第十七講 密鑰建立技術(shù)

第十七講密鑰建立技術(shù)第1頁，共47頁，2023年，2月20日，星期三密鑰建立是兩個或多個實體建立一個共享密鑰的過程。這個密鑰可能用在后續(xù)的各種操作之中以實現(xiàn)密碼功能，例如，機密性或數(shù)據(jù)完整性。第2頁，共47頁，2023年，2月20日，星期三理想狀況是，網(wǎng)上密鑰建立應(yīng)該和面對面建立密鑰有完全相同的特性，例如，密鑰應(yīng)該僅由明確定義的實體共享，密鑰應(yīng)該在密鑰空間上隨機分布，并且沒有任何非授權(quán)實體(在現(xiàn)有計算能力下)可以掌握密鑰的任何信息。第3頁，共47頁，2023年，2月20日，星期三密鑰建立協(xié)議有多種形式。在密鑰傳輸協(xié)議中，密鑰為一個實體產(chǎn)生并安全的傳輸給另一個實體，而在密鑰協(xié)商協(xié)議中，雙方都提供信息共同產(chǎn)生共享密鑰。在對稱協(xié)議中，要求建立密鑰的雙方事先擁有一個共同的秘密信息，而在非對稱協(xié)議中，只要求雙方共享一個公開但經(jīng)過認證的信息。第4頁，共47頁，2023年，2月20日，星期三本講提要動機密鑰預(yù)先分配密鑰分配密鑰協(xié)商協(xié)議Kerberos公鑰基礎(chǔ)設(shè)施(PKI)第5頁，共47頁，2023年，2月20日，星期三1動機密鑰建議協(xié)議將產(chǎn)生共享密鑰，也稱為會話密鑰。產(chǎn)生會話密鑰的目的包括：(1)限制使用固定密鑰的密文數(shù)量以阻止攻擊。(2)限制由意外泄露會話密鑰而造成的相關(guān)保密數(shù)據(jù)的暴露數(shù)量。(3)避免長期存儲大量不同的秘密密鑰(在一個實體可能與大量其他實體通信的情況下)，而僅在實際需要時建立密鑰。(4)產(chǎn)生不同通信會話和應(yīng)用的相互獨立性。第6頁，共47頁，2023年，2月20日，星期三2密鑰預(yù)先分配2.1簡單版本的缺陷(1)事先需要雙方Alice和Bob見面或通過安全信道建立密鑰。(2)一旦Alice和Bob見面并交換了信息，則密鑰如果在某些情況下泄露，唯一的解決辦法就是再次會面交換信息。第7頁，共47頁，2023年，2月20日，星期三

