物聯(lián)網(wǎng)信息安全-第四章 公鑰密碼技術

物聯(lián)網(wǎng)信息安全1網(wǎng)絡與信息安全網(wǎng)絡與信息安全2/104第四章公鑰密碼技術主要內(nèi)容1公鑰密碼學概述2Diffie-Hellman密鑰交換算法3RSA和ECC4PGP5PKI和密鑰管理網(wǎng)絡與信息安全3/104第四章公鑰密碼技術主要內(nèi)容1公鑰密碼學概述2Diffie-Hellman密鑰交換算法3RSA和ECC4PGP5PKI和密鑰管理網(wǎng)絡與信息安全4/1041公鑰密碼學概述公鑰密碼體制密碼學發(fā)展史上的一次革命手工密碼、機電式密碼、對稱密碼替換和置換公鑰密碼體制數(shù)學中的單向陷門函數(shù)采用兩個不同的密鑰保密通信、密鑰分配、數(shù)字簽名、身份認證網(wǎng)絡與信息安全5/1041公鑰密碼學概述對稱密碼體制的缺點密鑰分配問題共享密鑰加密傳遞會話密鑰手工方式傳遞任兩個用戶需要一個共享密鑰、一個會話密鑰n個用戶需要n(n-1)/2個共享密鑰、n(n-1)/2個會話密鑰緩解方法：密鑰分發(fā)中心（KDC）網(wǎng)絡與信息安全6/1041公鑰密碼學概述對稱密碼體制的缺點密鑰分配問題密鑰分發(fā)中心（KDC）一個用戶與KDC有一個共享密鑰通過共享密鑰從KDC獲取與其他用戶通信的會話密鑰n個用戶KDC只需分發(fā)n個共享密鑰n(n-1)/2個會話密鑰用戶必須信任KDC或密鑰傳遞的信道KDC能解密用戶間通信的內(nèi)容網(wǎng)絡與信息安全7/1041公鑰密碼學概述對稱密碼體制的缺點密鑰分配問題密鑰量大，管理困難安全信道問題密鑰必須通過某一信道協(xié)商，對這個信道的安全性的要求比正常的傳送消息的信道的安全性要高數(shù)字簽名的問題傳統(tǒng)加密算法無法實現(xiàn)抗抵賴的需求網(wǎng)絡與信息安全8/1041公鑰密碼學概述公鑰密碼又稱雙鑰密碼或非對稱密碼1976年由Diffie和Hellman在其“密碼學新方向”一文中提出大致思想（劃時代的文獻）網(wǎng)絡與信息安全9/1041公鑰密碼學概述公鑰密鑰基于NP-C問題Non（Non-deterministic）-Polynomial-Complete多項式復雜程度的非確定性問題將信息加密在一個NP-C問題中，普通的方法進行破譯密碼等于解這個NP-C問題（很難甚至不可解），如果用解密密鑰則很容易陷門單向函數(shù)網(wǎng)絡與信息安全10/1041公鑰密碼學概述公鑰密碼陷門單向函數(shù)滿足下列條件的函數(shù)f：給定x，計算y＝f(x)是容易的給定y，計算x，使x＝f-1(y)是不可行的此時為單向函數(shù)，不能用于加解密對于單向函數(shù)的存在，現(xiàn)無法證明存在k，已知k時，對給定的任何y，若相應的x存在，則計算x，使x＝fk-1(y)是容易的k：陷門信息，私人密鑰網(wǎng)絡與信息安全11/1041公鑰密碼學概述公鑰密碼基于的NP-C問題背包問題大整數(shù)分解問題（TheIntegerFactorizationProblem）RSA密碼體制離散對數(shù)問題有限域的乘法群上的離散對數(shù)問題(TheDiscreteLogarithmProblem）——ElGamal密碼體制定義在有限域的橢圓曲線上的離散對數(shù)問題（TheEllipticCurveDiscreteLogarithmProblem）——橢圓曲線密碼體制網(wǎng)絡與信息安全12/104第四章公鑰密碼技術主要內(nèi)容1公鑰密碼學概述2Diffie-Hellman密鑰交換算法（課外實驗二）3RSA和ECC4PGP5PKI和密鑰管理網(wǎng)絡與信息安全13/104第四章公鑰密碼技術主要內(nèi)容1公鑰密碼學概述2Diffie-Hellman密鑰交換算法3RSA和ECC4PGP5PKI和密鑰管理網(wǎng)絡與信息安全14/1043RSA和ECCRonRivest、AdiShamir和LenAdleman1977年由發(fā)明，1978年公布一種分組加密算法采用指數(shù)表達式，每個明文和密文分組的值小于n的二進制值（n是一個正整數(shù)），分組長度不大于log2(n)應用最廣泛的公鑰密碼算法只在美國申請專利，且已于2000年9月到期交流：人物簡介（三選一）網(wǎng)絡與信息安全15/1043RSA和ECCRSA密碼體制的實現(xiàn)選擇兩個大素數(shù)p和q(p≠q)計算n＝pq和n的Euler數(shù)φ(n)=(p-1)(q-1)選擇隨機整數(shù)e(1<e<φ(n))，使gcd(e,φ(n))＝1用歐氏算法計算d，使得de＝1modφ(n)公鑰：KU＝{e,n}，私鑰：KR＝{d,p,q}Public和Private的第二個字母加密：Ek(x)＝xemodn解密：Dk(y)＝y(tǒng)dmodn網(wǎng)絡與信息安全16/1043RSA和ECCRSA密碼體制的實現(xiàn)舉例選擇素數(shù)：p＝17&q＝11計算n＝pq＝17×11＝187計算φ(n)＝(p–1)(q-1)＝16×10＝160選擇e：gcd(e,160)＝1選擇e＝7確定d：de＝1mod160andd<160d＝23因為23×7＝161＝1×160+1公鑰KU＝{7,187}私鑰KR＝{23,17,11}網(wǎng)絡與信息安全17/1043RSA和ECCRSA密碼體制的實現(xiàn)舉例給定明文消息P＝88加密C＝887mod187＝11解密P＝1123mod187＝88實際應用p,q,n,e,d的值要大的多網(wǎng)絡與信息安全18/1043RSA和ECCRSA算法的安全性基于加密函數(shù)xe

