基于认证加密模式的数字证书安全性分析

肖 祯

（山东服装职业学院，山东 泰安 271000）

引言

针对大型计算机网络，数据安全、数据管理自动化是人们不断追求的目标，在Internet上处理事务、交流信息和商务交易等方式变得越来越广泛，网络安全问题被人们更加重视。例如在电子商务活动中，既要保证交易双方能够互相确认身份，安全传输敏感信息，又要防止他人截获、篡改、假冒交易等。为保证重要数据免遭恶意损坏，PKI[1]通过提供公有密钥和私有密钥来确保安全性，如数字证书的签发、数字签名、用户的身份认证以及数据的加密。

数字证书[1]内容为使用者的身份信息、使用者的公钥信息和身份验证机构给定的数字签名，从而确保数字信息的不可否认性、数据信息传输的完整性和证书内容的真实性。

认证加密[2]的工作模式是指使用对称密码来确保数据信息的真实性及保密性。真实性是为了避免未被授权的其他用户对数据进行修改、伪造或者传输，抵挡攻击者的主动攻击；保密性是为了避免信息的泄露，抵挡攻击者的被动攻击。当前被广泛应用的认证加密是将认证与加密组合在一块，共享全部或部分内容的模式。POET是由Farzaneh Abed等人于FSE2014提出的一种在线认证加密工作模式。POET认证加密是基于POE（Pipelineable On-line Encryption）的一种集并行、在线或者抗nonce干扰使用的多功能为一体的模式。基于分组密码AES-128的POET使用全轮的AES-128作为加密密码，4轮AES构造的哈希函数作为通用函数。针对该模式人们提出了一种伪造攻击方法[3]。本文将AES替换为分组长度为64比特的分组密码LED，分析了所提攻击方法的有效性和可行性和基于认证加密模式的数字证书的安全性。

一、数字证书简介

数字证书[1]由CA认证中心提供数字签名，包括公开密钥和公开密钥使用者。用户定义进行解密和签名的私有密钥，仅用户自己知道使用；用户定义进行加密和验证签名的公共密钥，共享公开为他人使用。认证加密[3]是在对称密码的基础上设计的密码方案，将MAC技术与需要加密的算法集成在一起，能够同时实现消息的加密及认证。PKI使用公钥加密进行电子交易双方身份验证数字证书、证书颁发和注册。使用安全协议确保公用网络传输数据的保密性和完整性，使用EFS加密文件系统确保存储数据的保密性。

二、POET简介

POET加密认证过程输入主密钥K，选取不定长度明文M和初始化状态值，给出和明文相同长度的密文C以及消息认证码，通过可调的分组密码XEX来构造三层结构：中间一层是简单的ECB模式加密层，是分组密码全轮AES-128的直接应用；上下两层是基于4轮AES-128的哈希函数。POET是一种通用的认证加密工作模式，允许用户选择合适的密码和哈希函数将加密与认证集成在一起。

三、伪造攻击分析

针对POET的伪造攻击本质上属于局部的碰撞攻击[3]，该碰撞攻击与Hash 算法中的碰撞的含义相似，即使用不同消息来产生相同的认证码。在相邻模块明文消息处引入差分，经差分分析，引入的差分在进入哈希函数或加密操作后终能抵消，从而不影响产生认证码的中间状态，得到相同的消息认证码，成功实现伪造攻击。由于高复杂，直接攻击POET的原型是不太可能的，我们可以选择攻击基于AES-like的轻量级分组密码LED算法的约减型POET。

1.LED简介

LED算法[4，5]是一种轻量级分组密码算法，分为8步，每步4轮，共计32轮，分组长度64bit，有64bit和128bit两种密钥，本文以64bit的LED为例。LED轻量级使用与AES相似的SPN结构，我们将基于AES-128的POET进行修改，用64bit的LED替换AES。

2.伪造攻击过程

在明文消息M1处引入差分Δ1，则ΔX1= [Ft（X0）⊕M1]⊕[Ft（X0）⊕M1’]=Δ1，差分Δ1进入Ek后导致ΔC1、ΔY1存在差分，ΔY1= [EK（X1）]⊕[EK（X1’）]，ΔC1= [Fb（Y0）⊕EK（X1）]⊕[Fb（Y0）⊕EK（X1’）]，且ΔC1=ΔY1=Δ2，差分Δ2经过Fb函数后输出差分Δ4。另外，差分Δ1经过Ft函数后输出差分Δ3，在M2处引入差分，使得引入的差分恰好与Ft的输出差分抵消，实现碰撞，从而使中间状态X2与Y2都不存在差分，产生相同的消息认证码。在攻击过程分析中，我们修改了LED 的轮函数运算顺序，使其与AES有相同的操作。

结语

本文对基于认证加密模式的数字证书的安全性进行了分析，并进一步研究POET的工作模式和伪造攻击的分析，将AES替换为64比特的分组密码LED，推理了伪造攻击方法的有效性和可行性，并分析了基于认证加密模式的数字证书的安全性。