密碼學南京農(nóng)業(yè)大學信息學院主講：趙力第1頁，共60頁。第八講密鑰管理第2頁，共60頁。對用同一密鑰加密的多個密文進行密碼分析一般比較容易。由于每個用戶要想和他人通信都需要求助于公鑰管理機構(gòu)，所以管理機構(gòu)有可能成為系統(tǒng)的瓶頸。RSA私鑰可用DES密鑰加密后存在磁盤上如果攻擊者E已接入A、B雙方的通信信道，就可以用以下不被察覺的方法截獲雙方的通信。如一些本地KDC各自負責整個網(wǎng)絡中的一個小區(qū)域。公鑰證書 公安局簽發(fā)的身份證[4]E截獲B發(fā)送的消息后，由DSKD[EPKD[KS]]解讀。對稱密鑰和公鑰密鑰長度的比較時間戳可以被當作截止日期，如果證書過期則被吊銷。并且也獲得了發(fā)放的身份標識IDA和公鑰PKA，CA的公鑰PKCA是眾所周知的。[2]E截獲A的發(fā)送后建立一對自己的密鑰{PKD，SKD}，并將PKD||IDA發(fā)送給B，而將真正的PKA留待后用。根據(jù)應用的不同而變化，可僅使用兩三年乃至終身網(wǎng)絡安全服務依賴的基礎之一是對傳送數(shù)據(jù)的加密。加密的核心是密鑰技術(shù)的應用。密鑰技術(shù)的核心內(nèi)容是通過加密的方法把對大量數(shù)據(jù)的保護歸結(jié)為對若干核心參量——密鑰的保護。因此網(wǎng)絡安全系統(tǒng)中首要的核心問題就是加密密鑰的管理問題。

第3頁，共60頁。密鑰管理綜合了密鑰的生成、分配、存儲、銷毀等各環(huán)節(jié)中的保密措施。所有的工作都圍繞一個宗旨：確保使用中的密鑰是安全的。第4頁，共60頁。在密鑰管理的各個環(huán)節(jié)中，密鑰分配是最棘手的問題。大中型網(wǎng)絡中多采用快速、安全地自動密鑰分配方法。一定程度的手工交換密鑰仍然是必需的，只是應用的范圍明顯地減小了。第5頁，共60頁。本講主要內(nèi)容9.1密鑰長度9.2密鑰生成9.3密鑰分配9.4密鑰保護第6頁，共60頁。密鑰長度密鑰應該多長？決定密鑰長度需要考慮的因素：（1）數(shù)據(jù)價值有多大？（2）數(shù)據(jù)要多長的安全期？（3）攻擊者的資源情況怎樣？（4）計算機的計算能力和加密算法的發(fā)展總之，保險的做法是選擇比需要的密鑰長度更長的密鑰。第7頁，共60頁。不同信息的安全需求信息類型時間（安全期）最小密鑰長度（位）戰(zhàn)場軍事信息數(shù)分鐘/小時56~64產(chǎn)品發(fā)布幾天/幾周64貿(mào)易秘密幾十年112氫彈秘密>40年128間諜的身份>50年128個人隱私>50年128外交秘密>65年至少128第8頁，共60頁。對稱密鑰長度代價(美元)密鑰長度（位）40566480112128100k2s35h1a70000a1014a1019a1M0.2s3.5h37a7000a1013a1018a10M0.02s21min4d700a1012a1017a100M2ms2min9h70a1011a1016a1G0.2ms13s1h7a1010a1015a10G0.02ms1s5.4min245d109a1014a100G2us0.1s32s24d108a1013a1T0.2us0.01s3s2.4d107a1012a10T0.02us1ms0.3s6h106a1011a第9頁，共60頁。公共密鑰長度年份對個人對公司對政府1995768128015362000102412801536200512801536204820101280153620482015153620482048第10頁，共60頁。對稱密鑰和公鑰密鑰長度的比較攻擊系統(tǒng)時總是選擇最薄弱的地方下手，因此如果同時用對稱密鑰算法和公開密鑰算法設計一個安全系統(tǒng)，那么應該慎重選擇每一種算法的密鑰長度，使它們被不同的方式攻擊時有同樣的安全性。對稱密鑰密碼的密鑰長度公鑰密碼的密鑰長度56384645128076811217921282304第11頁，共60頁。本講主要內(nèi)容9.1密鑰長度9.2密鑰生成9.3密鑰分配9.4密鑰保護第12頁，共60頁。密鑰選擇隨機數(shù)，難以被猜中，但也難以記憶攻擊方法：窮舉密鑰生日、單詞等容易記憶，但也容易被猜中攻擊方法：字典攻擊第13頁，共60頁。短語在密鑰生成中的作用一個比較好的辦法利用一個完整的短語代替一個單詞，然后將短語轉(zhuǎn)換成密鑰。短語容易記憶，又難以被猜中。使用一個單向Hash函數(shù)就可將一個任意長度的文字串轉(zhuǎn)換為一個偽隨機比特串。Hash()短語偽隨機比特串任意長度單向定長第14頁，共60頁。例：選擇短語“IlikeBeethoven’smusic.”將其轉(zhuǎn)化為如下ASCII字串（十六進制）：49 20 6C 69 6B65 20 42 65 6574 68 6F 76 656E 27 73 20 6D75 73 69 63 2E將每個字符按位異或得：49 69 5 6C 762 42 0 65 074 1C 73 5 60E 29 5A 7A 1762 11 78 1B 35最后得到的比特串為：00110101。密鑰生成舉例00逐字節(jié)輸入輸出輸出的最后一個字節(jié)為所求的偽隨機比特串第15頁，共60頁。不管怎樣，最好的密鑰還是隨機密鑰

