现代密码学第5章课件

第5章密钥分配与密钥管理KeyDistributionandKeyManagement2023/2/61内容提要单钥加密体制的密钥分配公钥加密体制的密钥管理密钥托管随机数的产生秘密分割2023/2/62单钥加密体制的密钥分配KeyDistributionofsymmetriccryptography

2023/2/63密钥分配的基本方法如果有n个用户，需要两两拥有共享密钥，一共需要n(n-1)/2的密钥采用第4中方法，只需要n个密钥2023/2/65KS：一次性会话密钥N1,N2：随机数KA,KB：A与B和KDC的共享密钥f：某种函数变换2.一个实例4.KDCAB1.Request||N13.5.2023/2/66密钥的分层控制用户数目很多并且分布地域很广，一个KDC无法承担，需要采用多个KDC的分层结构。本地KDC为本地用户分配密钥。不同区域内的KDC通过全局KDC沟通。2023/2/67无中心的密钥控制有KDC时，要求所有用户信任KDC，并且要求KDC加以保护。无KDC时没有这种限制，但是只适用于用户小的场合2023/2/69无中心的密钥控制AB1.Request||N12.3.用户A和B建立会话密钥的过程2023/2/610密钥的控制使用根据用途不同分为会话密钥（数据加密密钥）主密钥（密钥加密密钥），安全性高于会话密钥根据用途不同对密钥使用加以控制2023/2/611单钥体制的密钥控制技术－控制矢量对每一密钥指定相应的控制矢量，分为若干字段，说明在不同情况下是否能够使用有KDC产生加密密钥时加在密钥之中h为hash函数，Km是主密钥，KS为会话密钥控制矢量CV明文发送优点：1.CV长度没有限制2.CV以明文形式存在2023/2/613公钥加密体制的密钥管理KeyManagementofPublicKeyCryptography2023/2/614公钥的分配－公开发布用户将自己的公钥发给每一个其他用户方法简单，但没有认证性，因为任何人都可以伪造这种公开发布2023/2/615公钥的分配－公钥管理机构公钥管理机构为用户建立维护动态的公钥目录。每个用户知道管理机构的公开钥。只有管理机构知道自己的秘密钥。2023/2/617公钥管理机构分配公钥公钥管理机构AB1.Request||Time12.3.6.4.Request||Time25.7.有可能称为系统的瓶颈，目录容易受到敌手的串扰2023/2/618公钥证书用户通过公钥证书交换各自公钥，无须与公钥管理机构联系公钥证书由证书管理机构CA（CertificateAuthority）为用户建立。证书的形式为T-时间，PKA-A的公钥，IDA－A的身份，SKCA－CA的私钥时戳T保证证书的新鲜性，防止重放旧证书。2023/2/619用公钥加密分配单钥密码体制的密钥AB1.PKA||IDA2.简单分配易受到主动攻击AB攻击者E1.PKA||IDA2.PKE||IDA3.4.2023/2/621用公钥加密分配单钥密码体制的密钥具有保密性和认证性的密钥分配AB1.2.3.4.2023/2/622用户B用户ADiffie-Hellman密钥交换W.Diffie和M.Hellman1976年提出算法的安全性基于求离散对数的困难性选择随机数x<p计算YA=gxmodp选择随机数y<p计算YB=gymodpYAYB计算K=YA

