信息安全课件(2010)4-2密钥管理

《信息安全课件(2010)4-2密钥管理》由会员分享，可在线阅读，更多相关《信息安全课件(2010)4-2密钥管理（14页珍藏版）》请在金锄头文库上搜索。

1、1 密钥管理密钥管理 主讲人：裴士辉主讲人：裴士辉 e_mail: shihui_pei 电话：电话：13694302598 密钥管理密钥管理 ?所有的密码技术都依赖于密钥。所有的密码技术都依赖于密钥。 ?密钥的管理本身是一个很复杂的课题，而且是保证安全 性的关键点。 密钥的管理本身是一个很复杂的课题，而且是保证安全 性的关键点。 ?密钥管理方法因所使用的密码体制（对称密码体制和公 钥密码体制）而异 密钥管理方法因所使用的密码体制（对称密码体制和公 钥密码体制）而异。 2 密钥类型密钥类型 ?基本密钥（基本密钥（Base Key） 又称初始密钥（ ） 又称初始密钥（ Primary Key)

2、， 用户密钥， 用户密钥(User key)， 是由用户选定或由系统分配给用户的，可在较长时间（相对于 会话密钥）内由一个用户所专用的密钥。 ， 是由用户选定或由系统分配给用户的，可在较长时间（相对于 会话密钥）内由一个用户所专用的密钥。 ?会话密钥（会话密钥（Session Key） 即两个通信终端用户在一次通话或交换数据时使用的密钥。 ） 即两个通信终端用户在一次通话或交换数据时使用的密钥。 文件密钥文件密钥(File key)：用于加密文件；：用于加密文件； 数据加密密钥数据加密密钥(Data Encrypting Key)：用于加密数据。：用于加密数据。 密钥类型密钥类型 ?密钥加密密

3、钥（密钥加密密钥（Key Encrypting Key） 用于对会话密钥或文件密钥进行加密时采用的密钥。又称辅助 （二级）密钥 ） 用于对会话密钥或文件密钥进行加密时采用的密钥。又称辅助 （二级）密钥(SecondaryKey)或密钥传送密钥或密钥传送密钥(key Transport key)。通信网中的每个节点都分配有一个这类密 钥。 。通信网中的每个节点都分配有一个这类密 钥。 ?主机主密钥（主机主密钥（Host Master Key） 它是对密钥加密密钥进行加密的密钥，存于主机中。 ） 它是对密钥加密密钥进行加密的密钥，存于主机中。 ? 在公钥体制下，还有公开密钥、秘密密钥、签名密钥之分

4、。在公钥体制下，还有公开密钥、秘密密钥、签名密钥之分。 3 密钥类型密钥类型 ?将用于数据加密的密钥称将用于数据加密的密钥称三级密钥三级密钥； ?保护三级密钥的密钥称保护三级密钥的密钥称二级密钥二级密钥，也称密钥加密密钥；，也称密钥加密密钥； ?保护二级密钥的密钥称保护二级密钥的密钥称一级密钥一级密钥，也称密钥保护密钥。，也称密钥保护密钥。 ?例如：如用口令保护二级密钥，那么口令就是一级密钥。例如：如用口令保护二级密钥，那么口令就是一级密钥。 所有的密钥都有生存期所有的密钥都有生存期 ?密钥的生存周期：授权使用该密钥的周期。密钥的生存周期：授权使用该密钥的周期。 ?原因：原因： 1.1. 拥有

5、大量的密文有助于密码分析；一个密钥使用得太多 了，会给攻击者增大收集密文的机会； 拥有大量的密文有助于密码分析；一个密钥使用得太多 了，会给攻击者增大收集密文的机会； 2.2. 假定一个密钥受到危及或用一个特定密钥的加密假定一个密钥受到危及或用一个特定密钥的加密/解密过 程被分析，则限定密钥的使用期限就相当于限制危险的 发生。 解密过 程被分析，则限定密钥的使用期限就相当于限制危险的 发生。 4 密钥的生存期密钥的生存期 ?一个密钥主要经历以下几个阶段：一个密钥主要经历以下几个阶段： 1.1. 产生（可能需要登记）产生（可能需要登记） 2.2. 分配分配 3.3. 使用使用 4.4. 更新更新

