整理PGP的安全性.docx

整理PGP的安全性.docx

《整理PGP的安全性.docx》由会员分享，可在线阅读，更多相关《整理PGP的安全性.docx（12页珍藏版）》请在冰豆网上搜索。

整理PGP的安全性

PGP的安全性

内容提要

◎前言

◎IDEA的安全性问题

◎RSA的安全性问题

●选择密文攻击

●过小的加密指数e

●RSA的计时攻击法

●其他对RSA的攻击法

◎MD5的安全性问题

●对MD5的普通直接攻击

●对MD5的生日攻击

●其他对MD5的攻击

●口令长度和信息论

◎随机数的安全性问题

●ANSIX9.17PRNG

●用户击键引入随机性

●X9.17用MD5进行预洗

●randseed.bin的后洗操作

◎PGP的密匙和口令的安全性问题

◎没有完全删除的文件

◎物理安全性

◎多用户系统下的泄密

◎PGP的时间标戳可靠性

◎流量分析

◎现实的PGP攻击

被动攻击：

●击键窥探

●电磁泄露窥探

●内存空间窥探

●磁盘缓存窥探

●报文嗅探

主动攻击：

●特洛伊木马

●篡改PGP代码

◎结束语

这可能是个最难写的题目了，PGP本身就是一个数据安全产品，它会有什么安全性问题呢？

PGP的作者PhilZimmermann在PGP文档中说到：

“没有哪个数据安全系统是牢不可破的。

”PGP也不例外。

我们研究它的安全漏洞就是为了让用户知道哪些事会降低PGP的安全性，以及如何避免它们。

下面是这些漏洞：

口令或私匙的泄密、公匙被篡改、你删除的文件被人恢复、病毒和特洛伊木马、物理安全受到侵犯（物理安全指计算机等物理资源的安全）、电磁泄露、暴露在多用户系统中、网络数据流分析，甚至会有可能被直接从密码学分析的角度被解密（这当然是可能性最小的了）。

我们先分别看看PGP加密体系的四个关键部分的安全性问题。

PGP是个杂合算法，所谓“杂合”体现在它包含：

一个对称加密算法（IDEA）、一个非对称加密算法（RSA）、一个单向散列算法（MD5）以及一个随机数产生器（从用户击键频率产生伪随机数序列的种子）。

每种算法都是PGP不可分割的组成部分，对它们各有不同的攻击方式。

◎IDEA的安全性问题

IDEA是PGP密文实际上的加密算法，对于采用直接攻击法的解密者来说，IDEA是PGP密文的第一道防线。

关于IDEA的原理请参见《PGP简介》，在这里我主要谈谈与安全性有关的部分。

IDEA，一种由Lai和Massey在1992年完成的对64bit大小的数据块的传统加密算法。

IDEA是InternationalDataEncryptionAlgorithm的缩写。

它基于“相异代数群上的混合运算”设计思想，它比DES在软件实现上快得多，和DES一样，它也支持“反馈加密（CFB）”和“链式加密（CBC）”两种模式，在PGP中采用IDEA的64-bitsCFB模式。

IDEA比同时代的算法象：

FEAL,REDOC-II,LOKI,Snefru和Khafre都要坚固，而且最近的证据表明即使是在DES上取得巨大成功的Biham和Shamir的微分密码分析法对IDEA也无能为力。

Biham和Shamir曾对IDEA的弱点作过专门分析，但他们没有成功。

直到目前没有任何关于IDEA的密码学分析攻击法的成果发表，据目前我接触到的文档中谈到无论是NSA还是hacker们都还没有办法对IDEA进行密码学分析，因此对IDEA的攻击方法就只有“直接攻击”或者说是“密匙穷举”一种了。

那么对IDEA的直接攻击难度如何呢？

我们知道IDEA的密匙空间（密匙长度）是128位，用十进制表示所有可能的密匙个数将是一个天文数字：

340,282,366,920,938,463,463,374,607,431,768,211,456.

