關注技術，關注生活

[出處:http://www.yesky.com/ServerIndex/77131904641400832/20040426/1791610.shtml]

密鑰密碼系統介紹

　　這篇文章向大家闡述了Netscape公司是如何使用RSA的公用密鑰密碼系統來實現因特網安全的。Netscape的安全套接層的實現就利用了這篇文章中所討論的技術。
　　RSA的公用密鑰密碼系統廣泛地應用于計算機工業的認證和加密方面。Netscape得到RSA數據安全公司的許可可以使用公用密鑰密碼系統以及其它產品，尤其是認證方面的產品。
　　公用密鑰加密技術使用不對稱的密鑰來加密和解密，每對密鑰包含一個公鑰和一個私鑰，公鑰是公開，而且廣泛分布的，而私鑰從來不公開，只有自己知道。
　　用公鑰加密的數據只有私鑰才能解密，相反的，用私鑰加密的數據只有公鑰才能解密，正是這種不對稱性才使得公用密鑰密碼系統那么有用。

使用公用密鑰密碼系統進行認證

　　認證是一個驗證身份的過程，目的是使一個實體能夠確信對方是他所聲稱的實體。下面的例子包括Alice和Bob，并且向我們演示了如何使用公用密鑰密碼系統來輕易的驗證身份。下面的 {something}key 表示something 已經用密鑰 key 加密或解密。
　　假設Alice要認證Bob，Bob有一個密鑰對，即一個公鑰和一個私鑰，Bob透露給Alice他的公鑰（至于他是怎么做的將在以后討論）。然后Alice產生一段隨機的消息，然后把它發給Bob。
　　 A-->B random--message

　　Bob用自己的私鑰來加密這段消息，然后把加密后的消息返回給Alice。
　　 B-->A {random--message}bobs--private--key

　　Alice接到了這段消息，然后用Bob以前發過來的公鑰來解密。她把解密后的消息和原始的消息做比較，如果匹配的話，她就知道自己正在和Bob通信。一個入侵者應該不知道Bob的私鑰，因此就不能正確的加密那段Alice要檢查的隨機消息。
　　但是，等一下，還有......
　　除非你確切的知道你在加密什么，否則用你的私鑰加密一些東西，然后發給別人永遠不是一件好事。這是因為加密后的數據可能會背叛你（記住，只有你能加密，因為只有你才有密鑰）。
　　所以，我們不加密Alice發送的原始消息，取而代之的是，由Bob構造一個消息信息段，然后加密它。消息信息段是從隨機消息中以某種方式提取出來的，并且具有以下特點：
　　 信息段很難逆轉，任何假冒Bob的人不能從信息段得到原始消息
????? 假冒者無法找到具有相同信息段的不同消息
　　 通過使用信息段，Bob能夠保護自己。他首先計算出Alice發給他的隨機消息的信息段并加密，然后把加密后的信息段返回給Alice，Alice可以計算出相同的信息段，通過解密Bob的消息然后對比一下就可以認證Bob的身份。

????? 近一點......
　　剛才描述的技術稱為數字簽名。Bob為Alice產生的消息簽名，這樣做其實和加密Alice產生的隨機消息一樣危險。因此我們的認證協議需要一次以上的變形。部分（或者全部）的數據需要由Bob產生。
　　 A-->B hello,are you bob?
　　B-->A Alice,This Is bob{digest[Alice,This Is Bob]}bobs-private-key

　　當Bob使用這個協議的時候，他知道自己發給Alice的是什么消息，并且不介意簽名。他首先發送沒有加密的消息“Alice,This Is Bob。”然后發送加密的信息段。Alice能夠輕易的判斷Bob是Bob，并且Bob沒有簽任何他不愿意簽的東西。

分發公鑰

　　Bob如何以一種可信賴的方式分發他的公鑰呢？我們假設認證協議是這個樣子的：
　　 A-->B hello
　　B-->A Hi, I'm Bob, bobs-public-key
　　A-->B prove it
　　B-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key

　　如果使用這個協議的話，任何人都可以是Bob。你需要的只是一個公鑰和私鑰，你跟Alice慌稱你是Bob，接著你用自己的公鑰代替Bob的公鑰，然后你通過用你的私鑰加密的東西來證明，這樣Alice就不能分辨出你不是Bob。
　　為了解決這個問題，標準化組織發明了一個叫做證書的東西，一個證書包括下面的一些內容：
　　 證書發行者的名字
　　 證書發送給的團體
　　 主題的公鑰
　　時間戳

　　證書是由證書發行者的私鑰簽名的，每個人都知道證書發行者的公鑰（即證書發行者有一個證書，等等）。證書是一種把公鑰綁定到名字的標準方式。
　　通過使用證書這種技術，每個人都可以通過檢查Bob的證書來判斷Bob是不是偽造的。假設Bob嚴格的控制著他的私鑰，并且的確是Bob得到了他的證書，那么一切都好。下面是修訂后的協議：
　　 A-->B hello
　　B-->A Hi, I'm Bob, bobs-certificate
　　A-->B prove it
　　B-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key

