網(wǎng)絡(luò)安全導(dǎo)論 課件 第九章 密鑰管理

第9章密鑰管理0WIFI5的密鑰1對(duì)稱密鑰的分發(fā)2公鑰加密體制的密鑰管理3秘密分享提要

現(xiàn)代密碼體制中，密碼算法都是公開的，密碼系統(tǒng)的安全性完全依賴于密鑰的安全。密鑰一旦泄露，敵手便可不費(fèi)吹灰之力，輕易地把加密數(shù)據(jù)還原成明文或偽造簽名信息。因此，密鑰的安全管理在基于密碼理論建立的信息安全環(huán)境中意義重大。密鑰管理的本質(zhì)和目的就是確保密鑰是安全的，防止密鑰泄漏。要防止密鑰泄漏，就要對(duì)密鑰的產(chǎn)生、密鑰的分發(fā)、密鑰的儲(chǔ)存、密鑰的使用和銷毀等各個(gè)環(huán)節(jié)進(jìn)行精心設(shè)計(jì)。許多標(biāo)準(zhǔn)化組織提出了一些密鑰管理技術(shù)的標(biāo)準(zhǔn)，如ISO11770-X和IEEE1363。本章我們主要討論密鑰的產(chǎn)生和分發(fā)問題，探討對(duì)稱體制下共享密鑰的建立方法、公鑰體制下的公鑰管理辦法和多人分享密鑰問題。提要本章要求學(xué)生重點(diǎn)掌握主密鑰、會(huì)話密鑰、數(shù)字證書、PKI和秘密分享等概念，理解Diffie-Hellman密鑰協(xié)商協(xié)議和Shamir秘密分享方案。非IT專業(yè)學(xué)生應(yīng)練習(xí)如何安裝和使用數(shù)字證書，IT專業(yè)學(xué)生應(yīng)嘗試編程實(shí)現(xiàn)數(shù)字證書的創(chuàng)建與分發(fā)。

0

WIFI的密鑰？你在家使用WIFI加密數(shù)據(jù)時(shí)，你的密鑰和你爸的密鑰是一樣的嗎？？財(cái)經(jīng)大學(xué)的WIFI安全還是你家的WIFI更安全？Wi-Fi中的數(shù)據(jù)加密密鑰TK

你家：即WPA2-PSK模式下，TK的產(chǎn)生過程為：無線網(wǎng)絡(luò)密碼(PSK)--PMK--PTK–TK。學(xué)校：WPA2-Enterprise模式下，TK的產(chǎn)生過程為：802.1X認(rèn)證協(xié)商--PMK--PTK–TK。你家與學(xué)校你家Pmk=hash(pskIIssid)學(xué)校：pmk=hash(masterkey,snonce,anonce)

你知道兩個(gè)問題的答案了嗎？用對(duì)稱密碼體制進(jìn)行保密通信時(shí)，首先必須有一個(gè)共享的秘密密鑰.為防止攻擊者得到密鑰，還必須時(shí)常更新密鑰。密碼系統(tǒng)的強(qiáng)度也依賴于密鑰分配技術(shù)。1對(duì)稱密鑰分發(fā)1、一方產(chǎn)生，然后安全的傳給另一方2、兩方協(xié)商產(chǎn)生；3、通過可信賴第三方的參與產(chǎn)生。第一種辦法

在現(xiàn)實(shí)生活中是很普遍的。很多機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)在投入使用時(shí)，其初始的對(duì)稱密鑰往往是員工的身份證號(hào)碼。當(dāng)然，這種密鑰的傳送方式的安全性是值得商榷的。物理手段親自遞送、通過掛號(hào)信或電子郵件傳送密鑰等方法也屬于這種類型。第2種方法Diffie-Hellman密鑰交換是W.Diffie和M.Hellman于1976年提出的第一個(gè)公鑰密碼算法，已在很多商業(yè)產(chǎn)品中得以應(yīng)用。算法的惟一目的是使得兩個(gè)用戶能夠安全地交換密鑰，得到一個(gè)共享的會(huì)話密鑰，算法本身不能用于加、解密。算法的安全性基于求離散對(duì)數(shù)的困難性。