6、/替换替换 5.5. 撤销撤销 6.6. 销毁销毁 密钥产生密钥产生 ? 手工手工/自动化自动化 ? 选择密钥方式不当会影响安全性选择密钥方式不当会影响安全性 ?使密钥空间减小使密钥空间减小 5 ?差的选择方式易受字典式攻击 攻击者并不按照数字顺序去试所有可能的密钥，首先尝试可 能的密钥，例如英文单词、名字等。（ 差的选择方式易受字典式攻击 攻击者并不按照数字顺序去试所有可能的密钥，首先尝试可 能的密钥，例如英文单词、名字等。（Daniel Klein使用此 法可破译 使用此 法可破译40%的计算机口令）， 方法如下： （ 的计算机口令）， 方法如下： （1）用户的姓名、首字母、帐户名等个人信

7、息 （ ）用户的姓名、首字母、帐户名等个人信息 （2）从各种数据库得到的单词 （ ）从各种数据库得到的单词 （3）数据库单词的置换 （ ）数据库单词的置换 （4）数据库单词的大写置换 （ ）数据库单词的大写置换 （5）对外国人从外国文字试起 （ ）对外国人从外国文字试起 （6）尝试词组）尝试词组 好的密钥的特点好的密钥的特点 ?真正的随机真正的随机 ?避免使用特定算法的弱密钥避免使用特定算法的弱密钥 ?双钥系统的密钥必须满足一定的关系双钥系统的密钥必须满足一定的关系 ?选用易记难猜的密钥选用易记难猜的密钥 ?较长短语的首字母，词组用标点符号分开较长短语的首字母，词组用标点符号分开 ?采用散列函

8、数采用散列函数 6 不同等级的密钥的产生方式不同不同等级的密钥的产生方式不同 ?主机主密钥安全性至关重要，故要保证其完全随机性、不可 重复性和不可预测性。可用投硬币、骰子，噪声发生器等方 法产生 主机主密钥安全性至关重要，故要保证其完全随机性、不可 重复性和不可预测性。可用投硬币、骰子，噪声发生器等方 法产生 ?密钥加密密钥数量大密钥加密密钥数量大(N(N-1)/2),可由机器自动产生可由机器自动产生,安全算法 、伪随机数发生器等产生 安全算法 、伪随机数发生器等产生 ?会话密钥可利用密钥加密密钥及某种算法会话密钥可利用密钥加密密钥及某种算法(加密算法加密算法,单向函数 等 单向函数 等)产生

9、。产生。 X9.17密钥产生密钥产生 其中加密其中加密E EK K(X)(X)表示用密钥对X进行三重DES加密。表示用密钥对X进行三重DES加密。K K是密钥。 V 是密钥。 V0 0是秘密的64位种子。T是时间标记。R是秘密的64位种子。T是时间标记。Ri i是预产生的随机密钥。是预产生的随机密钥。 ( ) ikkii REE TV= 1 ( ) ikkii VEE TR + = 7 密钥交换密钥交换 ?主密钥的分配方式主密钥的分配方式 ?Diffie-Hellman算法算法 主密钥的分配方式主密钥的分配方式 ?利用安全信道实现利用安全信道实现 1.1. 直接面议或通过可靠信使递送直接面议或

10、通过可靠信使递送 2.2. 将密钥分拆成几部分分别传送将密钥分拆成几部分分别传送 8 Diffie-Hellman算法算法 Alice和和Bob协商一个大素数协商一个大素数n和模和模n的本原元的本原元g, n和和g 不用保密。不用保密。 1.Alice选取一个大的随机整数选取一个大的随机整数x,并且发送给并且发送给Bob X=gxmod n 2.Bob选取一个大的随机整数选取一个大的随机整数y,并且发送给并且发送给Alice Y=gymod n 3.Alice计算计算k=Yxmod n=gxymod n 4.Bob 计算计算k=Xymod n=gxymod n 站间协议站间协议 协议假定协议假

11、定Alice和和Bob彼此有对方的公开密钥证书彼此有对方的公开密钥证书 1. Alice产生随机数产生随机数x, 并把并把X=gxmod n 发送给发送给Bob 2. Bob产生随机数产生随机数y, 计算计算k=Xymod n=gxymod n，并发送给，并发送给 Alice如下消息：如下消息： Y=gymod n , Ek(Sskb(X,Y) 3. Alice也计算也计算k. 她对她对Bob发送的消息解密，并验证他的签名。 然后发送给 发送的消息解密，并验证他的签名。 然后发送给Bob如下消息：如下消息： Ek(Sska(X,Y) 4. Bob解密消息并验证解密消息并验证Alice的签名的签

