《密钥分配密与钥管理.ppt》由会员分享,可在线阅读,更多相关《密钥分配密与钥管理.ppt(59页珍藏版)》请在三一办公上搜索。
1、第六章 密钥分配与密钥管理,Key Distribution and Key Management,内容提要,单钥加密体制的密钥分配公钥加密体制的密钥管理密钥托管随机数的产生秘密分割,单钥加密体制的密钥分配,Key Distribution of symmetric cryptography,密钥分配的基本方法,两个用户在使用单钥体制进行通信时,必须预先共享秘密密钥,并且应当时常更新,用户A和B共享密钥的方法主要有A选取密钥并通过物理手段发送给B第三方选取密钥并通过物理手段发送给A和BA,B事先已有一密钥,其中一方选取新密钥,用已有密钥加密新密钥发送给另一方A和B分别与第三方C有一保密信道,C
2、为A,B选取密钥,分别在两个保密信道上发送给A和B,密钥分配的基本方法,如果有n个用户,需要两两拥有共享密钥,一共需要n(n-1)/2的密钥采用第4中方法,只需要n个密钥,KS:一次性会话密钥N1,N2:随机数KA,KB:A与B和KDC的共享密钥f:某种函数变换,2.,一个实例,4.,KDC,A,B,1.Request|N1,3.,5.,密钥的分层控制,用户数目很多并且分布地域很广,一个KDC无法承担,需要采用多个KDC的分层结构。本地KDC为本地用户分配密钥。不同区域内的KDC通过全局KDC沟通。,会话密钥的有效期,密钥更换越频繁,安全性越高。缺点是延迟用户的交互,造成网络负担。决定会话的有
3、效期,应权衡利弊。面向连接的协议,每次建立连接时应使用新的会话密钥。无连接的协议,无法明确确定更换密钥的频率,安全起见,每次交换都用新的密钥。经济的做法在一固定周期内对一定数目的业务使用同一会话密钥。,无中心的密钥控制,有KDC时,要求所有用户信任KDC,并且要求KDC加以保护。无KDC时没有这种限制,但是只适用于用户小的场合,无中心的密钥控制,A,B,1.Request|N1,2.,3.,用户A和B建立会话密钥的过程,密钥的控制使用,根据用途不同分为会话密钥(数据加密密钥)主密钥(密钥加密密钥),安全性高于会话密钥根据用途不同对密钥使用加以控制,单钥体制的密钥控制技术密钥标签,用于DES的密
4、钥控制,8个校验位作为密钥标签1比特表示这个密钥是会话密钥还是主密钥1比特表示这个密钥能否用于加密1比特表示这个密钥能否用于解密其余比特保留长度有限,限制了灵活性和功能标签以密文传送,只有解密后才能使用,限制了密钥使用的控制方式。,单钥体制的密钥控制技术控制矢量,对每一密钥指定相应的控制矢量,分为若干字段,说明在不同情况下是否能够使用有KDC产生加密密钥时加在密钥之中h为hash函数,Km是主密钥,KS为会话密钥控制矢量CV明文发送,优点:1.CV长度没有限制2.CV以明文形式存在,公钥加密体制的密钥管理,Key Management of Public Key Cryptography,公钥
5、的分配公开发布,用户将自己的公钥发给每一个其他用户方法简单,但没有认证性,因为任何人都可以伪造这种公开发布,公钥的分配公用目录表,公用的公钥动态目录表,目录表的建立、维护以及公钥的分布由可信的实体和组织承担。管理员为每个用户都在目录表里建立一个目录,目录中包括两个数据项:一是用户名,而是用户的公开密钥。每一用户都亲自或以某种安全的认证通信在管理者处为自己的公开密钥注册。用户可以随时替换自己的密钥。管理员定期公布或定期更新目录。用户可以通过电子手段访问目录。,公钥的分配公钥管理机构,公钥管理机构为用户建立维护动态的公钥目录。每个用户知道管理机构的公开钥。只有管理机构知道自己的秘密钥。,公钥管理机
6、构分配公钥,公钥管理机构,A,B,有可能称为系统的瓶颈,目录容易受到敌手的串扰,公钥证书,用户通过公钥证书交换各自公钥,无须与公钥管理机构联系公钥证书由证书管理机构CA(Certificate Authority)为用户建立。证书的形式为T-时间,PKA-A的公钥,IDAA的身份,SKCACA的私钥时戳T保证证书的新鲜性,防止重放旧证书。,CA的计算机,用户的计算机,证书的产生过程,产生密钥,秘密钥,公开钥,CA的公开钥,CA的秘密钥,签字,证书,用公钥加密分配单钥密码体制的密钥,A,B,简单分配,易受到主动攻击,A,B,攻击者E,用公钥加密分配单钥密码体制的密钥,具有保密性和认证性的密钥分配
