謝宗曉 董坤祥 甄杰

摘要：主要介紹了公鑰密碼產生的原因，所面臨的主要攻擊方式，以及公鑰證書的產生等問題，從而系統(tǒng)地描述了公鑰基礎設施（PKI）的產生、發(fā)展和基本架構。

關鍵詞：公鑰基礎設施 認證機構 密碼學

Abstract： This paper mainly introduces the reasons for the emergence of public key cryptography， the main attack methods faced， and the emergence of public key certificates， so as to systematically describe the emergence， development and basic architecture of public key infrastructure （PKI）.

Key words： public key infrastructure （PKI）， certification authority （CA）， cryptography

將消息傳遞給對方，是信息安全中最直觀的應用場景之一。一般而言，對消息進行加密傳輸是安全傳遞消息最可行的途徑之一[1]。發(fā)送者將消息加密后傳輸，就不用擔心被竊聽了。因為竊聽者即使獲取了消息，也是密文，沒有密鑰毫無意義。這是密碼學最典型的應用場景。

1 從對稱密碼到公鑰密碼

用相同的密鑰（或方法）進行加密解密在邏輯上非常清晰，也最直觀，由此誕生了對稱密碼（symmetric cryptography），或者稱之為共享密鑰密碼，其基本過程如圖1所示。

但是，在實踐中對稱密碼算法存在一個很大的缺陷，即密鑰如何安全地傳輸給對方？如果將密鑰用明文傳輸，可能會被竊聽，如果用密文傳輸，那么接收者還是無法解讀。因此，1976年，Whitfield Diffie和Martin Hellman提出了公鑰密碼（public-key cryptography）的設計思想。在公鑰密碼算法中，使用兩個密鑰，而不是使用一個共享的密鑰。一個密鑰（稱為“私鑰”）是保密的，它只能由一方保存，而不能各方共享。第二個密鑰（稱為“公鑰”）不是保密的，可以廣泛共享。這兩個密鑰（稱為“密鑰對”）在加密和解密操作中配合使用[2-3]。

公鑰密碼又稱為非對稱密碼（asymmetric cryptography），公鑰一般是公開的，不必擔心竊聽，私鑰又不存在傳輸?shù)膯栴}。這個思路創(chuàng)造性的解決了對稱密碼中難以處理的密鑰配送問題1）。用于傳輸消息的公鑰密碼工作過程如圖2所示。

如圖2所示，發(fā)送者用公鑰加密，接收者用私鑰解密，這是最典型的公鑰密碼用法。但是，Diffie和Hellman并未給出具體的算法，之后也出現(xiàn)過幾種算法，但后來被證明并不夠安全。真正可用于實踐的算法是1978年，Ron Rivest、Adi Shamir和Leonard Adleman發(fā)明的RSA算法，這使得公鑰密碼變得現(xiàn)實可用。在相當長的一段時間內，RSA都成了公鑰密碼的事實標準。當然，在后續(xù)的研究中又發(fā)明了一系列的算法，例如，橢圓加密算法（ECC）和ElGamal等。

2 單向函數(shù)

公鑰密碼算法的實現(xiàn)過程，實際就是尋找陷門單向函數(shù)（Trapdoor One-way Function）的過程。陷門單向函數(shù)是Diffie& Hellman[4]在1976年的論文中提出的概念。

單向函數(shù)是指對于每一個輸入，函數(shù)值都容易計算，但是給出一個隨機輸入的函數(shù)值，算出原始輸入?yún)s比較困難。如果某函數(shù)及其逆函數(shù)的計算都存在有效的算法，而且可以將計算的方法公開。那么，這類函數(shù)就是陷門單向函數(shù)。通俗地講，單向函數(shù)就是從X到Y計算容易，但是不能進行逆運算。陷門單向函數(shù)雙向都能算，嚴格講，已經(jīng)不是單向的了。

單向函數(shù)在密碼學中也有廣泛的應用，例如，利用單項散列函數(shù)保存口令。單向散列函數(shù)，又稱單向Hash函數(shù)、雜湊函數(shù)，就是把任意長的輸入消息串，變化成固定長的輸出串，且由輸出串難以得到輸入串的一種函數(shù)。這個輸出串稱為該消息的散列值。一般用于產生消息摘要，密鑰加密等。例如，MD5和SHA等?？诹畹谋葘^程如圖3所示。

類似于口令比對的方式，也可以檢測消息傳輸過程中是否被篡改過，也就是說可以保證消息的“完整性”。但是有時候我們需要確認消息是誰發(fā)送的，或者說需要對消息進行鑒別（authentication），不僅僅是判斷完整性，這時候就需要消息鑒別碼（MAC），MAC可以認為是跟密鑰關聯(lián)在一起的單向散列函數(shù)。但是注意，這是另一種技術。

