現(xiàn)代密碼學(xué)與應(yīng)用

現(xiàn)代密碼學(xué)與應(yīng)用——密鑰管理技術(shù)E-mail:參考書籍《HandbookofAppliedCryptography》:Chapter13《ClassicalandContemporaryCryptology》：Chapter9大綱一、密鑰管理的概念二、機(jī)密密鑰分發(fā)技術(shù)三、公鑰分發(fā)技術(shù)四、控制密鑰使用的技術(shù)五、多個(gè)域的密鑰管理六、密鑰生命周期問題一、密鑰管理的概念密鑰管理是一組技術(shù)和過程，它能夠在授權(quán)方間提供密鑰關(guān)系的建立和維護(hù)包括域中系統(tǒng)用戶的初始化密鑰材料的生成、分發(fā)和安裝控制密鑰材料的使用密鑰材料的更新、撤銷和銷毀密鑰材料的存儲(chǔ)、備份/恢復(fù)和存檔指通信實(shí)體共享密鑰材料(包括公鑰、私鑰、初始值以及額外的非秘密參數(shù))的狀態(tài)密鑰分類對(duì)稱密鑰：對(duì)稱密碼系統(tǒng)中使用的相同的秘密密鑰公鑰和私鑰：非對(duì)稱密碼系統(tǒng)中使用的成對(duì)密鑰統(tǒng)稱為秘密密鑰密鑰管理的目標(biāo)在遇到如下威脅時(shí)，仍能保持密鑰關(guān)系和密鑰材料：危及秘密密鑰的機(jī)密性危及秘密密鑰或公鑰的真實(shí)性危及密鑰或公鑰的未授權(quán)使用如，使用一個(gè)過期密鑰，或誤用一個(gè)用于其他用途的密鑰指與之共享密鑰或與之相關(guān)聯(lián)的參與方的真實(shí)身份的知識(shí)及其可炎癥性簡單密鑰建立模式n2個(gè)密鑰分發(fā)問題點(diǎn)對(duì)點(diǎn)和中心化的密鑰管理點(diǎn)對(duì)點(diǎn)機(jī)制利用KDC利用KTC密鑰管理：對(duì)稱密鑰vs.公鑰加密二、機(jī)密密鑰分發(fā)技術(shù)密鑰分層主密鑰：不受密碼學(xué)的保護(hù)。它們被手工分發(fā)或在一開始時(shí)建立，受程序上的控制以及物理或電子隔離的保護(hù)(最高層)加密密鑰的密鑰：用于傳輸或存儲(chǔ)其他密鑰的對(duì)稱密鑰或加密公鑰，如保護(hù)會(huì)話密鑰的密鑰。數(shù)據(jù)密鑰：用于對(duì)用戶數(shù)據(jù)提供密鑰操作(如加密、認(rèn)證)。會(huì)話密鑰(短期)文件密鑰(周期取決于文件)用于簽名的私鑰(長期的)高一層的密鑰用來保護(hù)低一層的密鑰層次越高，安全性要求也越高按使用時(shí)間分類：長期密鑰：包括主密鑰、加密密鑰的密鑰、及有助于密鑰協(xié)商的密鑰多用于數(shù)據(jù)存儲(chǔ)，或用于保護(hù)短期密鑰短期密鑰：包括：密鑰建立協(xié)議中生成的共享密鑰，及會(huì)話密鑰多用于通信應(yīng)用指參與方使用密鑰的預(yù)定時(shí)間；而不是保護(hù)生命周期單步密鑰傳輸具有挑戰(zhàn)-響應(yīng)的密鑰傳輸W=rAW=f(rA,rB)W=rANeedham-Schroeder改進(jìn)協(xié)議（1）2.4.KDCAB1.IDA||IDB3.5.以時(shí)戳替代隨機(jī)數(shù)，用以向A，B保證Ks的新鮮性|Clock－T|<⊿t1+⊿t2Clock:本地時(shí)鐘⊿t1：本地時(shí)鐘與KDC時(shí)鐘誤差估計(jì)值⊿t2：網(wǎng)絡(luò)延遲時(shí)間要求各方時(shí)鐘同步如果發(fā)方時(shí)鐘超前B方時(shí)鐘，可能導(dǎo)致等待重放攻擊這個(gè)協(xié)議中Alice和Bob兩人各與KDC共享一個(gè)秘密密鑰。