第06章2节密钥管理

16.1密码应用加密、认证和签名是保护信息的机密性、完整性和抗否认性的主要技术措施。加密是保障信息机密性的主要措施。加密机制的应用一般需要考虑如下几个因素：首先选择一种密码体制(对称密码体制或公钥密码体制)，然后从相应的密码体制中选择一个算法，再确定加密工作模式。有时，数据的大小不适合算法的分组需要，则需要填充附加数据。2完整性检测也称消息认证，主要通过信息摘要来实现。相应的机制主要有消息认证码、签名、加密、序列完整性、复制、完整性恢复等。序列完整件检测是为了检测数据项的重放、重排、丢失，一般可通过两种方法来实现：一种是在封装、签名或加密之前，给数据附加一个完整性序列号：另一种是在封装、签名或加密过程个利用数据项上的链产生一个加密链。3信息否认有两种情况：起源的否认和传递的否认。前者的目的是否认产生特定的数据和／或产生数据的时间：后者的目的是否认传递特定的数据和/或传递数据的时间。抗起源否认可以来用如下机制：(1)发送者签名：发送者本地签署数据项并将签名与相应的数据一起传递给接收者，接收者收到后验证数字签名并保存签名。若以后发生发送者否认数据项起源的事件，接收者可以出示保存的数字签名作为证据。(2)可信第三方签名：可以用可信第三方的数字签名代替发起者自己的签名。此时可信第三方被看成了发起者的担保。发起者传递数据项给可信第三方，可信第三方对数据项、发起者身份以及其他必要的信息(如时间戳)产生一个数宁签名，传送给接收者用于验证和保存证据。4抗传递否认可以来用如下机制：(1)接收者签名确认：接收者对接收到的信息或内容摘要及其他必要的信息进行签名，作为确认信息回复发送者。(2)可信传递代理确认：为了防止接收者收到信息之后否认，可以采用可信的第三方作为传递代理介入发送者与接收者的通信线路中。当发送者发送的数据项经过传递代理时，由它生成签名确认收到的消息。一般情况下传递代理只有在消息到达接收者才会生成签名确认。5信息在网络中传输时，发送方、接收方、可信第三方及敌方的关系如图示.6加密、认证和签名流程7加密位置在通信网络中加密，首先要知道哪些数据需要加密以及在网络的哪些环节进行加密。根据加密物理位置的不同，可以分为端-端加密和链路加密。链路加密是指每个易受攻击的链路两端都使用加密设备进行加密，下图中加密机A和加密机B之间的加密就是链路加密。链路加密中整条链路上的传输都是安全的。但链路加密也有缺点,数据报每进入一个分组交换机后都需要解密，因为交换机必须读取数据报报头中的地址以便为数据报选择路由，这样，在交换机中数据报易受攻击。链路加密时，每一链路两端的一对节点都应该共享一个密钥，不同结点对共享不同的密钥。因而需要提供很多密钥，每个密钥仅仅分配给一对节点。8端-端加密是指仅在一对用户的通信线路两端进行加密，下图中客户终端A和客户终端B或者客户终端A和服务器A间的加密都属于端-端加密。瑞-端加密数据是以加密的形式从源结点通过网络传送到目标结点，目标结点用与源结点共享的密钥对数据解密。所以，端-端加密可以防止对网络上链路和交换机的攻击。端-端加密还能提供一定程度的认证，因为源结点与目标结点共享同一密钥，因而目标结点相信收到的数据是源结点传送来的。9加密位置10根据在网络中加密逻辑层次的不同，可分为链路层加密、网络层加密、会话层加密和应用层加密。链路层加密主要采用流密码技术，在链路层加密与通信链路关系密切，因此通用性差；网络层加密和会话层加密类似，都以分组加密算法为主，其典型的协议分别是IPsec和SSL，在第13章“网络安全协议”专门介绍；应用层加密则与应用关系密切，如邮件加密协议PGP、电子商务安全协议SET等，将在第15章“应用安全”中介绍.11六、密码管理1999年10月7日，第273号国务院令，颁布了《商用密码管理条例》。目的：加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益。