密钥分配与密钥管理ppt课件.ppt

第六章密钥分配与密钥管理 KeyDistributionandKeyManagement 建立安全的密码系统要解决的一个赖手的问题就是密钥的管理问题 即使密码体制的算法是计算上的安全 如果缺乏对密钥的管理 那么整个系统仍然是脆弱的 问题的提出 1 密钥管理量的困难传统密钥管理 两两分别用一对密钥时 则n个用户需要C n 2 n n 1 2个密钥 当用户量增大时 密钥空间急剧增大 如 n 100时 C 100 2 4 995n 5000时 C 500 2 12 497 50 2 数字签名的问题传统加密算法无法实现抗抵赖的需求 概述 从理论上说 密钥也是数据 不过它是用来加密其它数据的数据 因此 在密码学的研究中 不妨把密钥数据与一般数据区分开来 在设计密码系统时 对于密钥必须考虑以下问题 1 系统的那些地方要用到密钥 它们是如何设置和安装在这些地方 2 密钥预计使用期限是多长 每隔多久需要更换一次密钥 3 密钥在系统的什么地方 4 如何对密钥进行严格的保护 为了产生可靠的总体安全设计 对于不同的密钥应用场合 应当规定不同类型的密钥 所以根据密钥使用场合的不同 可以把密钥分成不同的等级 通常把密钥分为两大类型 即数据加密密钥和密钥加密密钥 密钥又可分为 主密钥 对现有的密钥或存储在主机中的密钥加密 加密对象为初级密钥和二级密钥 初级密钥 用来保护数据的密钥 它也叫数据加密 解密密钥 初级密钥用来进行通讯保护时 叫做通讯密钥 用来保护文件时叫做文件密钥 二级密钥 它是用来加密保护初级密钥的密钥 密钥保护的基本原则 密钥永远不可以以明文的形式出现在密码装置之外 密码装置是一种保密工具 即可以是硬件 也可以是软件 密钥分配 KeyDistribution 保密通信双方需共享密钥共享密钥要经常更换分配方式 A选择密钥并手工传递给B第三方C选择密钥分别手工传递给A B用A B原有共享密钥传送新密钥与A B分别有共享密钥的第三方C传送新密钥给A和 或BN个用户集需要N N 1 2个共享密钥 基于对称密码体制的密钥分配 KeyDistributionofsymmetriccryptography 概述 对称密码体制的主要商业应用起始于八十年代早期 特别是在银行系统中 采纳了DES标准和银行工业标准ANSI数据加密算法 实际上 这两个标准所采用的算法是一致的 随着DES的广泛应用带来了一些研究话题 比如如何管理DES密钥 从而导致了ANSIX9 17标准的发展 该标准于1985年完成 是有关金融机构密钥管理的一个标准 金融机构密钥管理需要通过一个多级层次密钥机构来实现 ANSIX9 17三层密钥层次结构 1 主密钥 KKMs 通过手工分配 2 密钥加密密钥 KKs 通过在线分配 3 数据密钥 KDs KKMs保护KKs的传输 用KKs保护KDs的传输 主密钥是通信双方长期建立密钥关系的基础 是用户和密钥分配中心的共享密钥 用主密钥对所有初级密钥加密 使它们在密码装置之外也受到保护 象这样用一个密钥保护许多其他密钥的方法 在密码学中叫主密钥原理 它从本质上把保护大量密钥的问题 简化成了集中保护和使用一个密钥问题 这实际上也是数据加密思想的进一步深化 从原则上说 数据加密就是把保护大量数据的问题简化为保护和使用少量数据的问题 主密钥的分配方式 利用安全信道实现 1 直接面议或通过可靠信使递送 2 将密钥分拆成几部分分别传送 两种密钥分配技术 静态分配 一个有n个用户的系统 需实现两两之间通信n个用户 需要n n 1 2个共享密钥 动态分配 中心化的密钥管理方式 由一个可信赖的联机服务器作为密钥分配中心 KDC 或密钥转递中心 KTC a b 密钥分发中心 密钥分发中心 KeyDistributionCenter 每个用户与KDC有共享密钥 MasterKey N个用户 KDC只需分发N个MasterKey两个用户间通信用会话密钥 SessionKey 用户必须信任KDCKDC能解密用户间通信的内容 KS 一次性会话密钥N1 N2 随机数KA KB A与B和KDC的共享密钥f 某种函数变换 有中心的密钥分配方案 4 KDC A B 1 Request N1 