《應用密碼學》課件13-密鑰管理

1密鑰管理本章主要內(nèi)容密鑰管理簡介密鑰協(xié)商密鑰分配PKI及數(shù)字證書簡介關于密鑰管理密鑰體制的安全應當只取決于密鑰的安全，而不取決于對密碼算法的保密。因此密鑰管理是至關重要的。歷史表明，從密鑰管理的途徑竊取秘密要比單純的破譯所花的代價要小得多。密鑰管理就是在授權各方之間實現(xiàn)密鑰關系的建立和維護的一整套技術和程序。密鑰管理包括了密鑰的產(chǎn)生、存儲、分配、組織、使用、更換和銷毀等一系列技術問題。對稱密碼體制的密鑰管理和非對稱密碼體制的管理是完全不同的。45關于密鑰管理使用前狀態(tài)：密鑰不能用于正常的密碼操作。使用狀態(tài)：密鑰是可用的，并處于正常使用中。使用后狀態(tài)：密鑰不再正常使用，但為了某種目的對其進行離線訪問是可行。過期狀態(tài)：密鑰不再使用，所有的密鑰記錄已被刪除。密鑰管理簡介密鑰生成密鑰的大小與產(chǎn)生機制直接影響密碼系統(tǒng)的安全，所以，對于一個密碼體制，如何產(chǎn)生好的密鑰是很關鍵的，密鑰生成是密鑰生命周期的基礎階段。

1)密鑰的生成一般首先通過密鑰生成器借助于某種噪聲源產(chǎn)生具有較好統(tǒng)計分析特性的序列，以保障生成密鑰的隨機性和不可預測性，然后再對這些序列進行各種隨機性檢驗以確保其具有較好的密碼特性。

