CN113874857B 用于最优信息理论安全的加密密钥管理的方法和设备 （百可德罗德公司）

2021.11.25PCT/CA2020/0506792020.05.21WO2020/237349EN2020.12.03TheoreticallySecureKeyGenerat用于最优信息理论安全的加密密钥管理的使用定义了一个种子比特集合的密钥库种2a)将密钥库种子存储在所述至少一台计算设备中的特定计算设备的非瞬时性存储器b)通过所述特定计算设备的处理器确定一个密钥管理过程计算设备的处理器用来从所述种子比特集合中生成所述多个加密密钥中的每一个加密密c)把与所述密钥管理过程相对应的密钥管理指令存储在所述特定计算设备的非瞬时生成所述多个加密密钥中任何特定的加密密钥：iv)从所述密钥序列中确定一个加密密钥，其中所述加密密钥可被所述处理器用来执行加密一个明文文件和解密一个密文文件中的至少一项。2.根据权利要求1所述的方法，其中所述加密密钥是根据所述密钥序列中所述多个密3.根据权利要求1所述的方法，其中每个种子比特分区具有等于所述指定的密钥长度4.根据权利要求1所述的方法，其中所述密钥管理过程指定所述密钥值被定义为所述a)从所述密钥序列中确定一个密钥序列输出，其中所述密钥序3a)将所述密钥材料值输入到一个对称加密密码，其中所述对称加密个特定的密钥序列；d)使用所述密钥管理过程，用所述多个种子比特分区和所述给定f)通过将解密密码应用于所述给定加密文件生成明12.根据权利要求11所述的方法，其中所述密钥库种子定义了初始种子比特的初始集4合，其中所述初始种子比特的初始集合具有小于所述种子比特集合长度的初始集合长度，始种子比特的初始集合与附加的零的组合长度等于所述种计算设备能够生成所述多个加密密钥中的每个加密密钥。14.一种用于管理多个加密密钥的计算机程序产品，该计算机程序产品包括存有计算a)将密钥库种子存储在所述计算设备的非瞬时性存加密密钥都是相同的，所述指定的密钥长度定义了所述多个密钥比特中的密钥比特的数比特集合中的种子比特的数量，所述种子比特集合长度至少为所述指定的密钥长度的两b)确定一个密钥管理过程，该过程定义了在所述种子比c)把与所述密钥管理过程对应的密钥管理指加密密钥：iv)从所述密钥序列中确定一个加密密钥，其中所述加密密钥可被所述处理器用来执行加密一个明文文件和解密一个密文文件中的至少一项。15.根据权利要求14所述的计算机程序产品，其中所述密钥管理指令被定义为配置所密钥。516.根据权利要求14所述的计算机程序产品，其中所述密钥管理指令被定义为配置所17.根据权利要求14所述的计算机程序产品，其中所述密钥管理过程指定所述密钥值18.根据权利要求14所述的计算机程序产品，其中所述密钥管理指令被定义为配置所a)从所述密钥序列中确定一个密钥序列输出，其中所述密钥序19.根据权利要求14所述的计算机程序产品，其中所述密钥管理指令被定义为配置所a)将所述密钥材料值输入到一个对称加密密码，其中所述对称加密20.根据权利要求14所述的计算机程序产品，进一步包括配置所述处理器识别要加密22.根据权利要求14所述的计算机程序产品，进一步包括配置所述处理器识别要解密ii)使用所述密钥管理过程，用所述多个种子比特分区和所述给定密钥值确定给定密6iv)通过将解密密码应用于所述给定加密文件生成明文文件来生成解密文件，其中所23.根据权利要求22所述的计算机程序产品，其中确定与所述给定加密文件对应的所24.根据权利要求14所述的计算机程序产品，其中所述种子比特集合长度至少是所述25.根据权利要求24所述的计算机程序产品，其中所述密钥库种子定义了初始种子比集合长度，并且所述种子比特集合通过将零附加到所述初始种子比特的初始集合来定义，使得所述初始种子比特的初始集合与附加的零的组合长度等于所述种子26.