为了试探出一个特定的密匙，平均要试探一半上面的可能性。

即使你用了十亿台每秒钟能够试探十亿个密匙的计算机，所需的时间也比目前所知的宇宙的年龄要长，而即使是在当代制造每秒试探十亿个密匙的计算机还是不可能的。

因此对IDEA进行明文攻击也是不可能的，更何况从PGP的原理看一个IDEA的密匙失密只会泄露一次加密的信息，对用户最重要的密匙——RSA密匙对的保密性没有什么影响。

那么看来IDEA是没有什么问题了，因为你既不能从算法中找到漏洞又没法明文攻击。

实际上呢？

漏洞还是有的，大家知道Netscape的安全性风波吧，就是因为忽视了密匙随机生成的问题，Netscape的随机密匙生成算法生成的密匙很有“规律”，而且远远没有均布到整个密匙空间去，所以尽管Netscape的美国版采用128bits的密匙，还是被用很小的机时代价破掉了。

那么PGP是不是也有这个毛病呢？

我将在下面谈到随机数生成时再详细说，这里提到它是为了说明PGP各个部分之间的依存关系。

当有人发现PGP实际上不是一种“纯粹的”RSA加密算法时，他们担心由于加密链中IDEA的弱点而被攻破。

实际上这是由于一种误解：

他们认为公匙加密生来就比传统加密安全得多。

实际上密码分析专家计算过，穷举128-bitIDEA密匙和分解3100-bitRSA密匙的工作量相当，而实际上1024-bit的RSA密匙已被认为是机密级的，而且1024-bit的纯粹RSA加密要比128-bit的IDEA加密要慢4000多倍。

RSA的长处在于它的易用性而不是它的坚固性，相反加密链的弱点不在IDEA上而是在RSA上。

当然这只是相对而言，我们马上会看到RSA对直接攻击的抵御也是足够强的。

随便提一句，在PGP的未来版本中将提供密匙长度为112-bit的TripleDES加密算法作为用户选项。

56-bit的标准DES密匙已经被证明是可以攻破的。

◎RSA的安全性问题

先看看RSA的基本原理，我们知道RSA的保密性基于一个数学假设：

对一个很大的合数进行质因数分解是不可能的。

RSA用到的是两个非常大的质数的乘积，用目前的计算机水平是无法分解的。

但是这说明不了什么，没有“证明”RSA的安全性。

这既不说明分解这个大数是攻击RSA唯一的（或者说是最佳的）途径，也不能证明这种分解真的那么困难。

RSA有可能存在一些密码学方面的缺陷，随着数论的发展也许会找到一种耗时以多项式方式增长的分解算法。

不过目前这还只是展望，甚至连发展的方向都还没有找到。

有三种事物的发展会威胁到RSA的安全性：

分解技术、计算机能力的提高和计算机造价的降低。

特别是第一条对RSA的威胁最大，因为只要大数分解的问题不解决，做乘法总是比分解因数快得多，计算机能力强大了尽可以加长密匙来防御，因为那时加密也会快得多的。

RSA的密匙生成步骤可以分为七步：

－找到两个大质数p,q

－做乘法n=p*q

－选择一个数e，满足e

－计算d=e^-1mod[（p-1）（q-1）]

