密钥管理.pdf

计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 信息安全技术信息安全技术信息安全技术信息安全技术 密钥管理密钥管理密钥管理密钥管理 主讲人 裴士辉 e mail shihui pei 主讲人 裴士辉 e mail shihui pei 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥管理密钥管理密钥管理密钥管理 所有的密码技术都依赖于密钥 所有的密码技术都依赖于密钥 密钥的管理本身是一个很复杂的课题 而且 是保证安全性的关键点 密钥的管理本身是一个很复杂的课题 而且 是保证安全性的关键点 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥类型密钥类型密钥类型密钥类型 基本密钥 基本密钥 Base Key 又称初始密钥 又称初始密钥 Primary Key 用户密钥 用户密钥 User key 是由用户选定或由系统分配给用户的 可在较长时间 相对于会话密钥 内由一个用户所专用的密钥 是由用户选定或由系统分配给用户的 可在较长时间 相对于会话密钥 内由一个用户所专用的密钥 会话密钥 会话密钥 Session Key 即两个通信终端用户在一次通话或交换数据时使 用的密钥 即两个通信终端用户在一次通话或交换数据时使 用的密钥 文件密钥文件密钥 File key 用于加密文件 用于加密文件 数据加密密钥数据加密密钥 Data Encrypting Key 用于加 密数据 用于加 密数据 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥类型密钥类型密钥类型密钥类型 密钥加密密钥 密钥加密密钥 Key Encrypting Key 用于对会话密钥或文件密钥进行加密时采用的密 钥 又称辅助 二级 密钥 用于对会话密钥或文件密钥进行加密时采用的密 钥 又称辅助 二级 密钥 SecondaryKey 或密 钥传送密钥 或密 钥传送密钥 key Transport key 通信网中的每 个节点都分配有一个这类密钥 通信网中的每 个节点都分配有一个这类密钥 主机主密钥 主机主密钥 Host Master Key 它是对密钥加密密钥进行加密的密钥 存于主机 中 它是对密钥加密密钥进行加密的密钥 存于主机 中 在公钥体制下 还有公开密钥 秘密密钥 签名 密钥之分 在公钥体制下 还有公开密钥 秘密密钥 签名 密钥之分 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥类型密钥类型密钥类型密钥类型 将用于数据加密的密钥称将用于数据加密的密钥称三级密钥三级密钥 保护三级密钥的密钥称保护三级密钥的密钥称二级密钥二级密钥 也称密钥加密 密钥 也称密钥加密 密钥 保护二级密钥的密钥称保护二级密钥的密钥称一级密钥一级密钥 也称密钥保护 密钥 也称密钥保护 密钥 例如 如用口令保护二级密钥 那么口令就是一 级密钥 例如 如用口令保护二级密钥 那么口令就是一 级密钥 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥使用的单一性准则密钥使用的单一性准则密钥使用的单一性准则密钥使用的单一性准则 通常一个密钥只用于单一的用途通常一个密钥只用于单一的用途 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 所有的密钥都有生存期所有的密钥都有生存期所有的密钥都有生存期所有的密钥都有生存期 密钥的生存周期 授权使用该密钥的周期 密钥的生存周期 授权使用该密钥的周期 原因 原因 1 1 拥有大量的密文有助于密码分析 一个密钥使用得太 多了 会给攻击者增大收集密文的机会 拥有大量的密文有助于密码分析 一个密钥使用得太 多了 会给攻击者增大收集密文的机会 2 2 假定一个密钥受到危及或用一个特定密钥的加密 解 密过程被分析 则限定密钥的使用期限就相当于限制 危险的发生 假定一个密钥受到危及或用一个特定密钥的加密 解 密过程被分析 则限定密钥的使用期限就相当于限制 危险的发生 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥的生存期密钥的生存期密钥的生存期密钥的生存期 一个密钥主要经历以下几个阶段 一个密钥主要经历以下几个阶段 1 1 产生 可能需要登记 产生 可能需要登记 2 2 分配分配 3 3 使用使用 4 4 更新 替换更新 替换 5 5 撤销撤销 6 6 销毁销毁 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥生成密钥生成 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 加密算法和密钥长度的选择加密算法和密钥长度的选择加密算法和密钥长度的选择加密算法和密钥长度的选择 Bits of