第四章密鑰管理技術

第四章密鑰管理技術第一頁，共四十六頁，2022年，8月28日密鑰管理技術什么樣的密鑰是安全的？密鑰應該發(fā)給誰？密鑰怎樣安全地發(fā)給需要的用戶？怎樣保存密鑰才算安全？第二頁，共四十六頁，2022年，8月28日密鑰管理技術假設Alice和Bob在使用對稱密鑰進行保密通信時，必然擁有相同的密鑰。假設Alice在向Bob發(fā)送信息時，始終不更新密鑰，那么在攻擊者Mallory對信息M的收集量滿足一定要求時，其成功破譯系統(tǒng)的可能性會增大。兩個通信用戶Alice和Bob在進行通信時，必須要解決兩個問題：必須經(jīng)常更新或改變密鑰和如何能安全地更新或是改變密鑰。Kerberos系統(tǒng)中為了避免攻擊者通過窮舉攻擊等方式獲得密鑰，必須經(jīng)常更新或是改變密鑰，對于更新的密鑰也要試圖找到合適的傳輸途徑。第三頁，共四十六頁，2022年，8月28日密鑰管理技術人為的情況往往比加密系統(tǒng)的設計者所能夠想象的還要復雜的多，所以需要有一個專門的機構和系統(tǒng)防止上述情形的發(fā)生。技術因素用戶產(chǎn)生的密鑰是脆弱的。密鑰是安全的，但是密鑰保護可那失敗。第四頁，共四十六頁，2022年，8月28日對稱密鑰的管理對稱加密是基于共同保守秘密來實現(xiàn)的。采用對稱加密技術的雙方必須要保證采用的是相同的密鑰，要保證彼此密鑰的交換安全可靠，同時還要設定防止密鑰泄密和更改密鑰的程序。通過公開密鑰加密技術實現(xiàn)對稱密鑰的管理使相應的管理變得簡單、安全，解決了對稱密鑰體制模式中存在的管理、傳輸?shù)目煽啃詥栴}和鑒別問題。對稱密鑰交換協(xié)議如圖3-3所示。第五頁，共四十六頁，2022年，8月28日第六頁，共四十六頁，2022年，8月28日Diffie-Hellman密鑰交換機制Diffie-Hellman協(xié)議是三方秘密傳輸，首先，Alice、Bob和Coral三方首先要協(xié)商確定一個大的素數(shù)n和整數(shù)g（這兩個數(shù)可以公開），其中g是n的本原元。由此產(chǎn)生密鑰過程為：（1）Alice首先選取一個大的隨機整數(shù)x，并且發(fā)送X=gxmodn給Bob。Bob首先選取一個大的隨機整數(shù)y，并且發(fā)送Y=gymodn給Coral。Coral首先選取一個大的隨機整數(shù)z，并且發(fā)送Z=gzmodn給Alice。（2）Alice計算X1=Zxmodn給Bob。Bob計算Y1=Xymodn給Coral。Coral計算Z1=Yzmodn給Alice。（3）Alice計算k=Z1xmodn作為秘密密鑰。Bob計算k=X1ymodn作為秘密密鑰。Coral計算機k=Y1zmodn作為秘密密鑰。如果p是一個素數(shù)，且g小于p，對于從0到p-1的每一個b，都存在某個a，使得ga≡b(modp)，那么g是模p的生成元(generator)。也稱為g是p的本原元(primitive)。第七頁，共四十六頁，2022年，8月28日加密密鑰交換協(xié)議加密密鑰交換（EncryptionKeyExchange，EKE）協(xié)議假設A和B共享一個密鑰或者口令P，那么產(chǎn)生密鑰K的過程為：（1）A選取隨機的公（私）密鑰AEK，使用P作為加密密鑰，并且發(fā)送Ep(AEK)給B。（2）B計算求得AEK，然后選取隨機得對稱密鑰BEK，使用AEK和P加密，發(fā)送Ep(EAEK(BEK))給A。