应用密码学与PKI介绍

B应用密码学与应用密码学与PKI介绍介绍linfb@ B目录•对称加密技术↓–more OP-MODE↓•公钥密码技术↓•认证和Hash算法↓•数字签名↓•PKI原理↓•PKI应用与实验↓•案例分析B加密技术基本术语•明文、密文plaintext, cipher•密钥key•加密算法、解密算法encryption,decryption•密码分析（攻击者行为）•密码算法 vs. 密码协议原理 vs. 标准–algorithm vs. protocol–cryptographicB加密算法分两类•对称加密算法symmetric cryptography–解密时使用和加密时相同的密钥•非对称加密算法asymmetric cryptography> 公钥算法public-key cryptography–解密时使用不同的密钥–公钥、私钥B对称密码体制图示•对称加密B对称加密的数学抽象Alice加密E（P，K）＝ CBob解密D（C，K） ＝ P1、Key只有A、B知道2、函数E、D公开，且一般D＝EB安全性分类•无条件安全性–即使攻击者有无限的计算能力，也不能得出明文–符合该特性的算法都归为one-time pad，不便实用•有条件安全性/计算安全性–假设攻击者拥有的计算能力有限，则在合适的时间内不能得到明文–密码学上主要考虑满足该特性的算法B对称加密算法的两种形式•分组密码算法block cipher–明文分块叫分组，典型64或128bits(8/16字节)–每个分组使用相同的密钥加密•流密码算法(序列密码) stream cipher–使用密钥做为随机数种子，用产生的伪随机序列和明文序列XORB常用的对称加密算法•DES(Lucifer)–第一代美国(国际)标准，1970s~2000•AES(Rijndael)–第二代，2000+•RC4–非常流行的流密码算法，灵活又快速•IDEA、CAST、RC5/6、Blowfish/Twofish、BDES•Lucifer by Feistel, IBM•分组64bits•密钥56bits•Feistel体制•16轮•常量S盒, 8个小表•FIPS-46BDES OverviewB神秘的S盒(Substitution box)B续BDES工作模式•DES算法每次处理64位/8个字节，如何用来加密大消息/文件？•推荐的4种工作模式–ECB–CBC–OFB–CFB–CTS–CT– B电子密码本方式ECB: Electronic Codebook•报文被顺序分割分成8字节分组–各个分组独立加密，解密时需等齐整个分组–必要的填充* 优点–并行加密、随机存取* 缺点–Padding–相同的明文分组对应着相同的密文分组，暴露了统计规律，也存在替换、窜改、乱序重排等威胁BECB• B密码分组链接方式CBC: Cipher Block Chaining•明文分组被加密前先和前一个密文异或–初始向量(initialization vector)被视为第0个密文(IV不必保密，但必须一致)* 优点–避免明密对应–还可以用做鉴别码(authentication code)* 缺点–等待缓冲区凑足8字节分组，否则需padding–不能并行加密、随机存取BCBC• B其他模式•CFB•OFB•CTS•CTRBCFB: Cipher Feedback密码反馈方式•IV 64bit，IV用Key加密得到R–IV不必保密，但是必须相同•明文s比特，与R的高位s比特XOR，得密文s比特•s比特的密文同时从R的低位进入，挤掉R的高位的s比特* 优点–流密码 stream cipher–也有校验的效果BCFB• BOFB: Output Feedback输出反馈方式（也是一种流方式应用）•重复加密初始向量IV，获得密钥流IV不必保密，但是双方得一致•明文与之XOR* 优点–比特错误不会扩散（自同步，适合卫星通信）* 缺点–正是优点的反面BOFB• BCTR: Counter Mode计数方式（也是一种流方式应用，但是可以非顺序存取）•重复加密初始counter＋＋，得密钥流•明文与之XOR•优点–适合随机存取* 注意：–Counter的初值须不能预测BCTR• BCBCRC5模式之CTS: Ciphertext Stealing Mode• CN-1DecPNCNX+XCNDecPN-1+KCN-20KBDES标准文档• FIPS 46-3, Data Encryption Standard (DES)–http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf•DES实现–OpenSSL–Microsoft