security Symmetric key algorithms FFC e g DSA D H IFC e g RSA ECC e g ECDSA 80 2TDEA19 L 1024 N 160 k 1024 f 160 223 112 3TDEA L 2048 N 224 k 2048 f 224 255 128 AES 128 L 3072 N 256 k 3072 f 256 383 192 AES 192 L 7680 N 384 k 7680 f 384 511 256 AES 256 L 15360 N 512 k 15360 f 512 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 推荐的算法和最小密钥长度推荐的算法和最小密钥长度推荐的算法和最小密钥长度推荐的算法和最小密钥长度 Algorithm security lifetimes Symmetric key algorithms Encryption N 160 Min k 1024 Min f 160 Through 2030 min of 112 bits of strength 3TDEA AES 128 AES 192 AES 256 Min L 2048 N 224 Min k 2048 Min f 224 Beyond 2030 min of 128 bits of strength AES 128 AES 192 AES 256 Min L 3072 N 256 Min k 3072 Min f 256 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥产生密钥产生密钥产生密钥产生 手工手工 自动化自动化 选择密钥方式不当会影响安全性选择密钥方式不当会影响安全性 使密钥空间减小使密钥空间减小 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 差的选择方式易受字典式攻击 攻击者并不按照数字顺序去试所有可能的密钥 首先尝试可 能的密钥 例如英文单词 名字等 Daniel Klein使用 此法可破译40 的计算机口令 方法如下 1 用户的姓名 首字母 帐户名等个人信息 2 从各种数据库得到的单词 3 数据库单词的置换 4 数据库单词的大写置换 5 对外国人从外国文字试起 6 尝试词组 差的选择方式易受字典式攻击 攻击者并不按照数字顺序去试所有可能的密钥 首先尝试可 能的密钥 例如英文单词 名字等 Daniel Klein使用 此法可破译40 的计算机口令 方法如下 1 用户的姓名 首字母 帐户名等个人信息 2 从各种数据库得到的单词 3 数据库单词的置换 4 数据库单词的大写置换 5 对外国人从外国文字试起 6 尝试词组 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 好的密钥的特点好的密钥的特点好的密钥的特点好的密钥的特点 真正的随机真正的随机 避免使用特定算法的弱密钥避免使用特定算法的弱密钥 双钥系统的密钥必须满足一定的关系双钥系统的密钥必须满足一定的关系 选用易记难猜的密钥选用易记难猜的密钥 较长短语的首字母 词组用标点符号分开较长短语的首字母 词组用标点符号分开 采用散列函数采用散列函数 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 不同等级的密钥的产生方式不同不同等级的密钥的产生方式不同不同等级的密钥的产生方式不同不同等级的密钥的产生方式不同 主机主密钥安全性至关重要 故要保证其完全随机性 不可重复性和不可预测性 可用投硬币 骰子 噪声发 生器等方法产生 主机主密钥安全性至关重要 故要保证其完全随机性 不可重复性和不可预测性 可用投硬币 骰子 噪声发 生器等方法产生 密钥加密密钥数量大 N N 1 2 可由机器自动产生 安 全算法 伪随机数发生器等产生 密钥加密密钥数量大 N N 1 2 可由机器自动产生 安 全算法 伪随机数发生器等产生 会话密钥可利用密钥加密密钥及某种算法 加密算法 单 向函数等 产生 会话密钥可利用密钥加密密钥及某种算法 加密算法 单 向函数等 产生 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 随机数生成器随机数生成器随机数生成器随机数生成器 Random number generators RNGs Deterministic Random bit Generators DRBGs deterministic random number generators or pseudorandom number generators 通过加密算法来生成随机位通过加密算法来生成随机位 Non Deterministic Random Bit Generators NRBGs true RNGs 通过不可预测的物理源来生成随机位通过不可预测的物理源来生成随机位 