2)用戶可以自己生成所需的密鑰，也可以從可信中心或密鑰管理中心申請，密鑰長度要適中。

3)不同的密碼體制，其密鑰的具體生成方法一般是不相同的，與相應的密碼體制或標準相聯(lián)系。

ANSIX9.17

Ri=EDEK1,K2(Vi

EDEK1,K2(DTi)) Vi+1=EDEK1,K2(Ri

EDEK1,K2(DTi))密鑰生成密鑰管理簡介密鑰建立密鑰的建立就是使密鑰安全到達密鑰使用的各實體對象，通常分為密鑰分配和密鑰協(xié)商密鑰存儲密鑰的安全存儲實際上是針對靜態(tài)密鑰的保護對靜態(tài)密鑰的保護常有兩種方法：基于口令的軟保護；文件形式或利用確定算法來生成密鑰。基于硬件的物理保護；存入專門密碼裝置中（存儲型、智能型）。密鑰管理簡介密鑰使用利用密鑰進行正常的密碼操作，如加密、解密、簽名等，通常情況下，密鑰在有效期之內(nèi)都可以使用。應注意使用環(huán)境對密鑰的安全性的影響。密鑰管理簡介密鑰備份：指密鑰處于使用狀態(tài)時的短期存儲，為密鑰的恢復提供密鑰源，要求安全方式存儲密鑰，防止密鑰泄露。密鑰恢復：從備份或存檔中獲取密鑰的過程稱為密鑰恢復。若密鑰喪失但未被泄露，就可以用安全方式從密鑰備份中恢復。密鑰管理簡介密鑰存檔：當密鑰不再正常時，需要對其進行存檔，以便在某種情況下特別需要時（如解決爭議）能夠對其進行檢索。存檔是指對過了有效期的密鑰進行長期的離線保存，密鑰的后運行階段工作.密鑰托管：為政府機構提供了實施法律授權下的監(jiān)聽功能.密鑰管理簡介密鑰更新：在密鑰有效期快結束時，如果需要繼續(xù)使用該密鑰，為保證密鑰的安全性，該密鑰需要由一個新的密鑰來取代，這就是密鑰更新。密鑰更新可以通過再生密鑰取代原有密鑰的方式來實現(xiàn)。密鑰撤銷：若密鑰丟失或在密鑰過期之前，需要將它從正常使用的集合中刪除。密鑰銷毀：對于不再需要使用的密鑰，要將其所有復本銷毀，而不能再出現(xiàn)。一般的層次化的密鑰結構密鑰分級：三級：對數(shù)據(jù)加密的密鑰二級：對三級密鑰加密的密鑰一級：對二級密鑰保護的密鑰密鑰管理方案中的最高級密鑰，用于對二級密鑰進行保護。主密鑰的生存周期很長1用于保護初級密鑰2不能以明文形式保存1用于加解密數(shù)據(jù)的密鑰2初級通信密鑰：一個密鑰只使用一次，生存周期很短3初級文件密鑰：與其所保護的文件有一樣長的生存周期4初級密鑰不能以明文形式保存密鑰管理方案中的最高級密鑰，用于對二級密鑰進行保護。主密鑰的生存周期很長密鑰管理簡介會話密鑰（SessionKey）在一次通信或數(shù)據(jù)交換中，用戶之間所使用的密鑰，是由通信用戶之間進行協(xié)商得到的。它一般是動態(tài)地、僅在需要進行會話數(shù)據(jù)加密時產(chǎn)生，并在使用完畢后立即進行清除掉的，也稱為數(shù)據(jù)加密密鑰(DataEncryptingKey)。密鑰加密密鑰（KeyEncryptingKey）一般是用來對傳輸?shù)臅捗荑€進行加密時采用的密鑰，又稱為二級密鑰(SecondaryKey)。密鑰加密密鑰所保護的對象是實際用來保護通信或文件數(shù)據(jù)的會話密鑰。主密鑰（MasterKey）對應于層次化密鑰結構中的最高層次，它是對密鑰加密密鑰進行加密的密鑰，主密鑰應受到嚴格的保護。會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因為敵手即使獲得一個會話密鑰，也只能獲得很少的密文。但另一方面，會話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時還造成網(wǎng)絡負擔。所以在決定會話密鑰的有效期時，應權衡矛盾的兩個方面。PGP系統(tǒng)中的初級密鑰、二級密鑰和主密鑰

密鑰協(xié)商密鑰協(xié)商是保密通信雙方（或更多方）通過公開信道的通信來共同形成秘密密鑰的過程。一個密鑰協(xié)商方案中，密鑰的值是某個函數(shù)值，其輸入量由兩個成員（或更多方）提供。密鑰協(xié)商的結果是：參與協(xié)商的雙方（或更多方）都將得到相同的密鑰，同時，所得到的密鑰對于其他任何方都是不可知的。DH密鑰協(xié)商協(xié)議Diffie和Hellman離散對數(shù)設p為奇素數(shù)，對于整數(shù)g,1<g<p,使得g?≡1(modp)成立的最小正整數(shù)如果是p-1,則g就是模p的原根。離散對數(shù)問題已知g是模p的原根，對于集合G={gk,k=0,1,2,…p-1}，給定的x,x為整數(shù)，計算y≡gxmodp是容易的，但對于給定的y∈G,x可以表示為x≡loggymodp，當p是一個大素數(shù)的時候，要計算x是困難的。求解x≡loggymodp的問題，稱為離散對數(shù)問題。DH密鑰協(xié)商協(xié)議Alice和Bob協(xié)定使用p=23以及g=5,Alice,Bob分別選擇a=6,b=15,計算共享密鑰k.(1)Alice選擇一個秘密整數(shù)a=6,計算A=gamodp并發(fā)送給Bob。A=56mod23=8.(2)Bob選擇一個秘密整數(shù)b=15,計算B=gbmodp并發(fā)送給Alice。B=515mod23=19.(3)Alice計算k=B

amodp

196mod23=2.(4)Bob計算k=A

bmodp

815mod23=2.用戶C用戶B用戶A中間人攻擊選擇隨機數(shù)x<p計算YA=gxmodp選擇隨機數(shù)y<p計算YB=gymodpYAYc計算K=Yc

