現代密碼學第5章課件

第5章密鑰分配與密鑰管理KeyDistributionandKeyManagement2023/2/61內容提要單鑰加密體制的密鑰分配公鑰加密體制的密鑰管理密鑰托管隨機數的產生秘密分割2023/2/62單鑰加密體制的密鑰分配KeyDistributionofsymmetriccryptography

2023/2/63密鑰分配的基本方法如果有n個用戶，需要兩兩擁有共享密鑰，一共需要n(n-1)/2的密鑰采用第4中方法，只需要n個密鑰2023/2/65KS：一次性會話密鑰N1,N2：隨機數KA,KB：A與B和KDC的共享密鑰f：某種函數變換2.一個實例4.KDCAB1.Request||N13.5.2023/2/66密鑰的分層控制用戶數目很多并且分布地域很廣，一個KDC無法承擔，需要采用多個KDC的分層結構。本地KDC為本地用戶分配密鑰。不同區(qū)域內的KDC通過全局KDC溝通。2023/2/67無中心的密鑰控制有KDC時，要求所有用戶信任KDC，并且要求KDC加以保護。無KDC時沒有這種限制，但是只適用于用戶小的場合2023/2/69無中心的密鑰控制AB1.Request||N12.3.用戶A和B建立會話密鑰的過程2023/2/610密鑰的控制使用根據用途不同分為會話密鑰（數據加密密鑰）主密鑰（密鑰加密密鑰），安全性高于會話密鑰根據用途不同對密鑰使用加以控制2023/2/611單鑰體制的密鑰控制技術－控制矢量對每一密鑰指定相應的控制矢量，分為若干字段，說明在不同情況下是否能夠使用有KDC產生加密密鑰時加在密鑰之中h為hash函數，Km是主密鑰，KS為會話密鑰控制矢量CV明文發(fā)送優(yōu)點：1.CV長度沒有限制2.CV以明文形式存在2023/2/613公鑰加密體制的密鑰管理KeyManagementofPublicKeyCryptography2023/2/614公鑰的分配－公開發(fā)布用戶將自己的公鑰發(fā)給每一個其他用戶方法簡單，但沒有認證性，因為任何人都可以偽造這種公開發(fā)布2023/2/615公鑰的分配－公鑰管理機構公鑰管理機構為用戶建立維護動態(tài)的公鑰目錄。每個用戶知道管理機構的公開鑰。只有管理機構知道自己的秘密鑰。2023/2/617公鑰管理機構分配公鑰公鑰管理機構AB1.Request||Time12.3.6.4.Request||Time25.7.有可能稱為系統(tǒng)的瓶頸，目錄容易受到敵手的串擾2023/2/618公鑰證書用戶通過公鑰證書交換各自公鑰，無須與公鑰管理機構聯(lián)系公鑰證書由證書管理機構CA（CertificateAuthority）為用戶建立。證書的形式為T-時間，PKA-A的公鑰，IDA－A的身份，SKCA－CA的私鑰時戳T保證證書的新鮮性，防止重放舊證書。2023/2/619用公鑰加密分配單鑰密碼體制的密鑰AB1.PKA||IDA2.簡單分配易受到主動攻擊AB攻擊者E1.PKA||IDA2.PKE||IDA3.4.2023/2/621用公鑰加密分配單鑰密碼體制的密鑰具有保密性和認證性的密鑰分配AB1.2.3.4.2023/2/622用戶B用戶ADiffie-Hellman密鑰交換W.Diffie和M.Hellman1976年提出算法的安全性基于求離散對數的困難性選擇隨機數x<p計算YA=gxmodp選擇隨機數y<p計算YB=gymodpYAYB計算K=YA