（3）A計算求得BEK，那么此時這個數(shù)值就是產(chǎn)生得密鑰K。然后進行鑒別和驗證。（4）A選取隨機數(shù)字符串RA，使用K加密后，發(fā)送Ek(RA)給B。（5）B計算求得RA后，選取隨機數(shù)字符串RB，使用K加密后，發(fā)送Ek(RA,RB)給A。（6）A計算求得數(shù)字串(RA,RB)后，判斷此時得字符串是否還有先前發(fā)送得字符串RA，如果是則取出字符串RB，使用K加密后，發(fā)送Ek（RB）給B；否則取消發(fā)送。（7）B計算求得字符串RB后，判斷此時的字符串是否等于先前發(fā)送得數(shù)字串RB，如果是則選用密鑰K作為通信密鑰，否則取消通信。此外還有因特網(wǎng)密鑰交換（InternetKeyExchange，IKE）協(xié)議。第八頁，共四十六頁，2022年，8月28日非對稱密鑰的管理保存私鑰，公開密鑰。非對稱密鑰的管理相對于對稱密鑰就要簡單的多，因為對于用戶Alice而言，只需要記住通信的他方—Bob的公鑰，即可以進行正常的加密通信和對Bob發(fā)送信息的簽名驗證。非對稱密鑰的管理主要在于密鑰的集中式管理。如何安全地將密鑰傳送給需要接收消息的人是對稱密碼系統(tǒng)的一個難點，卻是公開密鑰密碼系統(tǒng)的一個優(yōu)勢。公開密鑰密碼系統(tǒng)的一個基本特征就是采用不同的密鑰進行加密和解密。公開密鑰可以自由分發(fā)而無須威脅私有密鑰的安全，但是私有密鑰一定要保管好。第九頁，共四十六頁，2022年，8月28日混合密鑰由于公鑰加密計算復雜，耗用時間長，比常規(guī)的對稱密鑰加密慢很多。所以通常使用公開密鑰密碼系統(tǒng)來傳送密碼，使用對稱密鑰密碼系統(tǒng)來實現(xiàn)對話。例如：假設Alice和Bob相互要進行通話，他們按照如下步驟進行：第十頁，共四十六頁，2022年，8月28日1.Alice想和Bob通話，并向Bob提出對話請求。2.Bob響應請求，并給Alice發(fā)送CA證書（CA證書是經(jīng)過第三方認證和簽名，并且無法偽造或篡改）。這個證書中包括了Bob的身份信息和Bob的公開密鑰。3.Alice驗證CA證書，使用一個高質量、快速的常用對稱密鑰加密法來加密一個普通文本信息和產(chǎn)生一個臨時的通話密鑰；然后使用Bob的公鑰去加密該臨時會話密鑰。然后把此會話密鑰和該已加密文本發(fā)送給Bob。4.Bob接收到信息，并使用私有密鑰恢復出會話密鑰。Bob使用臨時會話密鑰對加密文本解密。5.雙方通過這個會話密鑰會話。會話結束，會話密鑰也就廢棄。第十一頁，共四十六頁，2022年，8月28日公開密鑰管理利用數(shù)字證書等方式實現(xiàn)通信雙方間的公鑰交換。數(shù)字證書通常包含有證書所有者（即貿(mào)易方）的唯一標識、證書發(fā)布者的唯一標識、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。證書發(fā)布者一般稱為證書管理機構（CA），它是貿(mào)易各方都信賴的機構。數(shù)字證書能夠起到標識貿(mào)易雙方的作用，目前網(wǎng)絡上的瀏覽器，都提供了數(shù)字證書的識別功能來作為身份鑒別的手段。第十二頁，共四十六頁，2022年，8月28日密鑰管理系統(tǒng)一個完整得密鑰管理系統(tǒng)應該包括：密鑰管理、密鑰分配、計算機網(wǎng)絡密鑰分配方法、密鑰注入、密鑰存儲、密鑰更換和密鑰吊銷。