密码学与信息安全第10章 密钥管理和其他公钥密码体制课件

第10章密钥管理和其他公钥密码体制密钥管理公钥密码的主要作用之一就是解决密钥分配问题，在这方面，公钥密码实际上可用于下列两个不同的方面：公钥密码用于传统密码体制的密钥分配公钥的分配密码学与信息安全第10章密钥管理和其他公钥密码体制利用公钥密码分配传统密码体制的密钥（p302） 不过，这个协议是不安全的，因为对手可以截获消息，然后可以重放截获的消息或者对消息进行替换。这样的攻击称为中间人攻击。密码学与信息安全第10章密钥管理和其他公钥密码体制利用公钥密码分配传统密码体制的对称密钥A产生公/私对{PUa，PRa}，并将含有PUa和其标识IDA的消息发送给B。E截获该消息，产生其公/私钥对{PUe，PRe}，并将含有PUe和其标识IDA的消息发送给B。B产生秘密钥Ks，并发送E（PUe，Ks）。E截获该消息，并通过计算D（PRe，E（PUe，Ks））得出Ks.E发送E（PUa，Ks）给A。结果是，A和B均已知Ks，但他们不知道E也已知道Ks。密码学与信息安全第10章密钥管理和其他公钥密码体制Diffie-Hellman密钥交换(p216-217)密码学与信息安全第10章密钥管理和其他公钥密码体制密码学与信息安全第10章密钥管理和其他公钥密码体制Diffie-Hellman密钥交换K=(YB)XAmodq

=(aXBmodq)XAmodq

=(aXB)XAmodq根据模算术的运算规律

=(aXBXAmodq

=(aXA)XBmodq

=(aXAmodq)XBmodq

=(YA)XBmodq可见这种方法的确可以完成交换秘密钥的工作，要对用户B的密钥进行攻击，就必须先计算XB=dloga,q(YB)，当q很大，是个离散对数难题。密码学与信息安全第10章密钥管理和其他公钥密码体制举例Diffie-Hellman密钥交换①usersAlice&Bobagreeonprimeq=353andα=3②selectrandomsecretkeys:③computepublickeys:④computesharedsessionkeyas:xA=97xB=233yA= (Alice)yB= (Bob)397mod353=403233mod353=248KAB= (Alice)KAB= (Bob)yBxAmod353=24897=160yAxBmod353=40233=160密码学与信息安全第10章密钥管理和其他公钥密码体制Diffie-Hellman密钥交换课堂练习：用户A和B使用DH技术交换秘密钥，公用素数q=71，本原根a=7，若用户A的私钥XA=5，则A的公钥YA为多少？若用户B的私钥XB=12，则B的公钥YB为多少？共享的密钥为多少？密码学与信息安全第10章密钥管理和其他公钥密码体制密钥交换协议假定A希望和B建立连接，并使用秘密钥对该次连接中的消息加密。下图给出了使用DH算法的简单协议密码学与信息安全第10章密钥管理和其他公钥密码体制针对DH密钥交换的中间人攻击前面所示的协议是不能抵抗所谓的中间人攻击。其中，攻击者是P：（1）P随机地选择xp，并计算yp=α

