第七講 密鑰管理和其它公鑰密碼體制

第七講密鑰管理和其它公鑰密碼體制

2密鑰管理簡介

現(xiàn)代密碼體制要求密碼算法是可以公開評估的，整個密碼系統(tǒng)的安全性并不取決對密碼算法的保密或者是對密碼設(shè)備等保護，決定整個密碼體制安全性的因素是密鑰的保密性。也就是說，在考慮密碼系統(tǒng)的安全性時，需要解決的核心問題是密鑰管理問題.3密鑰管理簡介密鑰管理就是在授權(quán)各方之間實現(xiàn)密鑰關(guān)系的建立和維護的一整套技術(shù)和程序。在一定的安全策略指導下完成密鑰從產(chǎn)生到最終銷毀的整個過程，包括密鑰的生成（分配和協(xié)商）、存儲、托管、使用、備份/恢復、更新、撤銷和銷毀等。45密鑰管理簡介使用前狀態(tài)：密鑰不能用于正常的密碼操作。使用狀態(tài)：密鑰是可用的，并處于正常使用中。使用后狀態(tài)：密鑰不再正常使用，但為了某種目的對其進行離線訪問是可行。過期狀態(tài)：密鑰不再使用，所有的密鑰記錄已被刪除。6密鑰管理簡介密鑰生成

密鑰的大小與產(chǎn)生機制直接影響密碼系統(tǒng)的安全，所以，對于一個密碼體制，如何產(chǎn)生好的密鑰是很關(guān)鍵的，密鑰生成是密鑰生命周期的基礎(chǔ)階段。

1)密鑰的生成一般首先通過密鑰生成器借助于某種噪聲源產(chǎn)生具有較好統(tǒng)計分析特性的序列，以保障生成密鑰的隨機性和不可預測性，然后再對這些序列進行各種隨機性檢驗以確保其具有較好的密碼特性。

2)用戶可以自己生成所需的密鑰，也可以從可信中心或密鑰管理中心申請，密鑰長度要適中。

3)不同的密碼體制，其密鑰的具體生成方法一般是不相同的，與相應的密碼體制或標準相聯(lián)系。7密鑰管理簡介密鑰存儲密鑰的安全存儲實際上是針對靜態(tài)密鑰的保護對靜態(tài)密鑰的保護常有兩種方法：基于口令的軟保護；文件形式或利用確定算法來生成密鑰?；谟布奈锢肀Ｗo；存入專門密碼裝置中（存儲型、智能型）。8密鑰管理簡介密鑰使用利用密鑰進行正常的密碼操作，如加密、解密、簽名等，通常情況下，密鑰在有效期之內(nèi)都可以使用。應注意使用環(huán)境對密鑰的安全性的影響。9密鑰管理簡介密鑰備份：指密鑰處于使用狀態(tài)時的短期存儲，為密鑰的恢復提供密鑰源，要求安全方式存儲密鑰，防止密鑰泄露。密鑰恢復：從備份或存檔中獲取密鑰的過程稱為密鑰恢復。若密鑰喪失但未被泄露，就可以用安全方式從密鑰備份中恢復。10密鑰管理簡介密鑰存檔：當密鑰不再正常時，需要對其進行存檔，以便在某種情況下特別需要時（如解決爭議）能夠?qū)ζ溥M行檢索。存檔是指對過了有效期的密鑰進行長期的離線保存，密鑰的后運行階段工作.密鑰托管：為政府機構(gòu)提供了實施法律授權(quán)下的監(jiān)聽功能.11密鑰管理簡介密鑰更新：在密鑰有效期快結(jié)束時，如果需要繼續(xù)使用該密鑰，為保證密鑰的安全性，該密鑰需要由一個新的密鑰來取代，這就是密鑰更新。密鑰更新可以通過再生密鑰取代原有密鑰的方式來實現(xiàn)。密鑰撤銷：若密鑰丟失或在密鑰過期之前，需要將它從正常使用的集合中刪除。密鑰銷毀：對于不再需要使用的密鑰，要將其所有副本銷毀，而不能再出現(xiàn)。12密鑰管理簡介會話密鑰（SessionKey）在一次通信或數(shù)據(jù)交換中，用戶之間所使用的密鑰，是由通信用戶之間進行協(xié)商得到的。它一般是動態(tài)地、僅在需要進行會話數(shù)據(jù)加密時產(chǎn)生，并在使用完畢后立即進行清除掉的，也稱為數(shù)據(jù)加密密鑰(DataEncryptingKey)。密鑰加密密鑰（KeyEncryptingKey）一般是用來對傳輸?shù)臅捗荑€進行加密時采用的密鑰，又稱為二級密鑰(SecondaryKey)。密鑰加密密鑰所保護的對象是實際用來保護通信或文件數(shù)據(jù)的會話密鑰。主密鑰（MasterKey）對應于層次化密鑰結(jié)構(gòu)中的最高層次，它是對密鑰加密密鑰進行加密的密鑰，主密鑰應受到嚴格的保護。會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因為敵手即使獲得一個會話密鑰，也只能獲得很少的密文。但另一方面，會話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時還造成網(wǎng)絡(luò)負擔。所以在決定會話密鑰的有效期時，應權(quán)衡矛盾的兩個方面。WhyPublicKeyCryptography?私鑰密碼體制的一個問題如何解決這些問題?要進行保密通信，事先不秘密傳送密鑰行不行？已學到的方法AliceBob帶一把鎖的對稱密碼體制能否實現(xiàn)？Shamir盒AliceBob對你的啟示？WhitfieldDiffie&MartinHellman