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 物理的方法构建RNGS物理的方法构建RNGS物理的方法构建RNGS物理的方法构建RNGS 早期的方法有掷骰子 投硬币 转轮盘 早期的方法有掷骰子 投硬币 转轮盘 根据量子力学的原理 基于随机的原子或亚原子物理现 象构建 根据量子力学的原理 基于随机的原子或亚原子物理现 象构建RNGS RNGS radioactive decay thermal noise shot noise avalanche noise in Zener diodes clock drift the timing of actual movements of a hard disk read write head and radio noise In 2010 Kanter et al at Bar Ilan University created a physical random bit generator that operates at a rate of 300 gigabits per second the fastest thus far created 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 物理的方法构建RNGS物理的方法构建RNGS物理的方法构建RNGS物理的方法构建RNGS 对一些随机的视频流的图像进行hash运算 如对 lava lamp 对一些随机的视频流的图像进行hash运算 如对 lava lamp or Astro lampAstro lamp 的图像进行处理的图像进行处理 利用一些生物特性构建RNGS利用一些生物特性构建RNGS 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 X9 17密钥产生X9 17密钥产生X9 17密钥产生X9 17密钥产生 其中加密其中加密E EK K X X 表示用密钥对X进行三重DES加密 表示用密钥对X进行三重DES加密 K K是密钥 V 是密钥 V0 0是秘密的64位种子 T是时间标记 R是秘密的64位种子 T是时间标记 Ri i是预产生的随机密钥 是预产生的随机密钥 ikkii RE E TV 1 ikkii VEE TR 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 对RNGS的统计测试对RNGS的统计测试对RNGS的统计测试对RNGS的统计测试 The first tests for random numbers were published by M G Kendall and Bernard Babington Smith in the Journal of the Royal Statistical Society in 1938 一些测试方法 一些测试方法 frequency test serial test poker test gap test In 1995 the statistician George Marsaglia created a set of tests known as the diehard tests which he distributes with a CD ROM of 5 billion pseudorandom numbers 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 Good RNGsGood RNGs Turing Award winner in 2000 Andrew Chi Chih Yao 姚期智姚期智 Contributions Theory of computation Complexity Theory of RNGs 1946 If there is no practical way to predict the next bit of an RNG with more than 50 chance the RNG will pass all statistical tests 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 使用伪随机数产生器应注意的问题使用伪随机数产生器应注意的问题使用伪随机数产生器应注意的问题使用伪随机数产生器应注意的问题 基于 历 史 先例 PRNG的种子通常是参照系统 时钟生成的 这个想法是使用系统时间的某一点 来作为种子 这意味着如果能算出生成器什么时 间发生 那么就可以知道由生成器生成的每一个 值 可见 用时钟播种的伪随机数 所有结果不 是不可预测的 如果想要安全性 必须为数字生 成器播种一个真正的随机数 基于 历 史 先例 PRNG的种子通常是参照系统 时钟生成的 这个想法是使用系统时间的某一点 来作为种子 这意味着如果能算出生成器什么时 间发生 那么就可以知道由生成器生成的每一个 值 可见 