現代密碼學與應用 --- L01

現代密碼學與應用

• 應用, 雲盤加密存儲, 如何在數據庫中快速查詢(用戶上傳新的明文, 查詢已有密文數據)

  
  

Why

• core part in information security

  信息安全, 系統安全

  X.800 安全標準

  Data Confidentiality, 保密性, 防止未受權的訪問, 不能夠被第三方看見

  Data Integrity, 完整性, 消息認證, 防篡改, 校驗, hash

  Authentication, 實體認證, 身份認證, B 想從 A 獲得消息, 要確保消息確實是 A 發送的, 好比登陸的時候發送手機短信驗證用戶(且5分鐘內有效), msg + 時間戳, 對發送方的約束

  Non-Repudiation, 不可抵賴性, 經常使用於金融糾紛, 對發送方的約束

  Access Control, 訪問控制, 開機須要登陸

  Availability, 可用性, 服務器奔潰了, 就算有帳號密碼也登陸不了, 就是可用性出了問題

  
  

• 三個角色

  Alice --- Bob
         |
        Eve

  
  

Where

• 聊天

  
  

• 登陸

  註冊時候的驗證碼, 能夠當鹽

  數據庫一條記錄: 用戶名 + hash + salt

  
  

• 網銀

  安全控件, 從驅動層面防止鼠標鍵盤的輸入泄露

  
  

• 電子貨幣

  
  

• 安全威脅

  攔截, 僞造, 修改, 時序攻擊(計時攻擊), 輻射攻擊

  
  

• 郵件

  簽署(數字簽名, 防抵賴) + 加密(須要祕鑰協商)

  
  

• 產品祕鑰

  
  

小結

• Who steal secret infomation ? --- Data Confidentiality

  
  

• Software download security, 有沒有加入其它東西(木馬) ? --- Data Integrity, hash

  
  

• Who is chatting with you? --- Entity Authentication

  
  

• Who creates message sent to me ? --- Message Authentication, 重放攻擊

  
  

• How can I do if someone deny a fact? --- Non-Repudiation

  
  

Course Objective

• Understand basic concept of cryptographic techniques and use them safely(如何安全使用)

  Encryption, Hash, Digital Signature, Authentication(Message Authentication, Identification)

  
  

• Understand applications of cryptographic techniques

  Authentication: X.509

  Cloud security, 雲計算的應用場景

  Web Security: Secure storage

  Email

  
  

• Textbook

  Cryptographic and Network Security, William Stallings

  Handbook of applied cryptography

  
  

• Schedule

  DES, 3DES, Finite Fields

  AES

  
  

• Labs

  lab1, many time pad

  lab2, discrete log

  lab3, AES

  lab4, RSA

  lab5, data integrity

  Python / C++