《密码学》教材教程（信息安全）

第一章信息安全整体架构本章摘要1.1信息安全之定义1.2密码系统简介1.3使用者识别与讯息鉴别1.4通讯安全协议1.5小结本章前言在20-21世纪之交，由于电子、信息、电信等基础科学的突飞猛进，不仅造就新兴产业如半导体、3C产业等，亦协助了传统产业的改头换面。这种以信息技术为中心的技术革命，对人类的经济、社会与文化均产生革命性的影响。伴随着网际网络的蓬勃发展，建构网络安全环境亦成为不可轻忽的问题。本章内容涵盖信息安全之定义、密码系统简介、使用者识别与讯息鉴别、通讯安全协议，与网络系统运作与安全机制等。信息安全定义方面，将透过狭义与广义之信息安全来作区分，并介绍系统安全之威胁，包括系统的软件、硬件与资料的威胁，可藉由信息系统控管机制来避免系统遭受攻击。密码系统简介方面，包括加解密系统与数字签章系统之说明与其特性之介绍。使用者识别与讯息鉴别方面，介绍使用者识别与通行码之使用原则，及验证程序，并说明通行码确认的未来发展趋势。通讯安全协议方面，针对通讯安全协议运作模式作一简介，包括中介协议(arbitratedprotocol)、仲裁协议(adjudicatedprotocol)，与自我施行协议(self-enforcingprotocol)。本章最后将针对网络系统运作与所需安全机制作一概略性之介绍。学习路径v信息安全整体架构包括密码系统、通讯安全协议、系统安全控管，与安全机制等，此架构在企业对信息安全需求的达成扮演相当重要的角色，而其中安全机制更是最重要的一环，本章将为读者做一整体概念的介绍。v本章首先说明信息安全之定义，并透过一连串之系统安全之威胁、密码系统简介、使用者识别与讯息鉴别、通讯安全协议、系统安全控管，与网络系统运作与安全机制等介绍，以期读者对信息安全整体架构有初步的认识与了解。ABABCABC本章内容1.1信息安全之定义信息系统安全三大目标为机密性(confidentiality)、真确性/完整性(integrity)，与可取用性(availability)。所谓机密性是指能提供资料之秘密性与维护使用者之隐私性。真确性/完整性包括资料真确性与系统完整性。资料真确性主要是防制人为刻意窜改或自然噪声干扰；系统完整性是防制假冒或未授权方面存取系统资源进行资料之处理或更改。可取用性则是指对合法之使用者或个体不能阻绝服务，并提供及时响应与系统服务。何谓「信息安全」？狭义来说，主要是针对技术面来作探讨，其定义为保护机密或敏感资料，以防制未授权的揭露，并注重资料的机密性。其应用范围包括国防、军事或外交等政府机构。安全威胁类别包括中断(interruption)、截取(interception)、更改(modification)，与仿造(fabrication)。中断是指使系统资源遗失、不可取用、不堪使用，与恶意破坏硬设备、删除程序或资料文件，使操作系统阻绝服务(denialofservices)，如图1-1所示。图1-1中断安全威胁截取是指未授权者能非法接取系统资源，与非法拷贝程序或资料、网络截听，如图1-2所示。图1-2截取安全威胁更改是指未授权者能更改系统资源，与更改储存或传输资料之数值、更改程序以执行额外运算，如图1-3所示。ABC(ActasA)图1-3更改安全威胁仿造是指未授权者仿造资料，使得资料使用者无法分辨真伪，与插入额外的交易讯息、增加资料记录，如图1-4所示。图1-4仿造安全威胁系统资源所面临的可能威胁包括硬件、软件，与资料。硬件方面，主要有中断(denialofservices)与截取(theft)等威胁。软件方面，有中断(deletion)、截取(copy)，与更改(logicbomb,Trojanhorse,trapdoor,informationleaks)等威胁。资料方面，则包括中断(lost)、截取(theft,copy)、更改(change)，与仿造(forgery)等威胁。然而，系统管理者在面对这些威胁时，必然有一套防制上述威胁的机制，即信息系统控管机制。