7、,A,B,4.,公钥加密体制的密钥管理,Key Management of Public Key Cryptography,用户B,用户A,Diffie-Hellman密钥交换,W.Diffie和M.Hellman1976年提出算法的安全性基于求离散对数的困难性,选择随机数xp计算YA=gx mod p,选择随机数yp计算YB=gy mod p,计算K=YA y=gxy mod p,计算K=YB x=gxy mod p,密钥托管,Key Escrow,密钥托管,也称托管加密,其目的在于保证个人没有绝对的银丝和绝对不可跟踪的匿名性。实现手段是把已加密的数据和数据恢复密钥联系起来。由数据恢复密钥可
8、以得到解密密钥,由所信任的委托人持有。提供了一个备用的解密途径,不仅对政府有用,也对用户自己有用。,美国托管加密标准,1993年4月提出托管加密标准EES(Escrowed encrytion standard)提供强加密功能,同时也提供政府机构在法律授权下监听功能。通过防窜扰Clipper芯片来实现。包含两个特性Skipjack算法,实现强加密法律实施存取域LEAF,实现法律授权下解密,Skipjack算法,单钥分组加密算法,密钥长80比特,输入输出分组长度64Bit4种工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式,托管加密芯片,Skipjack算法
9、80比特族密钥KF(Family key),同一批芯片的族密钥都相同芯片单元识别符UID80bit的芯片单元密钥KU(unique key),由两个80bit密钥分量异或得到控制软件被固化在芯片上,托管加密芯片的编程过程,UID,KU1,E,K1,KU1,E,K2,+,SJKFUIDKU,KF,芯片,芯片编程处理器,托管机构1初始化,托管机构2初始化,托管机构1,托管机构2,托管加密芯片加密过程,用KU加密,加密的KS,UID,A,KS,IV,用KF加密,LEAF,80bit,32bit,16bit,KS:会话密钥A:认证符UID:芯片识别符IV:初始向量,通信和法律实施存取过程,密钥托管密码
10、体制的组成成分,用户安全成分(USC)密钥托管成分(KEC)数据恢复成分(DRC),随机数的产生,Generation of Random Numbers,随机数的用途,相互认证会话密钥的产生公钥密码算法中的密钥产生,随机数的要求随机性,均匀分布数列中每个数出现的频率相等或近似相等独立性数列中任一数不能由其他数推出经常使用的是伪随机数列,随机数的要求不可预测性,对数列中以后的数是不可预测的对于真随机数,满足独立性,所以不可预测伪随机数列需要特别注意满足不可预测性,随机数源,真随机数源物理噪声产生器离子辐射脉冲检测器气体放电管漏电容数的随机性和精度不够这些设备很难联入网络,伪随机数产生器-线性同
11、余法,参数:模数m(m0)乘数a(0am)增量c(0cm)初值种子X0(0X00),a,c,m的取值是产生高质量随机数的关键,伪随机数产生器-线性同余法,a=7,c=0,m=32,X0=17,17,23,1,7,a=3,c=0,m=32,X0=1 3,9,27,17,19,25,11,1,3,选m尽可能大,使其接近或等于计算机能表示的最大整数,周期为4,周期为8,伪随机数产生器-线性同余法,迭代函数应是整周期的,在重复之前应出现0到m间的所有数产生的数列看上去应是随机的迭代函数能有效的利用32为运算实现如果m为素数,且a为m的本原根,产生的数列是整周期的。a=16807,m=231-1,c=0