5 2 3 密钥的分层控制 用户数目很多并且分布地域很广 一个KDC无法承担 需要采用多个KDC的分层结构 本地KDC为本地用户分配密钥 不同区域内的KDC通过全局KDC沟通 无中心的密钥控制 有KDC时 要求所有用户信任KDC 并且要求对KDC加以保护 无KDC时没有这种限制 但是只适用于用户少的场合 无中心的密钥控制 A B 1 Request N1 2 3 用户A和B建立会话密钥的过程 密钥的控制使用 根据用途不同分为会话密钥 数据加密密钥 主密钥 密钥加密密钥 安全性高于会话密钥根据用途不同对密钥使用加以控制 密钥标签 用于DES的密钥控制 8个校验位作为密钥标签1比特表示这个密钥是会话密钥还是主密钥1比特表示这个密钥能否用于加密1比特表示这个密钥能否用于解密其余比特保留 控制矢量 对每一密钥指定相应的控制矢量 分为若干字段 说明在不同情况下是否能够使用有KDC产生加密密钥时加在密钥之中h为hash函数 Km是主密钥 KS为会话密钥控制矢量CV明文发送 优点 1 CV长度没有限制2 CV以明文形式存在 基于公钥密码体制的密钥管理 KeyManagementofPublicKeyCryptography 基于公钥密码体制的密钥管理 两方面内容 公钥密码体制中所使用的公钥的分配 使用公钥分配对称加密体制的密钥 公钥的分配 公开发布 用户将自己的公钥发给每一个其他用户方法简单 但没有认证性 因为任何人都可以伪造这种公开发布 公钥的分配 公用目录表 公用的公钥动态目录表 目录表的建立 维护以及公钥的分布由可信的实体和组织承担 每一用户都亲自或以某种安全的认证通信在管理者处为自己的公开密钥注册 用户可以随时替换自己的密钥 管理员定期公布或定期更新目录 用户可以通过电子手段访问目录 公钥的分配 公钥管理机构 公钥管理机构为用户建立维护动态的公钥目录 每个用户知道管理机构的公开钥 只有管理机构知道自己的秘密钥 公钥管理机构分配公钥 公钥管理机构 A B 2 公钥证书 用户通过公钥证书交换各自公钥 无须与公钥管理机构联系公钥证书由证书管理机构CA CertificateAuthority 为用户建立 证书的形式为T 时间 PKA A的公钥 IDA A的身份 SKCA CA的私钥时戳T保证证书的新鲜性 防止重放旧证书 CA的计算机 用户的计算机 证书的产生过程 产生密钥 秘密钥 公开钥 CA的公开钥 CA的秘密钥 签字 证书 用公钥分配对称密码体制的密钥 A B 简单分配 易受到主动攻击 A B 攻击者E 3 4 用公钥分配对称密码体制的密钥 具有保密性和认证性的密钥分配 A B 4 1 Diffie Hellman密钥交换协议 aU aV 用户U选择一随机数aU 计算 用户V选择一随机数aV 计算 生成的会话密钥为K Diffie Hellman密钥交换协议 Diffie Hellman密钥交换协议 双方选择素数p以及p的一个原根 U随机选择aU Zp 计算 aUmodp并发给V V随机选择aV Zp 计算 aVmodp并发给U U计算 aVmodp aUmodp aUaVmodp V计算 aUmodp aVmodp aUaVmodp双方获得共享密钥 aUaVmodp 这个协议可以被中间人攻击 Diffie Hellman密钥交换攻击 中间人攻击图示 中间人攻击1双方选择素数p以及p的一个原根a 假定O知道 2A选择Xa p 计算Ya aXamodp A B Ya3O截获Ya 选Xo 计算Yo aXomodp 冒充A B Yo4B选择Xb p 计算Yb aXbmodp B A Yb5O截获Yb 冒充B A Yo6A计算 Xo Xa aXo Xa aXoXamodp7B计算 Xo Xb aXo XXb aXoXbmodp8O计算 Ya Xo aXaXomodp Yb Xo aXbXomodpO永远必须实时截获并冒充转发 否则会被发现 密钥托管 KeyEscrow 密钥托管 也称托管加密 其目的在于保证个人没有绝对的隐私和绝对不可跟踪的匿名性 实现手段是把已加密的数据和数据恢复密钥联系起来 由数据恢复密钥可以得到解密密钥 由所信任的委托人持有 提供了一个备用的解密途径 不仅对政府有用 