在傳輸消息中，單向函數(shù)的實踐意義不大，因為合法的接收者看到的也是無意義的字符。這也是陷門單向函數(shù)的意義所在，RSA是第一個被付諸實踐的陷門單向函數(shù)。

3 從消息鑒別到數(shù)字簽名

MAC保證了消息的“完整性”以及確認“來自正確的發(fā)送者”。但是還有一個問題沒有解決，就是發(fā)送消息的人可能會抵賴（抗抵賴性），因為密鑰并不是唯一一個人知曉。如果密鑰只有發(fā)送消息者一個人知道，則不能抵賴。

考慮公鑰密碼算法的特點，反過來用，如圖4所示，就保證了消息發(fā)送者是唯一持有密鑰的人。

在圖4中，私鑰被用作“簽名密鑰”，公鑰被用作“驗證密鑰”。簽名密鑰只能由簽名的人持有，驗證秘鑰則可以公開，不需要保密，想驗證簽名的都可以持有。據(jù)此實現(xiàn)了消息的抗抵賴性，與手簽實現(xiàn)的功能類似。

4 中間人攻擊及公鑰證書的產生

公鑰是可以公開的，不需要考慮機密性，這是公鑰密碼體系的巨大創(chuàng)新，當然，這又導致了新的攻擊方法，即，中間人攻擊（Man-in-the-Middle Attack，MITM攻擊）。簡單而言，中間人攻擊就是對發(fā)送者偽裝成接收者，對接收者偽裝成發(fā)送者，攻擊者悄悄換掉了公鑰，也就是說，接收者獲取的公鑰是假的。單純的依靠公鑰密碼體系，無法解決中間人攻擊的問題。

中間人攻擊的焦點在于公鑰可能是偽造的，解決的思路和現(xiàn)實世界中類似，使用證書。公鑰證書就是經(jīng)過可信的第三方簽名確認后的公鑰，簡稱證書（certificate）。在實踐中，可信的第三方一般是認證機構（certification authority，CA）。

5 PKI的產生及其組成

有了證書來認證，可以有效防御中間人攻擊，隨之帶來了一系列非技術性工作。例如，誰來發(fā)證書？如何發(fā)證書？不同機構的證書怎么互認？紙質證書作廢容易，數(shù)字證書如何作廢？解決這些問題，需要制定統(tǒng)一的規(guī)則，即公鑰基礎設施（Public Key Infrastructure，PKI）。

PKI體系是指支持公鑰管理體制的基礎設施，提供鑒別、加密、完整性和不可否認性服務。PKI體系是通過頒發(fā)、管理公鑰證書的方式為終端用戶提供服務的系統(tǒng)，最核心的元素是證書。圍繞證書構成了該體系的要素：使用PKI的用戶、頒發(fā)證書的機構（CA）和保存證書的倉庫。PKI由技術、程序和人員部分組成，必須在一個有效的基礎設施內協(xié)調。具體而言，PKI所需的責任、服務及程序主要包括：密鑰生成、注冊、認證、分發(fā)、使用、終結、恢復、密鑰更新、撤銷管理以及撤銷狀態(tài)檢查。

6 小結

對稱密碼、公鑰密碼、單向散列函數(shù)、消息鑒別碼、數(shù)字簽名和隨機數(shù)，被稱為密碼最重要的六個工具。在開放式的網(wǎng)絡環(huán)境中進行交易，需要電子身份標識、交易方鑒別、源證明、報文完整性和機密性服務等，PKI為解決這些開放式網(wǎng)絡問題提供了一條切實可行的技術方案。

總之，PKI可以認為是一系列的規(guī)范和標準，為了實現(xiàn)安全基礎服務目的的技術都可稱為PKI。從這個角度講，需要強調兩點：第一，標準化是PKI的內在要求，或者說PKI本身就是一類標準的總稱;第二，PKI是廣義詞匯，任何以公鑰密碼技術為基礎的安全基礎設施都是PKI。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 董坤祥， 謝宗曉， 甄杰. ISO 21188：2018《用于金融服務的公鑰基礎設施實施和策略框架》解讀及改版分析[J].中國質量與標準導報，2019（8）：14-16，21.

[2] 謝宗曉，甄杰.公鑰基礎設施（PKI）國家標準解析[J].中國質量與標準導報，2018（12）：18-21.

[3] 謝宗曉，劉琦.公鑰基礎設施（PKI）國際標準進展[J].金融電子化，2018（10）：56-58.

[4] DIFFIEAND W， HELLMAN M. New directions in cryptography[J]. IEEE Transactions on Information Theory， 1976， 22（6）：644-654.