modn是一個單向函數(shù)，對攻擊者來說求逆計算不可行。而解密的陷門是分解n＝pq，得知φ(n)＝(p-1)(q-1)。從而用歐氏算法解出解密私鑰d猜想攻破RSA與分解n是多項式等價的。然而，這個猜想至今沒有給出可信的證明?。?！xxemodn容易困難陷門：分解n＝pq網(wǎng)絡與信息安全19/1043RSA和ECCRSA算法的安全性素數(shù)p與q的選取足夠大的素數(shù)使分析者沒有辦法在多項式時間內(nèi)將n分解出來建議選擇大約是100位的十進制素數(shù)為了抵抗現(xiàn)有的整數(shù)分解算法，還要求：|p-q|很大，通常p和q的長度相同p-1和q-1分別含有大素因子p1和q1p1-1和q1-1分別含有大素因子p2和q2p+1和q+1分別含有大素因子p3和q3gcd（p-1,q-1）應該很小強素數(shù)思考題WhatisQiangSuShu？網(wǎng)絡與信息安全20/1043RSA和ECCRSA算法的安全性模n的長度要求至少是512比特EDI標準使用的RSA算法中規(guī)定n的長度為512至1024比特位之間，但必須是128的倍數(shù)國際數(shù)字簽名標準ISO/IEC9796中規(guī)定n的長度位512比特位。至1996年，建議使用768位的n為了提高加密速度，通常e取特定的小整數(shù)EDI標準中規(guī)定e＝216＋1，ISO/IEC9796中甚至允許取e＝3。這時加密速度一般比解密速度快10倍以上e＝216＋1優(yōu)于e＝3之處在于它能夠抵抗對RSA的小加密指數(shù)攻擊網(wǎng)絡與信息安全21/1043RSA和ECCRSA算法實現(xiàn)中的問題如何計算abmodn中間結果非常大冪運算的效率低密鑰的選取如何找到足夠大的素數(shù)p和q——素性檢測如何選擇e或d，從而計算另外一個網(wǎng)絡與信息安全22/1043RSA和ECCRSA算法實現(xiàn)中的問題如何計算abmodn模運算性質(zhì)(a×b)modn＝[(amodn)×(bmodn)]modn冪運算性質(zhì)a16＝aaaaaaaaaaaaaaaa＝(((a2)2)2)2“平方－乘”運算ammodnm＝bkbk-1…b0(bk=1)，網(wǎng)絡與信息安全23/1043RSA和ECCRSA算法實現(xiàn)中的問題密鑰選取如何找到足夠大的素數(shù)p和q——素性檢測沒有產(chǎn)生任意的大素數(shù)的有用技術通常的作法是隨機選取一個需要的數(shù)量級的奇數(shù)，并檢驗這個奇數(shù)是否是素數(shù)傳統(tǒng)使用試除法依次用比該數(shù)平方根小的素數(shù)進行除法運算只對小數(shù)有操作性根據(jù)素數(shù)的特性使用概率素性檢測所有的素數(shù)滿足的特性但是一些偽素數(shù)也滿足此特性概率盡可能接近于0Miller-Rabin算法網(wǎng)絡與信息安全24/1043RSA和ECCRSA算法實現(xiàn)中的問題密鑰選取如何找到足夠大的素數(shù)p和q——素性檢測Miller-Rabin算法若p是奇素數(shù)，則方程x2≡1modp只有平凡解x≡±1modp證明x2≡1modpp|(x2-1)p|(x+1)(x-1)p|(x+1),或者p|(x-1)

