現(xiàn)代密碼學(xué)第5章課件

第5章密鑰分配與密鑰管理KeyDistributionandKeyManagement2023/2/61內(nèi)容提要單鑰加密體制的密鑰分配公鑰加密體制的密鑰管理密鑰托管隨機(jī)數(shù)的產(chǎn)生秘密分割2023/2/62單鑰加密體制的密鑰分配KeyDistributionofsymmetriccryptography

2023/2/63密鑰分配的基本方法如果有n個(gè)用戶，需要兩兩擁有共享密鑰，一共需要n(n-1)/2的密鑰采用第4中方法，只需要n個(gè)密鑰2023/2/65KS：一次性會(huì)話密鑰N1,N2：隨機(jī)數(shù)KA,KB：A與B和KDC的共享密鑰f：某種函數(shù)變換2.一個(gè)實(shí)例4.KDCAB1.Request||N13.5.2023/2/66密鑰的分層控制用戶數(shù)目很多并且分布地域很廣，一個(gè)KDC無法承擔(dān)，需要采用多個(gè)KDC的分層結(jié)構(gòu)。本地KDC為本地用戶分配密鑰。不同區(qū)域內(nèi)的KDC通過全局KDC溝通。2023/2/67無中心的密鑰控制有KDC時(shí)，要求所有用戶信任KDC，并且要求KDC加以保護(hù)。無KDC時(shí)沒有這種限制，但是只適用于用戶小的場合2023/2/69無中心的密鑰控制AB1.Request||N12.3.用戶A和B建立會(huì)話密鑰的過程2023/2/610密鑰的控制使用根據(jù)用途不同分為會(huì)話密鑰（數(shù)據(jù)加密密鑰）主密鑰（密鑰加密密鑰），安全性高于會(huì)話密鑰根據(jù)用途不同對密鑰使用加以控制2023/2/611單鑰體制的密鑰控制技術(shù)－控制矢量對每一密鑰指定相應(yīng)的控制矢量，分為若干字段，說明在不同情況下是否能夠使用有KDC產(chǎn)生加密密鑰時(shí)加在密鑰之中h為hash函數(shù)，Km是主密鑰，KS為會(huì)話密鑰控制矢量CV明文發(fā)送優(yōu)點(diǎn)：1.CV長度沒有限制2.CV以明文形式存在2023/2/613公鑰加密體制的密鑰管理KeyManagementofPublicKeyCryptography2023/2/614公鑰的分配－公開發(fā)布用戶將自己的公鑰發(fā)給每一個(gè)其他用戶方法簡單，但沒有認(rèn)證性，因?yàn)槿魏稳硕伎梢詡卧爝@種公開發(fā)布2023/2/615公鑰的分配－公鑰管理機(jī)構(gòu)公鑰管理機(jī)構(gòu)為用戶建立維護(hù)動(dòng)態(tài)的公鑰目錄。每個(gè)用戶知道管理機(jī)構(gòu)的公開鑰。只有管理機(jī)構(gòu)知道自己的秘密鑰。2023/2/617公鑰管理機(jī)構(gòu)分配公鑰公鑰管理機(jī)構(gòu)AB1.Request||Time12.3.6.4.Request||Time25.7.有可能稱為系統(tǒng)的瓶頸，目錄容易受到敵手的串?dāng)_2023/2/618公鑰證書用戶通過公鑰證書交換各自公鑰，無須與公鑰管理機(jī)構(gòu)聯(lián)系公鑰證書由證書管理機(jī)構(gòu)CA（CertificateAuthority）為用戶建立。證書的形式為T-時(shí)間，PKA-A的公鑰，IDA－A的身份，SKCA－CA的私鑰時(shí)戳T保證證書的新鮮性，防止重放舊證書。2023/2/619用公鑰加密分配單鑰密碼體制的密鑰AB1.PKA||IDA2.簡單分配易受到主動(dòng)攻擊AB攻擊者E1.PKA||IDA2.PKE||IDA3.4.2023/2/621用公鑰加密分配單鑰密碼體制的密鑰具有保密性和認(rèn)證性的密鑰分配AB1.2.3.4.2023/2/622用戶B用戶ADiffie-Hellman密鑰交換W.Diffie和M.Hellman1976年提出算法的安全性基于求離散對數(shù)的困難性選擇隨機(jī)數(shù)x<p計(jì)算YA=gxmodp選擇隨機(jī)數(shù)y<p計(jì)算YB=gymodpYAYB計(jì)算K=YA

