1、第第5章章 密鑰分配與密鑰管理密鑰分配與密鑰管理5.1 單鑰加密體制的密鑰分配單鑰加密體制的密鑰分配5.2 公鑰加密體制的密鑰管理公鑰加密體制的密鑰管理5.3 密鑰托管密鑰托管5.4 隨機數的產生隨機數的產生5.5 秘密分割秘密分割習題習題兩個用戶（主機、進程、應用程序）在用單鑰密碼兩個用戶（主機、進程、應用程序）在用單鑰密碼體制進行保密通信時，首先必須有一個共享的秘密體制進行保密通信時，首先必須有一個共享的秘密密鑰，而且為防止攻擊者得到密鑰，還必須時常更密鑰，而且為防止攻擊者得到密鑰，還必須時常更新密鑰。因此，密碼系統(tǒng)的強度也依賴于密鑰分配新密鑰。因此，密碼系統(tǒng)的強度也依賴于密鑰分配技術。技

2、術。5.1 單鑰加密體制的密鑰分配單鑰加密體制的密鑰分配 5.1.1 密鑰分配的基本方法密鑰分配的基本方法兩個用戶兩個用戶A和和B獲得共享密鑰的方法有以下幾種：獲得共享密鑰的方法有以下幾種： 密鑰由密鑰由A選取并通過物理手段發(fā)送給選取并通過物理手段發(fā)送給B。 密鑰由第三方選取并通過物理手段發(fā)送給密鑰由第三方選取并通過物理手段發(fā)送給A和和B。 如果如果A、B事先已有一密鑰，則其中一方選取新事先已有一密鑰，則其中一方選取新密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方。密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方。 如果如果A和和B與第三方與第三方C分別有一保密信道，則分別有一保密信道，則C為為A、

3、B選取密鑰后，分別在兩個保密信道上發(fā)送選取密鑰后，分別在兩個保密信道上發(fā)送給給A、B。前兩種方法稱為人工發(fā)送。在通信網中，若只有個前兩種方法稱為人工發(fā)送。在通信網中，若只有個別用戶想進行保密通信，密鑰的人工發(fā)送還是可行別用戶想進行保密通信，密鑰的人工發(fā)送還是可行的。然而如果所有用戶都要求支持加密服務，則任的。然而如果所有用戶都要求支持加密服務，則任意一對希望通信的用戶都必須有一共享密鑰。如果意一對希望通信的用戶都必須有一共享密鑰。如果有有n個用戶，則密鑰數目為個用戶，則密鑰數目為n(n-1)/2。因此當因此當n很大很大時，密鑰分配的代價非常大，密鑰的人工發(fā)送是不時，密鑰分配的代價非常大，密鑰的

4、人工發(fā)送是不可行的?？尚械?。對于第對于第3種方法，攻擊者一旦獲得一個密鑰就可獲種方法，攻擊者一旦獲得一個密鑰就可獲取以后所有的密鑰；而且用這種方法對所有用戶分取以后所有的密鑰；而且用這種方法對所有用戶分配初始密鑰時，代價仍然很大。配初始密鑰時，代價仍然很大。第第4種方法比較常用，其中的第三方通常是一個負種方法比較常用，其中的第三方通常是一個負責為用戶分配密鑰的密鑰分配中心。這時每一用戶責為用戶分配密鑰的密鑰分配中心。這時每一用戶必須和密鑰分配中心有一個共享密鑰，稱為主密鑰。必須和密鑰分配中心有一個共享密鑰，稱為主密鑰。通過主密鑰分配給一對用戶的密鑰稱為會話密鑰，通過主密鑰分配給一對用戶的密鑰稱

5、為會話密鑰，用于這一對用戶之間的保密通信。通信完成后，會用于這一對用戶之間的保密通信。通信完成后，會話密鑰即被銷毀。如上所述，如果用戶數為話密鑰即被銷毀。如上所述，如果用戶數為n，則則會話密鑰數為會話密鑰數為n(n-1)/2。但主密鑰數卻只需但主密鑰數卻只需n個，所個，所以主密鑰可通過物理手段發(fā)送。以主密鑰可通過物理手段發(fā)送。圖圖5.1是密鑰分配的一個實例。假定兩個用戶是密鑰分配的一個實例。假定兩個用戶A、B分別與密鑰分配中心分別與密鑰分配中心KDC (key distribution center)有一個共享的主密鑰有一個共享的主密鑰KA和和KB，A希望與希望與B建立一個建立一個共享的一次性

6、會話密鑰，可通過以下幾步來完成：共享的一次性會話密鑰，可通過以下幾步來完成：5.1.2 一個實例一個實例圖圖5.1 密鑰分配實例密鑰分配實例 A向向KDC發(fā)出會話密鑰請求。表示請求的消息發(fā)出會話密鑰請求。表示請求的消息由兩個數據項組成，第由兩個數據項組成，第1項是項是A和和B的身份，第的身份，第2項項是這次業(yè)務的惟一識別符是這次業(yè)務的惟一識別符N1，稱稱N1為一次性隨機數，為一次性隨機數，可以是時戳、計數器或隨機數。每次請求所用的可以是時戳、計數器或隨機數。每次請求所用的N1都應不同，且為防止假冒，應使敵手對都應不同，且為防止假冒，應使敵手對N1難以猜測。難以猜測。因此用隨機數作為這個識別符最

7、為合適。因此用隨機數作為這個識別符最為合適。 KDC為為A的請求發(fā)出應答。應答是由的請求發(fā)出應答。應答是由KA加密的加密的消息，因此只有消息，因此只有A才能成功地對這一消息解密，并才能成功地對這一消息解密，并且且A可相信這一消息的確是由可相信這一消息的確是由KDC 發(fā)出的。消息發(fā)出的。消息中包括中包括A希望得到的兩項內容：希望得到的兩項內容： 一次性會話密鑰一次性會話密鑰KS； A在中發(fā)出的請求，包括一次性隨機數在中發(fā)出的請求，包括一次性隨機數N1，目目的是使的是使A將收到的應答與發(fā)出的請求相比較，看是將收到的應答與發(fā)出的請求相比較，看是否匹配。否匹配。因此因此A能驗證自己發(fā)出的請求在被能驗證