y

=gxymodp計算K=YB

x

=gxymodp2023/2/623密鑰托管也稱托管加密，其目的在于保證個人沒有絕對的銀絲和絕對不可跟蹤的匿名性。實現手段是把已加密的數據和數據恢復密鑰聯(lián)系起來。由數據恢復密鑰可以得到解密密鑰，由所信任的委托人持有。提供了一個備用的解密途徑，不僅對政府有用，也對用戶自己有用。2023/2/625美國托管加密標準1993年4月提出托管加密標準EES（Escrowedencrytionstandard）提供強加密功能，同時也提供政府機構在法律授權下監(jiān)聽功能。通過防竄擾Clipper芯片來實現。包含兩個特性Skipjack算法，實現強加密法律實施存取域LEAF，實現法律授權下解密2023/2/626Skipjack算法單鑰分組加密算法，密鑰長80比特，輸入輸出分組長度64Bit4種工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式2023/2/627托管加密芯片的編程過程UIDKU1EK1KU1EK2+SJKFUIDKUKF芯片芯片編程處理器托管機構1初始化托管機構2初始化UIDUID托管機構1托管機構22023/2/629托管加密芯片加密過程用KU加密加密的KSUIDAKSIV用KF加密LEAF80bit32bit16bitKS：會話密鑰A：認證符UID：芯片識別符IV：初始向量2023/2/630通信和法律實施存取過程2023/2/631密鑰托管密碼體制的組成成分用戶安全成分（USC）密鑰托管成分（KEC）數據恢復成分（DRC）2023/2/632隨機數的產生GenerationofRandomNumbers2023/2/633隨機數的用途相互認證會話密鑰的產生公鑰密碼算法中的密鑰產生2023/2/634隨機數的要求－隨機性均勻分布數列中每個數出現的頻率相等或近似相等獨立性數列中任一數不能由其他數推出經常使用的是偽隨機數列2023/2/635隨機數的要求－不可預測性對數列中以后的數是不可預測的對于真隨機數，滿足獨立性，所以不可預測偽隨機數列需要特別注意滿足不可預測性2023/2/636隨機數源真隨機數源－物理噪聲產生器離子輻射脈沖檢測器氣體放電管漏電容數的隨機性和精度不夠這些設備很難聯(lián)入網絡2023/2/637隨機數源目前關于隨機性最嚴格的定義是：一個理想噪聲源的二進制輸出序列S0,S1,……,Sn-1,Sn,…的隨機性，表示為當前輸出位Sn與在此之前的所有輸出信號之間的完全獨立性，也就是說，在已知S0,S1,……,Sn-1的條件下，Sn仍然是不可預測的。2023/2/638噪聲源技術(了解)噪聲源的功能就是產生二進制的隨機序列或與之對應的隨機數，它是密鑰產生設備的核心部件。噪聲源的另一個用途是在物理層加密的環(huán)境下進行信息填充，使網絡具有防止流量分析的功能，當采用序列密碼時也有防止亂數空發(fā)的功能。噪聲源還被用于某些身份驗證技術中，如在對等實體中，為了防止口令被竊取常常使用隨機應答技術，這時的提問與應答都是由噪聲控制的。

2023/2/639噪聲源輸出的隨機數序列按照產生的方法可以分為：

偽隨機序列：用數學方法和少量的種子密鑰產生的周期很長的隨機序列。

偽隨機序列一般都有良好的能經受理論檢驗的隨機統(tǒng)計特性，但是當序列的長度超過了唯一解距離時，就成了一個可預測的序列。

物理隨機序列：用熱噪聲等客觀的方法產生的隨機序列。

實際的物理噪聲往往要受到溫度、電源、電路特性等因素的限制，其統(tǒng)計特性常常帶有一定的偏向性。

準隨機序列：用數學方法和物理方法相結合產生的隨機序列，它可以克服兩者的缺點。噪聲源技術(了解)2023/2/640目前的物理噪聲源基本上可分為三大類：基于力學的噪聲源技術；基于電子學的噪聲源技術；基于混沌理論的噪聲源技術。噪聲源技術(了解)2023/2/641⑴基于力學的噪聲源技術拋一個一分的硬幣，看它是正面落地還是反面落地，可得到1比特的隨機數。用轉動很靈活的、畫有十進制或十六進制刻度的轉盤，任意給它一個起始動量，記下它停止的位置，便得到一個十進制或十六進制的隨機數；大量的鉛字，在一個鐵鍋里充分攪拌后隨手揀出一堆，排成一版進行印刷，二次大戰(zhàn)時使用的一次一密亂碼本就是這樣產生出來的。

這類方法的優(yōu)點是簡便易行，缺點是產生密鑰的效率低，密鑰的隨機性較差。噪聲源技術(了解)2023/2/642⑵基于電子學的噪聲產生技術

影響噪聲質量的關鍵部分是噪聲產生電路。要獲得的應是純潔的、寬頻帶的、正態(tài)分布的、連續(xù)的平穩(wěn)遍歷的隨機信號。所謂純潔的，是指沒有混進不隨機的某種固定分量；所謂寬頻帶的，是指能夠提供較高的采樣速率；所謂正態(tài)分布的，是指它的幅度和頻譜成分成正態(tài)分布；所謂連續(xù)的平穩(wěn)遍歷，主要是為了使用方便，在任意時刻進行采樣都能滿足隨機性要求。噪聲源技術(了解)2023/2/643(3)基于混沌理論的噪聲源技術