Diffie-Hellman密鑰交換圖1是密鑰分配的一個(gè)實(shí)例。假定兩個(gè)用戶A、B分別與密鑰分配中心KDC(keydistributioncenter)有一個(gè)共享的主密鑰KA和KB，A希望與B建立一個(gè)共享的一次性會(huì)話密鑰，可通過以下幾步來完成：第3種方法圖1密鑰分配實(shí)例①A向KDC發(fā)出會(huì)話密鑰請(qǐng)求。表示請(qǐng)求的消息由兩個(gè)數(shù)據(jù)項(xiàng)組成，第1項(xiàng)是A和B的身份，第2項(xiàng)是這次業(yè)務(wù)的惟一識(shí)別符N1，稱N1為一次性隨機(jī)數(shù)，可以是時(shí)戳、計(jì)數(shù)器或隨機(jī)數(shù)。每次請(qǐng)求所用的N1都應(yīng)不同，且為防止假冒，應(yīng)使敵手對(duì)N1難以猜測。因此用隨機(jī)數(shù)作為這個(gè)識(shí)別符最為合適。②KDC為A的請(qǐng)求發(fā)出應(yīng)答。應(yīng)答是由KA加密的消息，因此只有A才能成功地對(duì)這一消息解密，并且A可相信這一消息的確是由KDC發(fā)出的。消息中包括A希望得到的兩項(xiàng)內(nèi)容：一次性會(huì)話密鑰KS；A在①中發(fā)出的請(qǐng)求，包括一次性隨機(jī)數(shù)N1，目的是使A將收到的應(yīng)答與發(fā)出的請(qǐng)求相比較，看是否匹配。因此A能驗(yàn)證自己發(fā)出的請(qǐng)求在被KDC收到之前，是否被他人篡改。而且A還能根據(jù)一次性隨機(jī)數(shù)相信自己收到的應(yīng)答不是重放的過去的應(yīng)答。此外，消息中還有B希望得到的兩項(xiàng)內(nèi)容：一次性會(huì)話密鑰KS；A的身份（例如A的網(wǎng)絡(luò)地址）IDA。這兩項(xiàng)由KB加密，將由A轉(zhuǎn)發(fā)給B，以建立A、B之間的連接并用于向B證明A的身份。③A存儲(chǔ)會(huì)話密鑰，并向B轉(zhuǎn)發(fā)EKB[KS‖IDA]。因?yàn)檗D(zhuǎn)發(fā)的是由KB加密后的密文，所以轉(zhuǎn)發(fā)過程不會(huì)被竊聽。B收到后，可得會(huì)話密鑰KS，并從IDA可知另一方是A，而且還從EKB知道KS的確來自KDC。這一步完成后，會(huì)話密鑰就安全地分配給了A、B。然而還能繼續(xù)以下兩步工作：④B用會(huì)話密鑰KS加密另一個(gè)一次性隨機(jī)數(shù)N2，并將加密結(jié)果發(fā)送給A。⑤A以f(N2)作為對(duì)B的應(yīng)答，其中f是對(duì)N2進(jìn)行某種變換（例如加1）的函數(shù)，并將應(yīng)答用會(huì)話密鑰加密后發(fā)送給B。這兩步可使B相信第③步收到的消息不是一個(gè)重放。注意：第③步就已完成密鑰分配，第④、⑤兩步結(jié)合第③步執(zhí)行的是認(rèn)證功能。密鑰可根據(jù)其不同用途分為會(huì)話密鑰和主密鑰兩種類型，會(huì)話密鑰又稱為數(shù)據(jù)加密密鑰，主密鑰又稱為密鑰加密密鑰。由于密鑰的用途不同，因此對(duì)密鑰的使用方式也希望加以某種控制。如果主密鑰泄露了，則相應(yīng)的會(huì)話密鑰也將泄露，因此主密鑰的安全性應(yīng)高于會(huì)話密鑰的安全性。一般在密鑰分配中心以及終端系統(tǒng)中主密鑰都是物理上安全的，如果把主密鑰當(dāng)作會(huì)話密鑰注入加密設(shè)備，那么其安全性則降低。主密鑰與會(huì)話密鑰會(huì)話密鑰更換得越頻繁，系統(tǒng)的安全性就越高。因?yàn)閿呈旨词公@得一個(gè)會(huì)話密鑰，也只能獲得很少的密文。但另一方面，會(huì)話密鑰更換得太頻繁，又將延遲用戶之間的交換，同時(shí)還造成網(wǎng)絡(luò)負(fù)擔(dān)。