(A,RA)EB(A,RA,RB)EA(B,k,RA,RB),EB(A,k)解密得k和RA并確認(rèn)RA的有效性EB(A,k),Ek(RB)解密得k,再解密得RB，確認(rèn)RA的有效性A、B分別為Alice和Bob的名字；RA,RB為隨機(jī)數(shù)通過該協(xié)議，Alice、Bob互相確信是正在同對(duì)方談話，而不是跟第三方Y(jié)ahalom協(xié)議AliceKDCBobKerberos認(rèn)證協(xié)議KDCAliceBobA,BEA(T,L,K,B),EB(T,L,K,A)EK(A,T),EB(T,L,K,A)EK(T+1)A、B分別為Alice和Bob的名字；RA,RB為隨機(jī)數(shù)Needham-Schroeder公鑰協(xié)議AliceBob會(huì)話密鑰W=f(k1,k2)PA,PB分別為Alice和Bob的公鑰可實(shí)現(xiàn)相互的實(shí)體認(rèn)證、密鑰認(rèn)證和密鑰傳輸密鑰轉(zhuǎn)換中心KTCE是對(duì)稱加密算法KAT是A和KTC之間的共享密鑰KBT是B和KTC之間的共享密鑰M是建立的會(huì)話密鑰對(duì)稱密鑰證書為了避免對(duì)KTC上存儲(chǔ)的共享密鑰數(shù)據(jù)庫進(jìn)行集中維護(hù)管理，引入了對(duì)稱密鑰證書其中KT：只有KTC知道的對(duì)稱主密鑰；對(duì)稱密鑰證書SCertA：包含KTC和A的長期共享密鑰、實(shí)體A的身份信息，也可以包含時(shí)戳信息；由各個(gè)實(shí)體保存自己的對(duì)稱密鑰證書三、公鑰分發(fā)技術(shù)例：Needham-Schroeder公鑰協(xié)議AliceBob會(huì)話密鑰W=f(k1,k2)PA,PB分別為Alice和Bob的公鑰可實(shí)現(xiàn)相互的實(shí)體認(rèn)證、密鑰認(rèn)證和密鑰傳輸如何可信分發(fā)？選擇方案可信信道上的點(diǎn)對(duì)點(diǎn)傳輸直接訪問一個(gè)可信的公開文件（公鑰注冊(cè)）（見13.4.1節(jié))在線可信服務(wù)器的使用離線服務(wù)器和證書的使用（見13.4.2節(jié))隱式確保公開參數(shù)真實(shí)性的系統(tǒng)的使用（見13.4.3和13.4.4節(jié))3.1可信信道上的點(diǎn)對(duì)點(diǎn)傳輸具體方式：通過親自交換通過連接相關(guān)用戶的直接信道從其他用戶處直接獲取某用戶的可信公鑰，并提供（程序上的）完整性和真實(shí)性保證。適用于：不常用的情況或是小且封閉的系統(tǒng)中其他相關(guān)方法：通過不可信的信道交換公鑰和相關(guān)信息并通過一個(gè)獨(dú)立的低寬帶可信信道傳送這些信息的雜湊值以便進(jìn)行完整性認(rèn)證3.2直接訪問可信的公開文件（公鑰注冊(cè)）建立一個(gè)具有可信完整性的公開數(shù)據(jù)庫，其中包括各用戶的名稱和可信公鑰即，通過一個(gè)可信方來注冊(cè)公鑰后，用戶直接從注冊(cè)文件中獲取公鑰公開文件的認(rèn)證認(rèn)證樹例：認(rèn)證樹驗(yàn)證公鑰Y1的真實(shí)性的過程是？依次驗(yàn)證h(Y1),h1,h2和R3.3在線可信服務(wù)器的使用通過在線可信服務(wù)器獲取指定用戶的公鑰在線可信服務(wù)器對(duì)公鑰進(jìn)行簽名后再傳送參與方可驗(yàn)證接收到的簽名的真實(shí)性缺點(diǎn)：可信服務(wù)器必須在線可信服務(wù)器可能會(huì)成為瓶頸必須建立預(yù)定的通信方與可信服務(wù)器的通信鏈接利用公鑰管理機(jī)構(gòu)的公鑰分發(fā)建立、維護(hù)動(dòng)態(tài)的公鑰目錄表每個(gè)用戶都可靠地知道公鑰管理機(jī)構(gòu)的公鑰.SKAU

