網(wǎng)絡(luò)安全導論 課件 第九章 密鑰管理

第9章密鑰管理0WIFI5的密鑰1對稱密鑰的分發(fā)2公鑰加密體制的密鑰管理3秘密分享提要

現(xiàn)代密碼體制中，密碼算法都是公開的，密碼系統(tǒng)的安全性完全依賴于密鑰的安全。密鑰一旦泄露，敵手便可不費吹灰之力，輕易地把加密數(shù)據(jù)還原成明文或偽造簽名信息。因此，密鑰的安全管理在基于密碼理論建立的信息安全環(huán)境中意義重大。密鑰管理的本質(zhì)和目的就是確保密鑰是安全的，防止密鑰泄漏。要防止密鑰泄漏，就要對密鑰的產(chǎn)生、密鑰的分發(fā)、密鑰的儲存、密鑰的使用和銷毀等各個環(huán)節(jié)進行精心設(shè)計。許多標準化組織提出了一些密鑰管理技術(shù)的標準，如ISO11770-X和IEEE1363。本章我們主要討論密鑰的產(chǎn)生和分發(fā)問題，探討對稱體制下共享密鑰的建立方法、公鑰體制下的公鑰管理辦法和多人分享密鑰問題。提要本章要求學生重點掌握主密鑰、會話密鑰、數(shù)字證書、PKI和秘密分享等概念，理解Diffie-Hellman密鑰協(xié)商協(xié)議和Shamir秘密分享方案。非IT專業(yè)學生應練習如何安裝和使用數(shù)字證書，IT專業(yè)學生應嘗試編程實現(xiàn)數(shù)字證書的創(chuàng)建與分發(fā)。

0

WIFI的密鑰？你在家使用WIFI加密數(shù)據(jù)時，你的密鑰和你爸的密鑰是一樣的嗎？？財經(jīng)大學的WIFI安全還是你家的WIFI更安全？Wi-Fi中的數(shù)據(jù)加密密鑰TK

你家：即WPA2-PSK模式下，TK的產(chǎn)生過程為：無線網(wǎng)絡(luò)密碼(PSK)--PMK--PTK–TK。學校：WPA2-Enterprise模式下，TK的產(chǎn)生過程為：802.1X認證協(xié)商--PMK--PTK–TK。你家與學校你家Pmk=hash(pskIIssid)學校：pmk=hash(masterkey,snonce,anonce)

你知道兩個問題的答案了嗎？用對稱密碼體制進行保密通信時，首先必須有一個共享的秘密密鑰.為防止攻擊者得到密鑰，還必須時常更新密鑰。密碼系統(tǒng)的強度也依賴于密鑰分配技術(shù)。1對稱密鑰分發(fā)1、一方產(chǎn)生，然后安全的傳給另一方2、兩方協(xié)商產(chǎn)生；3、通過可信賴第三方的參與產(chǎn)生。第一種辦法

在現(xiàn)實生活中是很普遍的。很多機構(gòu)的內(nèi)部網(wǎng)絡(luò)在投入使用時，其初始的對稱密鑰往往是員工的身份證號碼。當然，這種密鑰的傳送方式的安全性是值得商榷的。物理手段親自遞送、通過掛號信或電子郵件傳送密鑰等方法也屬于這種類型。第2種方法Diffie-Hellman密鑰交換是W.Diffie和M.Hellman于1976年提出的第一個公鑰密碼算法，已在很多商業(yè)產(chǎn)品中得以應用。算法的惟一目的是使得兩個用戶能夠安全地交換密鑰，得到一個共享的會話密鑰，算法本身不能用于加、解密。算法的安全性基于求離散對數(shù)的困難性。