－e就是公开指数，d是私密指数

－公匙就是（n,e），私匙是（n,d）

－p和q应该被销毁掉（PGP为了用中国的同余理论加快加密运算保留了p和q，不过它们是用IDEA加密过再存放的）

加密算法是这样的，把明文分成比n小的数据块用公开指数作乘方取模运算：

c=m^emodn（m是明文块（message），c是密文块（cipher））

解密过程正相反，把密文数据块用私密指数作乘方取模运算：

m=c^dmodn

攻击者有公匙，就是e和n，他想获得私匙，换句话就是d。

对n进行因数分解来获得p,q从而算出d是最好的RSA攻击方法，直接穷举d或推断（p-1）（q-1）都要慢许多。

下面是几种因数分解的算法：

－试探除法：

最老也是最笨的方法，穷举所有小于sqrt（n）的质数，耗时以指数率增长。

－二次筛法（QS）：

对10^110以内的数是最快的算法。

－MPQS：

QS的改进版本，要快一些。

－分区筛法（NFS）：

目前对大于10^110的数是最快的算法。

曾被用来成功地分解过第九费马数。

这些算法代表了人们对大数分解（也就是对RSA攻击）的探索历程。

最好的算法具有超多项式率（次指数率）的时间复杂度，NFS具有最接近于多项式率的表现。

大数分解仍然是困难的，可是随着数论和计算能力的发展，它变得容易了。

1977年，RonRivest说过分解一个125位的数需要花费4*10^13年。

在1994年RSA129被分解了，花费了5000MIPS·年的机时，是利用internet上一些计算机的空闲CPU周期一共花了8个月完成的。

1995年，Blacknet密匙被分解，用了几十台工作站和一台MarPar，共用400MIPS·年，历时3个月。

随着时间的推移，可能被分解的密匙长度还会增加。

下面的表格是常用的几种PGP密匙长度与它对应的NFS分解算法耗费的MIPS·年数。

密匙长用NFS来分解的MIPS·年数

-----------------------------------------------------------------

51230,000

768200,000,000

1024300,000,000,000

2048300,000,000,000,000,000,000

下面一张表示用直接攻击方法耗时相当的对称式与非对称式加密对应密匙长度。

对称式非对称式

------------------------------------------------------------------

56-bits384-bits

64-bits512-bits

80-bits768-bits

112-bits1792-bits

128-bits2304-bits

分解过Blacknet密匙的四个人说过：

“目前几乎可以肯定，拥有合适资源的组织可以破译512-bits的密匙。

”这并不意味着有这么个组织认为值得动用如此之大的计算能力去破译别人的信息。

话虽这么说，知道自己所用的加密体系可能会被攻破每个人都不会心安理得的。

专家的建议是使用加密体系实现所提供的最大码长。

如果哪一种实现不能提供足够的码长，最好不要用它。

RSA的安全性依赖于大数分解的难度。

因此PGP需要一些产生非常大的质数的方法。

目前还没有一种迅捷的产生一个大质数的算法。

因此，PGP实际采用的方法是产生一个大奇数，然后测试它的质数性。

顺便提一句，质数的个数是无穷的，甚至它的分布密度也超出一般人的想象，数论给出的结论表明，n以内的质数的个数趋近于n/ln（n）。

为了测试一个数的质数性，一个显而易见的方法是作试探除法，将n用2到sqrt（n）的每个整数来除。

如果n是质数，所有这些数都不能整除它。

如果n是质数的话，这个算法的耗时是指数方式增长的，这对PGP需要测试的大数来说太不经济了。

从这里也可以看出试探除法不是一条可行的RSA攻击道路。

PGP实际采用的方法是对候选奇数做费马测试。

费马测试并不能确定它是否质数，但通过费马测试以后的数不是质数的概率微乎其微。

下面是费马测试的细节：

－待测奇数n

－在质数集合中依次选取一个质数b，b=2,3,5,7......

