无处不在的密码应用与密码协议
撰文 | 康老师
之前的几期内容我们分开讨论了对称密码、公钥密码、摘要算法这些密码学基本工具箱,完成了本系列科普的第二部分,也是涉及技术细节最多的部分。本期开始,我们进入系列科普的第三部分——由各种密码工具、密码技术拼装组合而成的实用密码系统。就像没有一种安全技术能应对全部信息安全问题,也没有一种密码技术能满足现实生产生活的所有加密保护需求,实际密码系统都是综合运用了各种密码技术和工具。因此我们在技术上的讨论也会从上一部分的“分”转向“总”,转向综合,这是现代实际密码系统所展现出来的重要特点,也是密码学作为一门独立学科,包括密码行业、密码设备产品进入成熟期的特征。
密码系统我们粗略的分为两类:密码应用系统与密码管理系统,本期我们先聊一聊直接面向用户的密码应用系统。为什么又要在题目中把密码应用系统与密码协议联系起来?密码应用系统类型多样,存在形态各异,所解决的用户安全需求更是不一而足。依康老师浅见:密码应用系统的目标是综合运用各种密码技术和密码协议满足用户特定的安全保密需求,除少数简单情况外,密码应用系统都要使用密码协议,将密码应用系统依据其所实现的特定密码协议进行划分非常利于我们掌握其主要特征和主要用途。密码协议虽然是抽象的无疑,但背后无不对应着具体的、客观实在的应用场景,理解了密码协议,也就理解了密码应用系统的核心工作流程,掌握密码协议是理解密码应用的关键。
了解密码“工具箱”是学会“一步一动”,掌握密码协议就是让我们能各种“走起来”,基于此再构建密码应用系统就是真正“干起来”。密码应用是应对复杂的世界、复杂的实际需求的,这就决定了它的复杂性,我们还是要先抽象再具体,从简入繁,因此,下面我们就从密码协议的特征聊起来。
在数字空间构建信任的密码协议
密码协议是指应用密码技术构造的协议,从这个角度说,密码协议也是一类密码应用,是为了使协议具备安全性,防止各类攻击、欺骗,而使用密码学为武器构建的让攻击者听不懂、仿不了、扰不乱、拦不断的“安全会话”。密码协议功用强大,它不构建数字空间,但它帮助数字空间中为达成共同目标的实体间建立了信任关系。从建立信任关系的功能来说,密码协议在网络空间不仅无处不在,简直有点无所不能。
密码协议是信息安全领域最重要和热点的研究课题,基于新技术和面向新应用场景的各种各样的密码协议不停的被研究者创造出来,当前密码学的创新很大程度上表现为密码协议的创新,密码协议是广大密码应用开发者最大有可为的领域。
我们平时听到的协议类型很多,林林总总,不一而足,有按安全保密需求命名的,如保密通信协议、完整性验证协议等;还有按协议交互特征区分的,如握手协议、挑战—响应协议、心跳协议等;还有按其应用功能直接命名的,如服务器—终端模式的用户认证协议、网络接入认证协议、密钥分发协议、密钥协商协议、代理授权协议等等。它们有什么样的共性特征呢?
密码协议的共性特征
密码协议也被称为安全协议,两者很大程度上是同义的,因为不管哪种类型的安全协议基本都离不开密码,或者说协议要想满足安全性要求就需要使用密码。密码协议在普通协议之上,还具备如下的共性特征:
一是要有两个或多个主体参与互动。一个程序作为主体自身执行的一系列步骤来完成某项任务不能称为协议。但一台主机上的不同程序、不同组件完全可以作为密码协议中的不同主体、通过密码协议进行通信。密码协议通常运行于密码设备之间、密码用户之间、密码管理者之间、密码管理者与被管理者之间,参与主体可能是人、也可能是程序。
二是要有不只一个有序的交互步骤。这些步骤是有序的,必须依次序执行,在前一步骤完成之前,后面的步骤不能执行。这也决定了协议的每个参与者都必须事先了解协议,知晓交互步骤。
三是由于执行密码协议的目标就是构建特定的信任关系,交互过程全程不会假定通信线路是安全的,在执行完毕之前,每个参与方也不会假定其他参与方是可信的,只有完整执行完密码协议,才会建立通信方之间的信任关系。因此,同一主机上,密码设备调用者与密码设备之间也可以执行密码协议,以实现验证调用者身份有效性、防止在调用通路上传输的调用参数中敏感数据被恶意程序窃听或篡改。
四是除了预设参与者知晓交互步骤以外,参与各方还需具备完成密码协议所需的密码资源,例如参与方共享的密钥、参数等秘密,共同执行的算法,按步骤由参与者临时生成的随机数等。
五是既然我们做了密码协议层的抽象,针对密码协议的理论研究、诸如密码协议的形式化描述和验证等也已经足够多、足够成熟,开发密码协议、讨论和验证密码协议的完备性、正确性和安全性,都应有意识的采用理论工具完成。有发明新的密码协议的积极性当然很好,可不要以为把交互步骤用文字描述一下就有了了不起的发明,对协议的严格的数学分析是协议提出者的首要任务。
不使用传统密码技术的新型密码协议
