1、第五章 密钥分配与密钥管理,密钥管理思想密钥分配方法Shamir门限方案密钥托管技术随机数生成技术,难点: Shamir门限方案重点:密钥分配方法,一、密钥管理,控制或参与密码变换的可变参数称为密钥(key),分为加密密钥(encryption key)和脱密密钥(decryption key)。,密钥是密码中最机密的信息,密码保密完全寓于密钥之中。即使密码算法公开、密码设备丢失,只要密钥保密,仍然可以使用。,(一)基本概念,1、密钥的特点,随机性(密钥 应从密钥空间中随机选取),难穷尽性(密钥空间足够大),易更换性(由于密钥原因出现安全问题时,应能方便的更换密钥,且更换密钥不会降低算法的安全
2、性)。,(1)基本密钥(Base Key) 又称初始密钥(Primary Key),用户密钥(User key),是由用户选定或由系统分配给用户的,可在较长时间(相对于会话密钥)内由一对用户所专用的密钥。(2)会话密钥(Session Key) 即两个通信终端用户在一次通话或交换数据时使用的密钥。当它用于加密文件时,称为文件密钥(File key),当它用于加密数据时,称为数据加密密钥(Data Encrypting Key)。,2、密钥类型,(3)密钥加密密钥(Key Encrypting Key)(4)公开密钥、秘密密钥(5)签名密钥,由于密钥的用途不同,需要对密钥的使用方式加以控制。,单
3、钥体制中的密钥控制技术主要有以下两种。(1) 密钥标签例如用于DES的密钥控制,将DES的64比特密钥中的8个校验位作为控制使用这一密钥的标签。标签中各比特的含义为: 一个比特表示这个密钥是会话密钥还是主密钥; 一个比特表示这个密钥是否能用于加密; 一个比特表示这个密钥是否能用于解密; 其他比特无特定含义,留待以后使用。,由于标签是在密钥之中,在分配密钥时,标签与密钥一起被加密,因此可对标签起到保护作用。本方案的缺点: 第一,标签的长度被限制为8比特,限制了它的灵活性和功能;第二,由于标签是以密文形式传送,只有解密后才能使用,因而限制了对密钥使用的控制方式。,(2) 控制矢量这一方案比上一方案
4、灵活。方案中对每一会话密钥都指定了一个相应的控制矢量,控制矢量分为若干字段,分别用于说明在不同情况下密钥是被允许使用还是不被允许使用,且控制矢量的长度可变。 控制矢量是在KDC产生密钥时加在密钥之中的,首先由一杂凑函数将控制矢量压缩到与加密密钥等长,然后与主密钥异或后作为加密会话密钥的密钥,即 其中CV是控制矢量,h是杂凑函数,Km是主密钥,KS是会话密钥。,会话密钥的恢复过程,控制矢量的使用方式,3、密钥的生存期,密钥的生存周期:授权该密钥的使用周期。原因:(1)拥有大量的密文有助于密码分析;一个密钥使用得太多了,会给攻击者增大收集该密钥对应的密文的机会;(2)假定一个密钥的安全受到威胁(如
5、:被窃取),则限定密钥的使用期限就相当于限制了危险发生的影响。,密钥生存周期,密钥产生,密钥分配,密钥备份,密钥存储,密钥更新,密钥恢复,密钥销毁,(二)密钥管理的主要内容,密钥管理:指对密钥从最初产生到最终销毁的全过程实施计划、组织、指挥、协调和控制的活动。涉及到密钥的产生、存储、分配、更新、备份、恢复和销毁的全过程。,现代密钥管理技术研究内容,密钥的生成技术,密钥分层保护技术,密钥分割技术,密钥分配技术,密钥托管技术,目前已有多种密钥产生器可以提供大型系统所需的各类密钥。密钥的产生应有严格的技术和行政管理措施,技术上要确保生成密钥的算法有足够的复杂度和安全性,并且要能通过各种随机性检验,管
6、理上要确保密钥是在严格的保密环境下生成,不会被泄露和篡改。,密钥产生是随机产生秘密参数以便为密码系统生产所需密钥的过程。,1、密钥产生,密钥存储是存放密钥以备使用的过程。如果密钥不是在使用中实时产生并一次性使用,则它们必然要经历存储的过程。 密钥可以存放在个人的脑海中,可以存放在ROM密钥卡或磁卡中,也可用加密形式存放在系统中。,2、密钥存储,密钥存储设备应该对密钥的安全性提供保证,对秘密密钥提供机密性、真实性和完整性保护,对公开密钥提供真实性和完整性保护。,3、密钥分配,密钥分配是分发和传送密钥的过程,即是使使用密码的有关各方得到密钥的过程。 密钥分配要解决安全问题和效率问题。如果不能确保安