：公鑰管理機(jī)構(gòu)自己的秘鑰，僅公鑰管理機(jī)構(gòu)自己知道；3.4離線服務(wù)器和證書的使用公鑰證書X.509證書PKI一種安全體系和框架公鑰證書目的：使一個(gè)實(shí)體的公鑰可用于其他實(shí)體，并能驗(yàn)證公鑰的真實(shí)性和有效性.是一個(gè)由數(shù)據(jù)部分和簽名部分組成的數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)部分：包括明文數(shù)據(jù)，最少包括一個(gè)公鑰和一個(gè)參與方的標(biāo)識(shí)符簽名部分：證書頒發(fā)機(jī)構(gòu)CA(CertificationAuthority)對(duì)數(shù)據(jù)部分的數(shù)字簽名，以保證公鑰的真實(shí)性用戶通過公鑰證書來互相交換自己的公鑰，而無須與公鑰管理機(jī)構(gòu)聯(lián)系公鑰證書能以明文的形式進(jìn)行存儲(chǔ)和分配X.509證書目前應(yīng)用最廣泛的證書格式是國際電信聯(lián)盟ITU(InternationaltelecommunicationUnion)提出的X.509版本3格式。X.509標(biāo)準(zhǔn)最早于1988年頒發(fā)，此后又于1993年和1995年進(jìn)行了兩次修改Internet工程任務(wù)組(IETF)針對(duì)X.509在Internet環(huán)境的應(yīng)用，頒發(fā)了一個(gè)作為X.509子集的RFC2459。從而使得X.509在Internet環(huán)境中得到廣泛應(yīng)用。X.509證書格式版本號(hào)：如v3序列號(hào)：由同一發(fā)行者（CA）發(fā)放的每個(gè)證書的序列號(hào)是唯一的簽名算法識(shí)別符：簽署證書所用的算法及相關(guān)參數(shù).發(fā)行者名稱：指建立和簽署證書的CA名稱.有效期：包括證書有效期的起始時(shí)間和終止時(shí)間.主體名稱：持有該證書的最終實(shí)體.主體的公鑰信息：包括主體的公開密鑰、使用這一公開密鑰算法的標(biāo)識(shí)符及相關(guān)參數(shù)頒發(fā)者唯一識(shí)別符：當(dāng)CA名稱被重新用于其它實(shí)體時(shí)，則用這一識(shí)別符來唯一的識(shí)別發(fā)行者.(可選)主體唯一識(shí)別符：當(dāng)主體的名稱被重新用于其它實(shí)體時(shí)，則用這一識(shí)別符來唯一的識(shí)別主體.(可選)擴(kuò)展域：包括一個(gè)或多個(gè)擴(kuò)展的數(shù)據(jù)項(xiàng)，僅在第3版中使用簽名：CA用自己的私鑰對(duì)上述域的哈希值的數(shù)字簽名.任何一個(gè)用戶，只要知道證書頒發(fā)機(jī)構(gòu)CA的公鑰，就能驗(yàn)證證書簽名的合法性。若驗(yàn)證正確，則用戶可相信該證書所攜帶的公鑰是真實(shí)的，且該公鑰是證書所標(biāo)識(shí)的那個(gè)實(shí)體的合法公鑰。只要CA是可信的，公鑰證書就是可信的.