25、公钥证书认证协议安全与特征2下Schoof算法的高效实现

公钥证书认证协议安全与特征2下Schoof算法的高效实现

1. 公钥证书认证协议安全分析

在公钥证书认证协议的安全领域，存在着多种潜在的攻击和需要解决的问题。

1.1 “前网站管理员攻击”解析

乍一看，很难想象A会自愿使用入侵者的公钥向B发送加密消息。但深入分析后发现，这种情况是可能的。在SSL和TLS协议的“命名服务器”版本攻击中，客户端C会使用受损的服务器S的公钥发送预主密钥N′C ，而这个受损的公钥实际上可能就是入侵者的公钥。

1.2 Needham - Schroeder协议修复

为消除Needham - Schroeder公钥认证协议中的“假冒攻击”和“前网站管理员攻击”，提出了一种修复方案。原协议中消息2仅添加B，改进后提议添加K⁺B 。修复后的协议如下：
- A → B : {NA, A}K⁺B (M1)
- B → A : {NA, NB, K⁺B}K⁺A (M2)
- A → B : {NB}K⁺B (M3)

由于入侵者I无法解密消息2并将K⁺B 替换为K′⁺B ，A能够检测到不一致性。即使A不检查K⁺B 和K′⁺B 的不一致性，消息3也会使用新的有效公钥K⁺B 加密，入侵者无法从消息M3中获取随机数NB 。

1.3 证书认证协议的现状与问题

在分析基于证书的协议时，通常假设部署的PKI能保证证书的有效性。但实际上，如CRL和OCSP等保证有效性的方法要么无效，要么难以融入当前使用的各种认证协议。当证书受损且所有者未察觉时，会导致安全完全丧失，目前似乎没有解决方案。不过，如果参与认证的一方知道其证书受损并撤销和替换，协议应