7、全,则使用密码的各方得到的密钥就不能使用;如果不能将密钥及时送达,将不能对用户信息系统使用密码进行及时的保障。,密钥分配手段包括人工分配和技术分配。,密钥更新是指在密钥过期之前从旧的密钥产生出新的密钥,并以新的密钥代替旧的密钥。密钥在以下三种情况下需要进行更新:(1)密钥的生存期结束。(2)已知或怀疑密钥已被泄露。(3)通信成员中有人提出更新密钥。,4、密钥更新,密钥备份是指保留密钥的副本以备密钥损坏时恢复密钥。 备份的密钥必须存放在安全的存储设备中,并且具有不低于正在使用的密钥的安全控制水平。,5、密钥备份,密钥备份的方法:(1)密钥托管方案:将要备份的密钥交由可信赖的安全人员放在安全的地方
8、保管(或用主密钥加密后封存)。(2)密钥拆分:将要备份的密钥分成几个部分分别加密存储,其中任何一部分都不起关键作用,需要时取出有关的几部分恢复出完整的密钥。(3)使用智能卡作为临时密钥托管。,6、密钥销毁,密钥销毁是指对密钥及其所有备份进行销毁而不再使用的过程。,在两种情形下需要销毁密钥:(1)密钥的生存期结束,为防止密钥泄露造成从前加密的信息被破译,需要及时销毁已不再使用的密钥。(2)在密钥保护的机密信息的安全受到威胁或密码面临敌人获取的危险情况下,为保护该信息或密码的安全,需要立即销毁密钥。,(三)密钥保护,密钥保护的原则:是既利保密,又利使用。措施:有密钥分层保护和分散保护。,方式1:将
9、密钥分散在密码机和操作员的手中;方式2:利用门限方案,将密钥分散在不同的人手中。例如,对于密钥备份文件的解密与密钥恢复,必须有多个人的参与才能实施。,1、密钥的分散管理策略,密钥分散保护通常指将密钥分成几个部分,存放在不同的地方或由不同的人掌管,使用时再将几部分结合起来。当一部分泄露时,不会危及整个主密钥的安全。,三级密钥管理体制,2、密钥管理的分层保护策略,密钥分层保护也称为逐级保护,一般将密钥分为三层,一级密钥保护二级密钥,二级密钥保护三级密钥等。,一级密钥:通常是主密钥,负责保护二级密钥。,二级密钥:关键的数据加密密钥和密钥加密密钥,负责保护关键数据。如基本密钥、集合密钥(端端密钥)、公
10、钥密码的秘密密钥、认证密钥,三级密钥:通常是用于一次通信的会话密钥或存储加密的文件密钥等。,在一个密码系统中,无论密钥如何分层保护,最高一级的密钥(一般是主密钥)总是明的,无法采用密码算法保护,而直接将主密钥明放在计算机中是不允许的,因此必须对主密钥采取相应的保护措施,即对主密钥实行分散管理,将主密钥拆分成几部分,由不同的人来管理或人机共同管理,最大限度的保证主密钥的安全。 对密钥实行分层管理也是十分必要的,分层管理采用了密码算法,一级对下一级进行保护,底层密钥的泄露不会危及上层密钥的安全,当某个密钥泄露时,最大限度的减少损失。,3、密钥分层管理和分散管理的必要性,假设A、B双方共享的端端密钥
11、为 ,双方使用相同的密码算法E,利用 来传递一次性会话密钥。,例:,密钥分配指的是在不让非法用户看到密钥的情况下,将一个密钥传递给希望交换数据的双方的方法。,二、密钥分配方法,密钥分配就是一种机制,通过这种机制,可由通信的一方或可信的第三方选取一个秘密密钥,然后将该秘密密钥送给通信的另一方。,密钥分配,传统体制(单钥体制)中秘密密钥的分配公钥体制中公开密钥的分配用公钥算法分配传统体制中的秘密密钥,(一)传统密码体制中的密钥分配,1、密钥分配的一般方法,(1)密钥由A选定,然后物理地传送给B。(2)第三方选定密钥,然后物理地传送给A和B。(3)如果A和B存在过一个共享密钥,一方可以用该旧共享密钥
12、加密新密钥并传输给另一方。(4)如果A和B都有到第三方C的秘密信道,由C为A和B生成密钥,利用该秘密信道,C就可以用加密连接把密钥传递给A和B。,2、一个密钥分配方案,在该方案中,有一个密钥分配中心KDC,假设A是发起方,B是响应方,A和KDC的共享密钥为 ,B和KDC的共享密钥为 ,A通过KDC与B交换会话密钥 的过程如图。,有可信中心KDC参与的密钥分配协议,无中心的密钥分配协议,(二)公钥密码体制中公开密钥的分配,1、公开密钥的分配方式,(1)公开宣布。(2)在公开目录中登录。(3)公开密钥管理机构。(4)公钥证书。,2、通过公开密钥管理机构实现的公钥分配方案,在该方案中,有一个公开密钥