聊到这,读者可能会问,有没有不使用传统密码技术,而又能完成通常密码协议功能的密码协议呢?还真有这类有点“另类”和“跳脱”的特殊密码协议——很多量子密码协议包括量子密钥分发(QKD)协议就是。这类特殊的密码协议是不使用传统密码技术,它们基于的是其它同样能保证协议安全需求的科学技术原理。量子密码是利用量子力学原理实现各类密码学任务的新型密码体制,量子密码协议是其中的重要组成部分。随着量子信息科学的兴起与实用化前景的渐趋明朗,人们发明了包括量子保密通信和其他借助量子态传输来完成各种功能的量子密码协议,如量子掷币协议、量子数字签名协议、量子匿名传输协议、量子隐私查询协议等,基于QKD协议的量子密钥分发系统和加密系统早已工程实现并投入商业化实用。基于传统密码的密码协议和基于量子密码的密码协议分野明确,但它们同样能够完成密码协议的功能,分析这类密码协议的方法显然也和分析传统密码协议不同。
QKD协议的特征是会对量子态的编码、传输和测量的方法及步骤进行详细规定。QKD协议安全性是以量子物理原理为基础而不是基于数学原理的。例如,下图所示的各类QKD协议中最著名的BB84协议,其基本方法是使用量子态来编码信息,通过对量子态的制备、传输和检测来达到安全分发随机数的目的,然后通信双方再约定以这些共享的随机数作为密钥使用,就完成了BB84协议的目的。
兼收并蓄、循规不越矩的密码应用系统
如上所述,我们可以把密码协议也看做是一类密码应用,它是由各单项密码技术的密码“原语”经过一次扩展形成的基于密码的“安全会话”,那密码应用就可以看成密码协议再经过工程实现、完善会话交互细节、人机交互细节等层面的扩展形成的适用于用户在实际应用场景使用的软/硬件实际系统。
从抽象——具体的层面,说密码协议是密码应用的“魂魄”并不为过。同样,说密码技术、密码管理所有这些为“体”,而密码应用为“用”也恰如其分,“体”依密码科学本身体系结构特征而确立,“用”依用户需求而不同。为了更全面、更完美的满足用户安全需求,密码应用系统对各类密码技术乃至安全技术,都是采取“拿来主义”的态度,兼收并蓄、物尽其用,也导致当前的密码应用系统发展得越来越复杂。
密码应用系统使用单一的密码算法肯定不够。例如,实际的密码应用都是采用混合密码系统,就是用对称密码来加密明文,用公钥密码来加密对称密码中所使用的密钥。通过使用混合密码系统,就能够在通信中将对称密码和公钥密码的优势结合起来。
而且,为完成多层面的安全需求,密码应用系统使用单一的密码协议也肯定不够,实际可用的密码应用系统都是由多个密码协议组成的协议栈、协议链。例如,证明某个用户是他所声明的那个人需要使用用户认证协议(Authenticate),而依据事先设定的规则判断一个主体能否访问特定资源需要使用授权(Authorize)协议,而互联网上最常见应用场景就是运行于服务器的密码应用系统需要先认证用户身份,然后依据用户身份授权用户访问的资源范围。
密码应用的第二个特点就是“循规不越矩”,正是由于现代密码应用系统的复杂性、综合性所致,导致用户对密码应用如“雾里看花”一样,非专业人士不容易看懂,而且由于涉及信任、涉及交易信息等敏感数据,用户的顾虑多、关注度高,对密码应用本身的信任要求高。这些都要求密码应用得是有权威部门认证的合规系统,至少也得是经过多年实际环境运行考验的可溯源的大厂产品或著名开源系统,而且密码应用系统的主导权还必须控制在用户手上。
如果说讨论密码应用的功用时,厂家与用户还容易达成共识——毕竟,大家都能理解没有一种密码技术、没有一个密码产品对信息安全威胁是“银弹”,是包打天下的。讨论实际密码应用的安全就从来不是件容易的事,如果再加上新兴技术在密码应用系统上的应用,密码应用的安全问题会变得更加复杂。例如,对应上节我们讨论的QKD协议的QKD加密系统,QKD协议的安全性证明上,研究者往往都基于理想的QKD协议实现模型。当前技术条件下实际QKD系统所使用的量子器件性能和理想模型的设定是存在差异的(例如理想单光子光源与现实可量产单光子光源的差别),这带来了另外的安全威胁。对于实际条件下QKD系统面临的安全威胁,在学术界、工业界也已经有比较充分的研究,对于已发现的安全威胁也都采用了如诱骗态调制等相应的、有效易行的防御措施。对于量子密码这种新兴科技领域,研究者、从业者基于审慎的科学态度,从制定标准规范到促进产品合规,正走在这样一条充满挑战但前途光明的道路上。
康老师 简介
深耕信息安全领域二十余年,从事安全增强系统、密码应用系统及通用软件系统开发、信息安全理论研究、标准规范编研及开发团队管理。参与多项国家863、973、核高基专项等重大科研项目,作为主要完成人编研完成国家/军用标准多项,发表学术论文二十余篇。