双证书体系ppt.ppt

双证书体系 高能 2 提纲 为什么会有双证书体系双证书流程双证书的实现和使用密钥管理机构的系统功能双证书体系的讨论中国电子签名法以及相关规定 3 回顾 从技术上而言 每个人有1个证书 PKI就可以很好支持如下服务机密性完整性非否认真实性 认证从法律法规 政府管理方面而言 对于以上安全服务 又是如何考虑 是否与PKI有冲突 或者特殊的要求 机密性 4 政府的需要 政府希望有监听通信的能力机密性不能滥用不是对每个人 每次通信都监听重要的是 有监听的 能力 想要监听的时候 就能够监听监控犯罪分子 执法需要 取证例如 传言 未经证实 三去车仑工力使用PGP通信基地组织的网站使用SSL TLS 5 机密性 对称加密 对称密码体系下的机密性对称密码的大规模使用需要KeyDistributionCenter KDC要参与密钥协商 只要控制了KDC 就能够解密通信通信双方如果要自主地 安全地协商密钥 代价也比较大双方要自主地建立安全信道 代价较大人工地交换密钥 也会被政府机构发现政府的控制比较容易 控制KDC进入公钥时代 机密性更容易获得同时 也因为计算技术的发展 6 PKI使得机密性更容易获得 公钥密码大规模地使用公钥密码 需要PKI CAPKI用户进行机密性通信时 并不需要CA的参与CA并不知道订户的私钥机密性是由通信双方控制的 权威第三方不知道同时 因为计算技术的发展加解密不再需要专门的加密机普通的PC 软件程序就能够有高速率的加密总之 机密性更加容易获得自然 政府的监控 也就更难 7 关于机密性的控制 一直以来 政府都认为需要控制机密性的使用在对称加密时代著名美国国家标准DES算法 密钥长度56bit基于Lucifer算法改进 Lucifer的密钥长度是128bit美国国家安全局NSA NationalSecurityAgency 的坚持 越改越短 甚至于有人认为 在DES设计之初 NSA就已经有足够的能力破解DES以及后来的KeyEscrow计划流产了 8 KeyEscrow KeyEscrow美国加密算法的Key 不是加密设备自己生成的 而是由托管机构代为生成的 生成后导入加密设备如果证据表明 是利用密码在进行危及国家安全和违反法律规定的事 经法院许可 政府可从托管机构取来密钥 监听通信托管机构是否可信 美国的KeyEscrow遭到很多人的反对 9 中国对于机密性的控制 商用密码管理条例 商用密码 是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品 个人通信自然也在此列商用密码产品由国家密码管理机构指定的单位生产 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品 不得使用自行研制的或者境外生产的密码产品 下载并使用国外软件 是否有问题 商用密码产品的用户不得转让其使用的商用密码产品 10 从对称加密时代进入PKI 在对称加密时代 政府希望对机密性进行合理的监控进入PKI后 机密性更加容易获得 机密性应用更加广泛也是因为计算技术的发展因为人人都能得到机密性 合理的监控更迫切政府迫切需要一种控制方法 11 可能的控制方法 阻止PKI的使用 NO潮流所趋木已成舟 PKI已经开始使用难以禁止其他方面的安全服务例如 电子签名 电子交易 也需要PKI的支持 不能禁止让PKI仅仅支持其他方面的安全服务 不支持机密性 NORSA算法 可同时用于加密和签名 12 类似于KeyEscrow的方法 要求PKI支持类似KeyEscrow的功能政府部门可以在必要的时候 解密订户的秘密通信PKI的机密性服务的过程 如下 Alice通过证书拿到Bob的公钥生成随机的SessionKey 加密数据用Bob公钥加密SessionKey发给Bob只有Bob的私钥可以解密那么 掌握了Bob的私钥 就可以解密通信所以 政府必须控制私钥的生成 存储从什么地方控制 13 控制订户私钥的生成 在PKI大规模使用的情况下政府难以直接对每个订户进行控制要求订户生成密钥时 同时copy一份给政府规模太大 数量太大从CA方面入手一般认为CA是商业机构 直接掌握订户的机密 并不合适所以 仍然需要有类似的第三方密钥托管机构密钥管理机构要求PKI提供一种 可控的 机密性服务而不是单纯的机密性服务 14 密钥管理机构 