所以在決定會(huì)話密鑰的有效期時(shí)，應(yīng)權(quán)衡矛盾的兩個(gè)方面。主密鑰與會(huì)話密鑰對(duì)面向連接的協(xié)議，在連接未建立前或斷開時(shí)，會(huì)話密鑰的有效期可以很長。而每次建立連接時(shí)，都應(yīng)使用新的會(huì)話密鑰。如果邏輯連接的時(shí)間很長，則應(yīng)定期更換會(huì)話密鑰。無連接協(xié)議（如面向業(yè)務(wù)的協(xié)議），無法明確地決定更換密鑰的頻率。為安全起見，用戶每進(jìn)行一次交換，都用新的會(huì)話密鑰。然而這又失去了無連接協(xié)議主要的優(yōu)勢(shì)，即對(duì)每個(gè)業(yè)務(wù)都有最少的費(fèi)用和最短的延遲。比較好的方案是在某一固定周期內(nèi)或?qū)σ欢〝?shù)目的業(yè)務(wù)使用同一會(huì)話密鑰。公鑰加密的一個(gè)主要用途是分配單鑰密碼體制使用的密鑰。本節(jié)介紹兩方面內(nèi)容：——公鑰密碼體制所用的公開密鑰的分配?！绾斡霉€體制來分配單鑰體制所需密鑰。2公鑰加密體制的密鑰管理1.公開發(fā)布公開發(fā)布指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團(tuán)體廣播。例如PGP（prettygoodprivacy）中采用了RSA算法，它的很多用戶都是將自己的公鑰附加到消息上，然后發(fā)送到公開（公共）區(qū)域，如因特網(wǎng)郵件列表。2.1公鑰的分配特點(diǎn)：方法簡單。缺點(diǎn)：一個(gè)非常大的缺點(diǎn)，即任何人都可偽造這種公開發(fā)布。如果某個(gè)用戶假裝是用戶A并以A的名義向另一用戶發(fā)送或廣播自己的公開鑰，則在A發(fā)現(xiàn)假冒者以前，這一假冒者可解讀所有意欲發(fā)向A的加密消息，而且假冒者還能用偽造的密鑰獲得認(rèn)證。2.公用目錄表公用目錄表指一個(gè)公用的公鑰動(dòng)態(tài)目錄表，公用目錄表的建立、維護(hù)以及公鑰的分布由某個(gè)可信的實(shí)體或組織承擔(dān)，稱這個(gè)實(shí)體或組織為公用目錄的管理員。與第1種分配方法相比，這種方法的安全性更高。該方案有以下一些組成部分：①管理員為每個(gè)用戶都在目錄表中建立一個(gè)目錄，目錄中有兩個(gè)數(shù)據(jù)項(xiàng):一是用戶名，二是用戶的公開鑰。②每一用戶都親自或以某種安全的認(rèn)證通信在管理者那里為自己的公開鑰注冊(cè)。③用戶如果由于自己的公開鑰用過的次數(shù)太多或由于與公開鑰相關(guān)的秘密鑰已被泄露，則可隨時(shí)用新密鑰替換現(xiàn)有的密鑰。④管理員定期公布或定期更新目錄表。例如，像電話號(hào)碼本一樣公布目錄表或在發(fā)行量很大的報(bào)紙上公布目錄表的更新。⑤用戶可通過電子手段訪問目錄表，這時(shí)從管理員到用戶必須有安全的認(rèn)證通信。本方案的安全性雖然高于公開發(fā)布的安全性，但仍易受攻擊。如果敵手成功地獲取管理員的秘密鑰，就可偽造一個(gè)公鑰目錄表，以后既可假冒任一用戶又能監(jiān)聽發(fā)往任一用戶的消息。而且公用目錄表還易受到敵手的竄擾。3.公鑰證書分配公鑰的另一方法是公鑰證書，用戶通過公鑰證書來互相交換自己的公鑰而無須與公鑰管理機(jī)構(gòu)聯(lián)系。公鑰證書由證書管理機(jī)構(gòu)CA(certificateauthority)為用戶建立，圖5證書的產(chǎn)生過程X.509證書格式美國銀行數(shù)字證書示例因?yàn)橹挥杏肅A的公鑰才能解讀證書，接收方從而驗(yàn)證了證書的確是由CA發(fā)放的，且也獲得了發(fā)送方的身份IDA和公開鑰PKA。時(shí)戳T為接收方保證了收到的證書的新鮮性，用以防止發(fā)送方或敵方重放一舊證書。因此時(shí)戳可被當(dāng)作截止日期，證書如果過舊，則被吊銷。公鑰基礎(chǔ)設(shè)施PKI