CryptoAPIBDES应用实例分析•/etc/passwd|shadow–username:Npge08pfz4wuk:503:100:FN:/home/username:/bin/sh–char *crypt(const char *key, const char *salt);BZip cracker sample•Advanced ZIP Password Recovery statistics:•Encrypted ZIP-file: sdjfks.zip•Total passwords: 2,091,362,752•Total time: 6m 58s 725ms •Average speed (passwords/s): 4,994,597•Password for this file: 7uee23•Password in HEX: 37 75 65 65 32 33BDES已不再安全•使用穷举密钥攻击，如果每秒能尝试100万个密钥(70s)，则约需要1000年才能枚举完所有2^56个密钥。

•使用特制的专用硬件芯片，结合互联网分布式计算，最快曾经在1天内攻击成功B“Deep Crack” Hardware Cracker•Developed by the Electronic Frontier Foundation•Cost–$80,000 design–$210,000 materials (chips, boards, chassis etc)•Chip by Advanced Wireless Technologies–40 MHz /16 cycles per encryption = 2.5 million keys/s–24 search units per chip，64 chips per board ，29 boards into 6 cabinets•90 billion keys/s，solved RSA’s DES-III in 22 hours–Jan 18, 1999–37,000 search units–c.f. Distributed Net’s 34 billion keys/sB3DES•关于2DES•关于3DESBAES•“Rijndael”•分组128bits•密钥128bits(也可192/256)•常量S盒–使用有限域GF(2^8)构造•1+9+1轮•FIPS-197BAES Overview• B1 RoundBS-box in AESx/y 0 1 2 3 4 5 6 7 8 9 A B C D E Fx/y 0 1 2 3 4 5 6 7 8 9 A B C D E F•0 63 7C 77 7B F2 6B 6F C5 30 01 67 2B FE D7 AB 760 63 7C 77 7B F2 6B 6F C5 30 01 67 2B FE D7 AB 76•1 CA 82 C9 7D FA 59 47 F0 AD D4 A2 AF 9C A4 72 C01 CA 82 C9 7D FA 59 47 F0 AD D4 A2 AF 9C A4 72 C0•2 B7 FD 93 26 36 3F F7 CC 34 A5 E5 F1 71 D8 31 152 B7 FD 93 26 36 3F F7 CC 34 A5 E5 F1 71 D8 31 15•3 04 C7 23 C3 18 96 05 9A 07 12 80 E2 EB 27 B2 753 04 C7 23 C3 18 96 05 9A 07 12 80 E2 EB 27 B2 75•4 09 83 2C 1A 1B 6E 5A A0 52 3B D6 B3 29 E3 2F 844 09 83 2C 1A 1B 6E 5A A0 52 3B D6 B3 29 E3 2F 84•5 53 D1 00 ED 20 FC B1 5B 6A CB BE 39 4A 4C 58 CF5 53 D1 00 ED 20 FC B1 5B 6A CB BE 39 4A 4C 58 CF•6 D0 EF AA FB 43 4D 33 85 45 F9 02 7F 50 3C 9F A86 D0 EF AA FB 43 4D 33 85 45 F9 02 7F 50 3C 9F A8•7 51 A3 40 8F 92 9D 38 F5 BC B6 DA 21 10 FF F3 D27 51 A3 40 8F 92 9D 38 F5 BC B6 DA 21 10 FF F3 D2•8 CD 0C 13 EC 5F 97 44 17 C4 A7 7E 3D 64 5D 19 738 CD 0C 13 