第5章密鑰分配與密鑰管理KeyDistributionandKeyManagement2023/7/71內(nèi)容提要單鑰加密體制的密鑰分配公鑰加密體制的密鑰管理密鑰托管隨機(jī)數(shù)的產(chǎn)生秘密分割2023/7/72單鑰加密體制的密鑰分配KeyDistributionofsymmetriccryptography2023/7/73密鑰分配的基本方法兩個(gè)用戶在使用單鑰體制進(jìn)行通信時(shí)，必須預(yù)先共享秘密密鑰，并且應(yīng)當(dāng)時(shí)常更新，用戶A和B共享密鑰的方法主要有:A選取密鑰并通過(guò)物理手段發(fā)送給B第三方選取密鑰并通過(guò)物理手段發(fā)送給A和BA,B事先已有一密鑰，其中一方選取新密鑰，用已有密鑰加密新密鑰發(fā)送給另一方A和B分別與第三方C有一保密信道，C為A，B選取密鑰，分別在兩個(gè)保密信道上發(fā)送給A和B2023/7/74密鑰分配的基本方法如果有n個(gè)用戶，需要兩兩擁有共享密鑰，一共需要n(n-1)/2的密鑰采用第4中方法，只需要n個(gè)密鑰2023/7/75KS：一次性會(huì)話密鑰N1,N2：隨機(jī)數(shù)KA,KB：A與B和KDC的共享密鑰f：某種函數(shù)變換2.一個(gè)實(shí)例4.KDCAB1.Request||N13.5.2023/7/76密鑰的分層控制用戶數(shù)目很多并且分布地域很廣，一個(gè)KDC無(wú)法承擔(dān)，需要采用多個(gè)KDC的分層結(jié)構(gòu)。本地KDC為本地用戶分配密鑰。不同區(qū)域內(nèi)的KDC通過(guò)全局KDC溝通。2023/7/77會(huì)話密鑰的有效期密鑰更換越頻繁，安全性越高。缺點(diǎn)是延遲用戶的交互，造成網(wǎng)絡(luò)負(fù)擔(dān)。決定會(huì)話的有效期，應(yīng)權(quán)衡利弊。面向連接的協(xié)議，每次建立連接時(shí)應(yīng)使用新的會(huì)話密鑰。無(wú)連接的協(xié)議，無(wú)法明確確定更換密鑰的頻率，安全起見(jiàn)，每次交換都用新的密鑰。經(jīng)濟(jì)的做法在一固定周期內(nèi)對(duì)一定數(shù)目的業(yè)務(wù)使用同一會(huì)話密鑰。2023/7/78無(wú)中心的密鑰控制有KDC時(shí)，要求所有用戶信任KDC，并且要求KDC加以保護(hù)。無(wú)KDC時(shí)沒(méi)有這種限制，但是只適用于用戶小的場(chǎng)合2023/7/79無(wú)中心的密鑰控制AB1.Request||N12.3.用戶A和B建立會(huì)話密鑰的過(guò)程2023/7/710密鑰的控制使用根據(jù)用途不同分為會(huì)話密鑰（數(shù)據(jù)加密密鑰）主密鑰（密鑰加密密鑰），安全性高于會(huì)話密鑰根據(jù)用途不同對(duì)密鑰使用加以控制2023/7/711單鑰體制的密鑰控制技術(shù)－密鑰標(biāo)簽z用于DES的密鑰控制，8個(gè)校驗(yàn)位作為密鑰標(biāo)簽1比特表示這個(gè)密鑰是會(huì)話密鑰還是主密鑰1比特表示這個(gè)密鑰能否用于加密1比特表示這個(gè)密鑰能否用于解密其余比特保留長(zhǎng)度有限，限制了靈活性和功能標(biāo)簽以密文傳送，只有解密后才能使用，限制了密鑰使用的控制方式。