12、名 9 三方的三方的Diffie-Hellman算法算法 1.Alice选取一个随机整数选取一个随机整数x, 发送给发送给Bob X=gxmod n 2.Bob 选取一个随机整数选取一个随机整数y, 发送给发送给Carol Y=gymod n 3.Carol 选取一个随机整数选取一个随机整数z, 发送给发送给Alice Z=gzmod n 4.Alice 发送给发送给Bob Z=Zxmod n 5.Bob 发送给发送给Carol X=Xymod n 6.Carol 发送给发送给Alice Y=Yzmod n 7.Alice 计算计算k=(Y)xmod=gxyzmod n 8.Bob 计算计算k

13、=(Z)ymod=gxyzmod n 9.Carol 计算计算k=(X)zmod=gxyzmod n 秘密分割秘密分割 在某些情况下，通常必须由两人或多 人同时参与才能生效，这时都需要将 秘密分给多人掌管，并且必须有一定 人数的掌管秘密的人同时到场才能恢 复这一秘密。 在某些情况下，通常必须由两人或多 人同时参与才能生效，这时都需要将 秘密分给多人掌管，并且必须有一定 人数的掌管秘密的人同时到场才能恢 复这一秘密。 10 秘密分割门限方案秘密分割门限方案 ?threshold schemes 设秘密设秘密s被分成被分成n个部分信息，每一部分信息称为一个 子密钥或影子，由一个参与者持有，使得：

14、由 个部分信息，每一部分信息称为一个 子密钥或影子，由一个参与者持有，使得： 由k个或多于个或多于k个参与者所持有的部分信息可重构个参与者所持有的部分信息可重构s 。 由少于 。 由少于k个参与者所持有的部分信息则无法重构个参与者所持有的部分信息则无法重构s。 则称这种方案为 。 则称这种方案为(k,n) 秘密分割门限方案， 秘密分割门限方案，k称为方案 的门限值。 称为方案 的门限值。 Shamir门限方案门限方案 Shamir门限方案是基于多项式的门限方案是基于多项式的Lagrange插值公式 的。 设 插值公式 的。 设(x1,y1),(xk,yk)是平面上是平面上k个点构成的点集，其中

15、个点构成的点集，其中 xi(i=1,k)均不相同， 那么在平面上存在一个惟一的 均不相同， 那么在平面上存在一个惟一的k-1次多项式次多项式f(x)通过这通过这k 个点。 若把密钥 个点。 若把密钥s取作取作f(0),n个子密钥取作个子密钥取作f(xi)(i=1,2,n)， 那么利用其中的任意 ， 那么利用其中的任意k个子密钥可重构个子密钥可重构f(x)，从而可得 密钥 ，从而可得 密钥s 11 Shamir门限方案：秘密的分割门限方案：秘密的分割 ?设设GF(q)是一有限域，其中是一有限域，其中q是一大素数，满足是一大素数，满足 qn+1,秘密秘密s是在是在GF(q)0上均匀选取的一个随机

16、数，表示为 上均匀选取的一个随机 数，表示为sRGF(q) 0。 ?k-1个系数个系数a1,a2,ak-1的选取也满足的选取也满足 aiRGF(q)0(i=1,2,k-1)。 ?在在GF(q)上构造一个上构造一个k-1次多项式次多项式 f(x)=s+a1x+ak-1 xk-1。 ?n个参与者记为个参与者记为P1,P2,Pn,Pi 分配到的子密钥为分配到的子密钥为f(i)。 Shamir门限方案：秘密的重建门限方案：秘密的重建 ?如果任意如果任意k个参与者 要想得到多项式 个参与者 要想得到多项式f(x)和秘密和秘密s， () 1 12 , 1 k iik PPiiinLL ()( ) 1 11 1(mod ) () kk k l j jl jl lj i sf iq ii = = ( ) 11 () ( )(mod ) () kk l j jl jl lj xi f xf iq ii = = 12 例