密鑰管理是處理密鑰自產(chǎn)生到最后銷毀的整個過程中的關鍵問題，包括系統(tǒng)的初始化，密鑰的產(chǎn)生、存儲、備份/恢復、裝入、分配、保護、更新、控制、丟失、吊銷和銷毀等內容。密鑰的管理需要借助于加密、認證、簽字、協(xié)議、公證等技術。密鑰種類很多，主要的密鑰包括：第十三頁，共四十六頁，2022年，8月28日初始密鑰由用戶選定或系統(tǒng)分配的，在較長的一段時間內由一個用戶專用的秘密密鑰。要求它既安全又便于更換。第十四頁，共四十六頁，2022年，8月28日會話密鑰兩個通信終端用戶在一次會話或交換數(shù)據(jù)時所用的密鑰。一般由系統(tǒng)通過密鑰交換協(xié)議動態(tài)產(chǎn)生。它使用的時間很短，從而限制了密碼分析者攻擊時所能得到的同一密鑰加密的密文量。丟失時對系統(tǒng)保密性影響不大。第十五頁，共四十六頁，2022年，8月28日密鑰加密密鑰（KeyEncryptingKey，KEK）用于傳送會話密鑰時采用的密鑰。第十六頁，共四十六頁，2022年，8月28日主密鑰（MaterKey）主密鑰是對密鑰加密密鑰進行加密的密鑰，存于主機的處理器中。第十七頁，共四十六頁，2022年，8月28日密鑰的分配密鑰分配要解決兩個問題：（1）密鑰的自動分配機制，自動分配密鑰以提高系統(tǒng)的效率；（2）應該盡可能減少系統(tǒng)中駐留的密鑰量。根據(jù)密鑰信息的交換方式，密鑰分配可以分成三類：（1）人工密鑰分發(fā)；（2）基于中心的密鑰分發(fā)；（3）基于認證的密鑰分發(fā)。第十八頁，共四十六頁，2022年，8月28日1.人工密鑰分發(fā)在很多情況下，用人工的方式給每個用戶發(fā)送一次密鑰。然后，后面的加密信息用這個密鑰加密后，再進行傳送，這時，用人工方式傳送的第一個密鑰叫做密鑰加密密鑰（KeyEncryptionKey，KEK）。該方式已經(jīng)不適應現(xiàn)代計算機網(wǎng)絡發(fā)展的要求。第十九頁，共四十六頁，2022年，8月28日2.基于中心的密鑰分發(fā)基于中心的密鑰分發(fā)利用可信任的第三方，進行密鑰分發(fā)?？尚诺谌娇梢栽谄渲邪缪輧煞N角色：（1）密鑰分發(fā)中心（KeyDistributionCenter，KDC）（2）密鑰轉換中心（KeyTranslationCenter，KTC） 該方案的優(yōu)勢在于，用戶Alice知道自己的密鑰和KDC的公鑰，就可以通過密鑰分發(fā)中心獲取他將要進行通信的他方的公鑰，從而建立正確的保密通信。第二十頁，共四十六頁，2022年，8月28日如果主體Alice和Bob通信時需要一個密鑰，那么，Alice需要在通信之前先從KDC獲得一個密鑰。這種模式又稱為拉模式（pullmodel）。如下圖所示。第二十一頁，共四十六頁，2022年，8月28日Alice首先向KDC請求然后獲得一個密鑰，然后利用該密鑰和Bob通信。另一種是推模式。美國金融機構密鑰管理標準（ANSIX9.17）要求通信方Alice首先要和Bob建立聯(lián)系，然后，讓Bob從KDC取得密鑰。這種模式稱推模式（pushmodel），表示是由Alice推動Bob去和KDC聯(lián)系取得密鑰。如圖所示。第二十二頁，共四十六頁，2022年，8月28日基于認證的密鑰分發(fā)基于認證的密鑰分發(fā)也可以用來進行建立成對的密鑰。基于認證的密鑰分發(fā)技術又分成兩類：（1）用公開密鑰加密系統(tǒng)，對本地產(chǎn)生的加密密鑰進行加密，來保護加密密鑰在發(fā)送到密鑰管理中心的過程，整個技術叫做密鑰傳送；（2）加密密鑰由本地和遠端密鑰管理實體一起合作產(chǎn)生密鑰。