根据权利要求14所述的计算机程序产品，进一步包括配置所述处理器将所述密钥指令和所述密钥库种子使每个不同的计算设备能够生成所述多个加密密钥中的每个加密ii)确定一个密钥管理过程，该过程定义了在所述种子比特集合和所述多个加密密钥iii)把与所述密钥管理过程相对应的密钥管理指令存储在所述非瞬时性设备存储器将所述种子比特集合分割成多个种子比特分区，其中，针对所述多7从与所述特定的加密密钥对应的密钥材料值中确定一个使用所述多个种子比特分区和密钥值，确定一个密钥序列，其从所述密钥序列中确定一个加密密钥，其中所述加密密钥可被所述处理根据所述密钥序列中所述多个密钥序列比特集合的按位相加来确定所述加密密钥。定义每个种子比特分区，其中每个种子比特分区具有等于所述指定的密钥长度的分区长30.根据权利要求27所述的设备，其中所述密钥管理过程指定所述密钥值被定义为所a)从所述密钥序列中确定一个密钥序列输出，其中所述密钥序a)将所述密钥材料值输入到一个对称加密密码，其中所述对称加密8a)所述指令被定义为配置所述处理器识别要解密v)通过将解密密码应用于所述给定加密文件生成明文36.根据权利要求35所述的设备，其中确定与所述给定加密文件对应的所述给定密钥37.根据权利要求27所述的设备，其中所述种子比特集合长度至少是所述指定的密钥38.根据权利要求37所述的设备，其中所述密钥库种子定义了初始种子比特的初始集合，其中所述初始种子比特的初始集合具有小于所述种子比特集合长度的初始集合长度，始种子比特的初始集合与附加的零的组合长度等于所述种子比特39.根据权利要求27所述的设备，其中所述指令被定义为配置所述处理器将所述密钥所述密钥库种子使每个不同的计算设备能够生成所述多个加密密钥中的每个加密密钥。9[0002]本专利申请要求2019年5月27日提交的美国临时专利申请62/853,081的优先权，这增加了私有和重要数据在未受保护的情况下被不必要ofAppliedCryptography.CRCPress,1996)。一个安全的密钥管理过程应当提供技术和(FIPS)Publication197,UnitedStatesNationalInstituteofStandardsand(如密文攻击和已知/选择的明文攻击)提供更高的安全性(参见，例如，A.J.Menezes,P.C.vanOorschot,andS.A.Vanstone,HandbookofAppliedCryptography.CRCPress,密文件通常需要支持合法用户在将来任何时间的访问，需要安全地维护密钥和密钥材料，个种子比特分区中的种子比特的数量等于密[0019]在某些示例中，所述密钥管理过程可能指定从所述值生成一个文件加密密钥；使用所述密钥管理过程从特定密钥材料值中确定特定密钥值；使用所述密钥管理过程从所述多个种子比特分区和所述特定密钥值中确定一个特定密钥使用解密密码密钥生成所述明文文件，并且当所述解密密码应用于所述给定加密文件时，所述文件解密密钥被用作所述解密密码的解密密码密钥。[0025]在某些示例中，所述种子比特集合长度可能至少是所述并且所述种子比特集合长度可能是所述指定密设备能够生成所述多个加密密钥中的每个加密密钥。密钥库种子可用来生成所述多个加密密钥中的每个加密密钥,其中所述密钥库种子定义了钥比特的数量,其中所述种子比特集合有种子比特集合长度，所述种子比特集合长度指定钥可被所述处理器用来执行加密一个明文文件和解密一个密文文件中的至少一项。合对应于一个种子比特分区与所述密钥值的序列中所述多个密钥序列比特集合按位相加来确定所述加密钥序列。为使用所述密钥材料值来生成密文密钥材料值；将所述密钥值确定为所述密文密钥材料使用解密密码密钥生成所述明文文件，并且当所述解密密码应用于所述给定加密文件时，所述文件解密密钥被用作所述解密密码的解密密码密钥。