11第十一二讲-密钥管理技术

1上讲主要内容哈希函数的简介哈希函数算法举例(SHA-1)哈希函数的安全性口令的安全性消息认证数字签名第十一二讲密钥管理技术主讲人：谷利泽Email：glzisc@bupt.edu.cnTel:010-622840093主要内容密钥管理的简介密钥的生命周期密钥分配密钥协商数字(公钥)证书密钥分割4引言密钥是密码系统中的可变部分。现代密码体制要求密码算法是可以公开评估的，整个密码系统的安全性并不取决对密码算法的保密，而是由密钥的保密性决定的。也就是说，在考虑密码系统的设计及其应用时，需要解决的核心问题是密钥管理问题，而不是密码算法问题，密钥管理是密码学许多技术（如机密性、实体身份验证、数据源认证、数据完整性和数据签名等）的基础，在整个密码系统中是极其重要的，密钥的管理水平直接决定了密码的应用水平。历史表明：从密钥管理途径窃取秘密要比单纯从破译密码算法窃取秘密所花费的代价要小得多。5含义(一)密钥管理就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序。密钥管理是密码学的一个重要分支，也是密码学最重要、最困难的部分，在一定的安全策略指导下完成密钥从产生到最终销毁的整个过程，包括密钥的生成、存储、分配和协商、使用、备份/恢复、更新、撤销和销毁等。微观的角度，侧重技术6密钥管理是一门综合性的系统工程，要求管理与技术并重，除了技术性的因素外，还与人的因素密切相关，包括密钥管理相关的行政管理制度和密钥管理人员的素质。密码系统的安全强度总是取决于系统最薄弱的环节（木桶原理），因此，再好的技术，如果失去了必要管理的支持，终将使技术毫无意义。管理能够通过健全相应的制度以及加强对人员的教育、培训来解决。含义(二)宏观的角度，侧重管理目的对密钥实施有效的管理，保证密钥的”绝对”安全或实际安全;（安全性）保证密码系统对密钥的使用需求，并能及时维护和保障密钥。（可用性）78原则明确密钥管理的策略和机制全面安全原则最小权利原则责任分离原则策略是密钥管理系统的高级指导，而机制是实现和执行策略的技术机构和方法。必须在密钥的产生、存储、分发、装入、使用、备份、更换和销毁等全过程中对密钥采取妥善的安全管理。只分配给用户进行某一事务处理所需的最小密钥集合。一个密钥应当专职一种功能，不要让一个密钥兼任几种功能。9原则(续)密钥分级原则密钥更换原则密钥应有足够的长度密钥体制不同，密钥管理也不相同对于一个大的系统，所需要的密钥的种类和数量都很多，根据密钥的职责和重要性，把密钥划分为几个级别。密钥必须按时更换。否则，即使采用很强的密码算法，只要攻击者截获足够多的密文，密钥被破译的可能性就非常大。密码安全的一个必要条件是密钥有足够的长度。由于传统密码体制与公开密钥密码体制是性质不同的两种密码，因此它们在密钥管理方面有很大的不同。密钥分级的引言密钥的建立是有代价的，包括条件、资源、时间等因素。密钥的应用越多，安全的威胁就越大。1011典型的密钥层次结构主密钥主密钥密钥加密密钥会话密钥会话密钥加密解密密钥加密密钥密文明文明文对应于层次化密钥结构中的最高层次，它是对密钥加密密钥进行加密的密钥，主密钥应受到严格的保护。一般是用来对传输的会话密钥进行加密时采用的密钥。密钥加密密钥所保护的对象是实际用来保护通信或文件数据的会话密钥。在一次通信或数据交换中，用户之间所使用的密钥，是由通信用户之间进行协商得到的。它一般是动态地、仅在需要进行会话数据加密时产生，并在使用完毕后立即进行清除掉的，也称为数据加密密钥。12密钥的生命周期密钥生成密钥使用密钥恢复密钥销毁单方多方密钥建立协议对方密钥备份密钥更新密钥撤销密钥存档13密钥状态使用前状态使用状态使用后状态过期状态密钥不能用于正常的密码操作，处于准备阶段。密钥是可用的，并处于正常使用中。密钥不再正常使用，但为了某种目的对其进行离线访问是可行。密钥不再使用，所有的密钥记录已被删除。