現(xiàn)代密碼學(xué)第5章

第5章密鑰分配與密鑰管理KeyDistributionandKeyManagement2023/7/71內(nèi)容提要單鑰加密體制的密鑰分配公鑰加密體制的密鑰管理密鑰托管隨機(jī)數(shù)的產(chǎn)生秘密分割2023/7/72單鑰加密體制的密鑰分配KeyDistributionofsymmetriccryptography2023/7/73密鑰分配的基本方法兩個用戶在使用單鑰體制進(jìn)行通信時，必須預(yù)先共享秘密密鑰，并且應(yīng)當(dāng)時常更新，用戶A和B共享密鑰的方法主要有:A選取密鑰并通過物理手段發(fā)送給B第三方選取密鑰并通過物理手段發(fā)送給A和BA,B事先已有一密鑰，其中一方選取新密鑰，用已有密鑰加密新密鑰發(fā)送給另一方A和B分別與第三方C有一保密信道，C為A，B選取密鑰，分別在兩個保密信道上發(fā)送給A和B2023/7/74密鑰分配的基本方法如果有n個用戶，需要兩兩擁有共享密鑰，一共需要n(n-1)/2的密鑰采用第4中方法，只需要n個密鑰2023/7/75KS：一次性會話密鑰N1,N2：隨機(jī)數(shù)KA,KB：A與B和KDC的共享密鑰f：某種函數(shù)變換2.一個實例4.KDCAB1.Request||N13.5.2023/7/76密鑰的分層控制用戶數(shù)目很多并且分布地域很廣，一個KDC無法承擔(dān)，需要采用多個KDC的分層結(jié)構(gòu)。本地KDC為本地用戶分配密鑰。不同區(qū)域內(nèi)的KDC通過全局KDC溝通。2023/7/77會話密鑰的有效期密鑰更換越頻繁，安全性越高。缺點是延遲用戶的交互，造成網(wǎng)絡(luò)負(fù)擔(dān)。決定會話的有效期，應(yīng)權(quán)衡利弊。面向連接的協(xié)議，每次建立連接時應(yīng)使用新的會話密鑰。無連接的協(xié)議，無法明確確定更換密鑰的頻率，安全起見，每次交換都用新的密鑰。經(jīng)濟(jì)的做法在一固定周期內(nèi)對一定數(shù)目的業(yè)務(wù)使用同一會話密鑰。2023/7/78無中心的密鑰控制有KDC時，要求所有用戶信任KDC，并且要求KDC加以保護(hù)。無KDC時沒有這種限制，但是只適用于用戶小的場合2023/7/79無中心的密鑰控制AB1.Request||N12.3.用戶A和B建立會話密鑰的過程2023/7/710密鑰的控制使用根據(jù)用途不同分為會話密鑰（數(shù)據(jù)加密密鑰）主密鑰（密鑰加密密鑰），安全性高于會話密鑰根據(jù)用途不同對密鑰使用加以控制2023/7/711單鑰體制的密鑰控制技術(shù)－密鑰標(biāo)簽z用于DES的密鑰控制，8個校驗位作為密鑰標(biāo)簽1比特表示這個密鑰是會話密鑰還是主密鑰1比特表示這個密鑰能否用于加密1比特表示這個密鑰能否用于解密其余比特保留長度有限，限制了靈活性和功能標(biāo)簽以密文傳送，只有解密后才能使用，限制了密鑰使用的控制方式。2023/7/712單鑰體制的密鑰控制技術(shù)－控制矢量對每一密鑰指定相應(yīng)的控制矢量，分為若干字段，說明在不同情況下是否能夠使用有KDC產(chǎn)生加密密鑰時加在密鑰之中h為hash函數(shù)，Km是主密鑰，KS為會話密鑰控制矢量CV明文發(fā)送優(yōu)點：1.CV長度沒有限制2.CV以明文形式存在2023/7/713公鑰加密體制的密鑰管理KeyManagementofPublicKeyCryptography2023/7/714公鑰的分配－公開發(fā)布用戶將自己的公鑰發(fā)給每一個其他用戶方法簡單，但沒有認(rèn)證性，因為任何人都可以偽造這種公開發(fā)布2023/7/715公鑰的分配－公用目錄表公用的公鑰動態(tài)目錄表，目錄表的建立、維護(hù)以及公鑰的分布由可信的實體和組織承擔(dān)。管理員為每個用戶都在目錄表里建立一個目錄，目錄中包括兩個數(shù)據(jù)項：一是用戶名，而是用戶的公開密鑰。每一用戶都親自或以某種安全的認(rèn)證通信在管理者處為自己的公開密鑰注冊。用戶可以隨時替換自己的密鑰。管理員定期公布或定期更新目錄。用戶可以通過電子手段訪問目錄。2023/7/716公鑰的分配－公鑰管理機(jī)構(gòu)公鑰管理機(jī)構(gòu)為用戶建立維護(hù)動態(tài)的公鑰目錄。每個用戶知道管理機(jī)構(gòu)的公開鑰。只有管理機(jī)構(gòu)知道自己的秘密鑰。2023/7/717公鑰管理機(jī)構(gòu)分配公鑰公鑰管理機(jī)構(gòu)AB1.Request||Time12.3.6.4.Request||Time25.7.有可能稱為系統(tǒng)的瓶頸，目錄容易受到敵手的串?dāng)_2023/7/718公鑰證書用戶通過公鑰證書交換各自公鑰，無須與公鑰管理機(jī)構(gòu)聯(lián)系公鑰證書由證書管理機(jī)構(gòu)CA（CertificateAuthority）為用戶建立。證書的形式為T-時間，PKA-A的公鑰，IDA－A的身份，SKCA－CA的私鑰時戳T保證證書的新鮮性，防止重放舊證書。2023/7/719CA的計算機(jī)用戶的計算機(jī)證書的產(chǎn)生過程產(chǎn)生密鑰姓名秘密鑰公開鑰CA的公開鑰CA的秘密鑰簽字證書2023/7/720用公鑰加密分配單鑰密碼體制的密鑰AB1.PKA||IDA2.簡單分配易受到主動攻擊AB攻擊者E1.PKA||IDA2.PKE||IDA3.4.2023/7/721用公鑰加密分配單鑰密碼體制的密鑰具有保密性和認(rèn)證性的密鑰分配AB1.2.3.4.2023/7/722用戶B用戶ADiffie-Hellman密鑰交換W.Diffie和M.Hellman1976年提出算法的安全性基于求離散對數(shù)的困難性選擇隨機(jī)數(shù)x<p計算YA=gxmodp選擇隨機(jī)數(shù)y<p計算YB=gymodpYAYB計算K=YA