第16頁，共60頁。本講主要內(nèi)容9.1密鑰長度9.2密鑰生成9.3密鑰分配9.4密鑰保護第17頁，共60頁。復習：第6講

對稱密鑰加密體制的密鑰分配密鑰分配的概念密鑰分配的4種基本方法密鑰分配中心主密鑰、會話密鑰密鑰交換協(xié)議一次性隨機數(shù)密鑰分配的分層控制第18頁，共60頁。復習：密鑰分配對稱密碼要求消息交換雙方共享密鑰，且此密鑰不為他人所知。因此，密鑰分配技術(shù)直接影響到整個密碼系統(tǒng)的強度。密鑰分配：是指將密鑰發(fā)放給希望交換數(shù)據(jù)的雙方而不讓別人知道的過程。第19頁，共60頁。復習：密鑰分配的研究密鑰分配的研究一般需要解決兩個主要問題：引進自動密鑰分配機制，減輕負擔，提高系統(tǒng)的效率；盡可能減少系統(tǒng)中駐留的密鑰量，提高安全性。第20頁，共60頁。復習：共享密鑰分配的基本辦法-1、2兩個需要通信的用戶A和B獲得共享密鑰的方法：方法1：密鑰由A選取，并親自交給B。方法2：第三方C選取密鑰后親自交給A和B。第21頁，共60頁。復習：共享密鑰分配的基本辦法-3方法3：如果A、B事先已有一密鑰，則其中一方選取新密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方。討論：既可用于鏈路加密也可用于端對端加密但是，攻擊者一旦獲得一個密鑰就可很方便地獲取以后的所有密鑰。并且，成千上萬的初始密鑰還是要想辦法分發(fā)下去。結(jié)論：安全性不夠。第22頁，共60頁。復習：共享密鑰的基本辦法-4方法4：如果A和B與第三方C分別有一保密信道，則C為A、B選取密鑰后，分別在兩個保密信道上發(fā)送給A、B。第23頁，共60頁。復習：密鑰分配過程及相關概念其中的C通常是一個可信的負責為用戶（主機、進程、應用程序）分配密鑰的密鑰分配中心(KDC)。每一用戶X和KDC之間有一共享密鑰Kx，稱為主密鑰，此密鑰專用于密鑰分配。兩個用戶A和B需要進行通信時，KDC選取一個臨時密鑰稱為會話密鑰Ks

