现代密码学 | 具有数字签名功能的安全方案

ops/2025/3/16 14:49:54/

1.案例背景

1.1冒用签名触发信任危机,360安全大脑率先截杀解除警报

        2020年8月,360安全大脑独家发现冒用数字签名的网络攻击再度活跃,且继此前360安全大脑披露过的Go Daddy、Starfield Secure、赛门铁克、Verisign和DigiCert等国际知名CA证书颁发机构,Sectigo RSA Code Signing CA纷纷沦陷,成为不法攻击者冒用的新目标。

        与以往披露信息略显不同的是,此次发现的数字签名冒用活动,均为Disc soft 盘软、SRS labs inc音频技术等境外公司,且签名程序袖里藏刀。释放白利用文件,藏身正常程序,博彩网站诱导钓鱼三管齐下,上演了又一场大型信任危机。

1.2 美国零售巨头Target遭受了一起严重的数据泄露事件

事件描述:

        2013年11月至2014年1月期间,美国零售巨头Target遭受了一起严重的数据泄露事件。黑客入侵了Target的支付系统并窃取了包括信用卡号、姓名、地址等大量客户敏感信息。这次数据泄露事件涉及约1亿名Target客户的个人信息,其中包括40万张信用卡和借记卡的详细信息。

        攻击者通过一家供应商的网络凭证入侵了Target的网络,然后利用恶意软件在支付终端上安装恶意程序,用于窃取客户的信用卡信息。这些恶意程序能够截获客户的信用卡数据,包括卡号、有效期和安全码等。值得注意的是,在这次事件中并没有使用数字签名等技术来对客户数据进行保护和认证,这让攻击者能够轻易获取并篡改客户信息,逃避监测和检测。

事件影响:

        受影响的客户面临着信用卡信息泄露的风险,可能导致身份盗窃和欺诈行为。Target在泄露事件曝光后受到严重谴责,并为此支付了数亿美元的赔偿费用,同时也经历了严重的声誉损失和用户信任危机。这次数据泄露事件成为了当时备受关注的安全事件之一,也引起了更广泛的对网络安全和客户数据保护的重视。

1.3 自编股票交易中未使用数字签名导致安全事件发生的案例

事件描述:

        有一家股票交易平台,用户可以通过该平台进行股票买卖交易。在该平台上,用户可以通过输入用户名和密码的方式进行登录,并完成买卖交易。然而,平台并未使用数字签名等技术对用户的交易行为进行有效地认证和保护。

        在这种情况下,假设用户A在平台上进行了股票买卖交易,但交易信息并没有进行数字签名或其他方式的有效保护,导致交易信息可以被中间人篡改或伪造。攻击者通过某种手段截获了用户A的交易信息,并篡改了交易内容,然后将修改后的信息发送给平台进行处理。平台在未对交易信息进行有效认证的情况下,错误地以为是用户A的正常交易请求并完成了交易处理。然后,用户A在看到交易结果时发现自己并没有进行过该笔交易,但平台却显示交易已经完成。用户A开始抵赖这笔交易,声称自己并没有下单进行交易。由于平台缺少有效的数字签名或认证机制,无法确保交易信息的完整性和真实性,导致了用户A的抵赖事件。

事件影响:

        这样的安全漏洞和抵赖事件会给平台带来财务风险、法律纠纷以及用户信任危机,引发用户对软件来源和数字签名验证的怀疑,影响用户对软件和互联网安全的信心,对平台的经营和声誉造成严重影响。因此,保障交易信息的完整性和真实性非常重要,数字签名等技术可以帮助平台有效防范此类抵赖事件的发生。

2.安全分析

安全问题:

  1. 在第一个案例中,攻击者利用盗取的数字证书对恶意软件进行签名,以信任的身份伪装成合法软件或程序,进而欺骗用户下载执行恶意软件。这会损害用户对数字签名的信任,影响数字签名作为验证软件完整性和可信性的有效工具。
  2. 在第二、第三个案例中,则是完全未使用数字签名技术,仅仅通过“账号+密码”的方式就获得了操作的所有权限,在重要操作节点处(敏感数据的篡改和删除、金钱交易等)未通过数字签名方式再对用户进行认证。