y

=gxymodp計算K=YB

x

=gxymodp2023/7/723密鑰托管KeyEscrow2023/7/724密鑰托管也稱托管加密，其目的在于保證個人沒有絕對的銀絲和絕對不可跟蹤的匿名性。實現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來。由數(shù)據(jù)恢復(fù)密鑰可以得到解密密鑰，由所信任的委托人持有。提供了一個備用的解密途徑，不僅對政府有用，也對用戶自己有用。2023/7/725美國托管加密標(biāo)準(zhǔn)1993年4月提出托管加密標(biāo)準(zhǔn)EES（Escrowedencrytionstandard）提供強(qiáng)加密功能，同時也提供政府機(jī)構(gòu)在法律授權(quán)下監(jiān)聽功能。通過防竄擾Clipper芯片來實現(xiàn)。包含兩個特性Skipjack算法，實現(xiàn)強(qiáng)加密法律實施存取域LEAF，實現(xiàn)法律授權(quán)下解密2023/7/726Skipjack算法單鑰分組加密算法，密鑰長80比特，輸入輸出分組長度64Bit4種工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式2023/7/727托管加密芯片Skipjack算法80比特族密鑰KF(Familykey),同一批芯片的族密鑰都相同芯片單元識別符UID80bit的芯片單元密鑰KU(uniquekey),由兩個80bit密鑰分量異或得到控制軟件被固化在芯片上2023/7/728托管加密芯片的編程過程UIDKU1EK1KU1EK2+SJKFUIDKUKF芯片芯片編程處理器托管機(jī)構(gòu)1初始化托管機(jī)構(gòu)2初始化UIDUID托管機(jī)構(gòu)1托管機(jī)構(gòu)22023/7/729托管加密芯片加密過程用KU加密加密的KSUIDAKSIV用KF加密LEAF80bit32bit16bitKS：會話密鑰A：認(rèn)證符UID：芯片識別符IV：初始向量2023/7/730通信和法律實施存取過程2023/7/731密鑰托管密碼體制的組成成分用戶安全成分（USC）密鑰托管成分（KEC）數(shù)據(jù)恢復(fù)成分（DRC）2023/7/732隨機(jī)數(shù)的產(chǎn)生GenerationofRandomNumbers2023/7/733隨機(jī)數(shù)的用途相互認(rèn)證會話密鑰的產(chǎn)生公鑰密碼算法中的密鑰產(chǎn)生2023/7/734隨機(jī)數(shù)的要求－隨機(jī)性均勻分布數(shù)列中每個數(shù)出現(xiàn)的頻率相等或近似相等獨立性數(shù)列中任一數(shù)不能由其他數(shù)推出經(jīng)常使用的是偽隨機(jī)數(shù)列2023/7/735隨機(jī)數(shù)的要求－不可預(yù)測性對數(shù)列中以后的數(shù)是不可預(yù)測的對于真隨機(jī)數(shù)，滿足獨立性，所以不可預(yù)測偽隨機(jī)數(shù)列需要特別注意滿足不可預(yù)測性2023/7/736隨機(jī)數(shù)源真隨機(jī)數(shù)源－物理噪聲產(chǎn)生器離子輻射脈沖檢測器氣體放電管漏電容數(shù)的隨機(jī)性和精度不夠這些設(shè)備很難聯(lián)入網(wǎng)絡(luò)2023/7/737隨機(jī)數(shù)源目前關(guān)于隨機(jī)性最嚴(yán)格的定義是：一個理想噪聲源的二進(jìn)制輸出序列S0,S1,……,Sn-1,Sn,…的隨機(jī)性，表示為當(dāng)前輸出位Sn與在此之前的所有輸出信號之間的完全獨立性，也就是說，在已知S0,S1,……,Sn-1的條件下，Sn仍然是不可預(yù)測的。2023/7/738噪聲源技術(shù)(了解)噪聲源的功能就是產(chǎn)生二進(jìn)制的隨機(jī)序列或與之對應(yīng)的隨機(jī)數(shù)，它是密鑰產(chǎn)生設(shè)備的核心部件。噪聲源的另一個用途是在物理層加密的環(huán)境下進(jìn)行信息填充，使網(wǎng)絡(luò)具有防止流量分析的功能，當(dāng)采用序列密碼時也有防止亂數(shù)空發(fā)的功能。噪聲源還被用于某些身份驗證技術(shù)中，如在對等實體中，為了防止口令被竊取常常使用隨機(jī)應(yīng)答技術(shù)，這時的提問與應(yīng)答都是由噪聲控制的。

