現(xiàn)代密碼學第5章

第5章密鑰分配與密鑰管理KeyDistributionandKeyManagement2023/7/71內(nèi)容提要單鑰加密體制的密鑰分配公鑰加密體制的密鑰管理密鑰托管隨機數(shù)的產(chǎn)生秘密分割2023/7/72單鑰加密體制的密鑰分配KeyDistributionofsymmetriccryptography2023/7/73密鑰分配的基本方法兩個用戶在使用單鑰體制進行通信時，必須預先共享秘密密鑰，并且應當時常更新，用戶A和B共享密鑰的方法主要有:A選取密鑰并通過物理手段發(fā)送給B第三方選取密鑰并通過物理手段發(fā)送給A和BA,B事先已有一密鑰，其中一方選取新密鑰，用已有密鑰加密新密鑰發(fā)送給另一方A和B分別與第三方C有一保密信道，C為A，B選取密鑰，分別在兩個保密信道上發(fā)送給A和B2023/7/74密鑰分配的基本方法如果有n個用戶，需要兩兩擁有共享密鑰，一共需要n(n-1)/2的密鑰采用第4中方法，只需要n個密鑰2023/7/75KS：一次性會話密鑰N1,N2：隨機數(shù)KA,KB：A與B和KDC的共享密鑰f：某種函數(shù)變換2.一個實例4.KDCAB1.Request||N13.5.2023/7/76密鑰的分層控制用戶數(shù)目很多并且分布地域很廣，一個KDC無法承擔，需要采用多個KDC的分層結構。本地KDC為本地用戶分配密鑰。不同區(qū)域內(nèi)的KDC通過全局KDC溝通。2023/7/77會話密鑰的有效期密鑰更換越頻繁，安全性越高。缺點是延遲用戶的交互，造成網(wǎng)絡負擔。決定會話的有效期，應權衡利弊。面向連接的協(xié)議，每次建立連接時應使用新的會話密鑰。無連接的協(xié)議，無法明確確定更換密鑰的頻率，安全起見，每次交換都用新的密鑰。經(jīng)濟的做法在一固定周期內(nèi)對一定數(shù)目的業(yè)務使用同一會話密鑰。2023/7/78無中心的密鑰控制有KDC時，要求所有用戶信任KDC，并且要求KDC加以保護。無KDC時沒有這種限制，但是只適用于用戶小的場合2023/7/79無中心的密鑰控制AB1.Request||N12.3.用戶A和B建立會話密鑰的過程2023/7/710密鑰的控制使用根據(jù)用途不同分為會話密鑰（數(shù)據(jù)加密密鑰）主密鑰（密鑰加密密鑰），安全性高于會話密鑰根據(jù)用途不同對密鑰使用加以控制2023/7/711單鑰體制的密鑰控制技術－密鑰標簽z用于DES的密鑰控制，8個校驗位作為密鑰標簽1比特表示這個密鑰是會話密鑰還是主密鑰1比特表示這個密鑰能否用于加密1比特表示這個密鑰能否用于解密其余比特保留長度有限，限制了靈活性和功能標簽以密文傳送，只有解密后才能使用，限制了密鑰使用的控制方式。2023/7/712單鑰體制的密鑰控制技術－控制矢量對每一密鑰指定相應的控制矢量，分為若干字段，說明在不同情況下是否能夠使用有KDC產(chǎn)生加密密鑰時加在密鑰之中h為hash函數(shù)，Km是主密鑰，KS為會話密鑰控制矢量CV明文發(fā)送優(yōu)點：1.CV長度沒有限制2.CV以明文形式存在2023/7/713公鑰加密體制的密鑰管理KeyManagementofPublicKeyCryptography2023/7/714公鑰的分配－公開發(fā)布用戶將自己的公鑰發(fā)給每一個其他用戶方法簡單，但沒有認證性，因為任何人都可以偽造這種公開發(fā)布2023/7/715公鑰的分配－公用目錄表公用的公鑰動態(tài)目錄表，目錄表的建立、維護以及公鑰的分布由可信的實體和組織承擔。管理員為每個用戶都在目錄表里建立一個目錄，目錄中包括兩個數(shù)據(jù)項：一是用戶名，而是用戶的公開密鑰。每一用戶都親自或以某種安全的認證通信在管理者處為自己的公開密鑰注冊。用戶可以隨時替換自己的密鑰。管理員定期公布或定期更新目錄。用戶可以通過電子手段訪問目錄。2023/7/716公鑰的分配－公鑰管理機構公鑰管理機構為用戶建立維護動態(tài)的公鑰目錄。每個用戶知道管理機構的公開鑰。只有管理機構知道自己的秘密鑰。2023/7/717公鑰管理機構分配公鑰公鑰管理機構AB1.Request||Time12.3.6.4.Request||Time25.7.有可能稱為系統(tǒng)的瓶頸，目錄容易受到敵手的串擾2023/7/718公鑰證書用戶通過公鑰證書交換各自公鑰，無須與公鑰管理機構聯(lián)系公鑰證書由證書管理機構CA（CertificateAuthority）為用戶建立。證書的形式為T-時間，PKA-A的公鑰，IDA－A的身份，SKCA－CA的私鑰時戳T保證證書的新鮮性，防止重放舊證書。2023/7/719CA的計算機用戶的計算機證書的產(chǎn)生過程產(chǎn)生密鑰姓名秘密鑰公開鑰CA的公開鑰CA的秘密鑰簽字證書2023/7/720用公鑰加密分配單鑰密碼體制的密鑰AB1.PKA||IDA2.簡單分配易受到主動攻擊AB攻擊者E1.PKA||IDA2.PKE||IDA3.4.2023/7/721用公鑰加密分配單鑰密碼體制的密鑰具有保密性和認證性的密鑰分配AB1.2.3.4.2023/7/722用戶B用戶ADiffie-Hellman密鑰交換W.Diffie和M.Hellman1976年提出算法的安全性基于求離散對數(shù)的困難性選擇隨機數(shù)x<p計算YA=gxmodp選擇隨機數(shù)y<p計算YB=gymodpYAYB計算K=YA

