信息安全原理與技術(shù) 課件 ch04-公鑰密碼技術(shù)

信息安全原理與技術(shù)第3版第4章公鑰密碼技術(shù)主要知識點：

--公鑰密碼體制

--RSA密碼

--ElGamal密碼

--橢圓曲線密碼

--SM2

--公鑰分配

--利用公鑰密碼分配對稱密鑰

--Diffie-Hellman密鑰交換2024/4/5Ch1-公鑰密碼技術(shù)2公鑰密碼技術(shù)是為了解決對稱密碼技術(shù)中最難解決的兩個問題而提出的一是對稱密碼技術(shù)的密鑰分配問題二是對稱密碼不能實現(xiàn)數(shù)字簽名Diffie和Hellmna于1976年在《密碼學(xué)的新方向》中首次提出了公鑰密碼的觀點，標(biāo)志著公鑰密碼學(xué)研究的開始1977年由Rviest，Shmair和Adlmena提出了第一個比較完善的公鑰密碼算法，即RSA算法。從那時候起，人們基于不同的計算問題提出了大量的公鑰密碼算法2024/4/5Ch1-公鑰密碼技術(shù)3公鑰密碼體制

公鑰密碼體制（Public-KeyCryptosystem）也稱非對稱密碼體制(AsymmetricCryptosystem)或者雙鑰密碼體制(Two-KeyCryptosystem)公鑰密碼算法是基于數(shù)學(xué)函數(shù)（如單向陷門函數(shù)）而不是基于代換和置換公鑰密碼是非對稱的，它使用兩個獨立的密鑰，即公鑰和私鑰，任何一個都可以用來加密，另一個用來解密公鑰可以被任何人知道，用于加密消息以及驗證簽名；私鑰僅僅自己知道的，用于解密消息和簽名加密和解密會使用兩把不同的密鑰，因此稱為非對稱2024/4/5Ch1-公鑰密碼技術(shù)4一個公鑰密碼體制有6個部分構(gòu)成：明文，加密算法，公鑰和私鑰，密文，解密算法可以構(gòu)成兩種基本的模型：加密模型和認(rèn)證模型在加密模型中，發(fā)送方用接收方的公鑰作為加密密鑰，用接收方私鑰作解密密鑰，由于該私鑰只有接收方擁有，因此即只有接收者才能解密密文得到明文在認(rèn)證模型中，發(fā)送方用自己的私鑰對消息進(jìn)行變換，產(chǎn)生簽名。接收者用發(fā)送者的公鑰對簽名進(jìn)行驗證以確定簽名是否有效。只有擁有私鑰的發(fā)送者才能對消息產(chǎn)生有效的簽名，任何人均可以用簽名人的公鑰來檢驗該簽名的有效性2024/4/5Ch1-公鑰密碼技術(shù)5消息加密算法解密算法消息MMC攻擊者接收方B發(fā)送方A密鑰源PRBPUB圖4.1公鑰加密模型2024/4/5Ch1-公鑰密碼技術(shù)6消息加密算法解密算法消息MMC攻擊者接收方B發(fā)送方A密鑰源PUAPRA圖4.2公鑰認(rèn)證模型2024/4/5Ch1-公鑰密碼技術(shù)7消息加密算法解密算法消息MXC接收方B發(fā)送方A密鑰源PUAPRA圖4.3公鑰密碼體制的保密和認(rèn)證加密算法X解密算法M密鑰源PRBPUB2024/4/5Ch1-公鑰密碼技術(shù)8公鑰密碼系統(tǒng)滿足的要求同一算法用于加密和解密，但加密和解密使用不同的密鑰。兩個密鑰中的任何一個都可用來加密，另一個用來解密，加密和解密次序可以交換。產(chǎn)生一對密鑰（公鑰和私鑰）在計算上是可行的。已知公鑰和明文，產(chǎn)生密文在計算上是容易的。接收方利用私鑰來解密密文在計算上是可行的。僅根據(jù)密碼算法和公鑰來確定私鑰在計算上不可行。已知公鑰和密文，在不知道私鑰的情況下，恢復(fù)明文在計算上是不可行的。2024/4/5Ch1-公鑰密碼技術(shù)9上面要求的實質(zhì)是要找一個單向陷門函數(shù)單向函數(shù)指計算函數(shù)值是容易的，而計算函數(shù)的逆是不可行的陷門單向函數(shù)則存在一個附加信息，當(dāng)不知道該附加信息時，求函數(shù)逆是困難的，但當(dāng)知道該附加信息時，求函數(shù)逆就變得容易了陷門單向函數(shù)在附加信息未知時是單向函數(shù)，而當(dāng)附加信息已知時，就不再是單向函數(shù)了通常把附加信息稱為陷門信息，陷門信息作為私鑰，公鑰密碼體制就是基于這一原理而設(shè)計的其安全強(qiáng)度取決于它所依據(jù)的問題的計算復(fù)雜度。2024/4/5Ch1-公鑰密碼技術(shù)10公鑰密碼分析