用时钟播种的伪随机数 所有结果不 是不可预测的 如果想要安全性 必须为数字生 成器播种一个真正的随机数 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 在线赌博中欺骗在线赌博中欺骗在线赌博中欺骗在线赌博中欺骗 Reliable Software Technologies RST 的软件安全性组最 近在 的软件安全性组最 近在 Texas Hold em Poker 由 由 ASF 软件公司发行的实 现中发现了一系列缺陷 这个揭秘允许欺骗性的玩家可 以实时计算每人手中确切的牌 这意味着 使用这个揭 秘的玩家可以知道每个对家手中的牌和将要发出的牌 软件公司发行的实 现中发现了一系列缺陷 这个揭秘允许欺骗性的玩家可 以实时计算每人手中确切的牌 这意味着 使用这个揭 秘的玩家可以知道每个对家手中的牌和将要发出的牌 调用调用 randomize 来在每副牌生成前生成一副随机牌 这 个实现是用 来在每副牌生成前生成一副随机牌 这 个实现是用 Delphi 4 一种 一种 Pascal IDE 构建的 随机 数生成器的种子是按照系统时钟 用午夜后的毫秒数选 取的 这意味着随机数生成器的输出是容易预测的 构建的 随机 数生成器的种子是按照系统时钟 用午夜后的毫秒数选 取的 这意味着随机数生成器的输出是容易预测的 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 Texas Hold em Poker的一系列缺陷Texas Hold em Poker的一系列缺陷Texas Hold em Poker的一系列缺陷Texas Hold em Poker的一系列缺陷 在实际的纸牌中 有 52 大约是 2 在实际的纸牌中 有 52 大约是 2 226226 种可能的 不 同的洗牌顺序 种可能的 不 同的洗牌顺序 32 位的随机数生成器的种子必须是 32 位数字 这意味 者只有刚刚超过 40 亿个的可能的种子 远远少于 52 32 位的随机数生成器的种子必须是 32 位数字 这意味 者只有刚刚超过 40 亿个的可能的种子 远远少于 52 基于午夜后的毫秒数挑选种子 一天之内只有 86 400 000 个毫秒 86 400 000 远远少于 40 亿 基于午夜后的毫秒数挑选种子 一天之内只有 86 400 000 个毫秒 86 400 000 远远少于 40 亿 将攻击程序与生成伪随机数的服务器上的系统时钟同 步 使得可能组合的数量减少到大约 200 000 种可能性 将攻击程序与生成伪随机数的服务器上的系统时钟同 步 使得可能组合的数量减少到大约 200 000 种可能性 发现这个薄弱环节的 RST 开发的工具需要知道纸牌中的 五张牌 基于这五张牌 程序从几十万个可能的洗牌方 法中搜索并推出最优匹配 在 Texas Hold em Poker 情形中 这意味着程序将欺骗性玩家手中的两张牌作为 输入 再加上三个玩家的第一张翻开的牌 发牌 发现这个薄弱环节的 RST 开发的工具需要知道纸牌中的 五张牌 基于这五张牌 程序从几十万个可能的洗牌方 法中搜索并推出最优匹配 在 Texas Hold em Poker 情形中 这意味着程序将欺骗性玩家手中的两张牌作为 输入 再加上三个玩家的第一张翻开的牌 发牌 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥交换密钥交换 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 密钥交换密钥交换密钥交换密钥交换 主密钥的分配方式主密钥的分配方式 Diffie Hellman算法Diffie Hellman算法 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 主密钥的分配方式主密钥的分配方式主密钥的分配方式主密钥的分配方式 利用安全信道实现利用安全信道实现 1 1 直接面议或通过可靠信使递送直接面议或通过可靠信使递送 2 2 将密钥分拆成几部分分别传送将密钥分拆成几部分分别传送 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 Diffie Hellman算法Diffie Hellman算法Diffie Hellman算法Diffie Hellman算法 Alice和和Bob协商一个大素数协商一个大素数n和模和模n的本原元的本原元g n和和g 不用保密 不用保密 1 Alice选取一个大的随机整数选取一个大的随机整数x 并且发送给并且发送给Bob X gx mod n 2 Bob选取一个大的随机整数选取一个大的随机整数y 并且发送给并且发送给Alice Y gy mod n 3 Alice计算计算k Yx mod n gxy mod n 4 Bob 计算计算k Xy mod n gxy mod n 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 