上述數(shù)字證書要能在網(wǎng)絡(luò)環(huán)境下廣泛使用，必須要解決如下問題：證書頒發(fā)機(jī)構(gòu)必須是可信的，其公鑰也必須被大家所熟知或能夠被查證。必須提供統(tǒng)一的接口，使用戶能方便地使用基于數(shù)字證書的加密、簽名等安全服務(wù)。一個(gè)證書頒發(fā)機(jī)構(gòu)所支持的用戶數(shù)量是有限的，多個(gè)證書頒發(fā)機(jī)構(gòu)需要解決相互之間的承認(rèn)與信任等問題。用戶數(shù)字證書中公鑰所對(duì)應(yīng)私鑰有可能被泄露或過期，因而必須要有一套數(shù)字證書作廢管理辦法，避免已經(jīng)泄露私鑰的數(shù)字證書再被使用。公鑰基礎(chǔ)設(shè)施PKI

公鑰基礎(chǔ)設(shè)施PKI，即“PublicKeyInfrastructure”，是基于公鑰理論和技術(shù)解決上述問題的一整套方案。PKI的構(gòu)建和實(shí)施主要圍繞認(rèn)證機(jī)構(gòu)CA、證書和證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、證書歷史檔案系統(tǒng)和多PKI間的互操作性來進(jìn)行。國家網(wǎng)絡(luò)信任體系建設(shè)公開鑰分配完成后，用戶就可用公鑰加密體制進(jìn)行保密通信。然而由于公鑰加密的速度過慢，以此進(jìn)行保密通信不太合適，但用于分配單鑰密碼體制的密鑰卻非常合適。2.2用公鑰加密分配單鑰密碼體制的密鑰也稱為托管加密，其目的是保證對(duì)個(gè)人沒有絕對(duì)的隱私和絕對(duì)不可跟蹤的匿名性，即在強(qiáng)加密中結(jié)合對(duì)突發(fā)事件的解密能力。其實(shí)現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來，數(shù)據(jù)恢復(fù)密鑰不必是直接解密的密鑰，但由它可得解密密鑰。數(shù)據(jù)恢復(fù)密鑰由所信任的委托人持有，委托人可以是政府機(jī)構(gòu)、法院或有契約的私人組織。一個(gè)密鑰可能是在數(shù)個(gè)這樣的委托人中分拆。調(diào)查機(jī)構(gòu)或情報(bào)機(jī)構(gòu)通過適當(dāng)?shù)某绦?，如獲得法院證書，從委托人處獲得數(shù)據(jù)恢復(fù)密鑰。3密鑰托管意義：密鑰托管加密技術(shù)提供了一個(gè)備用的解密途徑，政府機(jī)構(gòu)在需要時(shí)，可通過密鑰托管技術(shù)解密用戶的信息，而用戶的密鑰若丟失或損壞，也可通過密鑰托管技術(shù)恢復(fù)自己的密鑰。所以這個(gè)備用的手段不僅對(duì)政府有用，而且對(duì)用戶自己也有用。1993年4月，美國政府為了滿足其電信安全、公眾安全和國家安全，提出了托管加密標(biāo)準(zhǔn)EES(escrowedencryptionstandard)，該標(biāo)準(zhǔn)所使用的托管加密技術(shù)不僅提供了強(qiáng)加密功能，同時(shí)也為政府機(jī)構(gòu)提供了實(shí)施法律授權(quán)下的監(jiān)聽功能。這一技術(shù)是通過一個(gè)防竄擾的芯片(稱為Clipper芯片)來實(shí)現(xiàn)的。3.1美國托管加密標(biāo)準(zhǔn)簡介它有兩個(gè)特性：①一個(gè)加密算法——Skipjack算法，該算法是由NSA設(shè)計(jì)的，用于加（解）密用戶間通信的消息。該算法已于1998年3月公布。②為法律實(shí)施提供“后門”的部分——法律實(shí)施存取域LEAF(lawenforcementaccessfield)。通過這個(gè)域，法律實(shí)施部門可在法律授權(quán)下，實(shí)現(xiàn)對(duì)用戶通信的解密。1.Skipjack算法Skipjack算法是一個(gè)單鑰分組加密算法，密鑰長80比特，輸入和輸出的分組長均為64比特。可使用4種工作模式：電碼本模式，密碼分組鏈接模式，64比特輸出反饋模式，1、8、16、32或64比特密碼反饋模式。算法的內(nèi)部細(xì)節(jié)在向公眾公開以前，政府邀請(qǐng)了一些局外人士對(duì)算法作出評(píng)價(jià)，并公布了評(píng)價(jià)結(jié)果。評(píng)價(jià)結(jié)果認(rèn)為算法的強(qiáng)度高于DES，并且未發(fā)現(xiàn)陷門。Skipjack的密鑰長是80比特，比DES的密鑰長24比特，因此通過窮搜索的蠻力攻擊比DES多224倍的搜索。所以若假定處理能力的費(fèi)用每18個(gè)月減少一半，那么破譯它所需的代價(jià)要1.5×24=36年才能減少到今天破譯DES的代價(jià)。在導(dǎo)彈控制發(fā)射、重要場所通行檢驗(yàn)等情況下，通常必須由兩人或多人同時(shí)參與才能生效，這時(shí)都需要將秘密分給多人掌管，并且必須有一定人數(shù)的掌管秘密的人同時(shí)到場才能恢復(fù)這一秘密。由此，引入門限方案（thresholdschemes）的一般概念。4秘密分割