管理方式：商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。管理机构：国家密码管理委员会及其办公室。12六、密码管理第六章密码应用与密钥管理科研、生产、销售和使用商用密码的科研、生产、销售由国家密码管理机构指定的单位承担。任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，须经国家密码管理机构批准；外国驻华外交代表机构、领事机构除外。13六、密码管理第六章密码应用与密钥管理商用密码产品的科研、生产，要有符合安全、保密要求的环境。销售、运输、保管商用密码产品，应当采取相应的安全措施。从事商用密码产品的科研、生产和销售以及使用商用密码产品的单位和人员，必须对所接触和掌握的商用密码技术承担保密义务。宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准。14六、密码管理第六章密码应用与密钥管理产生密钥1、密钥长度与密钥空间2、好密钥与弱密钥好密钥：自动处理设备产生的随机的位串弱密钥：特定的密钥比其他密钥的安全性差。公开密钥算法：产生密钥更加困难对付字典攻击15六、密码管理第六章密码应用与密钥管理传输密钥密钥加密密钥：加密其他需要分发的密钥；手工分法数据密钥(会话密钥)：对信息序列进行加密密钥分发：手工分法；分成不同部分，通过不同信道分发智能卡：密钥的一种媒体16六、密码管理第六章密码应用与密钥管理验证密钥B收到密钥，如何知道是A传送的而不是其他人伪装的？亲自送。信使送：需要相信信使。由密钥加密密钥加密送：只有A才拥有密钥加密密钥。数字签名协议送：相信公开密钥数据库。17六、密码管理第六章密码应用与密钥管理分配密钥对称密码体制：通信前协商密钥，密钥分配复杂（密钥分配中心KDC）公开密码体制：满足数字签名；密钥分配较有效（密钥分配中心KDC管理、分配公开密钥，用户只保留自己的秘密密钥和KDC的公开密钥）18第六章密码应用与密钥管理更新密钥1、密钥分发：困难2、密钥更新：使用单向函数，旧新密钥，存储密钥1、存脑中，而不是系统中2、智能卡中3、ROM密钥+终端密钥=完整密钥4、密钥分享。多人分别存储19第六章密码应用与密钥管理密钥有效期1、使用时间越长，泄露机会越大，破译的诱惑越大2、密钥泄露时间越长，损失越大3、同一密钥加密，密码分析更容易主密钥有效期长；会话密钥有效期短；加密保存数据文件的密钥不能经常变换（每个文件用一个密钥加密，所有密钥用密钥加密密钥加密）；用作数字签名和身份鉴别的私人密钥有效期长。20密码分类第六章密码应用与密钥管理从网络应用来看，密钥一般分为以下几类：基本密钥、会话密钥、密钥加密密钥和主机密钥等。21密钥长度的选择原则密钥长度的选择与加密数据的重要性和保密期限有关。当加密算法除穷举外无其他破译捷径时，密钥长度和每秒可实现的搜索密钥数决定了密码体制的安全性。当密钥的长度为n比特时，有2n个可能的穷举对象。密钥搜索速度由计算资源决定。1991年cryptogia杂志第3期报导，用当时的技术，5年内可做出400万密钥砂的ASIC芯片，10年内可做出256亿密钥/秒的AsIc芯片。若用4000个256亿密钥渺的AsIc芯片，则56比特密钥的DES可在一天内破译。若用80万个这类芯片，则64比特密钥的算法可在一天内破译。1999年1月RSA数据安全会议期间，电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥。密钥长度的选择与破译的代价有关。也与具体的应用有关，如数据的重要性、保密期限的长短、破译者的计算能力大小等。目前，长度在128比特以上的密钥是安全的。22密钥的产生和装入密钥的产生必须考虑具体密码体制的公认的限制。网络系统中加密需要大量的密钥，以分配给各主机、节点和用户。产生好的密钥是非常重要的。可以用手工的方法，也可以用密钥产生器产生密钥。