和對稱密碼體制一樣，如果密鑰太短，公鑰密碼體制也易受到窮舉搜索攻擊但公鑰密碼體制所使用的可逆函數(shù)的計算復(fù)雜性與密鑰長度是比線性函數(shù)增大更快函數(shù)。密鑰長度太大又會使得加密和解密運算太慢而不實用目前提出的公鑰密碼體制的密鑰長度已經(jīng)足夠抵抗窮舉攻擊，但也使它加密和解密速度變慢，因此公鑰密碼體制一般用于加密小數(shù)據(jù)，如會話鑰，目前主要用于密鑰管理和數(shù)字簽字。對公鑰密碼算法的第二種攻擊是從公鑰計算出私鑰。目前為止，還沒有在數(shù)學(xué)上證明這個方面是不可行的。2024/4/5Ch1-公鑰密碼技術(shù)11RSA密碼

RSA算法是1977年由Rivest、Shamir、Adleman提出的非常著名的公鑰密碼算法它是基于大合數(shù)的質(zhì)因子分解問題的困難性RSA算法是一種分組密碼，明文和密文是0到n-1之間的整數(shù)，通常n的大小為1024位二進(jìn)制數(shù)或309位十進(jìn)制數(shù).2024/4/5Ch1-公鑰密碼技術(shù)12算法描述

1.密鑰的產(chǎn)生

隨機(jī)選擇兩個大素數(shù)p,q

計算n=p×q計算秘密的歐拉函數(shù)

(n)=(p-1)(q-1)選擇e使得1<e<

(n)，且gcd(e,

(n))=1解下列方程求出d

ed

≡1mod

(n)，且0≤d≤n

公開公鑰：PU={e,N}保存私鑰：PR={d,p,q}2024/4/5Ch1-公鑰密碼技術(shù)132.加密過程加密時明文以分組為單位進(jìn)行加密，每個分組m的二進(jìn)制值均小于n，對明文分組m作加密運算：c=memodn,且0≤m<n3．解密過程密文解密m=cd

modn

4.簽名過程計算簽名s=mdmodn5．簽名驗證過程簽名驗證m=se

modn2024/4/5Ch1-公鑰密碼技術(shù)14例4.1選擇素數(shù)：p=47和q=71。計算n=pq

=47×71=3337，

(n)=(p–1)(q-1)=46×70=3220。選擇e：使gcd(e,3220)=1，選取e=79；決定d：de≡1mod3220，得d=1019公開公鑰

{79,3337}，保存私鑰{1019,47,71}；假設(shè)消息為M=6882326879666683，進(jìn)行分組，分組的位數(shù)比n要小，我們選取M1=688，M2=232，M3=687，M4=966，M5=668，M6=003。M1的密文為C1=68879mod3337=1570，繼續(xù)進(jìn)行類似計算，可得到最終密文為