－计算w=b^（n-1）%n

－如果对于所有b，w都为1，n很可能是质数。

否则n一定是合数。

取前四个质数的测试称为四阶费马测试，PGP采用的就是它。

一阶测试误判的概率是10^-13，二阶后是10^-26，作完四阶测试后是10^-52。

而且它绝对不会漏掉一个质数。

当然将合数误判为质数的可能性是存在的，这种能通过费马测试的合数被称为Carmichael数，象561,1105,1729等等。

它们很稀少，在10^9范围内只有255个。

下面是几种针对RSA有效的攻击方法，它们实际上对PGP没有效力，因为它们攻击的是加密协议环节上的漏洞，而不是RSA本身的。

从这些例子可以看到PGP是如何在实现上堵住这些漏洞的。

●选择密文攻击

由于RSA密文是通过公开渠道传播的，攻击者可以获取密文。

我们假设攻击者为A，密文收件人为T，A得到了发往T的一份密文c，他想不通过分解质因数的方法得到明文。

换句话说，他需要m=c^d。

为了恢复m，他找一个随机数r，r

他计算：

x=r^e%n（用T的公匙加密r）

y=x*c%n（将临时密文x与c相乘）

t=r^-1%n

A知道RSA具有下面的一个特性：

如果x=r^e%n，那么r=x^d%n

因此他想办法让T对y用T自己的私匙签名（实际上就是把y解密了），然后将结果u=y^d%n寄回给A。

A只要简单地计算：

m=t*u%n

上面结论的推导是这样的：

t*u%n=（r^-1）*（y^d）&n

=（r^-1）*（x^d）（c^d）%n

=（c^d）%n

=m

要防止这种攻击的办法就是不要对外来的随机信息签名，或者只对信息的MD5特征值签名。

在这里就很容易明白为什么要强调MD5的单向性了，因为MD5的结果是不能预定的，就是说A难以凑出一份刚好能产生y这样的MD5特征值的明文来让T签名。

●过小的加密指数e

看起来，e是一个小数并不降低RSA的安全性。

从计算速度考虑，e越小越好。

可是，当明文也是一个很小的数时就会出现问题。

例如我们取e=3，而且我们的明文m比n的三次方根要小，那么密文c=m^e%n就会等于m^3。

这样只要对密文开三次方就可以得到明文。

PGP对这个漏洞的处理是在明文上加上一个随机数，这样保证m>n，而且缺省的e值为17，如果不行再用19，23等等。

●RSA的计时攻击法

这是一种另辟蹊径的方法。

是由PaulKocher发表的。

大家可以发现，RSA的基本运算是乘方取模，这种运算的特点是耗费时间精确取决于乘方次数。

这样如果A能够监视到RSA解密的过程，并对它计时，他就能算出d来。

细节我就不复述了。

我想说的是如何抵御它。

Rivest说，最简单的方法就是使RSA在基本运算上花费均等的时间，而与操作数无关。

其次在加密前对数据做一个变换（花费恒定时间），在解密端做逆变换，这样总时间就不再依赖于操作数了。

至于PGP根本不用担心计时攻击，因为PGP采用了中国余数理论的方法加速了运算，同时也使耗时与操作数无关。

同时计时攻击对攻击者资源的要求太高，实时监视加密过程不是任何人都可能做到的。

在这里提出这种攻击是因为：

虽然它目前还不实用，但从理论上是一个崭新的思路，值得注意。

●其他对RSA的攻击法

还有一些对RSA的攻击，象公共模数攻击。

它是指几个用户公用一个模数n，各自有自己的e和d，在几个用户之间公用n会使攻击者能够不用分解n而恢复明文。

但是PGP是不会在用户之间公用模数的。

最后谈谈RSA密匙长度的问题，多长的密匙是安全的。

专家指出，任何预言都是不理智的，就目前的计算机水平用1024-bits的密匙是安全的，2048-bits是绝对安全的。

但是他们并不指望这个局面延续到下世纪，他们只是指出：

如果RSA象有些人说的那样脆弱，就不可能从1977年一直保持到现在还没有被攻破。

◎MD5的安全性问题

MD5是一种在PGP中被用来单向变换用户口令和对信息签名的单向散列算法。

一种单向散列的强度体现在它能把任意的输入随机化到什么程度并且能产生唯一的输出。

对单向散列的直接攻击可以分为普通直接攻击和“生日”攻击。

●对MD5的普通直接攻击

所谓直接攻击又叫野蛮攻击。

攻击者为了找到一份和原始明文m散列结果相同的明文m'，就是H（m）=H（m'）。

普通直接攻击，顾名思义就是穷举可能的明文去产生一个和H（m）相同的散列结果。

对MD5来说散列结果为128-bits，就是说如果攻击者有一台每秒尝试1,000,000,000条明文的机器需要算约10^22年，同时兴许会同时发现m本身:

））。

●对MD5的生日攻击

生日攻击实际上只是为了找到两条能产生同样散列结果的明文。

记得那个有名的概率生日问题吗？

在N个人中至少有两个人生日相同的概率是多少？

所谓生日攻击实际上只是用概率来指导散列冲突的发现，对于MD5来说如果尝试2^64条明文，那么它们之间至少有一对发生冲突的概率就是50％。

仅此而已，对当今的科技能力来说，它也是不可能的。

一台上面谈到的机器平均需要运行585年才能找到一对，而且并不能马上变成实际的攻击成果。

因为码长和速度的关系，对crypt（3）的生日攻击就成功得多。

●其他对MD5的攻击

微分攻击被证明对MD5的一次循环是有效的，但对全部4次循环无效。

（微分攻击是通过比较分析有特定区别的明文在通过加密后的变化传播情况来攻击加密体系的。

）

有一种成功的MD5攻击，不过它是对MD5代码本身做了手脚，是一种crack而不是hack更算不上cryptanalysis了。

而且如果你做了PGP发行包的签名校验，是容易发现代码被替换过了的。

●口令长度和信息论

根据传统信息论，英语的每个8-bits字母的信息熵为1.3bits。

如果口令足够长，MD5的结果就会足够随机。

对128-bits的MD5输出来说，一个长达98个字符的口令将给出一个随机的密匙。

（8/1.3）*（128/8）=98.46chars

可是谁会用一个象下面这样长的口令呢？

12345678901234567890123456789012345678901235678901234567890

1234567890123456789012345678

1.3bits的信息熵来自于英语语法的规律性这个事实，字母出现概率的不等造成了熵的减小。

如果26个拉丁字母出现的概率均等，信息熵将会增至

log（26）/log

（2）=4.7bits

这样一个随机密匙所需口令长度就减为27.23chars了，如果再加上大小写和几个符号还可以减少。

关于选择口令的问题可以参考任何关于安全性的书籍，它们都适用，上面是关于PGP本身特色的部分。

◎随机数的安全性问题

PGP使用两个伪随机数发生器（PRNG），一个是ANSIX9.17发生器，另一个是从用户击键的时间和序列中计算熵值从而引入随机性。

ANSIX9.17PRNG使用IDEA而不是3DES来产生随机数种子。

Randseed.bin文件最初是利用用户击键信息产生的，每次加密前后都会引入新的随机数，而且随机数种子本身也是加密存放的。

●ANSIX9.17PRNG

官方发布的ANSIX9.17标准使用的是TripleDES作为内核，这个很容易改用IDEA实现。

X9.17需要randseed.bin中的24bytes的随机数，PGP把其他384bytes用来存放其他信息。

X19.7工作过程大致如下：

E（）=IDEA加密函数，使用一个可复用的密匙（使用明文产生）。

T=从randseed.bin文件中来的时间

V=初始化向量

R=生成的随机密匙（用来加密一次PGP明文）

R=E[E（T）XORV]

下一次的初始化向量计算如下：

V=E[E（T）XORR]