也对用户自己有用 美国托管加密标准 1993年4月提出托管加密标准EES Escrowedencryptionstandard 提供强加密功能 同时也提供政府机构在法律授权下监听功能 通过防窜扰Clipper芯片来实现 包含两个特性Skipjack算法 实现强加密法律实施存取域LEAF 实现法律授权下解密 Skipjack算法 单钥分组加密算法 密钥长80比特 输入输出分组长度64Bit4种工作模式ECB模式CBC模式64bitOFB模式1 8 16 32 64比特CFB模式 托管加密芯片 Skipjack算法80比特族密钥KF Familykey 同一批芯片的族密钥都相同芯片单元识别符UID80bit的芯片单元密钥KU uniquekey 由两个80bit密钥分量异或得到控制软件被固化在芯片上 托管加密芯片的编程过程 SJKFUIDKU E E UIDEK1 KU1 UID KU1 KU2 KF K2 K1 UIDEK2 KU2 托管机构1初始化 托管机构2初始化 托管机构1 托管机构2 芯片编程处理器 用KU加密 加密的KS UID A KS IV 用KF加密 LEAF 80bit 32bit 16bit KS 会话密钥A 认证符UID 芯片识别符IV 初始向量 用户安全成分 USC 密钥托管成分 KEC 数据恢复成分 DRC 密钥托管密码体制的组成部分 数据恢复密钥 密钥KS 加密 密钥KS 解密 明文 明文 密文 确定密钥KS 解密 DRF 明文 KEC DRC USC 密钥托管密码体制的组成成分 随机数的产生 GenerationofRandomNumbers 随机数的用途 相互认证会话密钥的产生公钥密码算法中的密钥产生 随机数的要求 随机性 均匀分布数列中每个数出现的频率相等或近似相等独立性数列中任一数不能由其他数推出 随机数的要求 不可预测性 对数列中以后的数是不可预测的对于真随机数 满足独立性 所以不可预测伪随机数列需要特别注意 是否满足不可预测性 伪随机数产生器 真正的随机数难以产生伪随机数线性同余法Xn 1 aXn c modmm模数m 0231a乘数0 a ma 75 16807c增量0 c mX0种子0 X0 m线性同余伪随机数缺乏不可预测性 基于密码的随机数产生 循环加密DES输出反馈方式ANSIX 917伪随机数产生器BlumBlumShub BBS 产生器 循环加密 DES输出反馈模型 ANSIX9 17 Ri EDEK1 K2 Vi EDEK1 K2 DTi Vi 1 EDEK1 K2 Ri EDEK1 K2 DTi BBS伪随机数产生器 首先选择两个大素数p qp q 3 mod4 选择s与n互素通过了 下一位 测试 next bittest 不存在多项式时间的算法使得在已知前k位的情况下预测出第k 1位的概率大于0 5 BBS的安全性同样基于分解n的难度 秘密分割 在导弹控制 重要场所通行检验等情况 通常必须由两个或多个人同时参与才能生效 这时都需要将秘密分给多个人 掌管秘密的人同时到场才能恢复这一秘密 由此 引入门限方案的一般概念 定义 定义 设秘密s被分成n个部分信息 每一部分称为一个子密钥 由参与者持有 使得 由k个或多于k个参与者所持有的部分信息可重构s 由少于k个参与者所持有的部分信息则无法重构s 则称这种方案为 k n 秘密分割门限方案 k称为方案的门限值 参与者的集合称为授权子集 若一个秘密分割方案 由少于k个参与者所持有的部分信息得不到秘密s的任何信息 则称该方案是完善的 两种最具代表性的秘密分割门限方案 Shamir门限方案Asmuth Bloom方案 Shamir门限方案随机选择一个有限域上的次的多项式 其中 计算并发送给参与者 每一参与者接收到后 任何t个参与者一起利用 利用Lagrange插值法构造多项式 计算可得秘密s 例1设k 3 n 5 q 19 s 11 随机选取a1 2 a2 7 得多项式为f x 7x2 2x 11 mod19分别计算f 1 7 2 11 mod19 20mod19 1f 2 28 4 11 mod19 43mod19 5f 3 63 6 11 mod19 80mod19 4f 4 112