C=1570275620912276158解密時計算M1=15701019mod3337=688，類似可以求出其他明文。2024/4/5Ch1-公鑰密碼技術(shù)15RSA算法的安全性

RSA密碼體制的安全性是基于分解大整數(shù)的困難性假設(shè)RSA算法的加密函數(shù)c=memodn是一個單向函數(shù)，所以對于攻擊者來說，試圖解密密文是計算上不可行的對于接收方解密密文的陷門是分解n=pq，由于接收方知道這個分解，他可以計算

(n)=(p-1)(q-1)，然后用擴(kuò)展歐幾里德算法來計算解密私鑰d。對RSA算法的攻擊有下面幾個方法：窮舉攻擊，數(shù)學(xué)攻擊，選擇密文攻擊，公共模數(shù)攻擊，計時攻擊

2024/4/5Ch1-公鑰密碼技術(shù)16最基本的攻擊是窮舉攻擊，也就是嘗試所有可能的私鑰數(shù)學(xué)攻擊的實質(zhì)是試圖對兩個素數(shù)乘積的分解計時攻擊也可以用于對RSA算法的攻擊。計時攻擊是攻擊者通過監(jiān)視系統(tǒng)解密消息所花費的時間來確定私鑰。時間攻擊方式比較獨特，它是一種只用到密文的攻擊方式2024/4/5Ch1-公鑰密碼技術(shù)17ElGamal密碼

ElGamal是1985年由T.EIGamal提出的一個著名的公鑰密碼算法該算法既能用于數(shù)據(jù)加密也能用于數(shù)字簽名其安全性是依賴于計算有限域上離散對數(shù)這一難題2024/4/5Ch1-公鑰密碼技術(shù)181.密鑰產(chǎn)生任選一個大素數(shù)p，使得p-1有大素因子，g是模p的一個本原根，公開p與g。使用者任選一私鑰x，x∈[0,p-1]計算公鑰公開公鑰：y,p,g保密私鑰：x2024/4/5Ch1-公鑰密碼技術(shù)192.加密過程對于明文m，選取一個r，r∈[0,p-1]計算則密文為3.解密過程先計算再計算出明文2024/4/5Ch1-公鑰密碼技術(shù)204.簽名過程假設(shè)對消息m簽名，任選一個隨機(jī)數(shù)k，使k∈[0,p-1]計算簽名為(5)簽名驗證過程

2024/4/5Ch1-公鑰密碼技術(shù)21需要說明的是，為了避免選擇密文攻擊，ElGamal是對消息m的hash值進(jìn)行簽名，而不是對m簽名與RSA方法比較，ElGamal方法具有以下優(yōu)點：(1)系統(tǒng)不需要保存秘密參數(shù)，所有的系統(tǒng)參數(shù)均可公開；(2)同一個明文在不同的時間由相同加密者加密會產(chǎn)生不同的密文但ElGamal方法的計算復(fù)雜度比RSA方法要大。2024/4/5Ch1-公鑰密碼技術(shù)22橢圓曲線密碼

大多數(shù)公鑰密碼系統(tǒng)都使用具有非常大數(shù)目的整數(shù)或多項式，計算量大人們發(fā)現(xiàn)橢圓曲線是克服此困難的一個強(qiáng)有力的工具橢圓曲線密碼體制(Ellipticcurvecryptosystem,ECC)的依據(jù)是定義在橢圓曲線點群上的離散對數(shù)問題的難解性橢圓曲線系統(tǒng)第一次應(yīng)用于密碼學(xué)上是于1985年由Koblitz與Miller分別提出兩個較著名的橢圓曲線密碼系統(tǒng)；一是利用ElGamal的加密法，二是Menezes-Vanstone的加密法2024/4/5Ch1-公鑰密碼技術(shù)23橢圓曲線的定義

