双证书体系幻灯片

1、双证书体系,高能,1,2,提纲,为什么会有双证书体系 双证书流程 双证书的实现和使用 密钥管理机构的系统功能 双证书体系的讨论 中国电子签名法以及相关规定,3,回顾,从技术上而言，每个人有1个证书，PKI就可以很好支持如下服务 机密性 完整性 非否认 真实性认证 从法律法规、政府管理方面而言，对于以上安全服务，又是如何考虑？是否与PKI有冲突、或者特殊的要求？ 机密性,4,政府的需要,政府希望有监听通信的能力 机密性不能滥用 不是对每个人、每次通信都监听 重要的是：有监听的“能力” 想要监听的时候，就能够监听 监控犯罪分子、执法需要、取证 例如（传言，未经证实） 三去车仑工力使用PGP通信 基

2、地组织的网站使用SSL/TLS,5,机密性对称加密,对称密码体系下的机密性 对称密码的大规模使用需要Key Distribution Center，KDC要参与密钥协商，只要控制了KDC，就能够解密通信 通信双方如果要自主地、安全地协商密钥，代价也比较大 双方要自主地建立安全信道，代价较大 人工地交换密钥，也会被政府机构发现 政府的控制比较容易控制KDC 进入公钥时代，机密性更容易获得 同时，也因为计算技术的发展,6,PKI使得机密性更容易获得,公钥密码 大规模地使用公钥密码，需要PKI/CA PKI用户进行机密性通信时，并不需要CA的参与 CA并不知道订户的私钥 机密性是由通信双方控制的，权

3、威第三方不知道 同时，因为计算技术的发展 加解密不再需要专门的加密机 普通的PC+软件程序就能够有高速率的加密 总之，机密性更加容易获得 自然，政府的监控，也就更难,7,关于机密性的控制,一直以来，政府都认为需要控制机密性的使用 在对称加密时代 著名美国国家标准DES算法，密钥长度56 bit 基于Lucifer算法改进， Lucifer的密钥长度是128 bit 美国国家安全局NSA（National Security Agency）的坚持，越改越短。 甚至于有人认为，在DES设计之初，NSA就已经有足够的能力破解DES 以及后来的Key Escrow计划 流产了,8,Key Escrow,

4、Key Escrow 美国 加密算法的Key，不是加密设备自己生成的，而是由托管机构代为生成的，生成后导入加密设备 如果证据表明，是利用密码在进行危及国家安全和违反法律规定的事，经法院许可，政府可从托管机构取来密钥、监听通信 托管机构是否可信？ 美国的Key Escrow遭到很多人的反对,9,中国对于机密性的控制,商用密码管理条例 商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 个人通信自然也在此列 商用密码产品由国家密码管理机构指定的单位生产。 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品

5、。 下载并使用国外软件，是否有问题？ 商用密码产品的用户不得转让其使用的商用密码产品。,10,从对称加密时代进入PKI,在对称加密时代，政府希望对机密性进行合理的监控 进入PKI后，机密性更加容易获得，机密性应用更加广泛 也是因为计算技术的发展 因为人人都能得到机密性，合理的监控更迫切 政府迫切需要一种控制方法,11,可能的控制方法,阻止PKI的使用？NO 潮流所趋 木已成舟，PKI已经开始使用 难以禁止 其他方面的安全服务 例如，电子签名/电子交易，也需要PKI的支持，不能禁止 让PKI仅仅支持其他方面的安全服务，不支持机密性？NO RSA算法，可同时用于加密和签名,12,类似于Key Es

6、crow的方法,要求PKI支持类似Key Escrow的功能 政府部门可以在必要的时候，解密订户的秘密通信 PKI的机密性服务的过程，如下： Alice通过证书拿到Bob的公钥 生成随机的Session Key，加密数据 用Bob公钥加密Session Key发给Bob 只有Bob的私钥可以解密 那么，掌握了Bob的私钥，就可以解密通信 所以，政府必须控制私钥的生成/存储 从什么地方控制？,13,控制订户私钥的生成,在PKI大规模使用的情况下 政府难以直接对每个订户进行控制 要求订户生成密钥时，同时copy一份给政府 规模太大、数量太大 从CA方面入手 一般认为CA是商业机构，直接掌握订户的机

