陳秀容（廈門大學(xué)信息科學(xué)與技術(shù)學(xué)院,福建　廈門　361005）

安卓備份文件口令認(rèn)證機(jī)構(gòu)分析及其安全性

陳秀容
（廈門大學(xué)信息科學(xué)與技術(shù)學(xué)院,福建廈門361005）

摘要：為了研究安卓備份的消息認(rèn)證結(jié)構(gòu)，從加密算法組合方式以及加密算法類型分類的視角，使用了無條件安全性和計(jì)算安全性進(jìn)行了分析，計(jì)算安全模型，將安卓備份秘鑰結(jié)構(gòu)拆分為偽隨機(jī)函數(shù)（PBKDF-HMAC）和偽隨機(jī)置換（AES分組密碼）函數(shù)兩個(gè)部分。然后證明這兩部分滿足一定的特性，基于信息論，對(duì)安卓備份秘鑰架構(gòu)安全性進(jìn)行了簡(jiǎn)潔的說明。

關(guān)鍵詞:口令認(rèn)證機(jī)制；密鑰導(dǎo)出算法；計(jì)算安全

Android是Google公司于2007年專門為手機(jī)發(fā)布的一款開源操作系統(tǒng)。自Android操作系統(tǒng)發(fā)布以來，引發(fā)了手機(jī)革命。越來越多的人依賴手機(jī)更多于電腦。智能手機(jī)一方面給人們生活帶來了方便，同時(shí)也給人們?cè)黾恿素?fù)擔(dān)，大量私人保密信息的存儲(chǔ)，不法分子可以通過各種攻擊手段，如盜取、竊聽等方式來獲取存儲(chǔ)在移動(dòng)設(shè)備端的數(shù)據(jù)。這些數(shù)據(jù)的泄露，可能對(duì)個(gè)人、企業(yè)和國(guó)家?guī)聿豢晒懒康膿p失。因此，及時(shí)備份數(shù)據(jù)以及對(duì)數(shù)據(jù)進(jìn)行加密顯得尤為重要。本文是對(duì)安卓備份加密消息認(rèn)證機(jī)構(gòu)的探討以及對(duì)備份數(shù)據(jù)的安全性說明。

1　數(shù)據(jù)保護(hù)方式

對(duì)數(shù)據(jù)保護(hù)的另一種方式為數(shù)據(jù)加密，通過對(duì)原來的明文數(shù)據(jù)加密處理，使其轉(zhuǎn)換為不可讀的數(shù)據(jù)，通常稱為“密文”，只有當(dāng)用戶輸入相同的密鑰，經(jīng)過解密處理后才能顯示可讀內(nèi)容[i]。數(shù)據(jù)保護(hù)可分為系統(tǒng)自帶加密方式，比如主流的微軟windows系列，蘋果macos系列，以及開源linux系列等等。

以及采用文件口令認(rèn)證機(jī)制的軟件方式來加密數(shù)據(jù)[ii]。軟件加密主要有文件、文件夾加密和磁盤加密。Android備份文件[iii]、7-zip[iv]、PDF[v]、OpenOffice[vi]等應(yīng)用軟件則通過將加解密過程嵌入到文件及文件夾中。TrueCrypt[vii]，McAfee[viii]和PGPWDE[ix]等磁盤加密軟件通過對(duì)虛擬磁盤驅(qū)動(dòng)程序進(jìn)行加解密，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)的保護(hù)。在Android備份文件、OpenOffice、PGPSDA[x]、Truecrypt及WinRAR[xi]中采用AES[xii]、Whirlpool[xiii]、CAST5[xiv]等分組加密算法.分組密碼具有良好的擴(kuò)展性，介入的敏感性，使其更適合用作加密標(biāo)準(zhǔn)。

2　基本知識(shí)

2.1哈希函數(shù)架構(gòu)-秘鑰導(dǎo)出函數(shù)

密鑰導(dǎo)出算法（KeyDerivationFunction，KDF）特別是基于口令的密鑰導(dǎo)出算法，將用戶簡(jiǎn)單，不均勻的原始密鑰材料（如口令）進(jìn)行一定處理、變換和擴(kuò)展成長(zhǎng)度更長(zhǎng)，均勻分布的密鑰，擴(kuò)展后的密鑰近似一個(gè)隨機(jī)二進(jìn)制字符串，攻擊者從這個(gè)密鑰將無法獲得初始密鑰的任何信息。由于用戶的口令通常從較小的字符空間選取，因此很容易受到窮盡口令攻擊和字典攻擊。為了增加攻擊者的時(shí)間消耗，提高結(jié)構(gòu)的安全性，密鑰導(dǎo)出算法中引入迭代次數(shù)(c)以及一定長(zhǎng)度的鹽(salt)[16][xv]，迭代次數(shù)的使用增加了攻擊者計(jì)算代價(jià)，使窮盡口令搜索變得緩慢；而鹽與口令相結(jié)合產(chǎn)生密鑰，使得字典攻擊的搜索空間變大，增加了抵御字典攻擊的風(fēng)險(xiǎn)。

