编制说明《信息安全技术 公钥基础设施 远程口令鉴别与密钥建立规范》

任务来源2011年，经国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定《远程口令鉴别与密钥建立规范》国家标准，国标计划号：2011XXXX－T-XXX。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由中国科学院软件研究所负责主编。编制背景实体身份鉴别是信息安全体系中核心的基础内容之一，目前，我国GB/T15843系列标准已经对使用对称密码技术、非对称数字签名技术以及知识证明技术进行实体身份鉴别的具体要求和实现路线进行了规范，为基于不同技术实现的实体鉴别提供了互操作的基础。然而目前在实际的网络信息应用系统中获得广泛应用的基于口令的认证技术并没有相应的标准和技术规范。由于容易记忆、无需庞大的基础设施支撑、管理方便等特点，基于口令的身份鉴别技术更为普通大众所接受，也是目前应用最广泛的一种身份鉴别方式。然而，由于口令的选择空间较小且通常是具有特定意义的词组，造成了基于口令的身份鉴别协议往往容易受到攻击。而现今许多应用系统实现的口令鉴别协议在设计时往往未对这些攻击进行充分考虑，造成了潜在的安全问题。解决口令猜测攻击的一个有效方法是结合使用公钥密码学和基于口令的技术。应用公钥密码技术可以构造安全地使用口令的身份鉴别和密钥协商协议，完成身份鉴别和建立会话密钥，并能够防止离线的穷举攻击，而且也易于用户使用。目前实际系统中使用的基于口令的远程实体鉴别和会话密钥协商机制没有一个统一的规范，各种应用系统中采用的算法和相关协议技术缺乏安全评估，存在很大安全隐患，特别是在安全要求很高的应用中更容易出现安全问题，导致巨大的经济损失。因此亟须对基于口令的实体鉴别和密钥协商机制进行深入研究和标准化。编制意义和目的实体身份鉴别是信息安全体系中核心的基础内容之一，其实现方式多种多样，包括使用对称密码技术、非对称数字签名技术、零知识证明技术以及基于口令的密码技术等。目前，我国GB/T15843系列标准已经对利用前三种技术进行实体身份鉴别的具体要求和实现路线进行了规范，为基于不同技术实现的实体鉴别提供了互操作的基础。但相比上述方法，由于口令具有容易记忆、无需庞大的PKI基础设施支撑、管理方便等特点，因此基于口令的身份鉴别技术更为普通大众所接受，也是目前应用广泛并且可以预见将在未来相当长一段时间内作为主要的认证技术而存在。然而，由于口令一般由可打印的ASCII字符组成，选择空间较小，所以容易受到主动或是被动攻击者的攻击，更为不利的因素是人通常能方便记忆且易于使用的秘密往往是具有特定意义的单词或者词组，更容易遭受诸如字典攻击等的影响。当使用基于口令技术进行认证时，必须要仔细设计以防止认证协议可能存在的弱点。在公钥基础设施支持下，通过混合使用公钥密码学和基于口令的技术可以构造安全地使用口令的身份鉴别和密钥协商协议，完成身份鉴别和建立会话密钥，并能够防止离线的穷举攻击。远程口令鉴别和密钥协商规范在公钥基础设施技术支持下，通过定义一组基于口令鉴别的密钥协商和密钥恢复方法，对该类协议使用到的数学原理、安全需求和实现机制进行了规范和讨论，为相关应用开发者实现基于口令的鉴别系统提供参考，可以填补GB/T15843系列标准中在基于口令技术方面的空白，完善我国实体鉴别标准体系的构成。编制原则1. 本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》的要求和规定进行编写。2. 本标准应与已颁布实施的相关标准GB/T18238系列标准《信息安全安全技术散列函数》、GB/T15843系列标准《信息技术安全技术实体鉴别》等标准协调。3. 标准编写过程中充分考虑到基于公钥的口令鉴别技术发展的实际情况，以及目前口令鉴别协议在实际的网络信息系统中应用情况。尽可能做到清晰、明确，技术人员容易理解，避免出现由于对标准的解释不同，而指导产品实施的情况。同时，又保证为不同厂商进行扩展留有余地。主要工作过程标准制定的主要工作过程如下：2008年中国科学院软件研究所作为召集单位成立标准工作组，进行《远程口令鉴别与密钥协商规范》标准预编制工作。