7、密，并不合适 所以，仍然需要有类似的第三方密钥托管机构 密钥管理机构 要求PKI提供一种“可控的”机密性服务 而不是单纯的机密性服务,14,密钥管理机构,或者密钥管理中心 Key Management Center 简称KMC 负责管理用户的加密密钥，在必要的时候，提供监听能力 一般称为Key Recovery 密钥恢复,15,Key Recovery密钥恢复,政府机关监听需要 其他需要 为了机密性，将文件进行加密存储 如果密钥丢失，文件就不能恢复 订户自己也有Key Recovery的需求,16,回顾PKI系统结构图,17,更完整的PKI系统+密钥管理机构,18,密钥管理机构的定位,并不是技

8、术的需要 而是管理、法律上的需求 运行管理上 密钥管理机构的管理应该是中立于CA公司 因为它掌握了大量的订户机密 可以解密用户通信的各种隐私 不应该由商业公司掌握 结论就是： 用户的私钥必须由密钥管理机构来生产/存储,19,密钥管理机构的功能,一般要包括如下功能（后面详细讲解） 密钥生成 密钥存储 密钥分发 密钥更新 密钥撤销 密钥归档 密钥恢复,20,再次回顾,PKI支持如下服务 机密性 政府希望密钥是托管的 完整性 非否认 真实性鉴别 对于后面3种服务，都是可以使用数字签名来实现的 在数字签名方面，法律又是如何？ 中华人民共和国电子签名法,21,电子签名法的适用范围,中华人民共和国电子签名

9、法 民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。 当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。 前款规定不适用下列文书： 涉及婚姻、收养、继承等人身关系的； 涉及土地、房屋等不动产权益转让的； 涉及停止供水、供热、供气、供电等公用事业服务的； 法律、行政法规规定的不适用电子文书的其他情形。,22,电子签名制作数据私钥,从中华人民共和国电子签名法可看出，电子签名涉及我们生活的许多方面 注：中华人民共和国电子签名法中，其实就是PKI提供的数字签名 我们下面会混用电子签名和数字签名2个名词 电子签名关

10、系到我们的切身利益 民事活动中的合同或者其他文件、单证等文书都是可以使用的 各种合同等等,23,法律对电子签名的技术要求,电子签名法规定同时符合下列条件的，视为可靠的电子签名： 电子签名制作数据用于电子签名时，属于电子签名人专有 签署时电子签名制作数据仅由电子签名人控制 签署后对电子签名的任何改动能够被发现 签署后对数据电文内容和形式的任何改动能够被发现 注：电子签名制作数据 如果将非对称密码学用于电子签名，指的就是私钥,24,4条技术要求的分析,电子签名人专有 私钥应该证书Subject单独拥有的 私钥不能托管 签署时私钥仅由电子签名人控制 签名工具（PKI应用系统的一部分）本身足够安全 签

11、名工具的运行环境足够安全 病毒、木马等等 能够发现签名结果的改动，能够发现被签名数据的改动 要使用足够的算法强度、密钥长度、Hash算法,25,除了算法强度上的技术要求,有如下2条 私钥不应该托管 与机密性的要求正好相反 签名工具（PKI应用系统）足够安全 签名工具的不安全，相当于电子印章到处乱丢 后面我们会看到，“好的”PKI应用系统是“实际地、而不是形式上地”实现双证书体系的必要条件,26,其他国家,世界上第一部数字签名法 Utah Digital Signature Act，美国犹他州，1995 A private key is the personal property of the