x+1=kp,或者x-1=jp,k,j是整數(shù)x＝kp-1,或者x＝jp+1x≡1modp,或者x≡-1modp若方程x2≡1modp存在的解不是±1，則p不是素數(shù)網(wǎng)絡與信息安全25/1043RSA和ECC密鑰選取如何選擇e或d，從而計算另外一個確定素數(shù)p和q以后，只需選取隨機整數(shù)e，滿足gcd(e,φ(n))＝1,計算d＝e-1modφ(n)（擴展的歐氏算法）網(wǎng)絡與信息安全26/1043RSA和ECC多數(shù)公鑰密碼體制（RSA，ElGamal）使用非常大的數(shù)或多項式給密鑰和信息的存儲和處理帶來很大的運算量1985年，NealKoblitz和VictorMiller分別獨立地提出了橢圓曲線密碼體制（EllipticCurveCryptosystem，ECC）橢圓曲線是一個代替，可以用更小的尺寸得到同樣的安全性ANSI、IEEE、ISO和NIST制定了ECC標準草案網(wǎng)絡與信息安全27/1043RSA和ECC橢圓曲線并非橢圓三次方程描述類似計算橢圓周長的方程一般形式y(tǒng)2＋axy＋by＝x3＋cx2＋dx＋e其中a,b,c,d,e是滿足簡單條件的實數(shù)，且x和y取實數(shù)值不妨改寫成y2＝x3＋ax＋b其中a,b是實數(shù)網(wǎng)絡與信息安全28/1043RSA和ECC無窮遠點或零點O若橢圓曲線上三點位于一直線上，則該三點之和為無窮遠點或零點O橢圓曲線上加法規(guī)則幾何方法定義加法的零元同一點的負值不同點的加法點倍乘網(wǎng)絡與信息安全29/1043RSA和ECCFp上的橢圓曲線y2≡x3＋ax＋bmodpp是奇素數(shù)，且4a3＋27b2≠0modp0≤x,y<p且為整數(shù)對每一個x，根據(jù)曲線方程求是否存在模p的平方根y和p－y；如果有，則(x,y)和(x,p－y)為曲線上的點，記為Ep(a,b)Ep(a,b)中也包括O網(wǎng)絡與信息安全30/1043RSA和ECCFp上的橢圓曲線Ep(a,b)上的加法規(guī)則P＋O＝P加法逆元若P＝(x,y)，則P＋(x,-y)＝O，點(x,-y)是P的加法逆元，記為-P不同點的加法（P≠Q(mào)）設P＝(x1,y1)，Q＝(x2,y2)，且P≠-Q，求P＋Q＝R，R＝(x3,y3)，則x3≡λ2－x1－x2(modp)y3≡λ(x1－x3)－y1(modp)其中網(wǎng)絡與信息安全31/1043RSA和ECCFp上的橢圓曲線Ep(a,b)上的加法規(guī)則點倍乘（相同點的加法P＝Q）設P＝(x1,y1)且y1≠0，求2P＝P＋P＝R，R＝(x3,y3)，則x3≡λ2－2x1(modp)y3≡λ(x1－x3)－y1(modp)其中網(wǎng)絡與信息安全32/1043RSA和ECC橢圓曲線的離散對數(shù)問題（ECDLP）考慮方程Q＝kP,其中Q,P∈Ep(a,b),且k<p給定k和P計算Q相對容易（編程實現(xiàn)）而給定Q和P計算k相對困難舉例：設群E23(9,17)，即y2＝(x3＋9x＋17)mod23采用窮舉法從P＝(16,5)，計算直到Q＝(4,5)，得P＝(16,5);2P＝(20,20);3P＝(14,14);4P＝(19,20);5P＝(13,10);6P＝(7,3);7P＝(8,7);8P＝(12,17);9P＝(4,5)，∴k＝9實際應用中，k足夠大，從而計算困難網(wǎng)絡與信息安全33/1043RSA和ECC橢圓曲線密碼算法選擇Ep(a,b)上的點G，使得G的階n是一個大素數(shù)G的階是指滿足nG＝O的最小n值秘密選擇整數