何有意義的東西,我們也認為系統具有公平性
基本要求
1.有效性:若兩個參與者行為正確,在沒有第三方干涉的情況下, 仍能獲得各自所需要的東西
2.秘密性:交換必須保護用戶的隱私信息
3.高效實用性:協議的效率要高,以保證實用性
4.不可否認性:在進行有效的交換后,交換的任何一方都不能對他所傳遞和收到的信息進行否認
5.公平性:在交換結束后,要么每一方都得到他所期待的物品,要么每一方都沒有得到有意義的東西
6.終止性:在協議發生的任何時間,每個參與者都可以單方面的終止協議而不破壞協議的公平性
7.第三方可驗證性:發生糾紛時第三方可以進行仲裁,對不誠實的一方可以進行制裁。
8.無濫用性:在多方公平交換模型中,參與交換的任意子集在協議的任何時刻,都無法向第三者證明他們有能力中止協議
秘密的同時交換
擁有第三方的秘密交換
1.A發送一份簽名的副本給第三方
2.B發送一份簽名的副本給第三方
3.第三方通知A,B已經收到所有人的簽名副本
4.A簽名兩份副本,并發給B
5.B簽名兩份副本,然后給A一份,自己保留一份
6.A和B通知第三方已完成
7.第三方銷毀自己手上的簽名副本
第1~3步:第三方擁有每個人簽名的副本,防止第4步,A簽名后,B簽名不給A
面對面同時簽名
1.A簽上自己名字的第一個字,然后發送給B
2.B簽上自己名字的第一個字,然后發送給A
3.如此循環,直到簽名結束
4.當交換多輪后,可以大致上認為兩者都已經簽名完成
非面對面同時簽名
1.A和B就簽約應當完成的日期達成一致意見
2.A和B確定一個雙方都愿意的概率差,A的概率差為a,B的概率差為b
3.A給B發送一份p=a的已簽消息
4.B給A發送一份p=a+b的已簽消息
5.循環往復,直至p=1
如果這個協議不能順利完成,任何一方都可以把合約拿給法官,并同時遞上另一方的最后簽的消息
最后法官在0和1之間隨機選擇一個數
如果這個值小于另一方簽名的概率,則雙方都接受合約約束
如果這個值大于另一方簽名的概率,則雙方都不受約束
非面對面同時簽名(密碼協議版)
1.A和B都隨機選擇2n個DES密鑰,分成一對一對,共n對
2.A和B都產生n對消息
3.A和B都用自己選擇的每對密鑰加密自己產生的n對消息(每對中,左密鑰加密左消息,右密鑰加密右消息)
4.A和B互相交換自己加密的2n份消息
5.A從自己的每一對密鑰中選擇一個發送給B,共計n個密鑰,利用不經意傳輸
6.B從自己的每一對密鑰中選擇一個發送給A,共計n個密鑰,利用不經意傳輸
7.A和B都用自己收到的一半的密鑰解密自己能解密的那一半消息,確保解密消息是有效的
8.A和B交替發送自己2n個DES密鑰的第一個bit,并如此循環,直到所有密鑰發送給對方
9.A和B解密剩下的那一半消息,得到簽署的合約
10.A和B交換在5,6步不經意傳輸中使用的私鑰,確保對方沒有欺騙
電子選舉
安全需求
1.只有經授權的投票者才能投票
2.每個人投票不得超過一次
3.任何人都不能確定別人投誰的票
4.沒有人能復制其他人的選票
5.沒有人能修改其他人的選票
6.每個投票者都可以保證他的選票在最后的選舉計數中被計算在內
7.任何人都知道誰沒有進行投票
基于盲簽名的電子選舉協議
1.投票者生成消息集M,內容包括n個參與選舉的候選人和投票者個人的唯一標識符ID
2.投票者對消息集M進行盲簽名
3.投票者將簽名后的消息發送給可信第三方
4.可信第三方驗證消息的正確性,即候選人是否正確,ID是否唯一,是否有重復投票
5.可信第三方用自己的密鑰加密簽名,反饋給投票者
6.投票者用可信第三方的密鑰加密自己投票的人和自己的唯一標識符ID
7.投票者將加密結果包裝成消息集M’
8.投票者將消息M’發送給可信第三方
9.可信第三方驗證ID是否唯一,是否重復
10.可信第三方宣布投票結果
電子現金
攻擊方式
1.超額花費(多重花費):多次使用同一筆電子現金
2.洗錢:商家從非法活動中獲得電子現金,為隱藏電子現金的來源,偽造一個虛擬的交易賬單
3.偽造:通過一些老的支付抄本,偽造有效的電子現金
安全需求
1.不可偽造性
2.私密性
3.不可否認性
使用一般盲簽名的優缺點
改進版部分盲簽名的優勢
繼續改進公平盲簽名的優勢
總結
- 上一篇: 网络渗透试验一实验报告
- 下一篇: 吐故“钠”新,看钠离子电池如何引导行业新