　　當Alice收到Bob的第一條消息，她可以檢查證書，核實簽名（如上，使用信息段和公鑰加密），然后，核實主題（Bob的名字）來判斷那是不是真的Bob。這樣她就相信公鑰是Bob的公鑰，然后要求Bob證明他的身份。Bob則重新進行一次上面的相同過程，計算消息的信息段，簽名之后發給Alice，Alice可以用從證書得到的公鑰檢查Bob的消息信息段，從而判斷Bob的身份。

一個壞家伙 - 我們不妨叫他Mallet - 可以做下面的事情：
　　 A-->M hello
　　M-->A Hi, I'm Bob, bobs-certificate
　　A-->M prove it
　　M-->A 不能建立一個令甲相信的從乙的消息。

　　但是Mallet在最后的消息中不能滿足Alice。Mallet沒有Bob的私鑰，所以他無法構造一條使Alice相信來自Bob的消息。

交換密碼

　　一旦Alice認證了Bob，她就可以做另外一件事-她能發給一條只有Bob才能解碼的消息：
　　 A-->B {secret}bobs-public-key

　　發現這個秘密的唯一方法就是用Bob的私鑰來解密上面的消息，交換秘密是公用密鑰密碼系統的另一種強大的用法。即使Alice和Bob之間的通信被監視，除了Bob，也沒有人能夠得到秘密。
　　這項技術加強了因特網的安全性，它把這個密碼當作另一個密鑰，但是這時它是對稱性密碼系統算法的密鑰（如DES，RC4，IDEA）。Alice知道這個秘密，因為這是自己在發送給Bob之前產生的。Bob知道這個秘密，因為Bob有私鑰，能夠解密Alice的消息。因為他們都知道這個秘密，所以他們就可以初始化一個對稱的密碼算法然后開始傳輸用它加密的消息。下面是訂正的協議：
　　 A-->B hello
　　B-->A Hi, I'm Bob, bobs-certificate
　　A-->B prove it
　　B-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
　　A-->B ok bob, here is a secret {secret} bobs-public-key
　　B-->A {some message}secret-key

　　secret-key 的計算取決于協議的定義，但是它可以簡化成一個 secret 的副本。
　　你說什么？
　　Mallet的袋子里有很多詭計。雖然Mallet不能發現Alice和Bob交換的秘密，但是他可以干預并且破壞他們的對話。舉例來說，如果Mallet位于Alice和Bob，他可以選擇讓大多數的消息返回以及向前繼續傳輸沒有改變，但是破壞了特定位的消息（這對他來說很容易，因為他知道Alice和Bob之間通信的協議）。
　　 A-->M hello
　　M-->B hello
B-->M Hi, I'm Bob, bobs-certificate
　　M-->A Hi, I'm Bob, bobs-certificate
　　A-->M prove it
　　M-->B prove it
　　B-->M Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
　　M-->A Alice, This Is bob{ digest[Alice, This Is Bob] } bobs-private-key
　　A-->M ok bob, here is a secret {secret} bobs-public-key
　　M-->B ok bob, here is a secret {secret} bobs-public-key
　　B-->M {some message}secret-key
　　M-->A Garble[ {some message}secret-key ]

　　Mallet一直讓數據沒有改變的通過，直到Alice和Bob分享一個秘密。然后Mallet通過改變Bob發送給Alice的消息來進入這個方式中。這時候Alice是相信Bob的，因此她就可能相信這個改變的消息，然后按照它來做。注意Mallet并不知道這個秘密-他能做的所有事就是破壞用這個秘密的密鑰加密的數據。他可能不能利用這個協議制造出一條有效的消息，但是下一次，他可能幸運一點。
　　為了防止這種破壞，Alice和Bob在他們的協議中引入了一種消息認證碼（MAC）。MAC是根據秘密的密鑰和傳輸的數據計算出來的，上面描述的信息段算法的屬性正好可以用于構造抵抗Mallet的MAC功能。
　　MAC := Digest[ some message, secret ]

　　因為Mallet不知道這個秘密的密鑰，所以他無法計算出這個信息段的正確數值。即使Mallet隨機的改變消息，如果信息段數據很大的話，他成功的可能性也很小。舉例來說，通過使用MD5（RSA公司發明的一種很好的密碼信息段算法），Alice和Bob能和他們的消息一起發送128位的MAC值。Mallet猜中這個正確的MAC值的幾率是1/18，446，744，073，709，551，616，約等于零。
　　下面是樣本協議，又訂正了一次：
　　A-->B hello
　　B-->A Hi, I'm Bob, bobs-certificate
　　A-->B prove it
　　B-->A {digest[Alice, This Is Bob] } bobs-private-key
　ok bob, here is a secret {secret} bobs-public-key
　　{some message,MAC}secret-key

　　Mallet現在有麻煩了，Mallet可以改變任何的消息，但是MAC的計算將揭露他的欺詐行為。Alice和Bob能發現偽造的MAC值并停止會話，Mallet就不能偽造Bob的消息了。

　　這是什么時候的事？

　　最后的，但是同樣重要的是要防范Mallet鸚鵡學舌。如果Mallet記錄了會話的過程，他雖然可能不知道會話的內容，但是他可以重放這些會話。實際上，Mallet能在Alice和Bob之間做一些真正齷齪的事。解決的辦法就是從會話的雙方因如隨機因素。