12、subscriber who rightfully holds it，按照法律的解释，指： 能够使用 不泄漏给其它任何人 私钥不是以偷、抢、窃听等其他非法手段得到 犹他州数字签名法规定，CA也可以托管订户的private key，但必须得到订户的明确书面授权,27,数字签名私钥的要求,其他国家的数字签名法、电子签名法，也有类似的要求 数字签名私钥必须是由订户自主控制的 注：任何其他人使用其私钥，都要得到订户的明确授权,28,出现了矛盾的要求,机密性 私钥应该托管、应该备份 数字签名 私钥应该是用户自主控制的 PKI怎么办？,29,双证书体系,为了支持法律法规的要求，PKI区分了签名证书和加密证

13、书 从法律上而言，必须分开2种证书/密钥 用于加解密/数字签名的密钥，法律上的要求不一致 2种情况下，对于私钥的生成有完全不同的要求，订户必须同时具有2个证书密钥对 根据电子签名法 用于签名的私钥应该是由订户自己掌握的 根据密码管理规定 加密密钥则由KMC共同掌握,30,双密钥/双证书,订户同时具有2个证书密钥对 2个证书、2个密钥对 一般，称为 签名密钥/签名证书 加密密钥/加密证书 分别用于机密性和数字签名 签名密钥由订户自己生成 加密密钥由密钥管理机构生成,31,双证书的关系,双证PKI体系中，同一用户的2个证书，一般除了以下，其他信息都是相同的 仅有如下信息不同： 证书序列号 公钥信息

14、 Key Usage扩展、Extended Key Usage扩展 Private Key Usage Period扩展 CA签名结果 注：并不是强制要求相同,32,提纲,为什么会有双证书体系 双证书流程 双证书的实现和使用 密钥管理机构的系统功能 双证书体系的讨论 中国电子签名法以及相关规定,33,增加申请证书流程,已有的流程（用于签名密钥） 订户生成密钥对 将身份信息和公钥交给RA RA审核无误后，CA签发证书 RA或者CA将证书交给订户 密钥管理机构的流程（用于加密密钥）,34,申请证书的流程变化,已有的流程（用于签名密钥） 密钥管理机构的流程（用于加密密钥） 订户将身份信息交给RA，申

15、请证书 RA审核无误，RA或者CA从KMC获得密钥对 KMC事先生成了密钥对 CA签发证书 RA或者CA将证书和密钥对一并交给订户,35,实际上,不可能要求同一个订户进行2次流程，应该使用1次流程，同时获得了加密证书和签名证书 方便订户 同时，也减少RA/CA系统的负担 方便管理 减少数据存储 所以，双证书的证书申请流程 如下,36,双证PKI体系的流程1,订户从KMC获得加密密钥对、 自己生成签名密钥对 发送证书请求给RA/CA 消息中有2个公钥 RA/CA要确认加密密钥对来自于KMC 以及身份信息等 签发2张证书 如下图,37,流程图1,KMC,加密密钥,加密密钥,签名密钥,证书请求,证书

16、请求,是不是你生成的？,双证书,双证书,双证书,38,加密密钥的检查,其中，对加密密钥的检查 确认来自于KMC 因为KMC不是直接和CA通信 可能使用的方法 查询响应式，要求KMC/CA同时在线 一般不使用 由KMC签名，订户将签名结果一并交给CA 相当于数据源认证 KMC进行签名的次数太多 KMC将大批量的公钥以安全的方式事先交给CA，CA检查时，仅仅本地匹配查找,39,双证PKI体系的流程2,订户生成签名密钥对 发送证书请求给RA/CA 消息中有1个公钥 RA/CA再向KMC请求另一个公钥 也可以事先批量请求，存储在CA数据库中 签发2张证书，交给订户 订户向KMC索取加密私钥,40,流程