或者密钥管理中心KeyManagementCenter简称KMC负责管理用户的加密密钥 在必要的时候 提供监听能力一般称为KeyRecovery密钥恢复 15 KeyRecovery 密钥恢复 政府机关监听需要其他需要为了机密性 将文件进行加密存储如果密钥丢失 文件就不能恢复订户自己也有KeyRecovery的需求 16 回顾 PKI系统结构图 17 更完整的PKI系统 密钥管理机构 18 密钥管理机构的定位 并不是技术的需要而是管理 法律上的需求运行管理上密钥管理机构的管理应该是中立于CA公司因为它掌握了大量的订户机密可以解密用户通信的各种隐私不应该由商业公司掌握结论就是 用户的私钥必须由密钥管理机构来生产 存储 19 密钥管理机构的功能 一般要包括如下功能 后面详细讲解 密钥生成密钥存储密钥分发密钥更新密钥撤销密钥归档密钥恢复 20 再次回顾 PKI支持如下服务机密性政府希望密钥是托管的完整性非否认真实性 鉴别对于后面3种服务 都是可以使用数字签名来实现的在数字签名方面 法律又是如何 中华人民共和国电子签名法 21 电子签名法的适用范围 中华人民共和国电子签名法民事活动中的合同或者其他文件 单证等文书 当事人可以约定使用或者不使用电子签名 数据电文 当事人约定使用电子签名 数据电文的文书 不得仅因为其采用电子签名 数据电文的形式而否定其法律效力 前款规定不适用下列文书 涉及婚姻 收养 继承等人身关系的 涉及土地 房屋等不动产权益转让的 涉及停止供水 供热 供气 供电等公用事业服务的 法律 行政法规规定的不适用电子文书的其他情形 22 电子签名制作数据 私钥 从 中华人民共和国电子签名法 可看出 电子签名涉及我们生活的许多方面注 中华人民共和国电子签名法中 其实就是PKI提供的数字签名我们下面会混用电子签名和数字签名2个名词电子签名关系到我们的切身利益民事活动中的合同或者其他文件 单证等文书都是可以使用的各种合同等等 23 法律对电子签名的技术要求 电子签名法 规定同时符合下列条件的 视为可靠的电子签名 电子签名制作数据用于电子签名时 属于电子签名人专有签署时电子签名制作数据仅由电子签名人控制签署后对电子签名的任何改动能够被发现签署后对数据电文内容和形式的任何改动能够被发现注 电子签名制作数据如果将非对称密码学用于电子签名 指的就是私钥 24 4条技术要求的分析 电子签名人专有私钥应该证书Subject单独拥有的私钥不能托管签署时私钥仅由电子签名人控制签名工具 PKI应用系统的一部分 本身足够安全签名工具的运行环境足够安全病毒 木马等等能够发现签名结果的改动 能够发现被签名数据的改动要使用足够的算法强度 密钥长度 Hash算法 25 除了算法强度上的技术要求 有如下2条私钥不应该托管与机密性的要求正好相反签名工具 PKI应用系统 足够安全签名工具的不安全 相当于电子印章到处乱丢后面我们会看到 好的 PKI应用系统是 实际地 而不是形式上地 实现双证书体系的必要条件 26 其他国家 世界上第一部数字签名法UtahDigitalSignatureAct 美国犹他州 1995Aprivatekeyisthepersonalpropertyofthesubscriberwhorightfullyholdsit 按照法律的解释 指 能够使用不泄漏给其它任何人私钥不是以偷 抢 窃听等其他非法手段得到犹他州数字签名法规定 CA也可以托管订户的privatekey 但必须得到订户的明确书面授权 27 数字签名私钥的要求 其他国家的数字签名法 电子签名法 也有类似的要求数字签名私钥必须是由订户自主控制的注 任何其他人使用其私钥 都要得到订户的明确授权 28 出现了矛盾的要求 机密性私钥应该托管 应该备份数字签名私钥应该是用户自主控制的PKI怎么办 29 双证书体系 为了支持法律法规的要求 PKI区分了签名证书和加密证书从法律上而言 必须分开2种证书 密钥用于加解密 数字签名的密钥 法律上的要求不一致2种情况下 对于私钥的生成有完全不同的要求 订户必须同时具有2个证书密钥对根据电子签名法用于签名的私钥应该是由订户自己掌握的根据密码管理规定加密密钥则由KMC共同掌握 30 双密钥 双证书 订户同时具有2个证书密钥对2个证书 2个密钥对一般 称为签名密钥 签名证书加密密钥 加密证书分别用于机密性和数字签名签名密钥由订户自己生成加密密钥由密钥管理机构生成 31 双证书的关系 双证PKI体系中 