世界正越来越多在转向带有加密能力的便携式电子设备,去完成非常保密的网络认证、虚拟专用网络,售货系统以及雇员或公民的身份识别。这种便携式设备(或标记)的设计要求对加密工具识别和保护敏感数据及货币信息所采用的方法作细心地研究。当然,电子钞票或身份标记必须是便携的、耐用的和保密的,但要提醒的是,一个安全的标记必须满足加密和电气、物理等各方面的要求。
加密认证与实现
对于一个真正安全的标记,最苛刻的功能是鉴定。这是为什么?因为一种标记必须能够证明它是由发行者(服务供应商)授权,而且是可信的, 一种标记应该可以简单地用其所包含发行者在内才能生成的加密信息来证明其合法性,这就是所谓加密认证.但不管怎样,加密认证是—个非常棘手的难题。这是由于设备必须能够验证它不是伪造的或复制的,要做到这一点,就必需要设备有一些比较特殊的硬件功能。为此,若该设备系统的设计不允许自由检查,那么该系统将是不可信的,那末其设计或功能上的加密几乎也是不可取的。
在加密的环节中,真正安全的认证是通过—种“询问—回答”方法来实现的。这种方法包括一个隐藏的密码,该密码只是有效的标记和主机才知道,并且标记验证它们是否知晓这个密码的方法,将验证它们是否授权。当然,该密码在整个处理过程中是绝对不可见的,这就是应用了被叫做“防内容泄露的加密概念”。标记必须支持这样的机制,它能够验证它知晓其中的密码,而不会泄露任何关于它的信息。乍看一下,这似乎是不可能的,但它却是安全机密系统中的常见处理方式。
那末这种处理方案是如何工作的?当接触到某个未知的标记时,主机系统生成一个非常大的数字,称为一次询问,且完全随机,并将它送至标记。标记收到该询问,并和内部存储的密码一起,执行一个非常复杂的数学运算。接着,它将计算结果传给主机(见图1)。主机当然也知道这个密码,在内部也执行一个同样的特殊数学运算,接着比较计算结果。如果标记的响应与主机的计算结果相匹配,则标记验证了它知晓该密码,而没有泄露该密码(防内容泄露加密方法的关键所在)。图1为标记的“询问—回答”认证方式,即称SHA-1 ibutton(钮扣型)认证方式.这样对于不知道密码的盗窃者来说,仅窃取它们之间的通信数据是不会有有任何意义。这是因为每次产生的询问是不同的,它们是随机产生的。绝对不可能预测出一个询问数据。密码安全地隐藏在标记的内部,主机能够识别出该标记是否可信。
当然,非常关键的一点是,所使用的复杂数学运算法则应该是不可逆的,否则盗窃者采用逆运算,就能够推导出密码。事实上,算法的选择很可能是判断某种“询问及回答加密原理”是否安全的一个最为重要的因数,而电子标记早就推出了该算法.在过去,此类应用的算法,如自创的算法、密码串、滚动代码或加密算法,已经在逐步减少,而且也没有得到广泛的应用。其主要原因是,没有经过广泛深人的评测,就无法保证这些算法能够安全地抵御盗窃,并且也无法保证这些算法没有“后门”(故意的或出乎意料的),当然,可能只有设备制造商知道这些“后门”。
SHA—1算法及其安全电子交易
为了生成真正安全的加密标记,选择的算法必须是一种广为人知的、可信的、长时间测试过的并经过全球加密协会广泛深入评测过的算法。有一种接收输入数据并不可逆地分解出数据的运算法则被称为加密单列算法SHA—1(secure hash algorithin-1),它是研究最多、最可信的单向杂散函数之一。这种经美国政府批准的算法是现代数字签名和文件保护方法的基础。它在加密协会已经有很长的历史,而且是经过深入测试的、极为可信的加密算法。
但是,SHA—1是一种非常复杂的算法,包含多次32位5路加法,复杂的逻辑函数,数据移位和大量的循环。在硅片上执行SHA—1算法通常需要较大的芯片,这样做出的标记是相当昂贵的。一种用新的方法已经发明了,以串行方式实现算法,从而将广芯尺寸降低了10倍或更多,这样才可能制造出价格合理的、基于 S HA-l的标记。
真正安全的标记提供的另一个关键特性是全球唯一的和不可更改的同一性。实际包括一个唯一的系列号,作为识别算法的一个辅助输入,从而将实际的标记和其内容绑在一起,使在标记内更改钱数或信用等级是根本不可能的。
当某种加密标记应用于金融领域,它所包含的数据可以说是动态的,因为关键数据的读出、记账和再写人,每次都要用到该标记(器件)。这种使用模式容易被盗窃作案,被解密者称为重复过程的盗窃。也就是说,盗窃者只要能够记录来自标记的金额数据,接着通过合法的购物花光标记,然后恢复标记的原来数据,也就恢复了标记内的金额。以致能够重复消费, 称为“重复过程”的盗窃.为阻止这种“重复过程”,只要标记能够提供一种机制,即每次处理它所包含的数据过程是唯一的就可以了。为此,真正安全的金融标记提供了一个特殊的计数器, 标记(器件)每写人一次,该计数器将增加,而且不能够循环计数、清零、减计数或再次加载。接着,送至认证算法的输入中包括了该计数值,这样,金额数据、设备身份和本次金融交易就绑在了一起。那将数据从设备中读出,稍后再写回去的“重复过程”的盗窃案就不可能了,这是因为计数器已经发生变化了,尽管数值相同,但实际情况已经不同了。
在询问一回答认证处理中存在一个有趣的特性:当数据从标记至主机过程来,数据也受到了保护。因为数据、标记身份和交易计数都包含在S HA-l算法的输入中,任何试图在标记与主权之间的道内改变或扦人数据位都将导致交易失败。这就意味着大量的中介设备都可以实现这种询问一回答的数据交换,不会影响处理过程的安全性。家庭电脑的用户标记经过大量的路由器、网轿、集线器和窃听装置,传输至远程的互连网服务器进行认证,即使这样,安全性丝毫不受影响。
对于一个安全授权标记来说,另一个重要要求是:它能够保护它所持有的密码。嵌入硅片的塑料卡是难以抵制外界的冲击,而且典型的存储器件也没有特殊的条款,规定密码保存在什么样的加密存储区域。所以,安全标记必须提供一个高水平的物理安全性,以保护它所包含的密码。
还有另外的加密方法:结合唯一的设备系列号。每个设备中的密码能够从另一个主机密码中推导出,而不是直接存储在该设备中。这种方法为每个设备提供了一个唯一的密码,避免了系统范围的破坏(称为一级破坏)威胁到任何一个设备的密码。通常,金融系统采用一个密码(存储在标记内)用于标记认证,同时还有另一个密码(未存储在标记内)验证标记内存储的金额是否有效.这样限制了外界盗窃标记的范围,仅只能仿制或假冒那一个,也仅仅是那一个标记.这样就严格限制了外界盗窃标记的成功率.