這個技術叫做密鑰交換，或密鑰協(xié)議。最典型的密鑰交換協(xié)議是Diffie-Hellman密鑰交換。第二十三頁，共四十六頁，2022年，8月28日計算機網(wǎng)絡密鑰分配方法（1）只使用會話密鑰；（2）采用會話和基本密鑰；（3）采用非對稱密碼體制的密鑰分配。第二十四頁，共四十六頁，2022年，8月28日1.會話密鑰這種分配方法適合比較小的網(wǎng)絡系統(tǒng)中的不同用戶保密通信。由一專門機構生成密鑰后，將其安全發(fā)送到每個用戶結點，保存在安全的保密裝置內。在通信雙方通信時，就直接使用這個會話密鑰對信息加密。這種只使用這一種密鑰的通信系統(tǒng)的安全性低，因為密鑰被每個結點共享，容易泄露。在密鑰更新時就必須在同一時間，在網(wǎng)內的所有節(jié)點（或終端）上進行，比較繁瑣。這種情況不適合現(xiàn)在開放性、大容量網(wǎng)絡系統(tǒng)的需要。第二十五頁，共四十六頁，2022年，8月28日2.會話和基本密鑰這種方法進行數(shù)據(jù)通信的過程是：主體在發(fā)送數(shù)據(jù)之前首先產(chǎn)生會話密鑰，用基本密鑰對其加密后，通過網(wǎng)絡發(fā)送到客體；客體收到后用基本密鑰對其解密，雙方就可以開始通話了；會話結束，會話密鑰消失。為了防止會話密鑰和中間一連串加密結果被非法破譯，加密方法和密鑰必須保存在一個被定義為保密裝置的保護區(qū)中。基本密鑰必須以秘密信道的方式傳送，注入保密裝置，不能以明文形式存在于保密裝置以外?；谶@種情況的密鑰分配已經(jīng)產(chǎn)生了很多成熟的密鑰協(xié)議。例如：Wide-MouthFrog密鑰分配協(xié)議，Yahalom密鑰分配協(xié)議，Needham-Schroeder協(xié)議，Kerberos協(xié)議。第二十六頁，共四十六頁，2022年，8月28日3.采用非對稱密碼體制的密鑰分配當系統(tǒng)中某一主體A想發(fā)起和另一主體B進行秘密通信時，先進行會話密鑰的分配。A首先從認證中心獲得B的公鑰，用該公鑰對會話密鑰進行加密，然后發(fā)送給B，B收到該信息后，用自己所唯一擁有的私鑰對該信息解密，就可以得到這次通信的會話密鑰。這種方法是目前比較流行的密鑰分配方法。第二十七頁，共四十六頁，2022年，8月28日密鑰注入密鑰的注入通常采用人工方式。密鑰常用的注入方法有：鍵盤輸入、軟盤輸入、專用密鑰注入設備（密鑰槍）輸入。采用密鑰槍或密鑰軟盤應與鍵盤輸入的口令相結合的方式來進行密鑰注入更為安全。只有在輸入了合法的加密操作口令后，才能激活密鑰槍或軟盤里的密鑰信息。因此，應建立一定的接口規(guī)范。第二十八頁，共四十六頁，2022年，8月28日密鑰存儲密鑰平時都以加密的形式存放，而且操作口令應該實現(xiàn)嚴格的保護。加密設備應有一定的物理保護措施。如果采用軟件加密的形式，應有一定的軟件保護措施。存儲時必須保證密鑰的機密性、認證性和完整性，防止泄露和篡改。較好的解決方案是：將密鑰儲存在磁條卡中，使用嵌入ROM芯片的塑料密鑰或智能卡，通過計算機終端上特殊的讀入裝置把密鑰輸入到系統(tǒng)中。當用戶使用這個密鑰時，他并不知道它，也不能泄露它，他只能用這種方法使用它。若將密鑰平分成兩部分，一半存入終端，一半存入ROM密鑰卡上。即使丟掉了ROM密鑰卡也不致泄露密鑰。