y

=gxymodp计算K=YB

x

=gxymodp2023/2/623密钥托管也称托管加密，其目的在于保证个人没有绝对的银丝和绝对不可跟踪的匿名性。实现手段是把已加密的数据和数据恢复密钥联系起来。由数据恢复密钥可以得到解密密钥，由所信任的委托人持有。提供了一个备用的解密途径，不仅对政府有用，也对用户自己有用。2023/2/625美国托管加密标准1993年4月提出托管加密标准EES（Escrowedencrytionstandard）提供强加密功能，同时也提供政府机构在法律授权下监听功能。通过防窜扰Clipper芯片来实现。包含两个特性Skipjack算法，实现强加密法律实施存取域LEAF，实现法律授权下解密2023/2/626Skipjack算法单钥分组加密算法，密钥长80比特，输入输出分组长度64Bit4种工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式2023/2/627托管加密芯片的编程过程UIDKU1EK1KU1EK2+SJKFUIDKUKF芯片芯片编程处理器托管机构1初始化托管机构2初始化UIDUID托管机构1托管机构22023/2/629托管加密芯片加密过程用KU加密加密的KSUIDAKSIV用KF加密LEAF80bit32bit16bitKS：会话密钥A：认证符UID：芯片识别符IV：初始向量2023/2/630通信和法律实施存取过程2023/2/631密钥托管密码体制的组成成分用户安全成分（USC）密钥托管成分（KEC）数据恢复成分（DRC）2023/2/632随机数的产生GenerationofRandomNumbers2023/2/633随机数的用途相互认证会话密钥的产生公钥密码算法中的密钥产生2023/2/634随机数的要求－随机性均匀分布数列中每个数出现的频率相等或近似相等独立性数列中任一数不能由其他数推出经常使用的是伪随机数列2023/2/635随机数的要求－不可预测性对数列中以后的数是不可预测的对于真随机数，满足独立性，所以不可预测伪随机数列需要特别注意满足不可预测性2023/2/636随机数源真随机数源－物理噪声产生器离子辐射脉冲检测器气体放电管漏电容数的随机性和精度不够这些设备很难联入网络2023/2/637随机数源目前关于随机性最严格的定义是：一个理想噪声源的二进制输出序列S0,S1,……,Sn-1,Sn,…的随机性，表示为当前输出位Sn与在此之前的所有输出信号之间的完全独立性，也就是说，在已知S0,S1,……,Sn-1的条件下，Sn仍然是不可预测的。2023/2/638噪声源技术(了解)噪声源的功能就是产生二进制的随机序列或与之对应的随机数，它是密钥产生设备的核心部件。噪声源的另一个用途是在物理层加密的环境下进行信息填充，使网络具有防止流量分析的功能，当采用序列密码时也有防止乱数空发的功能。噪声源还被用于某些身份验证技术中，如在对等实体中，为了防止口令被窃取常常使用随机应答技术，这时的提问与应答都是由噪声控制的。

2023/2/639噪声源输出的随机数序列按照产生的方法可以分为：

伪随机序列：用数学方法和少量的种子密钥产生的周期很长的随机序列。

伪随机序列一般都有良好的能经受理论检验的随机统计特性，但是当序列的长度超过了唯一解距离时，就成了一个可预测的序列。

物理随机序列：用热噪声等客观的方法产生的随机序列。

实际的物理噪声往往要受到温度、电源、电路特性等因素的限制，其统计特性常常带有一定的偏向性。

准随机序列：用数学方法和物理方法相结合产生的随机序列，它可以克服两者的缺点。噪声源技术(了解)2023/2/640目前的物理噪声源基本上可分为三大类：基于力学的噪声源技术；基于电子学的噪声源技术；基于混沌理论的噪声源技术。噪声源技术(了解)2023/2/641⑴基于力学的噪声源技术抛一个一分的硬币，看它是正面落地还是反面落地，可得到1比特的随机数。用转动很灵活的、画有十进制或十六进制刻度的转盘，任意给它一个起始动量，记下它停止的位置，便得到一个十进制或十六进制的随机数；大量的铅字，在一个铁锅里充分搅拌后随手拣出一堆，排成一版进行印刷，二次大战时使用的一次一密乱码本就是这样产生出来的。

这类方法的优点是简便易行，缺点是产生密钥的效率低，密钥的随机性较差。噪声源技术(了解)2023/2/642⑵基于电子学的噪声产生技术

影响噪声质量的关键部分是噪声产生电路。要获得的应是纯洁的、宽频带的、正态分布的、连续的平稳遍历的随机信号。所谓纯洁的，是指没有混进不随机的某种固定分量；所谓宽频带的，是指能够提供较高的采样速率；所谓正态分布的，是指它的幅度和频谱成分成正态分布；所谓连续的平稳遍历，主要是为了使用方便，在任意时刻进行采样都能满足随机性要求。噪声源技术(了解)2023/2/643(3)基于混沌理论的噪声源技术

