肖 禎

（山東服裝職業(yè)學(xué)院，山東 泰安 271000）

引言

針對(duì)大型計(jì)算機(jī)網(wǎng)絡(luò)，數(shù)據(jù)安全、數(shù)據(jù)管理自動(dòng)化是人們不斷追求的目標(biāo)，在Internet上處理事務(wù)、交流信息和商務(wù)交易等方式變得越來越廣泛，網(wǎng)絡(luò)安全問題被人們更加重視。例如在電子商務(wù)活動(dòng)中，既要保證交易雙方能夠互相確認(rèn)身份，安全傳輸敏感信息，又要防止他人截獲、篡改、假冒交易等。為保證重要數(shù)據(jù)免遭惡意損壞，PKI[1]通過提供公有密鑰和私有密鑰來確保安全性，如數(shù)字證書的簽發(fā)、數(shù)字簽名、用戶的身份認(rèn)證以及數(shù)據(jù)的加密。

數(shù)字證書[1]內(nèi)容為使用者的身份信息、使用者的公鑰信息和身份驗(yàn)證機(jī)構(gòu)給定的數(shù)字簽名，從而確保數(shù)字信息的不可否認(rèn)性、數(shù)據(jù)信息傳輸?shù)耐暾院妥C書內(nèi)容的真實(shí)性。

認(rèn)證加密[2]的工作模式是指使用對(duì)稱密碼來確保數(shù)據(jù)信息的真實(shí)性及保密性。真實(shí)性是為了避免未被授權(quán)的其他用戶對(duì)數(shù)據(jù)進(jìn)行修改、偽造或者傳輸，抵擋攻擊者的主動(dòng)攻擊；保密性是為了避免信息的泄露，抵擋攻擊者的被動(dòng)攻擊。當(dāng)前被廣泛應(yīng)用的認(rèn)證加密是將認(rèn)證與加密組合在一塊，共享全部或部分內(nèi)容的模式。POET是由Farzaneh Abed等人于FSE2014提出的一種在線認(rèn)證加密工作模式。POET認(rèn)證加密是基于POE（Pipelineable On-line Encryption）的一種集并行、在線或者抗nonce干擾使用的多功能為一體的模式?；诜纸M密碼AES-128的POET使用全輪的AES-128作為加密密碼，4輪AES構(gòu)造的哈希函數(shù)作為通用函數(shù)。針對(duì)該模式人們提出了一種偽造攻擊方法[3]。本文將AES替換為分組長(zhǎng)度為64比特的分組密碼LED，分析了所提攻擊方法的有效性和可行性和基于認(rèn)證加密模式的數(shù)字證書的安全性。

一、數(shù)字證書簡(jiǎn)介

數(shù)字證書[1]由CA認(rèn)證中心提供數(shù)字簽名，包括公開密鑰和公開密鑰使用者。用戶定義進(jìn)行解密和簽名的私有密鑰，僅用戶自己知道使用；用戶定義進(jìn)行加密和驗(yàn)證簽名的公共密鑰，共享公開為他人使用。認(rèn)證加密[3]是在對(duì)稱密碼的基礎(chǔ)上設(shè)計(jì)的密碼方案，將MAC技術(shù)與需要加密的算法集成在一起，能夠同時(shí)實(shí)現(xiàn)消息的加密及認(rèn)證。PKI使用公鑰加密進(jìn)行電子交易雙方身份驗(yàn)證數(shù)字證書、證書頒發(fā)和注冊(cè)。使用安全協(xié)議確保公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性和完整性，使用EFS加密文件系統(tǒng)確保存儲(chǔ)數(shù)據(jù)的保密性。

二、POET簡(jiǎn)介

POET加密認(rèn)證過程輸入主密鑰K，選取不定長(zhǎng)度明文M和初始化狀態(tài)值，給出和明文相同長(zhǎng)度的密文C以及消息認(rèn)證碼，通過可調(diào)的分組密碼XEX來構(gòu)造三層結(jié)構(gòu)：中間一層是簡(jiǎn)單的ECB模式加密層，是分組密碼全輪AES-128的直接應(yīng)用；上下兩層是基于4輪AES-128的哈希函數(shù)。POET是一種通用的認(rèn)證加密工作模式，允許用戶選擇合適的密碼和哈希函數(shù)將加密與認(rèn)證集成在一起。

三、偽造攻擊分析

針對(duì)POET的偽造攻擊本質(zhì)上屬于局部的碰撞攻擊[3]，該碰撞攻擊與Hash 算法中的碰撞的含義相似，即使用不同消息來產(chǎn)生相同的認(rèn)證碼。在相鄰模塊明文消息處引入差分，經(jīng)差分分析，引入的差分在進(jìn)入哈希函數(shù)或加密操作后終能抵消，從而不影響產(chǎn)生認(rèn)證碼的中間狀態(tài)，得到相同的消息認(rèn)證碼，成功實(shí)現(xiàn)偽造攻擊。由于高復(fù)雜，直接攻擊POET的原型是不太可能的，我們可以選擇攻擊基于AES-like的輕量級(jí)分組密碼LED算法的約減型POET。

1.LED簡(jiǎn)介

LED算法[4，5]是一種輕量級(jí)分組密碼算法，分為8步，每步4輪，共計(jì)32輪，分組長(zhǎng)度64bit，有64bit和128bit兩種密鑰，本文以64bit的LED為例。LED輕量級(jí)使用與AES相似的SPN結(jié)構(gòu)，我們將基于AES-128的POET進(jìn)行修改，用64bit的LED替換AES。

2.偽造攻擊過程

在明文消息M1處引入差分Δ1，則ΔX1= [Ft（X0）⊕M1]⊕[Ft（X0）⊕M1’]=Δ1，差分Δ1進(jìn)入Ek后導(dǎo)致ΔC1、ΔY1存在差分，ΔY1= [EK（X1）]⊕[EK（X1’）]，ΔC1= [Fb（Y0）⊕EK（X1）]⊕[Fb（Y0）⊕EK（X1’）]，且ΔC1=ΔY1=Δ2，差分Δ2經(jīng)過Fb函數(shù)后輸出差分Δ4。另外，差分Δ1經(jīng)過Ft函數(shù)后輸出差分Δ3，在M2處引入差分，使得引入的差分恰好與Ft的輸出差分抵消，實(shí)現(xiàn)碰撞，從而使中間狀態(tài)X2與Y2都不存在差分，產(chǎn)生相同的消息認(rèn)證碼。在攻擊過程分析中，我們修改了LED 的輪函數(shù)運(yùn)算順序，使其與AES有相同的操作。

結(jié)語

本文對(duì)基于認(rèn)證加密模式的數(shù)字證書的安全性進(jìn)行了分析，并進(jìn)一步研究POET的工作模式和偽造攻擊的分析，將AES替換為64比特的分組密碼LED，推理了偽造攻擊方法的有效性和可行性，并分析了基于認(rèn)證加密模式的數(shù)字證書的安全性。