用密钥产生器产生密钥不仅可以减轻繁琐的劳动，而且可以消除人为的差错。23密钥的装入情况(1)主机主密钥的装入：主密钥由可信赖的保密员在非常安全的条件下装入主机，一旦装入，就不能读取。输入环境要防电磁辐射、防窜扰、防人为出错。并且要用可靠的算法检验证实装入的密钥是否正确。(2)终端主密钥的装入：可由保密员在安全的条件下装入，也可以用专用的密钥注入设备装入，以后不能读取。同样要验证装入密钥的正确性。(3)会话密钥的获取：如主机与某终端通信，主机产生会话密钥，以相应的终端主密钥对其进行加密，将加密结果送给相应的终端，终端收到后，解密得到会话密钥。24对称密码体制的密钥分配在局部网络中，每对用户可以共享一个密钥，如图所示。两个用户A和B要建立会话密钥，须经过以下3步：(1)A向B发出建立会话密钥的请求和一个一次性随机数N1;(2)D用与A共享的主密钥对应答的消息加密，并发送给A,应答的消息中包含B选取的会话密钥、B的身份、f(N1)和另一个一次性随机数N2；(3)A用新建立的会话密钥加密f(N2)并发送给B25在大型网络中，不可能每对用户共享一个密钥。因此采用中心化密钥分配方式，由一个可信赖的联机服务器作为密钥分配中心(KDC)来实现，图示的是中心化密钥管理方式的一个实例。26用户A和B要建立共享密钥，可以采用如下5个步骤；(1)A向KDC发出会话密钥请求。该请求由两个数据项组成，一是A与B的身份；二是一次性随机数N1。(2)KDC为A的请求发出应答。应答是用A与KDC的共享主密钥加密的，因而只有A能解密这一消息，并确信消息来自KDC。消息中包含A希望得到的一次性会话密钥Ks以及A的请求，还包括一次性随机数N1。因此A能验证自己的请求没有被篡改，并通过一次性随机数N1可知收到的应答不是过去的应答的重放。消息中还包含A要转发给B的部分，这部分包括一次性会话密钥Ks和A的身份。它们是用B与KDC的共享主密钥加密的。(3)A存储会话密钥，并向B转发从KDC的应答中得到的应该转发给B的部分。B收到后，可得到会话密钥Ks，从A的身份知会话的另一方为A。(4)B用会话密钥Ks加密另一个一次性随机数N2，并将加密结果发送给A。(5)A用会话密钥Ks加密f(N2)，并将加密结果发送给B。27公钥密码体制的密钥分配当A要与B通信时，A产生一对公钥、私钥对，并向B发送产生的公钥和A的身份。B收到A的消息后，产生会话密钥Ks，用产生的公钥加密后发送给A。A用私钥解密得到会话密钥Ks。此时，A和B可以用会话密钥Ks进行保密通信。A销毁此次产生的公钥、私钥对，B销毁从A得到的公钥。这个方法虽然简单，但易受敌手的攻击。28下面介绍一种具有保密性和认证性的分配方法。假定A和B已完成公钥交换，则(1)A用B的公钥加密A的身份和一个一次性随机数N1后发给B;(2)B解密得N1，并用A的公钥加密N1和另一个一次性随机数N2后发给A;(3)A用B的公钥加密N2后发给B;(4)A选一个会话密钥Ks，用A的私钥加密后再用B的公钥加密，发送给B：(5)B用A的公钥和B的私钥解密得Ks。29密钥托管密钥托管密码系统是具有备份解密能力的密码系统，它允许授权者在特定的条件下，借助于一个以上持有专用数据恢复密钥的、可信赖的委托方所提供的信息来解密密文。数据恢复密钥不同于通常的加解密密钥，但由它们可以恢复加解密密钥。密钥托管技术提供了一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复出自己的密钥。一个密钥托管系统由用户安全组件USC、密钥托管组件KEC和数据恢复组件DRC三个部分组成，如图所示。USC使用密钥K加密明文数据，并把数据恢复域DRF联接到密文上；DRC则利用KEC提供的信息和包含于数据恢复域DRF中的信息恢复出明文。3031用户安全组件USCUSC是硬件设备或软件程序，用于加密和解密，同时也支持密钥托管功能。USC可以用于通信，法律执行机构在获得法庭的授权后采用应急解密介入通信，即所谓的搭线窃