y

=gxymodp計算K=YB

x

=gxymodp2023/7/723密鑰托管KeyEscrow2023/7/724密鑰托管也稱托管加密，其目的在于保證個人沒有絕對的銀絲和絕對不可跟蹤的匿名性。實現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復密鑰聯(lián)系起來。由數(shù)據(jù)恢復密鑰可以得到解密密鑰，由所信任的委托人持有。提供了一個備用的解密途徑，不僅對政府有用，也對用戶自己有用。2023/7/725美國托管加密標準1993年4月提出托管加密標準EES（Escrowedencrytionstandard）提供強加密功能，同時也提供政府機構在法律授權下監(jiān)聽功能。通過防竄擾Clipper芯片來實現(xiàn)。包含兩個特性Skipjack算法，實現(xiàn)強加密法律實施存取域LEAF，實現(xiàn)法律授權下解密2023/7/726Skipjack算法單鑰分組加密算法，密鑰長80比特，輸入輸出分組長度64Bit4種工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式2023/7/727托管加密芯片Skipjack算法80比特族密鑰KF(Familykey),同一批芯片的族密鑰都相同芯片單元識別符UID80bit的芯片單元密鑰KU(uniquekey),由兩個80bit密鑰分量異或得到控制軟件被固化在芯片上2023/7/728托管加密芯片的編程過程UIDKU1EK1KU1EK2+SJKFUIDKUKF芯片芯片編程處理器托管機構1初始化托管機構2初始化UIDUID托管機構1托管機構22023/7/729托管加密芯片加密過程用KU加密加密的KSUIDAKSIV用KF加密LEAF80bit32bit16bitKS：會話密鑰A：認證符UID：芯片識別符IV：初始向量2023/7/730通信和法律實施存取過程2023/7/731密鑰托管密碼體制的組成成分用戶安全成分（USC）密鑰托管成分（KEC）數(shù)據(jù)恢復成分（DRC）2023/7/732隨機數(shù)的產(chǎn)生GenerationofRandomNumbers2023/7/733隨機數(shù)的用途相互認證會話密鑰的產(chǎn)生公鑰密碼算法中的密鑰產(chǎn)生2023/7/734隨機數(shù)的要求－隨機性均勻分布數(shù)列中每個數(shù)出現(xiàn)的頻率相等或近似相等獨立性數(shù)列中任一數(shù)不能由其他數(shù)推出經(jīng)常使用的是偽隨機數(shù)列2023/7/735隨機數(shù)的要求－不可預測性對數(shù)列中以后的數(shù)是不可預測的對于真隨機數(shù)，滿足獨立性，所以不可預測偽隨機數(shù)列需要特別注意滿足不可預測性2023/7/736隨機數(shù)源真隨機數(shù)源－物理噪聲產(chǎn)生器離子輻射脈沖檢測器氣體放電管漏電容數(shù)的隨機性和精度不夠這些設備很難聯(lián)入網(wǎng)絡2023/7/737隨機數(shù)源目前關于隨機性最嚴格的定義是：一個理想噪聲源的二進制輸出序列S0,S1,……,Sn-1,Sn,…的隨機性，表示為當前輸出位Sn與在此之前的所有輸出信號之間的完全獨立性，也就是說，在已知S0,S1,……,Sn-1的條件下，Sn仍然是不可預測的。2023/7/738噪聲源技術(了解)噪聲源的功能就是產(chǎn)生二進制的隨機序列或與之對應的隨機數(shù)，它是密鑰產(chǎn)生設備的核心部件。噪聲源的另一個用途是在物理層加密的環(huán)境下進行信息填充，使網(wǎng)絡具有防止流量分析的功能，當采用序列密碼時也有防止亂數(shù)空發(fā)的功能。噪聲源還被用于某些身份驗證技術中，如在對等實體中，為了防止口令被竊取常常使用隨機應答技術，這時的提問與應答都是由噪聲控制的。