"NewDirectionsinCryptography",IEEETrans.InformationTheory,IT-22,pp644-654,Nov19761.不事先交換密鑰就能進行秘密通信2.加密、解密的密鑰可以分開2024/6/1118§10.1Diffie-Hellman密鑰交換第一個公鑰算法

1976由Diffie

和

Hellman

提出DH算法是一個實用的密鑰公開交換的算法算法本身只限于進行密鑰交換已應用在許多商業(yè)產(chǎn)品中“Newdirectionsincryptography”2024/6/11192024/6/1120Diffie-Hellman密鑰交換是一個公鑰分配方案不能用于交換任意的消息只限于進行公共密鑰的建立只對通信的雙方已知密鑰的值依賴于通信的參與者(以及他們的私鑰和公鑰信息）有限域中的指數(shù)運算（模一個素數(shù)）是相對容易的，而離散對數(shù)的計算是相對困難的。2024/6/11西安電子科技大學計算機學院212024/6/1122Diffie-Hellman的建立所有用戶均已知全局參數(shù):一個大素整數(shù)(或多項式)：q一個模q的本原根：α每個用戶(如A)產(chǎn)生自己的密鑰選擇一個保密的隨機數(shù):xA<q計算其公鑰:yA=αxAmodq

每個用戶公開其公鑰

yA2024/6/1123Diffie-Hellman密鑰交換用戶A和B共享的會話密鑰是KAB:KAB=αxA.xBmodq=yAxBmodq(whichBcancompute)=yBxAmodq(whichAcancompute)會話密鑰KAB

作為A和B兩個用戶在傳統(tǒng)密碼體制中的共享密鑰來使用的可以一直使用前面產(chǎn)生的會話密鑰，直到想重新選擇新的會話密鑰為止。攻擊者需要解出x,必須求解離散對數(shù)。2024/6/1124Diffie-Hellman

舉例用戶Alice和Bob想交換密鑰:雙方同意使用全局參數(shù)q=353和α=3隨機選擇一個保密的私鑰:A選擇

xA

=97,B選擇xB

=233分別計算各自的公鑰:yA=397mod353=40 (Alice)yB=3233mod353=248 (Bob)計算共享的會話密鑰:KAB=yBxAmod353=24897=160 (Alice)KAB=yAxBmod353=40233=160 (Bob)2024/6/1125密鑰交換協(xié)議用戶在每一次通信時都產(chǎn)生隨機的公開的和保密的DH密鑰對用戶產(chǎn)生D-H密鑰對，并公開其公鑰在一個目錄中，需要與其進行保密通信時，查詢并使用這個目錄。上述兩種情況都存在中間相遇攻擊認證是需要的2024/6/1126DH交換的中間人攻擊(1)Darth生成兩個隨機數(shù)XD1和XD2，隨后計算相應的公鑰YD1和YD2；(2)Alice將YA傳遞給Bob；(3)Darth截獲了YA，將YD1傳給Bob，同時計算(4)Bob收到Y(jié)D1，計算(5)Bob將YB傳給Alice；(6)Darth截獲了YB，將YD2傳給Alice，Darth計算(7)Alice收到Y(jié)D2，計算2024/6/1127DH交換的中間人攻擊(1)Alice發(fā)送機密消息M：E(K2，M)；(2)Darth截獲了該消息，解密，恢復出M；(3)Darth將E(K1，M)或E(K1，M’)發(fā)送給Bob。TaherElgamal在1984和1985年間提出了一種基于離散對數(shù)問題的公鑰密碼體系，其類似于Diffie-Hellman的密鑰協(xié)商協(xié)議?！?0.2ElGamal密碼體系2024/6/11292024/6/1130ElGamal舉例-加密

Alice選擇XA=5；

計算Alice的私鑰為5；公鑰為

假如Bob想將值M=17發(fā)送，則作如下計算：(1)Bob選擇k=6(2)計算(3)計算Bob發(fā)送密文（11,5）ElGamal舉例-解密

Alice選擇

在GF(19)中

計算安全性

對于給定的參數(shù)，破解ElGamal相當于解Diffie-Hellman問題。實際上，ElGamal可以被看成是Diffie-Hellman密鑰的一種變形，基于這個原因，ElGamal的安全性依賴于Zp*上的離散對數(shù)問題;在加密過程中，對不同的消息m都應選取不同的隨機數(shù)k，否則的話，攻擊者可以很容易攻擊ElGamal公鑰體系。攻擊舉例-k

如果k用于多個分塊，利用信息的分塊m1，攻擊者計算

于是

若M1已知，很容易計算M22024/6/1135§10.3橢圓曲線密碼學略2024/6/1136同等安全強度下密鑰大小的比較Symmetricscheme(keysizeinbits)ECC-basedscheme(sizeofninbits)