在實數(shù)系中，橢圓曲線可定義成所有滿足方程E:y2=x3+ax

+b的點(x,y)所構(gòu)成的集合若x3+ax

+b沒有重復(fù)的因式或4a3+27b2≠0，則E:y2=x3+ax

+b能定義成為一個群橢圓曲線是連續(xù)的，并不適合用于加密必須把橢圓曲線變成離散的點，即將橢圓曲線定義在有限域上密碼學(xué)中關(guān)心的是有限域上的橢圓曲線

2024/4/5Ch1-公鑰密碼技術(shù)24橢圓曲線密碼體制中使用的變元和系數(shù)均為有限域中元素的橢圓曲線密碼應(yīng)用中所使用的兩類橢圓曲線是定義在素域Zp上的素曲線(primecurve)和在GF(2m)上構(gòu)造的二元曲線對于素域Zp上的素曲線，我們使用三次方程，其中的變量和系數(shù)在集合{0,1,2,…,p-1}上取值，運算為模p運算對于在GF(2m))上的二元曲線，變量和系數(shù)在GF(2m)內(nèi)取值，且運算為GF(2m)里的運算2024/4/5Ch1-公鑰密碼技術(shù)25密碼系統(tǒng)在素域Zp或者GF(2m)下定義為橢圓曲線E:y2=x3+ax

+b，其中4a3+27b2≠0，a和b是小于p(p為素數(shù))的非負(fù)數(shù)。在GF(2m)下定義為橢圓曲線E:y2+xy=x3+ax

+b，其中b≠0，2024/4/5Ch1-公鑰密碼技術(shù)26橢圓曲線有一個特殊的點，記為O，它并不在橢圓曲線上，此點稱為無限遠(yuǎn)的點或零點用E(K)表示在K上橢圓曲線E所有的點所構(gòu)成的集合，如E(Zp)表示在素域Zp上橢圓曲線E所有的點所構(gòu)成的集合，而E(GF(2m))則表示在GF(2m)上橢圓曲線E所有的點所構(gòu)成的集合橢圓曲線上的所有點E(K)集合通過定義一個加法運算，滿足一定的運算規(guī)則可以構(gòu)成一個Abel群點P=（x,y）對X坐標(biāo)軸反射的點為-P=（x,-y），而稱-P為點P的負(fù)點。若nP=O，且n為最小的正整數(shù)，則n為橢圓曲線E上點的階除了無限遠(yuǎn)的點O之外，橢圓曲線E上任何可以生成所有點的點都可視為是E的生成數(shù)(generator)2024/4/5Ch1-公鑰密碼技術(shù)27橢圓曲線上的兩個相異的點相加與雙倍(doubling)的點P的幾何含義如下。兩個相異的點相加：假設(shè)P和Q是橢圓曲線上兩個相異的點，而且P不等于-Q。若P+Q=R，則點R是經(jīng)過P、Q兩點的直線與橢圓曲線相交的唯一交點的負(fù)點。如圖4.5所示。雙倍的點P：令P+P=2P，則點2P是經(jīng)過P的切線與橢圓曲線相交之唯一交點的負(fù)點。如圖所示。2024/4/5Ch1-公鑰密碼技術(shù)28兩個相異點相加和雙倍點

2024/4/5Ch1-公鑰密碼技術(shù)29橢圓曲線運算規(guī)則

1.橢圓曲線在素域Zp上的運算規(guī)則說明一點，在橢圓曲線運算中，大寫參數(shù)表示點，小寫參數(shù)表示數(shù)值。加法規(guī)則：

2024/4/5Ch1-公鑰密碼技術(shù)30其中乘法規(guī)則：2024/4/5Ch1-公鑰密碼技術(shù)31橢圓曲線在GF(2m)上的運算規(guī)則

加法規(guī)則：

2024/4/5Ch1-公鑰密碼技術(shù)32乘法規(guī)則：2024/4/5Ch1-公鑰密碼技術(shù)33橢圓曲線密碼算法橢圓曲線上所有的點外加一個叫做無窮遠(yuǎn)點的特殊點構(gòu)成的集合，連同一個定義的加法運算構(gòu)成一個Abel群在等式kP