EC 5F 97 44 17 C4 A7 7E 3D 64 5D 19 73•9 60 81 4F DC 22 2A 90 88 46 EE B8 14 DE 5E 0B DB9 60 81 4F DC 22 2A 90 88 46 EE B8 14 DE 5E 0B DB•A E0 32 3A 0A 49 06 24 5C C2 D3 AC 62 91 95 E4 79A E0 32 3A 0A 49 06 24 5C C2 D3 AC 62 91 95 E4 79•B E7 C8 37 6D 8D D5 4E A9 6C 56 F4 EA 65 7A AE 08B E7 C8 37 6D 8D D5 4E A9 6C 56 F4 EA 65 7A AE 08•C BA 78 25 2E 1C A6 B4 C6 E8 DD 74 1F 4B BD 8B 8AC BA 78 25 2E 1C A6 B4 C6 E8 DD 74 1F 4B BD 8B 8A•D 70 3E B5 66 48 03 F6 0E 61 35 57 B9 86 C1 1D 9ED 70 3E B5 66 48 03 F6 0E 61 35 57 B9 86 C1 1D 9E•E E1 F8 98 11 69 D9 8E 94 9B 1E 87 E9 CE 55 28 DFE E1 F8 98 11 69 D9 8E 94 9B 1E 87 E9 CE 55 28 DF•F 8C A1 89 0D BF E6 42 68 41 99 2D 0F B0 54 BB 16F 8C A1 89 0D BF E6 42 68 41 99 2D 0F B0 54 BB 16BS-box in AES (逆)x/y 0 1 2 3 4 5 6 7 8 9 A B C D E Fx/y 0 1 2 3 4 5 6 7 8 9 A B C D E F•0 52 09 6A D5 30 36 A5 38 BF 40 A3 9E 81 F3 D7 FB0 52 09 6A D5 30 36 A5 38 BF 40 A3 9E 81 F3 D7 FB•1 7C E3 39 82 9B 2F FF 87 34 8E 43 44 C4 DE E9 CB1 7C E3 39 82 9B 2F FF 87 34 8E 43 44 C4 DE E9 CB•2 54 7B 94 32 A6 C2 23 3D EE 4C 95 0B 42 FA C3 4E2 54 7B 94 32 A6 C2 23 3D EE 4C 95 0B 42 FA C3 4E•3 08 2E A1 66 28 D9 24 B2 76 5B A2 49 6D 8B D1 253 08 2E A1 66 28 D9 24 B2 76 5B A2 49 6D 8B D1 25•4 72 F8 F6 64 86 68 98 16 D4 A4 5C CC 5D 65 B6 924 72 F8 F6 64 86 68 98 16 D4 A4 5C CC 5D 65 B6 92•5 6C 70 48 50 FD ED B9 DA 5E 15 46 57 A7 8D 9D 845 6C 70 48 50 FD ED B9 DA 5E 15 46 57 A7 8D 9D 84•6 90 D8 AB 00 8C BC D3 0A F7 E4 58 05 B8 B3 45 066 90 D8 AB 00 8C BC D3 0A F7 E4 58 05 B8 B3 45 06•7 D0 2C 1E 8F CA 3F 0F 02 C1 AF BD 03 01 13 8A 6B7 D0 2C 1E 8F CA 3F 0F 02 C1 AF BD 03 01 13 8A 6B•8 3A 91 11 41 4F 67 DC EA 97 F2 CF CE F0 B4 E6 738 3A 91 11 41 4F 67 DC EA 97 F2 CF CE F0 B4 E6 73•9 96 AC 74 22 E7 AD 35 85 E2 F9 37 E8 1C 75 DF 6E9 96 AC 74 22 E7 AD 35 85 E2 F9 37 E8 1C 75 DF 6E•A 47 F1 1A 71 1D 29 C5 89 6F B7 62 0E AA 18 BE 1BA 47 F1 1A 71 1D 29 C5 89 6F B7 62 0E AA 18 BE 1B•B FC 56 3E 4B C6 D2 79 20 9A DB C0 FE 78 CD 5A F4B FC 56 3E 4B C6 D2 79 20 9A DB