密碼算法的參數設置對網絡安全運維的影響

李明，王賽，曲延盛，劉范范

（國網山東省電力公司，濟南250001）

密碼算法的參數設置對網絡安全運維的影響

李明，王賽，曲延盛，劉范范

（國網山東省電力公司，濟南250001）

在交換機、路由器的賬號配置、遠程運維、信息傳輸的過程中，大量用以實現信息認證性、保密性的密碼算法不可篡改。隨著密碼分析技術的進步和計算機計算能力的提升，如果選取錯誤的參數配置會大大降低安全協議的安全性，暫時安全的密碼算法將會變得不再安全。綜述在網絡設備及協議中常見的密碼算法，分析不同密碼算法的安全性，提出安全條件下各類密碼算法的參數設置，可以作為日常網絡運維參數配置的參考依據。

密碼學；參數；對稱密碼；公鑰密碼

0　引言

密碼學是一種設計和實現保密系統的科學，已有很長歷史。在信息社會，隨著網絡、電子商務以及電子政務等的迅速發展，信息安全問題已經不僅僅出于軍事、政治和外交的需要，越來越多的政府、商業、金融等機構和部門的大量數據需要密碼算法的保護和認證。在交換機、路由器等網絡設備運維管理中，也應用到大量的密碼算法，比如SNMP v3、ssh、SSL、IPSec等網絡協議中。目前開放的網絡環境使得設備之間交互的信息容易受到攻擊者篡改、竊聽或者非授權訪問，特別是網絡設備如果被黑客控制，則會幫助實現信息竊取及篡改、中間人、DNS、DDos攻擊等網絡攻擊，造成根本性的安全威脅。

實際應用的現代密碼學主要分為對稱密碼學和非對稱密碼學，其安全性是基于數學理論的。非對稱密碼學基于數學中的困難問題，比如素數分解、離散對數問題等等。對稱密碼學基于數學中的代數變換。不管對稱密碼算法還是非對稱密碼算法，都是計算安全的，也就是說以現有的計算能力不可破解。隨著密碼分析技術的進步和計算機計算能力的提升，暫時安全的密碼算法將會變得不再安全，這時就需要更換算法或者增大算法的參數，來實現密碼算法的理論安全。對常見的密碼算法進行分析，提出要達到安全目的各類密碼算法的設置參數方法，可以作為日常網絡安全參數配置的參考依據。邊信道攻擊算法的出現，幫助攻擊者將設備及鏈路的物理學變化（如功率、電磁輻射等）與密碼分析結合起來，這就使得傳統的密碼算法必須選擇更長的參數，才能保證安全性。

1　常見密碼算法對比

1.1密碼算法在計算機網絡中的應用

在交換機及路由器的基本配置中（以Cisco的命令行為例），enable password這種方式是明文的，enable secret采用MD5加密。service password-encryption加密方式是采用了MD5或者思科的私有加密方式來加密的。

在關鍵網絡環境中啟用SNMP v3協議時，提供鑒別和加密的功能以實現網絡安全，其中鑒別是使用MD5或SHA-1作為散列函數，通過HMAC實現的。加解密是通過DES-CBC、AES等算法實現的。SNMP v3協議提供了3個安全級別：noAuthNoPriv，authNoPriv和authPriv，其中應用的密碼算法如下。

noAuthNoPriv級別表示沒有認證或私密性被執行；

authNoPriv級別表示認證被執行但沒有私密性被執行；

authPriv級別表示認證和私密性都被執行。

在對網絡設備遠程運維時，經常會用到SSh（Secure Shell）協議，這其中使用到DSA、RSA、Kerberos 5、NTLM等公鑰密碼算法，用來建立安全的鏈接并且傳輸數據。后來為了獲得更高的安全性，還擴展使用ECDSA等更為安全的密碼算法。

在TCP/IP協議簇中，密碼算法在IPSec、SSL等網絡協議中更加大量應用，比如HMAC、3DES、AES、IDEA、Diffie-Hellman密鑰交換、橢圓曲線D-H等密碼算法，特別是不同的版本，密碼算法及參數選取的方法發生了很大的變化。

1.2對稱密碼算法

1949年Shannon發表的“Communication Theory of Secrecy Systems”［1］為密碼學奠定了理論基礎，使密碼學成為一門科學。繼Shannon之后，很多研究者設計的密碼系統都是基于密鑰的對稱密碼體制。1967年Kahn［2］的專著《The Codebreakers》記述了一段密碼學發展的完整經歷。對稱密碼算法的安全性基于對信息的代數變換，所以攻擊方法不斷進步的攻擊能力是衡量一個對稱密碼算法安全性的依據。