17、图2,KMC,签名密钥,证书请求,证书请求,双证书,双证书,双证书,双证书,加密密钥,加密密钥,41,对于加密密钥的检查,因为公钥是CA以安全通道从KMC得到，不需要检查 确定是来自于KMC 以上2种流程，都需要订户与KMC进行通信，获取加密密钥对,42,双证PKI体系的流程3,订户生成签名密钥对 发送证书请求给RA/CA 消息中有1个公钥 RA/CA向KMC请求加密密钥对（包括私钥） 也可以事先批量请求，存储在CA系统中 签发2张证书，同加密密钥一起交给订户,43,流程图3,KMC,签名密钥,证书请求,证书请求,加密密钥,加密密钥,加密密钥,双证书,44,管理要求,管理上 KMC作为管理密钥

18、的机密重地，不希望直接面对大规模的最终用户 KMC面向CA服务 CA作为商业服务机构，面向用户 所以，通常加密密钥对的传输是经过CA的 也是第3种流程 存在着如下图的问题 注：如果加密密钥是由KMC直接交给订户，则没有此问题,45,加密密钥传输的问题,加密私钥泄漏,KMC,证书请求,哈哈哈哈 我知道你的私钥！,46,加密密钥传输的问题,私钥经过CA传输，CA知道了不应知道的信息 必须进行一定的加密措施 使用非对称加密解决 如下,47,解决方法,订户申请加密证书时，生成1对临时密钥 将临时公钥交给CA CA将临时公钥交给KMC 用来保护加密名私钥 如下图,48,图示,加密私钥的传输 受到临时公钥

19、的保护,KMC,证书请求临时公钥,证书请求临时公钥,临时公钥,临时公钥,加密密钥,49,上面流程的问题,要求CA/KMC之间在线通信 因为加密密钥对不能事先批量地交给CA 可能会带来问题 CA和KMC都有网络连接，CA和KMC可能位于不同的物理位置 通信保护的成本增加 KMC在线地对外服务，就要增大安全措施成本 如果要求CA/KMC之间off-line，如何保护加密私钥不被CA知道？,50,另一种解决方案,基于密码信封和USB Key KMC将加密私钥导进USB Key USB Key使用PIN保护 PIN存在于密码信封中 KMC将公钥、USB Key、密码信封同时交给CA CA签发证书后，将

20、证书、USB Key、密码信封同时交给订户 订户检查密码信封 确认无破损、信封的确是来自于KMC 确认没有任何第三方使用过USB Key,51,实际情况,在实际情况中，一般加密密钥的传输都是经过了CA，KMC不与最终用户通信 签发证书之后，CA还需要将密钥分发的情况告知KMC 密钥A给了Alice，证书序列号是558 密钥B给了Bob，证书序列号是849 ,52,提纲,为什么会有双证书体系 双证书流程 双证书的实现和使用 密钥管理机构的系统功能 双证书体系的讨论 中国电子签名法以及相关规定,53,Key Usage扩展,订户有了2个证书密钥对 如何标识和区分？ PKI应用系统才能够认识 所以，

21、必须要使用Key Usage扩展，才能实现双证书体系 X.509证书格式版本3才有支持扩展 必须使用X.509v3证书,54,Key Usage扩展的关键度,要求PKI应用系统必须明确地知道是加密密钥或者是签名密钥，所以 Key Usage关键度 TRUE 关键扩展,55,Key Usage扩展值订户证书,加密证书 keyEncipherment密钥加密 dataEncipherment数据加密 keyAgreement密钥协商 签名证书 digitalSignature数字签名 nonRepudiation非否认 其他 certSign/crlSign不设定 onlyEncrypt/only

22、Decrypt，由CA自主决定,56,PKI应用系统的问题,关键扩展，PKI应用系统必须能够识别Key Usage扩展 严格地执行法律和要求 PKI应用系统不能将签名证书中的公钥用于加解密 对PKI应用系统提出了很严格要求 即使用户要利用签名密钥来进行机密性 PKI应用系统MUST回答：NO！不行！ 调用失败,57,与PKI的初衷有一点点偏差,基础设施、提供通用接口 类似于电源插座，提供220V、50Hz 不干涉电器对于电流的使用 只能用于加热烧开水、不能用于照明？！？ PKI对应用系统提出要求 不能乱用密钥对 不能将签名密钥对用于加解密 基础设施对于应用提出了使用上的要求,58,双证书体系的