站间协议站间协议站间协议站间协议 协议假定协议假定Alice和和Bob彼此有对方的公开密钥证书彼此有对方的公开密钥证书 1 Alice产生随机数产生随机数x 并把并把X gx mod n 发送给发送给Bob 2 Bob产生随机数产生随机数y 计算计算k Xy mod n gxy mod n 并发送给 并发送给 Alice如下消息 如下消息 Y gy mod n Ek Sskb X Y 3 Alice也计算也计算k 她对她对Bob发送的消息解密 并验证他的签名 然后发送给 发送的消息解密 并验证他的签名 然后发送给Bob如下消息 如下消息 Ek Sska X Y 4 Bob解密消息并验证解密消息并验证Alice的签名的签名 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 秘密分割秘密分割 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 秘密分割秘密分割秘密分割秘密分割 在某些情况下 通常必须由两人或多人 同时参与才能生效 这时都需要将秘 密分给多人掌管 并且必须有一定人 数的掌管秘密的人同时到场才能恢复 这一秘密 在某些情况下 通常必须由两人或多人 同时参与才能生效 这时都需要将秘 密分给多人掌管 并且必须有一定人 数的掌管秘密的人同时到场才能恢复 这一秘密 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 秘密分割门限方案秘密分割门限方案秘密分割门限方案秘密分割门限方案 threshold schemes 设秘密s被分成n个部分信息 每一部分信息称为一 个子密钥或影子 由一个参与者持有 使得 由k个或多于k个参与者所持有的部分信息可重构 s 由少于k个参与者所持有的部分信息则无法重构s 则称这种方案为 k n 秘密分割门限方案 k称为 方案的门限值 threshold schemes 设秘密s被分成n个部分信息 每一部分信息称为一 个子密钥或影子 由一个参与者持有 使得 由k个或多于k个参与者所持有的部分信息可重构 s 由少于k个参与者所持有的部分信息则无法重构s 则称这种方案为 k n 秘密分割门限方案 k称为 方案的门限值 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 Shamir门限方案Shamir门限方案Shamir门限方案Shamir门限方案 Shamir门限方案是基于多项式的Lagrange插值公式 的 设 x Shamir门限方案是基于多项式的Lagrange插值公式 的 设 x1 1 y y1 1 x xk k y yk k 是平面上k个点构成的点 集 其中x 是平面上k个点构成的点 集 其中xi i i 1 i 1 k 均不相同 那么在平面上存在一个惟一的k 1次多项式f x 通过 这k个点 若把密钥s取作f 0 n个子密钥取作 f x k 均不相同 那么在平面上存在一个惟一的k 1次多项式f x 通过 这k个点 若把密钥s取作f 0 n个子密钥取作 f xi i i 1 2 i 1 2 n 那么利用其中的任意k个子密钥可重构f x 从而可 得密钥s n 那么利用其中的任意k个子密钥可重构f x 从而可 得密钥s 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 Shamir门限方案 秘密的分割Shamir门限方案 秘密的分割Shamir门限方案 秘密的分割Shamir门限方案 秘密的分割 设设GF q 是一有限域 其中是一有限域 其中q是一大素数 满足 是一大素数 满足 q n 1 秘密秘密s是在是在GF q 0 上均匀选取的一个随 机数 表示为 上均匀选取的一个随 机数 表示为s R GF q 0 k 1个系数个系数a1 a2 ak 1的选取也满足的选取也满足 ai R GF q 0 i 1 2 k 1 在在GF q 上构造一个上构造一个k 1次多项式次多项式 f x s a1 x ak 1 xk 1 n个参与者记为个参与者记为P1 P2 Pn Pi 分配到的子密钥为分配到的子密钥为f i 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 Shamir门限方案 秘密的重建Shamir门限方案 秘密的重建Shamir门限方案 秘密的重建Shamir门限方案 秘密的重建 如果任意k个参与者 要想得到多项式f x 和秘密s 如果任意k个参与者 要想得到多项式f x 和秘密s 1 12 1 k iik PPiiin 1 11 1 mod kk k l j jl jl lj i sf iq ii 11 mod kk l j jl jl lj xi f xf iq ii 信息安全技术信息安全技术信息安全技术信息安全技术 计算机科学与技术学院计算机科学与技术学院 计算机科学与技术学院计算机科学与技术学院 例5 1例5 1例5 1例5 1 设设k 3 n 5