同一用户的2个证书 一般除了以下 其他信息都是相同的仅有如下信息不同 证书序列号公钥信息KeyUsage扩展 ExtendedKeyUsage扩展PrivateKeyUsagePeriod扩展CA签名结果注 并不是强制要求相同 32 提纲 为什么会有双证书体系双证书流程双证书的实现和使用密钥管理机构的系统功能双证书体系的讨论中国电子签名法以及相关规定 33 增加申请证书流程 已有的流程 用于签名密钥 订户生成密钥对将身份信息和公钥交给RARA审核无误后 CA签发证书RA或者CA将证书交给订户密钥管理机构的流程 用于加密密钥 34 申请证书的流程变化 已有的流程 用于签名密钥 密钥管理机构的流程 用于加密密钥 订户将身份信息交给RA 申请证书RA审核无误 RA或者CA从KMC获得密钥对KMC事先生成了密钥对CA签发证书RA或者CA将证书和密钥对一并交给订户 35 实际上 不可能要求同一个订户进行2次流程 应该使用1次流程 同时获得了加密证书和签名证书方便订户同时 也减少RA CA系统的负担方便管理减少数据存储所以 双证书的证书申请流程如下 36 双证PKI体系的流程1 订户从KMC获得加密密钥对 自己生成签名密钥对发送证书请求给RA CA消息中有2个公钥RA CA要确认加密密钥对来自于KMC以及身份信息等签发2张证书如下图 37 流程图1 KMC 加密密钥 加密密钥 签名密钥 证书请求 证书请求 是不是你生成的 双证书 双证书 双证书 38 加密密钥的检查 其中 对加密密钥的检查确认来自于KMC因为KMC不是直接和CA通信可能使用的方法查询响应式 要求KMC CA同时在线一般不使用由KMC签名 订户将签名结果一并交给CA相当于数据源认证KMC进行签名的次数太多KMC将大批量的公钥以安全的方式事先交给CA CA检查时 仅仅本地匹配查找 39 双证PKI体系的流程2 订户生成签名密钥对发送证书请求给RA CA消息中有1个公钥RA CA再向KMC请求另一个公钥也可以事先批量请求 存储在CA数据库中签发2张证书 交给订户订户向KMC索取加密私钥 40 流程图2 KMC 签名密钥 证书请求 证书请求 双证书 双证书 双证书 双证书 加密密钥 加密密钥 41 对于加密密钥的检查 因为公钥是CA以安全通道从KMC得到 不需要检查确定是来自于KMC以上2种流程 都需要订户与KMC进行通信 获取加密密钥对 42 双证PKI体系的流程3 订户生成签名密钥对发送证书请求给RA CA消息中有1个公钥RA CA向KMC请求加密密钥对 包括私钥 也可以事先批量请求 存储在CA系统中签发2张证书 同加密密钥一起交给订户 43 流程图3 KMC 签名密钥 证书请求 证书请求 加密密钥 加密密钥 加密密钥 双证书 44 管理要求 管理上KMC作为管理密钥的机密重地 不希望直接面对大规模的最终用户KMC面向CA服务CA作为商业服务机构 面向用户所以 通常加密密钥对的传输是经过CA的也是第3种流程存在着如下图的问题注 如果加密密钥是由KMC直接交给订户 则没有此问题 45 加密密钥传输的问题 加密私钥泄漏 KMC 证书请求 哈哈哈哈我知道你的私钥 46 加密密钥传输的问题 私钥经过CA传输 CA知道了不应知道的信息必须进行一定的加密措施使用非对称加密解决如下 47 解决方法 订户申请加密证书时 生成1对临时密钥将临时公钥交给CACA将临时公钥交给KMC用来保护加密名私钥如下图 48 图示 加密私钥的传输受到临时公钥的保护 KMC 证书请求临时公钥 证书请求临时公钥 临时公钥 临时公钥 加密密钥 49 上面流程的问题 要求CA KMC之间在线通信因为加密密钥对不能事先批量地交给CA可能会带来问题CA和KMC都有网络连接 CA和KMC可能位于不同的物理位置通信保护的成本增加KMC在线地对外服务 就要增大安全措施成本如果要求CA KMC之间off line 如何保护加密私钥不被CA知道 50 另一种解决方案 基于密码信封和USBKeyKMC将加密私钥导进USBKeyUSBKey使用PIN保护PIN存在于密码信封中KMC将公钥 USBKey 密码信封同时交给CACA签发证书后 将证书 USBKey 密码信封同时交给订户订户检查密码信封确认无破损 信封的确是来自于KMC确认没有任何第三方使用过USBKey 51 实际情况 在实际情况中 一般加密密钥的传输都是经过了CA KMC不与最终用户通信签发证书之后 