y

=gyzmodp計算K=Yc

x

=gxzmodp選擇隨機數(shù)x<p計算Yc=gzmodpYB計算K=YB

z

=gyzmodpYc計算K=YA

z

=gxzmodp無密鑰密鑰分配A希望傳遞密鑰K給B，隨機選取素數(shù)P>K中間人攻擊Ka，PKabKbAB

單鑰系統(tǒng)的密鑰分配方法兩個用戶（主機、進程、應用程序）在用單鑰密碼體制進行保密通信時，首先必須有一個共享的秘密密鑰。兩個用戶A和B獲得共享密鑰的方法：①如果A、B事先已有一密鑰，則其中一方選取新密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方。②如果A和B與第三方C分別有一保密信道，則C為A、B選取密鑰后，分別在兩個保密信道上發(fā)送給A、B。密鑰分配1）密鑰分級管理事先有的密鑰是密鑰加密密鑰，密鑰加密密鑰的分配需要其他機制和體系完成；

2）直接用新分配的密鑰Ks作為下次分配密鑰的共享加密密鑰，（攻擊者獲得一個密鑰就可獲取以后所有的密鑰）C通常被稱為KDC（密鑰分配中心）密鑰分配（1）無中心的密鑰分配KAB為兩個用戶A和B的共享密鑰加密密鑰,A與B建立會話密鑰Ks需經(jīng)過以下3步:①A向B發(fā)出建立會話密鑰的請求和一個一次性隨機數(shù)N1.②B用與A共享的密鑰KAB對應答的消息加密，并發(fā)送給A;應答的消息中有B選取的會話密鑰、B的身份、f(N1)和另一個一次性隨機數(shù)N2.③A使用新建立的會話密鑰KS對f(N2)加密后返回給B.密鑰分配檢查Request、B的身份和f（N1）Request，N1TBTAAB檢查f(N2)A和B共享密鑰KABAKDCB共享密鑰Ka共享密鑰Kb2：EKa[Ks∥IDA∥IDB∥N1∥EKb[Ks∥IDA]]3：EKb[Ks∥IDA]//EKs[M]1：IDA∥IDB∥N1密鑰分配(單向認證協(xié)議)KS：一次性會話密鑰N1：隨機數(shù)Ka,Kb：A與B和KDC的共享密鑰①A→KDC：IDa‖IDb‖N1②KDC→A：EKa[KS‖IDb‖N1‖EKb[KS‖IDA]]③A→B：EKb[KS‖IDa]‖EKs[M]（2）有中心的密鑰分配（簡化Kerberos協(xié)議）用戶A與KDC有共享的密鑰KA，用戶B與KDC有共享的密鑰KB；A與B建立會話密鑰Ks，需要經(jīng)過下列5個步驟：密鑰分配（雙向認證）密鑰分配檢查Request和N1Request，N1TBT2AB檢查f(N1)KDCTAB檢查A的身份T1檢查f(N2)A和C共享密鑰KAB和C共享密鑰KB①A向KDC發(fā)出會話密鑰請求：Request||N1

第1項是A和B的身份，第2項是這次業(yè)務的惟一識別符N1，稱N1為一次性隨機數(shù)，可以是時戳、計數(shù)器或隨機數(shù)。密鑰分配每次請求所用的N1都應不同，且為防止假冒，應使敵手對N1難以猜測②KDC為A的請求發(fā)出應答EKA(Ks||Request||N1||EKB(Ks||IDA||N1))消息中包括A希望得到的兩項內(nèi)容：一次性會話密鑰KS；

A在①中發(fā)出的請求；隨機數(shù)N1

消息中還有B希望得到的兩項內(nèi)容：一次性會話密鑰KS；A的身份（例如A的網(wǎng)絡地址）IDA。密鑰分配這兩項由KB加密，將由A轉發(fā)給B，以建立A、B之間的連接并用于向B證明A的身份。應答是由KA加密的消息，因此只有A才能成功地對這一消息解密。A能驗證自己發(fā)出的請求在被KDC收到之前，是否被他人篡改。而且A還能根據(jù)一次性隨機數(shù)相信自己收到的應答不是重放的過去的應答。③A存儲會話密鑰，并向B轉發(fā)EKB(KS‖IDA||N1).密鑰分配B收到后，可得會話密鑰KS，并從IDA可知另一方是A，而且還從EKB知道KS的確來自KDC轉發(fā)的是由KB加密后的密文，所以轉發(fā)過程不會被竊聽④B用會話密鑰KS加密另一個隨機數(shù)N2，并將加密結果EKs(N2)發(fā)送給A.⑤A以f(N2)作為對B的應答，其中f是對N2進行某種變換的函數(shù)，并將應答用會話密鑰加密后EKs(f(N2))發(fā)送給B。