Diffie-Hellman密鑰交換圖1是密鑰分配的一個實例。假定兩個用戶A、B分別與密鑰分配中心KDC(keydistributioncenter)有一個共享的主密鑰KA和KB，A希望與B建立一個共享的一次性會話密鑰，可通過以下幾步來完成：第3種方法圖1密鑰分配實例①A向KDC發(fā)出會話密鑰請求。表示請求的消息由兩個數(shù)據(jù)項組成，第1項是A和B的身份，第2項是這次業(yè)務(wù)的惟一識別符N1，稱N1為一次性隨機數(shù)，可以是時戳、計數(shù)器或隨機數(shù)。每次請求所用的N1都應不同，且為防止假冒，應使敵手對N1難以猜測。因此用隨機數(shù)作為這個識別符最為合適。②KDC為A的請求發(fā)出應答。應答是由KA加密的消息，因此只有A才能成功地對這一消息解密，并且A可相信這一消息的確是由KDC發(fā)出的。消息中包括A希望得到的兩項內(nèi)容：一次性會話密鑰KS；A在①中發(fā)出的請求，包括一次性隨機數(shù)N1，目的是使A將收到的應答與發(fā)出的請求相比較，看是否匹配。因此A能驗證自己發(fā)出的請求在被KDC收到之前，是否被他人篡改。而且A還能根據(jù)一次性隨機數(shù)相信自己收到的應答不是重放的過去的應答。此外，消息中還有B希望得到的兩項內(nèi)容：一次性會話密鑰KS；A的身份（例如A的網(wǎng)絡(luò)地址）IDA。這兩項由KB加密，將由A轉(zhuǎn)發(fā)給B，以建立A、B之間的連接并用于向B證明A的身份。③A存儲會話密鑰，并向B轉(zhuǎn)發(fā)EKB[KS‖IDA]。因為轉(zhuǎn)發(fā)的是由KB加密后的密文，所以轉(zhuǎn)發(fā)過程不會被竊聽。B收到后，可得會話密鑰KS，并從IDA可知另一方是A，而且還從EKB知道KS的確來自KDC。這一步完成后，會話密鑰就安全地分配給了A、B。然而還能繼續(xù)以下兩步工作：④B用會話密鑰KS加密另一個一次性隨機數(shù)N2，并將加密結(jié)果發(fā)送給A。⑤A以f(N2)作為對B的應答，其中f是對N2進行某種變換（例如加1）的函數(shù)，并將應答用會話密鑰加密后發(fā)送給B。這兩步可使B相信第③步收到的消息不是一個重放。注意：第③步就已完成密鑰分配，第④、⑤兩步結(jié)合第③步執(zhí)行的是認證功能。密鑰可根據(jù)其不同用途分為會話密鑰和主密鑰兩種類型，會話密鑰又稱為數(shù)據(jù)加密密鑰，主密鑰又稱為密鑰加密密鑰。由于密鑰的用途不同，因此對密鑰的使用方式也希望加以某種控制。如果主密鑰泄露了，則相應的會話密鑰也將泄露，因此主密鑰的安全性應高于會話密鑰的安全性。一般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理上安全的，如果把主密鑰當作會話密鑰注入加密設(shè)備，那么其安全性則降低。主密鑰與會話密鑰會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因為敵手即使獲得一個會話密鑰，也只能獲得很少的密文。但另一方面，會話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時還造成網(wǎng)絡(luò)負擔。所以在決定會話密鑰的有效期時，應權(quán)衡矛盾的兩個方面。主密鑰與會話密鑰對面向連接的協(xié)議，在連接未建立前或斷開時，會話密鑰的有效期可以很長。而每次建立連接時，都應使用新的會話密鑰。如果邏輯連接的時間很長，則應定期更換會話密鑰。