现代密码学第九讲：密钥管理(二)temp

1,密钥管理（二）,现代密码学第九章,2,上节主要内容,密钥管理简介密钥分配密钥协商PKI及数字证书简介秘密共享密钥托管,3,中间人攻击,4,PKI的作用,公钥基础设施（PKI，PublicKeyInfrastructure）以公钥技术为基础，将个人、组织、设备的标识信息与各自的公钥捆绑在一起，为用户建立起一个安全、可信的网络运行环境，使陌生用户可以在多种应用环境下方便地使用加密和数字签名技术，在互联网上验证用户的身份，从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。,5,PKI的定义,PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。,6,数字证书概述,公钥（数字）证书是一种包含了重要信息的载体，它证明了证书所有人和所持有的公钥的真实性，由一个可信的中介机构进行签名，这可以使获得证书的人只要信任这个可信的中介机构，就可以相信他所获得的证书了。,7,数字证书的内容,版本号：用来区分X.509的不同版本。序列号：由CA给予每一个证书的分配惟一的数字型编号。认证机构标识：颁发该证书的机构惟一的CA的X.500名字。主体标识：证书持有者的名称。主体公钥信息：和该主体私钥相对应的公钥。证书有效期：证书有效时间包括两个日期：证书开始有效期和证书失效期。密钥/证书用法：描述该主体的公/私密钥对的合法用途。扩展：说明该证书的附加信息。认证机构签名：用认证机构的私钥生成的数字签名。,8,数字证书的安全性,证书是公开的，可复制的。任何具有CA公钥（根证书/CA证书，自签名证书）的用户都可以验证证书有效性。除了CA以外，任何人都无法伪造、修改证书。证书的安全性依赖于CA的私钥安全。,9,数字证书的生命周期,10,证书管理,（一）证书注册与发布申请人提交证书请求；RA对证书请求进行审核；CA生成证书；下载并安装证书；证书发布.,证书库,9.证书发布,11,（二）证书的存放使用IC卡存放直接存放在磁盘或自己的终端上USBKey证书库,证书管理,12,（三）证书撤销当条件（雇佣关系结束、证书中信息修改等）要求证书的有效期在证书结束日期之前终止；或者要求用户与私钥分离时（私钥可能以某种方式泄露），证书被撤销。,证书库,3.撤销发布,证书管理,13,证书撤销列表,证书撤销列表（CRL）会无限增加吗？,证书管理,14,（四）证书状态查询定期下载证书撤销列表（CRL）；在线证书状态协议OCSP（OnlineCertificateStatusProtocol），其目的为了克服基于CRL的撤销方案的局限性，为证书状态查询提供即时的最新响应。OCSP使用证书序列号、CA名称和公开密钥的散列值作为关键字查询目标的证书。,证书管理,15,（五）证书验证在证书撤销列表（CRL）中查询确认该证书是否被CA撤销；检测证书拥有者是否为预期的用户；检查证书的有效期，确保该证书是否有效；检查该证书的预期用途是否符合CA在该证书中指定的所有策略限制；使用CA证书公钥和算法验证终端实体证书签名有效性。,证书管理,16,（六）证书的更新下列情况需更新最终实体证书原证书过期；一些属性的改变；实体要求发放新证书（如密钥可能泄露）CA签名密钥更新,证书管理,17,PKI主要组件,18,（一）注册中心（RA）注册中心是数字证书注册审批机构。一般而言，注册中心负责与用户面对面的审核、控制注册、证书传递、其他密钥和证书生命周期管理过程中主体和PKI间的交换。有的系统中，将RA合并在CA中。,PKI主要组件,19,RA的功能主体注册证书的个人认证。确定主体所提供信息的有效性。对被请求证书属性确定主体的权利。认证机构代表主体开始注册过程。为识别身份的目的分配名字。在注册初始化和证书获得阶段产生共享秘密。产生公私钥对。在需要撤销时报告报告密钥泄露或终止事件。开始密钥恢复处理。