廈門光沃自動化設備有限公司

6AG1214-1HG40-4XB0

廈門光沃自動化設備有限公司

小吳

手機 18064468920

電話0592-6803153

傳真0592-5917519

QQ1789782974

郵箱1789782974@qq

地址：廈門市海滄區(qū)滄湖東一里502號702室

公司網址：xmgwplc 密碼技術，相比其它安全技術，具有更加嚴謹的安全模型、更加嚴密的邏輯推導，能夠從基本公認的少量假設出發(fā)，推導得到各種可以證明安全的方案。密碼技術的應用，通常都會給信息系統(tǒng)帶來顯著的安全性提升。  本文我們將探討密碼及其在現(xiàn)實應用中面臨的諸多挑戰(zhàn)。從現(xiàn)實情況來看，密碼技術與應用的安全效果并不盡如人意。  一錯誤的密碼算法和不當的密鑰長度  密碼設備中可能會集成多種算法，密鑰長度也可能是用戶可以選擇的，這就要求用戶有足夠的密碼學知識。特別是，許多舊的設備在缺省情況下的算法和密鑰長度選擇已經不安全，有的甚至不具備新的算法選項。例如，近年來的HASH算法攻擊分析，就使得原有MD5算法和SHA-1算法從安全變?yōu)椴话踩?；RSA算法的安全密鑰長度，也隨著技術研究進展而不斷調整。  對于實際運行的系統(tǒng)，要再升級密碼算法或者密鑰長度可能需要很大代價。2011年的Internet統(tǒng)計分析表明，大約25%的網站仍然在使用密碼算法不安全的數字證書（MD5和RSA-1024算法），2016年的統(tǒng)計表明，IETF新標準禁止使用的RC4序列密碼算法仍然大量使用，約占郵件類連接的10%。相關文獻對Diffie-Hellman密鑰交換協(xié)議的技術分析，推測NSA有能力解密大量SSL/TLS加密流量。  即使密碼算法是絕對安全的，考慮到前向/后向安全、考慮到可能發(fā)生的安全事件，密鑰也需要定期更換。NISTSP800-57給出了各種場景推薦使用的密鑰長度和更新周期。這些密鑰更新原則，在現(xiàn)實的計算機和網絡系統(tǒng)中，并沒有得到完全實施。更為嚴重的是，大量的密鑰被重用。在互聯(lián)網郵件通信中，僅大約15%的公鑰正確地對應一個主機，其他公鑰都對應兩個或更多主機。  二密碼算法的工作模式選擇錯誤  在密碼應用中，對稱算法會使用CTR、CBC或GCM等工作模式來處理數據；RSA算法也需要使用PKCS#1、OAEP和PSS的數據填充方法。對于特殊的應用場景，還會有專門的密碼算法工作模式：在硬盤數據存儲加密應用中，通常使用XTS工作模式，NISTSP800-38G定義了Format-PreservingEncryption工作模式、用于保持加解密前后的文本格式等。學者也針對Hash算法提出了數據完整性校驗工作模式。  然而，這些理論研究成果并沒能全面應用到計算機和網絡系統(tǒng)中，最近暴露的QQ瀏覽器的RSA算法使用問題、著名的SSL/TLSDROWN攻擊都是利用了不安全的RSA算法數據填充方法，相關文獻也討論了數據存儲加密中不同工作模式的相應安全問題。  三隨機數不安全  如何獲得不可預測的隨機數一直是密碼應用中的重要問題。早在1996年，研究人員就發(fā)現(xiàn)，NetscapeBrowser的SSL協(xié)議實現(xiàn)使用了有問題的隨機數生成方法，攻擊者可以很容易地預測密鑰。在20年前，相關文獻就總結了若干實際運行系統(tǒng)中的隨機數問題、并給出了在計算機系統(tǒng)中產生安全隨機數的技術建議。  目前有多種方法來產生和評估隨機數或偽隨機數，其中也有些方法已經形成標準。然而，即使標準化的方法也有可能存在安全問題。如，NISTSP800-90A標準中著名的DualEC偽隨機數產生算法，就被廣泛猜測有后門。2014年NIST的新版本標準去掉了DualEC算法；ANSIX9.17/X9.31偽隨機數產生標準，如果在實現(xiàn)中使用固定種子，也容易導致攻擊。我們的研究表明，現(xiàn)有隨機數檢測評估標準也存在缺陷，不能完全正確地評估隨機性。有文獻分析了Windows操作系統(tǒng)隨機數產生函數CryptGenRandom的實現(xiàn)，詳細討論了其中的安全問題。  2012年的研究表明，Internet上公開使用的數字證書和PGP/SSH密鑰中，有大量的重復密鑰或者重復使用的素因子；這就說明，實際系統(tǒng)產生隨機數難以達到完美的隨機性。通過網絡從第三方獲得隨機數，涉及了復雜的操作和假設，在實際系統(tǒng)中并不完全可行。此外，雖然現(xiàn)在Intel和AMD的CPU內置了硬件隨機數指令RDRAND和RDSEED，但是仍未得到廣泛應用，其安全性還有爭議。  四密碼安全協(xié)議的實現(xiàn)和使用不當  直接使用標準化的密碼安全協(xié)議，是最合適的選擇。