2023/7/739噪聲源輸出的隨機數(shù)序列按照產(chǎn)生的方法可以分為：

偽隨機序列：用數(shù)學方法和少量的種子密鑰產(chǎn)生的周期很長的隨機序列。

偽隨機序列一般都有良好的能經(jīng)受理論檢驗的隨機統(tǒng)計特性，但是當序列的長度超過了唯一解距離時，就成了一個可預測的序列。

物理隨機序列：用熱噪聲等客觀的方法產(chǎn)生的隨機序列。

實際的物理噪聲往往要受到溫度、電源、電路特性等因素的限制，其統(tǒng)計特性常常帶有一定的偏向性。

準隨機序列：用數(shù)學方法和物理方法相結合產(chǎn)生的隨機序列，它可以克服兩者的缺點。噪聲源技術(了解)2023/7/740目前的物理噪聲源基本上可分為三大類：基于力學的噪聲源技術；基于電子學的噪聲源技術；基于混沌理論的噪聲源技術。噪聲源技術(了解)2023/7/741⑴基于力學的噪聲源技術拋一個一分的硬幣，看它是正面落地還是反面落地，可得到1比特的隨機數(shù)。用轉動很靈活的、畫有十進制或十六進制刻度的轉盤，任意給它一個起始動量，記下它停止的位置，便得到一個十進制或十六進制的隨機數(shù)；大量的鉛字，在一個鐵鍋里充分攪拌后隨手揀出一堆，排成一版進行印刷，二次大戰(zhàn)時使用的一次一密亂碼本就是這樣產(chǎn)生出來的。

這類方法的優(yōu)點是簡便易行，缺點是產(chǎn)生密鑰的效率低，密鑰的隨機性較差。噪聲源技術(了解)2023/7/742⑵基于電子學的噪聲產(chǎn)生技術影響噪聲質量的關鍵部分是噪聲產(chǎn)生電路。要獲得的應是純潔的、寬頻帶的、正態(tài)分布的、連續(xù)的平穩(wěn)遍歷的隨機信號。所謂純潔的，是指沒有混進不隨機的某種固定分量；所謂寬頻帶的，是指能夠提供較高的采樣速率；所謂正態(tài)分布的，是指它的幅度和頻譜成分成正態(tài)分布；所謂連續(xù)的平穩(wěn)遍歷，主要是為了使用方便，在任意時刻進行采樣都能滿足隨機性要求。噪聲源技術(了解)2023/7/743(3)基于混沌理論的噪聲源技術

