新編密碼學(xué) 課件 第9章 密鑰管理

9.1密鑰管理的生命周期

9.2單鑰體制的密鑰管理

9.3公鑰體制的密鑰管理

9.4秘密共享9.1密鑰管理的生命周期密碼技術(shù)的核心思想是利用加密手段把對大量數(shù)據(jù)的保護(hù)歸結(jié)為對若干核心參數(shù)的保護(hù),而最關(guān)鍵的核心參數(shù)是系統(tǒng)中的各種密鑰。密鑰管理的目的是確保系統(tǒng)中各種密鑰的安全性不受威脅。密鑰管理除了技術(shù)因素以外,還與人的因素密切相關(guān),不可避免地

要

涉

及

物

理

的、行

政

的、人

事

的

等

方

面

的

問

題,但

我

們最關(guān)心的還是理論和技術(shù)上的一些問題。1.密鑰管理的完整過程密鑰管理覆蓋了密鑰的整個生命周期。對于一個具體的

實(shí)

體,密

鑰

管

理

的

完

整

過程大致可分成12個階段,階段之間相互關(guān)聯(lián)構(gòu)成密鑰管理的完整生命周期,如圖9-1所示。1)用戶登記在用戶登記階段,一個實(shí)體成為一個安全域的授權(quán)成員。用戶登記包括通過安全的一次性技術(shù)實(shí)現(xiàn)初始密鑰材料(如共享的口令或PIN碼)的獲取、創(chuàng)建或交換。2)系統(tǒng)和用戶初始化系統(tǒng)初始化是指搭建和配置一個用于安全操作的系統(tǒng)。用戶初始化就是一個實(shí)體初始化加密應(yīng)用的過程,如軟件和硬件的安裝和初始化,其中包括用戶或用戶登記期間所獲得的初始密鑰材料的安裝。3)密鑰材料安裝密鑰材料是用于生成密鑰的一些系統(tǒng)要素,密鑰材料的安全安裝是保證整個系統(tǒng)安全的關(guān)鍵。密鑰材料安裝是指將密鑰材料配置到一個實(shí)體的軟件或硬件中,以便于使用。用于密鑰材料安裝的技術(shù)和設(shè)備包括手工輸入口令或PIN碼、磁盤交換、ROM設(shè)備、智能卡或其他硬件設(shè)備。初始密鑰材料可用于創(chuàng)建一個安全的在線會話環(huán)境,以實(shí)現(xiàn)工作密鑰的建立。當(dāng)上述項目第一次建立時,新的密鑰材料要加入現(xiàn)有的密鑰材料中;當(dāng)現(xiàn)有密鑰材料需要被更新時,則要進(jìn)行新密鑰材料的安裝。4)密鑰生成密鑰生成是指按照預(yù)定的規(guī)則,采用可行的措施和機(jī)制產(chǎn)生符合應(yīng)用目標(biāo)或算法屬性要求的、具有可預(yù)見概率的、偽隨機(jī)的有效密鑰。一個實(shí)體可以生成自己的密鑰,也可以從可信的實(shí)體處獲取。5)密鑰登記密鑰登記是指將密鑰材料記錄下來,并與相關(guān)實(shí)體的信息和屬性捆綁在一起。捆綁的信息一般是密鑰材料相關(guān)實(shí)體的身份與相應(yīng)的認(rèn)證信息或指定信任級別,如認(rèn)證生成公鑰、公鑰證書等。密鑰登記后,對其感興趣的實(shí)體再通過一個公開目錄或其他方式來訪問密鑰。6)密鑰的正常使用密鑰管理的目的是方便密鑰的安全使用。通常情況下,密鑰在其有效期之內(nèi)都可以使用,但也存在一些需要注意的問題。比如,當(dāng)一個用戶擁有多個密鑰時,要注意把不同的密鑰用于不同的場合;在某些情況下,密鑰的有效期有可能被提前終止,或者需要提前更新正在使用的密鑰;對于公鑰體制,在某種情況下可能公鑰已經(jīng)不再適合繼續(xù)用于加密,但相應(yīng)的私鑰還需要用于解密。這些都是在密鑰使用過程需要注意的問題。7)密鑰材料備份密鑰材料備份是指將密鑰材料的副本備份到獨(dú)立的有安全保障的存儲媒體上,當(dāng)需要恢復(fù)密鑰時可為密鑰恢復(fù)提供數(shù)據(jù)源。8)密鑰存檔密鑰存檔指的是對過了有效期或者提前撤銷的密鑰進(jìn)行較長時間的離線保存。密鑰過了有效期或者因為意外情況不得不提前撤銷時,該密鑰及相關(guān)的密鑰材料就不能再正常使用了,但不能直接銷毀它們,通常還需要將它們保存一定的時間,以便在某種特殊的情況下需要用到時能夠?qū)ζ溥M(jìn)行檢索。例如,對產(chǎn)生于過去的數(shù)字簽名的認(rèn)證可能需要簽名者已經(jīng)不再使用的公鑰,某些涉及過去行為的爭議仲裁也可能需要當(dāng)事人的舊密鑰。9)密鑰更新密鑰更新是指如果當(dāng)前密鑰的有效期即將結(jié)束,則需要一個新的密鑰來取代當(dāng)前正在使用的密鑰,才能保證各種必要的安全保護(hù)不降級。密鑰更新可以通過使用重新生成的密鑰取代原有密鑰的方式來實(shí)現(xiàn)。當(dāng)然,密鑰更新以后還需要重新進(jìn)行安裝、登記、備份、發(fā)布等處理,才能投入正常使用。10)密鑰恢復(fù)從備份或者存檔的密鑰材料中檢索出與某個密鑰有關(guān)的內(nèi)容并重新構(gòu)造出該密鑰的過程稱為密鑰恢復(fù)。如果密鑰因為某種原因丟失或損壞,但可以確信這種丟失或損壞不會帶來任何安全威脅(如設(shè)備損壞或口令被遺忘),則可以從原來備份的密鑰材料中恢復(fù)出該密鑰。11)密鑰撤銷有些時候,在一個密鑰的正常生命周期結(jié)束之前必須將其提前作廢,不再使用,這就是密鑰撤銷。這可能是因為該密鑰的安全已經(jīng)受到威脅(比如被泄密),或者是因為與該密鑰相關(guān)的實(shí)體其自身狀況已發(fā)生變化(比如人事變動),致使必須提前終止對該密鑰的使用。密鑰撤銷可以通過公告或者逐個通知所有可能使用該密鑰材料的實(shí)體來實(shí)現(xiàn),告知的內(nèi)容應(yīng)包括密鑰材料的完整ID、撤銷的日期時間、撤銷的原因等。對于基于證書分發(fā)的公鑰,密鑰撤銷就是撤銷相應(yīng)的證書并通過某種途徑公之于眾。密鑰撤銷以后,相關(guān)實(shí)體還必須采取有效的措施來處理那些曾受被撤銷密鑰保護(hù)的信息,確保不破壞它們的安全性。12)密鑰取消登記與銷毀對于那些不再需要保留或者不再需要維護(hù)它與某個實(shí)體聯(lián)系的密鑰材料,應(yīng)該將其從密鑰登記中取消,即所有的密鑰材料及其相關(guān)的記錄應(yīng)從所有現(xiàn)有密鑰的正式記錄中清除,所有的密鑰備份應(yīng)被銷毀,任何存儲過該密鑰材料的媒體應(yīng)該被安全清除以消除與該密鑰有關(guān)的所有信息,以使該密鑰不能再以物理的或電子的方式恢復(fù)。2.密鑰狀態(tài)的劃分從密鑰使用的角度來觀察生命周期不同階段中的密鑰,可以將它們歸為不同的狀態(tài),密鑰的狀態(tài)決定了如何對它們進(jìn)行操作。下面就是密鑰狀態(tài)的一種分法:(1)預(yù)運(yùn)行狀態(tài):此狀態(tài)的密鑰還不能用于正常的密碼操作,也就是說還不能正式使用。