=P+P+…+P=Q中，已知k和點P求點Q比較容易，反之已知點Q和點P求k卻是相當(dāng)困難的，這個問題稱為橢圓曲線上點群的離散對數(shù)問題(EllipticCurveDiscreteLogarithmProblem,ECDLP)橢圓曲線密碼算法正是利用這個困難問題而設(shè)計的2024/4/5Ch1-公鑰密碼技術(shù)34ElGamal的橢圓曲線密碼算法

(1)密鑰產(chǎn)生假設(shè)系統(tǒng)公開參數(shù)為一個橢圓曲線E及模數(shù)p。使用者執(zhí)行：任選一個整數(shù)k，任選一個點，并計算公鑰為，私鑰為k。2024/4/5Ch1-公鑰密碼技術(shù)35(2) 加密過程令明文M為E上的一點。首先任選一個整數(shù)，然后計算密文密文為兩個點。(3) 解密過程計算明文2024/4/5Ch1-公鑰密碼技術(shù)36Menezes-Vanstone橢圓曲線密碼算法

Menezes-Vanstone橢圓曲線密碼算法是效率比較高的橢圓曲線加密法其明文沒有限制一定要落于橢圓曲線E上2024/4/5Ch1-公鑰密碼技術(shù)372024/4/5Ch1-公鑰密碼技術(shù)38橢圓曲線密碼的性能

橢圓曲線密碼體制的安全性是建立在橢圓曲線離散對數(shù)的數(shù)學(xué)難題之上橢圓曲線離散對數(shù)問題被公認(rèn)為要比整數(shù)分解問題(RSA方法的基礎(chǔ))和模p離散對數(shù)問題(DSA算法的基礎(chǔ))難解得多目前解橢圓曲線上的離散對數(shù)問題的最好算法是Pollardrho方法，其計算復(fù)雜度上是完全指數(shù)級的，而目前對于一般情況下的因數(shù)分解的最好算法的時間復(fù)雜度是亞指數(shù)級的ECC算法在安全強(qiáng)度、加密速度以及存儲空間方面都有巨大的優(yōu)勢。如161位的ECC算法的安全強(qiáng)度相當(dāng)于RSA算法1024位的強(qiáng)度2024/4/5Ch1-公鑰密碼技術(shù)39SM2SM2是國家商用密碼管理局于2010年12月17日發(fā)布的公鑰算法。它是基于橢圓曲線點群上的離散對數(shù)問題的難解性。一個合適的橢圓曲線應(yīng)具有的性質(zhì)為：

--有限域上橢圓曲線在點加運算下構(gòu)成有限交換群，且其階與基域規(guī)模相近；

--類似于有限域乘法群中的乘冪運算，橢圓曲線多倍點運算構(gòu)成一個單向函數(shù)。在多倍點運算中，已知多倍點與基點，求解倍數(shù)的問題稱為橢圓曲線離散對數(shù)問題。

2024/4/5Ch1-公鑰密碼技術(shù)40SM2公鑰算法選擇素域Fp的橢圓曲線。素域Fp的特征為：p是奇素數(shù)p，素域中的元素用整數(shù)0,1,2，···，p?1表示。a)加法單位元是整數(shù)0；b)乘法單位元是整數(shù)1；c)域元素的加法是整數(shù)的模p加法，即若a，b∈Fp，則a+b

=(a+b)modp；d)域元素的乘法是整數(shù)的模p乘法，即若a，b∈Fp，則a·b=(a·b)modp。

SM2推薦素域Fp(p是大于3的素數(shù))上的橢圓曲線方程為：y2=x3+ax+b，a，b∈Fp，且(4a3+27b2)modp≠0。有限域上的橢圓曲線E(Fp)定義為：

