密鑰分配與密鑰管理

1、 建立安全的密碼系統(tǒng)要解決的一個賴手的 問題就是密鑰的管理問題。即使密碼體制 的算法是計算上的安全，如果缺乏對密鑰 的管理，那么整個系統(tǒng)仍然是脆弱的。 問題的提出 （1）密鑰管理量的困難）密鑰管理量的困難傳統(tǒng)密鑰管理：兩兩分別用一對密鑰時，則傳統(tǒng)密鑰管理：兩兩分別用一對密鑰時，則n個用戶需要個用戶需要C(n,2)=n(n-1)/2個密鑰，當用個密鑰，當用戶量增大時，密鑰空間急劇增大。如戶量增大時，密鑰空間急劇增大。如: n=100 時，時， C(100,2)=4,995 n=5000時，時， C(500,2)=12,497,50 （2）數(shù)字簽名的問題）數(shù)字簽名的問題 傳統(tǒng)加密算法無法實現(xiàn)抗抵賴

2、的需求。傳統(tǒng)加密算法無法實現(xiàn)抗抵賴的需求。 從理論上說，密鑰也是數(shù)據(jù)，不過它是用來加密其它數(shù)據(jù)的數(shù)據(jù)，因此，在密碼學的研究中，不妨把密鑰數(shù)據(jù)與一般數(shù)據(jù)區(qū)分開來。在設計密碼系統(tǒng)時，對于密鑰必須考慮以下問題： 1.系統(tǒng)的那些地方要用到密鑰，它們是如何設置和安裝在這些地方. 2.密鑰預計使用期限是多長，每隔多久需要更換一次密鑰。 3.密鑰在系統(tǒng)的什么地方。 4.如何對密鑰進行嚴格的保護。 為了產(chǎn)生可靠的總體安全設計，對于不同 的密鑰應用場合，應當規(guī)定不同類型的密鑰，所以根據(jù)密鑰使用場合的不同，可以把密鑰分成不同的等級。 通常把密鑰分為兩大類型，即數(shù)據(jù)加密密鑰和密鑰加密密鑰。 密鑰又可分為： 主密鑰主

3、密鑰：對現(xiàn)有的密鑰或存儲在主機中 的密鑰加密，加密對象為初級密鑰和二 級密鑰。 初級密鑰初級密鑰：用來保護數(shù)據(jù)的密鑰。它也 叫數(shù)據(jù)加密/解密密鑰.初級密鑰用來進 行通訊保護時，叫做通訊密鑰。用來保 護文件時叫做文件密鑰。 二級密鑰：它是用來加密保護初級密鑰的密鑰。 密鑰保護的基本原則： 密鑰永遠不可以以明文的形式出現(xiàn)在密碼裝置 之外。 密碼裝置是一種保密工具，即可以是硬件，也可以是軟件。保密通信雙方需共享密鑰共享密鑰要經(jīng)常更換分配方式： A選擇密鑰并手工傳遞給B 第三方C選擇密鑰分別手工傳遞給A,B 用A,B原有共享密鑰傳送新密鑰 與A,B分別有共享密鑰的第三方C傳送 新密鑰給A和/或BlN個

4、用戶集需要N(N-1)/2個共享密鑰 對稱密碼體制的主要商業(yè)應用起始于八十年代早期，特別是在銀行系統(tǒng)中，采納了DES標準和銀行工業(yè)標準ANSI數(shù)據(jù)加密算法,實際上，這兩個標準所采用的算法是一致的。 隨著DES的廣泛應用帶來了一些研究話題，比如如何管理DES密鑰。從而導致了ANSI X9.17標準的發(fā)展，該標準于1985年完成，是有關金融機構密鑰管理的一個標準。 金融機構密鑰管理需要通過一個多級層次密鑰機構來實現(xiàn)。 ANSI X9.17三層密鑰層次結構： 1）主密鑰（KKMs），通過手工分配； 2）密鑰加密密鑰（KKs），通過在線分 配； 3）數(shù)據(jù)密鑰（KDs）。 KKMs保護KKs的傳輸，用K