CA还需要将密钥分发的情况告知KMC密钥A给了Alice 证书序列号是558密钥B给了Bob 证书序列号是849 52 提纲 为什么会有双证书体系双证书流程双证书的实现和使用密钥管理机构的系统功能双证书体系的讨论中国电子签名法以及相关规定 53 KeyUsage扩展 订户有了2个证书密钥对如何标识和区分 PKI应用系统才能够认识所以 必须要使用KeyUsage扩展 才能实现双证书体系X 509证书格式版本3才有支持扩展必须使用X 509v3证书 54 KeyUsage扩展的关键度 要求PKI应用系统必须明确地知道是加密密钥或者是签名密钥 所以KeyUsage关键度TRUE关键扩展 55 KeyUsage扩展值 订户证书 加密证书keyEncipherment 密钥加密dataEncipherment 数据加密keyAgreement 密钥协商签名证书digitalSignature 数字签名nonRepudiation 非否认其他certSign crlSign不设定onlyEncrypt onlyDecrypt 由CA自主决定 56 PKI应用系统的问题 关键扩展 PKI应用系统必须能够识别KeyUsage扩展严格地执行法律和要求PKI应用系统不能将签名证书中的公钥用于加解密对PKI应用系统提出了很严格要求即使用户要利用签名密钥来进行机密性PKI应用系统MUST回答 NO 不行 调用失败 57 与PKI的初衷有一点点偏差 基础设施 提供通用接口类似于电源插座 提供220V 50Hz不干涉电器对于电流的使用只能用于加热烧开水 不能用于照明 PKI对应用系统提出要求不能乱用密钥对不能将签名密钥对用于加解密基础设施对于应用提出了使用上的要求 58 双证书体系的实现 有如下要求建设KMCCA RA在流程上支持证书扩展更加重要的是要有PKI应用系统的支持市场上只能出现符合法律要求的PKI应用系统 59 PKI应用系统的管理困难 市场上只能有符合要求的PKI应用系统严格地不将签名公钥用于机密性管理上控制木已成舟现在已有大量PKI应用的软件 并不按照KeyUsage扩展的说明使用证书将其消灭 软件开发的门槛小一般程度的专业人员 就可以开发PKI应用系统严禁开发 违者罚款 60 PKI应用系统的管理困难 技术上控制能否发现有人乱用密钥 使用专有格式的证书 专有的算法 格式保密 算法保密普通的软件开发者不能开发PKI应用系统无法互联 互操作PKI的应用很难开展 61 提纲 为什么会有双证书体系双证书流程双证书的实现和使用密钥管理机构的系统功能双证书体系的讨论中国电子签名法以及相关规定 62 密钥管理机构的设计 作为KMC系统 应该支持如下功能密钥生成密钥存储密钥分发密钥备份密钥更新密钥撤销密钥归档密钥恢复 63 密钥生成 支持多种算法按照CA的要求可靠的随机数源物理随机噪声自激振荡器空气震荡等使用确定算法 确定的来源 获得的只能是伪随机数不能产生安全的密钥专门的 高速物理噪声源芯片 64 密钥存储 KMC中的订户加密密钥必须是加密后存储的安全性要求存储时间必须足够长KMC要有自己的密钥用于加密存储数据可以使用对称或者非对称算法本身足够安全密钥不丢失 不被滥用 65 密钥分发 KMC提供密钥分发接口将密钥传输给订户 或者CA前面提到一般 KMC都不直接面对订户服务而是面对CA服务所以 KMC的密钥分发接口也比较简单不需要像CA公司 要有功能强大复杂的RA 66 密钥恢复 建立KMC的最大目标就是为了KeyRecovery请求密钥恢复 一般有2种可能政府机构请求监控某个人的机密通信订户请求密钥丢失 损坏等等KMC都应该支持上述2种密钥恢复操作对请求者进行严格的身份审查 67 密钥更新 撤销 归档 密钥更新指现有PKI订户再次申请加密密钥KMC应该知道订户与密钥的对应关系密钥撤销在证书被撤销后 密钥也同时被撤销注 撤销后不应被立即删除 还应该存储足够时间密钥归档当确定相应的证书已经不再使用 不再需要时 将密钥从运行系统中 安全地存储到其他介质上保存足够长时间后 才能删除密钥 68 提纲 为什么会有双证书体系双证书流程双证书的实现和使用密钥管理机构的系统功能双证书体系的讨论中国电子签名法以及相关规定 69 关于双密钥体系的讨论 每个RSA密钥 都同时支持加解密和数字签名用签名密钥来进行加解密 从算法而言 是否可行 YESKeyUsage扩展 相当于说明 