,PKI主要组件,20,（二）证书授权(CA，CertificateAuthority)中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。,PKI主要组件,21,CA的核心功能确定是否接受最终用户数字证书的申请（证书审批）。验证最终用户的公钥是否合法（用户是否知道对应私钥）。向申请者颁发、拒绝颁发数字证书（证书发放）。接受、处理最终用户的数字证书更新请求（证书更新）。接受最终用户数字证书的查询、撤销。产生和发布证书注销列表（CRL）。数字证书的归档。密钥归档。历史数据归档。,PKI主要组件,22,CA认证中心组成签名和加密服务器对于数字证书和被撤销的数字证书，应有认证机构的数字签名。密钥管理服务器与签名加密服务器连接，按配置生成密钥、撤销密钥、恢复密钥和查询密钥。证书管理服务器主要完成证书的生成、作废等操作控制。证书发布和CRL发布服务器用于将证书信息按一定时间间隔对外发布，为客户提供证书下载和CRL下载等服务。在线证书状态查询服务器证书用户随时都知道某个证书的最新状态。Web服务器用于证书发布和有关数据认证系统政策的发布。,PKI主要组件,23,时间戳服务就是时间戳协议（TSPTimeStampProtocol）通过时间戳（TimeStampAuthority）的服务来提供数据在特定时间存在的证据。安全时间戳服务用来证明一组数据在某个特定时间是否存在。它可以被用于证明像电子交易或文档签名这样的电子行为的发生时间，如果行为具有法律或资金方面的影响，那么时间戳尤为有用。仅仅是为了支持不可否认的目的，并不需要一个正确的时间，只要是能标记各项动作发生的先后关系即可。但在很多情况下，一个权威的真正正确的时间是非常有用的，所以要求使用官方时间源提供的标准时间。,PKI主要组件,24,TSA(TimeStampAuthority)，时间戳权威，是一个可信的第三方时间权威。它是PKI中的重要组成部分。不可否认服务需要一个安全时间戳来证明某个事件发生在某个特定时间。例如：Alice用自己的私钥对一张支票签名并把它发送给Bob。现在Alice想反悔，她故意把私钥四处散发，并通过CA撤销自己的签名证书，以证明签名的并不是自己。现在要揭穿Alice是在抵赖，就需要有时间戳来证明她的证书撤销是发生在签名之后。,PKI主要组件,25,TSA的工作流程：1.客户端首先计算所选文件的数字指纹，通常是做一次Hash.2.客户端将对文件计算的Hash值发送给TSA，TSA将当前时间值加入数字指纹，然后用私有密钥对这个信息数字签名，并产生一个时间邮戳(Timestamp)。3.TSA将时间邮戳返回到客户端存储（客户端需要验证时间邮戳的有效性）。这样时间邮戳就跟文件绑在一起作为文件在某个时间内有效的证据。,PKI主要组件,26,PKI的问题,不兼容性因为标准不完善、标准表述不清楚、理解错误或实施错误，再加上标准中有些扩展可以自己设定，从而导致了目前PKI产品互操作性差的现状。实际上各个信任域直接互联是有困难的，加上技术和产品不断更新，原来可以互联的PKI产品可能又会不能互联。,27,秘密共享,打不开,28,秘密共享,对于一个重要的秘密信息(如主密钥)，由单一用户保管危险系数较高:(1)该用户会成为众矢之的，遭受各种攻击,该用户一旦背叛，秘密将完全泄漏.(2)掌握秘密的人出现事故，秘密无法恢复。由若干用户分别保管秘密，每个用户保管秘密的一部分，部分用户被攻击或者背叛不会泄露秘密，更有利于的保密。此外，足够的人一起可以恢复秘密，少量人出现事故，不会导致秘密无法恢复。,秘密共享技术（密码学）,29,秘密共享,秘密共享技术的基本要求：将秘密s分成n个共享，t为一个小于等于n的整数。(1)已知任意t个si值易于算出s。(2)已知任意t-1个或更少个数的si，则由于信息短缺而不能确定出s。t的具体取值由安全策略确定；秘密共享算法包含：参数选取、秘密分割、秘密恢复。