2023/7/712單鑰體制的密鑰控制技術(shù)－控制矢量對(duì)每一密鑰指定相應(yīng)的控制矢量，分為若干字段，說(shuō)明在不同情況下是否能夠使用有KDC產(chǎn)生加密密鑰時(shí)加在密鑰之中h為hash函數(shù)，Km是主密鑰，KS為會(huì)話密鑰控制矢量CV明文發(fā)送優(yōu)點(diǎn)：1.CV長(zhǎng)度沒(méi)有限制2.CV以明文形式存在2023/7/713公鑰加密體制的密鑰管理KeyManagementofPublicKeyCryptography2023/7/714公鑰的分配－公開(kāi)發(fā)布用戶將自己的公鑰發(fā)給每一個(gè)其他用戶方法簡(jiǎn)單，但沒(méi)有認(rèn)證性，因?yàn)槿魏稳硕伎梢詡卧爝@種公開(kāi)發(fā)布2023/7/715公鑰的分配－公用目錄表公用的公鑰動(dòng)態(tài)目錄表，目錄表的建立、維護(hù)以及公鑰的分布由可信的實(shí)體和組織承擔(dān)。管理員為每個(gè)用戶都在目錄表里建立一個(gè)目錄，目錄中包括兩個(gè)數(shù)據(jù)項(xiàng)：一是用戶名，而是用戶的公開(kāi)密鑰。每一用戶都親自或以某種安全的認(rèn)證通信在管理者處為自己的公開(kāi)密鑰注冊(cè)。用戶可以隨時(shí)替換自己的密鑰。管理員定期公布或定期更新目錄。用戶可以通過(guò)電子手段訪問(wèn)目錄。2023/7/716公鑰的分配－公鑰管理機(jī)構(gòu)公鑰管理機(jī)構(gòu)為用戶建立維護(hù)動(dòng)態(tài)的公鑰目錄。每個(gè)用戶知道管理機(jī)構(gòu)的公開(kāi)鑰。只有管理機(jī)構(gòu)知道自己的秘密鑰。2023/7/717公鑰管理機(jī)構(gòu)分配公鑰公鑰管理機(jī)構(gòu)AB1.Request||Time12.3.6.4.Request||Time25.7.有可能稱為系統(tǒng)的瓶頸，目錄容易受到敵手的串?dāng)_2023/7/718公鑰證書用戶通過(guò)公鑰證書交換各自公鑰，無(wú)須與公鑰管理機(jī)構(gòu)聯(lián)系公鑰證書由證書管理機(jī)構(gòu)CA（CertificateAuthority）為用戶建立。證書的形式為T-時(shí)間，PKA-A的公鑰，IDA－A的身份，SKCA－CA的私鑰時(shí)戳T保證證書的新鮮性，防止重放舊證書。2023/7/719CA的計(jì)算機(jī)用戶的計(jì)算機(jī)證書的產(chǎn)生過(guò)程產(chǎn)生密鑰姓名秘密鑰公開(kāi)鑰CA的公開(kāi)鑰CA的秘密鑰簽字證書2023/7/720用公鑰加密分配單鑰密碼體制的密鑰AB1.PKA||IDA2.簡(jiǎn)單分配易受到主動(dòng)攻擊AB攻擊者E1.PKA||IDA2.PKE||IDA3.4.2023/7/721用公鑰加密分配單鑰密碼體制的密鑰具有保密性和認(rèn)證性的密鑰分配AB1.2.3.4.2023/7/722用戶B用戶ADiffie-Hellman密鑰交換W.Diffie和M.Hellman1976年提出算法的安全性基于求離散對(duì)數(shù)的困難性選擇隨機(jī)數(shù)x<p計(jì)算YA=gxmodp選擇隨機(jī)數(shù)y<p計(jì)算YB=gymodpYAYB計(jì)算K=YA

