資訊安全 詹進科 國立中興大學資訊科學系所

(0). 前言 (1). 加解密系統 (2). 身份認證 (3). 數位簽章 (4). 機密分享 (5). 金鑰管理 (6) (0). 前言 (1). 加解密系統 (2). 身份認證 (3). 數位簽章 (4). 機密分享 (5). 金鑰管理 (6). 電腦病毒 (7). 密碼學之應用

前言 您相信嗎? 第一次世界大戰 ----- 化學家的戰爭(芥子氣與氯氣) 第二次世界大戰 ----- 物理學家的戰爭(原子彈) 第一次世界大戰 ----- 化學家的戰爭(芥子氣與氯氣) 第二次世界大戰 ----- 物理學家的戰爭(原子彈) 您相信嗎? 第三次世界大戰 ----- 數學家的戰爭(資訊戰)

幾則故事 1586 AD. 10/15(審判日) Elisabeth. I. Mary Stuart (一) 蘇格蘭 瑪麗女王的密碼 Anthony Babington(謀反主角) (一) 蘇格蘭 瑪麗女王的密碼 Gilbert Gifford(雙面間諜) Elisabeth. I. Walsingham(國務大臣) Mary Stuart 1586 AD. 10/15(審判日) Philip van Marnix (解密專家)

這場審判之勝負取決於編碼專家與解碼專家之能力; 瑪麗女王既是蘇格蘭女王 法國王后,也是覬覦英國王位的人,而一張紙條之能否被解開秘密,決定她的命運!

取材自:“密碼學在業界應用之近況” 單懷靈 博士 one story 1894年6月22日日本外務大臣陸奧宗光致函清朝駐日公使汪鳳藻，商討事宜。次日汪氏以密電碼通信向國內總理衙門拍發長篇電文。 負責監督中方通訊的日本電信課長佐藤愛磨截獲此電報經反覆研究，以明文攻擊法成功破解中方的密電碼。 中方軍事通信之密碼失去了保密性，因此日方在甲午戰爭期間對清廷內部實虛及軍隊行蹤了若指掌。 取材自:“密碼學在業界應用之近況” 單懷靈 博士 shanhl@cht.com.tw

資訊安全 ? 鳳遊禾蔭鳥飛去 馬走蘆邊草不生 k Julius Caesar: k = 3 -k 西方 Ek(x) = x + k mod 26 Dk(y) = y - k mod 26 西方 -k 紀曉嵐(清朝): 鳳遊禾蔭鳥飛去 馬走蘆邊草不生 東方 狹義： 保護資訊（密碼學） 廣義：達成資訊的 秘密性、鑑定性、完整性、不可否認性 （privacy 、 authenticity 、 integrity 、 and nonrepudiation） 秘密性：防止非法的接收者得到明文 鑑定性：確定資訊確實來自發送方 完整性：防制非法更改資料 不可否認性：防制發送方否認其傳送過之資料

English Letter Frequencies This graph is based on counts done at ADFA in the late 1980's, and used to develop the tables published in Seberry & Pieprzyk [SEBE89]. Note that all human languages have varying letter frequencies, though the number of letters and their frequencies varies. Seberry & Pieprzyk [SEBE89] Appendix A has graphs for 20 languages (most European & Japanese & Malay).

依發生性質

資訊系統元件之安全威脅 硬體：中斷（拒絕服務）、截聽（偷取） 軟體：中斷（刪除）、更改、截聽 資料：中斷（漏失）、截聽、更改、偽造

其他 . . . 從密碼技術 到 資訊安全 Steganography(掩飾訊息存在性之保密通訊方法): 中國 絲蠟球 義大利 明礬 醋 隱形液 . . . Cryptography(隱藏訊息意義之保密通訊方法): 傳統密碼法 VS. 公開金鑰密碼法 Microdot (1941, FBI) 微縮攝影成句點 從密碼技術 到 資訊安全

資訊安全受重視度持續攀高(中研院 資安網站 92.6.18) Gartner指出，對全球企業而言，資訊安全重要性有增無減。而由於駭客攻擊嚴重影響公共秩序，政府也於上週通過新增條款，使駭客及電腦侵害行為列入刑法範圍中。 Gartner六月份的報告指出，全球多數企業IT支出，2003年有5%將用於資訊系統安全上。其中政府、交通、公用及能源事業將因基礎架構的保護，而增加安全支出，而大學則因智慧財產權的訴訟問題，而作相關IT支出的加強。        