●用户击键引入随机性

这是真正的随机数，没有什么好说的，只是尽量使击键无规则就行。

输入的熵越大输出的随机数的熵就越大。

●X9.17用MD5进行预洗

所谓“洗”就是指象洗牌一样把数据打乱，加密前叫预洗，加密后为下一次加密的准备叫后洗。

PGP的日常随机数产生器X19.7是用明文的MD5值来预洗的，它基于攻击者不知道明文这样一个假设。

如果攻击者知道明文他就没有太大必要去攻击了，当然也有这种可能，不过这只是会削弱一点PRNG的随机性罢了。

下面我们将看到还有后洗操作。

●randseed.bin的后洗操作

后洗操作被认为是更安全的。

更多的随机字节被用来重新初始化randseed.bin文件，它们被用当前的随机临时PGP密匙来加密。

同样如果攻击者知道这个密匙，他就不用攻击randseed.bin文件，相反他更关心randseed.bin文件当前的状态，因为可能从中获得下次加密的部分信息。

因此对randseed.bin文件的保护和公匙环及私匙环文件同样重要。

当然，如果不是密码专家这些文件都给他也没事。

◎PGP的密匙和口令的安全性问题

最简单的失密方式就是你让你的口令写在某处，又无法保证除你之外没有其他人能看到。

如果别人得到你的口令和你的私匙文件，整个加密体系就无密可言了。

另一个古老的话题就是口令不要太简单，注意PGP用的是“口令”passphase，而不是“密码”password，就是说可以在口令中包含多个词和空格。

一个老谋深算的攻击者可能会用一本名言录来寻找你的口令。

因此为了得到好记又难猜的口令，你可以生造一些句子或者找些非常生僻的文学篇章中的句子。

我个人推荐的办法是采用一句话中的首字母的序列，然后在其中加入几个符号，如“.”，“-”，“;”等，长度最好大于等于8个字符，同时也可夹杂大小写。

由于有被人在旁边窥探你的击键动作的可能，最好不用空格键，因为敲它的声音很特殊。

同样，需要手指伸得很远的数字键也可不用。

例如：

从“Youcan'tgetitwithoutmypassphase”可以得到“yCgi.wyp”这个口令，用穷举法试探出这个口令的可能性微乎其微，因为它用到了大小写字母和符号。

平均要试探约50^8次才可能成功，以IDEA的速度，这在一般大型计算机上也不是轻而易举的事。

因此短的口令只要足够随机，一样很安全，而且输入口令时间越短，被窥探的可能也越小。

公匙的篡改和冒充可说是PGP的最大威胁，在《PGP简介中》我已经讲得比较详细了，要点就是：

当你用别人的公匙时，确信它是直接从对方处得来或是由另一个可信的人签名认证过的。

确信没有人可以篡改你自己的公匙环文件。

保持你对自己密匙环文件的物理控制权，尽量存放在自己的个人电脑里而不是一个远程的分时系统里。

备份自己的密匙环文件。

◎没有完全删除的文件

一般的操作系统在删除文件时都并没有彻底删除文件的数据，当你加密明文后将明文删除，可是没有从物理上把明文的数据清除。

一些有经验的攻击者可能从你的磁盘数据块中恢复明文。

当然象碎纸机一样，也有从物理上销毁文件的办法，它们是一些工具软件，如果没有，最简单的办法是用无用的信息将明文文件覆盖。

在PGP后加上-w参数也可以达到这一目的。

不过即使你覆盖了所有明文曾占用的磁盘空间，仍然会有微小的剩磁留在磁盘上，专用的设备可以恢复这些数据，只是一般人没有这个条件。

对于你使用的密匙环文件同样存在这个问题，特别是私匙环文件，直接关系到你的私匙的安全。

因此除了你专用的个人电脑，最好不要将密匙环拷入其他机器，让它们留在软盘上或许是个安全的办法。

◎物理安全性

这是PGP所不能赋予你的。

如果政府要调查你的话，它蛮可以直接去物理侵犯你的隐私，就象在水门事件中一样。

而且这种攻击比密码学分析要便宜得多。

PGP无法在一个不保密的环境中保护你的未加密的明文。

当然物理安全性也包括对PGP数据的物理安全保护象防火、防水、防雷等等，可是这都不如防人来得难办。

◎多用户系统下的泄密

PGP最初是为MS-DOS设计的，它假设本身在用户的直接物理控制下。

可是随着PGP的普及