2023/7/739噪聲源輸出的隨機(jī)數(shù)序列按照產(chǎn)生的方法可以分為：

偽隨機(jī)序列：用數(shù)學(xué)方法和少量的種子密鑰產(chǎn)生的周期很長的隨機(jī)序列。

偽隨機(jī)序列一般都有良好的能經(jīng)受理論檢驗的隨機(jī)統(tǒng)計特性，但是當(dāng)序列的長度超過了唯一解距離時，就成了一個可預(yù)測的序列。

物理隨機(jī)序列：用熱噪聲等客觀的方法產(chǎn)生的隨機(jī)序列。

實際的物理噪聲往往要受到溫度、電源、電路特性等因素的限制，其統(tǒng)計特性常常帶有一定的偏向性。

準(zhǔn)隨機(jī)序列：用數(shù)學(xué)方法和物理方法相結(jié)合產(chǎn)生的隨機(jī)序列，它可以克服兩者的缺點。噪聲源技術(shù)(了解)2023/7/740目前的物理噪聲源基本上可分為三大類：基于力學(xué)的噪聲源技術(shù)；基于電子學(xué)的噪聲源技術(shù)；基于混沌理論的噪聲源技術(shù)。噪聲源技術(shù)(了解)2023/7/741⑴基于力學(xué)的噪聲源技術(shù)拋一個一分的硬幣，看它是正面落地還是反面落地，可得到1比特的隨機(jī)數(shù)。用轉(zhuǎn)動很靈活的、畫有十進(jìn)制或十六進(jìn)制刻度的轉(zhuǎn)盤，任意給它一個起始動量，記下它停止的位置，便得到一個十進(jìn)制或十六進(jìn)制的隨機(jī)數(shù)；大量的鉛字，在一個鐵鍋里充分?jǐn)嚢韬箅S手揀出一堆，排成一版進(jìn)行印刷，二次大戰(zhàn)時使用的一次一密亂碼本就是這樣產(chǎn)生出來的。

這類方法的優(yōu)點是簡便易行，缺點是產(chǎn)生密鑰的效率低，密鑰的隨機(jī)性較差。噪聲源技術(shù)(了解)2023/7/742⑵基于電子學(xué)的噪聲產(chǎn)生技術(shù)影響噪聲質(zhì)量的關(guān)鍵部分是噪聲產(chǎn)生電路。要獲得的應(yīng)是純潔的、寬頻帶的、正態(tài)分布的、連續(xù)的平穩(wěn)遍歷的隨機(jī)信號。所謂純潔的，是指沒有混進(jìn)不隨機(jī)的某種固定分量；所謂寬頻帶的，是指能夠提供較高的采樣速率；所謂正態(tài)分布的，是指它的幅度和頻譜成分成正態(tài)分布；所謂連續(xù)的平穩(wěn)遍歷，主要是為了使用方便，在任意時刻進(jìn)行采樣都能滿足隨機(jī)性要求。噪聲源技術(shù)(了解)2023/7/743(3)基于混沌理論的噪聲源技術(shù)