密鑰分配這兩步可使B相信第③步收到的消息不是一個重放第③步就已完成密鑰分配，第④、⑤兩步結合第③步執(zhí)行的是認證功能。網(wǎng)絡中如果用戶數(shù)目非常多而且分布的地域非常廣，一個KDC就無法承擔為用戶分配密鑰的重任。問題的解決方法是使用多個KDC的分層結構。同一范圍的用戶在進行保密通信時，由本地KDC為他們分配密鑰。兩個不同范圍的用戶想獲得共享密鑰，則可通過各自的本地KDC，而兩個本地KDC的溝通又需經(jīng)過一個全局KDC。密鑰分配

公鑰系統(tǒng)的密鑰分配（1）利用公鑰加密算法的密鑰分配①A把自己的身份IDA和公鑰證書發(fā)送給B。②B用A的公開鑰PKA加密隨機選取的會話密鑰Ks，發(fā)送EPKA(Ks)給A。只有A能解讀②中的加密消息，所以B發(fā)來的消息中N1的存在可使A相信對方的確是B。密鑰分配密鑰分配PKA,IDA,N1TBAB檢查N1中人攻擊ABIDAPKAksPKAAB中間人CIDAPKAIDAPKCksPKCksPKA具有保密性和認證的分配方法①A用B的公鑰加密A的身份和一個一次性隨機數(shù)N1后發(fā)送給B；②B解密得到N1，并用A的公鑰加密N1和另外一個隨機數(shù)N2發(fā)送給A；③A用B的公鑰加密N2后發(fā)送給B；④A選擇一個會話密鑰Ks，用A的私鑰加密后再用B的公鑰加密，發(fā)送給B，B用A的公鑰和B的私鑰解密得Ks。中間人攻擊1.在公鑰體制中，每一用戶U都有自己的公開鑰PKU

和秘密鑰SKU

。如果任意兩個用戶A、B按以下方式通信，A發(fā)給B消息(EPKB(m),A)，B收到后，自動向A返回消息(EPKA(m),B)以通知A，B確實收到報文m，

1)問用戶C怎樣通過攻擊手段獲取報文m？

2)若通信格式變?yōu)椋?/p>

A發(fā)給B消息:EPKB（ESKA（m）,m,A）

B向A返回消息：EPKA(ESKB(m),m,B)

這時的安全性如何？作業(yè)AB中間人CMPKB(M),

CMPKB（M）,

AMPKC(M),

CMPKA(M),

B第二種方案，采用了數(shù)字簽名，中間人截獲消息，沒法偽造簽名作業(yè)2采用DH密鑰協(xié)商協(xié)議，素數(shù)q=97,Y=5A和B分別選擇隨機數(shù)a=36和b=58求A，B共享密鑰K解:DH密鑰協(xié)商，共享密鑰K實際就等于K=Yab(mod97)=536*58(mod97)=596*21+72(mod97)=572(mod97)72=1001000(模重復平方或者平方剩余）52(mod97)=25252(mod97)=43432(mod97)=66*5(mod97)=30302(mod97)=27272(mod97)=50502(mod97)=75改進DH密鑰協(xié)商協(xié)議SKA（A,B）SKB（B,A）45補充資料公鑰基礎設施PKI公鑰證書、證書管理機構、證書管理系統(tǒng)、圍繞證書服務的各種軟硬件設備以及相應的法律基礎共同組成公開密鑰基礎設施PKI。PKI是一種標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務所必須的密鑰和證書管理。美國是最早(1996)推動PKI建設的國家。1998年中國的電信行業(yè)建立了我國第一個行業(yè)CA，此后金融、工商、外貿(mào)、海關和一些省市也建立了自己的行業(yè)CA或地方CA。PKI基本組件證書庫密鑰服務器證書頒發(fā)機構CA注冊認證機構RAPKI的邏輯結構PKI應用證書發(fā)布系統(tǒng)注冊機構RA證書機構CA軟硬件系統(tǒng)PKI策略數(shù)字證書