(shù)nA，計算PA＝nAG公開(p,a,b,G,PA)，PA為公鑰保密nA，nA為私鑰加密消息M消息M變換成為Ep(a,b)中一個點Pm（參看相關文獻）選擇隨機整數(shù)k，計算密文Cm＝(kG,Pm＋kPA)如果k使得kG或者kPA為O，則要重新選擇k解密Cm：(Pm＋kPA)－nA(kG)＝Pm＋knAG－nAkG＝Pm網(wǎng)絡與信息安全34/1043RSA和ECC橢圓曲線密碼的安全性難點：從P和kP計算k的困難程度大對橢圓曲線研究的時間短橢圓曲線要求密鑰長度短，計算速度快網(wǎng)絡與信息安全35/1043RSA和ECC性能比較（同等強度）ECCRSAMIPS年密鑰大小1.610282347.110182053.81010150MIPS年密鑰大小31020204831016153611014128031011102421087683104512網(wǎng)絡與信息安全36/1043RSA和ECC密碼學中的橢圓曲線有限域F上的橢圓曲線素域Fp上的橢圓曲線：應用于軟件實現(xiàn)有限域F2m上橢圓曲線：應用于硬件實現(xiàn)網(wǎng)絡與信息安全37/104第四章公鑰密碼技術主要內(nèi)容1公鑰密碼學概述2Diffie-Hellman密鑰交換算法3RSA和ECC4PGP（交流）5PKI和密鑰管理網(wǎng)絡與信息安全38/1045PKI和密鑰管理概念PKI是一個用公鑰概念與技術來實施和提供安全服務的普適性基礎設施PKI是一種標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用透明地提供加密和數(shù)據(jù)簽名等密碼服務所必須的密鑰和證書管理網(wǎng)絡與信息安全39/1045PKI和密鑰管理PKI提供的基本服務認證——將數(shù)字簽名作用于相應的數(shù)據(jù)之上被認證的數(shù)據(jù)——數(shù)據(jù)源認證服務用戶發(fā)送的遠程請求——身份認證服務遠程設備生成的challenge信息——身份認證完整性數(shù)字簽名：既可以是實體認證，也可以是數(shù)據(jù)完整性MAC（消息認證碼）保密性——用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密不可否認發(fā)送方的不可否認——數(shù)字簽名接受方的不可否認——收條+數(shù)字簽名網(wǎng)絡與信息安全40/1045PKI和密鑰管理PKI的基本組件證書頒發(fā)/認證機構CA注冊機構RA證書庫密鑰備份及恢復系統(tǒng)證書作廢處理系統(tǒng)PKI應用接口系統(tǒng)網(wǎng)絡與信息安全41/1045PKI和密鑰管理PKI的基本組件證書頒發(fā)/認證機構CA負責頒發(fā)、管理和吊銷用戶的公鑰證書，認證用戶并在分發(fā)證書之前對證書信息簽名主要職責驗證并標識證書申請者的身份……網(wǎng)絡與信息安全42/1045PKI和密鑰管理PKI的基本組件證書頒發(fā)/認證機構CAPKI中的證書（certificate），有時候簡稱為certPKI適用于異構環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一證書是一個機構頒發(fā)給一個安全個體的證明，所以證書的權威性取決于該機構的權威性一個證書中，最重要的信息是個體名字、個體的公鑰、機構的簽名、算法和用途簽名證書和加密證書分開最常用的證書格式為X.509v3網(wǎng)絡與信息安全43/1045PKI和密鑰管理PKI的基本組件注冊機構RACA和最終用戶之間的橋梁，分擔