混沌理論是一門新學(xué)科，用混沌理論的方法不僅可以產(chǎn)生噪聲，甚至還可以直接作為序列密碼使用。目前國內(nèi)外已有混沌噪聲源的成熟技術(shù)，其噪聲產(chǎn)生速率可達(dá)1Mbit/s以上，所使用電路卻很簡單，可實現(xiàn)芯片化。與前面介紹的幾種噪聲源的區(qū)別在于，它不是將某種自然世界的噪聲加以放大利用，而是用確定的動力學(xué)方程產(chǎn)生出類似于白噪聲的頻譜特性，因此受元器件的個體差異的影響很小。噪聲源技術(shù)(了解)2023/7/744偽隨機(jī)數(shù)產(chǎn)生器-線性同余法參數(shù)：模數(shù)m(m>0)乘數(shù)a(0≤a<m)增量c(0≤c<m)初值種子X0(0≤X0<m)a,c,m的取值是產(chǎn)生高質(zhì)量隨機(jī)數(shù)的關(guān)鍵2023/7/745偽隨機(jī)數(shù)產(chǎn)生器-線性同余法a=7,c=0,m=32,X0=1{7,17,23,1,7,…}a=3,c=0,m=32,X0=1{3,9,27,17,19,25,11,1,3,…}選m盡可能大，使其接近或等于計算機(jī)能表示的最大整數(shù)周期為4周期為82023/7/746偽隨機(jī)數(shù)產(chǎn)生器-線性同余法評價線性同余有以下三個標(biāo)準(zhǔn)：迭代函數(shù)應(yīng)是整周期的，在重復(fù)之前應(yīng)出現(xiàn)0到m間的所有數(shù)產(chǎn)生的數(shù)列看上去應(yīng)是隨機(jī)的迭代函數(shù)能有效的利用32位運(yùn)算實現(xiàn)如果m為素數(shù)，且a為m的本原根，產(chǎn)生的數(shù)列是整周期的。a=16807,m=231-1,c=02023/7/747偽隨機(jī)數(shù)產(chǎn)生器-線性同余法假定敵手知道X0,X1,X2,X3,可以確定參數(shù)改進(jìn)的方法：利用系統(tǒng)時鐘修改隨機(jī)數(shù)數(shù)列。2023/7/748基于密碼算法的隨機(jī)數(shù)產(chǎn)生器循環(huán)加密CC+1加密算法

主密鑰Km周期為N的計數(shù)器2023/7/749基于密碼算法的隨機(jī)數(shù)產(chǎn)生器DES的輸出反饋方式(OFB)模式采用OFB模式能用來產(chǎn)生密鑰并用于流加密。加密算法的輸出構(gòu)成偽隨機(jī)序列2023/7/750基于密碼算法的隨機(jī)數(shù)產(chǎn)生器ANSIX9.17偽隨機(jī)數(shù)產(chǎn)生器EDEEDEEDE＋＋K1K2Vi+1ViRiDTi2023/7/751BBS（blum-blum-shub）產(chǎn)生器密碼強(qiáng)度最強(qiáng)，基于大整數(shù)分解困難性選擇p,q,滿足p=q=3mod4,n=p×q。選隨機(jī)數(shù)s，s和n互素X0＝s2modnFori=1to∞do{Xi=Xi-12modn;Bi=Ximod2}Bi為產(chǎn)生的隨機(jī)數(shù)序列2023/7/752秘密分割SecreteSharing2023/7/753秘密分割門限方案導(dǎo)彈控制發(fā)射，重要場所通行檢驗，通常需要多人同時參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數(shù)同時到場才能恢復(fù)秘密。2023/7/754門限方案的一般概念秘密s被分為n個部分,每個部分稱為shadow,由一個參與者持有，使得由k個或多于k個參與者所持有的部分信息可重構(gòu)s。由少于k個參與者所持有的部分信息則無法重構(gòu)s。稱為(k,n)秘密分割門限方案，k稱為門限值。少于k個參與者所持有的部分信息得不到s的任何信息稱該門限方案是完善的。2023/7/755Shamir門限方案基于多項式Lagrange插值公式設(shè){(x1,y1),…,(xk,yk)}是平面上k個點構(gòu)成的點集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多項式f(x)通過這k個點.若把秘密s取做f(0)，n個shadow取做f(xi)(i=1,…n),那么利用其中任意k個shadow可以重構(gòu)f(x)，從而可以得到秘密s2023/7/756Shamir門限方案有限域GF(q),q為大素數(shù)，q≥n+1。秘密s是GF(q)\{0}上均勻選取的隨機(jī)數(shù)，表示為s∈RGF(q)\{0}.k-1個系