將密鑰做成物理形式會使存儲和保護它更加直觀。第二十九頁，共四十六頁，2022年，8月28日密鑰更換和密鑰吊銷密鑰的使用是有壽命的，一旦密鑰有效期到，必須消除原密鑰存儲區(qū)，或者使用隨機產(chǎn)生的噪聲重寫。密鑰的更換，可以采用批密鑰的方式，即一次注入多個密鑰，在更換時可以按照一個密鑰生效，另一個密鑰廢除的形式進行。替代的次序可以采用密鑰的序號，如果批密鑰的生成與廢除是順序的，則序數(shù)低于正在使用的密鑰的所有密鑰都已過期，相應的存儲區(qū)清零。會話密鑰在會話結束時，會被刪除，不需要吊銷。一些密鑰有有效期，不需要吊銷。對于密鑰丟失或被攻擊,密鑰的擁有者必須將密鑰不再有效并且不應該繼續(xù)使用這一情況通知其他用戶。對于私鑰加密系統(tǒng)，如果密鑰被攻擊，那么啟用新的密鑰。第三十頁，共四十六頁，2022年，8月28日密鑰產(chǎn)生技術一個不合適的密鑰有可能很容易被對方破解，這種密鑰被稱為弱密鑰。導致弱密鑰的產(chǎn)生有以下兩種情形：（1）密鑰產(chǎn)生設置的缺陷和密鑰空間的減少：對于一個64位比特串的密鑰，可以有1019種可能的密鑰，然而實際上所對應的密鑰空間中的密鑰值比預計的要少的多。（2）人為選擇的弱密鑰：用戶選擇易于記憶的密鑰是通常的選擇，但這給密碼破譯提供了便利。防止產(chǎn)生弱密鑰的最佳方案是產(chǎn)生隨機密鑰，當然，這是不利于記憶的，可以將隨機密鑰存儲在智能卡中。在密鑰產(chǎn)生的過程中，需要的是真正的隨機數(shù)。密鑰產(chǎn)生的制約條件有三個：這就是隨機性，密鑰強度和密鑰空間。有兩種密鑰產(chǎn)生方法：硬件方法和軟件方法。第三十一頁，共四十六頁，2022年，8月28日密鑰產(chǎn)生的硬件技術噪聲源技術是密鑰硬件產(chǎn)生的常用方法。噪聲源的功能為：產(chǎn)生二進制的隨機序列或與之對應的隨機數(shù)；在物理層加密的環(huán)境下進行信息填充，使網(wǎng)絡具有防止流量分析的功能。當采用序列密碼時，也有防止亂數(shù)空發(fā)的功能。用于某些身份驗證技術中，如對等實體鑒別中。為了防止口令被竊取，常常使用隨機應答技術，這時的提問與應答是由噪聲源控制的。噪聲源輸出隨機數(shù)序列有以下常見的幾種：（1）偽隨機序列：也稱作偽碼，具有近似隨機序列（噪聲）的性質，而又能按一定規(guī)律（周期）產(chǎn)生和復制的序列。一般用數(shù)學方法和少量的種子密鑰來產(chǎn)生。（2）物理隨機序列：物理隨機序列是用熱噪聲等客觀方法產(chǎn)生的隨機序列。實際的物理噪聲往往要受到溫度、電源、電路特性等因素的限制，其統(tǒng)計特性常帶有一定的偏向性。因此也不能算是真正的隨機序列。第三十二頁，共四十六頁，2022年，8月28日（3）準隨機序列：用數(shù)學方法和物理方法相結合產(chǎn)生的隨機序列。這種隨機序列可以克服前兩者的缺點，具有很好的隨機性。物理噪聲源按照產(chǎn)生的方法不同有以下常見的幾種：（1）基于力學噪聲源的密鑰產(chǎn)生技術。通常利用硬幣、骰子等拋散落地的隨機性產(chǎn)生密鑰。這種方法效率低，而且隨機性較差。（2）基于電子學噪聲源的密鑰產(chǎn)生技術。這種方法利用電子方法對噪聲器件（如真空管、穩(wěn)壓二極管等）的噪聲進行放大、整形處理后產(chǎn)生密鑰隨機序列。根據(jù)噪聲迭代的原理將電子器件的內部噪聲放大，形成頻率隨機變化的信號，在外界采樣信號CLK的控制下，對此信號進行采樣鎖存，然后輸出信號為"0"、"1"隨機的數(shù)字序列。