《基本的安全协议》由会员分享,可在线阅读,更多相关《基本的安全协议(52页珍藏版)》请在金锄头文库上搜索。
1、1,基本的安全协议,刘昆 中国矿业大学徐海学院,2,秘密分割,设想你已发明了一种新的调味料,你只能告诉最信赖的雇员各种成分准确的调合,但如果他们中的一个背叛到对手方时怎么办呢?这种情况就要求秘密分割。 (1)Trent产生一随机比特串R。 (2)Trent用R异或M得到S:M R = S (3)Trent把R给Alice,将S给Bob。 (4)重构消息:Alice和Bob将他们的消息异或就可得到此消息R S = M. 如何在多个人中分割一消息 ? 秘密分割的缺点是什么?,3,3,秘密共享 是一种将秘密分割存储的密码技术,目的是阻止秘密过于集中,以达到分散风险和容忍入侵的目的,是信息安全和数据
2、保密中的重要手段。 背景 重要的秘密不能都由一个人管理,势必造成权力过于集中 比起相信一个人更容易相信多数人 机密性与强健性 秘密共享 把一个秘密消息分成n块,分割给m个参与者 每个参与者只拥有其中的一块 只有所有消息块组合在一起才能恢复秘密 每一块对其拥有者来说是没用的.,秘密共享,4,秘密共享,5,秘密共享,有缺陷的秘密共享方案 简单秘密共享方案(秘密分割) 秘密 s = b1 b2 bn-1 bn 1) 选择随机数 b1,.,bn-1 2) 计算 bn = b1 b2 bn-1 s,Flawed,N个消息块组合在一起才能恢复秘密 s (不健全),6,门限秘密共享,方案 假设 Coca-C
3、ola公司的董事会想保护可乐的配方.该公司总裁应该能够在需要时拿到配方,但在紧急的情况下,12位董事会成员中的任意3位就可以揭开配方。 这可以通过一个秘密共享方案实现 t = 3 、 n = 15,其中3股给总裁,1股给其他每个董事会成员 安全问题 机密性:抵抗任何不当行为 强健性:对任何可能出现的错误的可靠性,7,(t, n) 秘密共享(tn) 秘密K 被拆分为n 个份额的共享秘密 利用任意 t(2tn)个或更多个共享份额就可以恢复秘密 K 任何m 1或更少的共享份额是不能得到关于秘密SK的任何有用信息 强健性:暴露一个份额或多到m 1个份额都不会危及密钥,且少于 m 1个用户不可能共谋得到
4、密钥,同时若一个份额被丢失或损坏,还可恢复密钥 Shamir 秘密共享, Blakley 秘密共享 根据t和n的选择,权衡安全性和可靠性。 高 t,提供高安全性,低可靠性 低 t,提供低安全性,高可靠性,门限秘密共享,8,Shamir秘密共享,(t, n) 秘密共享 秘密信息 K 把一个信息(秘密地秘方,发射代码等)分成 n部分(P1,Pn),每部分叫做它的“影子”或共享 使用 t-1次任意系数的随机多项式 Step 1. 构造多项式:交易商选择了一个共享秘密, K ( p : 随机素数) 为常数项, F(x) = K + a1x + a2x2 + + ak-1xt-1 mod p 为 t-1
5、 次任意系数的随机多项式。 Step 2. 秘密分割:分配 F(i) (i=1,n) 安全共享 Pi。 Step 3. 秘密恢复:当 t 共享 =(K1, K2,Kt) 其中 n 是给定的, 使用拉格朗日差值多项式方案恢复K。,9,例如: (3,5) 秘密共享 K=11, p=17 构造 2次随机多项式 F(x) = K + a1x + a2x2 mod p a1=8, a2=7 F(x) = 11 + 8x + 7x2 mod 17 秘密分割 K1 = F(1) = 712 + 8 1 + 11 9 mod 17 K2 = F(2) = 722 + 8 2 + 11 4 mod 17 K3