E(Fq)={(x，y)|x，y∈Fp，且滿足上式}∪{O}，其中O是無窮遠(yuǎn)點。2024/4/5Ch1-公鑰密碼技術(shù)41橢圓曲線E(Fp)上的點的數(shù)目用#E(Fq)表示，稱為橢圓曲線E(Fp)的階。有限域Fq上的橢圓曲線是由點組成的集合。在仿射坐標(biāo)系下，橢圓曲線上點P(非無窮遠(yuǎn)點)的坐標(biāo)表示為P=(xP，yP)，其中xP，yP為滿足一定方程的域元素，分別稱為點P的x坐標(biāo)和y坐標(biāo)。

2024/4/5Ch1-公鑰密碼技術(shù)42SM2密鑰對生成輸入：一個有效的Fq(q

=p且p為大于3的素數(shù)，或q=2m)上橢圓曲線系統(tǒng)參數(shù)的集合。輸出：與橢圓曲線系統(tǒng)參數(shù)相關(guān)的一個密鑰對(d，P)。a)用隨機(jī)數(shù)發(fā)生器產(chǎn)生整數(shù)d∈

[1，n?2]；b)G為基點，計算點P=(xP，yP)=[d]G；c)密鑰對是(d，P)，其中d為私鑰，P為公鑰。其中[d]G表示橢圓曲線上點G的d倍點

2024/4/5Ch1-公鑰密碼技術(shù)43公鑰的驗證

輸入：一個有效的Fp(p>3且p為素數(shù))上橢圓曲線系統(tǒng)參數(shù)集合及一個相關(guān)的公鑰P。輸出：對于給定的橢圓曲線系統(tǒng)參數(shù)，若公鑰P是有效的，則輸出“有效”；否則輸出“無效”。a)驗證P不是無窮遠(yuǎn)點O；b)驗證公鑰P的坐標(biāo)xP和yP是域Fp中的元素；(即驗證xP和yP是區(qū)間[0;p?1]中的整數(shù)。)

c)驗證；

d)驗證[n]P=O；

e)如果通過了所有驗證，則輸出“有效”；否則輸出“無效”。2024/4/5Ch1-公鑰密碼技術(shù)44加密算法設(shè)需要發(fā)送的消息為比特串M，klen為M的比特長度。對明文M進(jìn)行加密運算步驟如下：A1：用隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)k∈[1,n-1]；A2：計算橢圓曲線點C1=[k]G=(x1,y1)，將C1的數(shù)據(jù)類型轉(zhuǎn)換為比特串；A3：計算橢圓曲線點S=[h]PB，若S是無窮遠(yuǎn)點，則報錯并退出；A4：計算橢圓曲線點[k]PB=(x2,y2)，將坐標(biāo)x2、y2

的數(shù)據(jù)類型轉(zhuǎn)換為比特串；A5：計算t=KDF(x2||y2,klen)，若t為全0比特串，則返回A1；A6：計算C2=M⊕t；A7：計算C3=Hash(x2||M||y2)；A8：輸出密文C=C1||C2||C3。