此机制主要的内容如下：l数据保护：密码技术(加解密与数字签章)、安全通信协议、资料存取控制等。l人员控管：安全或识别卷标、身分验证设备(IC卡、掌纹、指纹、视网膜等)。l软件控管：操作系统控管(supervisor)、应用系统控管(audittrails)、系统发展控管(projectmanagement)。l硬件控管：抗破坏(tamper-resistant)设备。l实体控管：出入门禁、围墙、备援(备份)。l安全政策：法规、制度、政策。因此，经由控管机制的运作下，信息系统的效益评量将包括使用者必须知道安全需求为何、如何使用控管机制、控管机制必须是有效率的且易于施行、控管程序必须是连续的、使用交叉控管或重叠控管以完全涵盖安全领域，与管理者必须定期检视与稽核控管成效。1.2密码系统简介加密解密明文密文加密金鑰解密金鑰明文簽署驗證(成功與否)(訊息+簽章)訊息訊息簽章密码系统大致上可分为加解密系统与数字签章系统。加解密系统组件包括原文/明文(plaintext,cleartext)、密文(ciphertext)、加密转换(encryption,encipherment)、解密转换(decryption,decipherment)，与加密/解密金钥(encryption/decryptionkey)。其中，上述之原文/明文乃是指原始型态的资料；密文是指呈现无意义或随机数型态的资料；加密转换则是将明文转换成密文的过程；解密转换是指将密文还原成明文的过程；加密/解密金钥是指驱动加密或解密转换的输入。现代密码系统的加密/解密转换大多植基于数学上排列(permutation)、组合(combination)等计算难题。以下我们将介绍加解密之模式。加解密模式主要是由上述加解密系统五大组件所组成。明文经由加密金钥执行加密的动作后，成为密文，密文在透过解密金钥执行还原的动作，即可回复原来之明文，如图1-5所示。图1-5加解密模式数字签章系统组件包括讯息(message)、签章(signature)、签署(sign)、验证(verify)，与签章产生/验证金钥(signaturegeneration/verificationkey)。现代密码系统的数字签章大多植基于数学上因子分解(factorization)、离散对数(discretelogarithm)、椭圆曲线(ellipticcurve)等计算难题。以下我们将介绍数字签章之模式。数字签章模式主要是由上述数字签章系统五大组件所组成。讯息经由签章产生金钥执行签署的动作后，即产生签章，签章在透过签章验证与金钥验证后，即产生成功与否之讯息，如图1-6所示。数字签章的特性包括：以数值型态存在；不可伪造(属于计算上不可行的数学难题)；签章与签署者、签署讯息、签署时间有关(即一个签署者在不同时间签署相同的讯息将产生不同的签章，且具备不可重用性，并可用于证明签署者、讯息与签章的唯一关系，而签署者不能否认曾经签署该讯息)。图1-6数字签章模式以下我们将分别说明对称密码系统(symmetriccryptosystem)与非对称密码系统(asymmetriccryptosystem)。对称密码系统大多为加解密系统，其加密与解密金钥均需保持秘密，称为密钥(secretkey)，且加密金钥与解密金钥相同，因此又称为私密金钥系统(privatekeysystem)或单钥系统(one-keysystem)。由于此密码系统速度较快、适合大量数据处理，且适用于保护个人档案及传输资料。非对称密码系统可为加解密或数字签章系统，由于加密或签章验证金钥是公开的，称为公钥(publickey)，解密或签章产生金钥是私密的，称为私钥(privatekey)，因公钥与私钥不同，且公钥与私钥必须存在成对(keypair)与唯一对应的数学关系，使得由公钥去推导私钥为计算上不可行，因此非对称密码系统又称为公开金钥系统(publickeysystem)或双钥系统(two-keysystem)，此系统速度较慢、适合少量数据处理，大多用来传送对称算法所需的密钥或进行数字签章，且适用于网络系统环境。