2.2Blom密鑰預(yù)先分配方案

為了克服這些缺點，我們需要一個可信權(quán)威，稱之為Trent。假定Trent可以和每一個實體建立一條安全信道。因此，如果Trent負責n個實體，每個實體將接受并存儲n-1個密鑰，而Trent必須安全的發(fā)送個n(n-1)/2。一個減少可信權(quán)威發(fā)送消息數(shù)量的方法就是Blom密鑰預(yù)先分配方案。第8頁，共47頁，2023年，2月20日，星期三2.2Blom密鑰預(yù)先分配方案(續(xù))第9頁，共47頁，2023年，2月20日，星期三傳統(tǒng)方案TrentU1U2Un…n-1密鑰總和：n(n-1)密鑰Blom的方案TrentU1U2Un…aU，bU總和：2·n密鑰2.2Blom密鑰預(yù)先分配方案(續(xù))第10頁，共47頁，2023年，2月20日，星期三2.2Blom密鑰預(yù)先分配方案(續(xù))第11頁，共47頁，2023年，2月20日，星期三2.2Blom密鑰預(yù)先分配方案(續(xù))第12頁，共47頁，2023年，2月20日，星期三3密鑰分配Shamir的無密鑰算法是一個密鑰傳輸協(xié)議，它允許在公共信道上建立密鑰。每一方只要掌握自己的秘密。在下面的實例中，將說明Alice通過這一協(xié)議傳輸一個自己產(chǎn)生的密鑰給Bob。第13頁，共47頁，2023年，2月20日，星期三第14頁，共47頁，2023年，2月20日，星期三AliceBob第15頁，共47頁，2023年，2月20日，星期三評述.(1)協(xié)議的安全依賴離散對數(shù)問題的困難性。(2)協(xié)議沒有提供認證。第16頁，共47頁，2023年，2月20日，星期三4密鑰協(xié)商協(xié)議密鑰協(xié)商是一類雙方Alice和Bob通過交換消息來建立密鑰的方法，而每一方都以交換消息的函數(shù)計算得到密鑰。事實表明密鑰協(xié)商協(xié)議最好同時提供對密鑰的認證服務(wù)。第17頁，共47頁，2023年，2月20日，星期三4.1Diffie-Hellman密鑰協(xié)商第18頁，共47頁，2023年，2月20日，星期三AliceBob4.1Diffie-Hellman密鑰協(xié)商(續(xù))第19頁，共47頁，2023年，2月20日，星期三4.2中間人攻擊4.2.1國際象棋大師問題Eve最近剛剛認識了國際象棋的棋子，就聲稱可以同時和兩位國際象棋大師對戰(zhàn)并保證至少贏一場或平兩場。第20頁，共47頁，2023年，2月20日，星期三4.2.2中間人攻擊Diffie-Hellman密鑰協(xié)商AliceBobEve第21頁，共47頁，2023年，2月20日，星期三討論.當Alice發(fā)送一條由密鑰KOA加密的消息給Bob，Bob使用密鑰KOB解密得到消息。Bob沒有理由認為通信不安全。4.2.2中間人攻擊Diffie-Hellman密鑰協(xié)商(續(xù))第22頁，共47頁，2023年，2月20日，星期三4.3站對站(STS)協(xié)議為了阻止中間人攻擊，我們希望在形成密鑰的過程中同時認證Alice和Bob的身份。能夠做到這一點的協(xié)議通常稱為認證密鑰協(xié)商協(xié)議。標準的解決方案是在協(xié)議中使用簽名。第23頁，共47頁，2023年，2月20日，星期三4.3站對站(STS)協(xié)議(續(xù))第24頁，共47頁，2023年，2月20日，星期三4.3站對站(STS)協(xié)議(續(xù))第25頁，共47頁，2023年，2月20日，星期三AliceBob4.3站對站(STS)協(xié)議(續(xù))第26頁，共47頁，2023年，2月20日，星期三4.4密鑰協(xié)商協(xié)議的安全特性(1)已知密鑰安全。每次對密鑰協(xié)商協(xié)議的運行都產(chǎn)生一個唯一的秘密密鑰。這些密鑰希望可以限制進行密碼分析所能得到的數(shù)據(jù)數(shù)量，也希望能夠限制密鑰泄露帶來的秘密數(shù)據(jù)泄露數(shù)量。協(xié)議應(yīng)該達到這一安全目標即使攻擊者已經(jīng)掌握了一些之前的會話密鑰。第27頁，共47頁，2023年，2月20日，星期三(2)前項安全。如果一個或多個實體的長期秘密密鑰泄露，以前由誠實實體建立的會話密鑰不受影響。有時我們區(qū)分一個實體長期秘密密鑰泄露(半前項秘密)和參與雙方實體長期秘密密鑰泄露(全前項秘密)兩種情況。4.4密鑰協(xié)商協(xié)議的安全特性(續(xù))第28頁，共47頁，2023年，2月20日，星期三(3)密鑰泄露冒充。