Xpmodq，生成属于P的公钥yp；（2）A计算：ya=α

Xamodq，并将ya

发给B；（3）P中途拦截ya

，并发送yp

给B；密码学与信息安全第10章密钥管理和其他公钥密码体制（4）B计算yb=Xb

modq，并将yb

发给A（5）P中途拦截yb

，并发送yp

给A；于是，执行DH密钥交换协议之后，A实际上和攻击者P之间建立了秘密钥Kap=α

XpXamodp，B和攻击者P之间建立了秘密密钥Kbp=α

XpXbmodp，当A加密一个消息发送给B时，P能解密它而B不能。类似地，当B加密一个消息发送给A时，P能解密它而A不能，P从中截获消息，既可以完成窃听，还可以修改构造假消息。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥的分配（p304）人们已经提出了几种公钥分配方法：公开发布)公开可访问目录公钥授权公钥证书密码学与信息安全第10章密钥管理和其他公钥密码体制公钥的分配表面上看，公钥的特点是公钥可以公开发布。公钥的公开发布这种方法比较简单，但它有个较大的缺点，即任何人都可以伪造这种公钥的公开发布密码学与信息安全第10章密钥管理和其他公钥密码体制公钥的分配公开可访问的目录密码学与信息安全第10章密钥管理和其他公钥密码体制公钥的分配管理员通过对每一通信方建立一个目录项{姓名，公钥}来维护该目录。每一通信方通过目录管理员来注册一个公钥。注册必须亲自或通过安全的认证通信来进行。通信方在任何时刻可以用新的密钥替代当前密钥。这可能是因为公钥已用于大量的数据，因而用户希望更换公钥，也可能是因为相应的私钥已经泄密。管理员定期发布或更新该目录。通信方也可以访问电子目录。为实现这一目标，必须有从管理员到他的安全的认证通信。这种方法的缺点是一旦攻击者获得或计算出目录管理员的私钥，则他可以传递伪造的公钥，因此他可以假冒任何通信方，以窃取发送给该通信方的消息。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥的分配公钥授权（p305）通过更加严格的控制目录中的公钥分配，可使公钥分配更加安全。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权

该方案中假定中心管理员负责维护通信各方公钥的动态目录，除此之外，每一通信方可靠地知道目录管理员的公钥，并且只有管理员知道相应的私钥。这种方案包含以下步骤：

密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权A发送一条带有时间戳的消息给公钥管理员，以请求B的当前公钥。（1）密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权

管理员给A发送一条用其私钥PRauth加密的消息，这样A就可用管理员的公钥对接收到的消息解密，因此A可以确信该消息来自管理员。（2）密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权(3)A保存B的公钥，并用它对包含A的标识（IDA）和临时交互号（N1）的消息加密，然后发送给B。这里，临时交互号是用来惟一标识本次交易的。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权(4,5)与A检索B的公钥一样，B以同样的方法从管理员处检索出A的公钥。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权(6)B用PUa对A的临时交互号（N1）和B所产生的新临时交互号（N2）加密，并发送给A。因为只有B可以解密消息（3），所以消息（6）中的N1可以使A确信其通信伙伴就是B。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥授权(7)

A用B的公钥对N2加密并发送给B，以使B相信其通信伙伴是A。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥证书（p306）

以上的方案虽然不错，但它还是有缺陷。因为用户要与其他用户通信，他就必须向目录管理员申请对方的公钥，因此公钥管理员就会成为系统的瓶颈。像前面一样，管理员所维护的含有姓名和公钥的目录也容易被篡改。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥证书

最早由Kohnfelder提出了使用证书的方法。通信各方使用证书来交换密钥而不是通过公钥管理员。在某种意义上，这种方案与直接从公钥管理员处获得密钥的可靠性相同。证书包含公钥和密钥拥有者的标识，整个数据块由可信的第三方(CA)进行签名。通常，第三方是证书管理员，如政府机构，或者金融机构，为用户群所信任。一个用户以一种安全的方式将他的公钥交给管理员，从而获得一个证书。接着用户就可以公开证书，任何需要该用户公钥的人都可以获得这个证书，并通过查看附带的可信签名来验证证书的有效性。通信的一方也可通过传递证书的方式将他的密钥信息传达给另一方。其他通信各方可以验证该证书确实是由证书管理员生成的。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥证书这种方法应满足下列要求：任何通信方可以读取证书并确定证书拥有者的姓名和公钥。任何通信方可以验证该证书出自证书管理员，而不是伪造的。只有证书管理员可以产生并更新证书。任何通信方可以验证证书的当前性（即是否过期）。密码学与信息安全第10章密钥管理和其他公钥密码体制公钥证书证书的形式为时戳T保证证书的当前性，防止重放旧证书

IDA－通信方A身份,PUA-A的公钥,PRCA－CA的私钥密码学与信息安全第10章密钥管理和其他公钥密码体制接收方用CA的公钥才能读取证书，接收方可以验证此证书确实出自证书管理员；IDA和PUA向接收方提供证书的拥有者的姓名和公钥；时间戳T用来验证证书的当前性。密码学与信息安全第10章密钥管理和其他公钥密码体制具有保密性和真实性的对称密钥分配（1）A用B的公钥对含有其标识IDA和临时交互号（N1）的消息加密，并发送给B。其中N1用来惟一标识本次交易。（2）B发送一条用PUa加密的消息，该消息包含A的临时交互号（N1）和B产生的新临时交互号（N2）.因为只有B可以解密消息（1），所以消息（2）中的N1可使A确信其通信伙伴是B。密码学与信息安全第10章密钥管理和其他公钥密码体制具有保密性和真实性的对称密钥分配（3）A用B的公钥