材料值可能包括从所述加密文件中提取所述给定的密所述初始种子比特的初始集合与附加零的的组合长度等于所述种子比特集和所述密钥库种子使得每个不同的计算设备能够生成所述多个加密密钥中的每个加密密密钥中的每个加密密钥，其中所述密钥库种子定义一个具有多个种子比特的种子比特集中所述密钥管理过程可被所述处理器用来从所述种子比特集合中生成所述多个加密密钥钥材料值；把与所述密钥管理过程对应的密钥管理指令存储在所述非瞬时性设备存储器加密一个明文文件和解密一个密文文件中的至少一项。列，其中每个密钥序列比特集合对应于一个种子比特分区与所述密钥值的不同指数的乘[0046]在某些示例中，所述密钥管理过程可能指定所述密钥值被定义为所述密钥材料所述解密密码的解密密码密钥。述指定的密钥长度的三倍，并且所述种子比特集合长度可能是所述指定密钥长度的整数得所述初始种子比特的初始集合与附加的零的组合长度等于所述种子比特所述密钥管理指令和所述密钥库种子使得每个不同的计算设备能够生成所述多个加密密钥中每个加密密钥。不应将描述视为限制在此描述的实施方案的的所有特征的系统或方法，也不限于下面描述的多个或全部所述装置或方法共有的特征。的系统或方法中公开的，但在本文件中没有要求的任何主题可以是另一个保护工具的主少一个处理单元的一个或多个可编程设备上执行，以及使用数据存储元件(包括挥发性存[0071]至少一些软件程序可以存储在存储介质(例如计算机可读介质，例如但不限于，的方式存储(即未混淆或以其他方式编码以防止直接理解信息)时，数据文件可称为明文[0075]加密是一个使用秘密(加密密钥)将信息(即明文)转换为一种混淆的格式(可称为件，并使用相同的加密密钥生成相应的明文数据文件(此操作中的加密密钥可称为解密密[0080]在密钥库(即多个加密密钥)中，可以根据密钥索引值和/或密钥材料值来辨识单由Xi表示。密钥库的所有密钥索引的集合(也称为密钥库的密钥材料值集合)由符号Ω表表示。多个加密密钥合中的加密密钥数(和符号Λ)在此可称为密钥库的大小和/或密钥库中的密钥数和/或密钥库的密钥索引值数和/或独立密[0082]在此描述的实施方案可以通过管理密钥库种子的方式来便于多个加密密钥的管集合中的多个种子比特是独立同分布(IID)的(即均匀随机分布)，种子比特集合可用于生成多个加密密钥中的每个密钥(换句话说，密钥库种子可用于生成密钥库中的每个密钥)，[0083]密钥库种子的大小可能比多个加密密钥合中的加密密钥种子比特集合的大小(即种子比特集合中的种子比特的数量)可能小于密钥库的大小(即密享的秘密比特的数量和/或密钥库种子的比特的数量和/或种子比特集合的种子比特的数值从种子比特集合中生成这个特定的加密密钥。通过使用密钥管理过程和种子比特集合，可以以简洁的方式安全地管理和分发大数量的加密密钥。对各种授权计算设备105A-105N上的数据文件进行自动备115可能包括一台或多台服务器计算机，这些计算机使用互联网等网络连接到计算设备[0096]现有密钥管理技术先例包括PGP类的解决方案(参阅P.Zimmermann.PGPSourceCodeandInternals.MITP口令等)和一个随机值中导出(参阅M.Bezzi,etal.Dataprivacy,inJ.Camenisch,editor,PrivacyandIdentityManagementforLife,Springer,2011)。在前一种情况对手(例如未授权设备120)可以观察到除共享密件K之外与每个合法接收者(如授权设备钥。[0098]此处描述的密钥生成和管理的系统和方法可以定义使用安全对称密码安全地(从过程。此处描述的实施方案可以配置为在用户能够管理共享秘密比特K中相对较小的一个[0099]定义与共享秘密比特相对应的密钥索引集合Ω,其基数等于随机加密密钥数Λ。密钥索引集合Ω的元素可以作为多个加密密钥的加密密钥的密钥索引(也称为密钥材料索引集合中的每一个密钥索引值(即每个ω∈Ω)，可以简单地从种子比特集合K和密钥索[0100]此处描述的系统和方法可以在不对对手的计算资源做任何假设的情况下进行定[0105]·对于任何独立的密钥索引值知道与第一加密密钥不会显著减少与第二个密钥索引值对应的第二个加密密钥k(Xn+1)的件香农熵最多比只给定第二个密钥索引值下的第二个加密密钥的条件香农熵多出一个最以远小于多个加密密钥中的密钥数Λ(即L<<Λ≤2l)。