不允许将此密钥用于加解密 如下的类比每个水果刀 都同时可用于切水果和谋杀使用水果刀进行谋杀 是否可行 YESKeyUsage扩展 在水果刀贴上标签 只能切水果 不得用于谋杀 贴标签 能否从根本上解决问题 70 双密钥体系 目前 技术上而言 难以禁止使用者将 签名密钥 用于加解密双密钥体系更多的是一种管理措施技术含量很少能否将签名密钥一并托管 是否可行 NO 71 签名密钥 在电子签名法中 规定 电子签名制作数据用于电子签名时 属于电子签名人专有签署时电子签名制作数据仅由电子签名人控制电子签名制作数据 即相当于私钥必须是电子签名人专有 仅由电子签名人控制所以 签名密钥不能一并托管所以 我们仍然要继续无奈地使用目前的双密钥体系 72 双证书使用上的困难 在有些时候 并不容易区分数字签名和机密性例如 将证书用于IPSec协议AH 提供认证使用签名证书ESP 提供认证和机密性使用签名证书 NO 有机密性使用加密证书 NO ESP有数据源认证的功能 也可认为是一种数字签名 SSL TLS也有同样的问题可同时实现机密性和数据源认证 73 双证PKI系统在中国 按照电子签名法的要求CA的建设必须得到国家密码管理机构的同意根据国家密码管理局的规定CA系统应该支持与KMC的通信CA在签发加密证书时 密钥必须是来自于密钥管理中心 74 双证书体系的管理 我们知道 在水果刀上打上标签 并不能完全地解决问题给证书加上KeyUsage扩展 也同样不能完全解决问题重要的是 对使用水果刀的人进行管理在双证书中 要对证书的使用者 也就是PKI应用系统 进行管理 75 双证书的重要方面 应用系统 CA系统本身应该支持双证书体系 另一方面根据中国 商用密码管理条例 PKI应用系统是否应该归入商用密码产品 如果YES商用密码产品由国家密码管理机构指定的单位生产 未经指定 任何单位或者个人不得生产商用密码产品 可能会在某种程度上 限制PKI的使用 互操作 限制PKI产业的发展 微软Outlook电子邮件系统 能生产吗 如果NO双证书体系的初衷很可能难以得到实现 流于形式很困难 76 提纲 为什么会有双证书体系双证书流程双证书的实现和使用密钥管理机构的系统功能双证书体系的讨论中国电子签名法以及相关规定 77 双证书体系 我们知道 双证书体系的出现 其重要的原因是因为法律 法规要求用户的需求比较小用户可能会要求KeyRecovery完全可以自行备份下面 简单介绍中国与PKI CA相关的法律法规 78 中国的主要相关规定 中华人民共和国电子签名法国家密码管理局 电子认证服务密码管理办法 信息产业部 电子认证服务管理办法 79 电子签名法 电子签名法 适用范围民事活动中的合同或者其他文件 单证等文书 当事人可以约定使用或者不使用电子签名 数据电文 当事人约定使用电子签名 数据电文的文书 不得仅因为其采用电子签名 数据电文的形式而否定其法律效力 前款规定不适用下列文书 涉及婚姻 收养 继承等人身关系的 涉及土地 房屋等不动产权益转让的 涉及停止供水 供热 供气 供电等公用事业服务的 法律 行政法规规定的不适用电子文书的其他情形 80 有效的数据电文 数据电文 在 电子签名法 也就是指包含有电子签名的数据信息能够有效地表现所载内容并可供随时调取查用能够可靠地保证自最终形成时起 内容保持完整 未被更改 81 技术中立性 在 电子签名法 中 并没有强制性地要求使用第三方认证服务 也就是CA 具有一定的技术中立性但是 就目前而言 能够很好地满足 电子签名法 要求的 就应该使用非对称密码算法PKI CA提供的数字签名服务 可以满足其要求 82 数据电文的发送 数据电文有下列情形之一的 视为发件人发送 经发件人授权发送的发件人的信息系统自动发送的病毒 木马等等 都可认为是发件人发送 收件人按照发件人认可的方法对数据电文进行验证后结果相符的病毒 木马发送的数字签名 也可以通过验证 盗窃私钥的数字签名 也可以通过验证 当事人对前款规定的事项另有约定的 从其约定 幸好还可以另有约定 呵呵 83 电子签名 可靠的电子签名电子签名制作数据用于电子签名时 属于电子签名人专有签署时电子签名制作数据仅由电子签名人控制与发送规定不一样 病毒代为发送是有效的发送 病毒代为签名 则是无效的签名 签署后对电子签名的任何改动能够被发现签署后对数据电文内容和形式的任何改动能被发现可以选择使用符合其约定的可靠条件的电子签名不一定是