(2)運(yùn)行中狀態(tài):此狀態(tài)的密鑰是可用的,且處于正常使用中。(3)后運(yùn)行狀態(tài):此狀態(tài)的密鑰已經(jīng)不再用于通常的用途,但在某些特定情況下還有可能需要對其進(jìn)行離線訪問或查詢。(4)過期狀態(tài):此狀態(tài)的密鑰在任何情況下都不會再用,所有與密鑰相關(guān)的記錄已被銷毀或即將被銷毀。9.2單鑰體制的密鑰管理密鑰管理活動需要處理密鑰從產(chǎn)生到銷毀的整個過程中的所有問題。在過去的點(diǎn)對點(diǎn)通信系統(tǒng)中,通常都是采用手工方式處理密鑰管理的問題。在當(dāng)前的多用戶網(wǎng)絡(luò)通信背景下,網(wǎng)絡(luò)環(huán)境復(fù)雜多變,系統(tǒng)用戶數(shù)量巨大,密鑰管理任務(wù)極其艱巨,因此要求密鑰管理系統(tǒng)能夠逐步實(shí)現(xiàn)自動化操作。雖然當(dāng)前已經(jīng)設(shè)計出了多種自動密鑰分配機(jī)制,它們能夠快速、透明、安全地交換密鑰,且某些方案已被成功使用,如Kerberos和ANSIX9.17方案采用了DES技術(shù),ISO-CCITTX.509目錄論證方案主要依賴于公鑰技術(shù),然而在某些場景下,仍然可能需要對密鑰進(jìn)行手工處理,以增加密鑰管理的有效性。9.2.1密鑰的分類為了增強(qiáng)密鑰的安全性,通常根據(jù)使用場合將密鑰分成很多不同的種類,并對不同種類的密鑰采取不同的管理策略。從密鑰用途和功能的角度可將密鑰分成用于機(jī)密性的加/解密密鑰、完整性論證密鑰、數(shù)字簽名密鑰和密鑰協(xié)商密鑰等種類。但從密鑰管理的角度,一般將密鑰分為以下幾種:(1)初始密鑰(OriginalKey):由用戶選定或者系統(tǒng)分配,可在較長時間內(nèi)有效,通常用它來啟動和控制系統(tǒng)的密鑰生成器,產(chǎn)生一次通信過程使用的會話密鑰。因此初始密鑰的使用頻率并不高,并且不直接用于保密通信過程,有利于初始密鑰本身和整個系統(tǒng)的安全。(2)會話密鑰:是兩個通信終端用戶在一次通信過程中真正使用的密鑰,它主要用來對傳輸中的數(shù)據(jù)進(jìn)行加密,因此也稱為數(shù)據(jù)加密密鑰。會話密鑰可以使用戶不必頻繁地更換主密鑰等其他密鑰,有利于密鑰的安全和管理。會話密鑰使用的時間較短,這樣就限制了攻擊者能夠截獲的同一密鑰加密的密文量,增加了密碼分析的難度,有利于數(shù)據(jù)的安全。另外,在不慎將會話密鑰丟失的情況下,由于受影響的密文數(shù)量有限,因而能夠減少損失。會話密鑰一般是在一次會話開始時根據(jù)需要通過協(xié)議自動建立并分發(fā)的,因而降低了密鑰管理的難度。(3)密鑰加密密鑰(Key-encryptionKey):在密鑰分配協(xié)議中用于對傳輸中的會話密鑰等其他密鑰進(jìn)行加密的密鑰,也稱密鑰傳送密鑰。通信網(wǎng)中的每個節(jié)點(diǎn)都要配備一個這樣的密鑰,并且各不相同,每臺主機(jī)都應(yīng)存儲其他有關(guān)主機(jī)的密鑰加密密鑰。(4)主密鑰(MasterKey):對密鑰加密密鑰進(jìn)行保護(hù)的密鑰,它的層次最高,通常不受密碼學(xué)手段保護(hù),采用手工分配,或者是在初始階段通過過程控制在物理或電子隔離環(huán)境下安裝。從密鑰使用的有效期來看,上述4種密鑰中,會話密鑰一定是短期密鑰,初始密鑰和主密鑰的使用期限一般較長,而密鑰加密密鑰可能是長期有效的,也可能是暫時的。這種分層的密鑰結(jié)構(gòu)使每一個密鑰被使用的次數(shù)都不太多,同一密鑰產(chǎn)生的密文數(shù)量不太大,能被密碼分析者利用的信息較少,有利于系統(tǒng)的安全。9.2.2密鑰分配的基本方法密鑰分配(KeyDistribution)是密鑰管理工作中最為困難的環(huán)節(jié)之一。在單鑰密碼體制下,兩個用戶要進(jìn)行保密通信,首先必須有一個共享的會話密鑰。同時,為了避免攻擊者獲得密鑰,還必須時常更新會話密鑰,這都需要用到密鑰分配的理論和技術(shù)。單鑰體制密鑰分配的基本方法主要有以下幾種:(1)由通信雙方中的一方選取并用手工方式發(fā)送給另一方。(2)由雙方信任的第三方選取并用手工方式發(fā)送給通信的雙方。(3)如果雙方之間已經(jīng)存在一個共享密鑰,則其中一方選取新密鑰后可用已共享的密鑰加密新密鑰,然后通過網(wǎng)絡(luò)發(fā)送給另一方。(4)如果雙方與信任的第三方之間分別有一個共享密鑰,那么可由信任的第三方選取一個密鑰并通過各自的共享密鑰加密發(fā)送給雙方。前兩種方法是手工操作。雖然在網(wǎng)絡(luò)通信的大多數(shù)場景下手工操作是不實(shí)際的,但在個別情況下還是可行的。比如,對用戶主密鑰進(jìn)行配置時,使用手工方式則更可靠。后兩種方法是網(wǎng)絡(luò)環(huán)境下經(jīng)常使用的密鑰分配方法。由于可以通過網(wǎng)絡(luò)自動或者半自動地實(shí)現(xiàn),因此能夠滿足網(wǎng)絡(luò)用戶數(shù)量巨大的需求,特別是第四種方法,由于存在一個雙方都信任的第三方(稱為可信第三方),只要大家分別與這個可信第三方建立共享密鑰,就無須再兩兩建立共享密鑰,從而大大減少了必需的共享密鑰數(shù)量,降低了密鑰分配的代價。這樣的可信第三方通常是一個專門為用戶分配密鑰的密鑰分配中心。在這樣的背景下,系統(tǒng)的每個用戶(主機(jī)、應(yīng)用程序或者進(jìn)程)與KDC建立一個共享密鑰,即主密鑰,當(dāng)某兩個用戶需要進(jìn)行保密通信時,可以請求KDC利用各自的主密鑰為他們分配一個共享密鑰作為會話密鑰加密密鑰或者直接作為會話密鑰(如果是前者,則再使用上述第三種方法建立會話密鑰)。一次通信完成后,會話密鑰立即作廢,而主密鑰的數(shù)量與用戶數(shù)量相同,可以通過更安全的方式甚至手工方式配置。圖9-2是借助密鑰分配中心進(jìn)行密鑰分配的一個例子。假定通信雙方Alice和Bob(簡稱為A和B)分別與KDC有一個共享主密鑰KA和KB,現(xiàn)在A希望與B建立一個連接,進(jìn)行保密通信,那么可以通過以下步驟得到一個共享的會話密鑰。(1)A向KDC發(fā)送一個建立會話密鑰的請求消息。此消息除了包含A和B的身份標(biāo)識以外,還應(yīng)有一個識別這次呼叫的唯一性標(biāo)識符N1。N1可以是時間戳、某個計數(shù)器的值或者一次性隨機(jī)數(shù)。N1的值應(yīng)難以猜測并且每次呼叫所用的N1必須互不相同,以抵抗假冒和重放攻擊。(2)KDC向A回復(fù)一個用A的主密鑰KA加密的應(yīng)答消息。在這個消息中,KDC為A與B即將進(jìn)行的通信生成一個密鑰Ke,并用A的主密鑰KA