CA的部分任務RA的基本功能接收和驗證新注冊人的注冊信息；……網(wǎng)絡與信息安全44/1045PKI和密鑰管理PKI的基本組件證書庫用于證書的集中存放，供用戶查詢其他用戶的證書和公鑰密鑰備份及恢復系統(tǒng)防止用戶丟失密鑰后，密文數(shù)據(jù)無法解密而造成數(shù)據(jù)丟失網(wǎng)絡與信息安全45/1045PKI和密鑰管理PKI的基本組件證書作廢處理系統(tǒng)作廢證書一般通過將證書列入作廢證書表（CRL）來完成。CRL存放在目錄系統(tǒng)中，由CA創(chuàng)建、更新和維護。當用戶驗證證書時負責檢查該證書是否在CRL之列網(wǎng)絡與信息安全46/1045PKI和密鑰管理PKI的基本組件PKI應用接口系統(tǒng)使各種應用能夠以安全、一致、可信的方式與PKI交互，保證所建立起來的網(wǎng)絡環(huán)境的可信性，降低維護和管理成本需要滿足透明性可擴展性支持多種用戶互操作性網(wǎng)絡與信息安全47/1045PKI和密鑰管理PKI的應用基本應用文件保護E-mailWeb應用其他VPNSSL/TLSXML/e-businessWAP……網(wǎng)絡與信息安全48/1045PKI和密鑰管理公鑰證書（數(shù)字證書）是一段包含用戶身份信息、公鑰信息及CA數(shù)字簽名的數(shù)據(jù)身份證書能夠鑒別一個主體與它的公鑰關系，證書中列出了主體的公鑰屬性證書包含實體屬性的證書屬性可以是成員關系、角色、許可證或其他訪問權限 網(wǎng)絡與信息安全49/1045PKI和密鑰管理公鑰證書X.509證書格式版本號1、2、3證書序列號在CA內(nèi)部唯一簽名算法標識符指該證書中的簽名算法頒發(fā)者名稱CA的名字有效期起始和終止時間主體網(wǎng)絡與信息安全50/1045PKI和密鑰管理公鑰證書X.509證書格式主體公鑰信息算法參數(shù)密鑰頒發(fā)者惟一標識符主體惟一標識符擴展域頒發(fā)者簽名網(wǎng)絡與信息安全51/1045PKI和密鑰管理PKI的信任模型當一個安全實體看到另一個安全實體出示的證書時，他是否信任此證書？信任難以度量，總是與風險聯(lián)系在一起可信CA如果一個個體假設CA能夠建立并維持一個準確的“實體-公鑰屬性”之間的綁定，則他可以信任該CA，該CA為可信CA信任模型基于層次結構的信任模型交叉認證以用戶為中心的信任模型網(wǎng)絡與信息安全52/1045PKI和密鑰管理PKI的信任模型CA層次結構對于一個運行CA的大型權威機構而言，簽發(fā)證書的工作不能僅僅由一個CA來完成它可以建立一個CA層次結構根CA子CA網(wǎng)絡與信息安全53/1045PKI和密鑰管理PKI的信任模型CA層次結構的建立根CA具有一個自簽名的證書根CA依次對它下面的子CA進行簽名層次結構中葉子節(jié)點上的CA用于對安全實體進行簽名對于實體而言，它需要信任根CA，中間的CA可以不必關心（透明的）；同時它的證書是由底層的CA簽發(fā)的在CA的機構中，要維護這棵樹在每個子CA上，需要保存兩種certForwardCertificates：其他CA發(fā)給它的certsReverseCertificates：它發(fā)給其他CA的certs網(wǎng)絡與信息安全54/1045PKI和密鑰管理PKI的信任模型CA層次結構中證書的驗證假設實體A看到B的一個證書B的證書中含有簽發(fā)該證書的CA的信息沿著層次樹往上找，可以構成一條證書鏈，直到根證書驗證過程：沿相反的方向，從根證書開始，依次往下驗證每一個證書中的簽名。其中根證書是自簽名的，用它自己的公鑰進行驗證一直到驗證B的證書中的簽名如果所有的簽名驗證都通過，則A可以確定所有的證書都是正確的，如果他信任根CA，則他可以相信B的證書和公鑰問題：證書鏈如何獲得？網(wǎng)絡與信息安全55/1045PKI和密鑰管理PKI的信任模型CA層次結構中證書的驗證證書鏈的驗證示例網(wǎng)絡與信息安全56/1045PKI和密鑰管理PKI的信任模型交叉認證兩個不同的CA層次結構之間可以建立信任關系單向交叉認證一個CA可以承認另一個CA在一定名字空間范圍內(nèi)的所有被授權簽發(fā)的證書雙向交叉認證交叉認證可以分為域內(nèi)交叉認證（同一個層次結構內(nèi)部）域間交叉認證（不同的層次結構之間）交叉認證的約束名字約束路徑長度約束策略約束網(wǎng)絡與信息安全57/1045PKI和密鑰管理PKI的信任模型以用戶為中心的信任模型對于每一個用戶而言，應該建立各種信任關系，這種信任關系可以被擴展例子：用戶的瀏覽器配置網(wǎng)絡與信息安全58/1045PKI和密鑰管理密鑰管理是保證安全性的關鍵點所有的密碼技術都依賴于密鑰包括：密鑰生成算法的強度密鑰的長度密鑰的保密安全管理網(wǎng)絡與信息安全59/1045PKI和密鑰管理密鑰分類（按網(wǎng)絡應用分）基本密鑰（BaseKey）又稱初始密鑰（PrimaryKey）、用戶密鑰（Userkey）是由用戶選定或由系統(tǒng)分配給用戶的，可在較長時間內(nèi)（相對于會話密鑰）由一對用戶所專用的密鑰會話密鑰（SessionKey）兩個通信終端用戶在一次通話或交換數(shù)據(jù)時使用的密鑰。