y

=gxymodp計(jì)算K=YB

x

=gxymodp2023/2/623密鑰托管也稱托管加密，其目的在于保證個(gè)人沒有絕對的銀絲和絕對不可跟蹤的匿名性。實(shí)現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來。由數(shù)據(jù)恢復(fù)密鑰可以得到解密密鑰，由所信任的委托人持有。提供了一個(gè)備用的解密途徑，不僅對政府有用，也對用戶自己有用。2023/2/625美國托管加密標(biāo)準(zhǔn)1993年4月提出托管加密標(biāo)準(zhǔn)EES（Escrowedencrytionstandard）提供強(qiáng)加密功能，同時(shí)也提供政府機(jī)構(gòu)在法律授權(quán)下監(jiān)聽功能。通過防竄擾Clipper芯片來實(shí)現(xiàn)。包含兩個(gè)特性Skipjack算法，實(shí)現(xiàn)強(qiáng)加密法律實(shí)施存取域LEAF，實(shí)現(xiàn)法律授權(quán)下解密2023/2/626Skipjack算法單鑰分組加密算法，密鑰長80比特，輸入輸出分組長度64Bit4種工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式2023/2/627托管加密芯片的編程過程UIDKU1EK1KU1EK2+SJKFUIDKUKF芯片芯片編程處理器托管機(jī)構(gòu)1初始化托管機(jī)構(gòu)2初始化UIDUID托管機(jī)構(gòu)1托管機(jī)構(gòu)22023/2/629托管加密芯片加密過程用KU加密加密的KSUIDAKSIV用KF加密LEAF80bit32bit16bitKS：會(huì)話密鑰A：認(rèn)證符UID：芯片識(shí)別符IV：初始向量2023/2/630通信和法律實(shí)施存取過程2023/2/631密鑰托管密碼體制的組成成分用戶安全成分（USC）密鑰托管成分（KEC）數(shù)據(jù)恢復(fù)成分（DRC）2023/2/632隨機(jī)數(shù)的產(chǎn)生GenerationofRandomNumbers2023/2/633隨機(jī)數(shù)的用途相互認(rèn)證會(huì)話密鑰的產(chǎn)生公鑰密碼算法中的密鑰產(chǎn)生2023/2/634隨機(jī)數(shù)的要求－隨機(jī)性均勻分布數(shù)列中每個(gè)數(shù)出現(xiàn)的頻率相等或近似相等獨(dú)立性數(shù)列中任一數(shù)不能由其他數(shù)推出經(jīng)常使用的是偽隨機(jī)數(shù)列2023/2/635隨機(jī)數(shù)的要求－不可預(yù)測性對數(shù)列中以后的數(shù)是不可預(yù)測的對于真隨機(jī)數(shù)，滿足獨(dú)立性，所以不可預(yù)測偽隨機(jī)數(shù)列需要特別注意滿足不可預(yù)測性2023/2/636隨機(jī)數(shù)源真隨機(jī)數(shù)源－物理噪聲產(chǎn)生器離子輻射脈沖檢測器氣體放電管漏電容數(shù)的隨機(jī)性和精度不夠這些設(shè)備很難聯(lián)入網(wǎng)絡(luò)2023/2/637隨機(jī)數(shù)源目前關(guān)于隨機(jī)性最嚴(yán)格的定義是：一個(gè)理想噪聲源的二進(jìn)制輸出序列S0,S1,……,Sn-1,Sn,…的隨機(jī)性，表示為當(dāng)前輸出位Sn與在此之前的所有輸出信號(hào)之間的完全獨(dú)立性，也就是說，在已知S0,S1,……,Sn-1的條件下，Sn仍然是不可預(yù)測的。2023/2/638噪聲源技術(shù)(了解)噪聲源的功能就是產(chǎn)生二進(jìn)制的隨機(jī)序列或與之對應(yīng)的隨機(jī)數(shù)，它是密鑰產(chǎn)生設(shè)備的核心部件。噪聲源的另一個(gè)用途是在物理層加密的環(huán)境下進(jìn)行信息填充，使網(wǎng)絡(luò)具有防止流量分析的功能，當(dāng)采用序列密碼時(shí)也有防止亂數(shù)空發(fā)的功能。噪聲源還被用于某些身份驗(yàn)證技術(shù)中，如在對等實(shí)體中，為了防止口令被竊取常常使用隨機(jī)應(yīng)答技術(shù)，這時(shí)的提問與應(yīng)答都是由噪聲控制的。

2023/2/639噪聲源輸出的隨機(jī)數(shù)序列按照產(chǎn)生的方法可以分為：

偽隨機(jī)序列：用數(shù)學(xué)方法和少量的種子密鑰產(chǎn)生的周期很長的隨機(jī)序列。

偽隨機(jī)序列一般都有良好的能經(jīng)受理論檢驗(yàn)的隨機(jī)統(tǒng)計(jì)特性，但是當(dāng)序列的長度超過了唯一解距離時(shí)，就成了一個(gè)可預(yù)測的序列。