1.3使用者识别与讯息鉴别所谓使用者识别主要是基于使用者知识、使用者持有物，与使用者生理特征等，使用者知识是指只有使用者知道的特定讯息，例如通行码(password)、口令、江湖切口等；使用者持有物通常是指特殊且很难复制的身分识别对象，例如钥匙、令牌、Token卡、IC卡等；使用者生理特征是指使用者独有且与生俱来的生理特质，例如指纹、掌纹、视网膜纹路等。然而，一个身分识别系统必须结合上述至少两种方法以上才能达到实务应用之安全需求。通行码的使用原则包括通行码的产生、通行码的长度、通行码的周期，与通行码的传递。通行码的产生有两种方式，一种是由随机数产生器产生，此种方式所产生之通行码安全性高但不易记忆；另一种是由使用者自行选取，其特性为方便性高但容易遭受猜测或破解。通行码的长度建议以4至8个字符英数混合为原则，但用于安全性要求较高之系统则通行码长度愈长愈好。通行码每隔固定时间周期或有破解之虞时须强制更换，具重要或敏感性质之系统应针对不同的时段设定多重通行码或单次通行码(one-timepadpasswords)。通行码的传递通常是透过密文或加密过的形式传送，以确保其机密性，并利用机密分割(knowledgesplit)的策略，并以不同性质的通讯管道进行传递，以分散被截取的风险。通行码验证协议包括交谈式(interactive)/动态式与非交谈式(non-interactive)/固定式。交谈式通行码验证协议主要是运用于安全度较高或通讯效率较高的系统，利用诘问-响应(challenge-response)方式或零知识证明(zero-knowledgeproofs)协议完成秘密参数确认，运用多次的诘问-响应方式可以达到强化系统安全性的目的，但需要花费较长的登入与验证时间。非交谈式通行码验证协议主要是利用中央式的计算机系统及远程登入的网络系统，可以有效降低使用者与系统联机的通讯成本，并可搭配使用IC卡来增加安全性。交谈式通行码确认包括建立与注册阶段与登入与验证阶段，分述如下：l建立与注册阶段：由系统或使用者建立若干问题与相对应的答案，这些问题可视为公开参数，而答案可视为仅系统及合法使用者知道的秘密参数，而系统于注册时需告知使用者如何回答问题。l登入与验证阶段：系统任选若干预先建立的问题向使用者提问，而使用者必须于有效的时间内针对系统所提出的问题做出正确响应，所有的问题皆回答正确方可允许登入。交谈式通行码确认包括建立与注册阶段与登入与验证阶段，分述如下：l建立与注册阶段：系统建立适当的公开参数与秘密参数，并定义使用者身分码(identity)，并由系统或使用者选取通行码，随后系统针对使用者的身分码与通行码产生鉴别参数，并将之储存于安全储存媒体(经过安全机制的保护)。l登入与验证阶段：使用者于终端设备提出登入要求，系统针对使用者的登入要求产生对应的鉴别参数，随后比对或验证在登入阶段所产生的鉴别参数与在注册阶段所产生的鉴别参数，以验测其登入要求之合法性。通行码确认之可能攻击包括重送攻击、假冒攻击，与联手攻击。重送攻击是指入侵者截取到使用者的登入讯息后，重送此登入要求，此项攻击可利用时戳(timestamp)或时变参数(time-variantparameter)隐含于验证参数中来防制。假冒攻击是指入侵者利用某一合法使用者的公开参数来产生合法的登入讯息，可利用数字签章技术来防制此项攻击。联手攻击是指某一些合法使用者彼此透露所持有的秘密参数共谋推导出通行码产生公式或其余合法使用者的通行码或系统的秘密参数，而在设计确认算法时就必须考量此项攻击。在介绍讯息鉴别之前，我们先说明其运用之密码技术，即单向杂凑函数(one-wayhashfunction)与金钥式杂凑函数(keyedhashfunction)。单向杂凑函数是指具压缩性，可将不定长度的讯息压缩成固定长度(通常为128位或160位)