假定Alice的長期秘密密鑰泄露。很明顯，攻擊者知道這個密鑰可以冒充Alice，因為其確切掌握標定Alice身份的數(shù)據(jù)。但是，在某些情況下，我們希望這一泄露不能夠讓攻擊者冒充其他實體欺騙Alice。4.4密鑰協(xié)商協(xié)議的安全特性(續(xù))第29頁，共47頁，2023年，2月20日，星期三(4)未知共享密鑰攻擊。實體Alice結(jié)束協(xié)議執(zhí)行后相信她與Bob共享密鑰，雖然這是實際情況，但是Bob卻錯誤的認為他與實體EveAlice共享密鑰。4.4密鑰協(xié)商協(xié)議的安全特性(續(xù))第30頁，共47頁，2023年，2月20日，星期三5KerberosKerberos是現(xiàn)實中執(zhí)行的對稱密碼協(xié)議。它的目的是在網(wǎng)絡(luò)中為用戶提供一個高安全強度的認證和安全的密鑰交換功能。Kerberos來源于M.I.T.的大型研發(fā)計劃Athena計劃。第31頁，共47頁，2023年，2月20日，星期三Athena的目的是在M.I.T.將計算機工作站形成的大型網(wǎng)絡(luò)集成到大學(xué)學(xué)生的課程之中，以允許學(xué)生在網(wǎng)上的任何地方自如的訪問他們的文件。Kerberos基于客戶端/服務(wù)器結(jié)構(gòu)。一個客戶可以是一個用戶也可以是某個完成特定任務(wù)的軟件程序。服務(wù)器是大型實體，功能是向客戶提供各種服務(wù)。第32頁，共47頁，2023年，2月20日，星期三基本Kerberos模型有如下參與者Cliff：一個客戶Serge：一個服務(wù)器Trent：一個信任權(quán)威Grant：一個授予許可證的服務(wù)器第33頁，共47頁，2023年，2月20日，星期三第34頁，共47頁，2023年，2月20日，星期三第35頁，共47頁，2023年，2月20日，星期三TrentGrantCliffSerge第36頁，共47頁，2023年，2月20日，星期三6公鑰基礎(chǔ)設(shè)施(PKI)除非對密鑰產(chǎn)生的認證性和合法性有足夠的信任，否則公鑰密碼的優(yōu)勢就十分有限。公鑰基礎(chǔ)設(shè)施或簡稱PKI是一個框架。這個框架主要由一組策略組成。策略確切定義了關(guān)于密碼系統(tǒng)運行和密鑰產(chǎn)生和發(fā)布與證書的規(guī)則。第37頁，共47頁，2023年，2月20日，星期三6.1X.509X.509是設(shè)計用來在大型計算機網(wǎng)絡(luò)中提供目錄認證服務(wù)的國際標準。由于它本身是ISO/ITU的一個標準，很多實用產(chǎn)品都基于它開發(fā)出來。例如，X.509被用在Visa和Mastercard的安全電子交易標準中。第38頁，共47頁，2023年，2月20日，星期三6.1X.509(續(xù))第39頁，共47頁，2023年，2月20日，星期三6.1X.509(續(xù))第40頁，共47頁，2023年，2月20日，星期三公鑰證書的產(chǎn)生情況1：可信方產(chǎn)生密鑰對?？尚欧綖閷嶓w產(chǎn)生公鑰算法的密鑰對，并將公開密鑰和綁定身份的公鑰證書通過公共信道發(fā)給該實體。實體在證明了自己的身份(例如，出示身份證或個人可信照片)后，將通過安全信道得到對應(yīng)的秘密密鑰。6.1X.509(續(xù))第41頁，共47頁，2023年，2月20日，星期三公鑰證書的產(chǎn)生(續(xù))情況2：實體產(chǎn)生自己的密鑰對。實體產(chǎn)生自己的公鑰算法的密鑰對，并安全的將公開密鑰傳送給可信方(例如，通過可信通道或派人送達)，這里主要是保證公開密鑰的真實性。在驗證了公開密鑰來源的真實性后，可信方為公開密鑰生成證書。6.1X.509(續(xù))第42頁，共47頁，2023年，2月20日，星期三證書鏈和證書路徑6.1X.509(續(xù))第43頁，共47頁，2023年，2月20日，星期三6.2PGP信任網(wǎng)PGP，是PrettyGoodPrivacy的縮寫。PGP最初是Zimmerman設(shè)計的用來加密和簽名電子郵件消息的程序。每個用戶都維護一個由與其電子郵件往來的用戶的公開密鑰組成的密鑰環(huán)。第44頁，共47頁，2023年，2月20日，星期三

信任關(guān)系

完全信任：A完全相信B，并將相信任何使用B的密鑰簽名的任何密鑰。

部分信任：A部分相信B但不全部相信他。在A相信B密鑰簽的密鑰之前，她需要這個密鑰有其他實體的簽名。

不信任：A