基于認證加密模式的數字證書安全性分析

肖 禎

（山東服裝職業學院，山東 泰安 271000）

引言

針對大型計算機網絡，數據安全、數據管理自動化是人們不斷追求的目標，在Internet上處理事務、交流信息和商務交易等方式變得越來越廣泛，網絡安全問題被人們更加重視。例如在電子商務活動中，既要保證交易雙方能夠互相確認身份，安全傳輸敏感信息，又要防止他人截獲、篡改、假冒交易等。為保證重要數據免遭惡意損壞，PKI[1]通過提供公有密鑰和私有密鑰來確保安全性，如數字證書的簽發、數字簽名、用戶的身份認證以及數據的加密。

數字證書[1]內容為使用者的身份信息、使用者的公鑰信息和身份驗證機構給定的數字簽名，從而確保數字信息的不可否認性、數據信息傳輸的完整性和證書內容的真實性。

認證加密[2]的工作模式是指使用對稱密碼來確保數據信息的真實性及保密性。真實性是為了避免未被授權的其他用戶對數據進行修改、偽造或者傳輸，抵擋攻擊者的主動攻擊；保密性是為了避免信息的泄露，抵擋攻擊者的被動攻擊。當前被廣泛應用的認證加密是將認證與加密組合在一塊，共享全部或部分內容的模式。POET是由Farzaneh Abed等人于FSE2014提出的一種在線認證加密工作模式。POET認證加密是基于POE（Pipelineable On-line Encryption）的一種集并行、在線或者抗nonce干擾使用的多功能為一體的模式。基于分組密碼AES-128的POET使用全輪的AES-128作為加密密碼，4輪AES構造的哈希函數作為通用函數。針對該模式人們提出了一種偽造攻擊方法[3]。本文將AES替換為分組長度為64比特的分組密碼LED，分析了所提攻擊方法的有效性和可行性和基于認證加密模式的數字證書的安全性。

一、數字證書簡介

數字證書[1]由CA認證中心提供數字簽名，包括公開密鑰和公開密鑰使用者。用戶定義進行解密和簽名的私有密鑰，僅用戶自己知道使用；用戶定義進行加密和驗證簽名的公共密鑰，共享公開為他人使用。認證加密[3]是在對稱密碼的基礎上設計的密碼方案，將MAC技術與需要加密的算法集成在一起，能夠同時實現消息的加密及認證。PKI使用公鑰加密進行電子交易雙方身份驗證數字證書、證書頒發和注冊。使用安全協議確保公用網絡傳輸數據的保密性和完整性，使用EFS加密文件系統確保存儲數據的保密性。

二、POET簡介

POET加密認證過程輸入主密鑰K，選取不定長度明文M和初始化狀態值，給出和明文相同長度的密文C以及消息認證碼，通過可調的分組密碼XEX來構造三層結構：中間一層是簡單的ECB模式加密層，是分組密碼全輪AES-128的直接應用；上下兩層是基于4輪AES-128的哈希函數。POET是一種通用的認證加密工作模式，允許用戶選擇合適的密碼和哈希函數將加密與認證集成在一起。

三、偽造攻擊分析

針對POET的偽造攻擊本質上屬于局部的碰撞攻擊[3]，該碰撞攻擊與Hash 算法中的碰撞的含義相似，即使用不同消息來產生相同的認證碼。在相鄰模塊明文消息處引入差分，經差分分析，引入的差分在進入哈希函數或加密操作后終能抵消，從而不影響產生認證碼的中間狀態，得到相同的消息認證碼，成功實現偽造攻擊。由于高復雜，直接攻擊POET的原型是不太可能的，我們可以選擇攻擊基于AES-like的輕量級分組密碼LED算法的約減型POET。

1.LED簡介

LED算法[4，5]是一種輕量級分組密碼算法，分為8步，每步4輪，共計32輪，分組長度64bit，有64bit和128bit兩種密鑰，本文以64bit的LED為例。LED輕量級使用與AES相似的SPN結構，我們將基于AES-128的POET進行修改，用64bit的LED替換AES。

2.偽造攻擊過程

在明文消息M1處引入差分Δ1，則ΔX1= [Ft（X0）⊕M1]⊕[Ft（X0）⊕M1’]=Δ1，差分Δ1進入Ek后導致ΔC1、ΔY1存在差分，ΔY1= [EK（X1）]⊕[EK（X1’）]，ΔC1= [Fb（Y0）⊕EK（X1）]⊕[Fb（Y0）⊕EK（X1’）]，且ΔC1=ΔY1=Δ2，差分Δ2經過Fb函數后輸出差分Δ4。另外，差分Δ1經過Ft函數后輸出差分Δ3，在M2處引入差分，使得引入的差分恰好與Ft的輸出差分抵消，實現碰撞，從而使中間狀態X2與Y2都不存在差分，產生相同的消息認證碼。在攻擊過程分析中，我們修改了LED 的輪函數運算順序，使其與AES有相同的操作。

結語

本文對基于認證加密模式的數字證書的安全性進行了分析，并進一步研究POET的工作模式和偽造攻擊的分析，將AES替換為64比特的分組密碼LED，推理了偽造攻擊方法的有效性和可行性，并分析了基于認證加密模式的數字證書的安全性。