加密消息,同時還用B的主密鑰產(chǎn)生一個加密包EKB[Ke,IDA]。因此,只有A和B可以通過解密此消息中的相應(yīng)部分獲得密鑰Ke。另外,此消息還包含了第一步中的唯一性標(biāo)識符N1,它可以使A將收到的消息與發(fā)出的消息進(jìn)行比較,如果匹配則可以斷定此消息不是重放的。(3)A解密出密鑰Ke,但A并沒有直接將Ke當(dāng)作會話密鑰,而是重新選擇一個會話密鑰Ks,再選取一個一次性隨機(jī)數(shù)N2

作為本次呼叫的唯一性標(biāo)識符,并用Ks加密N2,再用Ke加密Ks

和EKs[N2],然后將加密的結(jié)果連同從第(2)步中收到的加密包EKB[Ke,IDA]一起發(fā)送給B。(4)B從第(3)步收到的消息中解密出Ke

和IDA,由IDA

可以識別消息來源的真實(shí)性,然后由Ke解密出Ks,再用Ks解密出N2。最后,B對N2

做一個事先約定的簡單變換(比如加1),并將變換的結(jié)果用Ks加密發(fā)送給A。A如果能用Ks解密出N2+1,則可斷定B已經(jīng)知道本次通信的會話密鑰Ks,并且B在第(3)步收到的消息不是一個重放的消息,密鑰分配過程結(jié)束,接下來A和B就可以在Ks的保護(hù)下進(jìn)行保密通信了。在上面這個簡單例子中,通信雙方在KDC的幫助下安全地共享了一個會話密鑰Ks。由于在需要保密的環(huán)節(jié)均使用相應(yīng)的密鑰進(jìn)行保護(hù),因而避免了機(jī)密信息的泄露和假冒,同時唯一性標(biāo)識符的使用可以防止過期消息的重放。在這個過程中還共享了一個密鑰加密密鑰Ke。如果接下來的保密通信過程比較長,則通信雙方還可以自行更新會話密鑰,以減少同一個會話密鑰產(chǎn)生的密文量,降低會話密鑰被攻擊的風(fēng)險。9.2.3層次式密鑰控制盡管我們在協(xié)議設(shè)計中盡量減少KDC對密鑰分配的參與,但如果網(wǎng)絡(luò)的規(guī)模非常大,用戶數(shù)量非常多,分布的地域也非常廣,則只有一個KDC可能無法承擔(dān)為所有用戶分配密鑰的重任。這時我們可以將整個網(wǎng)絡(luò)劃分成多個安全域,每個安全域設(shè)置一個KDC,所有不同安全域的KDC可以構(gòu)成一個層次結(jié)構(gòu),如圖9-3所示,并且可以讓這個KDC的層次結(jié)構(gòu)與相應(yīng)部門之間的行政隸屬關(guān)系聯(lián)系起來,建立與其他管理制度互相協(xié)調(diào)的管理體系。在這種分層結(jié)構(gòu)中,共享密鑰的分配采用分層控制方式。當(dāng)同一個安全域的用戶需要保密通信時,由該安全域的本地KDC負(fù)責(zé)為他們分配會話密鑰。如果兩個不同安全域中的用戶需要共享密鑰,則需要通過他們所在域的兩個本地KDC之間的溝通與協(xié)作來實(shí)現(xiàn)這一任務(wù)。由于所有KDC都在一個層次結(jié)構(gòu)中,因此任何兩個KDC一定可以找到一個共同的上級KDC實(shí)現(xiàn)關(guān)聯(lián),通過這個關(guān)聯(lián)KDC為兩個不同安全域中的用戶分配共享密鑰。例如,在圖9-3中,KDC6

