一般來講,信息安全主要包括系統(tǒng)安全及數(shù)據(jù)安全兩方面的內(nèi)容。系統(tǒng)安全一般采用防火墻、病毒查殺、防范等被動措施;而數(shù)據(jù)安全則主要是指采用現(xiàn)代密碼技術(shù)對數(shù)據(jù)進(jìn)行主動保護(hù),如數(shù)據(jù)保密、數(shù)據(jù)完整性、數(shù)據(jù)不可否認(rèn)與抵賴、雙向身份認(rèn)證等。
密碼技術(shù)是保障信息安全的核心技術(shù)。密碼技術(shù)在古代就已經(jīng)得到應(yīng)用,但僅限于外交和軍事等重要領(lǐng)域。隨著現(xiàn)代計算機(jī)技術(shù)的飛速發(fā)展,密碼技術(shù)正在不斷向更多其他領(lǐng)域滲透。它是集數(shù)學(xué)、計算機(jī)科學(xué)、電子與通信等諸多學(xué)科于一身的交叉學(xué)科。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密,而且完成數(shù)字簽名、身份驗證、系統(tǒng)安全等功能。所以,使用密碼技術(shù)不僅可以保證信息的機(jī)密性,而且可以保證信息的完整性和確證性,防止信息被篡改、偽造和假冒。
密碼學(xué)(Cryptography)包括密碼編碼學(xué)和密碼分析學(xué)。密碼體制設(shè)計是密碼編碼學(xué)的主要內(nèi)容,密碼體制的破譯是密碼分析學(xué)的主要內(nèi)容,密碼編碼技術(shù)和密碼分析技術(shù)是相互依存、相互支持、密不可分的兩個方面。
密碼體制有對稱密鑰密碼體制和非對稱密鑰密碼體制。對稱密鑰密碼體制要求加密解密雙方擁有相同的密鑰。而非對稱密鑰密碼體制是加密解密雙方擁有不相同的密鑰,在不知道陷門信息的情況下,加密密鑰和解密密鑰是不能相互算出的。
然而密碼學(xué)不僅僅只包含編碼與破譯,而且包括安全管理、安全協(xié)議設(shè)計、散列函數(shù)等內(nèi)容。不僅如此,密碼學(xué)的進(jìn)一步發(fā)展,涌現(xiàn)了大量的新技術(shù)和新概念,如零知識證明技術(shù)、盲簽名、量子密碼技術(shù)、混沌密碼等。
我國政府明確規(guī)定嚴(yán)格禁止直接使用國外的密碼算法和安全產(chǎn)品,這是由于:國外禁止出口密碼算法和產(chǎn)品,所謂出口的安全的密碼算法國外都有破譯手段;擔(dān)心國外的算法和產(chǎn)品中存在“后門”,關(guān)鍵時刻危害我國信息安全。1999年國務(wù)院頒布商用密碼管理條例,對密碼的管理使用進(jìn)行了具體規(guī)定。當(dāng)前我國的信息安全系統(tǒng)由國家密碼管理委員會統(tǒng)一管理。
對稱密鑰密碼體制
對稱密碼體制是從傳統(tǒng)的簡單換位發(fā)展而來的。其主要特點是:加解密雙方在加解密過程中要使用完全相同的一個密鑰。使用最廣泛的是DES(Data Encryption Standard)密碼算法。
從1977年美國頒布DES密碼算法作為美國數(shù)據(jù)加密標(biāo)準(zhǔn)以來,對稱密鑰密碼體制得到了廣泛的應(yīng)用。對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類。
1.序列密碼
序列密碼一直是作為軍事和外交場合使用的主要密碼技術(shù)之一。它的主要原理是:通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列,使用該序列加密信息流,得到密文序列。所以,序列密碼算法的安全強(qiáng)度完全決定于它所產(chǎn)生的偽隨機(jī)序列的好壞。產(chǎn)生好的序列密碼的主要途徑之一是利用移位寄存器產(chǎn)生偽隨機(jī)序列。目前要求寄存器的階數(shù)大于100階,才能保證必要的安全。序列密碼的優(yōu)點是錯誤擴(kuò)展小、速度快、利于同步、安全程度高。
2.分組密碼
分組密碼的工作方式是將明文分成固定長度的組,如64比特一組,用同一密鑰和算法對每一塊加密,輸出也是固定長度的密文。