目前最廣泛使用的SSL/TLS密碼協(xié)議在各種平臺上都有公開源代碼實現(xiàn)。SSL/TLS協(xié)議也可以運行在UDP之上、即DTLS協(xié)議。然而，在實際應用中，很多方面仍然存在問題。主要問題包括算法配置、證書配置、與應用層協(xié)議的協(xié)作、證書/密鑰重復使用、操作流程復雜、代理劫持等等。比如，在針對郵件的被動偵聽中發(fā)現(xiàn)，有超過58%的連接仍然使用不安全的TLS1.0版本。這些問題都使得SSL/TLS協(xié)議并不能得到預定的安全目標。  單點登錄和統(tǒng)一認證授權協(xié)議也是目前廣泛使用的，如OpenID、OAuth、SAML等。這些協(xié)議在實現(xiàn)和使用中也存在諸多問題。比如，不同程序片段對數字簽名數據的不同理解，鑒別憑證和授權憑證的錯誤混用，關鍵數據在瀏覽器消息處理和傳遞過程中的泄露和篡改等都成為這些協(xié)議不正確實施的重要安全漏洞。錯誤的主要原因來自于協(xié)議實現(xiàn)和使用中的理解偏差和對實際計算機和網絡系統(tǒng)在消息處理和傳遞過程中的復雜性認識不足。例如，在XML數字簽名數據處理中，數字簽名驗證和數據解析的分離處理；對于瀏覽器傳遞和處理的消息，有多種正常方法或者攻擊手段可以修改和讀取。單點登錄和統(tǒng)一認證授權協(xié)議實現(xiàn)，從B/S模式轉到智能移動終端APP模式，也會引入新的問題；例如，APP使用WebView訪問身份服務提供方時候的數據泄露，在不可信環(huán)境APP中的敏感信息泄露等。  五網絡實體與密鑰綁定缺乏有效驗證  在密碼算法和密碼協(xié)議的設計和分析中，通常直接假設網絡實體正確持有密鑰（對稱密鑰或私鑰），或者采用數字證書證明網絡實體與公鑰的綁定關系。研究發(fā)現(xiàn)，大量的SSL/TLS軟件實現(xiàn)并沒有正確地驗證網絡實體與公鑰/數字證書的綁定關系，在數字證書驗證過程中沒有檢查根CA證書配置和實體身份標識，即使啟用了SSL/TLS協(xié)議，也仍然會有中間人攻擊風險。數字證書驗證過程的復雜性，尤其是各種數字證書的擴展理解不當，都會影響PKI證書鏈的驗證正確性。這些類型的軟件邏輯漏洞不同于常規(guī)的軟件漏洞，很難有通用的解決方案。  實現(xiàn)安全增強的PKI體系，也是當前的重要技術研究內容，提升安全的措施包括數字證書/公鑰Pinning，數字證書的多重認證，數字證書簽發(fā)操作的公開審計，不同網絡路徑的數字證書對比，證書服務范圍限定規(guī)則，證書持有者的控制和確認等等。這些解決方案各有優(yōu)缺點，都能夠在某些情況下更好提升PKI數字證書的可信度。  六密鑰保護仍舊是薄弱環(huán)節(jié)  密碼計算過程中的各種側信道攻擊，一直以來都是密碼工程的重要研究方向。計算機系統(tǒng)進程中的密鑰也面臨各類系統(tǒng)攻擊和安全威脅，包括Cold-Boot攻擊、DMA攻擊、計算機系統(tǒng)功能導致的數據擴散和軟件漏洞導致的內存信息泄露等。針對OpenSSL的心臟出血漏洞的攻擊就可以導致內存信息泄露。  針對計算機系統(tǒng)中的內存信息泄露和攻擊，學術界提出了多種密鑰安全方案，包括基于寄存器的密鑰安全方案；基于Cache的Copker密鑰安全方案；基于硬件事務內存機制的Mimosa密鑰安全方案；基于TrustZone機制的密鑰安全方案。有人也提出了基于GPU寄存器和Cache的PixelVault密鑰安全方案。但是后續(xù)研究發(fā)現(xiàn)，PixelVault方案的技術假設不成立、其安全目標并不能達到。  早在2014年，Intel公司推出SGX機制，實現(xiàn)了由CPU硬件創(chuàng)建的隔離計算環(huán)境，在SGX執(zhí)行環(huán)境中的數據，只在Cache中出現(xiàn)，交換到內存芯片時會自動由CPU加密，可以抵抗惡意操作系統(tǒng)以及惡意進程讀取敏感數據，篡改可執(zhí)行代碼。2016年，AMD公司也推出了SME/SEV機制，由CPU實現(xiàn)內存數據的自動加密。但是，近年來的最新研究成果表明，SGX執(zhí)行環(huán)境仍然面臨著多種側信道攻擊獲取密鑰等敏感數據，控制程序執(zhí)行流程等安全威脅；SME/SEV機制也存在安全問題。  2018年，針對CPU硬件的Meltdown漏洞和Spectre漏洞的發(fā)現(xiàn)，引起了網絡空間安全各界的極大關注。該漏洞影響了不同廠商、不同型號的大量CPU，使得攻擊者非授權地讀取數據，包括密鑰等敏感數據。利用該漏洞的攻擊可以突破SGX機制的保護。  七密碼模塊的訪問控制措施不足  密碼算法安全強度通常是128比特甚至更高，但是訪問密碼模塊，即密碼計算設備或者密碼計算軟件的權限控制卻經常只是依賴于簡單的用戶口令。傳