y

=gxymodp計(jì)算K=YB

x

=gxymodp2023/7/723密鑰托管KeyEscrow2023/7/724密鑰托管也稱托管加密，其目的在于保證個(gè)人沒(méi)有絕對(duì)的銀絲和絕對(duì)不可跟蹤的匿名性。實(shí)現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來(lái)。由數(shù)據(jù)恢復(fù)密鑰可以得到解密密鑰，由所信任的委托人持有。提供了一個(gè)備用的解密途徑，不僅對(duì)政府有用，也對(duì)用戶自己有用。2023/7/725美國(guó)托管加密標(biāo)準(zhǔn)1993年4月提出托管加密標(biāo)準(zhǔn)EES（Escrowedencrytionstandard）提供強(qiáng)加密功能，同時(shí)也提供政府機(jī)構(gòu)在法律授權(quán)下監(jiān)聽(tīng)功能。通過(guò)防竄擾Clipper芯片來(lái)實(shí)現(xiàn)。包含兩個(gè)特性Skipjack算法，實(shí)現(xiàn)強(qiáng)加密法律實(shí)施存取域LEAF，實(shí)現(xiàn)法律授權(quán)下解密2023/7/726Skipjack算法單鑰分組加密算法，密鑰長(zhǎng)80比特，輸入輸出分組長(zhǎng)度64Bit4種工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式2023/7/727托管加密芯片Skipjack算法80比特族密鑰KF(Familykey),同一批芯片的族密鑰都相同芯片單元識(shí)別符UID80bit的芯片單元密鑰KU(uniquekey),由兩個(gè)80bit密鑰分量異或得到控制軟件被固化在芯片上2023/7/728托管加密芯片的編程過(guò)程UIDKU1EK1KU1EK2+SJKFUIDKUKF芯片芯片編程處理器托管機(jī)構(gòu)1初始化托管機(jī)構(gòu)2初始化UIDUID托管機(jī)構(gòu)1托管機(jī)構(gòu)22023/7/729托管加密芯片加密過(guò)程用KU加密加密的KSUIDAKSIV用KF加密LEAF80bit32bit16bitKS：會(huì)話密鑰A：認(rèn)證符UID：芯片識(shí)別符IV：初始向量2023/7/730通信和法律實(shí)施存取過(guò)程2023/7/731密鑰托管密碼體制的組成成分用戶安全成分（USC）密鑰托管成分（KEC）數(shù)據(jù)恢復(fù)成分（DRC）2023/7/732隨機(jī)數(shù)的產(chǎn)生GenerationofRandomNumbers2023/7/733隨機(jī)數(shù)的用途相互認(rèn)證會(huì)話密鑰的產(chǎn)生公鑰密碼算法中的密鑰產(chǎn)生2023/7/734隨機(jī)數(shù)的要求－隨機(jī)性均勻分布數(shù)列中每個(gè)數(shù)出現(xiàn)的頻率相等或近似相等獨(dú)立性數(shù)列中任一數(shù)不能由其他數(shù)推出經(jīng)常使用的是偽隨機(jī)數(shù)列2023/7/735隨機(jī)數(shù)的要求－不可預(yù)測(cè)性對(duì)數(shù)列中以后的數(shù)是不可預(yù)測(cè)的對(duì)于真隨機(jī)數(shù)，滿足獨(dú)立性，所以不可預(yù)測(cè)偽隨機(jī)數(shù)列需要特別注意滿足不可預(yù)測(cè)性2023/7/736隨機(jī)數(shù)源真隨機(jī)數(shù)源－物理噪聲產(chǎn)生器離子輻射脈沖檢測(cè)器氣體放電管漏電容數(shù)的隨機(jī)性和精度不夠這些設(shè)備很難聯(lián)入網(wǎng)絡(luò)2023/7/737隨機(jī)數(shù)源目前關(guān)于隨機(jī)性最嚴(yán)格的定義是：一個(gè)理想噪聲源的二進(jìn)制輸出序列S0,S1,……,Sn-1,Sn,…的隨機(jī)性，表示為當(dāng)前輸出位Sn與在此之前的所有輸出信號(hào)之間的完全獨(dú)立性，也就是說(shuō)，在已知S0,S1,……,Sn-1的條件下，Sn仍然是不可預(yù)測(cè)的。2023/7/738噪聲源技術(shù)(了解)噪聲源的功能就是產(chǎn)生二進(jìn)制的隨機(jī)序列或與之對(duì)應(yīng)的隨機(jī)數(shù)，它是密鑰產(chǎn)生設(shè)備的核心部件。噪聲源的另一個(gè)用途是在物理層加密的環(huán)境下進(jìn)行信息填充，使網(wǎng)絡(luò)具有防止流量分析的功能，當(dāng)采用序列密碼時(shí)也有防止亂數(shù)空發(fā)的功能。噪聲源還被用于某些身份驗(yàn)證技術(shù)中，如在對(duì)等實(shí)體中，為了防止口令被竊取常常使用隨機(jī)應(yīng)答技術(shù)，這時(shí)的提問(wèn)與應(yīng)答都是由噪聲控制的。