常見的對稱密碼算法有DES、AES［3］等，在這些算法的基礎上還可以進一步變換以增強安全性，比如3DES等。由于對稱密碼算法具有高效性，已經被廣泛應用于從email到ATM機等各個方面。Hash函數也屬于對稱密碼算法，其本身獨立使用不能完成信息的加解密，但是在實現數據完整性校驗、身份驗證等方面具有關鍵意義。常見的Hash函數有MD5、 SHA-0、SHA-1、SHA-2等。但是隨著密碼分析技術的進步，MD4、MD5已經被破解不推薦使用，SHA-0被證明是有缺陷的，SHA-1也已經有針對性的破解算法從而安全性明顯降低，SHA-2一直沒被廣泛使用。2012年，NIST宣布Keccak算法被選為SHA-3。以MD5為例，首先將信息變換為16進制的32位數字，然后經過一系列的移位、替換等代數變換，生成128 bit的hash值。2004年，MD5算法被發現不能抵抗一種碰撞攻擊，其破解的困難性大大降低［4］。2005年，符合X.509標準的公鑰證書已經可以被仿造出來，表明了MD5算法的徹底不安全。至今為止，安全Hash函數的設計仍然是一個熱點問題。

1.3非對稱密碼算法

1976年，Diffie和Hellman［5］發表的“New Direction in Cryptography”，提出公鑰密碼（非對稱密碼）的思想，是現代密碼密碼學的開端，使得在開放的環境中確保信息的保密性、認證性、完整性和不可否認性成為可能。對稱密碼體制，有很小的運算量，但是就密鑰管理方面來說，由于它需要事先分配密鑰，使其在很多場合并不適用。公鑰密碼體制可以實現密鑰分配等功能，但是公鑰密碼體制中常包含代數結構（群、環或有限域等）復雜的大整數或多項式的運算，運算效率較低。

1.3.1基于整數分解的算法

基于整數分解困難問題的密碼算法主要有RSA、Rabin算法、Blum算法等，這些算法的安全性受到整數分解困難問題現狀的直接影響。

RSA是現在網絡上最流行的密碼體制，由Rivest、Shamir和Adleman［6］在1977年提出。在2009年，一個232位的整數被成功分解，意味著參數選取為768 bit的RSA、Rabin等算法已經不再安全。而考慮到計算效率，參數選取一半為16或者32的倍數，同時考慮在安全性方面保留足夠冗余，一般情況下參數選取推薦為1 024 bit。

1.3.2基于離散對數的算法

自從Diffie和Hellman引入公鑰密碼的概念以來，基于離散對數問題的密碼體制引起越來越廣泛的關注。ElGamal［7］首先描述了如何利用離散對數問題來構建公鑰密碼體制中的加密和簽名。為滿足多種需要，ElGamal的方法得到了不斷改進，其中一種經過了改進的形式是美國政府的標準簽名算法（DSA）［8］。一個基于離散對數問題的簡單密碼算法如下所示。

確定公共的參數：有限域Fq，域上的橢圓曲線E和基點B∈E。每一個用戶選擇一個隨機數a，并把它當作私鑰，計算bB=Ba，將點bB公開作為公鑰。

加密：Alice選擇隨機數k，并將密文c=（x，y）發給Bob，其中a是Bob的私鑰，bB是Bob的公鑰，y= m*Bak，x=kB=Bk。

解密：Bob計算xa=Bak，m′=（Bak）-1y即可。

盡管Diffie和Hellman的密鑰協商協議中利用的是基于模一個素數構成的乘法群上的生成元的離散對數問題，這種思想可以擴展到任意的群上。設G是一個階為n的有限群，α是G上的一個元素，那么G上的離散對數問題可以表述為：給定一個元素β∈G，找一個整數x滿足0

上述密碼算法太簡單，以至于不實用且存在破解漏洞，需要對它進行適當改造后才可以使用，比如DSA、Diffie-Hellman密鑰交換協議等。在選取這些算法的參數時要非常小心，比如要選擇安全素數（滿足p=2q+1的素數），選取的群的一個子群階要較小等。針對離散對數問題的算法也有很多，比如Baby-step giant-step算法、數域篩法、Pohlig-Hellman算法等。1.3.3橢圓曲線及超橢圓曲線密碼算法