4.1秘密分割門限方案定義5.1設(shè)秘密s被分成n個(gè)部分信息，每一部分信息稱為一個(gè)子密鑰或影子，由一個(gè)參與者持有，使得：①由k個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)s。②由少于k個(gè)參與者所持有的部分信息則無法重構(gòu)s。則稱這種方案為(k,n)秘密分割門限方案，k稱為方案的門限值。如果一個(gè)參與者或一組未經(jīng)授權(quán)的參與者在猜測秘密s時(shí)，并不比局外人猜秘密時(shí)有優(yōu)勢(shì)，即③由少于k個(gè)參與者所持有的部分信息得不到秘密s的任何信息。則稱這個(gè)方案是完善的，即(k,n)-秘密分割門限方案是完善的。下面介紹最具代表性的兩個(gè)秘密分割門限方案。Shamir門限方案是基于多項(xiàng)式的Lagrange插值公式的。設(shè){(x1,y1),…,(xk,yk)}是平面上k個(gè)點(diǎn)構(gòu)成的點(diǎn)集，其中xi(i=1,…,k)均不相同，那么在平面上存在一個(gè)惟一的k-1次多項(xiàng)式f(x)通過這k個(gè)點(diǎn)。若把密鑰s取作f(0),n個(gè)子密鑰取作f(xi)(i=1,2,…,n)，那么利用其中的任意k個(gè)子密鑰可重構(gòu)f(x)，從而可得密鑰s。4.2Shamir門限方案這種門限方案也可按如下更一般的方式來構(gòu)造。設(shè)GF(q)是一有限域，其中q是一大素?cái)?shù)，滿足q≥n+1,秘密s是在GF(q)\{0}上均勻選取的一個(gè)隨機(jī)數(shù)，表示為s∈RGF(q)\{0}。k-1個(gè)系數(shù)a1,a2,…,ak-1的選取也滿足ai∈RGF(q)