下面的一個用戶需要與KDC7

管轄的一個用戶建立共享密鑰,KDC6

和KDC7

都能夠識別出請求共享密鑰的兩個用戶之一不在自己的安全域之內(nèi),這時候他們可以通過相互之間的層次關(guān)系發(fā)現(xiàn)KDC3

是距離最近的一個共同上級KDC,然后將分配共享密鑰的任務(wù)交給KDC3,由KDC3

為兩個不同安全域中的用戶分配共享密鑰。分層結(jié)構(gòu)中的下級KDC也是其相鄰上級KDC的一個用戶,與普通用戶一樣,下級KDC有一個主密鑰與其相鄰的上級KDC共享。這樣每個用戶只需與其本地KDC共享一個主密鑰就可以滿足與任何其他用戶進(jìn)行保密通信的需要。因此,在分層結(jié)構(gòu)中每個用戶需要的主密鑰數(shù)量將大大減少,密鑰管理的工作量也相應(yīng)減少。9.2.4分布式密鑰控制使用密鑰分配中心為用戶分配密鑰雖然有很多優(yōu)勢,但也存在一些問題。例如,KDC必須是中立可信的,每一個用戶都絕對信任KDC的工作;同時,KDC必須受到嚴(yán)密保護(hù),一旦KDC遭到入侵,可能造成用戶主密鑰的泄密,其后果不堪設(shè)想;另外,KDC可能會成為系統(tǒng)的瓶頸。如果兩個用戶之間已存在共享的主密鑰,則不需要KDC的參與也能實(shí)現(xiàn)會話密鑰的共享,并避免了上面問題。如圖9-4所示,沒有KDC的密鑰分配需要以下3個步驟來建立會話密鑰:(1)用戶A向用戶B發(fā)出建立會話密鑰的請求,消息中嵌入一個一次性隨機(jī)數(shù)N1作為本次呼叫的唯一性標(biāo)識。(2)用戶B選擇一個會話密鑰Ks構(gòu)造應(yīng)答消息,并用與A共享的主密鑰MK加密這個應(yīng)答消息回送給A。應(yīng)答消息中除了會話密鑰Ks之外,還包含B的身份標(biāo)識IDB