密钥材料集合Ω中的每一个密钥[0108]给定任何密钥材料值ω∈Ω,使用密钥管理过程G可以从共享秘密K(即种子比特[0111]当一个未加密文件(例如明文文件)在204加密时，可以一个密钥材料值ω,然后，由密钥管理过程G定义的密钥映射可用于从种子比特钥材料值在202a生成相应的加密密钥k(ω)，此操作等同于从密钥库Ψ中随机选择一个加[0116]处理器104通过计算机数据总线连接到存储器106。存储器106可能包括挥发性存储器和非瞬时性存储设备。非瞬时性存储器存储由计算机可执行指令组成的计算机程序，存储在存储器106中的指令(例如软件程序)，并可能通过一个或多个接口传输或接收输入在每台设备105上的加密应用程序114可负责设备105上的加密和解密操作。可以配置加密应用程序114以确定用于生成和管理加密密钥的[0123]例如，可以根据确定的密钥管理过程配置加密应用程序114以生成加密/解密密上存储一个或多个密钥库种子和/或生成一个或多个密钥库种子，这些密钥库种子可以存一个或多个加密/解密密钥。105共享和/或同步，如美国专利第9，619,667号(题为"METHODS,SYSTEMSANDCOMPUTER同设备105之间同步密钥库种子可以使不同的设备能够以安全的方式在设备105之间以密令传输到多个不同的计算设备105。密钥管理指令和密钥库种子可使每个不同的计算设备[0125]在某些情况下，用户可能希望将加密文件/密文从第一台设备105A移动到第二台(如USB或Firewire键)将一个或多个加密文件/密文从第一台设备105A传输到第二台设备[0126]为了允许在第一个设备105A上由加密应用程序114加密的加密文件/密文能够在程序114可以使用与所接收的文件一起传输的密钥库种子和密钥信息(如密钥材料值)，按[0127]在某些情况下，可以配置加密应用程序114从密钥库种子生成一个很大数量的加细信息，请参见美国专利第9，619，667号，标题为“METHODS,SYSTEMSANDCOMPUTERPROGRAMPRODUCTFORPROVIDINGENCRYPTIONONA[0129]此处描述的示例系统管理的数据存储在非瞬时性存储器中时，无论在授权设备密钥管理过程200可能是上面简要描述的密钥[0131]在密钥管理过程G中，用符号Xi来表示为加密第i个文件而选择的随机密钥材料[0133]可以定义密钥管理过程G使每个密钥材料值Xi和对应的加密密钥k(X独立的，从而每个密钥材料值Xi和对应的加[0135]使用本处描述的密钥管理过程G使每个加密密钥k(Xi)能够根据密钥库种子K定义的种子比特集合和与密钥材料值/密钥索引值Xi对应的密钥导出值(也称为密钥值)计算出库种子K的种子比特集合来实现管理大量且不断增长的随机密钥列表，这样大大减少或减及多个加密密钥中的加密密钥数Λ(满足L<<Λ≤2l)，可以定义许多不同的信息理论β‑[0137]定义密钥库种子熵值f为指定的种子比特的数量与指定的密钥长度之间的比率的钥材料值集合Ω中任何不同的密钥材料值ω1,ω2,…,ωf,ωf+1，相应的多个加密密钥)是独立同分布(IID)，并且相应的多个加密密钥合k(ω1),k[0138]自从香农关于完美保密工作以来(参见C.Shannon,“Communicationtheoryof“Conditionally‑perfectsecrecyandaprovably‑securerandomisedcipher,”JournalofCryptology,5(1):53‑66,1992；U.Maurer,“Secretkeyagreementbypublicdiscussionfromcommoninformation,”IEEETrans.Inform.Theory,39(3):733–742,1993；R