日常生活中使用證書的例子：汽車駕照：標(biāo)識(shí)駕駛員的駕駛資格公鑰證書的好處用戶只要獲得其他用戶的證書，就可以獲得其他用戶的公鑰用戶只要獲得CA的公鑰，就可以安全地認(rèn)證其他用戶的公鑰公鑰證書為公鑰的分發(fā)奠定了基礎(chǔ)，成為公鑰密碼在大型網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的關(guān)鍵技術(shù)電子政務(wù)、電子商務(wù)等大型網(wǎng)絡(luò)應(yīng)用系統(tǒng)都采用公鑰證書技術(shù)公鑰證書的建立如果所有用戶都由同一CA為自己簽署證書，則這一CA就必須取得所有用戶的信任。用戶證書除了能放在目錄中以供他人訪問外，還可以由用戶直接發(fā)給其他用戶。如果用戶數(shù)量極多，則僅一個(gè)CA負(fù)責(zé)為用戶簽署證書是不現(xiàn)實(shí)的，因?yàn)槊恳挥脩舳急仨氁越^對(duì)安全的方式得到CA的公開密鑰，以驗(yàn)證CA簽署的證書。因此在用戶數(shù)目極多的情況下，應(yīng)有多個(gè)CA，每一CA僅為一部分用戶簽署證書。X.509證書的獲取CA為用戶產(chǎn)生的證書應(yīng)有以下特征：（同一CA)其他任一用戶只要得到CA的公開密鑰，就能由此得到CA為該用戶簽署的公開密鑰。除CA以外，任何其他人都不能以不被察覺的方式修改證書的內(nèi)容?？芍苯訌钠渌脩籼帿@取，或從CA處獲取X.509證書的獲取設(shè)用戶A已從證書頒發(fā)機(jī)構(gòu)X1處獲取了公鑰證書，用戶B已從證書頒發(fā)機(jī)構(gòu)X2處獲取了證書。如果A不知X2的公開密鑰，他雖然能讀取B的證書，但卻無法驗(yàn)證X2的簽字，因此B的證書對(duì)A來說是沒有用的。若兩個(gè)CAX1和X2彼此間已經(jīng)安全地交換了公開密鑰，則A可通過以下過程獲取B的公開秘鑰：A從目錄中獲取X1簽署的X2的證書，因A知道X1的公開密鑰，所以能驗(yàn)證X2的證書，并從中得到X2的公開密鑰。A再從目錄中獲取由X2簽署的B的證書，并由X2的公開密鑰對(duì)此驗(yàn)證，然后從中得到B的公開密鑰。X.509證書的獲取以上過程中，A是通過一個(gè)證書鏈來獲取B的公開密鑰，證書鏈可表示為：X1《X2》X2《B》類似的，B能通過相反的證書鏈獲取A的公開密鑰：

X2《X1》X1《A》N個(gè)證書的證書鏈可表示為：X1《X2》X2《X3》…XN《B》X.509證書的獲取X.509建議將所有CA以層次結(jié)構(gòu)組織起來。右圖是X.509的CA層次結(jié)構(gòu)的一個(gè)例子，其中的內(nèi)部節(jié)點(diǎn)表示CA，葉節(jié)點(diǎn)表示用戶。用戶A可從目錄中得到相應(yīng)的證書以建立到B的證書鏈：X《W》W《V》V《Y》Y《Z》Z《B》并通過該證書鏈獲取B的公開密鑰。X.509證書吊銷列表X.509認(rèn)證業(yè)務(wù)X.509定義了X.500目錄向用戶提供認(rèn)證業(yè)務(wù)的一個(gè)框架，目錄的作用是存放用戶的公鑰證書。

X.509還定義了基于公鑰證書的認(rèn)證協(xié)議。由于X.509中定義的證書結(jié)構(gòu)和認(rèn)證協(xié)議已被廣泛應(yīng)用于S/MIME、IPSec、SSL/TLS以及SET等諸多應(yīng)用過程，因此X.509已成為一個(gè)重要的標(biāo)準(zhǔn)。X.509的基礎(chǔ)是公鑰密碼體制和數(shù)字簽字，但其中未特別指明使用哪種密碼體制（建議使用RSA），也未特別指明數(shù)字簽字中使用哪種雜湊函數(shù)。