來自請求消息的一次性隨機(jī)數(shù)N1

以及B選取的另一個新的一次性隨機(jī)數(shù)N2。這些信息使A能夠確認(rèn)收到的消息不是假冒或重放的,且N2

還作為本消息的唯一性標(biāo)識。(3)A使用與B共享的主密鑰MK

解密收到的消息,并進(jìn)行真實(shí)性和新鮮性驗證,然后對N2

做一個事先約定的簡單變換(比如加1),再將變換的結(jié)果用收到的會話密鑰Ks加密并發(fā)送回用戶B。B用會話密鑰解密收到的消息,如果能正確地恢復(fù)出N2+1,則說明A已經(jīng)掌握會話密鑰Ks,密鑰分配工作完成。這種不需要密鑰分配中心的分布式密鑰分配方案要求兩個用戶必須事先共享一個主密鑰,才能完成會話密鑰的分配。在一個用戶眾多的大型網(wǎng)絡(luò)中,要在任何兩個用戶之間建立共享主密鑰是不現(xiàn)實(shí)的,但這并不意味此方案沒有任何意義。事實(shí)上,與一個用戶有聯(lián)系的用戶數(shù)量一般是有限的,只需在每一用戶與其有聯(lián)系的其他用戶之間建立共享主密鑰即可滿足一般工作的需要,因此這個方案對完成網(wǎng)絡(luò)局部通信還是很有價值的。9.3公鑰體制的密鑰管理在公鑰密碼的相關(guān)協(xié)議中,總是假設(shè)已經(jīng)掌握了對方的公開密鑰。事實(shí)上,雖然公鑰密碼體制的優(yōu)勢之一就在于密鑰管理相對簡單,但要保證公鑰或公共參數(shù)的真實(shí)性,或者驗證其真實(shí)性,還需要有一套科學(xué)的策略和方法。9.3.1公開密鑰的分發(fā)公開密鑰的分發(fā)方法有以下幾種。1.公開發(fā)布由于公鑰體制的公開密鑰不需要保密,因此任何用戶都可以將自己的公開密鑰發(fā)送給其他用戶或者直接在某個范圍內(nèi)廣播。例如,一些基于公鑰體制的系統(tǒng)允許用戶將自己的公開密鑰附加在發(fā)送的消息上進(jìn)行傳遞,這使得通信對方或者對自己公鑰感興趣的其他用戶很容易獲取公開密鑰。這種方法的突出優(yōu)點(diǎn)是非常簡便,密鑰分發(fā)不需要特別的安全渠道,降低了密鑰管理的成本。然而,該方法也存在一個致命的缺點(diǎn),那就是公鑰發(fā)布的真實(shí)性和完整性難以保證,容易造成假冒的公鑰發(fā)布。任何用戶都可以偽造一個公鑰并假冒他人的名義發(fā)布,然后解讀所有使用該假冒公鑰加密的信息,并且可以利用偽造的密鑰通過論證。2.使用公鑰目錄分發(fā)使用公鑰目錄分發(fā)是指建立一個公開、動態(tài)、在線可訪問的用戶公鑰數(shù)據(jù)庫(稱為公鑰目錄),讓每個用戶將自己的公開密鑰安全地注冊到這個公鑰目錄中,并由可信的機(jī)構(gòu)(稱為公鑰目錄管理員)對公鑰目錄進(jìn)行維護(hù)和管理,確保整個公鑰目錄的真實(shí)性和完整性。每個用戶都可以通過直接查詢公鑰目錄獲取他感興趣的其他用戶的公開密鑰。這種方法比每個用戶都自由發(fā)布自己的公開密鑰更安全,但公鑰目錄可能會成為系統(tǒng)的脆弱點(diǎn),除了可能成為性能瓶頸之外,公鑰目錄自身的安全保護(hù)也是一個大問題。一旦攻擊者攻破公鑰目錄或者獲取了目錄管理員的管理密鑰,就可以篡改或者偽造任何用戶的公鑰,進(jìn)而既可以假冒任一用戶與其他用戶通信,又可以監(jiān)聽發(fā)往任一用戶的消息。3.在線安全分發(fā)針對公鑰目錄的不足,對其運(yùn)行方式進(jìn)行安全優(yōu)化,引入認(rèn)證功能對公鑰訪問加以控制,可以增強(qiáng)公鑰分配的安全性。與使用公鑰目錄分發(fā)類似,這種改進(jìn)的方法需要一個可信的公鑰管理機(jī)構(gòu)來建立、維護(hù)和管理用戶公鑰數(shù)據(jù)庫,并且每一個用戶都可靠地知道公鑰管理機(jī)構(gòu)的公開密鑰,而對應(yīng)的私鑰只有公鑰管理機(jī)構(gòu)自己知道。當(dāng)用戶通過網(wǎng)絡(luò)向公鑰管理機(jī)構(gòu)請求他需要的其他用戶的公鑰時,公鑰管理機(jī)構(gòu)將經(jīng)過其私鑰簽名的被請求公鑰回送給請求者,請求者收到經(jīng)公鑰管理機(jī)構(gòu)簽名的被請求公鑰后,用已經(jīng)掌握的公鑰管理機(jī)構(gòu)的公鑰對簽名進(jìn)行驗證,以確定該公鑰的真實(shí)性,同時還需要使用時間戳或者一次性隨機(jī)數(shù)來防止對用戶公鑰的偽造和重放,保證分發(fā)公鑰的新鮮性。請求者可以將經(jīng)過認(rèn)證的所有其他用戶公鑰存儲在自己的本地磁盤上,再次使用時無須重新請求,但還必須定期與公鑰管理機(jī)構(gòu)保持聯(lián)系,以免錯過對已存儲用戶公鑰的更新。這是一種在線式公鑰分配方案,該方案由于限制了用戶對公鑰數(shù)據(jù)庫的自由查詢,并使用數(shù)字簽名和時間戳對分發(fā)公鑰進(jìn)行保護(hù),因而提高了公鑰分配的安全性。但這種方案的缺點(diǎn)也是明顯的:一是公鑰管理機(jī)構(gòu)必須時刻在線,時刻準(zhǔn)備為用戶服務(wù),這為公鑰管理機(jī)構(gòu)的建設(shè)增加了難度,使其與公鑰目錄一樣可能成為系統(tǒng)性能的瓶頸;二是要保證所有用戶與公鑰管理機(jī)構(gòu)間的通信連接時刻暢通,確保任何用戶隨時可以向公鑰管理機(jī)構(gòu)請求他需要的用戶公鑰,這要求整個網(wǎng)絡(luò)具有良好的性能;三是公鑰管理機(jī)構(gòu)仍然是被攻擊的目標(biāo),公鑰管理機(jī)構(gòu)自己的私鑰必須絕對安全。4.使用公鑰證書分發(fā)如果對每個用戶的公開密鑰進(jìn)行安全封裝,形成一個公鑰證書,然后通信各方通過相互交換公鑰證書來實(shí)現(xiàn)密鑰分發(fā),則不需要在每次通信時都與公鑰管理機(jī)構(gòu)在線聯(lián)系,且能夠獲得同樣的可靠性和安全性。這里有一個前提,即公鑰證書必須真實(shí)可信,不存在偽造和假冒的可能。因此,通常由專門的證書管理機(jī)構(gòu)來為用戶創(chuàng)建并分發(fā)公鑰證書,證書包含了與持有人公鑰有關(guān)的全部信息,如持有人的用戶名、持有人的公鑰、證書序列號、證書發(fā)行CA的名稱、證書的有效起止時間等。當(dāng)然,最關(guān)鍵的還是證書發(fā)行CA對證書的數(shù)字簽名,以保證證書的真實(shí)可靠性。另一方面,與封裝在一個公鑰證書中的用戶公鑰相對應(yīng)的私鑰只有該用戶本人掌握。在通信過程中,如果一方需要將自己的公鑰告知對方,則將自己的公鑰證書發(fā)送給對方,對方收到公鑰證書后用證書發(fā)行CA的公鑰去驗證證書中的簽名,即可識別證書的真?zhèn)?同時可判斷證書是否還在有效期內(nèi)。這個方案是一種離線式的公鑰分配方法,每個用戶只需一次性與CA建立聯(lián)系,將自己的公鑰注冊到CA上,同時獲取CA的證書證實(shí)公鑰,然后由CA為其產(chǎn)生并頒發(fā)一個公鑰證書。用戶收到CA為其生成的公鑰證書后,可以將證書存儲在本地磁盤上,如果其私鑰不泄密,則在證書的有效期內(nèi)可以多次使用該證書而無須再與CA建立聯(lián)系。也就是說,一旦用戶獲得一個公鑰證書,以后用證書來交換公鑰是離線方式的,不再需要CA參與。這種公鑰分配方法的優(yōu)勢很明顯:一是證書管理機(jī)構(gòu)的壓力顯著降低,每個用戶只是偶爾與證書管理機(jī)構(gòu)發(fā)生聯(lián)系;二是公鑰分配的可靠性和效率都大大提高,由于每個用戶的公鑰證書都是經(jīng)過CA簽名的,因此只要掌握了CA的證書證實(shí)公鑰就可以方便地識別出證書的真?zhèn)?而且對證書內(nèi)容的任何輕微改動都能被輕易地檢查出來,杜絕了偽造和假冒的可能,同時公鑰的分配是通過證書的交換實(shí)現(xiàn)的,通信各方隨時可以交換各自的公鑰證書,省去了許多煩瑣的步驟,簡化了分配的過程,提高了公鑰分配的效率。使用公鑰證書分配用戶公鑰是當(dāng)前公鑰分配的最佳方案。9.3.2用公鑰加密分配單鑰體制的會話密鑰雖然利用公鑰證書能夠在通信各方之間方便地交換密鑰,然而由于公鑰加密的速度遠(yuǎn)比單鑰加密慢,因通信各方通常不直接采用公鑰體制進(jìn)行保密通信。但是,將公鑰體制用于分配單鑰體制的會話密鑰卻是非常合適的。圖9-5描述了如何利用公鑰加密分配單鑰體制的會話密鑰。圖中,PKX和SKX分別表示用戶X的公鑰和私鑰,CERTX代表用戶X的公鑰證書。這個過程具有保密性和認(rèn)證性,因此既能防止被動攻擊,又能抵抗主動攻擊。用戶A和B可以通過以下步驟得到一個共享的會話密鑰:(1)用戶A將自己的身份IDA