物理隨機(jī)序列：用熱噪聲等客觀的方法產(chǎn)生的隨機(jī)序列。

實(shí)際的物理噪聲往往要受到溫度、電源、電路特性等因素的限制，其統(tǒng)計(jì)特性常常帶有一定的偏向性。

準(zhǔn)隨機(jī)序列：用數(shù)學(xué)方法和物理方法相結(jié)合產(chǎn)生的隨機(jī)序列，它可以克服兩者的缺點(diǎn)。噪聲源技術(shù)(了解)2023/2/640目前的物理噪聲源基本上可分為三大類：基于力學(xué)的噪聲源技術(shù)；基于電子學(xué)的噪聲源技術(shù)；基于混沌理論的噪聲源技術(shù)。噪聲源技術(shù)(了解)2023/2/641⑴基于力學(xué)的噪聲源技術(shù)拋一個(gè)一分的硬幣，看它是正面落地還是反面落地，可得到1比特的隨機(jī)數(shù)。用轉(zhuǎn)動(dòng)很靈活的、畫有十進(jìn)制或十六進(jìn)制刻度的轉(zhuǎn)盤，任意給它一個(gè)起始動(dòng)量，記下它停止的位置，便得到一個(gè)十進(jìn)制或十六進(jìn)制的隨機(jī)數(shù)；大量的鉛字，在一個(gè)鐵鍋里充分?jǐn)嚢韬箅S手揀出一堆，排成一版進(jìn)行印刷，二次大戰(zhàn)時(shí)使用的一次一密亂碼本就是這樣產(chǎn)生出來的。

這類方法的優(yōu)點(diǎn)是簡便易行，缺點(diǎn)是產(chǎn)生密鑰的效率低，密鑰的隨機(jī)性較差。噪聲源技術(shù)(了解)2023/2/642⑵基于電子學(xué)的噪聲產(chǎn)生技術(shù)

影響噪聲質(zhì)量的關(guān)鍵部分是噪聲產(chǎn)生電路。要獲得的應(yīng)是純潔的、寬頻帶的、正態(tài)分布的、連續(xù)的平穩(wěn)遍歷的隨機(jī)信號(hào)。所謂純潔的，是指沒有混進(jìn)不隨機(jī)的某種固定分量；所謂寬頻帶的，是指能夠提供較高的采樣速率；所謂正態(tài)分布的，是指它的幅度和頻譜成分成正態(tài)分布；所謂連續(xù)的平穩(wěn)遍歷，主要是為了使用方便，在任意時(shí)刻進(jìn)行采樣都能滿足隨機(jī)性要求。噪聲源技術(shù)(了解)2023/2/643(3)基于混沌理論的噪聲源技術(shù)

混沌理論是一門新學(xué)科，用混沌理論的方法不僅可以產(chǎn)生噪聲，甚至還可以直接作為序列密碼使用。目前國內(nèi)外已有混沌噪聲源的成熟技術(shù)，其噪聲產(chǎn)生速率可達(dá)1Mbit/s以上，所使用電路卻很簡單，可實(shí)現(xiàn)芯片化。與前面介紹的幾種噪聲源的區(qū)別在于，它不是將某種自然世界的噪聲加以放大利用，而是用確定的動(dòng)力學(xué)方程產(chǎn)生出類似于白噪聲的頻譜特性，因此受元器件的個(gè)體差異的影響很小。噪聲源技術(shù)(了解)2023/2/644偽隨機(jī)數(shù)產(chǎn)生器-線性同余法參數(shù)：模數(shù)m(m>0)乘數(shù)a(0≤a<m)增量c(0≤c<m)初值種子X0(0≤X0<m)a,c,m的取值是產(chǎn)生高質(zhì)量隨機(jī)數(shù)的關(guān)鍵2023/2/645偽隨機(jī)數(shù)產(chǎn)生器-線性同余法a=7,c=0,m=32,X0=1{7,17,23,1,7,…}a=3,c=0,m=32,X0=1{3,9,27,17,19,25,11,1,3,…}選m盡可能大，使其接近或等于計(jì)算機(jī)能表示的最大整數(shù)周期為4周期為82023/2/646偽隨機(jī)數(shù)產(chǎn)生器-線性同余法評價(jià)線性同余有以下三個(gè)標(biāo)準(zhǔn)：迭代函數(shù)應(yīng)是整周期的，在重復(fù)之前應(yīng)出現(xiàn)0到m間的所有數(shù)產(chǎn)生的數(shù)列看上去應(yīng)是隨機(jī)的迭代函數(shù)能有效的利用32位運(yùn)算實(shí)現(xiàn)如果m為素?cái)?shù)，且a為m的本原根，產(chǎn)生的數(shù)列是整周期的。a=16807,m=231-1,c=02023/2/647偽隨機(jī)數(shù)產(chǎn)生器-線性同余法假定敵手知道X0,X1,X2,X3,可以確定參數(shù)改進(jìn)的方法：利用系統(tǒng)時(shí)鐘修改隨機(jī)數(shù)數(shù)列。2023/2/648基于密碼算法的隨機(jī)數(shù)產(chǎn)生器循環(huán)加密CC+1加密算法