14密钥的生命周期生成存储建立(分配和协商)使用备份/恢复更新存档/撤销/销毁15密钥生成密钥的长度与产生机制直接影响密码系统的安全，对于一个密码系统，如何产生好的密钥是很关键的，密钥生成是密钥生命周期的基础阶段。密钥的生成一般首先通过密钥生成器借助于某种随机源产生具有较好统计分析特性的序列，以保障生成密钥的随机性和不可预测性，然后再对这些序列进行各种随机性检验以确保其具有较好的密码特性。用户可以自己生成所需的密钥，也可以从可信中心或密钥管理中心申请，密钥长度要适中，但至少能够抵御穷举攻击。不同的密码体制或密钥类型，其密钥的具体生成方法一般是不相同的，与相应的密码体制或标准相联系。随机数的使用密钥的产生公钥密码算法，包括密钥对的生成，加解密算法等数字签名/验证算法密码协议。。。。。。16随机数的特点均匀分布：数列中每个数出现的频率应相等或近似相等；独立性：数列任意一数都不能由其它数推出。17备注：目前实际应用中所需的随机数都借助于安全的密码算法来产生的，但由于算法是确定性的，因此，严格上讲，产生的数列不是随机的，然而如果算法设计得好，产生的数列就能通过各种随机性检验，这种数就是伪随机数。ANSIX9.17的伪随机数产生器18EDEEDEEDE++K1,K2DTiViRiVi+1三重DES当前的日期和时间，64比特初值可任意设定，以后每次自动更新密钥，需保密且不能作其它用途64比特的伪随机数64比特的新种子评价本方案具有非常高的密码强度，这是因为采用了112比特长的密钥和9个DES加密，同时还由于算法是由两个伪随机数输入驱动，一个是当前的日期和时间，另一个是算法上次产生的新种子。而且即使某次产生的伪随机数Ri泄露了，但由于Ri又经一次EDE加密才产生新种子Vi+1，所以别人即使得到Ri也得不到Vi+1，从而得不到新伪随机数Ri+1。1920密钥存储密钥的安全存储实际上是针对静态密钥的保护；如果密钥不是在使用时临时实时产生并一次使用，则必然要经历存储的过程。其目的是确保密钥的秘密性、真实性以及完整性。重要密钥的保护常有两种方法：基于口令的软保护；文件形式或使用确定算法来保护密钥。基于硬件的物理保护；存入专门密码装置中(如ICCard、USBKey、加密卡等)。安全可靠的存储介质是密钥安全存储的物质条件，安全严密的访问控制是密钥安全存储的管理条件。UsbKey简介USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USBKey内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性，另外，USBKey的使用受PIN码保护。USBKey产品最早是由加密锁厂商提出来的，原先的USB加密锁主要用于防止软件破解和复制，保护软件不被盗版，而USBKey的目的不同，USBKey主要用于网络认证，锁内主要保存数字证书和用户私钥。目前工行的USBKey产品为“U盾”，招行的USBKey产品为“友Key”。21OCLKey的简介OCLKey从硬件形态上增加了一个物理按键，当需要使用USBKey内私钥进行签名时，就会启动按键等待操作。在有效时限内(用户可以自行设定时限长短)按下物理按键后签名才能成功，否则签名操作失败。即使USBKey的密码被人截取，木马程序发起一个非法的交易申请，由于无法进行物理上的按键操作致使整个交易不能进行下去。更重要的是这种实现方式对银行端没有任何影响，只需改变的是用户的操作习惯。22操作控制列表23密钥的使用利用密钥进行正常的密码操作，如加密、解密、签名、验证等，通常情况下，密钥在有效期之内都可以使用。应注意使用环境对密钥安全性的影响。密钥安全使用的原则是不允许密钥以明文的形式出现在密钥设备之外。通常使用智能卡来实现，但成本高，性能低。24密钥备份指密钥处于使用状态时的短期存储，为密钥的恢复提供密钥源。要求安全方式存储密钥，并且具有不低于正在使用的密钥的安全控制水平，不同的密钥，其备份的手段和方式差别较大。