课题组首先对目前网络应用系统中使用的口令鉴别协议进行了分析，包括网络论坛、在线银行、Windows系统网络认证和Linux远程登录协议。详细分析了现有应用中口令鉴别系统的优势和问题。在此基础上，重点分析基于口令鉴别的密钥协商和密钥获取协议相关的国际标准和研究报告，客观评估我国基于口令鉴别的建立会话密钥的安全方法研究和安全产品实现。主要进行了以下工作：调研和分析目前网络应用系统中采用的口令鉴别技术的优势和问题；收集和分析基于口令鉴别的密钥协商和密钥获取协议相关的国际标准和研究报告，总结不同方法的性能和适用情况。研究和分析国际和国内采用公钥技术的SRP协议研究的相关成果。在上述工作的基础上，调查和分析学术界和工业界对这些标准的反馈情况，结合得到广泛认可的成熟技术方法编制适合我国的安全标准规范。结合基于离散对数和椭圆曲线的公钥密码技术，对选择的安全性经过时间证明的协议进行了规范化的描述，并经过仔细讨论和征求意见，参考IEEE1363.2标准草案修改采用，最终形成国家标准草案。2009年4月，信息安全标准化委员会组织专家对《远程口令鉴别与密钥协商规范》组织立项审查，与会专家提出许多建设性意见，赞同参考IEEE1363.2标准草案进行修改采用。2009年中国科学院软件研究所对《远程口令鉴别与密钥协商规范》草案中的相关协议进行实现和实际的应用验证，对存在的问题和不足进行了总结，并对标准进行了进一步的修订。在此基础上，进行了广泛的意见征集，邀请专家、安全研究工作者及部分应用企业对标准进行了论证，并征求各方面的意见进行再次的修改和整理，并建议更改名称为《远程口令鉴别与密钥建立规范》，于2009年12月完成了标准草案。2010年9月，《远程口令鉴别与密钥协商规范》标准预编制项目通过验收。同年，《远程口令鉴别与密钥建立规范》标准编制项目正式立项。2011年12月，形成《远程口令鉴别与密钥建立规范》征求意见稿，信息安全标准化委员会组织专家对征求意见稿进行了评审。与会评审专家提出增加标准中方案的适用说明等，项目组根据专家意见对《远程口令鉴别与密钥建立规范》进行了仔细的修订。2012年7月，信息安全标准化委员会组织专家对本标准重点项目征求意见稿进行检查，与会专家提出对标准内容部分表述进一步中文习惯方式化等众多意见，项目组进行了逐一修订，并参考1363.2对文本标准进行了进一步修订。2012年8月，信息安全标准化委员会组织相关单位和科研院校对征求意见稿进行了投票和意见征集。各个投票单位一致同意形成国标。同时投票单位也对标准提出了很好的建议，本单位针对各个单位的意见对标准进行了修订。2013年6月4日至2013年6月30日，由信安标委组织公安部十一局、工信部信息安全协调司、国家密码局等单位，并在网站上公开进行征求意见。2013年7月，软件研究所根据公安部十一局、工信部信息安全协调司、国家密码局等单位提出组内审查意见对标准的意见和建议进行了修订。2013年7月24日，信安标委组织专家对标准进行评审并提出了修改意见。2013年7月，中国科学院根据信安标委专家的意见对标准进行了修改（具体见意见汇总表），形成了送审稿。标准征求意见的落实情况如下：发送《征求意见稿》的单位包括公安部十一局、工信部信息安全协调司、国家密码局等；回函的单位数为6个；有建议或意见的单位数为6个；没有回函的单位数为0个。共汇集反馈意见34条，其中未采纳的意见3条，其余意见为采纳或部分采纳，具体参见意见汇总处理表。标准的主要内容本标准的主要内容《远程口令鉴别与密钥建立规范》标准主要包括以下几个方面的内容：1. 基本概念及数学约定：这一部分主要介绍口令鉴别密钥协商问题的产生背景，涉及的概念术语定义。此外，由于涉及到具体的口令鉴别密钥协商协议方案，所以还包括使用到的数学符号约定、离散对数体制、椭圆曲线密码体制约束等。2. 通用模型：这一部分给出一个通用的框架来描述各种不同的基于口令公钥技密码术。不同类型的密码技术可以抽象的理解为三类通用模型：原语、方案和附加方法。原语指基本的数学操作，这些操作基于数论上的困难问题。方案是一个相关操作的集合，联合应用原语和附加方法。方案能提供基于复杂性理论的安全性。