和一個一次性隨機(jī)數(shù)N1用自己的私鑰SKA

加密,并附上自己的公鑰證書CERTA

一起發(fā)送給用戶B。顯然,這里的私鑰加密不是為了保密,只是為了讓對方更好地驗證自己的公鑰證書,同時抵抗對消息的篡改。(2)用戶B驗證收到的消息,并從中提取對方的公鑰PKA

和一次性隨機(jī)數(shù)N1,然后選取一個會話密鑰Ks和一個新的一次性隨機(jī)數(shù)N2,將Ks與自己的身份IDB

以及N1

和N2

一起先用對方的公鑰PKA

加密,再用自己的私鑰SKB

簽名,并附上自己的公鑰證書回送給用戶A。這個消息實(shí)現(xiàn)保密與認(rèn)證的結(jié)合,A收到消息后可以從中獲得一個機(jī)密的會話密鑰Ks,同時確信這個會話密鑰一定來自B。(3)A驗證收到的消息,并解密出會話密鑰Ks和一次性隨機(jī)數(shù)N2,然后對N2

做一簡單變換(例如加1),再將變換的結(jié)果用Ks加密發(fā)送給用戶B。若B能從第(3)步收到的消息中解密出N2+1,則可相信A已經(jīng)與其共享了會話密鑰Ks,會話密鑰的分配工作結(jié)束。9.3.3Diffie-Hellman密鑰交換與中間人攻擊W.Diffie與M.Hellman在1976年提出了一個稱為Diffie-Hellman密鑰交換的公鑰密碼算法。該算法能用來在兩個用戶之間安全地交換密鑰材料,從而使雙方得到一個共享的會話密鑰,但該算法只能用于交換密鑰,不能用于加解密。Diffie-Hellman密鑰交換的安全性基于求解有限域上離散對數(shù)的困難性。首先,雙方需要約定一個大素數(shù)p和它的一個本原根g,然后整個密鑰交換的過程分以下兩步完成:(1)雙方(記為A和B)分別挑選一個保密的隨機(jī)整數(shù)XA