为了防止通常在发放(由服务供应商授权)设备上偷盗现象的发生,即当某个不道德的雇员得到了如何进入核心密码的方法。加密者提供了一种称为密码共享的方法。实际密码其实并不存在,而代替的是两个或变多个密码段的计算结果。服务供应应将这些部分密码保存在不同的地方、不同的系统内,不允许任何人得到一个以上的密码。如果没有所有这些密码段按照顺序输入,则实际密码不会生成。一个真正有效的加密标记,必须提供一种完全在标记内部结合部分密码的方法,以便最终密码并不显现。这样任何人都无法观察到它。当标记转向服务供应商的初始化处理时,它将灌入每个密码段。这样,实际密码能够完全在每个设备内部计算出来。最后,唯一的设备系列号也注入进来,这样,产生的设备密码是唯一的,并且主机的密码实际也是不存在的。
经过严格认证的加密电子标记还能够做成非常保密的钥匙,用于门锁、门禁系统和设备锁控等。采用询问一回答加密方式的电子钥匙不能够复制、修改,窃听攻击也是无效的。在这类应用中,数据可以认为是静态的,因为,与电子钞票应用不同,它每次使用是没有任何变化的。由标记认证持有人的这种能力为系统增加了更多的安全性——即使是在系统内也无法提供这种个人身份识别号或密码保护的能力。
对等认证,可应用允许网络工具作彼此认证,这样防止它们被外来者操纵,能够快速完成认证,以及能够保护标记内部密码的标记,将大大降低工具所要求的物理安全性,标记还能够用来快速产生独特的会话钥匙,用于控制命令或敏感数据的加密。
加密封电子标记实例
当前新型加密封电子标记产品种类及应用为数不少,值此仅简介一例,以使人们对加密电子标记其的特性与结构有所了解,避免看不见模不着的神密感,也有利于公共安全观的增强。
Dallas Semiconductor的DS 1963S iButton(钮扣型)是一种加密封电子标记,能够满所有的这些要求。每个标记具有全球唯一的、工厂激光刻度的64位身份识别号,512字节、锂钟电池备份的NV RAM数据存储器,以及8组64位保护密码。所有这些装配于一个小型的、牢固的不锈钢壳体内。与主机双向通信由单根数据线完成,速率高达 140kbs,在500us以内就可完成内部的S H A-l算法.如果通过穷举方式,64位密码需要大约9,2 2 3 000 ,000 000,000,000次尝试才能破译,因而,采用穷举方式难度很大是不现实的。ibutton能够象珠宝一样配带,也可以附着在ID卡或徽章上,还可以象钥匙一样携带。它可以放置于容器、柜子、产品或运输包装中。当然它还可以嵌入到一个元件内或电路板上。
Dallas Semiconductor 的 DS19615SiButton 是DS 1963 S的EEPROM类型。它具有128字节的存储器,提供一种写保护方式,在保扩方式被修改之前,主机须通过SHA认证。
DS 1963S还具有协处理器的能力,在售货和收费系统中,主机端的处理能力和速度通常是有限制的。当作为协处理器使用时,DS1963 S能够安全地存储和保护系统密码,快速地执行S HA- l算法,安全地存储收到的资金,以及提供一个全球鞋一的系列号,以识别是哪个收费箱或售货机。作为协处理器,DS1963Sibutton还能够保存主机所用的关键配置和价格数据。这样主机的任务大大降低,只是简单地在iButton之间移动数据。电子钞票系统已经证实,采用这里描述的所有安全特性,执行一次金融交易的时间小于50ms。
DS1961S,也提供芯片方式,还能够简单地嵌入到网络设备中(仅需要一个引脚用于通信)。这样在网络设备之问提供了强大的加密认证,开创了采用Internet查询和控制它们的先例,网络设备能够快速和可靠地相互认证,产生用于数据加密的随机数字会话密码,所有这些仅需要一次信息交换。系统密码安全地存储在受保护的EEPROM中,几乎没有添加任何费用,就大大地提高了网络系统的加密安全件。