主密鑰Km周期為N的計(jì)數(shù)器2023/2/649基于密碼算法的隨機(jī)數(shù)產(chǎn)生器DES的輸出反饋方式(OFB)模式采用OFB模式能用來產(chǎn)生密鑰并用于流加密。加密算法的輸出構(gòu)成偽隨機(jī)序列2023/2/650基于密碼算法的隨機(jī)數(shù)產(chǎn)生器ANSIX9.17偽隨機(jī)數(shù)產(chǎn)生器EDEEDEEDE＋＋K1K2Vi+1ViRiDTi2023/2/651BBS（blum-blum-shub）產(chǎn)生器密碼強(qiáng)度最強(qiáng)，基于大整數(shù)分解困難性選擇p,q,滿足p=q=3mod4,n=p×q。選隨機(jī)數(shù)s，s和n互素X0＝s2modnFori=1to∞do{Xi=Xi-12modn;Bi=Ximod2}Bi為產(chǎn)生的隨機(jī)數(shù)序列2023/2/652秘密分割SecreteSharing

2023/2/653秘密分割門限方案導(dǎo)彈控制發(fā)射，重要場所通行檢驗(yàn)，通常需要多人同時(shí)參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數(shù)同時(shí)到場才能恢復(fù)秘密。2023/2/654門限方案的一般概念秘密s被分為n個(gè)部分,每個(gè)部分稱為shadow,由一個(gè)參與者持有，使得由k個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)s。由少于k個(gè)參與者所持有的部分信息則無法重構(gòu)s。稱為(k,n)秘密分割門限方案，k稱為門限值。少于k個(gè)參與者所持有的部分信息得不到s的任何信息稱該門限方案是完善的。2023/2/655Shamir門限方案基于多項(xiàng)式Lagrange插值公式設(shè){(x1,y1),…,(xk,yk)}是平面上k個(gè)點(diǎn)構(gòu)成的點(diǎn)集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多項(xiàng)式f(x)通過這k個(gè)點(diǎn).若把秘密s取做f(0)，n個(gè)shadow取做f(xi)(i=1,…n),那么利用其中任意k個(gè)shadow可以重構(gòu)f(x)，從而可以得到秘密s2023/2/656Shamir門限方案有限域GF(q),q為大素?cái)?shù)，q≥n+1。秘密s是GF(q)\{0}上均勻選取的隨機(jī)數(shù)，表示為s∈RGF(q)\{0}.k-1個(gè)系數(shù)a1,a2,…ak-1選取ai∈RGF(q)\{0}.在GF(q)上構(gòu)造一個(gè)k-1次多項(xiàng)式f(x)=a0+a1x+…+ak-1xk-1N個(gè)參與者P1,…,Pn,Pi的Shadow為f(i)。任意k個(gè)參與者得到秘密，可使用{(il,f(il))|l=1,…,k}構(gòu)造方程組2023/2/657Shamir門限方案由Lagrange插值公式2023/2/658Shamir門限方案如果k-1個(gè)參與者想獲得s，可構(gòu)造k-1個(gè)方程，有k個(gè)未知量。對任一s0,設(shè)f(0)=s0.這樣可以得到第k個(gè)方程，得到f(x)。對每個(gè)s0都有唯一的多項(xiàng)式滿足，所有由k-1個(gè)shadow得不到任何s的信息。因此此方案是完善的。2023/2/659Shamir門限方案例k=3,n=5,q=19,s=11。隨機(jī)選a1=2,a2=7f(x)=7x2+2x＋11mod19。計(jì)算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6已知f(2),f(3),f(5),重構(gòu)2023/2/660Asmuth-Bloom門限方案首先選取大素?cái)?shù)q，正整數(shù)s(秘密數(shù)據(jù))，以及n個(gè)嚴(yán)格遞增的m1,m2,…,mn,滿足q>s(mi,mj)=1(對所有i≠j)(q,mi)=1(對所有i)