5、Ks保護KDs的傳輸。 主密鑰是通信雙方長期建立密鑰關系的基礎，是用戶和密鑰分配中心的共享密鑰。 用主密鑰對所有初級密鑰加密，使它們在密碼裝 置之外也受到保護。 象這樣用一個密鑰保護許多其他密鑰的方法，在密碼學中叫主密鑰原理。 它從本質(zhì)上把保護大量密鑰的問題，簡化成了集中保護和使用一個密鑰問題。 這實際上也是數(shù)據(jù)加密思想的進一步深化。從原則上說，數(shù)據(jù)加密就是把保護大量數(shù)據(jù)的問題簡化為保護和使用少量數(shù)據(jù)的問題。 利用安全信道實現(xiàn)（1）直接面議或通過可靠信使遞送（2）將密鑰分拆成幾部分分別傳送 k1 k2 k3 k4 k5 k1 k2 k3 k4 k5 發(fā)送方 分解密鑰 接收方 組合密鑰 K1 K

6、2 K3 K4 K5 信使 掛號信 特快專遞 電話 信鴿 名稱特點優(yōu)點缺點適用范圍靜態(tài)分配 是一種由中心以脫線方式預分配的技術，是“面對面”的分發(fā)，安全性好，是長期沿用的傳統(tǒng)密鑰管理技術必須解決密鑰的存儲技術 靜態(tài)分發(fā)只能以集中式機制存在 動態(tài)分配 是“請求分發(fā)”的在線分發(fā)技術 需要有專門的協(xié)議的支持 有中心和無中心的機制都可以采用 一個有n個用戶的系統(tǒng)，需實現(xiàn)兩兩之間通信 n個用戶，需要n(n-1)/2個共享密鑰對稱密鑰配置 非對稱密鑰配置用戶1 K1-2,K1-3,K1-nn個用戶公鑰，用戶1自己私鑰用戶2 K2-1, K2-3,K2-n n個用戶公鑰，用戶2自己私鑰用戶n Kn-1,Kn

7、-2,Kn-n-1 n個用戶公鑰，用戶n自己私鑰 中心化的密鑰管理方式，由一個可信賴的聯(lián)機服務器作為密鑰分配中心（KDC）或密鑰轉(zhuǎn)遞中心（KTC）（a） A B KTC K K K A B KTC K K A B KDC K K A B KTC K K （b）密鑰分發(fā)中心(Key Distribution Center)l每個用戶與KDC有共享密鑰(Master Key)lN個用戶，KDC只需分發(fā)N個Master Keyl兩個用戶間通信用會話密鑰(Session Key)用戶必須信任KDCKDC能解密用戶間通信的內(nèi)容KS：一次性會話密鑰N1,N2：隨機數(shù)KA,KB：A與B和KDC的共享密鑰f：

8、某種函數(shù)變換4. )|(|Re|1AsKsKIDKENquestKEBAKDCAB1. Request|N1|AsKIDKEB2NESK5. )(2NfESK2.3. 用戶數(shù)目很多并且分布地域很廣，一個用戶數(shù)目很多并且分布地域很廣，一個KDCKDC無法承無法承擔，需要采用多個擔，需要采用多個KDCKDC的分層結構。的分層結構。 本地本地KDCKDC為本地用戶分配密鑰。為本地用戶分配密鑰。 不同區(qū)域內(nèi)的不同區(qū)域內(nèi)的KDCKDC通過全局通過全局KDCKDC溝通。溝通。 有有KDCKDC時，要求所有用戶信任時，要求所有用戶信任KDCKDC，并且要求對，并且要求對KDCKDC加以保護。加以保護。 無無