在1985年，Koblitz［11］和Miller［12］分別獨立提出定義在應用有限域上的橢圓曲線上的點群來實現基于離散對數問題的密碼體制。很多其他建立在阿貝爾群上的密碼體制，也都可以修改為橢圓曲線密碼體制，比如Diffie-Helman密鑰交換協議、DSA簽名協議等。與RSA相比，橢圓曲線密碼體制（ECC）有更小的密鑰長度和更快的運算速度，需要更小的存儲，也就更適合在小型設備上實現。

橢圓曲線密碼體制（ECC）一個很大的優勢是對于橢圓曲線上的離散對數問題（ECDLP）并不存在低于冪指數復雜性的算法，比如類似于“index-calculus”類型的算法。所以，如果使用橢圓曲線上的點群可以使用較短的密鑰就得到相同的安全性。這意味著更短的密鑰、更小的帶寬需求、更快地實現等，適用于小功耗和小集成電路空間的環境，比如智能卡、無線設備等。

表1　RSA和ECC的密鑰長度的比較

ECC和RSA作為成熟的公鑰密碼算法，已經出現很多年了，并且都已經被廣泛應用。RSA的基本操作是整數環上的模冪操作，其安全性基于大整數分解的困難性，而對于分解大整數問題存在低于指數復雜性的算法。所以在達到同樣安全要求的條件下，ECC需要更小的密鑰長度和具有更高的運算效率。在橢圓曲線密碼中，160 bit的運算規模提供的安全性相當于RSA中1 024 bit的運算規模提供的安全性。而ECC-224提供的安全性相當于RSA-2048［13］。

超橢圓曲線（HEC）作為橢圓曲線（EC）的一個擴展，也可以用來建立密碼體制。Koblitz［14］于1988年提出了在超橢圓曲線上建立密碼體制以來，超橢圓曲線上的運算公式和標量乘計算方法也在不斷地發展和改進。與橢圓曲線密碼體制相比，超橢圓曲線密碼體制的安全性更高，其上的運算參數數及密鑰長度都更短，所以適合在計算能力較弱的處理器和存儲受限的環境中使用，比如智能卡和嵌入式系統。對應于參數為1 024 bit長度的RSA密碼體制，現在推薦在橢圓曲線和超橢圓曲線上建立階為2 160大小的群，就可以滿足我們的安全需求［15］。在使用橢圓曲線時，操作數的長度為160 bit即可滿足要求。在虧格g=2的超橢圓曲線上，操作數的長度約為160/g=80 bit；在虧格為3的超橢圓曲線上，操作數的長度約為55 bit即可。已經證明，在虧格大于3的超橢圓曲線上建立密碼體制，安全性是要降低的。而在使用虧格為3的超橢圓曲線時，也要很小心的選擇安全曲線以避免某些有效的攻擊。所以目前大多數HECC都是建立在虧格為2的超橢圓曲線上的。在本文中所使用的超橢圓曲線，也都是虧格為2的。

雖然超橢圓曲線上的操作數很短，但是其上復雜的運算公式，限制了它的應用。隨著人們研究的深入，各種高效的除子的運算公式陸續被提出［16］，并且使得超橢圓曲線上的標量乘運算速度越來越接近于橢圓曲線上的標量乘計算。隨著近兩年來橢圓曲線上的運算公式又有了新的發展，超橢圓曲線上的運算也需要新的技術和改進，才能保持其相對于橢圓曲線密碼體制的優勢和生命力。

2　邊信道攻擊及其影響

近幾年來出現的邊帶信道攻擊將密碼體制的有效實現與安全性聯系在一起，為密碼分析開辟了一個新的領域，成為密碼分析者的有力工具。在傳統的模型中，Alice和Bob在一個不安全的信道上通信時，會使用密碼算法來保證通信的保密性。這樣，理想狀態下系統的安全性就只依賴于密鑰的保密性和密碼算法的安全性。但是，在實際應用中，通信各方一般都是各種設備，比如個人電腦、智能卡或者移動電話。在這類設備上實現密碼協議時，必然要運行某種密碼算法并且保護密鑰的安全。但是，在處理不同的數據時，設備所消耗的功率、運行時間等必然不同，而這種信息一般與密鑰是相關的，通過這些信息就可以推斷出密鑰的某些信息。這樣，系統的安全性不僅依賴于算法和協議的安全性，還依賴于算法和協議的安全實現。由于用來實施邊帶信道攻擊的設備相對來說比較易得，而智能卡廣泛應用于安全領域和應用中，所以這種攻擊對于現有的密碼體制來說具有巨大的威脅。