C0 FE 78 CD 5A F4•C 1F DD A8 33 88 07 C7 31 B1 12 10 59 27 80 EC 5FC 1F DD A8 33 88 07 C7 31 B1 12 10 59 27 80 EC 5F•D 60 51 7F A9 19 B5 4A 0D 2D E5 7A 9F 93 C9 9C EFD 60 51 7F A9 19 B5 4A 0D 2D E5 7A 9F 93 C9 9C EF•E A0 E0 3B 4D AE 2A F5 B0 C8 EB BB 3C 83 53 99 61E A0 E0 3B 4D AE 2A F5 B0 C8 EB BB 3C 83 53 99 61•F 17 2B 04 7E BA 77 D6 26 E1 69 14 63 55 21 0C 7DF 17 2B 04 7E BA 77 D6 26 E1 69 14 63 55 21 0C 7DBAES标准文档•AES - Advanced Encryption Standard - FIPS PUB 197–http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf•AES实现–OpenSSL–Microsoft CryptoAPIB使用对称算法•为传输而加密 vs. 为存储而加密•□ （0）考虑需求（1）选定算法（2）产生密钥(2.1) 自动产生密钥 vs. 从口令衍生密钥（3）遵循标准，如PKCS#5B对称密码体制的缺陷•使用对称算法时，接收/解密方必须持有和发送/加密方一模一样的密钥•把密钥传递给接收方通常是困难的–因为至少传递密钥时，不能使用和传输密文同样的信道B非对称加密•1976年，Diffie和Hellman指明方向•公钥加密，私钥解密BDiffie-Hellman密钥交换协议 •选取公开参数：大素数q，Zq的生成元g•A选择随机数Xa，B选择随机数Xb •A计算Ya＝g^Xa mod q, B计算Yb＝g^Xb mod q •交换Ya，Yb•A计算K＝Yb^Xa mod q, B计算K'＝Ya^Xb mod q •事实上，K＝K'•Diffie-Hellman key agreement is not limited to negotiating a key shared by only two participants.BDiffie-Hellman密钥协商标准文档•RFC-2631, 2409/3526–RFC2631 Diffie-Hellman Key Agreement Method–RFC2409 The Internet Key Exchange (IKE)–RFC3526 More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) •U.S. Patent 4,200,770, now expired, describes the algorithm and credits Hellman, Diffie, and Merkle as inventors.BRSA算法•1977年，Rivest, Shamir & Adleman提出•基于大数分解难题–解密n=pq是困难的•公钥密码算法事实上的标准，PKI的支柱BRSA加密算法•找素数，典型选取两个512bit的随机素数p, q•计算模n ＝pq•找ed≡1 mod (p-1)(q-1)–选取数e，用扩展Euclid算法求数d•公布公钥(e, n)，保密私钥(d, n)•加密明文分组m(被视为整数须小于n)c=me mod n•解密m=cd mod nBRSA加密解密计算实例•选p＝7，q＝17则n＝pq＝119且φ(n)＝(p-1)(q-1)＝6×16＝96•取e＝5则d＝77 (5×77＝385＝4×96＋1≡1 mod 96)•公钥（5，119），私钥（77，119） •加密m＝19则c＝me mod n= 195 mod 119 = 66 mod 119•解密c＝66m＝cd mod n = 6677mod 119＝19 mod 119B关于大数的模幂乘： X^Y mod Z•关于提速与芯片•计算a8 % m8次累乘：a×a×a×a×a×a×a×a % m3次平方：((a2)2)2 % m 进一步：((a2%m)2%m)2%m•再比如a47 % ma47 ＝a32+8+4+2+1% m ＝a32a8a4a2a1% m ＝…BRSA的安全性•分解整数：一般数域筛法For an ordinary computer, the general number field sieve (GNFS) is the best published algorithm for large n (more than about 100 digits). For a b-bit number n, its running time is:BPKCS#1, RFC•RSA.com•PKCS系列标准•PKCS#1，关于RSA算法的工业规范–密钥产生、消息编码–加密/解密–签名/验证•其他PKCS#•RFC 2313 - PKCS #1: RSA Encryption Version 1.5•RFC 2437 - PKCS #1: RSA Cryptography Specifications Version 2.0•RFC 3447 - PKCS #1: RSA Cryptography Specifications Version 2.1B其他公钥加密算法•两个密码算法依赖的数学难解问题–大数分解问题：分解n=pq–离散对数问题：求解y=g^x mod p中的x•DSA、 ECDSA: FIPS PUB 186-3: Digital Signature StandardB其他公钥加密算法•新方向：椭圆曲线密码算法(ECC)–以椭圆曲线上点的加法运算为背景的离散对数问题–在达到相同安全强度的前提下，ECC速度快很多B混合密码体制：使用公钥传递会话密钥•公钥算法太慢–典型情况，对称算法比公钥算法快1000倍•只用来传递会话密钥•(假设A已经有B的公钥KeB)–A发起和B的通信–A产生会话密钥Ks，并用KeB加密后传给B–B能用自己的私钥KdB解开•其他人不会知道Ks–使用Ks和对称算法处理批量数据B混合密码体制应用实例•PKCS#5 Password-Based Cryptography Standard•SSL/TLS•PGPB消息认证 why？（此前一直讨论加密）•消息加密后可以抵抗窃听。

因为没有密钥，攻击者无法读懂密文•但是密文仍可以被恶意篡改，而且接收方解密后未必一定能发现这种攻击 问题：对密文的篡改，能否一定被察觉？B密文不能提供完整性保护•两个例子（1）解密后能发现异常（2）解密后不能发现异常B消息认证 & 身份认证•认证和加密是两种不同的技术(服务)，有的场合–需要不加密–需要保护完整性•认证技术涉及消息认证和身份认证两个方面–消息认证：鉴别消息来源，保护消息的完整性–身份认证：提供身份真实性鉴别服务B消息认证码MAC•认证码 (Message Authentication Code)–离线：表明消息是完整的（未被篡改）–：表明自己/对方是真实的（未被假冒）•生成MAC也需要密钥，有两个思路产生–基于加密的方法，比如CBD模式最后一个密文分组（FIPS-113）–基于Hash函数的方法（HMAC）BCBC-MAC：CBC模式最后一个分组•把消息明文和CN一起传送，以表明消息的真实性–FIPS PUB 113BHMAC•从概念上讲，HMAC可以这样理解HMAC = Hash（M || Key）–引出Hash函数•相关的标准：HMAC，RFC-2104BHash函数•输入任意长度(或<2^64)报文•输出固定长度n=128/160/224/256/384/512bits•函数特性–单向性质对给定的h，找x满足H(x)＝h是困难的–弱抗碰撞特性对于给定的y，找x满足H(x)＝H(y)是困难的–强抗碰撞特性（生日攻击）找x和y满足H(x)＝H(y)是困难的B常用的Hash函数•MD5–输出128bits•SHA-0，FIPS PUB 180 •SHA-1，FIPS PUB 180-1–输出160bits•SHA-2–输出192/224/256/384/512bitsBMD5 Overview•RFC 1321BMD5• BMD5 crack•2004年的国际密码讨论年会（CRYPTO）尾声，王小云及其研究同工展示了MD5、SHA-0及其他相关杂凑函数的杂凑冲撞。

所谓杂凑冲撞指两个完全不同的讯息经杂凑函数计算得出完全相同的杂凑值根据鸽巢原理，以有长度限制的杂凑函数计算没有长度限制的讯息是必然会有冲撞情况出现的可是，一直以来，电脑保安专家都认为要任意制造出冲撞需时太长，在实际情况上不可能发生，而王小云等的发现可能会打破这个必然性•2005年2月，王小云与其同事提出SHA-1杂凑函数的杂凑冲撞由于SHA-1杂凑函数被广泛应用于现今的主流电脑保安产品，其影响可想而知王小云所提的杂凑冲撞算法只需少于269步骤，少于生日攻击法（Birthday Attack）所需的280步同年8月，王小云、姚期智，以及姚期智妻子姚储枫联手于国际密码讨论年会提出SHA-1杂凑函数杂凑冲撞算法的改良版此改良版使破解SHA-1时间缩短为263步[1]BCollisions