注：如果密钥过了使用有效期，密钥将进入存档阶段或销毁阶段。25密钥恢复当密钥因为人为的操作错误或设备发生故障时可能发生丢失和损坏，因此任何一种密码设备应当具有密钥恢复的措施。从备份或存档中获取密钥的过程称为密钥恢复。若密钥丧失但未被泄漏，就可以用安全方式从密钥备份中恢复。密钥恢复措施需要考虑恢复密钥的效率问题，能在故障发生后及时恢复密钥。26密钥的更新以下情况需要进行更新：密钥有效期结束；已知或怀疑密钥已泄漏；通信成员中有人提出更新密钥。更新密钥应不影响信息系统的正常使用，密钥注入必须在安全环境下进行并避免外漏。现用密钥和新密钥同时存在时应处于同等的安全保护水平下。更换下来的密钥一般情况下应避免再次使用，除将用于归档的密钥及时采取有效的保护措施以外应及时进行销毁处理。常用的更新方法利用密钥建立协议，重新生成新的密钥；利用已有的密钥，产生新的密钥。好处：效率高；安全要求：新密钥泄露不涉及已有密钥的安全。(前向安全)举例：27原密钥新密钥Hash原密钥新密钥Hash28密钥的存档/撤销/销毁密钥撤销：若密钥丢失或在密钥过期之前，需要将它从正常使用的集合中删除，密钥将进入存档阶段或销毁阶段。密钥存档：当密钥不再正常时，需要对其进行存档，以便在某种情况下特别需要时（如解决争议）能够对其进行检索。存档是指对过了有效期的密钥进行长期的离线保存，密钥的后运行阶段工作。密钥销毁：对于不再需要保留密钥及其相关联的内容，将清除所有与其相关的痕迹。密钥安全审计密钥管理中的安全审计是对在密钥的生存期中对密钥进行的各种操作及相关事件进行记录，以便及时发现问题，在事故发生后跟踪事故线索，追究事故责任。密码安全审计记录应包括：实施密钥管理和操作的人员、时间；对密钥管理和操作的内容；存放密钥的载体及标志；可能泄露密钥的行为及涉及密钥安全的事件。密钥的安全审计记录不应包含密钥本身，但可以包含其校验值。安全审计记录应有防止非授权修改和销毁的安全措施。29密钥建立分配协商3031密钥分配的简介密钥分配就是一种机制，通过这种机制，通信双方中的一方或密钥分配中心选取一个秘密密钥，然后将其传送给通信双方中的另一方。密钥分配技术是在不让其他人（除密钥分配中心）看到密钥的情况下将一个密钥传递给希望交换数据的双方的方法。为防止攻击者得到密钥，必须时常更新密钥，密码系统的强度依赖于密钥分配技术。目的安全重要32密钥分配的基本方法如果A、B事先已拥有相同的密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方。如果A和B与第三方C分别有一保密信道，则C为A、B选取新密钥后，其中一方把新密钥安全传送给另一方。如果A、B事先有自己的私钥，则其中一方选取新密钥，利用PKI技术实现新密钥安全传送。无中心有中心基于证书33A向B发出建立会话密钥的请求和一个一次性随机数N1。B用与A共享的密钥对应答的消息加密，并发给A，应答的消息中包括B选取的会话密钥、B的身份，f(N1)和另一个一次性随机数N2。A用新建立的会话密钥加密f(N2)并发送给B。无中心的密钥分配模式前提条件：通信双方有共享密钥。AB问题：为什么分配密钥需要随机数？34无中心密钥分配方法的分析如果所有用户都要求支持加密服务，则任意一对希望通信的用户都必须有一共享密钥。如果有n个用户，每个用户需要存储n-1个密钥，这对每个用户都是一个沉重的负担，另，密钥数目为n(n-1)/2，密钥分配也是一个难题。建立一个负责为用户分配密钥的密钥分配中心，这时每一用户必须和密钥分配中心有一个共享密钥，称为主密钥。通过主密钥分配给一对用户的密钥称为会话密钥，用于这一对用户之间的保密通信。通信完成后，会话密钥即被销毁。如上所述，如果用户数为n，则会话密钥数为n(n-1)/2，但主密钥数却只需n个。35A存储会话密钥Ks，并向B转发用B与KDC的共享密钥加密的一次性会话密钥Ks和A的身份。KDC为A的请求发出应答。应答内容