附加方法包括方案的其他组件，如密钥产生函数，哈希函数，密钥确认函数和其他技术。整个规范按照这三类模型分别予以描述。3. 原语：这一部分给出具体的口令鉴别与密钥协商方案用到的群参数设置，密钥对、口令相关的公开密钥的定义等。同时还给出了多种口令相关公开密钥的生成原语，即通过口令及私钥生成相应公钥的基本数学操作。4. 口令鉴别与密钥协商方案：这一部分首先定义口令鉴别密钥协商方案的基本模型，安全属性以及通用的操作序列。然后列出具体的口令鉴别与密钥协商方案，它们都是相对成熟的方案，已被证明是安全的，同时也经过了实际应用的考验。其中大多数都是国外提出的方案，我们将适当考虑一些新提出的高效口令鉴别协议，特别是我国自主设计的相关协议。口令鉴别密钥协商方案的基本模型：在口令鉴别密钥协商方案中，每个参与方使用它自己的基于口令的值和私钥与其他参与方的公开密钥一起产生一个或者多个密钥。其它参与方共享的信息则作为方案的密钥产生参数。如果参与方使用相关的口令，密钥和一致的密钥产生参数，并且方案正确的完成，则参与方就能得到相同的秘密密钥。口令鉴别密钥协商方案允许参与方在仅仅共享基于口令值的情况下产生相同的秘密密钥，并且保证没有口令相关值的实体不能成功的参与该协议。5. 附加方法：这一部分主要介绍涉及到的密钥产生函数，哈希函数，密钥确认函数和其他技术。该部分与其他相关标准保持一致，对于已经标准化的技术不再具体介绍。《远程口令鉴别与密钥建立规范》虽然涉及具体的参数选择及实现方案，但只是提供应用可能选择的各种技术规范的一个参考，适当的理论基础，以及对于安全和实现考虑的广泛讨论，从而帮助安全产品方案提供者选择合适的技术和安全参数。标准框架本标准主要框架如下：1范围2规范性引用文件3术语和定义4符号和缩略语5文档约定6数学定义7模型8原语9口令鉴别密钥建立方案10密码函数参考文献本标准中方案的命名方法“Password-BasedPublicKeyCryptography”草案中的方法命名是基于方案提供者的命名以及方案提供者的姓名缩写和提名顺序等因素。在本标准选择方案的过程中认为这些名字的意义并不十分明显，并需要进行较多的说明。因此为了阅读和使用的方便，本标准在命名时采用了类似“GB/T18238.3-2003信息技术安全技术散列函数”的方法，按照方案的性质和编号进行命名，并在描述每个方案时对方案进行了注解，以方便读者了解方案的出处并进一步阅读。本标准中方案的选择与应用口令鉴别系统设计者应根据应用环境选择具体的口令方案。主要考虑以下几点：1. 设备支持的算法。在PC中，离散对数算法和椭圆曲线算法一般都能支持。然而考虑到方案也有可能使用在智能卡等设备中，就需要考虑智能卡支持的算法，如果支持离散对数算法，则只能选择离散对数方案。2. 口令的保存方式。如果应用需要保存明文口令，以备它用，则需要选择平衡的口令鉴别密钥建立协议。如果没有使用明文的需求，则建议采用扩展的口令鉴别密钥建立协议。3. 方案复杂度。根据选择的原语不同以及方案本身的不同，方案的复杂度略有不同。选择的原语生成方式复杂时，方案可能会较为简单。因此在方案和原语的选择上可以考虑现有的开发基础。本标准中方案的注解根据GB/T1.1-2009的7.2.1节规定：条文的注和示例应为资料性，应只给出有助于理解或使用标准的附加信息，不应包含要求或对于标准的应用是不可缺少的任何信息。本标准钟对于方案的注是该方案的出处相关的文章、文档等，是为读者提供了更进一步阅读的材料，因此是资料性的，对于标准的应用没有影响，符合GB/T1.1的规定。类似的条注可见于“GB/T18238.3-2003信息技术安全技术散列函数第3部分：专用散列函数”等标准。与国际相关标准的关系国外标准化工作简介国际上相关的标准化工作包括2000年IETF提出的RFC2945：《SRP认证及密钥交换系统》，2007年的RFC5054：《TLS认证的安全远程密码(SRP)协议的使用》以及IEEE提出的标准草案IEEEP1363.2：《基于口令的公钥密码技术》等。RFC2945定义了一个安全远程口令鉴别协议SRP，适用于使用用户提供的口令进行协商安全连接，并消除了口令重用时的传统安全问题。