6、= F(3) = 732 + 8 3 + 11 13 mod 17 K4 = F(4) = 742 + 8 4 + 11 2 mod 17 K5 = F(5) = 752 + 8 5 + 11 5 mod 17 (K1, K2, K3, K4, K5 )=(P1,P5),Shamir秘密共享,10,解方程恢复秘密: 由 K2, K3, K4, 我们可以得到 K = 11 a 22 + b 2 + K 4 mod 17 a 32 + b 3 + K 13 mod 17 a 42 + b 4 + K 2 mod 17 解 3个变量的多项式方程 获得 K. 利用拉格朗日插值,For =(K1, K2
7、,K3),Shamir秘密共享,11,可验证的秘密共享,如何知道你共享的秘密是正确的 ? Feldman的可验证秘密共享 (VSS),承诺系数,验证其共享份额的正确性 f(i),12,在同一平面的两非平行线相交于同一点 . 不在同一平面三非平行线在空间相交于同一点 . 更一般地,任何n维超平面相交于一个特定的点 秘密可能被编码作为任何一个坐标交点。,Blakley秘密共享,13,门限密码,阈值加密方案 一个消息是使用公钥加密 为了解密密文,需要超过阈值的共享份额合作来解密 门限签名方案 为了签名,需要超过阈值的共享份额合作来签名 . 签字可以使用公钥验证,14,时间戳服务,在很多情况中,人们需
8、要证明某个文件在某个时期存在。版权或专利争端即是谁有产生争议的工作的最早的副本,谁就将赢得官司。对于纸上的文件,公证人可以对文件签名,律师可以保护副本。如果产生了争端,公证人或律师可以证明某封信产生于某个时间。 在数字世界中,事情要复杂得多。没有办法检查窜改签名的数字文件。他们可以无止境地复制和修改而无人发现。,15,时间戳服务,仲裁解决方法 Alice将文件的副本传送给Trent Trent将他收到文件的日期和时间记录下来,并妥善保存文件的副本 存在问题 没有保密性 数据库本身将是巨大的 存在潜在错误。传送错误或Trent的中央计算机中某些地方的电磁炸弹引爆 可能有些运行时间标记业务的人并不
9、像Trent那样诚实,16,时间戳服务,改进的仲裁解决方法 Alice产生文件的单向Hash值。 Alice将Hash值传送给Trent。 Trent将接收到Hash值的日期和时间附在Hash值后,并对结果进行数字签名。 Trent将签名的散列和时间标记送回给Alice。 存在问题 可能有些运行时间标记业务的人并不像Trent那样诚实,17,时间戳服务,链接协议:将Alice的时间标记同以前由Trent产生的时间标记链接起来。由于Trent预先不知道他所接收的不同时间标记的顺序,Alice的时间标记一定发生在前一个时间标记之后。并且由于后面来的请求是与Alice的时间标记链接,那么她必须出现在
10、前面。Alice的请求正好夹在两个时间之间。 如果有人对Alice的时间标记提出疑问,她只需要和她的前后文件的发起者I n - 1和I n + 1接触就行了,18,时间戳服务,分布式协议:人死后,时间标记就会丢失。在时间标记和质询之间很多事情都可能发生,以至Alice不可能得到I n - 1的时间标记的副本,这个问题可以通过把前面10个人的时间标记嵌入Alice的时间标记中得到缓解,并且将后面10个人的标识都发给Alice。这样Alice就会有更大的机会找到那些仍有他们的时间标记的人。,19,阈下信道,假设Alice和Bob被捕入狱。他将去男牢房,而她则进女牢房。看守Walter愿意让Alic
11、e和Bob交换消息,但他不允许他们加密。Walter认为他们可能会商讨一个逃跑计划,因此,他想能够阅读他们说的每个细节。 Alice和Bob建立一个阈下信道,即完全在Walter视野内的建立的一个秘密通信信道。通过交换完全无害的签名的消息,他们可以来回传送秘密信息,并骗过Walter,即使Walter正在监视所有的通信。,20,阈下信道,简易的阈下信道(缺点是无密钥) 可以是句子中单词的数目。句子中奇数个单词对应“1”,而偶数个单词对应“0”。 可以是一幅画。如一棵苹果树,苹果的个数代表一定的约定 Gustavus Simmons发明了传统数字签名算法中阈下信道的概念。Walter看到来回传递