2023/7/739噪聲源輸出的隨機(jī)數(shù)序列按照產(chǎn)生的方法可以分為：

偽隨機(jī)序列：用數(shù)學(xué)方法和少量的種子密鑰產(chǎn)生的周期很長(zhǎng)的隨機(jī)序列。

偽隨機(jī)序列一般都有良好的能經(jīng)受理論檢驗(yàn)的隨機(jī)統(tǒng)計(jì)特性，但是當(dāng)序列的長(zhǎng)度超過(guò)了唯一解距離時(shí)，就成了一個(gè)可預(yù)測(cè)的序列。

物理隨機(jī)序列：用熱噪聲等客觀的方法產(chǎn)生的隨機(jī)序列。

實(shí)際的物理噪聲往往要受到溫度、電源、電路特性等因素的限制，其統(tǒng)計(jì)特性常常帶有一定的偏向性。

準(zhǔn)隨機(jī)序列：用數(shù)學(xué)方法和物理方法相結(jié)合產(chǎn)生的隨機(jī)序列，它可以克服兩者的缺點(diǎn)。噪聲源技術(shù)(了解)2023/7/740目前的物理噪聲源基本上可分為三大類：基于力學(xué)的噪聲源技術(shù)；基于電子學(xué)的噪聲源技術(shù)；基于混沌理論的噪聲源技術(shù)。噪聲源技術(shù)(了解)2023/7/741⑴基于力學(xué)的噪聲源技術(shù)拋一個(gè)一分的硬幣，看它是正面落地還是反面落地，可得到1比特的隨機(jī)數(shù)。用轉(zhuǎn)動(dòng)很靈活的、畫有十進(jìn)制或十六進(jìn)制刻度的轉(zhuǎn)盤，任意給它一個(gè)起始動(dòng)量，記下它停止的位置，便得到一個(gè)十進(jìn)制或十六進(jìn)制的隨機(jī)數(shù)；大量的鉛字，在一個(gè)鐵鍋里充分?jǐn)嚢韬箅S手揀出一堆，排成一版進(jìn)行印刷，二次大戰(zhàn)時(shí)使用的一次一密亂碼本就是這樣產(chǎn)生出來(lái)的。

這類方法的優(yōu)點(diǎn)是簡(jiǎn)便易行，缺點(diǎn)是產(chǎn)生密鑰的效率低，密鑰的隨機(jī)性較差。噪聲源技術(shù)(了解)2023/7/742⑵基于電子學(xué)的噪聲產(chǎn)生技術(shù)影響噪聲質(zhì)量的關(guān)鍵部分是噪聲產(chǎn)生電路。要獲得的應(yīng)是純潔的、寬頻帶的、正態(tài)分布的、連續(xù)的平穩(wěn)遍歷的隨機(jī)信號(hào)。所謂純潔的，是指沒(méi)有混進(jìn)不隨機(jī)的某種固定分量；所謂寬頻帶的，是指能夠提供較高的采樣速率；所謂正態(tài)分布的，是指它的幅度和頻譜成分成正態(tài)分布；所謂連續(xù)的平穩(wěn)遍歷，主要是為了使用方便，在任意時(shí)刻進(jìn)行采樣都能滿足隨機(jī)性要求。噪聲源技術(shù)(了解)2023/7/743(3)基于混沌理論的噪聲源技術(shù)