8、自己發(fā)出的請求在被KDC收到之前，收到之前，是否被他人篡改。而且是否被他人篡改。而且A還能根據一次性隨機數相還能根據一次性隨機數相信自己收到的應答不是重放的過去的應答。信自己收到的應答不是重放的過去的應答。此外，消息中還有此外，消息中還有B希望得到的兩項內容：希望得到的兩項內容： 一次性會話密鑰一次性會話密鑰KS； A的身份（例如的身份（例如A的網絡地址）的網絡地址）IDA。這兩項由這兩項由KB加密，將由加密，將由A轉發(fā)給轉發(fā)給B，以建立以建立A、B之間的連接并用于向之間的連接并用于向B證明證明A的身份。的身份。 A存儲會話密鑰，并向存儲會話密鑰，并向B轉發(fā)轉發(fā)EKBKSIDA。因為因為轉發(fā)的

9、是由轉發(fā)的是由KB加密后的密文，所以轉發(fā)過程不會加密后的密文，所以轉發(fā)過程不會被竊聽。被竊聽。B收到后，可得會話密鑰收到后，可得會話密鑰KS，并從并從IDA可可知另一方是知另一方是A，而且還從而且還從EKB知道知道KS的確來自的確來自KDC。這一步完成后，會話密鑰就安全地分配給了這一步完成后，會話密鑰就安全地分配給了A、B。然而還能繼續(xù)以下兩步工作：然而還能繼續(xù)以下兩步工作： B用會話密鑰用會話密鑰KS加密另一個一次性隨機數加密另一個一次性隨機數N2，并并將加密結果發(fā)送給將加密結果發(fā)送給A。 A以以f(N2)作為對作為對B的應答，其中的應答，其中f是對是對N2進行某種進行某種變換（例如加變換（

10、例如加1）的函數，并將應答用會話密鑰加）的函數，并將應答用會話密鑰加密后發(fā)送給密后發(fā)送給B。這兩步可使這兩步可使B相信第步收到的消息不是一個重放。相信第步收到的消息不是一個重放。注意：注意： 第步就已完成密鑰分配，第、兩步第步就已完成密鑰分配，第、兩步結合第步執(zhí)行的是認證功能。結合第步執(zhí)行的是認證功能。網絡中如果用戶數目非常多而且分布的地域非常廣，網絡中如果用戶數目非常多而且分布的地域非常廣，一個一個KDC就無法承擔為用戶分配密鑰的重任。問就無法承擔為用戶分配密鑰的重任。問題的解決方法是使用多個題的解決方法是使用多個KDC的分層結構。例如，的分層結構。例如，在每個小范圍（如一個在每個小范圍（如

11、一個LAN或一個建筑物）內，都或一個建筑物）內，都建立一個本地建立一個本地KDC。同一范圍的用戶在進行保密同一范圍的用戶在進行保密通信時，由本地通信時，由本地KDC為他們分配密鑰。如果兩個為他們分配密鑰。如果兩個不同范圍的用戶想獲得共享密鑰，則可通過各自的不同范圍的用戶想獲得共享密鑰，則可通過各自的本地本地KDC，而兩個本地而兩個本地KDC的溝通又需經過一個的溝通又需經過一個全局全局KDC。這樣就建立了兩層這樣就建立了兩層KDC。類似地，根類似地，根據網絡中用戶的數目及分布的地域，可建立據網絡中用戶的數目及分布的地域，可建立3層或層或多層多層KDC。5.1.3 密鑰的分層控制密鑰的分層控制分層

12、結構可減少主密鑰的分布，因為大多數主密鑰分層結構可減少主密鑰的分布，因為大多數主密鑰是在本地是在本地KDC和本地用戶之間共享。再者，分層和本地用戶之間共享。再者，分層結構還可將虛假結構還可將虛假KDC的危害限制到一個局部區(qū)域。的危害限制到一個局部區(qū)域。會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因會話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因為敵手即使獲得一個會話密鑰，也只能獲得很少的為敵手即使獲得一個會話密鑰，也只能獲得很少的密文。但另一方面，會話密鑰更換得太頻繁，又將密文。但另一方面，會話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時還造成網絡負擔。所以延遲用戶之間的交換，同時還造成網絡負擔。

13、所以在決定會話密鑰的有效期時，應權衡矛盾的兩個方在決定會話密鑰的有效期時，應權衡矛盾的兩個方面。面。5.1.4 會話密鑰的有效期會話密鑰的有效期對面向連接的協(xié)議，在連接未建立前或斷開時，會對面向連接的協(xié)議，在連接未建立前或斷開時，會話密鑰的有效期可以很長。而每次建立連接時，都話密鑰的有效期可以很長。而每次建立連接時，都應使用新的會話密鑰。如果邏輯連接的時間很長，應使用新的會話密鑰。如果邏輯連接的時間很長，則應定期更換會話密鑰。則應定期更換會話密鑰。無連接協(xié)議（如面向業(yè)務的協(xié)議），無法明確地決無連接協(xié)議（如面向業(yè)務的協(xié)議），無法明確地決定更換密鑰的頻率。為安全起見，用戶每進行一次定更換密鑰的頻率

14、。為安全起見，用戶每進行一次交換，都用新的會話密鑰。然而這又失去了無連接交換，都用新的會話密鑰。然而這又失去了無連接協(xié)議主要的優(yōu)勢，即對每個業(yè)務都有最少的費用和協(xié)議主要的優(yōu)勢，即對每個業(yè)務都有最少的費用和最短的延遲。比較好的方案是在某一固定周期內或最短的延遲。比較好的方案是在某一固定周期內或對一定數目的業(yè)務使用同一會話密鑰。對一定數目的業(yè)務使用同一會話密鑰。用密鑰分配中心為用戶分配密鑰時，要求所有用戶用密鑰分配中心為用戶分配密鑰時，要求所有用戶都信任都信任KDC，同時還要求對同時還要求對KDC加以保護。如果加以保護。如果密鑰的分配是無中心的，則不必有以上兩個要求。密鑰的分配是無中心的，則不必有

15、以上兩個要求。然而如果每個用戶都能和自己想與之建立聯系的另然而如果每個用戶都能和自己想與之建立聯系的另一用戶安全地通信，則對有一用戶安全地通信，則對有n個用戶的網絡來說，個用戶的網絡來說，主密鑰應多達主密鑰應多達n(n-1)/2個。當個。當n很大時，這種方案無很大時，這種方案無實用價值，但在整個網絡的局部范圍卻非常有用。實用價值，但在整個網絡的局部范圍卻非常有用。5.1.5 無中心的密鑰控制無中心的密鑰控制 無中心的密鑰分配時，兩個用戶無中心的密鑰分配時，兩個用戶A和和B建立會話密建立會話密鑰需經過以下鑰需經過以下3步，見圖步，見圖5.2： A向向B發(fā)出建立會話密鑰的請求和一個一次性隨發(fā)出建立