第一個邊帶信道攻擊是由Kocher［17］提出的，通過收集設備在運算時所消耗的功耗、電壓、以及電磁輻射等信息，來推測密鑰的信息。時間攻擊是第一種邊帶信道攻擊，由Kocher［18］在1996年提出，并且在PC上用來攻擊多個密碼算法，如RSA、DSA等。時間攻擊被Dhem等人于1998年第一次應用到智能卡上。由于絕大多數密碼算法在程序實現時，總會包含有程序分支，而導致處理不同的數據時會消耗不同的時間，于是這種變化就可以泄漏密鑰信息，這就是時間攻擊的原理。功耗攻擊［18］和差錯攻擊［19］也是常見的幾種攻擊方法，它們通過分析密碼設備在執行密碼算法時所用的時間、消耗的功率或者發射的電磁波等信息，來分析設備中保存的私鑰。

針對邊信道攻擊的抵抗方法通常為加入一些冗余操作，或者通過代數變換設計新的密碼執行算法，來去除各種邊信道信息。但是這些方法都會使密碼算法的運行效率大為降低。如何設計一個既安全又高效的算法，成為一個重要的工作。

時間攻擊并不常用來攻擊橢圓曲線密碼體制，功耗分析是應用在橢圓曲線密碼體制上最多的一種邊帶信道攻擊，也是研究得最為深入的一種，而功耗分析的方法與時間攻擊的方法在原理上有類似之處，其抵抗方法也有相似之處。

有時，密碼分析者甚至可以通過比如改變設備的電壓等方法，在密碼設備中引入錯誤數據，來破解密碼體制。差錯攻擊由Boneh［19］等人在1997年提出，并應用到一個RSA CRT體制上來到到私鑰。在這種攻擊中，攻擊者試圖在智能卡運算的過程中，改變輸入的功率（或是輸入的時鐘），來強行改變一個寄存器里的值，這樣密碼算法就會用一個錯誤的數據來運算。通過比較正常的輸出和產生差錯后的輸出，就可以得到模數的分解。例如，設RSA CRT簽名體制中，模數N=pq，于是其簽名運算為

其中d1=d mod（p-1），d2=d mod（q-1），CRT（cp，cq）表示利用中國大數定理求解。當在運算過程中強行出現一個差錯時，假設最終運算結果為是c′p、c′q和c′=CRT（cp，cq），于是可以用歐幾里德算法計算q=gcd（c′-c，n），這就得到了N=pq的分解。

將差錯攻擊擴展到其他基于群的密碼體制上是很自然的事情，所有針對橢圓曲線的差錯攻擊，都是在計算標量乘kP的過程中強行引入一個差錯，使得計算不再是在原來的曲線上，而是在一個更弱的曲線上。這樣，可以計算或者部分計算標量k的值。

密碼設備的運算，必然產生電磁輻射，就如同功耗分析和時間攻擊，電磁輻射也會泄漏運算的信息。具體的攻擊方法參見文獻［20］。

邊帶信道攻擊已經成為攻擊移動設備和智能卡所的最有效的攻擊方法之一。抵抗邊帶信道攻擊，有硬件實現的方法，也有軟件實現的方法。常用的抵抗邊帶信道攻擊的方法主要有兩個：從硬件設計上來實現，或者是從代數方面設計安全的算法來實現。硬件設計上的抵抗方法主要是通過破壞功耗曲線和增強信號的噪聲來降低攻擊的有效性，但是信號處理或者是增加分析數據的數量可以輕易克服這種抵抗方法，并且這些方法對抵抗電磁輻射攻擊和時間攻擊都是基本無效的。于是出現了更強的抵抗方法：雙軌道編碼（dual rails encoding），可以從理論上去除海明重量和功率消耗之間的聯系。但是這種方法大大增加了電路的規模、體積和成本，在很多情況下并不適用。生產商還可以將同步技術改為異步，這樣會使得對功耗曲線的分析變得困難。而同時，DPA分析方法的不斷改進［18］，也使得單純的硬件上的抵抗攻擊變得脆弱。軟件的方法，即通過代數變換設計可以抵抗邊信道攻擊的密碼算法，幾乎不增加成本，并且可以靈活適應各種新出現的攻擊，是當前研究的一個熱點。

為了加解密算法的快速執行，RSA在使用公鑰進行加密時，經常選用小數（比如3、5）。但是在公鑰選取5的情況下，密碼分析已經表明RSA的安全性會有所降低，必須避免。這樣公鑰參數只能在大于3的整數中選取。

在量子計算中，整數分解問題和離散對數問題都是可解的，基于這兩個困難問題的密碼算法也就失去了應用價值。

3　結語

為實現信息安全，在網絡設備配置及協議中應用了大量的密碼算法。但是隨著密碼分析技術的進步和計算機計算能力的提升，暫時安全的密碼算法已經逐步變得不再安全，如果使用了不恰當參數的密碼算法，將會對整個系統安全性從根本上造成損害。對常見密碼算法的安全性進行分析，通過比較得出使用更安全的算法或者增大算法的參數，可以進一步實現密碼算法的理論安全，可以作為日常網絡設備配置及選用時的參考，從而避免誤用造成的安全性降低。

［1］Shannon CE.Communication theory of secrecy systems.Bell System Technical Journal，28（1949），656-715.