X.509強(qiáng)雙向協(xié)議（兩步）AliceBobPA,SA分別為Alice的公鑰和私鑰；PB,SB分別為Bob的公鑰和私鑰；certA和certB分別為Alice和Bob的公鑰證書共享密鑰為k1和k2使用時(shí)戳和隨機(jī)數(shù)的挑戰(zhàn)-響應(yīng)技術(shù)X.509強(qiáng)雙向協(xié)議（三步）AliceBobPA,SA分別為Alice的公鑰和私鑰；PB,SB分別為Bob的公鑰和私鑰；certA和certB分別為Alice和Bob的公鑰證書共享密鑰為k1和k2基于隨機(jī)數(shù)的挑戰(zhàn)-響應(yīng)技術(shù)PKI的概念公鑰基礎(chǔ)設(shè)施是指結(jié)合公鑰密碼體制建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。PKI并不是簡單的一種技術(shù)，而是一種安全體系和框架。該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證，集成了CA認(rèn)證、數(shù)字證書、數(shù)字簽名等功能。PKI的組成認(rèn)證機(jī)構(gòu)（CertificateAuthority,CA）：是PKI的核心機(jī)構(gòu)。核心功能是發(fā)放和管理數(shù)字證書。注冊(cè)機(jī)構(gòu)(RegistryAuthority,RA）：作為CA和最終實(shí)體之間的中間實(shí)體，主要負(fù)責(zé)證書申請(qǐng)者的登記和初始鑒別證書服務(wù)器：負(fù)責(zé)根據(jù)注冊(cè)過程中提供的消息生成證書的機(jī)器或服務(wù)證書庫：是CA頒發(fā)證書和撤銷證書的集中存放地。常用的實(shí)現(xiàn)方式是輕量級(jí)目錄訪問協(xié)議(LDAP)證書驗(yàn)證密鑰備份及恢復(fù)時(shí)間服務(wù)器：用來發(fā)布可驗(yàn)證的時(shí)間戳，并對(duì)時(shí)間戳簽名簽名服務(wù)器：執(zhí)行集中的簽名和驗(yàn)證服務(wù)CA主要功能描述如下：接收驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)證書審批證書發(fā)放證書更新接收最終用戶數(shù)字證書的查詢、撤銷產(chǎn)生和發(fā)布證書吊銷列表(CRL)證書的歸檔密鑰歸檔歷史數(shù)據(jù)歸檔CA主要包括以下三個(gè)部分：注冊(cè)服務(wù)器證書申請(qǐng)受理和審核機(jī)構(gòu)認(rèn)證機(jī)構(gòu)服務(wù)器證書的生成與分發(fā)證書的使用證書驗(yàn)證證書的簽名是有效的證書的起止日期是有效的證書只能用于最初創(chuàng)建它的目的證書必須沒有被撤銷PKI中的信任模型建立一個(gè)管理全世界所有用戶的全球性PKI是不現(xiàn)實(shí)的。比較可行的辦法是各個(gè)國家都建立自己的PKI，一個(gè)國家之內(nèi)在分別建立不同行業(yè)或不同地區(qū)的PKI。為了實(shí)現(xiàn)跨地區(qū)、跨行業(yè)，甚至跨國際的安全電子業(yè)務(wù)，這些不同的PKI之間的互聯(lián)互通和相互信任是不可避免的。證書用戶、證書主體、各個(gè)CA之間的證書認(rèn)證關(guān)系系稱為PKI的信任模型。已經(jīng)提出的模型有樹（層次）

模型、森林模型等多種信任模型。樹（層次）

模型樹（層次）

模型是PKI的一種簡單的信任模型。它比較適合具有層次結(jié)構(gòu)的機(jī)構(gòu)，如軍隊(duì)、垂直性行業(yè)、學(xué)校等。在樹（層次）