12、的签名的无害消息,但他完全看不到通过阈下信道传递的信息。,21,使用阈下信道的基本过程,(1)Alice产生一个无害消息,最好随机; (2)用与Bob共享的秘密密钥,Alice对这个无害信息这样签名,她在签名中隐藏她的阈下信息; (3)Alice通过Walter发送签名消息给Bob; (4)Walter读这份无害的消息并检查签名,没发现什么问题,他将这份签了名的消息传递给Bob; (5)Bob检查这份无害消息的签名,确认消息来自于Alice; (6)Bob忽略无害的消息,而用他与Alice共享的秘密密钥,提取阈下消息。,22,阈下信道的用途,阈下信道的最显见的应用是在间谍网中。 用一个阈下信道
13、,Alice可以在受到威胁时安全地对文件签名。她可以在签名文件时嵌入阈下消息,说“我被胁迫”。别的应用则更为微妙,公司可以签名文件,嵌入阈下信息,允许它们在文档整个文档有效期内被跟踪。政府可以“标记”数字货币。恶意的签名程序可能泄露其签名中的秘密信息。其可能性是无穷的。,23,EIGamal签名方案的阈下信道,公钥:p:素数, gp(p,g可由一组用户共享) y=gx (mod p) 私钥:xp 签名:k:随机选取,与p-1互素, a(签名)=g k mod p, b(签名)满足 M = (xa+kb) mod ( p-1) (即有:b = ( M- xa)k-1 mod (p-1) ) 验证
14、:如果 ya ab (mod p ) = gM (mod p),则签名有效。,24,控制单向函数的输出比特 搜索选择适当的k,使得a=gk mod p 中的某些位为阈下信息。,EIGamal签名方案的阈下信道,25,不使用随机数的签名方案是否存在阈下信道? Chuan-Kun Wu, Hash channels, Computers & security ,2005,HASH信道,26,RSA数字签名的阈下信道,签名者取两个随机大素数p和q(保密),计算公开的模数r=pq(公开),计算秘密的欧拉函数(r) =(p-1)(q-1)(保密)。 随机选取整数e,满足gcd(e, (r)=1(公开e,
15、验证密钥) 计算d,满足de1(mod (r)(签名密钥) 签名:y=H(x)d (mod r), 把x|y发送给验证者 验证:检查下式是否成立yd=H(x) (mod r). 选择x的不同表达方式,使得H(x)中的某些位为阈下信息,27,RSA数字签名的阈下信道,28,比特承诺,Alice,这位令人惊异的魔术天才,正表演关于人类意念的神秘技巧。 Alice将在Bob选牌之前猜中Bob将选的牌! Alice在一张纸上写出她的预测。Alice很神秘地将那张纸片装入信封中并封上。 Alice将封好的信封随机地递给一观众。“取一张牌,Bob,任选一张”。他看了看牌而后将之出示给Alice和观众。是方
16、块7。现在Alice从观众那里取回信封,并撕开它。在Bob选牌之先写的预测,也是:方块7!全场欢呼!,29,比特承诺,这个魔术的要点在于,Alice在戏法的最后交换了信封。然而,密码协议能够提供防止这种花招的方法。 承诺方案:Alice想对Bob承诺一个预测(即1bit或bit序列),但直到某个时间以后才揭示她的预测。而另一方面,Bob想确信在Alice承诺了她的预测后,她没有改变她的想法。,30,基本思想 承诺者Alice向接收者Bob承诺一个消息,承诺过程要求,Alice向Bob承诺时,Bob不可能获得关于被承诺消息的任何信息;经过一段时间后,Alice能够向Bob证实她所承诺的消息,但是Alice无法欺骗Bob。 . 协议 Alice把消息m放在一个箱子里并锁住(只有Alice有钥匙可以打开箱子)送给Bob;