16、會話密鑰的請求和一個一次性隨機數機數N1。 B用與用與A共享的主密鑰共享的主密鑰MKm對應答的消息加密，對應答的消息加密，并發(fā)送給并發(fā)送給A。應答的消息中有應答的消息中有B選取的會話密鑰、選取的會話密鑰、B的身份、的身份、f(N1)和另一個一次性隨機數和另一個一次性隨機數N2。 A使用新建立的會話密鑰使用新建立的會話密鑰KS對對f(N2)加密后返回給加密后返回給B。圖圖5.2 無中心的密鑰分配無中心的密鑰分配密鑰可根據其不同用途分為會話密鑰和主密鑰兩種密鑰可根據其不同用途分為會話密鑰和主密鑰兩種類型，會話密鑰又稱為數據加密密鑰，主密鑰又稱類型，會話密鑰又稱為數據加密密鑰，主密鑰又稱為密鑰加密密

17、鑰。由于密鑰的用途不同，因此對密為密鑰加密密鑰。由于密鑰的用途不同，因此對密鑰的使用方式也希望加以某種控制。鑰的使用方式也希望加以某種控制。如果主密鑰泄露了，則相應的會話密鑰也將泄露，如果主密鑰泄露了，則相應的會話密鑰也將泄露，因此主密鑰的安全性應高于會話密鑰的安全性。一因此主密鑰的安全性應高于會話密鑰的安全性。一般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理上安全的，如果把主密鑰當作會話密鑰注入加密設上安全的，如果把主密鑰當作會話密鑰注入加密設備，那么其安全性則降低。備，那么其安全性則降低。5.1.6 密鑰的控制使用密鑰的控制使用單鑰體制中的密鑰控制

18、技術有以下兩種。單鑰體制中的密鑰控制技術有以下兩種。(1) 密鑰標簽密鑰標簽用于用于DES的密鑰控制，將的密鑰控制，將DES的的64比特密鑰中的比特密鑰中的8個校驗位作為控制使用這一密鑰的標簽。標簽中各個校驗位作為控制使用這一密鑰的標簽。標簽中各比特的含義為：比特的含義為： 一個比特表示這個密鑰是會話密鑰還是主密鑰；一個比特表示這個密鑰是會話密鑰還是主密鑰； 一個比特表示這個密鑰是否能用于加密；一個比特表示這個密鑰是否能用于加密； 一個比特表示這個密鑰是否能用于解密；一個比特表示這個密鑰是否能用于解密； 其他比特無特定含義，留待以后使用。其他比特無特定含義，留待以后使用。由于標簽是在密鑰之中，

19、在分配密鑰時，標簽與密由于標簽是在密鑰之中，在分配密鑰時，標簽與密鑰一起被加密，因此可對標簽起到保護作用。本方鑰一起被加密，因此可對標簽起到保護作用。本方案的缺點：案的缺點： 第一，標簽的長度被限制為第一，標簽的長度被限制為8比特，限比特，限制了它的靈活性和功能；第二，由于標簽是以密文制了它的靈活性和功能；第二，由于標簽是以密文形式傳送，只有解密后才能使用，因而限制了對密形式傳送，只有解密后才能使用，因而限制了對密鑰使用的控制方式。鑰使用的控制方式。(2) 控制矢量控制矢量這一方案比上一方案靈活。方案中對每一會話密鑰這一方案比上一方案靈活。方案中對每一會話密鑰都指定了一個相應的控制矢量，控制矢

20、量分為若干都指定了一個相應的控制矢量，控制矢量分為若干字段，分別用于說明在不同情況下密鑰是被允許使字段，分別用于說明在不同情況下密鑰是被允許使用還是不被允許使用，且控制矢量的長度可變?？赜眠€是不被允許使用，且控制矢量的長度可變。控制矢量是在制矢量是在KDC產生密鑰時加在密鑰之中的，過產生密鑰時加在密鑰之中的，過程由圖程由圖5.3(a)所示。所示。首先由一雜湊函數將控制矢量壓縮到與加密密鑰等首先由一雜湊函數將控制矢量壓縮到與加密密鑰等長，然后與主密鑰異或后作為加密會話密鑰的密鑰，長，然后與主密鑰異或后作為加密會話密鑰的密鑰，即即其中其中CV是控制矢量，是控制矢量，h是雜湊函數，是雜湊函數，Km是

21、主密鑰，是主密鑰，KS是會話密鑰。會話密鑰的恢復過程如圖是會話密鑰。會話密鑰的恢復過程如圖5.3(b)所所示，表示為示，表示為:minmoutKHSHh CVKKHKEKmmsKHKHSKDEK圖圖5.3 控制矢量的使用方式控制矢量的使用方式KDC在向用戶發(fā)送會話密鑰時，同時以明文形式在向用戶發(fā)送會話密鑰時，同時以明文形式發(fā)送控制矢量。用戶只有使用與發(fā)送控制矢量。用戶只有使用與KDC共享的主密共享的主密鑰以及鑰以及KDC發(fā)送來的控制矢量才能恢復會話密鑰，發(fā)送來的控制矢量才能恢復會話密鑰，因此還必須保留會話密鑰和它的控制矢量之間的對因此還必須保留會話密鑰和它的控制矢量之間的對應關系。應關系。 與

22、使用與使用8比特的密鑰標簽相比，使用控制矢量有兩比特的密鑰標簽相比，使用控制矢量有兩個優(yōu)點個優(yōu)點: 第一，控制矢量的長度沒有限制，因此可第一，控制矢量的長度沒有限制，因此可對密鑰的使用施加任意復雜的控制對密鑰的使用施加任意復雜的控制;第二，控制矢第二，控制矢量始終是以明文形式存在，因此可在任一階段對密量始終是以明文形式存在，因此可在任一階段對密鑰的使用施加控制。鑰的使用施加控制。前一節(jié)介紹了單鑰密碼體制中的密鑰分配問題，而前一節(jié)介紹了單鑰密碼體制中的密鑰分配問題，而公鑰加密的一個主要用途是分配單鑰密碼體制使用公鑰加密的一個主要用途是分配單鑰密碼體制使用的密鑰。本節(jié)介紹兩方面內容：的密鑰。本節(jié)介