混沌理論是一門新學科，用混沌理論的方法不僅可以產生噪聲，甚至還可以直接作為序列密碼使用。目前國內外已有混沌噪聲源的成熟技術，其噪聲產生速率可達1Mbit/s以上，所使用電路卻很簡單，可實現芯片化。與前面介紹的幾種噪聲源的區(qū)別在于，它不是將某種自然世界的噪聲加以放大利用，而是用確定的動力學方程產生出類似于白噪聲的頻譜特性，因此受元器件的個體差異的影響很小。噪聲源技術(了解)2023/2/644偽隨機數產生器-線性同余法參數：模數m(m>0)乘數a(0≤a<m)增量c(0≤c<m)初值種子X0(0≤X0<m)a,c,m的取值是產生高質量隨機數的關鍵2023/2/645偽隨機數產生器-線性同余法a=7,c=0,m=32,X0=1{7,17,23,1,7,…}a=3,c=0,m=32,X0=1{3,9,27,17,19,25,11,1,3,…}選m盡可能大，使其接近或等于計算機能表示的最大整數周期為4周期為82023/2/646偽隨機數產生器-線性同余法評價線性同余有以下三個標準：迭代函數應是整周期的，在重復之前應出現0到m間的所有數產生的數列看上去應是隨機的迭代函數能有效的利用32位運算實現如果m為素數，且a為m的本原根，產生的數列是整周期的。a=16807,m=231-1,c=02023/2/647偽隨機數產生器-線性同余法假定敵手知道X0,X1,X2,X3,可以確定參數改進的方法：利用系統(tǒng)時鐘修改隨機數數列。2023/2/648基于密碼算法的隨機數產生器循環(huán)加密CC+1加密算法

主密鑰Km周期為N的計數器2023/2/649基于密碼算法的隨機數產生器DES的輸出反饋方式(OFB)模式采用OFB模式能用來產生密鑰并用于流加密。加密算法的輸出構成偽隨機序列2023/2/650基于密碼算法的隨機數產生器ANSIX9.17偽隨機數產生器EDEEDEEDE＋＋K1K2Vi+1ViRiDTi2023/2/651BBS（blum-blum-shub）產生器密碼強度最強，基于大整數分解困難性選擇p,q,滿足p=q=3mod4,n=p×q。選隨機數s，s和n互素X0＝s2modnFori=1to∞do{Xi=Xi-12modn;Bi=Ximod2}Bi為產生的隨機數序列2023/2/652秘密分割SecreteSharing

2023/2/653秘密分割門限方案導彈控制發(fā)射，重要場所通行檢驗，通常需要多人同時參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數同時到場才能恢復秘密。2023/2/654門限方案的一般概念秘密s被分為n個部分,每個部分稱為shadow,由一個參與者持有，使得由k個或多于k個參與者所持有的部分信息可重構s。由少于k個參與者所持有的部分信息則無法重構s。稱為(k,n)秘密分割門限方案，k稱為門限值。少于k個參與者所持有的部分信息得不到s的任何信息稱該門限方案是完善的。2023/2/655Shamir門限方案基于多項式Lagrange插值公式設{(x1,y1),…,(xk,yk)}是平面上k個點構成的點集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多項式f(x)通過這k個點.若把秘密s取做f(0)，n個shadow取做f(xi)(i=1,…n),那么利用其中任意k個shadow可以重構f(x)，從而可以得到秘密s2023/2/656Shamir門限方案有限域GF(q),q為大素數，q≥n+1。秘密s是GF(q)\{0}上均勻選取的隨機數，表示為s∈RGF(q)\{0}.k-1個系數a1,a2,…ak-1選取ai∈RGF(q)\{0}.在GF(q)上構造一個k-1次多項式f(x)=a0+a1x+…+ak-1xk-1N個參與者P1,…,Pn,Pi的Shadow為f(i)。任意k個參與者得到秘密，可使用{(il,f(il))|l=1,…,k}構造方程組2023/2/657Shamir門限方案由Lagrange插值公式2023/2/658Shamir門限方案如果k-1個參與者想獲得s，可構造k-1個方程，有k個未知量。對任一s0,設f(0)=s0.這樣可以得到第k個方程，得到f(x)。對每個s0都有唯一的多項式滿足，所有由k-1個shadow得不到任何s的信息。因此此方案是完善的。2023/2/659Shamir門限方案例k=3,n=5,q=19,s=11。隨機選a1=2,a2=7f(x)=7x2+2x＋11mod19。計算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6已知f(2),f(3),f(5),重構2023/2/660Asmuth-Bloom門限方案首先選取大素數q，正整數s(秘密數據)，以及n個嚴格遞增的m1,m2,…,mn,滿足q>s(mi,mj)=1(對所有i≠j)(q,mi)=1(對所有i)