當它用于加密文件時，稱為文件密鑰（Filekey）；當它用于加密數(shù)據(jù)時，稱為數(shù)據(jù)加密密鑰（DataEncryptingKey）網(wǎng)絡與信息安全60/1045PKI和密鑰管理密鑰分類（按網(wǎng)絡應用分）密鑰加密密鑰（KeyEncryptingKey）用于對會話密鑰或文件密鑰進行加密時采用的密鑰，又稱輔助（二級）密鑰（SecondaryKey）或密鑰傳送密鑰（KeyTransportkey）。通信網(wǎng)中的每個節(jié)點都分配有一個這類密鑰主機主密鑰（HostMasterKey）對密鑰加密密鑰進行加密的密鑰，存于主機處理器中在公鑰體制下還有公開密鑰、秘密密鑰、簽名密鑰之分網(wǎng)絡與信息安全61/1045PKI和密鑰管理密鑰分類（按加密對象分）三級密鑰用于數(shù)據(jù)加密的密鑰二級密鑰用于保護三級密鑰的密鑰，也稱密鑰加密密鑰一級密鑰用于保護二級密鑰的密鑰，也稱密鑰保護密鑰例如：用口令保護二級密鑰，那么口令就是一級密鑰網(wǎng)絡與信息安全62/1045PKI和密鑰管理密鑰的生存周期授權使用該密鑰的周期原因擁有大量的密文有助于密碼分析；一個密鑰使用得太多，會給攻擊者增大收集密文的機會網(wǎng)絡與信息安全63/1045PKI和密鑰管理密鑰的生存周期產(chǎn)生（可能需要登記）、分配、使用、更新/替換、撤銷、銷毀等階段密鑰產(chǎn)生密鑰分配Bob檢驗密鑰使用Bob密鑰撤銷密鑰銷毀密鑰更新/替換網(wǎng)絡與信息安全64/1045PKI和密鑰管理密鑰長度的選擇與具體的應用有關數(shù)據(jù)的重要性保密期限破譯的代價目前，通常以下密鑰長度被認為是安全的對稱密碼體制——128比特（以上）公鑰密碼體制——對RSA而言，1024比特（以上）網(wǎng)絡與信息安全65/1045PKI和密鑰管理密鑰管理（KeyManagement）定義在一種安全策略指導下的密鑰的產(chǎn)生，存儲，分配，刪除，歸檔及應用任務管理密鑰自產(chǎn)生到最終銷毀的整個過程中的有關問題包括系統(tǒng)的初始化，密鑰的產(chǎn)生、存儲、備份/恢復、裝入、分配、保護、更新、泄露、撤銷和銷毀等內(nèi)容網(wǎng)絡與信息安全66/1045PKI和密鑰管理密鑰管理（KeyManagement）目的維持系統(tǒng)中各實體之間的密鑰關系，以抗擊各種可能的威脅：密鑰的泄露秘密密鑰或公開密鑰的身份真實性喪失經(jīng)未授權使用網(wǎng)絡與信息安全67/1045PKI和密鑰管理密鑰管理（KeyManagement）主要內(nèi)容密鑰產(chǎn)生和裝入密鑰存儲和保護密鑰分配密鑰協(xié)定密鑰使用控制密鑰備份/恢復密鑰更新密鑰撤銷密鑰銷毀網(wǎng)絡與信息安全68/1045PKI和密鑰管理密鑰產(chǎn)生和裝入密鑰的產(chǎn)生必須考慮具體密碼體制公認的限制手工/自動化網(wǎng)絡與信息安全69/1045PKI和密鑰管理密鑰產(chǎn)生和裝入密鑰選擇方式不當會影響安全性使密鑰空間減小差的選擇方式易受字典式攻擊用戶的姓名、首字母、帳戶名等個人信息從各種數(shù)據(jù)庫得到的單詞單詞的置換單詞的大小寫置換對外國人從外國文字試起嘗試詞組網(wǎng)絡與信息安全70/1045PKI和密鑰管理密鑰產(chǎn)生和裝入好密鑰的特點真正的隨機、等概率避免使用特定算法的弱密鑰公鑰系統(tǒng)的密鑰必須滿足一定的關系選用易記難猜的密鑰較長短語的首字母，詞組用標點符號分開采用散列函數(shù)網(wǎng)絡與信息安全71/1045PKI和密鑰管理密鑰產(chǎn)生和裝入不同等級的密鑰的產(chǎn)生方式不同主機主密鑰安全性至關重要，要保證其完全隨機性、不可重復性和不可預測性投硬幣、骰子，噪聲發(fā)生器等方法產(chǎn)生密鑰加密密鑰數(shù)量大：(n(n-1)/2)可由機器自動產(chǎn)生，安全算法、偽隨機數(shù)發(fā)生器等產(chǎn)生會話密鑰用密鑰加密密鑰及某種算法（加密算法，單向函數(shù)等）產(chǎn)生基本密鑰類似于主密鑰或密鑰加密密鑰的方法產(chǎn)生網(wǎng)絡與信息安全72/1045PKI和密鑰管理密鑰產(chǎn)生和裝入密鑰的產(chǎn)生方式必須在安全環(huán)境中產(chǎn)生密鑰以防止對密鑰的非授權訪問由中心（或分中心）集中產(chǎn)生，也稱有邊界產(chǎn)生由個人分散產(chǎn)生，也稱無邊界產(chǎn)生網(wǎng)絡與信息安全73/1045PKI和密鑰管理密鑰產(chǎn)生和裝入兩種密鑰產(chǎn)生方式對比方式代表產(chǎn)生者用戶數(shù)量特點安全性適用范圍集中式傳統(tǒng)的密鑰分發(fā)中心KDC和證書分發(fā)中心CDC等方案