13、管理机构,假设A是发起方,B是响应方,A的公开密钥为 ,B 的公开密钥为 ,密钥管理机构的公开密钥为 ,保密密钥为 。A和B通过密钥管理机构交换公开密钥的过程如图。,有可信中心KDC参与的公开密钥分配协议,公钥证书,(三)用公钥体制分配传统体制中的秘密密钥,1、一个简单的秘密密钥分配方案,简单使用公钥加密算法建立会话密钥,对上述方案的攻击,(1)A临时产生一个公钥体制中的密钥对( , ),然后将( , )传送给B。,(3)B产生会话密 ,并传输 。,(4)C截获报文,通过计算 ,恢复 。,(2)C截获报文,并创建自己的密钥对( , ),然后将( , )传送给B。,(5)C向A传送 。,2、具有
14、保密和鉴别能力的秘密密钥分配,假设A和B已经安全的交换过公钥,在此基础上,A、B交换会话密钥的步骤如下:,3、Diffie-Hellman 密钥交换协议,秘密共享就是将一个密钥分成许多影子密钥,然后秘密地将它们分配给若干参与者,使得某些参与者在同时给出他们的影子密钥时,可以重建出密钥,但当出示影子密钥的人员数量或授权达不到规定要求时,即使你有无限的计算能力,也得不到密钥的任何信息。,三、秘密共享(秘密分割),(一)基本概念,例1:某个银行有三位出纳,他们每天都要开启保险库。为防止每位出纳可能出现的监守自盗行为,规定至少有两位出纳在场时才能开启保险库。 该问题就可利用秘密共享技术解决。 例2:遗
15、嘱问题: 某富翁有6个子女,将其遗嘱和存款密码分成6片,每个子女1片。规定至少有4个子女同时出示手中密钥时,就能恢复密码。 不要求6人同时出示的目的在于防止1人突然死亡或提出无理要求。,例3:存贮在系统中的所有密钥的安全性可能最终取决于一个主密钥。这样就存在如下两种安全隐患:(1)若主密钥偶然或蓄意地被暴露,整个系统就易受攻击;(2)若主密钥丢失或毁坏,系统中所有信息就无法使用。,保护主密钥的方法:密钥共享方案,定义: 设t和n为正整数,tn。一个(t,n)门限方案就是将密钥k分为n个影子密钥的一种方法,使得在知道其中t个影子密钥时可以恢复密钥k,但知道的影子密钥个数小于t时得不到密钥的任何信
16、息。,(t,n)门限方案是一类特殊的秘密共享方案。,(二)(t,n)门限方案,Shamir于1979年基于拉格朗日内插值多项式提出了一个(t,n)门限方案,在方案中,(1)设p是素数,(2)k是秘密密钥,且 KZ/(p),我们介绍一个可信中心,n个参与用户的(t,n)门限方案。,(三) Shamir (t,n)门限方案,(1)可信中心随机选择一个保密的t-1次多项式h(x):,(2)可信中心在 中选择n个非零的、互不相同的元素 ,计算:,(3)将 分配给n个用户,其中 是公开的, 是保密的(即影子密钥),由n个不同的用户保管。,1、Shamir门限方案的共享分配过程,在Shamir方案中,诸x
17、i的值必须注册,也可以公开,但a1, a2, at-1和诸影子密钥ki必须保密。,2、Shamir门限方案的密钥重构,在重构密钥时,就是要确定t-1次多项式,至少需要t个点 ,少于t个点,就无法确定多项式h(x)。,影子密钥与秘密参数a1, a2, at-1的关系为,恢复密钥k的过程,就是由t-1次多项式的t个不同点,求出该多项式的过程。是否有比解方程组更简单的方案呢? 至少有求多项式的Lagrange插值公式方法!,实际上, ,利用拉格朗日内插值多项式,h(x)可表示为:,令,则,实际处理时,由于 是公开的,可以先计算 以提高重构速度。,例:,设f(x)=(7x2+2x+11) mod 19
18、分别计算f(1)=(7+2+11) mod 19=20 mod 19=1f(2)=(28+4+11) mod 19=43 mod 19=5f(3)=(63+6+11) mod 19=80 mod 19=4f(4)=(112+8+11) mod 19=131 mod 19=17f(5)=(175+10+11) mod 19=196 mod 19=6得5个子密钥。,密钥分配过程,利用上述多项式构造门限方案,在上述子密钥中,其门限是多少?,(3,5),若已知f(2)=5,f(3)=4,f(5)=6,求密钥f(0),方法1: 列出3个方程,求解线性方程组,方法2:用拉格朗日公式直接求解,用拉格朗日多项