無連接協(xié)議（如面向業(yè)務(wù)的協(xié)議），無法明確地決定更換密鑰的頻率。為安全起見，用戶每進行一次交換，都用新的會話密鑰。然而這又失去了無連接協(xié)議主要的優(yōu)勢，即對每個業(yè)務(wù)都有最少的費用和最短的延遲。比較好的方案是在某一固定周期內(nèi)或?qū)σ欢〝?shù)目的業(yè)務(wù)使用同一會話密鑰。公鑰加密的一個主要用途是分配單鑰密碼體制使用的密鑰。本節(jié)介紹兩方面內(nèi)容：——公鑰密碼體制所用的公開密鑰的分配?！绾斡霉€體制來分配單鑰體制所需密鑰。2公鑰加密體制的密鑰管理1.公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體廣播。例如PGP（prettygoodprivacy）中采用了RSA算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公開（公共）區(qū)域，如因特網(wǎng)郵件列表。2.1公鑰的分配特點：方法簡單。缺點：一個非常大的缺點，即任何人都可偽造這種公開發(fā)布。如果某個用戶假裝是用戶A并以A的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在A發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所有意欲發(fā)向A的加密消息，而且假冒者還能用偽造的密鑰獲得認證。2.公用目錄表公用目錄表指一個公用的公鑰動態(tài)目錄表，公用目錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔，稱這個實體或組織為公用目錄的管理員。與第1種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：①管理員為每個用戶都在目錄表中建立一個目錄，目錄中有兩個數(shù)據(jù)項:一是用戶名，二是用戶的公開鑰。②每一用戶都親自或以某種安全的認證通信在管理者那里為自己的公開鑰注冊。③用戶如果由于自己的公開鑰用過的次數(shù)太多或由于與公開鑰相關(guān)的秘密鑰已被泄露，則可隨時用新密鑰替換現(xiàn)有的密鑰。④管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。⑤用戶可通過電子手段訪問目錄表，這時從管理員到用戶必須有安全的認證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受攻擊。如果敵手成功地獲取管理員的秘密鑰，就可偽造一個公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還易受到敵手的竄擾。3.公鑰證書分配公鑰的另一方法是公鑰證書，用戶通過公鑰證書來互相交換自己的公鑰而無須與公鑰管理機構(gòu)聯(lián)系。公鑰證書由證書管理機構(gòu)CA(certificateauthority)為用戶建立，圖5證書的產(chǎn)生過程X.509證書格式美國銀行數(shù)字證書示例因為只有用CA的公鑰才能解讀證書，接收方從而驗證了證書的確是由CA發(fā)放的，且也獲得了發(fā)送方的身份IDA和公開鑰PKA。時戳T為接收方保證了收到的證書的新鮮性，用以防止發(fā)送方或敵方重放一舊證書。因此時戳可被當作截止日期，證書如果過舊，則被吊銷。公鑰基礎(chǔ)設(shè)施PKI