模型中，多個(gè)CA和最終用戶構(gòu)成一顆樹。其中最高級(jí)的一個(gè)CA為根，稱為根CA，根CA是樹型信任模型中的信任根源。其他CA根據(jù)其在樹中的位置不同，而分別被稱為中間CA和底層CA。證書的持證人（最終用戶）為樹的葉子。所有的CA和最終用戶都遵循共同的行動(dòng)準(zhǔn)則。一種簡單的樹（層次）

模型森林層次模型在樹形信任模型中，所有的CA和最終用戶都遵循共同的行動(dòng)準(zhǔn)則。這對(duì)于具有層次結(jié)構(gòu)的機(jī)構(gòu)是可行的。但是，對(duì)于社會(huì)而言，要建立一個(gè)包容各行各業(yè)的樹形，模型PKI是不現(xiàn)實(shí)的。于是出現(xiàn)了由多棵樹組成的森林模型。對(duì)于森林模型，如果多棵樹之間彼此沒有聯(lián)系、互不信任，那么分別屬于不同樹的最終用戶之間的保密通信是無法進(jìn)行的。這樣，這些樹便成了信任孤島，為了避免這種情況，應(yīng)當(dāng)在這些樹之間建立某種信任關(guān)系，從而實(shí)現(xiàn)交叉認(rèn)證。交叉認(rèn)證的方法：各PKI的CA之間互相簽發(fā)證書；由用戶控制的交叉認(rèn)證；由橋接CA控制的交叉認(rèn)證。森林模型與用戶控制的交叉認(rèn)證示例由橋接CA控制的交叉認(rèn)證模型其他信任模型一個(gè)實(shí)際的PKI由于歷史發(fā)展的原因，其信任結(jié)構(gòu)完全可能并不是一個(gè)標(biāo)準(zhǔn)的樹型模型或者森林模型，而是一種更復(fù)雜的結(jié)構(gòu)。但是，不管它的信任模型是什么，它必須能夠?yàn)橛脩籼峁M意的認(rèn)證服務(wù)。只要是用戶滿意的，它的存在就是合理的。應(yīng)用安全Web通信單向認(rèn)證雙向認(rèn)證安全電子郵件四、控制密鑰使用的技術(shù)與密鑰相關(guān)的信息密鑰擁有者有效期限密鑰標(biāo)識(shí)符預(yù)定的使用指定算法……密鑰誤用的威脅非對(duì)稱密鑰同時(shí)用于簽名和挑戰(zhàn)-響應(yīng)實(shí)體認(rèn)證密鑰同時(shí)用于加密和挑戰(zhàn)-響應(yīng)實(shí)體認(rèn)證對(duì)稱密鑰同時(shí)用于加密和消息認(rèn)證因此，必須采用密鑰分割，以避免多種目標(biāo)中使用同一個(gè)密鑰。指不同用途的密鑰在密碼學(xué)上應(yīng)被分割控制對(duì)稱密鑰使用的技術(shù)密鑰標(biāo)簽/密鑰變體標(biāo)簽比特連同密鑰一起加密，以便將標(biāo)簽比特綁定到密鑰上通過密鑰變體來提供密鑰分割，如：（K1,K2是K的變體）密鑰公證簡單密鑰公證:（S是會(huì)話密鑰）帶偏移的密鑰公證:(K1,K2)是公證密鑰控制向量控制向量思想：將密鑰標(biāo)簽的思想和簡單密鑰公證機(jī)制相結(jié)合將控制向量C以密碼學(xué)形式綁定在S上，以阻止C的未授權(quán)使用。五、多個(gè)域的密鑰管理基本概念安全域（域）：實(shí)體所信任的單一授權(quán)機(jī)構(gòu)所控制的一個(gè)系統(tǒng)（子系統(tǒng)）域中每個(gè)實(shí)體在其授權(quán)機(jī)構(gòu)中所擁有的信任，起源于：指定實(shí)體的共享密鑰或口令（對(duì)稱的情況下）擁有授權(quán)機(jī)構(gòu)的可信公鑰（非對(duì)稱的情況下）實(shí)體和授權(quán)機(jī)構(gòu)間，或在同一域中的兩個(gè)實(shí)體間，可建立安全通信信道（能確保真實(shí)性和機(jī)密性）兩個(gè)域間的信任Q：A和B之間如何建立信任關(guān)系？A：前提：TA與TB之間是