23、实现,有如下要求 建设KMC CA/RA在流程上支持 证书扩展 更加重要的是 要有PKI应用系统的支持 市场上只能出现符合法律要求的PKI应用系统,59,PKI应用系统的管理困难,市场上只能有符合要求的PKI应用系统 严格地不将签名公钥用于机密性 管理上控制 木已成舟 现在已有大量PKI应用的软件，并不按照Key Usage扩展的说明使用证书 将其消灭！ 软件开发的门槛小 一般程度的专业人员，就可以开发PKI应用系统 严禁开发！违者罚款！,60,PKI应用系统的管理困难,技术上控制 能否发现有人乱用密钥？ 使用专有格式的证书？专有的算法？ 格式保密、算法保密 普通的软件开发者不能开发PKI应用

24、系统 无法互联、互操作 PKI的应用很难开展,61,提纲,为什么会有双证书体系 双证书流程 双证书的实现和使用 密钥管理机构的系统功能 双证书体系的讨论 中国电子签名法以及相关规定,62,密钥管理机构的设计,作为KMC系统，应该支持如下功能 密钥生成 密钥存储 密钥分发 密钥备份 密钥更新 密钥撤销 密钥归档 密钥恢复,63,密钥生成,支持多种算法 按照CA的要求 可靠的随机数源 物理随机噪声 自激振荡器 空气震荡等 使用确定算法、确定的来源，获得的只能是伪随机数 不能产生安全的密钥 专门的、高速物理噪声源芯片,64,密钥存储,KMC中的订户加密密钥必须是加密后存储的 安全性要求 存储时间必须

25、足够长 KMC要有自己的密钥 用于加密存储数据 可以使用对称或者非对称算法 本身足够安全 密钥不丢失、不被滥用,65,密钥分发,KMC提供密钥分发接口 将密钥传输给订户、或者CA 前面提到 一般，KMC都不直接面对订户服务 而是面对CA服务 所以，KMC的密钥分发接口也比较简单 不需要像CA公司，要有功能强大复杂的RA,66,密钥恢复,建立KMC的最大目标就是为了Key Recovery 请求密钥恢复，一般有2种可能 政府机构请求 监控某个人的机密通信 订户请求 密钥丢失、损坏等等 KMC都应该支持上述2种密钥恢复操作 对请求者进行严格的身份审查,67,密钥更新/撤销/归档,密钥更新 指现有P

26、KI订户再次申请加密密钥 KMC应该知道订户与密钥的对应关系 密钥撤销 在证书被撤销后，密钥也同时被撤销 注：撤销后不应被立即删除，还应该存储足够时间 密钥归档 当确定相应的证书已经不再使用、不再需要时，将密钥从运行系统中、安全地存储到其他介质上 保存足够长时间后，才能删除密钥,68,提纲,为什么会有双证书体系 双证书流程 双证书的实现和使用 密钥管理机构的系统功能 双证书体系的讨论 中国电子签名法以及相关规定,69,关于双密钥体系的讨论,每个RSA密钥，都同时支持加解密和数字签名 用签名密钥来进行加解密，从算法而言，是否可行？YES Key Usage扩展，相当于说明“不允许将此密钥用于加解

27、密” 如下的类比 每个水果刀，都同时可用于切水果和谋杀 使用水果刀进行谋杀，是否可行？YES Key Usage扩展在水果刀贴上标签“只能切水果，不得用于谋杀” 贴标签，能否从根本上解决问题？,70,双密钥体系,目前，技术上而言，难以禁止使用者将“签名密钥”用于加解密 双密钥体系更多的是一种管理措施 技术含量很少 能否将签名密钥一并托管？ 是否可行？NO,71,签名密钥,在电子签名法中，规定： 电子签名制作数据用于电子签名时，属于电子签名人专有 签署时电子签名制作数据仅由电子签名人控制 电子签名制作数据，即相当于私钥 必须是电子签名人专有、仅由电子签名人控制 所以，签名密钥不能一并托管 所以，