.AhlswedeandI.Csiszàr,“Commonrandomnessininformationtheoryandcryptography–PartI:secretsharing,”IEEETrans.Inform.Theory,39networksecurity:buildingonerasures,”Proceedingsofth“Communicationtheoryofsecrecysystems,”BellSystemTechnicalJournal,28perfectsecrecyandaprovably‑securerandomisedcipher,”JournalofagreementbypublicdiscussionfromcommoniTrans.Inform.Theory,39(4):1121–1132不能应对即使这些密钥安全地分发给了合法方(例如授权设备105)后，维护大数量随机密息理论上安全的密钥管理过程的例子(参见E.-H.YangandX.-W.Wu,“Information-TheoreticallySecureKeyGenerationandManagement,”inProc.ofthe2017IEEEInternationalSymposiumonInformationTheory(ISIT2017),Aachen,Germany,June及可用于保护密钥库种子免受所谓重构攻击的安全对集合长度可以被定义为至少是指定的密钥长度的两倍(即L≥2l)。此处描述的实施方案可超过2的l(l为密钥长度)次方(即L<<Λ≤2l)。[0151]参照图3，可以配置计算设备105以确定密钥管理过程G(例如使用加密应用程序114)。密钥管理过程可以定义种子比特集合和多个加密密钥之间的一个密钥映射(即{0,1L[0152]计算设备105的处理器104可使用密钥管理过程生成多个加密密钥中的每个加密[0153]密钥管理过程G可以以不同方式用于密钥管理。密钥管理过程可用于在多个加密(K,ω)。[0157]加密应用程序114可用于通过对已识别的文件应用加密密码生成密文文件来生成和与用来生成加密密钥k(ω)的特定密钥材料值[0162]加密应用程序114可根据密钥值和存储在设备105上的种子比特集合在202b确定[0163]可以配置加密应用程序114通过在加密文件上应用解密密码来生成解密文件以得使用密钥k(ω)作为解密密码的密钥。保密性可以简化为维持单一的密钥库种子K量对数的密钥比特长度来定义(即需要[logAl比特才能表示Ω中的每地，一个不必要的大密钥索引集合基数Λ将增加由此产生的传输开销。以底层对称密码的大小可能大大小于从该种子比特集合能够生成的加密密钥数(例如，在某些示例中至少＝1,2,…和特的按位减是随机并且均匀分布的，换句话说，对于任何两个不同的ω1,ω2∈Ω,[0177]H(Ψ)＝H(K)＝L[0182]特性1意味着密钥库Ψ中每个密钥k(ω)都是强密钥，并且每个加密密钥k(Xi)与[0190]特性4意味着披露(意外或其他)一个或多个已用的密钥不会显著减少其他密钥的Λ)n[0195]并且所有过程评估值的总和最多等于种子比特集合长度与指定密钥长度之间的[0200]对于任何其他信息理论β-安全的密钥管理过程G及可能不同的β,给定相同的密钥材料值，如果使用密钥管理过程G*生成的任何加密密钥的熵等于或大于使用过程G生成的任何其他信息理论β-安全的密钥管理过程[0206]如上所述，密钥库种子熵值f可定义为指定数量的种子比特的数量与指定密钥长[0207]可根据种子比特集合中种子比特的数量与密钥比特的数量的比率确定一个分区的比率的上限(即fr=[L/1l)。合长度。种子比特集合可通过附加比特(例如附加零)到初始种子比特的初始集合来定义，[0211]可以使用分区值f+把种子比特集合(例如可能经过扩展的K)分割成多个种子比特[0214]可为密钥管理过程定义一个有限域，有限域包含