密碼學與信息安全第10章 密鑰管理和其他公鑰密碼體制課件

第10章密鑰管理和其他公鑰密碼體制密鑰管理公鑰密碼的主要作用之一就是解決密鑰分配問題，在這方面，公鑰密碼實際上可用于下列兩個不同的方面：公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配公鑰的分配密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制利用公鑰密碼分配傳統(tǒng)密碼體制的密鑰（p302） 不過，這個協(xié)議是不安全的，因為對手可以截獲消息，然后可以重放截獲的消息或者對消息進行替換。這樣的攻擊稱為中間人攻擊。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制利用公鑰密碼分配傳統(tǒng)密碼體制的對稱密鑰A產生公/私對{PUa，PRa}，并將含有PUa和其標識IDA的消息發(fā)送給B。E截獲該消息，產生其公/私鑰對{PUe，PRe}，并將含有PUe和其標識IDA的消息發(fā)送給B。B產生秘密鑰Ks，并發(fā)送E（PUe，Ks）。E截獲該消息，并通過計算D（PRe，E（PUe，Ks））得出Ks.E發(fā)送E（PUa，Ks）給A。結果是，A和B均已知Ks，但他們不知道E也已知道Ks。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制Diffie-Hellman密鑰交換(p216-217)密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制Diffie-Hellman密鑰交換K=(YB)XAmodq

=(aXBmodq)XAmodq

=(aXB)XAmodq根據模算術的運算規(guī)律

=(aXBXAmodq

=(aXA)XBmodq

=(aXAmodq)XBmodq

=(YA)XBmodq可見這種方法的確可以完成交換秘密鑰的工作，要對用戶B的密鑰進行攻擊，就必須先計算XB=dloga,q(YB)，當q很大，是個離散對數難題。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制舉例Diffie-Hellman密鑰交換①usersAlice&Bobagreeonprimeq=353andα=3②selectrandomsecretkeys:③computepublickeys:④computesharedsessionkeyas:xA=97xB=233yA= (Alice)yB= (Bob)397mod353=403233mod353=248KAB= (Alice)KAB= (Bob)yBxAmod353=24897=160yAxBmod353=40233=160密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制Diffie-Hellman密鑰交換課堂練習：用戶A和B使用DH技術交換秘密鑰，公用素數q=71，本原根a=7，若用戶A的私鑰XA=5，則A的公鑰YA為多少？若用戶B的私鑰XB=12，則B的公鑰YB為多少？共享的密鑰為多少？密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制密鑰交換協(xié)議假定A希望和B建立連接，并使用秘密鑰對該次連接中的消息加密。下圖給出了使用DH算法的簡單協(xié)議密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制針對DH密鑰交換的中間人攻擊前面所示的協(xié)議是不能抵抗所謂的中間人攻擊。其中，攻擊者是P：（1）P隨機地選擇xp，并計算yp=α

Xpmodq，生成屬于P的公鑰yp；（2）A計算：ya=α

Xamodq，并將ya

發(fā)給B；（3）P中途攔截ya

，并發(fā)送yp

給B；密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制（4）B計算yb=Xb

modq，并將yb

發(fā)給A（5）P中途攔截yb

，并發(fā)送yp

給A；于是，執(zhí)行DH密鑰交換協(xié)議之后，A實際上和攻擊者P之間建立了秘密鑰Kap=α

XpXamodp，B和攻擊者P之間建立了秘密密鑰Kbp=α

XpXbmodp，當A加密一個消息發(fā)送給B時，P能解密它而B不能。類似地，當B加密一個消息發(fā)送給A時，P能解密它而A不能，P從中截獲消息，既可以完成竊聽，還可以修改構造假消息。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰的分配（p304）人們已經提出了幾種公鑰分配方法：公開發(fā)布)公開可訪問目錄公鑰授權公鑰證書密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰的分配表面上看，公鑰的特點是公鑰可以公開發(fā)布。公鑰的公開發(fā)布這種方法比較簡單，但它有個較大的缺點，即任何人都可以偽造這種公鑰的公開發(fā)布密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰的分配公開可訪問的目錄密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰的分配管理員通過對每一通信方建立一個目錄項{姓名，公鑰}來維護該目錄。每一通信方通過目錄管理員來注冊一個公鑰。注冊必須親自或通過安全的認證通信來進行。通信方在任何時刻可以用新的密鑰替代當前密鑰。這可能是因為公鑰已用于大量的數據，因而用戶希望更換公鑰，也可能是因為相應的私鑰已經泄密。管理員定期發(fā)布或更新該目錄。通信方也可以訪問電子目錄。為實現(xiàn)這一目標，必須有從管理員到他的安全的認證通信。這種方法的缺點是一旦攻擊者獲得或計算出目錄管理員的私鑰，則他可以傳遞偽造的公鑰，因此他可以假冒任何通信方，以竊取發(fā)送給該通信方的消息。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰的分配公鑰授權（p305）通過更加嚴格的控制目錄中的公鑰分配，可使公鑰分配更加安全。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權

