应用密码学基础知识培训

©2010AFCAIT.Allrightsreserved./Page1地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：应用密码学基础知识©2010AFCAIT.Allrightsreserved./Page2地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：目录©2010AFCAIT.Allrightsreserved./Page3地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page3•2011年12月21日，国内最大的程序员社区CSDN上600万用户密码被盗，黑客公布的文件中包含用户的邮箱账号和密码。CSDN网站随后发表了官方公告称承认数据库被盗一事属实，并向用户致歉。•22日，人人、开心、多玩、7k7k、178游戏、嘟嘟牛等网站用户信息被黑客公布，涉及用户资料近5000万份。•25日，国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏，据了解此次被泄漏用户数量达到4000万之多。•25日，腾讯QQ数据库泄露：QQ泄露4G大小数据库，涉及3亿帐号。•26日，泄密事件再升级，新浪微博用户密码泄露……•2012年5月9日，AirDemon网站报道全球最大的社交网站之一的Twitter遭到不明身份的黑客攻击，55,000名Twitter用户的登陆账号及密码信息被曝光。用户信息大泄露事件©2010AFCAIT.Allrightsreserved./Page4地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page42011年11月26日，京东商城用户资料完全泄露：京东商城在某些业务上存在用户权限控制不当的漏洞，导致用任意用户登录系统后，都可以正常访问到所有用户的信息，包括：姓名、地址、电话、Email等。用户信息大泄露事件京东用户的用户名、密码、余额、积分信息，以及该账户是否手机验证、是否邮箱验证，所有信息一应俱全。©2010AFCAIT.Allrightsreserved./Page5地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page5•2013年10月5日报道，搜狗浏览器泄露大量用户密码技术漏洞：搜狗首先是上传了用户的帐户密码保存在服务器；然后又让其他用户下载到了本地，不分区域的。如果用户选择用QQ登录会自动下载大量未知用户保存的用户名和密码，可以随意查看QQ、邮箱、支付宝、银行等涉及用户财产的账户信息，甚至可以直接进入其他人的支付宝进行转账购物，或直接进行支付交易。用户信息大泄露事件©2010AFCAIT.Allrightsreserved./Page6地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page6安全威胁：一旦有犯罪分子非法获取，就可以用来办理所有需要个人身份资料的经济活动，包括贷款、担保、购房、消费等一系列活动。还有一些犯罪分子直接用窃取的客户资料，到现实生活中欺骗，而且此类案件屡见不鲜。补救措施：用户修改密码，能够确保安全？技术缺陷：明文储存密码信息，而密码设置的最基本原则，就是不能明文保存用户信息大泄露事件©2010AFCAIT.Allrightsreserved./Page7地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page7棱镜门事件2013年6月，斯诺登揭露的棱镜门事件震惊世界斯洛登爆料：过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控全球的秘密资料。监控的主要有10类信息：电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节。监听：就是指在你不知情的时候，把服务器硬盘、个人终端硬盘、以及网络上正在传输的信息导入监听机构的硬件设施中。©2010AFCAIT.Allrightsreserved./Page8地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page81、要想阻止监听，在PC和手机硬件、服务器硬件、路由器、交换机等等硬件以及相应的OS、编译器、DBMS和应用软件完全自主之前是不现实的，因为这些环节全都是美国的知识产权；2、在现在这种软硬件核心技术完全由美国掌控的情况下，短期策略只能是加密有必要加密的信息，使他们无法破解或者很难破解。如何防范棱镜门事件©2010AFCAIT.Allrightsreserved./Page9地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page9信息如何丧失正常的信息流动:1）中断：破坏了信息的哪些性质？2）截取：3）篡改：4）伪造：可用性保密性完整性鉴别性©2010AFCAIT.Allrightsreserved./Page10地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page10被动攻击：试图获取和使用系统中的信息，但是不会对系统的资源产生破坏主动攻击：试图改变系统的资源或者伪装成系统中的合法用户进行操作主动攻击被动攻击——截取（保密性）网络攻击类型消息内容泄密流量分析中断（可用性）篡改（完整性）伪造（认证）攻击的分类©2010AFCAIT.Allrightsreserved./Page11地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page11信息安全的四大要素–机密性—是指信息不能被非授权者、实体或进程利用或泄露的特性。–完整性—信息没有遭受以未授权方式所作的篡改和或没经授权的使用。–身份鉴别—网上交易的双方很可能素昧平生，相隔千里，必须方便而可靠地确认对方身份。–不可否认性—保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。数字世界的信息安全需求如何保护数据的信息安全？密码学是信息安全的核心技术©2010AFCAIT.Allrightsreserved./Page12地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：目录©2010AFCAIT.Allrightsreserved./Page13地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page13Kerckhoffs原则秘密必须全寓于密钥中，即使密码分析员已经掌握了密码算法及其实现的全部详细资料，也无助于用来推导出明文或密钥。随机数随机数是密码学的根基，相当于一个国家的农业，农业基础打不好，国家的经济肯定不可能持续发展。随机数在没有一个统一的数学定义，都是从统计学的角度来阐述随机数。学界认为随机数应该是独立的、互不相关的、具有长周期、均匀分布、不可压缩等等性质。随机数在密码中的用途：对称密钥、SM2私钥、SM9主私钥，还有密码协议的安全性很大程度上依赖于随机数的选取。密码学的基本假设©2010AFCAIT.Allrightsreserved./Page14地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page14•伪随机数：一般认为确定系统产生的随机数是伪随机数（如，软件产生的随机数）•真随机数：只有在真实的物理世界中才存在真随机数；•随机性能好坏的评价标准：FIPS140-2检测，NIST的SP800-22b16种检测，Dihard检测随机数2013年10月，安全公司RSA向使用其产品BSAFE和DataProtectionManager的客户发出警告，建议用户停止使用被怀疑NSA植入了后门的加密组件。RSA的这两款产品默认使用DualEC_DRBG随机数生成算法创建密钥，DualEC_DRBG是基于椭圆曲线加密技术的随机数字生成算法，早在2007年学术界就怀疑NSA在其中植入了后门。RSA强烈建议用户停止使用DualEC_DRBG，改用其它的伪随机数生成算法。©2010AFCAIT.Allrightsreserved./Page15地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page15物理随机数热噪声振荡器时钟漂移量子随机性混沌电路伪随机数种子随机数随机数©2010AFCAIT.Allrightsreserved./Page16地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：©2010CMBCIT.Allrightsreserved./Page16公司国家产品熵源速率瑞士单光子4Mbps瑞典热噪声+散弹噪声2.04Mbps美国电阻热噪声2Mbps芬兰二极管热噪声+散弹噪声100Kbps日本电阻热噪声7Mbps中科院中国半导体超晶格+自发混沌振荡器80Gbps典型的物理随机数发生器©2010AFCAIT.Allrightsreserved./Page17地址：北京市海淀区西北旺东路10号院东区15号楼4层邮编：100094电话：010-59738000传真：010-59738006网址：h