上述數(shù)字證書要能在網(wǎng)絡(luò)環(huán)境下廣泛使用，必須要解決如下問題：證書頒發(fā)機構(gòu)必須是可信的，其公鑰也必須被大家所熟知或能夠被查證。必須提供統(tǒng)一的接口，使用戶能方便地使用基于數(shù)字證書的加密、簽名等安全服務(wù)。一個證書頒發(fā)機構(gòu)所支持的用戶數(shù)量是有限的，多個證書頒發(fā)機構(gòu)需要解決相互之間的承認與信任等問題。用戶數(shù)字證書中公鑰所對應私鑰有可能被泄露或過期，因而必須要有一套數(shù)字證書作廢管理辦法，避免已經(jīng)泄露私鑰的數(shù)字證書再被使用。公鑰基礎(chǔ)設(shè)施PKI

公鑰基礎(chǔ)設(shè)施PKI，即“PublicKeyInfrastructure”，是基于公鑰理論和技術(shù)解決上述問題的一整套方案。PKI的構(gòu)建和實施主要圍繞認證機構(gòu)CA、證書和證書庫、密鑰備份及恢復系統(tǒng)、證書作廢處理系統(tǒng)、證書歷史檔案系統(tǒng)和多PKI間的互操作性來進行。國家網(wǎng)絡(luò)信任體系建設(shè)公開鑰分配完成后，用戶就可用公鑰加密體制進行保密通信。然而由于公鑰加密的速度過慢，以此進行保密通信不太合適，但用于分配單鑰密碼體制的密鑰卻非常合適。2.2用公鑰加密分配單鑰密碼體制的密鑰也稱為托管加密，其目的是保證對個人沒有絕對的隱私和絕對不可跟蹤的匿名性，即在強加密中結(jié)合對突發(fā)事件的解密能力。其實現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復密鑰聯(lián)系起來，數(shù)據(jù)恢復密鑰不必是直接解密的密鑰，但由它可得解密密鑰。數(shù)據(jù)恢復密鑰由所信任的委托人持有，委托人可以是政府機構(gòu)、法院或有契約的私人組織。一個密鑰可能是在數(shù)個這樣的委托人中分拆。調(diào)查機構(gòu)或情報機構(gòu)通過適當?shù)某绦?，如獲得法院證書，從委托人處獲得數(shù)據(jù)恢復密鑰。3密鑰托管意義：密鑰托管加密技術(shù)提供了一個備用的解密途徑，政府機構(gòu)在需要時，可通過密鑰托管技術(shù)解密用戶的信息，而用戶的密鑰若丟失或損壞，也可通過密鑰托管技術(shù)恢復自己的密鑰。所以這個備用的手段不僅對政府有用，而且對用戶自己也有用。1993年4月，美國政府為了滿足其電信安全、公眾安全和國家安全，提出了托管加密標準EES(escrowedencryptionstandard)，該標準所使用的托管加密技術(shù)不僅提供了強加密功能，同時也為政府機構(gòu)提供了實施法律授權(quán)下的監(jiān)聽功能。這一技術(shù)是通過一個防竄擾的芯片(稱為Clipper芯片)來實現(xiàn)的。3.1美國托管加密標準簡介它有兩個特性：①一個加密算法——Skipjack算法，該算法是由NSA設(shè)計的，用于加（解）密用戶間通信的消息。該算法已于1998年3月公布。②為法律實施提供“后門”的部分——法律實施存取域LEAF(lawenforcementaccessfield)。通過這個域，法律實施部門可在法律授權(quán)下，實現(xiàn)對用戶通信的解密。1.Skipjack算法Skipjack算法是一個單鑰分組加密算法，密鑰長80比特，輸入和輸出的分組長均為64比特?？墒褂?種工作模式：電碼本模式，密碼分組鏈接模式，64比特輸出反饋模式，1、8、16、32或64比特密碼反饋模式。算法的內(nèi)部細節(jié)在向公眾公開以前，政府邀請了一些局外人士對算法作出評價，并公布了評價結(jié)果。評價結(jié)果認為算法的強度高于DES，并且未發(fā)現(xiàn)陷門。Skipjack的密鑰長是80比特，比DES的密鑰長24比特，因此通過窮搜索的蠻力攻擊比DES多224倍的搜索。所以若假定處理能力的費用每18個月減少一半，那么破譯它所需的代價要1.5×24=36年才能減少到今天破譯DES的代價。在導彈控制發(fā)射、重要場所通行檢驗等情況下，通常必須由兩人或多人同時參與才能生效，這時都需要將秘密分給多人掌管，并且必須有一定人數(shù)的掌管秘密的人同時到場才能恢復這一秘密。由此，引入門限方案（thresholdschemes）的一般概念。4秘密分割

