密钥管理与密钥分配现代密码学

1密钥管理与密钥分配《现代密码学》第10章2本章主要内容1、单钥加密体制的密钥分配2、公钥加密体制的密钥管理3、密钥托管习题31.1密钥分配的基本方法两个用户（主机、进程、应用程序）在用单钥密码体制进行保密通信时，首先必须有一个共享的秘密密钥，而且为防止攻击者得到密钥，还必须时常更新密钥。因此，密码系统的强度也依赖于密钥分配技术。1.单钥加密体制的密钥分配4两个用户A和B获得共享密钥的方法有以下几种：①密钥由A选取并通过物理手段发送给B。②密钥由第三方选取并通过物理手段发送给A和B。③如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方。④如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。密钥分配的基本方法5前两种方法称为人工发送。在通信网中，若只有个别用户想进行保密通信，密钥的人工发送还是可行的。然而如果所有用户都要求支持加密服务，则任意一对希望通信的用户都必须有一共享密钥。如果有n个用户，则密钥数目为n(n-1)/2。因此当n很大时，密钥分配的代价非常大，密钥的人工发送是不可行的。密钥分配的基本方法6对于第3种方法，攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户分配初始密钥时，代价仍然很大。密钥分配的基本方法7第4种方法比较常用，其中的第三方通常是一个负责为用户分配密钥的密钥分配中心。这时每一用户必须和密钥分配中心有一个共享密钥，称为主密钥。通过主密钥分配给一对用户的密钥称为会话密钥，用于这一对用户之间的保密通信。通信完成后，会话密钥即被销毁。如上所述，如果用户数为n，则会话密钥数为n(n-1)/2。但主密钥数却只需n个，所以主密钥可通过物理手段发送。密钥分配的基本方法8下图是密钥分配的一个实例。假定两个用户A、B分别与密钥分配中心KDC(keydistributioncenter)有一个共享的主密钥KA和KB，A希望与B建立一个共享的一次性会话密钥，可通过以下几步来完成：1.2密钥分配实例9密钥分配实例10①A向KDC发出会话密钥请求。表示请求的消息由两个数据项组成，第1项是A和B的身份，第2项是这次业务的惟一识别符N1，称N1为一次性随机数，可以是时戳、计数器或随机数。每次请求所用的N1都应不同，且为防止假冒，应使敌手对N1难以猜测。因此用随机数作为这个识别符最为合适。密钥分配实例分析11②KDC为A的请求发出应答。应答是由KA加密的消息，因此只有A才能成功地对这一消息解密，并且A可相信这一消息的确是由KDC发出的。消息中包括A希望得到的两项内容：一次性会话密钥KS；A在①中发出的请求，包括一次性随机数N1，目的是使A将收到的应答与发出的请求相比较，看是否匹配。因此A能验证自己发出的请求在被KDC收到之前，是否被他人篡改。而且A还能根据一次性随机数相信自己收到的应答不是重放的过去的应答。密钥分配实例分析12此外，消息中还有B希望得到的两项内容：一次性会话密钥KS；A的身份（例如A的网络地址）IDA。这两项由KB加密，将由A转发给B，以建立A、B之间的连接并用于向B证明A的身份。密钥分配实例分析13③A存储会话密钥，并向B转发EKB[KS‖IDA]。因为转发的是由KB加密后的密文，所以转发过程不会被窃听。B收到后，可得会话密钥KS，并从IDA可知另一方是A，而且还从EKB知道KS的确来自KDC。密钥分配实例分析14这一步完成后，会话密钥就安全地分配给了A、B。然而还能继续以下两步工作：④B用会话密钥KS加密另一个一次性随机数N2，并将加密结果发送给A。⑤A以f(N2)作为对B的应答，其中f是对N2进行某种变换（例如加1）的函数，并将应答用会话密钥加密后发送给B。这两步可使B相信第③步收到的消息不是一个重放。注意：第③步就已完成密钥分配，第④、⑤两步结合第③步执行的是认证功能。