9、KDCKDC時沒有這種限制，但是只適用于用戶少的場時沒有這種限制，但是只適用于用戶少的場合合AB1. Request|N12. |)(|Re|21NNfIDquestKEBsKAB3. )(2NfESK用戶用戶A A和和B B建立會話密鑰的過程建立會話密鑰的過程 根據(jù)用途不同分為根據(jù)用途不同分為會話密鑰（數(shù)據(jù)加密密鑰）會話密鑰（數(shù)據(jù)加密密鑰）主密鑰（密鑰加密密鑰），安全性高于主密鑰（密鑰加密密鑰），安全性高于會話密鑰會話密鑰根據(jù)用途不同對密鑰使用加以控制根據(jù)用途不同對密鑰使用加以控制 用于用于DESDES的密鑰控制，的密鑰控制，8 8個校驗位作為密鑰個校驗位作為密鑰標簽標簽 1 1比特表示這個

10、密鑰是會話密鑰還是主密鑰比特表示這個密鑰是會話密鑰還是主密鑰1 1比特表示這個密鑰能否用于加密比特表示這個密鑰能否用于加密1 1比特表示這個密鑰能否用于解密比特表示這個密鑰能否用于解密其余比特保留其余比特保留 對每一密鑰指定相應對每一密鑰指定相應的控制矢量，分為若的控制矢量，分為若干字段，說明在不同干字段，說明在不同情況下是否能夠使用情況下是否能夠使用 有有KDCKDC產(chǎn)生加密密鑰產(chǎn)生加密密鑰時加在密鑰之中時加在密鑰之中 h h為為hashhash函數(shù)，函數(shù)，K Kmm是主是主密鑰，密鑰，K KS S為會話密鑰為會話密鑰 控制矢量控制矢量CVCV明文發(fā)送明文發(fā)送)(outKSSHKoutmin

11、KDKKEKHKKCVhHinm優(yōu)點：優(yōu)點：1.CV1.CV長度沒有限制長度沒有限制2.CV2.CV以明文形式存在以明文形式存在兩方面內(nèi)容：公鑰密碼體制中所使用的公鑰的分配；使用公鑰分配對稱加密體制的密鑰。 用戶將自己的公鑰發(fā)給每一個其他用戶 方法簡單，但沒有認證性，因為任何人 都可以偽造這種公開發(fā)布 公用的公鑰動態(tài)目錄表，目錄表的建立、維護以及公鑰的分布由可信的實體和組 織承擔。 每一用戶都親自或以某種安全的認證通 信在管理者處為自己的公開密鑰注冊。 用戶可以隨時替換自己的密鑰。 管理員定期公布或定期更新目錄。 用戶可以通過電子手段訪問目錄。 公鑰管理機構為用戶建立維護動態(tài)的公鑰目錄。 每個

12、用戶知道管理機構的公開鑰。 只有管理機構知道自己的秘密鑰。公鑰管理機構AB1.Request|Time12.|Re|1TimequestPKEBSKAU3.|1NIDEAPKB6.|21NNEAPK4.Request|Time25.|Re|2TimequestPKEASKAU7.2NEBPK 用戶通過公鑰證書交換各自公鑰，無須與公鑰管理機構聯(lián)系 公鑰證書由證書管理機構CA（Certificate Authority）為用戶建立。 證書的形式為 T-時間，PKA-A的公鑰，IDAA的身份，SKCACA的私鑰 時戳T保證證書的新鮮性，防止重放舊證書。,AASKAPKIDTECCACA的計算機用戶的

13、計算機產(chǎn)生密鑰姓名秘密鑰公開鑰CA的公開鑰CA的秘密鑰簽字證書SPKKEEAB1.PKA|IDA2.SPKKEA簡單分配易受到主動攻擊AB攻擊者E1.PKA|IDA2.PKE|IDA3.4.SPKKEASPKKEE具有保密性和認證性的密鑰分配AB2.|21NNEAPK3.2NEBPK4.SSKPKKEEAB1.|1APKIDNEB aU aV用戶U選擇一隨機數(shù)aU，計算用戶V選擇一隨機數(shù)aV，計算生成的會話密鑰為KmodaUuYpmodaVvYpmodaUvK YpmodaVuK YpDiffie-Hellman密鑰交換協(xié)議密鑰交換協(xié)議:雙方選擇素數(shù)雙方選擇素數(shù)p以及以及p的一個原根的一個原根