\{0}(i=1,2,…,k-1)。在GF(q)上構(gòu)造一個(gè)k-1次多項(xiàng)式f(x)=a0+a1x+…+ak-1xk-1。n個(gè)參與者記為P1,P2,…,Pn,Pi分配到的子密鑰為f(i)。如果任意k個(gè)參與者要想得到秘密s，可使用{(il,f(il))|l=1,…,k}構(gòu)造如下的線性方程組：(5.1)因?yàn)閕l(1≤l≤k)均不相同，所以可由Lagrange插值公式構(gòu)造如下的多項(xiàng)式：從而可得秘密s=f(0)。然而參與者僅需知道f(x)的常數(shù)項(xiàng)f(0)而無需知道整個(gè)多項(xiàng)式f(x)，所以僅需以下表達(dá)式就可求出s：如果k-1個(gè)參與者想獲得秘密s,他們可構(gòu)造出由k-1個(gè)方程構(gòu)成的線性方程組,其中有k個(gè)未知量。對(duì)GF(q)中的任一值s0，可設(shè)f(0)=s0，這樣可得第k個(gè)方程，并由Lagrange插值公式得出f(x)。因此對(duì)每一s0∈GF(q)都有一個(gè)惟一的多項(xiàng)式滿足式（5.1），所以已知k-1個(gè)子密鑰得不到關(guān)于秘密s的任何信息，因此這個(gè)方案是完善的。例5.1設(shè)k=3,n=5,q=19,s=11，隨機(jī)選取a1=2,a2=7，得多項(xiàng)式為f(x)=(7x2+2x+11)mod19分別計(jì)算 f(1)=(7+2+11)mod19=20mod19=1 f(2)=(28+4+11)mod19=43mod19=5 f(3)=(63+6+11)mod19=80mod19=4 f(4)=(112+8+11)mod19=131mod19=17 f(5)=(175+10+11)mod19=196mod19=6得5個(gè)子密鑰。如果知道其中的3個(gè)子密鑰f(2)=5,f(3)=4,f(5)=6，就可按以下方式重構(gòu)f(x)：所以從而得秘密為s=11。首先選取一大素?cái)?shù)q，正整數(shù)s，以及n個(gè)嚴(yán)格遞增的數(shù)m1,m2,…,mn,滿足①q>s。②(mi,mj)=1(i,j,i≠j)。③(q,mi)=1(i)。④。4.3Asmuth-Bloom門限方案以s作為秘密數(shù)據(jù)，條件①指出，秘密數(shù)據(jù)小于q，條件④指出，N/q大于任取的k-1個(gè)不同的mi之積。進(jìn)而，隨機(jī)選取A，滿足0≤A≤[N/q]-1，并公布q和A。求y=s+Aq(由上知y<N)，和yi≡y(modmi)(i=1,…,n)，(mi,yi)即為一個(gè)子密鑰，集合{(mi,yi)}ni=1即構(gòu)成了一個(gè)(k,n)門限方案。這是因?yàn)?，?dāng)k個(gè)參與者（記為i1,i2,…,