in the MD5BHMAC•HMAC(K,M) = H[(K+⊕opad) ||H[(K+⊕ipad) || M]]B身份认证：使用公钥算法•如果你已经有他的公钥Ke，则可鉴别他的身份•取随机秘密消息P加密C = E（（P，，Ke））•把密文C交给所谓的”他”，请他来解密–除非”他”拥有Kd，否则不能解开D（（C，，Kd）＝）＝P•比较他解出的明文P是否正确•如果他能正确解密，则”他”是真他BHMAC标准文档•FIPS PUB 198 - The Keyed-Hash Message Authentication Code (HMAC)•RFC 2104 - HMAC: Keyed-Hashing for Message AuthenticationB(转折) 数字签名•加密抗偷窥，•认证抗篡改，•以上都是人民联手共同对付“敌我矛盾”的手段，现在是处理“人民内部矛盾”的时候了•“内部矛盾”主要指抵赖–拒绝承认曾经发出过某条消息–拒绝承认曾经收到过–内部矛盾不能靠共享密钥解决B手写签名•签名的含义–签名者慎重表达认可文件内容的意向的行为•主要形式–手写签名、签章、手指纹印(其他生物技术)•特性–不可伪造，特异性–不可改变，能发现涂改、转移意义或用途–不可重用，日期和时间相关性–不可抵赖，能够质证–可仲裁的，可做为法律证据B数字签名: 要适应的新变化•数字签名手写签名–数字文件纸版文件–数字小文件手写字（签章）–如何绑定?同一页纸•关于扫描手写字迹、鼠标手写–No !•数学支持: 签名函数B数字签名/验证操作概念•签名•验证签名函数报文(大)报文签名(小)秘密秘密报文签名验证函数身份是否B用私钥运算(加密)当作签名•签名：给定报文m，使用私钥d产生签名值smd = s•验证：用公钥e判断(m,s)是否符合se =? m•是否满足签名要求的特性–不可伪造、不可改变–因此抗抵赖B两个重要问题•签名过程(公钥运算)太慢–启用散列函数，用散列值代表消息–PKCS #1•公钥/私钥的管理–如何得到公钥？–如何让人相信该公钥的真实和正确？* 如何把公钥和身份信息绑定m，h(m)d mod nB如何发布公钥•临时索要–是靠不住的•朋友之间(相互信任的人之间)传播–比如PGP•中心：公开目录、•离线中心：PKIB无中心方式•当要通信时，临时向对方索要其公钥–没有先验知识，不能确定对方的身份，不能提供鉴别特性–只能用在不究身份时的加密，如萍水相逢的两人之间的防偷听聊天•朋友扩散–通过可信的朋友之间的辗转交换–PGP中即有此种公钥交换机制–朋友并不总可信•问题：相信阁下的人品，但是不相信阁下的智商B中心：公开目录•公开的目录服务–目录的维护得由信得过的机构执行–每个用户在目录里有一项 {身份信息，其公钥} –面对面的审核和注册–可以更新或废止–提供网络的访问手段，可公开查询–目录中心的安全负担太重，也是性能瓶颈B中心的一种设计•有中心帮助的公钥交换–A请求中心给B的公钥，带时间戳–中心用私钥签署的消息，包括：•原始请求和时间戳，B的公钥，–A用B的公钥加密：自己的身份IDa和会话标识号N1–B也如法取得A的公钥–B用A的公钥加密：N1和N2–A用B的公钥加密N2，以最后确认会话•中心容易成为单点故障和性能瓶颈B中心• B离线中心：PKI/证书Certificate Authentication •CA是受信任的权威机构，有一对公钥私钥。

•每个用户自己产生一对公钥和私钥，并把公钥提交给CA申请证书•CA以某种可靠的方式核对申请人的身份及其公钥，并用自己的私钥“签发”证书•证书主要内容：用户公钥，持有人和签发人的信息，用途，有效期间，签名等•证书在需要通信时临时交换，并用CA的公钥验证•有了经CA签名保证的用户公钥，则可进行下一步的身份验证和交换会话密钥等BCA• BPKI：信息安全的基础设施•密码学在互联网上的应用主要体现为PKIPKI的核心目的是公钥的可信发布•PKI给出了以证书为载体的公钥发布方法，以及进一步做加密、认证和数字签名的规范•PKI系统中的关键角色是证书中心CA•在PKI的应用过程中，必须结合使用–加密算法、–认证算法、 –Hash及签名算法等 密码学要素BPKI•PKI的首要环节在于分发公钥B证书中心CA (Certificate authority)•目的：可信地分发公钥•CA是一个受到各方信任的权威机关–所谓可信第三方•CA有自己的公钥私钥对，其公钥广为所知•CA的功能和职责是签发证书BCertificate 证书•证书是一个带有CA的数字签名的文件•证书是用户公钥的载体和容器•证书的基本内容–公钥–持有人信息–签发人信息–签名–其他辅助内容B证书的申请•用户自己产生公钥私钥对(或委托CA产生)•用户自己保密私钥•用户提交公钥到CA/RA，PKCS#10格式–Registration