密钥分配实例分析15网络中如果用户数目非常多而且分布的地域非常广，一个KDC就无法承担为用户分配密钥的重任。问题的解决方法是使用多个KDC的分层结构。例如，在每个小范围（如一个LAN或一个建筑物）内，都建立一个本地KDC。同一范围的用户在进行保密通信时，由本地KDC为他们分配密钥。如果两个不同范围的用户想获得共享密钥，则可通过各自的本地KDC，而两个本地KDC的沟通又需经过一个全局KDC。这样就建立了两层KDC。类似地，根据网络中用户的数目及分布的地域，可建立3层或多层KDC。1.3密钥的分层控制16分层结构可减少主密钥的分布，因为大多数主密钥是在本地KDC和本地用户之间共享。再者，分层结构还可将虚假KDC的危害限制到一个局部区域。17会话密钥更换得越频繁，系统的安全性就越高。因为敌手即使获得一个会话密钥，也只能获得很少的密文。但另一方面，会话密钥更换得太频繁，又将延迟用户之间的交换，同时还造成网络负担。所以在决定会话密钥的有效期时，应权衡矛盾的两个方面。1.4会话密钥的有效期18对面向连接的协议，在连接未建立前或断开时，会话密钥的有效期可以很长。而每次建立连接时，都应使用新的会话密钥。如果逻辑连接的时间很长，则应定期更换会话密钥。19无连接协议（如面向业务的协议），无法明确地决定更换密钥的频率。为安全起见，用户每进行一次交换，都用新的会话密钥。然而这又失去了无连接协议主要的优势，即对每个业务都有最少的费用和最短的延迟。比较好的方案是在某一固定周期内或对一定数目的业务使用同一会话密钥。20用密钥分配中心为用户分配密钥时，要求所有用户都信任KDC，同时还要求对KDC加以保护。如果密钥的分配是无中心的，则不必有以上两个要求。然而如果每个用户都能和自己想与之建立联系的另一用户安全地通信，则对有n个用户的网络来说，主密钥应多达n(n-1)/2个。当n很大时，这种方案无实用价值，但在整个网络的局部范围却非常有用。1.5无中心的密钥控制21无中心的密钥分配时，两个用户A和B建立会话密钥需经过以下3步，见下图：①A向B发出建立会话密钥的请求和一个一次性随机数N1。②B用与A共享的主密钥MKm对应答的消息加密，并发送给A。应答的消息中有B选取的会话密钥、B的身份、f(N1)和另一个一次性随机数N2。③A使用新建立的会话密钥KS对f(N2)加密后返回给B。22无中心的密钥分配23密钥可根据其不同用途分为会话密钥和主密钥两种类型，会话密钥又称为数据加密密钥，主密钥又称为密钥加密密钥。由于密钥的用途不同，因此对密钥的使用方式也希望加以某种控制。如果主密钥泄露了，则相应的会话密钥也将泄露，因此主密钥的安全性应高于会话密钥的安全性。一般在密钥分配中心以及终端系统中主密钥都是物理上安全的，如果把主密钥当作会话密钥注入加密设备，那么其安全性则降低。1.6密钥的控制使用24单钥体制中的密钥控制技术有以下两种。(1)密钥标签用于DES的密钥控制，将DES的64比特密钥中的8个校验位作为控制使用这一密钥的标签。标签中各比特的含义为：一个比特表示这个密钥是会话密钥还是主密钥；一个比特表示这个密钥是否能用于加密；一个比特表示这个密钥是否能用于解密；其他比特无特定含义，留待以后使用。密钥的控制使用25由于标签是在密钥之中，在分配密钥时，标签与密钥一起被加密，因此可对标签起到保护作用。本方案的缺点：第一，标签的长度被限制为8比特，限制了它的灵活性和功能；第二，由于标签是以密文形式传送，只有解密后才能使用，因而限制了对密钥使用的控制方式。密钥的控制使用26(2)控制矢量这一方案比上一方案灵活。方案中对每一会话密钥都指定了一个相应的控制矢量，控制矢量分为若干字段，分别用于说明在不同情况下密钥是被允许使用还是不被允许使用，且控制矢量的长度可变。控制矢量是在KDC产生密钥时加在密钥之中的，过程由下图所示。密钥的控制使用27首先由一杂凑函数将控制矢量压缩到与加密密钥等长，然后与主密钥异或后作为加密会话密钥的密钥，即其中CV是控制矢量，h是杂凑函数，Km是主密钥，KS是会话密钥。