混沌理論是一門新學(xué)科，用混沌理論的方法不僅可以產(chǎn)生噪聲，甚至還可以直接作為序列密碼使用。目前國(guó)內(nèi)外已有混沌噪聲源的成熟技術(shù)，其噪聲產(chǎn)生速率可達(dá)1Mbit/s以上，所使用電路卻很簡(jiǎn)單，可實(shí)現(xiàn)芯片化。與前面介紹的幾種噪聲源的區(qū)別在于，它不是將某種自然世界的噪聲加以放大利用，而是用確定的動(dòng)力學(xué)方程產(chǎn)生出類似于白噪聲的頻譜特性，因此受元器件的個(gè)體差異的影響很小。噪聲源技術(shù)(了解)2023/7/744偽隨機(jī)數(shù)產(chǎn)生器-線性同余法參數(shù)：模數(shù)m(m>0)乘數(shù)a(0≤a<m)增量c(0≤c<m)初值種子X(jué)0(0≤X0<m)a,c,m的取值是產(chǎn)生高質(zhì)量隨機(jī)數(shù)的關(guān)鍵2023/7/745偽隨機(jī)數(shù)產(chǎn)生器-線性同余法a=7,c=0,m=32,X0=1{7,17,23,1,7,…}a=3,c=0,m=32,X0=1{3,9,27,17,19,25,11,1,3,…}選m盡可能大，使其接近或等于計(jì)算機(jī)能表示的最大整數(shù)周期為4周期為82023/7/746偽隨機(jī)數(shù)產(chǎn)生器-線性同余法評(píng)價(jià)線性同余有以下三個(gè)標(biāo)準(zhǔn)：迭代函數(shù)應(yīng)是整周期的，在重復(fù)之前應(yīng)出現(xiàn)0到m間的所有數(shù)產(chǎn)生的數(shù)列看上去應(yīng)是隨機(jī)的迭代函數(shù)能有效的利用32位運(yùn)算實(shí)現(xiàn)如果m為素?cái)?shù)，且a為m的本原根，產(chǎn)生的數(shù)列是整周期的。a=16807,m=231-1,c=02023/7/747偽隨機(jī)數(shù)產(chǎn)生器-線性同余法假定敵手知道X0,X1,X2,X3,可以確定參數(shù)改進(jìn)的方法：利用系統(tǒng)時(shí)鐘修改隨機(jī)數(shù)數(shù)列。2023/7/748基于密碼算法的隨機(jī)數(shù)產(chǎn)生器循環(huán)加密CC+1加密算法

主密鑰Km周期為N的計(jì)數(shù)器2023/7/749基于密碼算法的隨機(jī)數(shù)產(chǎn)生器DES的輸出反饋方式(OFB)模式采用OFB模式能用來(lái)產(chǎn)生密鑰并用于流加密。加密算法的輸出構(gòu)成偽隨機(jī)序列2023/7/750基于密碼算法的隨機(jī)數(shù)產(chǎn)生器ANSIX9.17偽隨機(jī)數(shù)產(chǎn)生器EDEEDEEDE＋＋K1K2Vi+1ViRiDTi2023/7/751BBS（blum-blum-shub）產(chǎn)生器密碼強(qiáng)度最強(qiáng)，基于大整數(shù)分解困難性選擇p,q,滿足p=q=3mod4,n=p×q。選隨機(jī)數(shù)s，s和n互素X0＝s2modnFori=1to∞do{Xi=Xi-12modn;Bi=Ximod2}Bi為產(chǎn)生的隨機(jī)數(shù)序列2023/7/752秘密分割SecreteSharing2023/7/753秘密分割門限方案導(dǎo)彈控制發(fā)射，重要場(chǎng)所通行檢驗(yàn)，通常需要多人同時(shí)參與才能生效，需要將秘密分為多人掌管，并且由一定掌管秘密的人數(shù)同時(shí)到場(chǎng)才能恢復(fù)秘密。2023/7/754門限方案的一般概念秘密s被分為n個(gè)部分,每個(gè)部分稱為shadow,由一個(gè)參與者持有，使得由k個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)s。由少于k個(gè)參與者所持有的部分信息則無(wú)法重構(gòu)s。稱為(k,n)秘密分割門限方案，k稱為門限值。少于k個(gè)參與者所持有的部分信息得不到s的任何信息稱該門限方案是完善的。2023/7/755Shamir門限方案基于多項(xiàng)式Lagrange插值公式設(shè){(x1,y1),…,(xk,yk)}是平面上k個(gè)點(diǎn)構(gòu)成的點(diǎn)集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多項(xiàng)式f(x)通過(guò)這k個(gè)點(diǎn).若把秘密s取做f(0)，n個(gè)shadow取做f(xi)(i=1,…n),那么利用其中任意k個(gè)shadow可以重構(gòu)f(x)，從而可以得到秘密s2023/7/756Shamir門限方案有限域GF(q),q為大素?cái)?shù)，q≥n+1。秘密s是GF(q)\{0}上均勻選取的隨機(jī)數(shù)，表示為s∈RGF(q)\{0}.k-1個(gè)系