在中心統(tǒng)一進行

產(chǎn)生有邊界，邊界以所能配置的密鑰總量定義，其用戶數(shù)量受限

密鑰的認證協(xié)議簡潔

交易中的安全責任由中心承擔

網(wǎng)絡邊界確定的有中心系統(tǒng)

分散式由個人生產(chǎn)

密鑰產(chǎn)生無邊界，其用戶數(shù)量不受限制

密鑰變量中的公鑰必須公開，需經(jīng)第三方認證

交易中安全責任由個人承擔

無邊界的和無中心系統(tǒng)

網(wǎng)絡與信息安全74/1045PKI和密鑰管理密鑰產(chǎn)生和裝入密鑰登記將產(chǎn)生的密鑰與特定的應用捆綁在一起捆綁必須通過某一授權機構來完成例如，用于數(shù)字簽名的密鑰，必須與簽名者的身份捆綁在一起網(wǎng)絡與信息安全75/1045PKI和密鑰管理密鑰產(chǎn)生和裝入密鑰的裝入主機主密鑰直接或間接裝入，裝入時須有電磁屏蔽，裝入后不能再讀出（但可間接驗證）密鑰加密密鑰直接或間接裝入，裝入時須有電磁屏蔽，裝入后不能再讀出，可聯(lián)機或者間接驗證會話密鑰如主機與某終端通信，主機產(chǎn)生會話密鑰，以相應的終端主密鑰對其進行加密，將加密結果送給相應的終端；終端收到后解密得到會話密鑰初始密鑰直接或間接裝入，裝入后不能再讀出，可聯(lián)機驗證網(wǎng)絡與信息安全76/1045PKI和密鑰管理密鑰的存儲和保護密鑰存儲方式第一種是將所有密鑰或公鑰存儲在專用媒體（軟盤、芯片等）一次性發(fā)放給各用戶，用戶在本機中就可以獲得對方的公鑰協(xié)議非常簡單，又很安全黑客的入侵破壞，也只能破壞本機而不影響其他終端只有在KDC等集中式方式下才能實現(xiàn)網(wǎng)絡與信息安全77/1045PKI和密鑰管理密鑰的存儲和保護密鑰存儲方式第二種是用對方的公鑰建立密鑰環(huán)各自分散保存（如PGP）第三種是將各用戶的公鑰存放在公用媒體中這兩種方式都需要解決密鑰傳遞技術，以獲取對方的公鑰。第三種還要解決公用媒體的安全技術，即數(shù)據(jù)庫的安全問題網(wǎng)絡與信息安全78/1045PKI和密鑰管理密鑰的存儲和保護密鑰的保護密鑰的完整性也需要保護，因為一個入侵者可能修改或替代密鑰，從而危及機密信息除了公鑰密碼系統(tǒng)中的公鑰外，所有的密鑰需要保密在實際中，最安全的方法是將其放在物理上安全的地方網(wǎng)絡與信息安全79/1045PKI和密鑰管理密鑰的存儲和保護密鑰的保護當一個密鑰無法用物理的辦法進行安全保護時,密鑰必須用其它的方法來保護將一個密鑰分成兩部分，委托給兩個不同的人通過機密性（例如，用另一個密鑰加密）或完整性服務來保護極少數(shù)密鑰（主機主密鑰）以明文存儲于有嚴密物理保護的密碼器中，其他密鑰都被（主密鑰或次主密鑰）加密后存儲網(wǎng)絡與信息安全80/1045PKI和密鑰管理密鑰分配系統(tǒng)內(nèi)的一個成員選擇密鑰，然后將它們安全傳給其他成員網(wǎng)絡與信息安全81/1045PKI和密鑰管理密鑰分配——對稱密碼體制的密鑰分配對稱密碼體制的主要商業(yè)應用起始于八十年代早期，特別是在銀行系統(tǒng)中，采納了DES標準和銀行工業(yè)標準ANSI數(shù)據(jù)加密算法（DEA）。實際上，這兩個標準所采用的算法是一致的隨著DES的廣泛應用帶來了一些研究話題，比如如何管理DES密鑰。從而導致了ANSIX9.17標準的發(fā)展，該標準于1985年完成，是有關金融機構密鑰管理的一個標準網(wǎng)絡與信息安全82/1045PKI和密鑰管理密鑰分配——對稱密碼體制的密鑰分配金融機構密鑰管理需要通過一個多級層次密鑰機構來實現(xiàn)ANSIX9.17三層密鑰層次結構主密鑰（KKMs），通過手工分配密鑰加密密鑰（KKs），通過在線分配數(shù)據(jù)密鑰（KDs）KKMs保護KKs的傳輸，用KKs保護KDs的傳輸主密鑰是通信雙方長期建立密鑰關系的基礎網(wǎng)絡與信息安全83/1045PKI和密鑰管理密鑰分配——對稱密碼體制的密鑰分配主密鑰的分配方式——利用安全信道實現(xiàn)直接面議或通過可靠信使遞送將密鑰分拆成幾部分分別傳送發(fā)送方分解密鑰接收方組合密鑰K1K2K3K4K5K1K2K3K4K5信使：K1掛號信：K2特快專遞：K3電話：K4信鴿：K5網(wǎng)絡與信息安全84/1045PKI和密鑰管理密鑰分配與協(xié)定——對稱密碼體制的密鑰分配無中心密鑰分配模式①A向B發(fā)出建立會話密鑰的請求和一個一次性隨機數(shù)N1②B用與A共享的主密鑰對應答的消息加密，并發(fā)送給A，應答的消息中包括B選取的會話密鑰、B的身份、f(N1)和另一個一次性隨機數(shù)N2③A用新建立的會話密鑰加密f(N2)并發(fā)送給BAB①③②網(wǎng)絡與信息安全85/1045PKI和密鑰管理密鑰分配——對稱密碼體制的密鑰分配中心化密鑰分配模式①A向KDC發(fā)出會話密鑰請求。該請求由兩個數(shù)據(jù)項組成，一是A與B的身份；二是一次性隨機數(shù)N1②KDC為A的請求發(fā)出應答。應答用A與KDC的共享主密鑰加密。消息中包含希望得到的一次性會話密鑰Ks以及A的請求，還包括一次性隨機數(shù)N1；另外消息中還包含了A要轉(zhuǎn)發(fā)給B的一次會話密鑰Ks和A的身份，它們是用B與KDC的共享主密鑰加密的