14、 U隨機選擇隨機選擇aU Zp,計算計算 aU mod p并發(fā)給并發(fā)給VV隨機選擇隨機選擇aV Zp,計算計算 aV mod p并發(fā)給并發(fā)給UU計算計算( aV mod p)aU mod p = aUaV mod pV計算計算( aU mod p)aV mod p = aUaV mod p雙方獲得共享密鑰雙方獲得共享密鑰( aUaV mod p)這個協(xié)議可以被中間人攻擊這個協(xié)議可以被中間人攻擊 Diffie-Hellman密鑰交換攻擊中間人攻擊圖示中間人攻擊圖示ABK = aXaXoOK = aXbXo 中間人攻擊中間人攻擊1 雙方選擇素數(shù)雙方選擇素數(shù)p以及以及p的一個原根的一個原根a(假定假

15、定O知道知道)2 A選擇選擇Xap,計算計算Ya=aXa mod p, AB: Ya3 O截獲截獲Ya,選選Xo,計算計算Yo=aXo mod p,冒充冒充AB:Yo4 B選擇選擇Xb0 231 a 乘數(shù) 0am a=75=16807 c 增量 0 cm X0 種子 0 X0m 線性同余偽隨機數(shù)缺乏不可預測性 循環(huán)加密 DES輸出反饋方式 ANSI X.917 偽隨機數(shù)產(chǎn)生器 Blum Blum Shub(BBS)產(chǎn)生器 ANSI X9.17Ri=EDEK1,K2(ViEDEK1,K2(DTi)Vi+1= EDEK1,K2(RiEDEK1,K2(DTi) 首先選擇兩個大素數(shù)p,q pq 3(m

16、od4) 選擇s與n互素 通過了“下一位”測試(next-bit test) 不存在多項式時間的算法使得在已知前 k位的情況下預測出第k+1位的概率大 于0.5。 BBS的安全性同樣基于分解n的難度。2021mod1() modmod 2iiiiXsnforitoXXnBX 在導彈控制、重要場所通行檢驗等情況， 通常必須由兩個或多個人同時參與才能 生效，這時都需要將秘密分給多個人， 掌管秘密的人同時到場才能恢復這一秘 密。由此，引入門限方案的一般概念。 定義：設秘密s被分成n個部分信息，每一部分 稱為一個子密鑰，由參與者持有，使得：n 由k個或多于k個參與者所持有的部分信息可重構s。n 由少于

17、k個參與者所持有的部分信息則無法重構s。n 則稱這種方案為（k,n）秘密分割門限n 方案，k稱為方案的門限值，參與者的集1. 合稱為授權子集。 若一個秘密分割方案，由少于k個參與者所持有的部分信息得不到秘密s的任何信息，則稱該方案是完善的。兩種最具代表性的秘密分割門限方案。n Shamir門限方案1. AsmuthBloom方案Shamir門限方案n 隨機選擇一個有限域 上的 次的多項式 ，其中 。計算 n 并發(fā)送給參與者 。1. 每一參與者接收到 后，任何t個參與者一起利用 ，利用Lagrange插值法構造多項式：( )GF q(0)fs( ,)|1, kkii skt ( )if isiP

18、is1t 計算 可得秘密s。 (0)fs11()( )( )(mod )()kkljjljlljxif xf iqii10( )tkkifxa x例1 設k=3,n=5,q=19,s=11，隨機選取a1=2,a2=7，得多項式為f(x)=(7x2+2x+11) mod 19分別計算f(1)=(7+2+11) mod 19=20 mod19=1f(2)=(28+4+11) mod 19=43 mod19=5f(3)=(63+6+11) mod 19=80 mod19=4f(4)=(112+8+11) mod 19=131 mod19=17f(5)=(175+10+11) mod 19=196 mod19=6得5個子密鑰。 如果知道其中的3個子密鑰f(2)=5,f(3)=4,f(5)=6，就可按以下方式重構f(x)： 22653536259623 mod19835 172523 mod1926188296 mod197211f xxxxxxxxxxxxxxxxx 從而得秘密為s=11。