肖 禎

（山東服裝職業(yè)學院，山東 泰安 271000）

引言

針對大型計算機網(wǎng)絡(luò)，數(shù)據(jù)安全、數(shù)據(jù)管理自動化是人們不斷追求的目標，在Internet上處理事務(wù)、交流信息和商務(wù)交易等方式變得越來越廣泛，網(wǎng)絡(luò)安全問題被人們更加重視。例如在電子商務(wù)活動中，既要保證交易雙方能夠互相確認身份，安全傳輸敏感信息，又要防止他人截獲、篡改、假冒交易等。為保證重要數(shù)據(jù)免遭惡意損壞，PKI[1]通過提供公有密鑰和私有密鑰來確保安全性，如數(shù)字證書的簽發(fā)、數(shù)字簽名、用戶的身份認證以及數(shù)據(jù)的加密。

數(shù)字證書[1]內(nèi)容為使用者的身份信息、使用者的公鑰信息和身份驗證機構(gòu)給定的數(shù)字簽名，從而確保數(shù)字信息的不可否認性、數(shù)據(jù)信息傳輸?shù)耐暾院妥C書內(nèi)容的真實性。

認證加密[2]的工作模式是指使用對稱密碼來確保數(shù)據(jù)信息的真實性及保密性。真實性是為了避免未被授權(quán)的其他用戶對數(shù)據(jù)進行修改、偽造或者傳輸，抵擋攻擊者的主動攻擊；保密性是為了避免信息的泄露，抵擋攻擊者的被動攻擊。當前被廣泛應(yīng)用的認證加密是將認證與加密組合在一塊，共享全部或部分內(nèi)容的模式。POET是由Farzaneh Abed等人于FSE2014提出的一種在線認證加密工作模式。POET認證加密是基于POE（Pipelineable On-line Encryption）的一種集并行、在線或者抗nonce干擾使用的多功能為一體的模式?；诜纸M密碼AES-128的POET使用全輪的AES-128作為加密密碼，4輪AES構(gòu)造的哈希函數(shù)作為通用函數(shù)。針對該模式人們提出了一種偽造攻擊方法[3]。本文將AES替換為分組長度為64比特的分組密碼LED，分析了所提攻擊方法的有效性和可行性和基于認證加密模式的數(shù)字證書的安全性。

一、數(shù)字證書簡介

數(shù)字證書[1]由CA認證中心提供數(shù)字簽名，包括公開密鑰和公開密鑰使用者。用戶定義進行解密和簽名的私有密鑰，僅用戶自己知道使用；用戶定義進行加密和驗證簽名的公共密鑰，共享公開為他人使用。認證加密[3]是在對稱密碼的基礎(chǔ)上設(shè)計的密碼方案，將MAC技術(shù)與需要加密的算法集成在一起，能夠同時實現(xiàn)消息的加密及認證。PKI使用公鑰加密進行電子交易雙方身份驗證數(shù)字證書、證書頒發(fā)和注冊。使用安全協(xié)議確保公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性和完整性，使用EFS加密文件系統(tǒng)確保存儲數(shù)據(jù)的保密性。

二、POET簡介

POET加密認證過程輸入主密鑰K，選取不定長度明文M和初始化狀態(tài)值，給出和明文相同長度的密文C以及消息認證碼，通過可調(diào)的分組密碼XEX來構(gòu)造三層結(jié)構(gòu)：中間一層是簡單的ECB模式加密層，是分組密碼全輪AES-128的直接應(yīng)用；上下兩層是基于4輪AES-128的哈希函數(shù)。POET是一種通用的認證加密工作模式，允許用戶選擇合適的密碼和哈希函數(shù)將加密與認證集成在一起。

三、偽造攻擊分析

針對POET的偽造攻擊本質(zhì)上屬于局部的碰撞攻擊[3]，該碰撞攻擊與Hash 算法中的碰撞的含義相似，即使用不同消息來產(chǎn)生相同的認證碼。在相鄰模塊明文消息處引入差分，經(jīng)差分分析，引入的差分在進入哈希函數(shù)或加密操作后終能抵消，從而不影響產(chǎn)生認證碼的中間狀態(tài)，得到相同的消息認證碼，成功實現(xiàn)偽造攻擊。由于高復雜，直接攻擊POET的原型是不太可能的，我們可以選擇攻擊基于AES-like的輕量級分組密碼LED算法的約減型POET。

1.LED簡介

LED算法[4，5]是一種輕量級分組密碼算法，分為8步，每步4輪，共計32輪，分組長度64bit，有64bit和128bit兩種密鑰，本文以64bit的LED為例。LED輕量級使用與AES相似的SPN結(jié)構(gòu)，我們將基于AES-128的POET進行修改，用64bit的LED替換AES。

2.偽造攻擊過程

在明文消息M1處引入差分Δ1，則ΔX1= [Ft（X0）⊕M1]⊕[Ft（X0）⊕M1’]=Δ1，差分Δ1進入Ek后導致ΔC1、ΔY1存在差分，ΔY1= [EK（X1）]⊕[EK（X1’）]，ΔC1= [Fb（Y0）⊕EK（X1）]⊕[Fb（Y0）⊕EK（X1’）]，且ΔC1=ΔY1=Δ2，差分Δ2經(jīng)過Fb函數(shù)后輸出差分Δ4。另外，差分Δ1經(jīng)過Ft函數(shù)后輸出差分Δ3，在M2處引入差分，使得引入的差分恰好與Ft的輸出差分抵消，實現(xiàn)碰撞，從而使中間狀態(tài)X2與Y2都不存在差分，產(chǎn)生相同的消息認證碼。在攻擊過程分析中，我們修改了LED 的輪函數(shù)運算順序，使其與AES有相同的操作。

結(jié)語

本文對基于認證加密模式的數(shù)字證書的安全性進行了分析，并進一步研究POET的工作模式和偽造攻擊的分析，將AES替換為64比特的分組密碼LED，推理了偽造攻擊方法的有效性和可行性，并分析了基于認證加密模式的數(shù)字證書的安全性。