在九一一及美伊戰爭之後，美國政府逐漸升高網路恐怖主義的防禦措施，因為擔心恐怖份子可能依照駭客的行為，來攻擊與民生相關的系統。Gartner報告指出，2001年起，相較於整體IT預算年複合成長率只有6%，安全支出的成長率則高達28%，這是史上首次IT安全預算達到這麼高的比例。另一家市場研究機構IDC所公布的報告則指出，2002年亞太地區日本以外，包括防毒、網頁過濾、反垃圾郵件、惡意程式碼在內的安全內容管理（secure content managment）相關的市場，較2001年增加14%。IDC認為，未來幾年，破壞性更強且難以查明的威脅、員工生產力、有待改善的法律、隱私權條款等因素將繼續加速安全內容管理市場的發展

新聞日期 - 2001/06/15 新聞主題 - 股票網路交易需採用電子數位簽章 ◎為確保電子交易的安全性，證交所要求證券商自5/1起，網路下單須採認證機制，投資人上網交易前得向網路券商申請數位簽章和電子印鑑證明，否則無法進行交易。此方案讓台灣155萬網路交易投資人的股票上網交易程序產生變動。 新聞日期 - 2001/06/15 新聞主題 - 中信銀提昇網路安全認證 ◎為確保網路交易安全，中國信託商銀日前已全面提升企業網路銀行認證系統功能，針對企業分層管理需求，採用Non-SET CA電子憑證系統；除建置分層授權管理機制，並依企業內部控管與交易金額等級，彈性設定企業內部使用人員之授權權限，以提供即時、便利及安全的線上資金管理服務。

新聞日期 - 2001/06/15 新聞主題 - IDC調查指出網路安全市場前景看好 ◎艾迪西研究機構(IDC)預測，偵防網路入侵和網站弱點評估的軟體，到2003年產值將達一年10億美元的規模，到2004年市場年產值將超過10億。至於其他所謂的3A軟體，包括身份識別辨認、授權認證及行政安全軟體、到2004年年產值預料將超過77億美元。IDC表示，2004年網站弱點評估軟體產值，將佔網路安全市場的54%。

(1)加解密系統 ? ※原文(plaintext)、明文(cleartext) ※密文(ciphertext) ※金鑰(key) ※加密程序(encryption) ※解密程序(decryption) ?

金鑰 加密 密文 解密 明文 明文

加密金鑰 解密金鑰

(以上五頁資料取自 台科大 吳宗成 教授之手稿)

(2)Authentication 約定資訊 約定資訊 生理特徵 Remote log-in 身份確認 之方法計有: 1. 身份證 ( IC 卡或 磁卡) 2. 通行碼 3. 筆跡 4. 聲音 5. 指紋 6. 視網膜 7. DNA H/W 約定資訊 S/W 約定資訊 生理特徵 網路上之身份確認協定: (1) Kerberos {對稱型} (2) X.509 {非對稱型} Remote log-in

(3)數位簽章 多重數位簽章

(4)機密共享

(5)Key Management 如何將 DES 之私鑰送到對方手上 ? Key distribution is defined to be a mechanism whereby one party chooses a secret and then transmits it to another party or parties. Key agreement denotes a protocol whereby two (or more) parties jointly establish a secret key by communicating over a public channel. Kerboros is a popular key serving system based on private-key cryptography.

Certificate Authority 憑證管理中心 Certificate Authority

執行重要發現令人擔憂的現象-入侵工具自動化 (6) 電腦病毒 執行重要發現令人擔憂的現象-入侵工具自動化 圖1 網路入侵工具與入侵者所需具備之技術關係圖[1]

圖3 系統弱點與作業系統的關係[15 ]　[ ]

(PS)其他奧秘的應用 網路投票 電子貨幣 金鑰信託 無線通訊

(Remark)協定(protocol) A protocol is a series of steps, involving two or more parties, designed to accomplish a task. Types of protocols Arbitrator:a trusted third party Adjudicator: is necessary in case of dispute Trent Alice Arbitrated protocol Bob

Self-enforcing protocol Bob Alice Adjudicated protocol Evidence Trent (After the fact) Self-enforcing protocol Alice Bob

Privacy: the ability to keep anyone but the intended recipient from reading the message. Authentication: reassurance to the recipient of the identity of the sender. Integrity: reassurance to the recipient that the message has not been altered since it was transmitted by the sender. Non-repudiation: the ability of the recipient to prove to a third party that the sender really did send the message. (also called third party authentication.)

Two hard problems: Factoring problem: n = p * q (knowing n, hard to get prime p or prime q) Discrete Logarithm Problem (DLP) : y = gx mod p (knowing y and large prime p, hard to get x)