CA是PKI在實際應用中受信任的第三方實體CA是網(wǎng)絡應用信任的起點CA可以向企業(yè)、個人、網(wǎng)絡設備等需要表明和驗證身份的實體頒發(fā)數(shù)字證書CertificateAuthority證書證書頒發(fā)機構（CA）RA是驗證和注冊實體實際信息的權威機構；

用于在證書申請過程中注冊和核實數(shù)字證書申請者的身份；

是CA的重要組成部分。國密標準中規(guī)定的RA功能：

身份注冊、名稱指定信息審核、提交請求證書下載、傳遞密鑰對注冊權威機構（RA）RA注冊用戶使用用戶CA公開服務CA中心信任體系結構對于一個小范圍的系統(tǒng)，由CA兼管RA的職能也是可以的。但隨著用戶的增多，CA與RA應當職責分開。申請證書的方式：在線的：WEB瀏覽器方式離線的數(shù)字證書的生命周期密鑰產(chǎn)生證書簽發(fā)Bob密鑰使用Bob證書檢驗密鑰過期密鑰更新證書管理8.證書響應7.證書請求4.注冊建立請求5.注冊建立結果6.注冊結果3.注冊表格提交2.注冊表格應答終端實體RACA1.注冊表格請求（一）證書注冊與發(fā)布申請人提交證書請求；RA對證書請求進行審核；CA生成證書；下載并安裝證書；證書發(fā)布.證書庫9.證書發(fā)布（二）證書的存放使用IC卡存放直接存放在磁盤或自己的終端上USBKey證書庫證書管理（三）證書撤銷當條件（雇傭關系結束、證書中信息修改等）要求證書的有效期在證書結束日期之前終止；或者要求用戶與私鑰分離時（私鑰可能以某種方式泄露），證書被撤銷。2.證書撤銷響應1.證書撤銷請求2.證書撤銷響應1.證書撤銷請求RACA帶外請求終端實體證書庫3.撤銷發(fā)布證書管理證書撤銷列表發(fā)布者名字簽名算法標識更新時間被撤銷的證書的列表證書序列號撤銷時間證書序列號撤銷時間：：簽名證書撤銷列表（CRL）會無限增加嗎？證書管理（四）證書狀態(tài)查詢定期下載證書撤銷列表（CRL）；在線證書狀態(tài)協(xié)議OCSP（OnlineCertificateStatusProtocol），其目的為了克服基于CRL的撤銷方案的局限性，為證書狀態(tài)查詢提供即時的最新響應。OCSP使用證書序列號、CA名稱和公開密鑰的散列值作為關鍵字查詢目標的證書。證書管理（五）證書驗證在證書撤銷列表（CRL）中查詢確認該證書是否被CA撤銷；檢測證書擁有者是否為預期的用戶；檢查證書的有效期，確保該證書是否有效；檢查該證書的預期用途是否符合CA在該證書中指定的所有策略限制；使用CA證書公鑰和算法驗證終端實體證書簽名有效性。證書管理（六）證書的更新下列情況需更新最終實體證書原證書過期；一些屬性的改變；實體要求發(fā)放新證書（如密鑰可能泄露）

CA簽名密鑰更新證書管理PKI案例電子稅務網(wǎng)上銀行網(wǎng)上證券案例CA認證：中國金融認證中心中國金融認證中心（ChinaFinancialCertificationAuthority，簡稱CFCA），是由中國人民銀行牽頭，聯(lián)合中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中信實業(yè)銀行、光大銀行、招商銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、民生銀行、福建興業(yè)銀行、上海