［2］Kahn D.The Codebreakers：The Story of Secret Writing，New York：Macmillan，1967.

［3］Menezes AJ Oorschot PC van and Vanstone SA.Handbook of Applied Cryptography.CRC Press，1997.

［4］Xiaoyun Wang and Hongbo Yu（2005）.“How to Break MD5 and Other Hash Functions”（PDF）.Advances in Cryptology-Lecture Notes in Computer Science 3494.pp.19-35.Retrieved 21 December 2009.

［5］Diffie W and Hellman ME.New directions in cryptography.IEEE Transactions on Information Theory，22（1976），644-645.

［6］Rivest RL Shamir A and Adleman L A method for obtaining digital signatures and public-key cryptosystems.Communications of the ACM，21（2）：120-126，1978.

［7］ElGamal T.A public-key cryptosystem and a signature scheme based on discrete logarithms.IEEE Transactions on Information Theory，It-31（4）：469-472，July 1985.

［8］National Institute of Standards and Technology.Digital Signature Standard，2000.FIPS Publication 186-2.

［9］Agnew G，Mullin R，Onyszchuk I and et al.An implementation for afastpublic-keycryptosystem，JournalofCryptology，Vol.3（1991）pp.63-79.

［10］Schnorr C.Efficient signature generation by smartcards.Journal of Cryptology，Vol.4（1991）pp.161-174.

［11］Koblitz N.Elliptic curve cryptosystems.Mathematics of Computation，vol.48，pp.203-209，1987.

［12］Miller V.Uses of elliptic curves in cryptography，Advances in Cryptology-CRYPTO’85，LNCS 218，pp.417-426，Springer-Verlag，1986.

［13］NealKoblitz，AlfredMenezes，IgorShparlinski.DiscreteLogarithms，Diffie-Hellman，and Reductions.IACR Cryptology ePrint Archive 2010：577（2010）.

［14］Koblitz N.Hyperelliptic cryptosystems.Journal of Cryptology.1：139-150，1989.

［15］Avanzi R，Cohen H，Doche C and et al.Handbook of Elliptic and Hyperelliptic Curve Cryptography，CRC Press，2005.

［16］Cantor G.Computing in the Jacobian of a hyperelliptic curve. Math.Comp.，48：95-101.

［17］Kocher P.Timing attacks on implementations of Diffie-Hellman，RSA，DSS，and other systems.CRYPTO’1996，LNCS 1109，pp. 104-113，Springer-Verlag，1996.

［18］Kocher P，Jaffe J，and Jun B.Differential power analysis.CRYPTO’1999，LNCS 1666，pp.388-397，Springer-Verlag，1999.

［19］Boneh D，DeMillo RA and Lipton RJ.On the importance of eliminating errors in cryptographic computations，J.Cryptology 14（2001），no.2，101-119.

［20］Christophe Doche and Laurent Habsieger.A Tree-Based Approach for Computing Double-Base Chains，Proceedings of the 13 th Australasian conference on Information Security and Privacy，Wollongong，Australia，LNCS 5107，pp.433-446，Springer-Verlag，2008.

The Security of Network Configuration Based on Cryptography Algorithms

LI Ming，WANG Sai，QU Yansheng，LIU Fanfan
（State Grid Shandong Electric Power Company，Jinan 250001，China）

A number of cryptography algorithms are employed in the operation of networks such as parameter setting，remote maintenance and command transport to realize the security of information.Along with the progress of cryptoanalysis and computers，the security protocols will be reduced greatly if the wrong parameter configuration is chosen，and the security of crytographic algorithms will break down.We summarize common cryptographic algorithms of the network equipment and protocols，analyze the security of different algorithms，and propose parameter configurations of different algorithms.The result would be used as a reference of daily network operational parameters configuration.

cryptograph；parameter；symmetric cryptology；public key cryptology

TP393

A

1007－9904（2015）10－0035－05

2015-08-22

李明（1982），男，工程師，博士，主要從事信息安全和密碼學等相關工作。