該方案中假定中心管理員負責維護通信各方公鑰的動態(tài)目錄，除此之外，每一通信方可靠地知道目錄管理員的公鑰，并且只有管理員知道相應的私鑰。這種方案包含以下步驟：

密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權A發(fā)送一條帶有時間戳的消息給公鑰管理員，以請求B的當前公鑰。（1）密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權

管理員給A發(fā)送一條用其私鑰PRauth加密的消息，這樣A就可用管理員的公鑰對接收到的消息解密，因此A可以確信該消息來自管理員。（2）密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權(3)A保存B的公鑰，并用它對包含A的標識（IDA）和臨時交互號（N1）的消息加密，然后發(fā)送給B。這里，臨時交互號是用來惟一標識本次交易的。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權(4,5)與A檢索B的公鑰一樣，B以同樣的方法從管理員處檢索出A的公鑰。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權(6)B用PUa對A的臨時交互號（N1）和B所產生的新臨時交互號（N2）加密，并發(fā)送給A。因為只有B可以解密消息（3），所以消息（6）中的N1可以使A確信其通信伙伴就是B。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰授權(7)

A用B的公鑰對N2加密并發(fā)送給B，以使B相信其通信伙伴是A。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰證書（p306）

以上的方案雖然不錯，但它還是有缺陷。因為用戶要與其他用戶通信，他就必須向目錄管理員申請對方的公鑰，因此公鑰管理員就會成為系統(tǒng)的瓶頸。像前面一樣，管理員所維護的含有姓名和公鑰的目錄也容易被篡改。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰證書

最早由Kohnfelder提出了使用證書的方法。通信各方使用證書來交換密鑰而不是通過公鑰管理員。在某種意義上，這種方案與直接從公鑰管理員處獲得密鑰的可靠性相同。證書包含公鑰和密鑰擁有者的標識，整個數據塊由可信的第三方(CA)進行簽名。通常，第三方是證書管理員，如政府機構，或者金融機構，為用戶群所信任。一個用戶以一種安全的方式將他的公鑰交給管理員，從而獲得一個證書。接著用戶就可以公開證書，任何需要該用戶公鑰的人都可以獲得這個證書，并通過查看附帶的可信簽名來驗證證書的有效性。通信的一方也可通過傳遞證書的方式將他的密鑰信息傳達給另一方。其他通信各方可以驗證該證書確實是由證書管理員生成的。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰證書這種方法應滿足下列要求：任何通信方可以讀取證書并確定證書擁有者的姓名和公鑰。任何通信方可以驗證該證書出自證書管理員，而不是偽造的。只有證書管理員可以產生并更新證書。任何通信方可以驗證證書的當前性（即是否過期）。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制公鑰證書證書的形式為時戳T保證證書的當前性，防止重放舊證書

IDA－通信方A身份,PUA-A的公鑰,PRCA－CA的私鑰密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制接收方用CA的公鑰才能讀取證書，接收方可以驗證此證書確實出自證書管理員；IDA和PUA向接收方提供證書的擁有者的姓名和公鑰；時間戳T用來驗證證書的當前性。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制具有保密性和真實性的對稱密鑰分配（1）A用B的公鑰對含有其標識IDA和臨時交互號（N1）的消息加密，并發(fā)送給B。其中N1用來惟一標識本次交易。（2）B發(fā)送一條用PUa加密的消息，該消息包含A的臨時交互號（N1）和B產生的新臨時交互號（N2）.因為只有B可以解密消息（1），所以消息（2）中的N1可使A確信其通信伙伴是B。密碼學與信息安全第10章密鑰管理和其他公鑰密碼體制具有保密性和真實性的對稱密鑰分配（3）A用B的公鑰