28、我们仍然要继续无奈地使用目前的双密钥体系,72,双证书使用上的困难,在有些时候，并不容易区分数字签名和机密性 例如，将证书用于IPSec协议 AH提供认证 使用签名证书 ESP提供认证和机密性 使用签名证书？NO，有机密性 使用加密证书？NO，ESP有数据源认证的功能，也可认为是一种数字签名。 SSL/TLS也有同样的问题 可同时实现机密性和数据源认证,73,双证PKI系统在中国,按照电子签名法的要求 CA的建设必须得到国家密码管理机构的同意 根据国家密码管理局的规定 CA系统应该支持与KMC的通信 CA在签发加密证书时，密钥必须是来自于密钥管理中心,74,双证书体系的管理,我们知道，在水果刀

29、上打上标签，并不能完全地解决问题 给证书加上Key Usage扩展，也同样不能完全解决问题 重要的是：对使用水果刀的人进行管理 在双证书中，要对证书的使用者（也就是PKI应用系统）进行管理,75,双证书的重要方面应用系统,CA系统本身应该支持双证书体系，另一方面 根据中国商用密码管理条例，PKI应用系统是否应该归入商用密码产品？ 如果YES 商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。 可能会在某种程度上，限制PKI的使用、互操作、限制PKI产业的发展。 微软Outlook电子邮件系统？能生产吗？ 如果NO 双证书体系的初衷很可能难以得到实现，

30、流于形式 很困难！,76,提纲,为什么会有双证书体系 双证书流程 双证书的实现和使用 密钥管理机构的系统功能 双证书体系的讨论 中国电子签名法以及相关规定,77,双证书体系,我们知道，双证书体系的出现，其重要的原因是因为法律、法规要求 用户的需求比较小 用户可能会要求Key Recovery 完全可以自行备份 下面，简单介绍中国与PKI/CA相关的法律法规,78,中国的主要相关规定,中华人民共和国电子签名法 国家密码管理局电子认证服务密码管理办法 信息产业部电子认证服务管理办法,79,电子签名法,电子签名法适用范围 民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名

31、、数据电文。 当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。 前款规定不适用下列文书： 涉及婚姻、收养、继承等人身关系的； 涉及土地、房屋等不动产权益转让的； 涉及停止供水、供热、供气、供电等公用事业服务的； 法律、行政法规规定的不适用电子文书的其他情形。,80,有效的数据电文,数据电文，在电子签名法也就是指包含有电子签名的数据信息 能够有效地表现所载内容并可供随时调取查用 能够可靠地保证自最终形成时起，内容保持完整、未被更改,81,技术中立性,在电子签名法中，并没有强制性地要求使用第三方认证服务（也就是CA） 具有一定的技术中立性 但是，就

32、目前而言，能够很好地满足电子签名法要求的，就应该使用非对称密码算法 PKI/CA提供的数字签名服务，可以满足其要求,82,数据电文的发送,数据电文有下列情形之一的，视为发件人发送： 经发件人授权发送的 发件人的信息系统自动发送的 病毒、木马等等，都可认为是发件人发送？ 收件人按照发件人认可的方法对数据电文进行验证后结果相符的 病毒、木马发送的数字签名，也可以通过验证？ 盗窃私钥的数字签名，也可以通过验证？ 当事人对前款规定的事项另有约定的，从其约定。 幸好还可以另有约定。呵呵,83,电子签名,可靠的电子签名 电子签名制作数据用于电子签名时，属于电子签名人专有 签署时电子签名制作数据仅由电子签名人控制 与发送规定不一样，病毒代为发送是有效的发送？ 病毒代为签名，则是无效的签名？ 签署后对电子签名的任何改动能够被发现 签署后对数据电文内容和形式的任何改动能被发现 可以选