23、紹兩方面內容： 一是公鑰密碼體一是公鑰密碼體制所用的公開密鑰的分配，二是如何用公鑰體制來制所用的公開密鑰的分配，二是如何用公鑰體制來分配單鑰密碼體制所需的密鑰。分配單鑰密碼體制所需的密鑰。5.2 公鑰加密體制的密鑰管理公鑰加密體制的密鑰管理本小節(jié)講述公鑰的分配方法。本小節(jié)講述公鑰的分配方法。1. 公開發(fā)布公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體廣播。例如或向某一團體廣播。例如PGP（pretty good privacy）中采用了中采用了RSA算法，它的很多用戶都是算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公開

24、（公將自己的公鑰附加到消息上，然后發(fā)送到公開（公共）區(qū)域，如因特網郵件列表。共）區(qū)域，如因特網郵件列表。5.2.1 公鑰的分配公鑰的分配這種方法雖然簡單，但有一個非常大的缺點，即任這種方法雖然簡單，但有一個非常大的缺點，即任何人都可偽造這種公開發(fā)布。如果某個用戶假裝是何人都可偽造這種公開發(fā)布。如果某個用戶假裝是用戶用戶A并以并以A的名義向另一用戶發(fā)送或廣播自己的的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在公開鑰，則在A發(fā)現假冒者以前，這一假冒者可解發(fā)現假冒者以前，這一假冒者可解讀所有意欲發(fā)向讀所有意欲發(fā)向A的加密消息，而且假冒者還能用的加密消息，而且假冒者還能用偽造的密鑰獲得認證。偽造的密鑰獲

25、得認證。2. 公用目錄表公用目錄表公用目錄表指一個公用的公鑰動態(tài)目錄表，公用目公用目錄表指一個公用的公鑰動態(tài)目錄表，公用目錄表的建立、維護以及公鑰的分布由某個可信的實錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔，稱這個實體或組織為公用目錄的管體或組織承擔，稱這個實體或組織為公用目錄的管理員。與第理員。與第1種分配方法相比，這種方法的安全性種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：更高。該方案有以下一些組成部分： 管理員為每個用戶都在目錄表中建立一個目錄，管理員為每個用戶都在目錄表中建立一個目錄，目錄中有兩個數據項目錄中有兩個數據項: 一是用戶名，二是用戶的公一

26、是用戶名，二是用戶的公開鑰。開鑰。 每一用戶都親自或以某種安全的認證通信在管每一用戶都親自或以某種安全的認證通信在管理者那里為自己的公開鑰注冊。理者那里為自己的公開鑰注冊。 用戶如果由于自己的公開鑰用過的次數太多或用戶如果由于自己的公開鑰用過的次數太多或由于與公開鑰相關的秘密鑰已被泄露，則可隨時用由于與公開鑰相關的秘密鑰已被泄露，則可隨時用新密鑰替換現有的密鑰。新密鑰替換現有的密鑰。 管理員定期公布或定期更新目錄表。例如，像管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。上公布目錄表的更新。 用

27、戶可通過電子手段訪問目錄表，這時從管理用戶可通過電子手段訪問目錄表，這時從管理員到用戶必須有安全的認證通信。員到用戶必須有安全的認證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受攻擊。如果敵手成功地獲取管理員的秘密鑰，易受攻擊。如果敵手成功地獲取管理員的秘密鑰，就可偽造一個公鑰目錄表，以后既可假冒任一用戶就可偽造一個公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還又能監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還易受到敵手的竄擾。易受到敵手的竄擾。3. 公鑰管理機構公鑰管理機構如果在公鑰目錄表中對公鑰的分配施加更嚴密的控

28、如果在公鑰目錄表中對公鑰的分配施加更嚴密的控制，安全性將會更強。與公用目錄表類似，這里假制，安全性將會更強。與公用目錄表類似，這里假定有一個公鑰管理機構來為各用戶建立、維護動態(tài)定有一個公鑰管理機構來為各用戶建立、維護動態(tài)的公鑰目錄，但同時對系統(tǒng)提出以下要求，即：每的公鑰目錄，但同時對系統(tǒng)提出以下要求，即：每個用戶都可靠地知道管理機構的公開鑰，而只有管個用戶都可靠地知道管理機構的公開鑰，而只有管理機構自己知道相應的秘密鑰。公開鑰的分配步驟理機構自己知道相應的秘密鑰。公開鑰的分配步驟如下，如圖如下，如圖5.4： 圖圖5.4 公鑰管理機構分配公鑰公鑰管理機構分配公鑰 用戶用戶A向公鑰管理機構發(fā)送一個

29、帶時戳的消息，向公鑰管理機構發(fā)送一個帶時戳的消息，消息中有獲取用戶消息中有獲取用戶B的當前公鑰的請求。的當前公鑰的請求。 管理機構對管理機構對A的請求作出應答，應答由一個消息的請求作出應答，應答由一個消息表示，該消息由管理機構用自己的秘密鑰表示，該消息由管理機構用自己的秘密鑰SKAU加加密，因此密，因此A能用管理機構的公開鑰解密，并使能用管理機構的公開鑰解密，并使A相相信這個消息的確是來源于管理機構。信這個消息的確是來源于管理機構。應答的消息中有以下幾項：應答的消息中有以下幾項： B的公鑰的公鑰PKB，A可用之對將發(fā)往可用之對將發(fā)往B的消息加密；的消息加密； A的請求，用于的請求，用于A驗證收

30、到的應答的確是對相應請驗證收到的應答的確是對相應請求的應答，且還能驗證自己最初發(fā)出的請求在被管求的應答，且還能驗證自己最初發(fā)出的請求在被管理機構收到以前是否被篡改；理機構收到以前是否被篡改； 最初的時戳，以使最初的時戳，以使A相信管理機構發(fā)來的消息不相信管理機構發(fā)來的消息不是一個舊消息，因此消息中的公開鑰的確是是一個舊消息，因此消息中的公開鑰的確是B當前當前的公鑰。的公鑰。 A用用B的公開鑰對一個消息加密后發(fā)往的公開鑰對一個消息加密后發(fā)往B，這個這個消息有兩個數據項消息有兩個數據項: 一是一是A的身份的身份IDA，二是一個一二是一個一次性隨機數次性隨機數N1，用于惟一地標識這次業(yè)務。用于惟一地