会话密钥的恢复过程如下图所示，表示为:minmoutKHSHhCVKKHKEK[[]]mmsKHKHSKDEK密钥的控制使用28控制矢量的使用方式29KDC在向用户发送会话密钥时，同时以明文形式发送控制矢量。用户只有使用与KDC共享的主密钥以及KDC发送来的控制矢量才能恢复会话密钥，因此还必须保留会话密钥和它的控制矢量之间的对应关系。密钥的控制使用30与使用8比特的密钥标签相比，使用控制矢量有两个优点:第一，控制矢量的长度没有限制，因此可对密钥的使用施加任意复杂的控制;第二，控制矢量始终是以明文形式存在，因此可在任一阶段对密钥的使用施加控制。密钥的控制使用31前面介绍了单钥密码体制中的密钥分配问题，而公钥加密的一个主要用途是分配单钥密码体制使用的密钥。本节介绍两方面内容：一是公钥密码体制所用的公开密钥的分配，二是如何用公钥体制来分配单钥密码体制所需的密钥。2.公钥加密体制的密钥管理32本小节讲述公钥的分配方法。1.公开发布公开发布指用户将自己的公钥发给每一其他用户，或向某一团体广播。例如PGP（prettygoodprivacy）中采用了RSA算法，它的很多用户都是将自己的公钥附加到消息上，然后发送到公开（公共）区域，如因特网邮件列表。2.1公钥的分配33这种方法虽然简单，但有一个非常大的缺点，即任何人都可伪造这种公开发布。如果某个用户假装是用户A并以A的名义向另一用户发送或广播自己的公开钥，则在A发现假冒者以前，这一假冒者可解读所有意欲发向A的加密消息，而且假冒者还能用伪造的密钥获得认证。公钥的发布342.公用目录表公用目录表指一个公用的公钥动态目录表，公用目录表的建立、维护以及公钥的分布由某个可信的实体或组织承担，称这个实体或组织为公用目录的管理员。与第1种分配方法相比，这种方法的安全性更高。该方案有以下一些组成部分：①管理员为每个用户都在目录表中建立一个目录，目录中有两个数据项:一是用户名，二是用户的公开钥。②每一用户都亲自或以某种安全的认证通信在管理者那里为自己的公开钥注册。公钥的目录表35③用户如果由于自己的公开钥用过的次数太多或由于与公开钥相关的秘密钥已被泄露，则可随时用新密钥替换现有的密钥。④管理员定期公布或定期更新目录表。例如，像电话号码本一样公布目录表或在发行量很大的报纸上公布目录表的更新。⑤用户可通过电子手段访问目录表，这时从管理员到用户必须有安全的认证通信。公钥的目录表36本方案的安全性虽然高于公开发布的安全性，但仍易受攻击。如果敌手成功地获取管理员的秘密钥，就可伪造一个公钥目录表，以后既可假冒任一用户又能监听发往任一用户的消息。而且公用目录表还易受到敌手的窜扰。公钥的目录表373.公钥管理机构如果在公钥目录表中对公钥的分配施加更严密的控制，安全性将会更强。与公用目录表类似，这里假定有一个公钥管理机构来为各用户建立、维护动态的公钥目录，但同时对系统提出以下要求，即：每个用户都可靠地知道管理机构的公开钥，而只有管理机构自己知道相应的秘密钥。公开钥的分配步骤如下，如下图：38公钥管理机构分配公钥39①用户A向公钥管理机构发送一个带时戳的消息，消息中有获取用户B的当前公钥的请求。②管理机构对A的请求作出应答，应答由一个消息表示，该消息由管理机构用自己的秘密钥SKAU加密，因此A能用管理机构的公开钥解密，并使A相信这个消息的确是来源于管理机构。公钥管理机构分配公钥40应答的消息中有以下几项：B的公钥PKB，A可用之对将发往B的消息加密；A的请求，用于A验证收到的应答的确是对相应请求的应答，且还能验证自己最初发出的请求在被管理机构收到以前是否被篡改；最初的时戳，以使A相信管理机构发来的消息不是一个旧消息，因此消息中的公开钥的确是B当前的公钥。公钥管理机构分配公钥41③A用B的公开钥对一个消息加密后发往B，这个消息有两个数据项:一是A的身份IDA，二是一个一次性随机数N1，用于惟一地标识这次业务。④B以相同方式从管理机构获取A的公开钥（与步骤①、②类似）。这时，A和B都