12、,伪随机数产生器-线性同余法,假定敌手知道X0,X1,X2,X3,可以确定参数,随机数的产生,Generation of Random Numbers,基于密码算法的随机数产生器,循环加密,C,C+1,加密算法,主密钥Km,周期为N的计数器,基于密码算法的随机数产生器,DES的输出反馈方式(OFB)模式,采用OFB模式能用来产生密钥并用于流加密。加密算法的输出构成伪随机序列,基于密码算法的随机数产生器,ANSIX9.17伪随机数产生器,EDE,EDE,EDE,K1K2,Vi+1,Vi,Ri,DTi,BBS产生器(blum-blum-shub),密码强度最强,基于大整数分解困难性,选择p,q,满
13、足p=q=3 mod 4,n=pq。选随机数s,s和n互素X0s2 mod nFor i=1 to do Xi=Xi-12 mod n;Bi=Xi mod 2Bi为产生的随机数序列,秘密分割,Secrete Sharing,秘密分割门限方案,导弹控制发射,重要场所通行检验,通常需要多人同时参与才能生效,需要将秘密分为多人掌管,并且由一定掌管秘密的人数同时到场才能恢复秘密。,门限方案的一般概念,秘密s被分为n个部分,每个部分称为shadow,由一个参与者持有,使得由k个或多于k个参与者所持有的部分信息可重构s。由少于k个参与者所持有的部分信息则无法重构s。称为(k,n)秘密分割门限方案,k称为门
14、限值。少于k个参与者所持有的部分信息得不到s的任何信息称该门限方案是完善的。,Shamir门限方案,基于多项式Lagrange插值公式,设(x1,y1),(xk,yk)是平面上k个点构成的点集,其中xi(i=1,k,)各不相同,那么在平面上存在唯一的k-1次多项式f(x)通过这k个点.若把秘密s取做f(0),n个shadow取做f(xi)(i=1,n),那么利用其中任意k个shadow可以重构f(x),从而可以得到秘密s,Shamir门限方案,有限域GF(q),q为大素数,qn+1。秘密s是GF(q)0上均匀选取的随机数,表示为sRGF(q)0.k-1个系数a1,a2,ak-1选取ai RGF
15、(q)0.在GF(q)上构造一个k-1次多项式f(x)=a0+a1x+ak-1xk-1N个参与者P1,Pn,Pi的Shadow为f(i)。任意k个参与者得到秘密,可使用(il,f(il)|l=1,k构造方程组,Shamir门限方案,由Lagrange插值公式,Shamir门限方案,如果k-1个参与者想获得s,可构造k-1个方程,有k个未知量。对任一s0,设f(0)=s0.这样可以得到第k个方程,得到f(x)。对每个s0都有唯一的多项式满足,所有由k-1个shadow得不到任何s的信息。因此此方案是完善的。,Shamir门限方案,例k=3,n=5,q=19,s=11。随机选a1=2,a2=7 f
16、(x)=7x2+2x11 mod 19。计算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6已知f(2),f(3),f(5),重构,Asmuth-Bloom门限方案,首先选取大素数q,正整数s(秘密数据),以及n个严格递增的m1,m2,mn,满足qs(mi,mj)=1(对所有ij)(q,mi)=1(对所有i),N/q大于任取的k-1和不同的mi的乘积,选随机的A,满足0A N/q-1,公布q和A,Asmuth-Bloom门限方案,求y=s+Aq(yN),yi=y(mod mi)(i=1,N).(mi,yi)为一子密钥.集合(mi,yi)(i=1,n)构成(k,n)门限方案
17、 当k个参与者提供子密钥时,可建立方程组由中国剩余定理可以求得y=y mod N,N为k个m的乘积,大于等于N,所以y=y是唯一的,再由y-Aq得到s,Asmuth-Bloom门限方案,如果仅有k1个参与者,只能求得y=y mod N,而N91=7*13=qm3 在0,99/7-1=0,13中随机取A=10,求ys+Aq=4+107=74.y1y mod m1=2 y2y mod m2=8 y3y mod m3=9,(9,2),(11,8),(13,9)构成(2,3)门限方案,Asmuth-Bloom门限方案,若已知(9,2),(11,8),可建立方程组解得y=(1152958)mod 99=74S=y-Aq=74-1074,