31、標識這次業(yè)務。 B以相同方式從管理機構獲取以相同方式從管理機構獲取A的公開鑰（與步的公開鑰（與步驟、類似）。這時，驟、類似）。這時，A和和B都已安全地得到了都已安全地得到了對方的公鑰，所以可進行保密通信。然而，他們也對方的公鑰，所以可進行保密通信。然而，他們也許還希望有以下兩步，以認證對方。許還希望有以下兩步，以認證對方。 B用用PKA對一個消息加密后發(fā)往對一個消息加密后發(fā)往A，該消息的數該消息的數據項有據項有A的一次性隨機數的一次性隨機數N1和和B產生的一個一次性產生的一個一次性隨機數隨機數N2。因為只有因為只有B能解密的消息，所以能解密的消息，所以A收收到的消息中的到的消息中的N1可使其相

32、信通信的另一方的確是可使其相信通信的另一方的確是B。 A用用B的公開鑰對的公開鑰對N2加密后返回給加密后返回給B，可使可使B相信相信通信的另一方的確是通信的另一方的確是A。以上過程共發(fā)送了以上過程共發(fā)送了7個消息，其中前個消息，其中前4個消息用于獲個消息用于獲取對方的公開鑰。用戶得到對方的公開鑰后保存起取對方的公開鑰。用戶得到對方的公開鑰后保存起來可供以后使用，這樣就不必再發(fā)送前來可供以后使用，這樣就不必再發(fā)送前4個消息了，個消息了，然而還必須定期地通過密鑰管理中心獲取通信對方然而還必須定期地通過密鑰管理中心獲取通信對方的公開鑰，以免對方的公開鑰更新后無法保證當前的公開鑰，以免對方的公開鑰更新

33、后無法保證當前的通信。的通信。4. 公鑰證書公鑰證書上述公鑰管理機構分配公開鑰時也有缺點，由于每上述公鑰管理機構分配公開鑰時也有缺點，由于每一用戶要想和他人聯系都需求助于管理機構，所以一用戶要想和他人聯系都需求助于管理機構，所以管理機構有可能成為系統(tǒng)的瓶頸，而且由管理機構管理機構有可能成為系統(tǒng)的瓶頸，而且由管理機構維護的公鑰目錄表也易被敵手竄擾。維護的公鑰目錄表也易被敵手竄擾。分配公鑰的另一方法是公鑰證書，用戶通過公鑰證分配公鑰的另一方法是公鑰證書，用戶通過公鑰證書來互相交換自己的公鑰而無須與公鑰管理機構聯書來互相交換自己的公鑰而無須與公鑰管理機構聯系。公鑰證書由證書管理機構系。公鑰證書由證書

34、管理機構CA(certificate authority)為用戶建立，其中的數據項有與該用戶為用戶建立，其中的數據項有與該用戶的秘密鑰相匹配的公開鑰及用戶的身份和時戳等，的秘密鑰相匹配的公開鑰及用戶的身份和時戳等，所有的數據項經所有的數據項經CA用自己的秘密鑰簽字后就形成用自己的秘密鑰簽字后就形成證書，即證書的形式為證書，即證書的形式為CA=ESKCAT,IDA,PKA，其其中中IDA是用戶是用戶A的身份，的身份，PKA是是A的公鑰，的公鑰，T是當前是當前時戳，時戳，SKCA是是CA的秘密鑰，的秘密鑰，CA即是為用戶即是為用戶A產生產生的證書。產生過程如圖的證書。產生過程如圖5.5所示。用戶可

35、將自己的所示。用戶可將自己的公開鑰通過公鑰證書發(fā)給另一用戶，接收方可用公開鑰通過公鑰證書發(fā)給另一用戶，接收方可用CA的公鑰的公鑰PKCA對證書加以驗證，即對證書加以驗證，即DPKCACA=DPKCAESKCAT,IDA,PKA=(T,IDA,PKA) 圖圖5.5 證書的產生過程證書的產生過程因為只有用因為只有用CA的公鑰才能解讀證書，接收方從而的公鑰才能解讀證書，接收方從而驗證了證書的確是由驗證了證書的確是由CA發(fā)放的，且也獲得了發(fā)送發(fā)放的，且也獲得了發(fā)送方的身份方的身份IDA和公開鑰和公開鑰PKA。時戳時戳T為接收方保證了為接收方保證了收到的證書的新鮮性，用以防止發(fā)送方或敵方重放收到的證書的

36、新鮮性，用以防止發(fā)送方或敵方重放一舊證書。因此時戳可被當作截止日期，證書如果一舊證書。因此時戳可被當作截止日期，證書如果過舊，則被吊銷。過舊，則被吊銷。公開鑰分配完成后，用戶就可用公鑰加密體制進行公開鑰分配完成后，用戶就可用公鑰加密體制進行保密通信。然而由于公鑰加密的速度過慢，以此進保密通信。然而由于公鑰加密的速度過慢，以此進行保密通信不太合適，但用于分配單鑰密碼體制的行保密通信不太合適，但用于分配單鑰密碼體制的密鑰卻非常合適。密鑰卻非常合適。5.2.2 用公鑰加密分配單鑰密碼體制的密鑰用公鑰加密分配單鑰密碼體制的密鑰1. 簡單分配簡單分配圖圖5.6表示簡單使用公鑰加密算法建立會話密鑰的表示簡

37、單使用公鑰加密算法建立會話密鑰的過程，如果過程，如果A希望與希望與B通信，可通過以下幾步建立通信，可通過以下幾步建立會話密鑰：會話密鑰： A產生自己的一對密鑰產生自己的一對密鑰PKA,SKA，并向并向B發(fā)送發(fā)送PKA|IDA，其中其中IDA表示表示A的身份。的身份。 B產生會話密鑰產生會話密鑰KS，并用并用A的公開鑰的公開鑰PKA對對KS加加密后發(fā)往密后發(fā)往A。 A由由DSKAEPKAKS恢復會話密鑰。因為只有恢復會話密鑰。因為只有A能解讀能解讀KS，所以僅所以僅A、B知道這一共享密鑰。知道這一共享密鑰。 A銷毀銷毀PKA,SKA，B銷毀銷毀PKA。圖圖5.6 簡單使用公鑰加密算法建立會話密鑰