2024/4/5Ch1-公鑰密碼技術(shù)45解密算法

klen為密文中C2的比特長度。對密文C=C1||C2||C3

進(jìn)行解密的運算步驟如下：B1：從C中取出比特串C1，將C1的數(shù)據(jù)類型轉(zhuǎn)換為橢圓曲線上的點，驗證C1是否滿足橢圓曲線方程，若不滿足則報錯并退出；B2：計算橢圓曲線點S=[h]C1，若S是無窮遠(yuǎn)點，則報錯并退出；B3：計算[dB]C1=(x2,y2)，將坐標(biāo)x2、y2的數(shù)據(jù)類型轉(zhuǎn)換為比特串；B4：計算t=KDF(x2||y2,klen)，若t為全0比特串，則報錯并退出；B5：從C中取出比特串C2，計算M′=C2⊕t；B6：計算u=Hash(x2||M′||y2)，從C中取出比特串C3，若u≠C3，則報錯并退出；B7：輸出明文M′。2024/4/5Ch1-公鑰密碼技術(shù)46公鑰分配公鑰密碼體制的密鑰分配與對稱密碼體制的密鑰分配有著本質(zhì)的差別對稱密碼體制的密鑰分配中必須同時確保密鑰的秘密性、真實性和完整性公開密鑰密碼體制中有兩個密鑰，私鑰由自己保管，不需要進(jìn)行分配公鑰密碼體制不需要保證公鑰的秘密性,只需確保公鑰的真實性和完整性，這樣就能保證公鑰沒有被攻擊者替換或篡改公鑰的分配方法可歸納為四種：公開發(fā)布、公用目錄表、公鑰授權(quán)和公鑰證書。2024/4/5Ch1-公鑰密碼技術(shù)47公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給其他用戶，或廣播給某一團(tuán)體這種方法雖然簡單，但有一個較大的缺點，即任何人都可偽造這種公開發(fā)布如果某個用戶假裝是用戶A并以A的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在A發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所有意欲發(fā)向A的加密消息，而且假冒者還能用偽造的密鑰獲得認(rèn)證。2024/4/5Ch1-公鑰密碼技術(shù)48公用目錄表公用目錄表指一個公用的公鑰動態(tài)目錄表公用目錄表的建立、維護(hù)以及公鑰的分布由某個可信的實體或組織承擔(dān)，稱這個實體或組織為公用目錄的管理員與第一種分配方法相比，這種方法的安全性更高該方法有以下一些組成部分：(1)管理員為每個用戶在目錄表中建立一個目錄，目錄中有兩個數(shù)據(jù)項：一是用戶名，二是用戶的公開鑰。2024/4/5Ch1-公鑰密碼技術(shù)49(2)每一用戶都親自或以某種安全的認(rèn)證通信在管理者那里為自己的公開鑰注冊。(3)用戶可以隨時用新密鑰替換現(xiàn)有的密鑰。這可能由于自己的公鑰用過的次數(shù)太多或由于與公鑰相關(guān)的私鑰已泄漏。(4)管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。(5)用戶可通過電子手段訪問目錄表。此時，從管理員到用戶必須有安全的認(rèn)證通信。這種方案的安全性明顯高于公開發(fā)布的安全性，但仍易受到攻擊。如果敵手成功地獲得管理員的私人密鑰，就可偽造一個公鑰目錄表，以后既可以假冒任一用戶又可以監(jiān)聽發(fā)往任一用戶的消息。2024/4/5Ch1-公鑰密碼技術(shù)50公鑰授權(quán)與公用目錄表類似，假定有一個公鑰管理機(jī)構(gòu)來為用戶建立、維護(hù)動態(tài)的公鑰目錄但同時對系統(tǒng)提出以下要求，即：每個用戶都可靠地知道管理機(jī)構(gòu)的公鑰，而只有管理機(jī)構(gòu)自己知道相應(yīng)的私鑰圖4.7是典型的公鑰分配方案，在這個分配方案中完成了兩個功能，一是獲得需要的公鑰；二是雙方相互認(rèn)證2024/4/5Ch1-公鑰密碼技術(shù)512024/4/5Ch1-公鑰密碼技術(shù)52公鑰證書公鑰授權(quán)中的管理機(jī)構(gòu)有可能成為系統(tǒng)的瓶頸，而且由管理機(jī)構(gòu)維護(hù)的公鑰目錄表也易被攻擊者篡改。分配公鑰的另一方法是公鑰證書用戶通過交換公鑰證書來互相交換自己的公鑰公鑰證書類似人們使用的紙類證書，如駕駛執(zhí)照、畢業(yè)證等，兩者都包括擁有者的屬性，可以驗證證書一般由第三方發(fā)行，這個第三方稱為證書權(quán)威中心（certificateauthority,CA）。證書由CA