（3）基于混沌理論的密鑰產(chǎn)生技術。在混沌現(xiàn)象中，只要初始條件稍有不同，其結果就大相徑庭，難以預測，在有些情況下，反映這類現(xiàn)象的數(shù)學模型又是十分簡單。因此利用混沌理論的方法，不僅可以產(chǎn)生噪聲，而且噪聲序列的隨機性好，產(chǎn)生效率高。第三十三頁，共四十六頁，2022年，8月28日密鑰產(chǎn)生的軟件技術X9.17（X9.17-1985金融機構密鑰管理標準，由ANSI—美國國家標準定義）標準定義了一種產(chǎn)生密鑰的方法，算法是三重DES，目的是在系統(tǒng)中產(chǎn)生一個會話密鑰或是偽隨機數(shù)。其過程如下：假設表示用密鑰對比特串進行的三重DES加密，是為密鑰發(fā)生器保留的一個特殊密鑰。是一個秘密的64位種子，是一個時間標記。產(chǎn)生的隨機密鑰可以通過下面的算式來計算，如圖3-6所示。第三十四頁，共四十六頁，2022年，8月28日密鑰的分散管理與托管密鑰的分散管理就是把主密鑰拷貝給多個可靠的用戶保管，而且可以使每個持密鑰者具有不同的權力。其中權力大的用戶可以持有幾個密鑰，權力小的用戶只持有一個密鑰。也就是說密鑰分散地把主密鑰信息進行分割，不同的密鑰持有者掌握其相應權限的主密鑰信息。如圖3-7所示。第三十五頁，共四十六頁，2022年，8月28日模型中，各個子系統(tǒng)分別掌握私鑰的一部分信息，而要進行會話的真實密鑰是所有這些子系統(tǒng)所掌握的不同密鑰的組合，但不是簡單的合并。這樣做的好處是，攻擊者只有將各個子系統(tǒng)全部破解，才能得到完整的密鑰。但是會導致系統(tǒng)效率不高。采用存取門限機制可以解決認證過程復雜、低效的問題。密鑰管理的復雜性主要體現(xiàn)在密鑰的分配和存儲，對于不是主密鑰的其他密鑰，也可以分散存儲。為了提高密鑰管理的安全性，采用如下兩種措施：（1）盡量減少在網(wǎng)絡系統(tǒng)中所使用的密鑰的個數(shù)；（2）采用（k，w）門限體制增強主密鑰的保密強度，即將密鑰E分成w個片段，密鑰由k（k<w）個密鑰片段產(chǎn)生，小于或等于k-1個片段都不能正確產(chǎn)生E，這樣一個或k-1個密鑰片段的泄露不會威脅到E的安全性。第三十六頁，共四十六頁，2022年，8月28日目前有三種基本的網(wǎng)絡管理結構：集中式、層次式和分布式結構可以實現(xiàn)密鑰的分散管理，其中層次式結構是一種重要的網(wǎng)絡管理結構。層次式結構使用了對管理者進行管理（ManagerofManagers）的概念，每個域管理者只負責他自己的域的管理，并不知道其它域的存在，更高級管理者從下級的域管理者獲得信息，在域管理者之間不進行直接通信，這個結構具有很好的擴展性和較好的靈活性。第三十七頁，共四十六頁，2022年，8月28日密鑰的分散、分配和分發(fā)密鑰的分散是指主密鑰在密鑰的管理系統(tǒng)中具有重要地位，因此他的安全至關重要，所以需要將主密鑰按照權限分散在幾個高級用戶（或是機構）中保管。這樣可以避免攻擊者破獲主密鑰的可能性。分配是指用戶或是可信第三方為通信雙方所產(chǎn)生密鑰協(xié)商的過程。分發(fā)是指密鑰管理系統(tǒng)與用戶間的密鑰協(xié)商過程。過程如圖3-8所示。第三十八頁，共四十六頁，2022年，8月28日密鑰的托管技術1993年4月美國政府公布托管加密標準（EscrowedEncryptionStandard，EES），提出了密鑰托管的新概念，即提供強密碼算法實現(xiàn)用戶的保密通信，并使獲得合法授權的法律執(zhí)行機構利用密鑰托管機構提供的信息，恢復出會話密鑰從而對通信實施監(jiān)聽。