KDCAB②①網(wǎng)絡與信息安全86/1045PKI和密鑰管理密鑰分配與協(xié)定——對稱密碼體制的密鑰分配中心化密鑰分配模式③A存儲會話密鑰，并向B轉(zhuǎn)發(fā)從KDC的應答中得到的應該轉(zhuǎn)發(fā)給B的部分。B收到后，可知會話密鑰Ks，從A的身份知道會話的另一方為A④B用會話密鑰Ks加密另一個一次性隨機數(shù)N2，并將加密結果發(fā)送給A⑤A用會話密鑰Ks加密f(N2)，并將加密結果發(fā)送給B

KDCAB⑤④②①③網(wǎng)絡與信息安全87/1045PKI和密鑰管理密鑰分配——公鑰密碼體制的密鑰分配由于公鑰加密速度太慢，常常只用于加密分配對稱密碼體制的密鑰，而不用于保密通信當A要與B通信時，密鑰分配過程A產(chǎn)生一對公鑰、私鑰對，并向B發(fā)送產(chǎn)生的公鑰和A的身份B收到A的消息后，產(chǎn)生會話密鑰Ks，用產(chǎn)生的公鑰加密后發(fā)送給AA用私鑰解密得到會話密鑰Ks此時，A和B可以用會話密鑰Ks進行保密通信簡單，但易受攻擊網(wǎng)絡與信息安全88/1045PKI和密鑰管理密鑰分配——公鑰密碼體制的密鑰分配一種具有保密性和認證性的分配方法假定A和B已完成公鑰交換（1）A用B的公鑰加密A的身份和一個一次性隨機數(shù)N1后發(fā)給B（2）B解密得N1，并用A的公鑰加密N1和另一個一次性隨機數(shù)N2后發(fā)給A（3）A用B的公鑰加密N2后發(fā)給B（4）A選一個會話密鑰Ks，用A的私鑰加密后再用B的公鑰加密，發(fā)送給B（5）B用A的公鑰和B的私鑰解密得Ks網(wǎng)絡與信息安全89/1045PKI和密鑰管理密鑰分配——公鑰密碼體制的密鑰分配公開密鑰的管理公鑰密碼體制的密鑰分配要求與對稱密碼體制的密鑰分配要求有著本質(zhì)的差別當分配一個公鑰時，不需要機密性。然而，公鑰的完整性是必需的公鑰的分配方法公開發(fā)布公鑰動態(tài)目錄公鑰證書網(wǎng)絡與信息安全90/1045PKI和密鑰管理密鑰分配——公鑰密碼體制的密鑰分配公鑰的分配方法公開發(fā)布直接把公鑰散發(fā)出去使用PGP并且把公鑰附上能被假冒網(wǎng)絡與信息安全91/1045PKI和密鑰管理密鑰分配——公鑰密碼體制的密鑰分配公鑰的分配方法公鑰動態(tài)目錄需要可信任的中央授權機構每個用戶知道授權機構的公鑰授權機構維護著動態(tài){name,publickey}列表用戶在授權機構注冊其公鑰（通過安全通道）用戶可以替換其公鑰授權機構定期發(fā)布或更新整個目錄用戶在網(wǎng)絡上直接訪問公共目錄（通過安全通道）若成功修改了公共目錄，則攻擊者可假冒用戶授權中心易成為性能及安全瓶頸網(wǎng)絡與信息安全92/1045PKI和密鑰管理密鑰分配——公鑰密碼體制的密鑰分配公鑰的分配方法公鑰證書——安全有效任何人可以閱讀證書以確定證書擁有者的姓名和公鑰任何人可以驗證證書是由授權機構發(fā)出而非偽造的只有授權機構才可以發(fā)行和更新證書任何人可以驗證證