混沌理論是一門新學科，用混沌理論的方法不僅可以產(chǎn)生噪聲，甚至還可以直接作為序列密碼使用。目前國內(nèi)外已有混沌噪聲源的成熟技術，其噪聲產(chǎn)生速率可達1Mbit/s以上，所使用電路卻很簡單，可實現(xiàn)芯片化。與前面介紹的幾種噪聲源的區(qū)別在于，它不是將某種自然世界的噪聲加以放大利用，而是用確定的動力學方程產(chǎn)生出類似于白噪聲的頻譜特性，因此受元器件的個體差異的影響很小。噪聲源技術(了解)2023/7/744偽隨機數(shù)產(chǎn)生器-線性同余法參數(shù)：模數(shù)m(m>0)乘數(shù)a(0≤a<m)增量c(0≤c<m)初值種子X0(0≤X0<m)a,c,m的取值是產(chǎn)生高質量隨機數(shù)的關鍵2023/7/745偽隨機數(shù)產(chǎn)生器-線性同余法a=7,c=0,m=32,X0=1{7,17,23,1,7,…}a=3,c=0,m=32,X0=1{3,9,27,17,19,25,11,1,3,…}選m盡可能大，使其接近或等于計算機能表示的最大整數(shù)周期為4周期為82023/7/746偽隨機數(shù)產(chǎn)生器-線性同余法評價線性同余有以下三個標準：迭代函數(shù)應是整周期的，在重復之前應出現(xiàn)0到m間的所有數(shù)產(chǎn)生的數(shù)列看上去應是隨機的迭代函數(shù)能有效的利用32位運算實現(xiàn)如果m為素數(shù)，且a為m的本原根，產(chǎn)生的數(shù)列是整周期的。a=16807,m=231-1,c=02023/7/747偽隨機數(shù)產(chǎn)生器-線性同余法假定敵手知道X0,X1,X2,X3,可以確定參數(shù)改進的方法：利用系統(tǒng)時鐘修改隨機數(shù)數(shù)列。2023/7/748基于密碼算法的隨機數(shù)產(chǎn)生器循環(huán)加密CC+1加密算法

主密鑰Km周期為N的計數(shù)器2023/7/749基于密碼算法的隨機數(shù)產(chǎn)生器DES的輸出反饋方式(OFB)模式采用OFB模式能用來產(chǎn)生密鑰并用于流加密。加密算法的輸出構成偽隨機序列2023/7/750基于密碼算法的隨機數(shù)產(chǎn)生器ANSIX9.17偽隨機數(shù)產(chǎn)生器EDEEDEEDE＋＋K1K2Vi+1ViRiDTi2023/7/751BBS（blum-blum-shub）產(chǎn)生器密碼強度最強，基于大整數(shù)分解困難性選擇p,q,滿足p=q=3mod4,n=p×q。選隨機數(shù)s，s和n互素X0＝s2modnFori=1to∞do{Xi=Xi-12modn;Bi=Ximod2}Bi為產(chǎn)生的隨機數(shù)序列2023/7/752秘密分割SecreteSharing2023/7/753秘密分割門限方案導彈控制發(fā)射，重要場所通行檢驗，通常需要多人同時參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數(shù)同時到場才能恢復秘密。2023/7/754門限方案的一般概念秘密s被分為n個部分,每個部分稱為shadow,由一個參與者持有，使得由k個或多于k個參與者所持有的部分信息可重構s。由少于k個參與者所持有的部分信息則無法重構s。稱為(k,n)秘密分割門限方案，k稱為門限值。少于k個參與者所持有的部分信息得不到s的任何信息稱該門限方案是完善的。2023/7/755Shamir門限方案基于多項式Lagrange插值公式設{(x1,y1),…,(xk,yk)}是平面上k個點構成的點集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多項式f(x)通過這k個點.若把秘密s取做f(0)，n個shadow取做f(xi)(i=1,…n),那么利用其中任意k個shadow可以重構f(x)，從而可以得到秘密s2023/7/756Shamir門限方案有限域GF(q),q為大素數(shù)，q≥n+1。秘密s是GF(q)\{0}上均勻選取的隨機數(shù)，表示為s∈RGF(q)\{0}.k-1個系