38、簡單使用公鑰加密算法建立會話密鑰A、B現在可以用單鑰加密算法以現在可以用單鑰加密算法以KS作為會話密鑰作為會話密鑰進行保密通信，通信完成后，又都將進行保密通信，通信完成后，又都將KS銷毀。這銷毀。這種分配法盡管簡單，但卻由于種分配法盡管簡單，但卻由于A、B雙方在通信前雙方在通信前和完成通信后，都未存儲密鑰，因此，密鑰泄露的和完成通信后，都未存儲密鑰，因此，密鑰泄露的危險性為最小，且可防止雙方的通信被敵手監(jiān)聽。危險性為最小，且可防止雙方的通信被敵手監(jiān)聽。這一協(xié)議易受到主動攻擊，如果敵手這一協(xié)議易受到主動攻擊，如果敵手E已接入已接入A、B雙方的通信信道，就可通過以下不被察覺的方式截雙方的通信信道，

39、就可通過以下不被察覺的方式截獲雙方的通信：獲雙方的通信： 與上面的步驟相同。與上面的步驟相同。 E截獲截獲A的發(fā)送后，建立自己的一對密鑰的發(fā)送后，建立自己的一對密鑰PKE,SKE，并將并將PKEIDA發(fā)送給發(fā)送給B。 B產生會話密鑰產生會話密鑰KS后，將后，將EPKEKS發(fā)送出去。發(fā)送出去。 E截獲截獲B發(fā)送的消息后，由發(fā)送的消息后，由DSKEEPKEKS解讀解讀KS。 E再將再將EPKAKS發(fā)往發(fā)往A。現在現在A和和B知道知道KS，但并未意識到但并未意識到KS已被已被E截獲。截獲。A、B在用在用KS通信時，通信時，E就可以實施監(jiān)聽。就可以實施監(jiān)聽。2. 具有保密性和認證性的密鑰分配具有保密性

40、和認證性的密鑰分配圖圖5.7所示的密鑰分配過程具有保密性和認證性，所示的密鑰分配過程具有保密性和認證性，因此既可防止被動攻擊，又可防止主動攻擊。因此既可防止被動攻擊，又可防止主動攻擊。圖圖5.7 具有保密性和認證性的密鑰分配具有保密性和認證性的密鑰分配假定假定A、B雙方已完成公鑰交換，可按以下步驟建雙方已完成公鑰交換，可按以下步驟建立共享會話密鑰：立共享會話密鑰： A用用B的公開鑰加密的公開鑰加密A的身份的身份IDA和一個一次性隨和一個一次性隨機數機數N1后發(fā)往后發(fā)往B，其中其中N1用于惟一地標識這一業(yè)務。用于惟一地標識這一業(yè)務。 B用用A的公開鑰的公開鑰PKA加密加密A的一次性隨機數的一次性

41、隨機數N1和和B新產生的一次性隨機數新產生的一次性隨機數N2后發(fā)往后發(fā)往A。因為只有因為只有B能能解讀中的加密，所以解讀中的加密，所以B發(fā)來的消息中發(fā)來的消息中N1的存在可的存在可使使A相信對方的確是相信對方的確是B。 A用用B的公鑰的公鑰PKB對對N2加密后返回給加密后返回給B，以使以使B相相信對方的確是信對方的確是A。 A選一會話密鑰選一會話密鑰KS，然后將然后將M=EPKBESKAKS發(fā)發(fā)給給B，其中用其中用B的公開鑰加密是為保證只有的公開鑰加密是為保證只有B能解讀能解讀加密結果，用加密結果，用A的秘密鑰加密是保證該加密結果只的秘密鑰加密是保證該加密結果只有有A能發(fā)送。能發(fā)送。 B以以D

42、PKADSKBM恢復會話密鑰?；謴蜁捗荑€。Diffie-Hellman密鑰交換是密鑰交換是W. Diffie和和M. Hellman于于1976年提出的第一個公鑰密碼算法，已在很多商年提出的第一個公鑰密碼算法，已在很多商業(yè)產品中得以應用。算法的惟一目的是使得兩個用業(yè)產品中得以應用。算法的惟一目的是使得兩個用戶能夠安全地交換密鑰，得到一個共享的會話密鑰，戶能夠安全地交換密鑰，得到一個共享的會話密鑰，算法本身不能用于加、解密。算法本身不能用于加、解密。算法的安全性基于求離散對數的困難性。算法的安全性基于求離散對數的困難性。5.2.3 Diffie-Hellman密鑰交換密鑰交換圖圖5.8表示表示

43、Diffie-Hellman密鑰交換過程，其中密鑰交換過程，其中p是是大素數，大素數，a是是p的本原根，的本原根，p和和a作為公開的全程元素。作為公開的全程元素。用戶用戶A選擇一保密的隨機整數選擇一保密的隨機整數XA，并將并將YA=aXA mod p發(fā)送給用戶發(fā)送給用戶B。類似地，用戶類似地，用戶B選擇一保密選擇一保密的隨機整數的隨機整數XB，并將并將YB=aXB mod p發(fā)送給用戶發(fā)送給用戶A。然后然后A和和B分別由分別由K=YXAB mod p和和K=YXBA mod p計算出的就是共享密鑰，這是因為計算出的就是共享密鑰，這是因為YXAB mod p=(aXB mod p) XA mod

44、 p=(aXB)XA mod p =aXBXA mod p=(aXA)XB mod p =(aXA mod p)XB mod p=YXBA mod p圖圖5.8 Diffie-Hellman密鑰交換密鑰交換因因XA，XB是保密的，敵手只能得到是保密的，敵手只能得到p，a，YA ，YB，要想得到要想得到K，則必須得到則必須得到XA，XB中的一個，這意味中的一個，這意味著需要求離散對數。因此敵手求著需要求離散對數。因此敵手求K是不可行的。是不可行的。例如：例如：p=97，a=5，A和和B分別秘密選分別秘密選XA=36，XB=58，并分別計算并分別計算YA=536 mod 97=50，YB=558

45、mod 97=44。在交換在交換YA，YB后，分別計算后，分別計算K=YXAB mod 97=4436 mod 97=75,K=YXBA mod 97=5058 mod 97=75密鑰托管也稱為托管加密，其目的是保證對個人沒密鑰托管也稱為托管加密，其目的是保證對個人沒有絕對的隱私和絕對不可跟蹤的匿名性，即在強加有絕對的隱私和絕對不可跟蹤的匿名性，即在強加密中結合對突發(fā)事件的解密能力。其實現手段是把密中結合對突發(fā)事件的解密能力。其實現手段是把已加密的數據和數據恢復密鑰聯系起來，數據恢復已加密的數據和數據恢復密鑰聯系起來，數據恢復密鑰不必是直接解密的密鑰，但由它可得解密密鑰。密鑰不必是直接解密的密