该协议在鉴别过程中执行安全的密钥交换，且不需要可信的密钥服务器或者证书设施，用户也无需存储和管理长期密钥。IEEE的P1363工作组致力与公钥基础设施相关标准的编制，其发布的1363-2000和1363a-2004定义了基于离散对数、整数分解、椭圆曲线的密钥协商、公钥加密、数字签名、标识等基本公钥密码技术。1363.2是该标准组织的系列标准之一，规定了基于口令的公钥密码技术，作为1363-2000和1363a-2004的补充。1363.2并没有强制规定任何基于口令的技术或者安全需求（如密钥长度），而是提供应用可选的技术的引用、恰当的理论背景、安全和实现的扩展讨论，使得方案提供者可以选择适当的安全需求。与相关国际标准IEEEP1363系列标准的关系IEEEP1363工作组致力于公钥技术密码学的标准化工作。其主要起草的标准包括：“IEEEStandardSpecificationsforPublic-KeyCryptography”、“Lattice-BasedPublic-KeyCryptography”、“Password-BasedPublicKeyCryptography”和“Identity-BasedPublicKeyCryptographyusingPairings”。其中第一个标准已经颁布，即1363-2000和1363a-2004。而之后的三个标准项目目前仍在起草和投票阶段，并未颁布。本标准主要基于“IEEEStandardSpecificationsforPublic-KeyCryptography”和“Password-BasedPublicKeyCryptography”两项标准，对其内容进行了分析和采用形成了“远程口令鉴别与密钥建立规范”。本标准选择了“Password-BasedPublicKeyCryptography”中的10个鉴别与密钥建立方案，并引用了1363-2000和1363a-2004中的公钥技术定义和一些原语。这几个密钥协商方案具有较高的安全性，并且具有密钥控制的性质，适合国内环境应用。有关问题的说明本标准包含为了安全使用口令进行身份鉴别和安全信道建立而设计的采用公钥技术的远程口令鉴别和密钥协商技术的安全需求、数学原理和实现机制。本标准包括基于口令的密钥建立方案和密钥获取方案。本标准不强制规定基于口令技术或者安全参数的任何部分，而是为应用系统设计和开发者提供应用系统可能选择的各种技术规范的一个参考，帮助方案提供者选择合适的技术和安全参数。本标准参考的主要文献及标准如下：[1]GB/T18238.3-2003信息技术安全技术散列函数第3部分：专用散列函数[2]ISO/IEC10118-32004InformationtechnologySecuritytechniquesHash-functionsPart3:Dedicatedhash-functions[3]IEEEstd1363-2000StandardSpecificationsforPublicKeyCryptography[4]IEEEstd1363a-2004StandardSpecificationsforPublicKeyCryptography-Amendment1:AdditionalTechniques[5]国家密码管理局SM2椭圆曲线公钥密码算法第1部分：总则[6]J.Jonsson,B.Kaliski:Public-KeyCryptographyStandards(PKCS)#1:RSACryptographySpecificationsVersion2.1,RFC3447[7]V.Boyko,P.MacKenzieandS.Patel.:ProvablySecurePasswordAuthenticatedKeyExchangeUsingDiffie-Hellman,AdvancesinCryptology-EUROCRYPT2000,Preneel,B.,(Ed.),May14-18,2000.[8]D.Jablon.:StrongPassword-OnlyAuthenticatedKeyExchange,ComputerCommunicationRev