网络安全协议课程PPT

Download Report

Transcript 网络安全协议课程PPT

网络安全协议
PGP(Pretty Good Privacy)
 Email安全加密系统
 PGP提供的安全业务:
 加密:发信人产生一次性会话密钥,以IDEA、3-DES或CAST128算法加密报文,采用RSA或D-H算法用收信人的公钥加密会
话密钥,并和消息一起送出。
 认证:用SHA对报文杂凑,并以发信人的私钥签字,签名算法采
用RSA或DSS 。
 压缩:ZIP,用于消息的传送或存储。在压缩前签名,压缩后加
密。
 兼容性:采用Radix-64可将加密的报文转换成ASCII字符
 数据分段:PGP具有分段和组装功能,适应最大消息长度限制
1
信息安全专业
网络安全协议
机密性和认证
 机密性:
 发送端产生随机的128位数字作为会话密钥
 对称算法加密报文
 接收端公钥加密会话密钥
 认证
 采用SHA-1产生160位HASH值
 用发送者的RSA私钥对HASH值签名
 当同时需要认证和加密服务时
 采用先签名,后加密顺序(与IPSEC ESP中的先加密,后MAC
相反)
•
•
2
通常将明文与签名一起保存比较方便
验证时,不需要涉及会话密钥
信息安全专业
网络安全协议
HASH
压缩
公钥解密
解压缩
签名
对称密码加密
3
签名
压缩
对称密码加密
信息安全专业
网络安全协议
压缩
 PGP 的压缩过程在报文的签名和加密之间,即先
对报文签名,然后压缩,再是加密
签名后再压缩是为了方便保存未压缩的报文和签名,
为了以后存储方便,如果签名是对压缩后报文进行的,
势必要保存一份压缩的文档与之对应,或者增加部分
计算。但相同的压缩算法可能产生略微不同的压缩结
果。
压缩后加密可以节约传输文件的存储空间,加快加密
速度,且因为压缩,减少了原文中的关联性,使密码
分析也更困难
 压缩算法采用ZIP
4
信息安全专业
网络安全协议
分段和重组
 通常邮件的最大报文的长度限制在50,000字节
 超过标准长度的报文必须分段.
 PGP 自动对过长的报文分段.
 接收端再将其重组.
5
信息安全专业
网络安全协议
Summary of PGP Services
6
信息安全专业
网络安全协议
Transmission and Reception of PGP Messages
7
信息安全专业
网络安全协议
加密密钥和密钥环
 PGP使用四种类型的密钥:一次性会话对称密钥,
公钥,私钥,基于对称密钥的口令
 需求
需要生成不可预测的会话密钥(随机算法)
需要某种手段来标识具体的密钥(一个用户可拥有多
个公钥/私钥对,以便随时更换且让对方知道来自哪个
密钥对)
每个PGP实体需要维护一个保存其公钥/私钥对的文件
和一个保存通信对方公钥的文件
8
信息安全专业
网络安全协议
密钥标识符(Key ID)
 一个用户有多个公钥/私钥对时,接收者如何知道
发送者是用了哪个公钥来加密会话密钥,方法:
将公钥与消息一起传送
将一个标识符与一个公钥关联,对一个用户来说做到
一一对应
 定义KeyID 包括64个有效位,(KUa mod 264)
9
信息安全专业
网络安全协议
密钥环(Key Rings)
 KeyID在PGP中标识所使用的发送者和接收者的
密钥号
两个keyID包含在任何PGP消息中提供保密与认证功
能
需要一种系统化的方法存储和组织这些key以保证使用
 PGP在每一个节点上提供一对数据结构
存储该节点拥有的公钥/私钥对私钥环(口令保护密钥)
存储本节点知道的其他用户的公钥环
10
信息安全专业
网络安全协议
General structure of private and public key rings
密钥对产生时间
11
加了密的私钥
如用户邮件
地址
信息安全专业
网络安全协议
Format of PGP Message
KeyID
signature
判断是否使用了
正确的公钥解密
12
信息安全专业
网络安全协议
PGP message生成操作
13
信息安全专业
网络安全协议
PGP message 接收操作
14
信息安全专业
网络安全协议
公钥管理
 PGP虽然采用公钥密码体系,但不是证书
 需要保证公钥确实是所指定用户的合法公钥,保
护公钥免受攻击是PGP的一个问题
 可以采用的方法
直接索取,其他方式确认
从可信任证书机构获得B的公钥
采用信任关系保护(从可信第三方)公钥
•
15
完全信任、部分信任、不信任
信息安全专业
网络安全协议
16
信息安全专业
网络安全协议
17
信息安全专业
网络安全协议
telnet mx1.qq.com 25
220 newmx44.qq.com MX QQ Mail Server
helo ustc.edu.cn
250 newmx44.qq.com
mail from:<[email protected]>
250 Ok
rcpt to:<[email protected]>
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
from: [email protected]
to: [email protected]
subject: 我是侯建国校长,请安排本学期网络安全协议考试为开卷考试
请遵照执行,否则扣你工资。
It's not a joke!
Jianguo Hou @ustc
18
<
信息安全专业