46、鑰，但由它可得解密密鑰。數據恢復密鑰由所信任的委托人持有，委托人可以數據恢復密鑰由所信任的委托人持有，委托人可以是政府機構、法院或有契約的私人組織。一個密鑰是政府機構、法院或有契約的私人組織。一個密鑰可能是在數個這樣的委托人中分拆。調查機構或情可能是在數個這樣的委托人中分拆。調查機構或情報機構通過適當的程序，如獲得法院證書，從委托報機構通過適當的程序，如獲得法院證書，從委托人處獲得數據恢復密鑰。人處獲得數據恢復密鑰。5.3 密鑰托管密鑰托管 密鑰托管加密技術提供了一個備用的解密途徑，密鑰托管加密技術提供了一個備用的解密途徑，政府機構在需要時，可通過密鑰托管技術解密用戶政府機構在需要時，可通過密

47、鑰托管技術解密用戶的信息，而用戶的密鑰若丟失或損壞，也可通過密的信息，而用戶的密鑰若丟失或損壞，也可通過密鑰托管技術恢復自己的密鑰。所以這個備用的手段鑰托管技術恢復自己的密鑰。所以這個備用的手段不僅對政府有用，而且對用戶自己也有用。不僅對政府有用，而且對用戶自己也有用。1993年年4月，美國政府為了滿足其電信安全、公眾月，美國政府為了滿足其電信安全、公眾安全和國家安全，提出了托管加密標準安全和國家安全，提出了托管加密標準EES(escrowed encryption standard)，該標準所使該標準所使用的托管加密技術不僅提供了強加密功能，同時也用的托管加密技術不僅提供了強加密功能，同時也

48、為政府機構提供了實施法律授權下的監(jiān)聽功能。這為政府機構提供了實施法律授權下的監(jiān)聽功能。這一技術是通過一個防竄擾的芯片一技術是通過一個防竄擾的芯片(稱為稱為Clipper芯片芯片)來實現的。來實現的。5.3.1 美國托管加密標準簡介美國托管加密標準簡介它有兩個特性：它有兩個特性： 一個加密算法一個加密算法Skipjack算法，該算法是由算法，該算法是由NSA設計的，用于加（解）密用戶間通信的消息。設計的，用于加（解）密用戶間通信的消息。該算法已于該算法已于1998年年3月公布。月公布。 為法律實施提供為法律實施提供“后門后門”的部分的部分法律實施法律實施存取域存取域LEAF(law enforc

49、ement access field)。通過通過這個域，法律實施部門可在法律授權下，實現對用這個域，法律實施部門可在法律授權下，實現對用戶通信的解密。戶通信的解密。1. Skipjack算法算法Skipjack算法是一個單鑰分組加密算法，密鑰長算法是一個單鑰分組加密算法，密鑰長80比特，輸入和輸出的分組長均為比特，輸入和輸出的分組長均為64比特。可使用比特?？墒褂?種工作模式：電碼本模式，密碼分組鏈接模式，種工作模式：電碼本模式，密碼分組鏈接模式，64比特輸出反饋模式，比特輸出反饋模式，1、8、16、32或或64比特密碼反比特密碼反饋模式。饋模式。算法的內部細節(jié)在向公眾公開以前，政府邀請了一算

50、法的內部細節(jié)在向公眾公開以前，政府邀請了一些局外人士對算法作出評價，并公布了評價結果。些局外人士對算法作出評價，并公布了評價結果。評價結果認為算法的強度高于評價結果認為算法的強度高于DES，并且未發(fā)現陷并且未發(fā)現陷門。門。Skipjack的密鑰長是的密鑰長是80比特，比比特，比DES的密鑰長的密鑰長24比特，因此通過窮搜索的蠻力攻擊比比特，因此通過窮搜索的蠻力攻擊比DES多多224倍的搜索。所以若假定處理能力的費用每倍的搜索。所以若假定處理能力的費用每18個月減個月減少一半，那么破譯它所需的代價要少一半，那么破譯它所需的代價要1.524=36年才年才能減少到今天破譯能減少到今天破譯DES的代價

51、。的代價。2. 托管加密芯片托管加密芯片Skipjack算法以及在法律授權下對加密結果的存取算法以及在法律授權下對加密結果的存取是通過防竄擾的托管加密芯片來實現的。芯片裝有是通過防竄擾的托管加密芯片來實現的。芯片裝有以下部分：以下部分： Skipjack算法；算法； 80比特的族密鑰比特的族密鑰KF(family key)，同一批芯片的族同一批芯片的族密鑰都相同密鑰都相同; 芯片單元識別符芯片單元識別符UID(unique identifier); 80比特的芯片單元密鑰比特的芯片單元密鑰KU(unique key),它是兩個它是兩個80比特的芯片單元密鑰分量比特的芯片單元密鑰分量(KU1,K

52、U2)的異或的異或; 控制軟件?？刂栖浖?。這些部分被固化在芯片上。編程過程是在由兩個托這些部分被固化在芯片上。編程過程是在由兩個托管機構的代表監(jiān)控下的安全工廠中進行的，一段時管機構的代表監(jiān)控下的安全工廠中進行的，一段時間一批。編程過程如圖間一批。編程過程如圖5.9所示。所示。圖圖5.9 托管加密芯片的編程過程托管加密芯片的編程過程首先，托管機構的代表通過向編程設備輸入兩個參首先，托管機構的代表通過向編程設備輸入兩個參數（隨機數）對芯片編程處理器初始化。芯片編程數（隨機數）對芯片編程處理器初始化。芯片編程處理器對每個芯片，分別計算以上兩個初始參數和處理器對每個芯片，分別計算以上兩個初始參數和UI

53、D的函數，作為單元密鑰的兩個分量的函數，作為單元密鑰的兩個分量KU1和和KU2。求求KU1 XOR KU2，作為芯片單元密鑰作為芯片單元密鑰KU。UID和和KU放在芯片中。然后，用分配給托管機構放在芯片中。然后，用分配給托管機構1的密鑰的密鑰K1加密加密KU1得得EK1(KU1)。類似地，用分配給托管機類似地，用分配給托管機構構2的加密密鑰的加密密鑰K2加密加密KU2得得EK2(KU2)。(UID，EK1(KU1)和和(UID，EK2(KU2)分別給托管機構分別給托管機構1和和托管機構托管機構2，并以托管形式保存。以加密方式保存，并以托管形式保存。以加密方式保存單元密鑰分量是為了防止密鑰分量被