安全目标:在安全分析基础上,应当实现数字签名机制、恶意软件检测以及CA机构对数字签名使用情况的严格监管。

3.方案设计

        在上述方案中,通过Hash函数生成交易信息的消息摘要,客户a随后使用自己的私钥PRa对消息摘要H(M)进行签名:E(PRa,H(M))。再将加密的消息摘要附在消息之后,使用对称密钥K加密:E(K,E(PRa,H(M)||M),在可信信道上传输;经纪人b受到加密信息后,使用K进行解密,得到E(PRa,H(M)||M,随后选择客户公钥PUa解密,得到一串哈希值,同时经纪人使用Hash函数对解密得到的消息M压缩,得到哈希值,再比较两哈希值;若一致,则证明交易内容确实由客户a发送,应当执行交易,若不一致,则存在交易风险,终止交易,并联系客户核实情况。


http://www.ppmy.cn/ops/166224.html

相关文章

C++初阶——类和对象(二)

C初阶——类和对象(二) 本期内容书接上回,继续讨论类和对象相关内容。类和对象属于C初阶部分,主要反映了面向对象编程的三大基本特点之一——封装,在C的学习中占有举足轻重的地位! 一、类对象模型 1.如何…

SEO优先级矩阵:有限资源下的ROI最大化决策模型

SEO优先级矩阵:有限资源下的ROI最大化决策模型 引言 在数字营销领域,搜索引擎优化(SEO)是提升网站流量和转化率的关键策略之一。然而,SEO的实施往往需要投入大量的时间和资源,尤其是在资源有限的情况下&a…

【解决报错】:detected dubious ownership in repository at ‘D:/idea_code/xxx‘问题

解决报错:detected dubious ownership in repository at D:/idea_code/xxx‘问题 git config --global --add safe.directory *原因 这个错误提示表明 Git 检测到仓库的所有权存在问题,仓库的所有者与当前用户不匹配。Git 在 2.35.2 版本之后引入了一个…

.py与.pyw的区别。用pythonw执行pyside6程序有什么好处?

在 Windows 系统中,使用 .pyw 扩展名并通过 pythonw.exe 运行 Python 脚本的主要目的是隐藏控制台窗口,这对于图形界面(GUI)程序尤为重要。以下是详细解释: 1. .py vs .pyw 的核心区别 .py 文件:默认关联到…

Winfrom基础知识41-60

41. 如何实现自定义控件的复杂绘制? 答案: 继承 Control 类并重写 OnPaint 方法,使用 Graphics 对象进行复杂绘制。 示例: public class CustomGraph : Control {protected override void OnPaint(PaintEventArgs e){base.OnPa…

用Python打造AI玩家:挑战2048,谁与争锋

文章目录 一、创作背景 二、效果图 三、准备工作 1. 安装Chrome和Chrome Driver 2. 安装Python库 四、代码说明 ‌1. init_driver 函数‌ 2. play_2048 函数‌ 五、完整代码 六、改进版本 七、主要模块 八、核心算法分析 1. 棋盘状态获取 2. 位置权重系统 3. 连…

【Python办公】Excel通用匹配工具(双表互匹)

目录 专栏导读1、背景介绍2、库的安装3、核心代码4、完整代码总结专栏导读 🌸 欢迎来到Python办公自动化专栏—Python处理办公问题,解放您的双手 🏳️‍🌈 博客主页:请点击——> 一晌小贪欢的博客主页求关注 👍 该系列文章专栏:请点击——>Python办公自动化专…

【CSS】一、基础选择器

文章目录 1、CSS2、CSS的引入方式3、选择器3.1 标签选择器3.2 类选择器3.3 id选择器3.4 通配符选择器 4、练习:画盒子 1、CSS CSS,Cascading Style Sheets,层叠样式表,是一种样式表语言,用于表述HTML的呈现&#xff0…