Authority•RA负责审核用户的信息的真实性(收费)•CA签名，产生证书•证书(连同CA的公钥)返回用户–CA公钥是以CA自签名证书的形式存在•目录分发B证书的格式•版本•序列号•签名算法标识其参数•签发者名字•不早于，不迟于•主题名(持有人名)•算法标识其参数公钥•签发人标识(重名)•持有人标识•扩展•签名算法参数签名B证书的使用•取得证书–从公开目录获得，或临时交换•判断证书本身的有效性–验证CA的签名（需要用到CA的证书/公钥）•在离线协议中–用公钥加密传递会话密钥•在协议中–进一步判别对方是否持有对应的私钥–然后通信B证书的撤销•在证书有效期内需要提前作废证书•CA会定期签发作废证书黑名单(CRL)•证书使用者需要经常更新CRL–即使证书本身合法有效，仍有可能在CRL中•OCSP - Online Certificate Status Protocol –把证书有效性检查工作推给了服务器，有利于小客户端BPKI技术标准与规范•X509v3 by ITU-T–http://www.itu.int/rec/T-REC-X.509/en–also PKIX by IETF•PKCS#– •RFC–Public-Key Infrastructure (X.509) (pkix)•http://datatracker.ietf.org/wg/pkix/charter/•FIPS–http://itl.nist.gov/fipspubs/ BPKI扩展与之外•SPKI by IETF (Simple PKI)–merged with SDSI (Simple Distributed Security Infrastructure)•XKMS - XML Key Management Specification –XKISS, XKRSS–XML Signature, XML Encryption –SAML•Web of Trust (PGP-like)–"small world phenomenon"BCA的运营•电子签名法、电子认证服务管理办法等•CA运营公司•资质•安保措施•机房环境•硬件环境•软件系统•服务和管理规程BSDCA “aboutus”•…,于2000年12月28日揭牌成立的为信息安全提供综合服务的有限责任公司，是山东地区唯一从事跨部门、跨行业数字证书签发的权威性认证机构，又是山东地区数字证书安全认证体系的建设与管理主体。

•$是信任服务和安全认证服务的专业提供商，把建设互联网安全信任有序的环境作为目标，保证交易方主体身份的真实性，为信息的保密性、完整性以及交易的不可抵赖性提供全面的服务SDCA将为网络安全和电子商务等网上作业提供信任服务 •$为电子商务、电子政务、网上金融、网上证券、网上办公等提供安全可靠的认证和信任服务，作为被信任的第三方，从四个方面保证交易的安全：1、信息传输中的机密性；2、信息的不可篡改；3、身份的认证；4、交易的不可抵赖•$主要负责数字证书的申请、签发、制作、认证和管理，为个人、企事业单位、网站、软件代码等提供网上身份认证、数字签名、证书目录查询、电子公正、安全电子邮件、密钥托管、企事业单位安全办公、政府安全上网、CA建设和运行咨询等服务BCA间的互通•层次式的CA体系•桥模式的CA互认证体系BCA软件项目和产品•CA in OpenSSL，简陋，可用于开发和测试•CA in Windows，可用于企业环境简单应用•EJBCA，一个基于J2EE的CA项目•OpenCA•国内外各安全公司的商业化产品•各CA公司自己开发或基于商业或/开源产品修改增强的系统B应用与实验•CA in Windows Server•SSL：IIS + IE, HTTPS•安全电子邮件：S/MIME with Outlook Exp•EFS in Windows•EJBCA•PGP•VPN–PPTP/VPN in Windows–IPSec/VPN in IPv4/IPv6–OpeVPNB实验环境介绍：VmwareBCA in Windows Server•接下来，现场实验或•观看实验过程的屏幕录像BCA in Windows 2003•Windows server 2000/2003•添加/配置CA组件BHTTP+SSL=HTTPS•给IE发证•给IIS发证B安全电子邮件 S/MIME•S/MIME with Outlook Exp•实验演示BEFS in Windows• BEFS原理•Windows为用户产生一对RSA公钥私钥•公钥以证书形式存在，私钥受口令保护•加密文件时，产生密钥Key，使用对称算法(DES?)加密文件，而Key使用公钥加密保护•解密是用户使用自己的私钥(需提供口令)解密得到Key，再用Key解密得到明文文件。