54、竊或泄露。單元密鑰分量是為了防止密鑰分量被竊或泄露。編程過程結束后，編程處理器被清除，以使芯片的編程過程結束后，編程處理器被清除，以使芯片的單元密鑰不能被他人獲得或被他人計算，只能從兩單元密鑰不能被他人獲得或被他人計算，只能從兩個托管機構獲得加了密的單元密鑰分量，并且使用個托管機構獲得加了密的單元密鑰分量，并且使用特定的政府解密設備來解密。特定的政府解密設備來解密。3. 用托管加密芯片加密用托管加密芯片加密通信雙方為了使用通信雙方為了使用Skipjack算法加密他們的通信算法加密他們的通信,都都必須有一個裝有托管加密芯片的安全的防竄擾設備必須有一個裝有托管加密芯片的安全的防竄擾設備,該設備負責

55、實現建立安全信道所需的協(xié)議該設備負責實現建立安全信道所需的協(xié)議,包括協(xié)包括協(xié)商或分布用于加密通信的商或分布用于加密通信的80比特秘密會話密鑰比特秘密會話密鑰KS。例如例如,會話密鑰可使用會話密鑰可使用Diffie-Hellman密鑰協(xié)商協(xié)議密鑰協(xié)商協(xié)議,該協(xié)議執(zhí)行過程中該協(xié)議執(zhí)行過程中,兩個設備僅交換公共值即可獲兩個設備僅交換公共值即可獲得公共的秘密會話密鑰。得公共的秘密會話密鑰。 80比特的會話密鑰比特的會話密鑰KS建立后，被傳送給加密芯片，建立后，被傳送給加密芯片，用于與初始化向量用于與初始化向量IV（由芯片產生）一起產生由芯片產生）一起產生LEAF。控制軟件使用芯片單元密鑰控制軟件使用芯

56、片單元密鑰KU加密加密KS，然后將加密后的結果和芯片識別符然后將加密后的結果和芯片識別符UID、認證符認證符A鏈接，再使用公共的族密鑰鏈接，再使用公共的族密鑰KF加密以上鏈接的結加密以上鏈接的結果而產生果而產生LEAF。其過程如圖其過程如圖5.10所示。所示。圖圖5.10 LEAF產生過程示意圖產生過程示意圖最后將最后將IV和和LEAF傳遞給接收芯片，用于建立同步。傳遞給接收芯片，用于建立同步。同步建立后，會話密鑰就可用于通信雙方的加解密。同步建立后，會話密鑰就可用于通信雙方的加解密。對語音通信對語音通信,消息串（語音）首先應被數字化。圖消息串（語音）首先應被數字化。圖5.11顯示的是在發(fā)送者

57、的安全設備和接收者的安全顯示的是在發(fā)送者的安全設備和接收者的安全設備之間傳送設備之間傳送LEAF以及用會話密鑰以及用會話密鑰KS加密明文消加密明文消息息hello的過程。圖中未顯示初始向量。的過程。圖中未顯示初始向量。圖圖5.11 對加密通信的法律實施存取過程對加密通信的法律實施存取過程在雙向通信（如電話）中，通信每一方的安全設備在雙向通信（如電話）中，通信每一方的安全設備都需傳送一個都需傳送一個IV和由其設備芯片計算出的和由其設備芯片計算出的LEAF。然后，兩個設備使用同一會話密鑰然后，兩個設備使用同一會話密鑰KS來加密傳送來加密傳送給通信對方的消息，并解密由對方傳回的消息。給通信對方的消息

58、，并解密由對方傳回的消息。4. 法律實施存取法律實施存取政府機構在進行犯罪調查時，為了監(jiān)聽被調查者的政府機構在進行犯罪調查時，為了監(jiān)聽被調查者的通信，首先必須取得法院的許可證書，并將許可證通信，首先必須取得法院的許可證書，并將許可證書出示給通信服務的提供者（電信部門），并從電書出示給通信服務的提供者（電信部門），并從電信部門租用線路用來截取被監(jiān)聽者的通信。如果被信部門租用線路用來截取被監(jiān)聽者的通信。如果被監(jiān)聽者的通信是經過加密的，則被截獲的通信首先監(jiān)聽者的通信是經過加密的，則被截獲的通信首先通過一個政府控制的解密設備，如圖通過一個政府控制的解密設備，如圖5.11所示，其所示，其中中D表示解密。

59、解密設備可識別由托管芯片加密的表示解密。解密設備可識別由托管芯片加密的通信，取出通信，取出LEAF和和IV，并使用族密鑰并使用族密鑰KF解密解密LEAF以取出芯片識別符以取出芯片識別符UID和加密的會話密鑰和加密的會話密鑰EKU(KS)。政府機構將芯片識別符政府機構將芯片識別符UID、法院許可監(jiān)聽的許可法院許可監(jiān)聽的許可證書、解密設備的順序號以及政府機構對該芯片的證書、解密設備的順序號以及政府機構對該芯片的單元密鑰分量的要求一起給托管機構。托管機構在單元密鑰分量的要求一起給托管機構。托管機構在收到并驗證政府機構傳送的內容后，將被加密的單收到并驗證政府機構傳送的內容后，將被加密的單元密鑰分量元密

60、鑰分量EK1(KU1)和和EK2(KU2)傳送給政府機構的傳送給政府機構的解密設備，解密設備分別使用加密密鑰解密設備，解密設備分別使用加密密鑰K1和和K2解解密密EK1(KU1)和和EK2(KU2)以得到以得到KU1、KU2，求它們求它們的異或的異或KU1 XOR KU2，即為單元密鑰即為單元密鑰KU。由單元由單元密鑰密鑰KU解密解密EKU(KS)，得被調查者的會話密鑰得被調查者的會話密鑰KS。最后解密設備使用最后解密設備使用KS解密被調查者的通信。為了解密被調查者的通信。為了實現解密，解密設備在初始化階段，應安裝族密鑰實現解密，解密設備在初始化階段，應安裝族密鑰KF和密鑰加密密鑰和密鑰加密密