和XB,并分別計算YA≡gXAmodp和YB≡gXBmodp,然后互相交換,即A將YA

發(fā)送給B,而B將YB

發(fā)送給A。這里YA

和YB

分別相當(dāng)于A和B的公開密鑰(但不能用于真正的消息加密)。(2)A和B分別計算

得到雙方共享的密鑰K。這是因為由于XA

和XB

是保密的,因此攻擊者最多能夠得到p,g,YA

和YB。如果攻擊者希望得到K,則必須至少計算出XA

和XB

中的一個,這意味著需要求解離散對數(shù),這在計算上是不可行的。9.4秘

密

共

享當(dāng)我們將大量的機(jī)密信息以文檔的形式存儲于計算機(jī)系統(tǒng),并依據(jù)不同的類型和密級使用不同的密鑰去保護(hù)它們時,為了便于管理大量的密鑰,通常所用的全部密鑰可能由一個主密鑰(MasterKey)來保護(hù)。這樣一來,存儲在系統(tǒng)中的所有信息的安全最終可能取決于一個主密鑰。這樣的主密鑰是整個系統(tǒng)的安全關(guān)鍵點(diǎn),它的管理策略和方法對整個系統(tǒng)的安全至關(guān)重要,如果將它交給單獨(dú)的一個管理員保管,則可能造成一些難以克服的弊端:首先,這個管理員將會具有同他保管的主密鑰一樣的安全敏感性,需要重點(diǎn)保護(hù),如果他保管的主密鑰意外丟失或者他本人突遇不測,則整個系統(tǒng)可能就無法使用了;其次,這個管理員的個人素質(zhì)和他對組織的忠誠度也將成為系統(tǒng)安全的關(guān)鍵,如果他為了某種利益而將他保管的主密鑰主動泄露給他人,將會危害整個系統(tǒng)的安全。上面提到的前一個問題可以通過密鑰備份獲得部分解決,但又可能引出新的問題。現(xiàn)在能夠有效解決全部上述問題的方法稱為秘密共享(SecretSharing),并且研究人員已經(jīng)提出了多個具體的秘密共享方案。一種簡單的秘密共享方案又稱為秘密分割(SecretSplitting),它的思想很簡單:當(dāng)你不想將一個十分貴重的東西(比如某種產(chǎn)品的配方)的命運(yùn)完全寄托于某一個人時,你可以把它分成很多份,每一份交付一個人,當(dāng)然單獨(dú)的每一份沒有什么價值,只有將所有份額放到一起才能重構(gòu)價值,因此,除非所有掌握份額的人合謀背叛你,否則他們不會從各自掌握的份額中獲得利益。假如要使用秘密分割方法來保護(hù)一個重要消息M,那么在兩個持有人之間進(jìn)行秘密分割是最簡單的一種方案,此時只需選取一個比特數(shù)與M一樣長的隨機(jī)串R,并計算出S=MR,然后將S和R分別交付選定的兩個不同的持有人,即可完成秘密分割。當(dāng)需要重構(gòu)消息M時,只要將兩個持有人掌握的消息S和R進(jìn)行異或運(yùn)算,即可得到M,SR=SMS=M。顯然,在這個方案中,任何一個持有人所掌握的信息只是消息M的部分碎片,無論他有多大的計算能力,都不可能僅靠他個人掌握的消息碎片恢復(fù)出完整的消息M。這種兩個持有人秘密分割的方案很容易推廣到多個持有人。如果要在n個持有人中分割一個秘密M,則需要選擇n-1個隨機(jī)比特串,并將它們與秘密M異或產(chǎn)生第n個比特串。顯然,這n個比特串的異或即為M,只要將這n個比特串分別交給n個持有人,每人一串,就實(shí)現(xiàn)了n個持有人的秘密分割。秘密分割方案確實(shí)很簡單,但它的缺陷也很明顯。一方面,這個方案在恢復(fù)共享秘密時要求所有份額缺一不可,任何一部分丟失或者任何一個份額持有人出現(xiàn)意外,則共享的秘密就不能恢復(fù),因此它給個別份額持有者的損人不利己行為提供了機(jī)會,同時每次重構(gòu)共享秘密都要求所有份額持有者必須同時到場,這也不利于方案的高效運(yùn)用。另一方面,在秘密分割方案中,有一個實(shí)體占主導(dǎo)地位,它負(fù)責(zé)產(chǎn)生并分發(fā)份額,因此它有作弊的機(jī)會。比如,它可以將一個毫無意義的東西當(dāng)作份額分配給一個持有人,但這絲毫不會影響共享秘密的重構(gòu),也沒有人能夠發(fā)現(xiàn)。更復(fù)雜的秘密共享方案是門限方案,目前已經(jīng)提出了多個具體的門限方案。它們的基本思想是:先由需要保護(hù)的共享秘密產(chǎn)生n個份額,或者稱為秘密影子,并且這n個份額中的任意t個就可以重構(gòu)共享秘密。通常t稱為門限值,這樣的方案稱為(t,n)門限方案。下面是(t,n)門限方案的正式定義。(t,n)門限秘密共享方案采用一個精心設(shè)計的方法作用于被共享的秘密信息K,產(chǎn)生滿足下面要求的n個秘密份額k1,k2,…,kn:(1)由任意t個已知的秘密份額ki可以方便地計算出共享秘密K;(2)若僅知道t-1個或者更少的ki,則不可能確定共享秘密K(這里所說的不可能是指計算上不可能)。然后,將n個秘密份額k1,k2,…,kn分別授予n個不同的持有人保管,即可實(shí)現(xiàn)秘密共享。由于重構(gòu)共享秘密至少需要t個秘密份額,所以少于t個份額的暴露或泄密不會危害共享秘密的安全,同樣少于t個持有人的共謀也不可能獲得共享秘密;同時,少數(shù)秘密份額被丟失或損毀(只要不超過n-t個)也不會影響共享秘密的重構(gòu)。因此,(t,n)門限秘密共享方案為多人共同掌管一個機(jī)密信息提供了可能。(t,n)門限方案還是一種非常靈活的秘密共享方案。門限值t決定了系統(tǒng)在安全性、操作效率及易用性上的均衡,只需改變t的大小即可使系統(tǒng)在高安全性、高效、高易用性等方面得到適當(dāng)調(diào)整。增大門限值t意味著需要更多的秘密份額方可重構(gòu)共享秘密,因此可以提高系統(tǒng)的安全性,但易用性會相應(yīng)降低,不便于系統(tǒng)操作;減小門限值t則正好相反。門限方案是由AdiShamir和GeorgeBlakley于1979年分別獨(dú)自提出的。Shamir提出的方案基于Lagrange插值公式構(gòu)造的秘密共享方法,而Blakley則是利用線性幾何投影法來構(gòu)造秘密共享方案。在他們之后,更多的門限方案被相繼提出,下面挑選幾個有代表性的方案加以介紹。9.4.1Lagrange插值多項式算法Shamir利用有限域上的多項式方程結(jié)合Lagrange插值公式構(gòu)造了一個(t,n)門限方案。該方案需要一個大素數(shù)p,它應(yīng)大于秘密份額的數(shù)目n和被保護(hù)的共享秘密K,故K在有限域?p中。該方案還需要一個任意挑選的t-1次多項式h(x)=at-1xt-1+…+a1x+K∈?p[x],其所有系數(shù)ai∈?p(i=1,…,t-1),常數(shù)項K是需要保護(hù)的共享秘密,且顯然h(0)=K。上面選擇素數(shù)p和多項式h(x)的工作由一個可信中心或者稱為莊家的機(jī)構(gòu)執(zhí)行,素數(shù)p需要公開,但所有系數(shù)ai都必須保密。為了產(chǎn)生n個份額,可信中心還需要選取n個非零且互不相同的xi∈?p,并計算出ki=h(xi)(i=1,2,…,n),將(xi,ki)作為秘密份額分配給n個共享者持有。這里xi是公開的,通?？梢灾苯尤個共享者的身份IDi(i=1,2,…,n),但每一個共享者必須保密他的秘密份額ki。每個(xi,ki)看成多項式h(x)在二維空間上的一個坐標(biāo)點(diǎn)。由于h(x)是t-1次多項式,因此t個或t個以上的坐標(biāo)點(diǎn)可唯一確定h(x),從而得到共享秘密K=h(0)。假如已知t個共享份額(xij,kij)(j=1,2,…,t),由Lagrange插值公式可重建多項式h(x):由于K=h(0),所以有即K是t個共享份額(xij,kij)(j=1,2,…,t)的線性組合。若令則由

于

所

有xi(i=1,2,…,n)都

是

預(yù)

先

公

開

知

道

的,所

以

如

果

預(yù)