,30,秘密共享,Shamir门限方案1979年Shamir基于多项式的拉格朗日插值公式提出了一个(t,n)门限方案（1）参数选取设秘密是S，参与保管的成员共有n个，要求重构该消息需要至少t个人选定一个足够大的素数p，pS,大于所有可能的随机输入,31,秘密共享,（2）秘密分割随机地选定t-1个模数，得到多项式：随机选定n个不同的小于p的整数例如：1,2,3,n对于每个整数xi分别计算数对(xi,yi),销毁多项式，并将n个子共享(xi,yi)分别秘密传送给n个成员。,32,秘密共享,（3）秘密恢复假设个人聚集准备恢复秘密S，不妨设他们的数对为.t个人计算多项式取多项式f(x)的常数项f(0)即为所求秘密S.,33,秘密共享,（4）正确性证明t个人构造出来的多项式满足任意t个对确定唯一的多项式.通过点重构t阶的多项式意味着已知t个t元一次方程记为左边t*t矩阵是非奇异的范德蒙矩阵，故有惟一解。,34,秘密共享,例.（3，5）门限方案,35,秘密共享,36,秘密共享,秘密,37,秘密共享,Asmuth-Bloom门限方案1980年,Asmuth和Bloom基于中国剩余定理提了一个(n,t)门限方案设秘密是S，参与保管的成员共有n个，要求重构该消息需要至少t个人（1）参数选取令q是一个大素数，是n个严格递增的数，且满足下列条件：qS.,38,秘密共享,（2）秘密分割随机选取整数A满足,公布A和q计算,显然计算,.为一个子共享，将其分别传送给n个用户。,39,秘密共享,（3）秘密恢复当t个参与者聚集准备恢复秘密S，不妨设他们的子共享为建立方程组据中国剩余定理得,.得秘密S.,40,秘密共享,（4）正确性证明由t个成员计算得到的y满足，所以，即.若少于t个参与者参与，则，由条件得.令，其中,由于，至少有q种取值，因此无法确定唯一的y.,41,秘密共享,例.设秘密S=4，构建一个（3，5）门限方案.（1）参数选取选取素数q=7，,第4个条件也满足。,验证模数满足前三个条件；,42,秘密共享,43,秘密共享,44,目的：为了有效控制密码技术的使用，保证对个人没有绝对的隐私和绝对不可跟踪的匿名性。实现手段：是把已加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可得解密密钥。用途：提供一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复自己的密钥。,密钥托管,A数据恢复密钥由所信任的委托人持有，委托人可以是政府机构、法院或有契约的私人组织B一个密钥可能是在数个这样的委托人中分拆,45,起源：美国政府于1993年4月提出Clipper计划和密钥托管加密技术。建议联邦政府和工业界使用新的具有密钥托管功能的联邦加密标准，即托管加密标准EES（EscrowedEncryptionStandard），又称Clipper建议。EES标准于1994年2月正式被美国政府公布采用。,密钥托管,美国政府的EES标准公布之后，在社会上引起很大的争议,46,密钥托管密码体制组成：用户安全成分USC(usersecuritycomponent)密钥托管成分KEC(keyescrowcomponent)数据恢复成分DRC(datarecoverycomponent)USC用密钥KS加密明文数据，并且在传送密文时，一起传送一个数据恢复域DRF（datarecoveryfield）。DRC使用包含在DRF中的信息及由KEC提供的信息恢复明文。,密钥托管,47,密钥托管密码体制的组成,密钥托管,48,（1）用户安全成分USC作用：提供数据加解密能力以及支持密钥托管功能USC可用于通信和数据存储的密钥托管；USC使用的加密算法可以是保密的、专用的,也可以是公钥算法。,密钥托管,49,（2）密钥托管成分KEC作用：存储所有的数据恢复密钥，通过向DRC提供所需的数据和服务以支持DRC。KEC作为密钥管理系统的一部分：单钥管理系统-密钥分配中心；公钥基础设施-公钥证书机构。托管代理机构也为可