密鑰托管是指用戶向CA在申請數(shù)據(jù)加密證書之前，必須把自己的密鑰分成ｔ份交給可信賴的ｔ個托管人。任何一位托管人都無法通過自己存儲的部分用戶密鑰恢復完整的用戶密碼。只有這ｔ個人存儲的密鑰合在一起才能得到用戶的完整密鑰。密鑰托管有如下重要功能：第三十九頁，共四十六頁，2022年，8月28日（1）防抵賴。在商務活動中，通過數(shù)字簽名即可驗證自己的身份可防抵賴。但當用戶改變了自己的密碼，他就可抵賴沒有進行過此商務活動。為了防止這種抵賴有幾種辦法，一種是用戶在改密碼時必須向CA說明，不能自己私自改變。另一種是密鑰托管，當用戶抵賴時，其他ｔ位托管人就可出示他們存儲的密鑰合成用戶的密鑰，使用戶沒法抵賴。（2）政府監(jiān)聽。政府、法律職能部門或合法的第三者為了跟蹤、截獲犯罪嫌疑人員的通信，需要獲得通信雙方的密鑰。這時合法的監(jiān)聽者就可通過用戶的委托人收集密鑰片后得到用戶密鑰，就可進行監(jiān)聽。（3）密鑰恢復。用戶遺忘了密鑰想恢復密鑰，就可從委托人那里收集密鑰片恢復密鑰。第四十頁，共四十六頁，2022年，8月28日密鑰托管加密系統(tǒng)按照功能的不同，邏輯上可分為五大部分用戶安全部分（UserSecurityComponent，USC）密鑰托管部分（KeyEscrowComponent，KEC）政府監(jiān)聽部分（也就是數(shù)據(jù)恢復部分（DataRecoveryComponent，DRC）），法律授權部分（CourtAuthorizationComponent，CAC）外部攻擊部分（OutsiderAttackComponent，OAC）第四十一頁，共四十六頁，2022年，8月28日1.用戶安全部分（USC）主要是指能提供數(shù)據(jù)加解密及密鑰托管功能的硬件設備或軟件程序，其中密鑰托管功能可提供一個用來解密密文的數(shù)據(jù)恢復域DRF（DataRecoveryField）。USC主要由以下幾部分組成：（1）數(shù)據(jù)加解密算法。首先USC提供的算法是整個密鑰托管加密系統(tǒng)的基礎，其中安全強度、加密速度和密鑰長度是衡量算法優(yōu)劣的主要參數(shù)。（2）存儲的身份和密鑰。其次USC要存儲用戶、USC或托管代理等的身份，以及用戶的密鑰、USC族密鑰等，其中用戶密鑰應該唯一標識USC。這些身份和密鑰信息可被監(jiān)聽機構用來追蹤消息的源及解密被加密的數(shù)據(jù)等。（3）DRF機制。最后USC還必須提供一種機制把密文和加密密鑰K捆綁到數(shù)據(jù)恢復密鑰（即把密文和DRF捆綁在一起），使得監(jiān)聽機構能由DRF來解密加密數(shù)據(jù)，其中被捆綁到的數(shù)據(jù)恢復密鑰由托管代理掌握。DRF除了包含會話密鑰K的加密拷貝外，還包含一些身份號、加解密算法模型、校驗和等信息。整個DRF最后用一個族密鑰加密，其中它的有效性要由一種認證機制來保證。第四十二頁，共四十六頁，2022年，8月28日2.密鑰托管部分（KEC）KEC由密鑰托管代理操作，主要用來管理數(shù)據(jù)恢復密鑰的存儲和釋放，它也可能是一個公開密鑰證書管理系統(tǒng)或一個密鑰管理中心的一部分。KEC包含4個元素：①托管代理。它是KEC的操作者。②數(shù)據(jù)恢復密鑰。它