對稱密鑰密碼體制存在的最主要問題是:由于加/解密雙方都要使用相同的密鑰,因此在發(fā)送、接收數(shù)據(jù)之前,必須完成密鑰的分發(fā)。所以,密鑰的分發(fā)便成了該加密體系中的最薄弱,也是風(fēng)險最大的環(huán)節(jié),所使用的手段均很難保障安全地完成此項工作。這樣,密鑰更新的周期加長,給他人破譯密鑰提供了機(jī)會。在歷史上,破獲他國情報不外乎兩種方式:一種是在敵方更換“密碼本”的過程中截獲對方密碼本;另一種是敵人密鑰變動周期太長,被長期跟蹤,找出規(guī)律從而被破解。在對稱算法中,盡管由于密鑰強(qiáng)度增強(qiáng),跟蹤找出規(guī)律破解密鑰的機(jī)會大大減小了,但密鑰分發(fā)的困難問題幾乎無法解決。例如,設(shè)有n方參與通信,若n方都采用同一個對稱密鑰,一旦密鑰被破解,整個體系就會崩潰;若采用不同的對稱密鑰則需n(n-1)個密鑰,密鑰數(shù)與參與通信人數(shù)的平方數(shù)成正比,可見,大系統(tǒng)密鑰的管理幾乎成為不可能。
然而,由于對稱密鑰密碼系統(tǒng)具有加解密速度快和安全強(qiáng)度高的優(yōu)點,目前被越來越多地應(yīng)用在軍事、外交以及商業(yè)等領(lǐng)域。
非對稱密鑰密碼體制
非對稱密鑰密碼體制,即公開密鑰密碼體制,是現(xiàn)代密碼學(xué)最重要的發(fā)明和進(jìn)展。一般理解密碼學(xué)就是保護(hù)信息傳遞的機(jī)密性,但這僅僅是當(dāng)今密碼學(xué)的一個方面。對信息發(fā)送與接收人的真實身份的驗證,對所發(fā)出/接收信息在事后的不可抵賴以及保障數(shù)據(jù)的完整性也是現(xiàn)代密碼學(xué)研究的另一個重要方面。公開密鑰密碼體制對這兩方面的問題都給出了出色的解答,并正在繼續(xù)產(chǎn)生許多新的思想和方案。
1976年,Diffie和Hellman為解決密鑰的分發(fā)與管理問題,在他們奠基性的工作“密碼學(xué)的新方向”一文中,提出一種密鑰交換協(xié)議,允許在不安全的媒體上通過通訊雙方交換信息,安全地傳送秘密密鑰。在此新思想的基礎(chǔ)上,很快出現(xiàn)了公開密鑰密碼體制。在該體制中,密鑰成對出現(xiàn),一個為加密密鑰(即PK公開密鑰),另一個為解密密鑰(SK秘密密鑰),且不可能從其中一個推導(dǎo)出另一個。加密密鑰和解密密鑰不同,可將加密密鑰公之于眾,誰都可以使用;而解密密鑰只有解密人自己知道,用公共密鑰加密的信息只能用專用密鑰解密。由于公開密鑰算法不需要聯(lián)機(jī)密鑰服務(wù)器,密鑰分配協(xié)議簡單,所以極大地簡化了密鑰管理。除加密功能外,公鑰系統(tǒng)還可以提供數(shù)字簽名。目前,公開密鑰加密算法主要有RSA、Fertezza、EIGama等。
迄今為止的所有公鑰密碼體系中,RSA系統(tǒng)是最著名、使用最廣泛的一種。RSA公開密鑰密碼系統(tǒng)是由R.Rivest、A.Shamir和L.Adleman三位教授于1977年提出的,RSA的取名就是來自于這三位發(fā)明者姓氏的第一個字母。
RSA算法研制的最初目標(biāo)是解決利用公開信道傳輸分發(fā) DES 算法的秘密密鑰的難題。而實際結(jié)果不但很好地解決了這個難題,還可利用 RSA 來完成對電文的數(shù)字簽名,以防止對電文的否認(rèn)與抵賴,同時還可以利用數(shù)字簽名較容易地發(fā)現(xiàn)攻擊者對電文的非法篡改,從而保護(hù)數(shù)據(jù)信息的完整性。
公用密鑰的優(yōu)點就在于:也許使用者并不認(rèn)識某一實體,但只要其服務(wù)器認(rèn)為該實體的CA(即認(rèn)證中心Certification Authority的縮寫)是可靠的,就可以進(jìn)行安全通信,而這正是Web商務(wù)這樣的業(yè)務(wù)所要求的。例如使用信用卡購物,服務(wù)方對自己的資源可根據(jù)客戶 CA的發(fā)行機(jī)構(gòu)的可靠程度來授權(quán)。目前國內(nèi)外尚沒有可以被廣泛信賴的CA,而由外國公司充當(dāng)CA在我國是非常危險的。
公開密鑰密碼體制較秘密密鑰密碼體制處理速度慢,因此,通常把這兩種技術(shù)結(jié)合起來能實現(xiàn)最佳性能。即用公開密鑰密碼技術(shù)在通信雙方之間傳送秘密密鑰,而用秘密密鑰來對實際傳輸?shù)臄?shù)據(jù)加密解密。