B备份EFS证书和私钥•如果重新安装了Windows系统，则先前使用EFS加密的文件和目录将无法解密•为了能够解密，必须事先备份好旧的Windows中的EFS证书及私钥，并在重装后导入旧的EFS证书及私钥•关于备份员BEJBCA•实验过程的屏幕录像•EJBCA is a fully functional Certificate Authority. Based on J2EE technology it constitutes a robust, high performance and component based CA. Both flexible and platform independent, EJBCA can be used standalone or integrated in any J2EE application. •EJBCA is an enterprise class PKI, meaning that you can use EJBCA to build a complete PKI infrastructure for your organisation. If you only want to issue a few single certificates for testing, there are probably options that will get you started quicker, but if you want a serious PKI we recommend EJBCA. BPGP•课堂实验•Pretty Good Privacy is a computer program that provides cryptographic privacy and authentication. It was originally created by Philip Zimmermann in 1991.•PGP and other similar products follow the OpenPGP standard (RFC 4880) for encrypting and decrypting data.•PGP encryption uses public-key cryptography and includes a system which binds the public keys to a user name. The first version of this system was generally known as a web of trust to contrast with the X.509 system which uses a hierarchical approach based on certificate authority and which was added to PGP implementations later. Current versions of PGP encryption include both alternatives through an automated key management server.BPGP对报文的操作• B案例学习•先看一个短文–Google(“加密的惨剧”)•试用网上某些文件加密工具–“值得一提的是它的加密速度极快，上百 G 的数据仅需1秒钟完成。

没有大小限制•分析和猜测其实现的思路和可能的缺陷B案例分析•360密盘破解，至少需要十万年的时间B案例分析•高强度文件夹加密大师“这种加密方式安全性极高，不仅仅是简单的文件夹隐藏文件隐藏值得一提的是它的加密速度极快，上百 G 的数据仅需1秒钟完成 没有大小限制B实验指导：磁盘/目录/文件加密专题•通过实验，试用一些磁盘/目录/文件加密软件，并从技术角度分析比较（1）文件夹加密大师、360密盘（2）EFS/BitLocker in Windows（3）PGP的文件加密功能（4）TrueCrypt http://www.truecrypt.org/（5）linux文件虚拟盘(用xor加密)BVPN•RRAS in Windows Server•VPN拨号连接 in Windows XP•实验–使用证书的VPN拨号BOpenVPN•OpenVPN–with cert•桥接 with OpenVPN–bridge•试验与演示 BQ & A。