19、式求解,3、Shamir方案的优点:,(1) 可以在不改变原来影子密钥的前提下,增加新的参与者。 方法:在Z/(p)中随机选一个xn+1, 并将kn+1= f (xn+1)分配给第n+1个参与者. (2) 可以在不改变原来影子密钥的前提下,注销一个影子密钥。 方法: 规定xr对应的影子密钥不合法。,对密码协议的攻击,不仅要防敌对的第三方,也要防内部不诚实的参与者。 在Shamir方案中,当诸xi的值公开时,实际上bj,是已知的,密钥恢复仅与各影子密钥有关。,4、Shamir方案的缺点:,由于其他用户无法知道不诚实者所附加的e,因而得不到真正的秘密密钥k的任何信息,但他自己却因知道e,故可恢复出
20、秘密密钥k。 这一缺陷可通过对影子密钥的认证来解决。,若不诚实的参与者出示假的影子密钥(kj+e)modp,这时恢复出的密钥为,四、密钥托管技术,密钥托管也称为托管加密,其目的是保证对个人没有绝对的隐私和绝对不可跟踪的匿名性,即在强加密中结合对突发事件的解密能力。 其实现手段是把已加密的数据和数据恢复密钥联系起来,数据恢复密钥不必是直接解密的密钥,但由它可得解密密钥。,1993年4月,美国政府为了满足其电信安全、公众安全和国家安全,提出了托管加密标准EES(escrowed encryption standard),该标准所使用的托管加密技术不仅提供了强加密功能,同时也为政府机构提供了实施法律
21、授权下的监听功能。这一技术是通过一个防窜扰的芯片(称为Clipper芯片)来实现的。,(一)、美国托管加密标准简介,它有两个特性: 一个加密算法Skipjack算法,该算法是由NSA设计的,用于加(解)密用户间通信的消息。该算法已于1998年3月公布。 为法律实施提供“后门”的部分法律实施存取域LEAF(law enforcement access field)。通过这个域,法律实施部门可在法律授权下,实现对用户通信的解密。,1. Skipjack算法Skipjack算法是一个单钥分组加密算法,密钥长80比特,输入和输出的分组长均为64比特。可使用4种工作模式:电码本模式,密码分组链接模式,6
22、4比特输出反馈模式,1、8、16、32或64比特密码反馈模式。,Skipjack算法以及在法律授权下对加密结果的存取是通过防窜扰的托管加密芯片来实现的。芯片装有以下部分: Skipjack算法; 80比特的族密钥KF(family key),同一批芯片的族密钥都相同; 芯片单元识别符UID(unique identifier); 80比特的芯片单元密钥KU(unique key),它是两个80比特的芯片单元密钥分量(KU1,KU2)的异或; 控制软件。,2、托管加密芯片,3. 用托管加密芯片加密 通信双方为了使用Skipjack算法加密他们的通信,都必须有一个装有托管加密芯片的安全的防窜扰设备
23、,该设备负责实现建立安全信道所需的协议。,LEAF产生过程,4、法律实施存取,(二)密钥托管密码体制的组成成分,密钥托管密码体制从逻辑上可分为3部分:,用户安全成分USC,密钥托管成分KEC,数据恢复成分DRC,DRF(数据恢复区域),DRC使用包含DRF中的信息及由KEC提供的信息恢复明文,五、随机数的产生技术,相互认证; 会话密钥的产生,用随机数作为会话密钥; 公钥密码算法中密钥的产生;流密码中的密钥流在随机数的上述应用中,都要求随机数序列满足随机性和不可预测性。,1、随机数的使用范围,2、伪随机数产生器,最为广泛使用的伪随机数产生器是线性同余算法。算法有4个参数:模数m(m0),乘数a(
24、0am),增量c(0cm),初值即种子X0(0X0m);由以下迭代公式得到随机数数列Xn:Xn+1=(aXn+c) mod m如果m、a、c、X0都为整数,则产生的随机数数列Xn也都是整数,且0Xnm。,3、基于密码算法的随机数产生器,1. DES的输出反馈(OFB)模式,2. ANSI X 9.17的伪随机数产生器,ANSI X9.17的伪随机数产生器是密码强度最高的伪随机数产生器之一,已在包括PGP等许多应用过程中被采纳。, 输入为两个64比特的伪随机数,其中DTi表示当前的日期和时间,每产生一个数Ri后,DTi都更新一次;Vi是产生第i个随机数时的种子,其初值可任意设定,以后每次自动更新。, 密钥产生器用了3次三重DES加密,3次加密使用相同的两个56比特的密钥K1和K2,这两个密钥必须保密且不能用作他用。, 输出为一个64比特的伪随机数Ri和一个64比特的新种子Vi+1,3、随机比特产生器,1)BBS(blum-blum-shub)产生器,2)Rabin产生器,3)离散指数比特产生器,