先

計

算

出

所有bl(l=1,2,…,n),則可以加快秘密重構(gòu)時的運(yùn)行速度。9.4.2矢量算法Blakley提出的秘密共享方案利用了關(guān)于空間中的點(diǎn)的知識。該方案的具體內(nèi)容是:若將共享秘密映射到t維空間中的1個點(diǎn),且根據(jù)共享秘密構(gòu)造的每個秘密份額都是包含這個點(diǎn)的t-1維超平面的方程,那么t個或t個以上的這種超平面的交點(diǎn)剛好確定這個點(diǎn)。例如,如果打算用3個秘密份額來重構(gòu)秘密消息,那么就需要將此消息映射到三維空間上的1個點(diǎn),每個秘密份額就是1個不同的平面。如果只有1個秘密份額,則僅知道共享秘密是這個份額表示的平面上的某個點(diǎn);若有2個秘密份額,則可知共享秘密是這兩個份額平面交線上的某個點(diǎn);如果至少知道3個秘密份額,那么就一定能夠確定共享秘密,因為它正好是這3個份額平面的交點(diǎn)。反過來,若僅知道1個或者2個秘密份額,則要想恢復(fù)出共享秘密是不可能的,因為一個面或者一條線上的點(diǎn)是不可窮舉的。9.4.3高級門限方案以上討論的(t,n)門限方案都是最基本的門限方案,可以使用這些基本的門限方案來構(gòu)造更復(fù)雜、更通用的門限方案。下面我們通過一些簡單的例子來進(jìn)行說明。例如,在商業(yè)及類似的環(huán)境中,在對重大問題做決策時,一些人的意見會比另一些人的意見更重要,利用門限方案來實(shí)現(xiàn)這種機(jī)制時,可以通過給重要人物分配更多的秘密份額來解決。比如,一個總經(jīng)理和一個副總經(jīng)理可以決定啟動一項重大行動,但如果總經(jīng)理不在場,則三個以上副總經(jīng)理也有權(quán)做出同樣的決定。只需為這項行動設(shè)置一個啟動密鑰,并根據(jù)此密鑰構(gòu)造多個秘密份額,為每個副總經(jīng)理分配一個份額,而總經(jīng)理則擁有兩個份額,然后規(guī)定只要能夠拿出3個秘密份額就可以恢復(fù)密鑰,啟動這一行動。更進(jìn)一步,可以讓每個人都掌管不同數(shù)量的秘密份額,且不論所有的份額按何種方式分布,由其中任意的t個或t個以上的份額都能重現(xiàn)共享秘密,但如果只有t-1個份額,則不管這t-1個份額是來自同一個持有者還是其他情況,都不能重構(gòu)共享秘密。更復(fù)雜的高級門限方案還可以在兩個或多個團(tuán)體之間共享一個秘密,并限定秘密重建時每個團(tuán)體必須提供的最少份額數(shù)量。比如,要在兩個團(tuán)體A和B之間共享秘密,使來自A的2個份額與來自B的3個份額一起都能恢復(fù)共享秘密(注意:A的3個份額和B的2個份額不能重構(gòu)秘密)。構(gòu)造一個三次多項式,它是一個一次多項式和一個二次多項式的乘積,給團(tuán)體A的成員每人一個的秘密份額是一次多項式的值,而給團(tuán)體B的成員的份額是二次多項式的值。團(tuán)體A的任意兩個成員都能夠重構(gòu)相應(yīng)的一次多項式,但不管動用了A的多少成員,他們都不可能重構(gòu)出對應(yīng)的二次多項式,因此團(tuán)體A不能獨(dú)自享有那個共享秘密。對于團(tuán)體B也是如此,他們只需要3個份額就能重構(gòu)相應(yīng)的二次多項式,但不能重構(gòu)對應(yīng)的一次多項式,也不能獨(dú)享共享秘密。只有兩個團(tuán)體共同合作,將他們各自重構(gòu)的多項式拿來相乘,才能重構(gòu)秘密。此方案特別適合兩個或多個存在競合關(guān)系的團(tuán)體實(shí)現(xiàn)秘密共享。9.4.4有騙子情況下的密鑰共享方案在門限方案中,作為信任中心的莊家和持有份額的秘密共享者都有可能不誠實(shí),會發(fā)生欺騙行為。因此,需要研究如何檢測或者防止這些欺騙行為的出現(xiàn)。對于莊家的欺騙行為,一種情況是莊家選定了一個共享

秘

密,卻

根

據(jù)

另

一

個

假

秘密來產(chǎn)生共享份額給共享者。只需要求莊家生成并公布一個對應(yīng)于真實(shí)秘密的承諾值來證明他的誠實(shí)性,即可阻止莊家的欺騙。莊家欺騙的另一種可能是他對外公開的門限值是t,而實(shí)際上選用的h(x)卻不是t-1次的多項式(這里以Shamir門限方案為例)。對于這個問題,現(xiàn)在有一種方法可以使共享者確信莊家所選的多項式h(x)至多是t-1次的。該方法如下:(1)莊家利用h(x)產(chǎn)生所需數(shù)量的秘密份額,分發(fā)給共享者。(2)莊家另選大量t-1次多項式,比如100個,g1(x),g2(x),…,g100(x),并利用它們各自生成一套秘密份額,也分發(fā)給共享者。(3)全體共享者合作任選50個gi(x),并根據(jù)相應(yīng)的秘密份額將它們重建出來。如果重建的這50個多項式都是t-1次的,則幾乎可以確信另50個未重建的gi(x)也是t-1次的。(4)全體共享者合作,利用剩下的50個gi(x)和h(x)對應(yīng)的秘

密

份

額

一

一

重

建gi(x)+h(x)。如果所有重建出來的gi(x)+h(x)都是t-1次的,則幾乎可以確信h(x)至多是t-1次的。在這個過程中,所有共享者要相互公開他們掌握的秘密份額之和gi(xj)+h(xj),但這并不影響共享秘密的安全,因為真正可用于恢復(fù)共享秘密的是份額h(xj),而h(xj)并沒有泄露。這個方案是Benaloh在1986年提出來的,它只能使每一個共享者確信莊家選用的h(x)至多是t-1次的,不能保證h(x)正好是t-1次的。如果h(x)的次數(shù)低于t-1,