4.1秘密分割門限方案定義5.1設(shè)秘密s被分成n個部分信息，每一部分信息稱為一個子密鑰或影子，由一個參與者持有，使得：①由k個或多于k個參與者所持有的部分信息可重構(gòu)s。②由少于k個參與者所持有的部分信息則無法重構(gòu)s。則稱這種方案為(k,n)秘密分割門限方案，k稱為方案的門限值。如果一個參與者或一組未經(jīng)授權(quán)的參與者在猜測秘密s時，并不比局外人猜秘密時有優(yōu)勢，即③由少于k個參與者所持有的部分信息得不到秘密s的任何信息。則稱這個方案是完善的，即(k,n)-秘密分割門限方案是完善的。下面介紹最具代表性的兩個秘密分割門限方案。Shamir門限方案是基于多項式的Lagrange插值公式的。設(shè){(x1,y1),…,(xk,yk)}是平面上k個點構(gòu)成的點集，其中xi(i=1,…,k)均不相同，那么在平面上存在一個惟一的k-1次多項式f(x)通過這k個點。若把密鑰s取作f(0),n個子密鑰取作f(xi)(i=1,2,…,n)，那么利用其中的任意k個子密鑰可重構(gòu)f(x)，從而可得密鑰s。4.2Shamir門限方案這種門限方案也可按如下更一般的方式來構(gòu)造。設(shè)GF(q)是一有限域，其中q是一大素數(shù)，滿足q≥n+1,秘密s是在GF(q)\{0}上均勻選取的一個隨機數(shù)，表示為s∈RGF(q)\{0}。k-1個系數(shù)a1,a2,…,ak-1的選取也滿足ai∈RGF(q)

\{0}(i=1,2,…,k-1)。在GF(q)上構(gòu)造一個k-1次多項式f(x)=a0+a1x+…+ak-1xk-1。n個參與者記為P1,P2,…,Pn,Pi分配到的子密鑰為f(i)。如果任意k個參與者要想得到秘密s，可使用{(il,f(il))|l=1,…,k}構(gòu)造如下的線性方程組：(5.1)因為il(1≤l≤k)均不相同，所以可由Lagrange插值公式構(gòu)造如下的多項式：從而可得秘密s=f(0)。然而參與者僅需知道f(x)的常數(shù)項f(0)而無需知道整個多項式f(x)，所以僅需以下表達式就可求出s：如果k-1個參與者想獲得秘密s,他們可構(gòu)造出由k-1個方程構(gòu)成的線性方程組,其中有k個未知量。對GF(q)中的任一值s0，可設(shè)f(0)=s0，這樣可得第k個方程，并由Lagrange插值公式得出f(x)。因此對每一s0∈GF(q)都有一個惟一的多項式滿足式（5.1），所以已知k-1個子密鑰得不到關(guān)于秘密s的任何信息，因此這個方案是完善的。例5.1設(shè)k=3,n=5,q=19,s=11，隨機選取a1=2,a2=7，得多項式為f(x)=(7x2+2x+11)mod19分別計算 f(1)=(7+2+11)mod19=20mod19=1 f(2)=(28+4+11)mod19=43mod19=5 f(3)=(63+6+11)mod19=80mod19=4 f(4)=(112+8+11)mod19=131mod19=17 f(5)=(175+10+11)mod19=196mod19=6得5個子密鑰。如果知道其中的3個子密鑰f(2)=5,f(3)=4,f(5)=6，就可按以下方式重構(gòu)f(x)：所以從而得秘密為s=11。首先選取一大素數(shù)q，正整數(shù)s，以及n個嚴格遞增的數(shù)m1,m2,…,mn,滿足①q>s。②(mi,mj)=1(i,j,i≠j)。③(q,mi)=1(i)。④。4.3Asmuth-Bloom門限方案以s作為秘密數(shù)據(jù)，條件①指出，秘密數(shù)據(jù)小于q，條件④指出，N/q大于任取的k-1個不同的mi之積。進而，隨機選取A，滿足0≤A≤[N/q]-1，并公布q和A。求y=s+Aq(由上知y<N)，和yi≡y(modmi)(i=1,…,n)，(mi,yi)即為一個子密鑰，集合{(mi,yi)}ni=1即構(gòu)成了一個(k,n)門限方案。這是因為，當k個參與者（記為i1,i2,…,