混沌理论是一门新学科，用混沌理论的方法不仅可以产生噪声，甚至还可以直接作为序列密码使用。目前国内外已有混沌噪声源的成熟技术，其噪声产生速率可达1Mbit/s以上，所使用电路却很简单，可实现芯片化。与前面介绍的几种噪声源的区别在于，它不是将某种自然世界的噪声加以放大利用，而是用确定的动力学方程产生出类似于白噪声的频谱特性，因此受元器件的个体差异的影响很小。噪声源技术(了解)2023/2/644伪随机数产生器-线性同余法参数：模数m(m>0)乘数a(0≤a<m)增量c(0≤c<m)初值种子X0(0≤X0<m)a,c,m的取值是产生高质量随机数的关键2023/2/645伪随机数产生器-线性同余法a=7,c=0,m=32,X0=1{7,17,23,1,7,…}a=3,c=0,m=32,X0=1{3,9,27,17,19,25,11,1,3,…}选m尽可能大，使其接近或等于计算机能表示的最大整数周期为4周期为82023/2/646伪随机数产生器-线性同余法评价线性同余有以下三个标准：迭代函数应是整周期的，在重复之前应出现0到m间的所有数产生的数列看上去应是随机的迭代函数能有效的利用32位运算实现如果m为素数，且a为m的本原根，产生的数列是整周期的。a=16807,m=231-1,c=02023/2/647伪随机数产生器-线性同余法假定敌手知道X0,X1,X2,X3,可以确定参数改进的方法：利用系统时钟修改随机数数列。2023/2/648基于密码算法的随机数产生器循环加密CC+1加密算法

主密钥Km周期为N的计数器2023/2/649基于密码算法的随机数产生器DES的输出反馈方式(OFB)模式采用OFB模式能用来产生密钥并用于流加密。加密算法的输出构成伪随机序列2023/2/650基于密码算法的随机数产生器ANSIX9.17伪随机数产生器EDEEDEEDE＋＋K1K2Vi+1ViRiDTi2023/2/651BBS（blum-blum-shub）产生器密码强度最强，基于大整数分解困难性选择p,q,满足p=q=3mod4,n=p×q。选随机数s，s和n互素X0＝s2modnFori=1to∞do{Xi=Xi-12modn;Bi=Ximod2}Bi为产生的随机数序列2023/2/652秘密分割SecreteSharing

2023/2/653秘密分割门限方案导弹控制发射，重要场所通行检验，通常需要多人同时参与才能生效，需要将秘密分为多人掌管，并且由一定掌管秘密的人数同时到场才能恢复秘密。2023/2/654门限方案的一般概念秘密s被分为n个部分,每个部分称为shadow,由一个参与者持有，使得由k个或多于k个参与者所持有的部分信息可重构s。由少于k个参与者所持有的部分信息则无法重构s。称为(k,n)秘密分割门限方案，k称为门限值。少于k个参与者所持有的部分信息得不到s的任何信息称该门限方案是完善的。2023/2/655Shamir门限方案基于多项式Lagrange插值公式设{(x1,y1),…,(xk,yk)}是平面上k个点构成的点集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多项式f(x)通过这k个点.若把秘密s取做f(0)，n个shadow取做f(xi)(i=1,…n),那么利用其中任意k个shadow可以重构f(x)，从而可以得到秘密s2023/2/656Shamir门限方案有限域GF(q),q为大素数，q≥n+1。秘密s是GF(q)\{0}上均匀选取的随机数，表示为s∈RGF(q)\{0}.k-1个系数a1,a2,…ak-1选取ai∈RGF(q)\{0}.在GF(q)上构造一个k-1次多项式f(x)=a0+a1x+…+ak-1xk-1N个参与者P1,…,Pn,Pi的Shadow为f(i)。任意k个参与者得到秘密，可使用{(il,f(il))|l=1,…,k}构造方程组2023/2/657Shamir门限方案由Lagrange插值公式2023/2/658Shamir门限方案如果k-1个参与者想获得s，可构造k-1个方程，有k个未知量。对任一s0,设f(0)=s0.这样可以得到第k个方程，得到f(x)。对每个s0都有唯一的多项式满足，所有由k-1个shadow得不到任何s的信息。因此此方案是完善的。2023/2/659Shamir门限方案例k=3,n=5,q=19,s=11。随机选a1=2,a2=7f(x)=7x2+2x＋11mod19。计算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6已知f(2),f(3),f(5),重构2023/2/660Asmuth-Bloom门限方案首先选取大素数q，正整数s(秘密数据)，以及n个严格递增的m1,m2,…,mn,满足q>s(mi,mj)=1(对所有i≠j)(q,mi)=1(对所有i)