在Android備份文件中，選用的是以HMAC-SHA1為底層偽隨機(jī)函數(shù)的PBKDF2作為密鑰導(dǎo)出算法[3]，導(dǎo)出的密鑰作為分組加密算法AES使用。

在文檔及磁盤認(rèn)證機(jī)制中都加入了一定長(zhǎng)度的鹽及迭代次數(shù)參與密鑰的生成，不同軟件對(duì)迭代次數(shù)以及鹽的長(zhǎng)度的選擇上也有所區(qū)別，Android備份文件為32字節(jié)的鹽以及10000次的迭代，而TrueCrypt則為64字節(jié)的鹽和2000次或者1000次的迭代，這些差異會(huì)對(duì)整體的結(jié)構(gòu)產(chǎn)生一定的影響。密鑰長(zhǎng)度方面，Android備份文件、7-zip為256-bit；OpenOffice、PGPWDE為128-bit；Truecrypt則可根據(jù)用戶的需要設(shè)置為256-bit甚至更長(zhǎng)。

2.2消息認(rèn)證機(jī)制

在文件安全機(jī)制中，通過消息認(rèn)證（MAC）機(jī)制來防止文件傳輸及存儲(chǔ)過程未經(jīng)授權(quán)的訪問、篡改和偽造，從而保證文件的完整性。消息認(rèn)證碼的生成主要由三部分組成[錯(cuò)誤！未定義書簽。]：密鑰導(dǎo)出算法(k)、MAC生成算法(T)以及驗(yàn)證算法(V)。密鑰導(dǎo)出算法(k)對(duì)用戶的口令進(jìn)行處理，使導(dǎo)出的密鑰熵值足夠大，從而解決用戶口令長(zhǎng)度及強(qiáng)度不夠等問題。文件口令認(rèn)證機(jī)制是文件消息認(rèn)證機(jī)制中常用的方式[錯(cuò)誤！未定義書簽。]。在這種認(rèn)證機(jī)制中，用戶輸入的口令經(jīng)過密鑰導(dǎo)出算法生成導(dǎo)出密鑰，再將其和消息內(nèi)容經(jīng)過對(duì)稱加密算法生成消息認(rèn)證碼，并將消息認(rèn)證碼保存作為驗(yàn)證憑據(jù)[xvi]。

3　安卓備份消息認(rèn)證架構(gòu)及安全性

安卓備份消息認(rèn)證機(jī)制：安卓備份消息認(rèn)證架構(gòu)如圖所示，其大致分為三個(gè)階段，PBKDF2架構(gòu)，AES_CBC解密模式，以及HMACSHA512的底層哈希函數(shù)。將HMAC作用于秘鑰導(dǎo)出函數(shù)架構(gòu)的底層哈希函數(shù)，得出的512bit的hash值作為AES解密函數(shù)的輸入。通過哈希函數(shù)與分組函數(shù)并用，提高架構(gòu)的安全性。由輸出的AES分組密文與安卓中提取出的密文想比對(duì)，如果正確，備份數(shù)據(jù)為可讀。

在現(xiàn)代密碼學(xué)中，主要有兩種方式證明密碼方案的安全性：無條件安全（unconditionalsecurity）和計(jì)算安全（computationalsecurity）[xvii]。無條件安全在敵手擁有無限的計(jì)算資源的假設(shè)前提下也無法對(duì)密碼方案造成威脅，雖然無條件安全性具有完美性，但卻有難于實(shí)現(xiàn)的缺點(diǎn)。計(jì)算安全指敵手利用已有最好的方法破譯該系統(tǒng)所需要的努力超越了敵手的破譯能力。雖然其對(duì)敵手的計(jì)算能力有所限制，但在理論分析中的計(jì)算能力已超過現(xiàn)實(shí)，因此在實(shí)際應(yīng)用中一般通過計(jì)算安全來證明密碼方案的安全性[xviii]。本文主要圍繞口令認(rèn)證機(jī)制的密鑰導(dǎo)出算法AB-MAC架構(gòu)進(jìn)行研究。

參考文獻(xiàn)：

[1]周君.基于口令的密鑰導(dǎo)出算法安全性分析[D].廈門:廈門大學(xué),2013.

[2]PGP.PGPSDA[EB/OL].http://www.pgpi.org/products/pgpsda/.

[3]WinRAR[EB/OL].http://www.winrar.com.cn/index.html.

作者簡(jiǎn)介：陳秀容（1989—）,女，福建廈門人，碩士研究生，研究方向：電路與系統(tǒng)。