，并分別在主密鑰KA、KB的保護下，將會話密鑰密鑰分配給用戶，用于這一對用戶之間的保密通信。通信完成后，Ks即被銷毀。第24頁，共60頁。復習：層次式密鑰數(shù)據(jù)會話密鑰主密鑰密碼學方法保護密碼學方法保護非密碼學方法保護第25頁，共60頁。復習：密鑰分配的分層控制如果網(wǎng)絡中的用戶數(shù)目多而且地域分布廣，一個KDC將無法負擔對所有用戶的密鑰分配任務。采用分層的KDC結(jié)構(gòu)是一種較好的解決方式。如一些本地KDC各自負責整個網(wǎng)絡中的一個小區(qū)域。分層結(jié)構(gòu)的好處可減少主密鑰的分布，因大多數(shù)主密鑰是在本地KDC和本地用戶之間的共享。可將虛假KDC的危害限制到一個局部區(qū)域內(nèi)。第26頁，共60頁。新內(nèi)容：公鑰加密體制

的密鑰分配

本節(jié)討論的內(nèi)容包括兩個方面：公鑰密碼體制所用的公鑰的分配用公鑰體制來分配對稱密鑰密碼體制中使用的密鑰第27頁，共60頁。1、公鑰分配的方法：公開發(fā)布

廣告公用目錄表

電話號碼本公鑰管理機構(gòu)

114查號臺公鑰證書 公安局簽發(fā)的身份證好比第28頁，共60頁。1、公開發(fā)布公開發(fā)布指：用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體廣播。例如：很多用戶都是將自己的公鑰附加到郵件中，然后發(fā)送到公共區(qū)域（如因特網(wǎng)郵件列表）。BAKUaKUbKUaKUaKUaKUbKUbKUb……第29頁，共60頁。公開發(fā)布的特點特點：簡單、方便任何人都可偽造這種公開發(fā)布，即發(fā)布偽造的公鑰。假冒者既可以用偽造的公私鑰獲得本該發(fā)給他人的消息，也可以用其獲得認證。第30頁，共60頁。2、公用目錄表公用目錄表指：建立一個公用的公鑰動態(tài)目錄表。目錄表的建立、維護以及公鑰的發(fā)布可由某個可信的實體或組織（公鑰目錄管理員）承擔。公鑰目錄BAKUaKUb第31頁，共60頁。公用目錄表原理管理員為每個用戶在目錄表中建立一個目錄，目錄中有兩個數(shù)據(jù)項：用戶名，用戶的公鑰。每個用戶都以某種安全的認證通信（如親自）在管理者那里注冊自己的公鑰。用戶如果由于自己的公鑰用過的次數(shù)太多或由于與公鑰相關的密鑰已被泄漏，則可隨時用新公鑰替換現(xiàn)有的公鑰。管理員定期公布或定期更新目錄表。其他用戶可通過電子手段訪問目錄表。第32頁，共60頁。公鑰目錄表存在的問題如果攻擊者成功地獲取管理員的密鑰，就可以偽造一個公鑰目錄表。公用目錄表更容易受到攻擊者的青睞和攻擊。第33頁，共60頁。3、公鑰管理機構(gòu)在公鑰目錄表的基礎上，對公鑰的分配進行更嚴密的控制。引入一個公鑰管理機構(gòu)來為各用戶建立、維護和控制動態(tài)的公鑰目錄。系統(tǒng)還要滿足以下要求：每個用戶都可靠地知道管理機構(gòu)的公鑰（眾所周知）只有管理機構(gòu)自己知道相應的私鑰。第34頁，共60頁。[1]Request||Time1將其轉(zhuǎn)化為如下ASCII字串（十六進制）：決定密鑰長度需要考慮的因素：65 20 42 65 65攻擊系統(tǒng)時總是選擇最薄弱的地方下手，因此如果同時用對稱密鑰算法和公開密鑰算法設計一個安全系統(tǒng)，那么應該慎重選擇每一種算法的密鑰長度，使它們被不同的方式攻擊時有同樣的安全性。用戶通過公鑰證書相互交換自己的公鑰而不須和公鑰管理機構(gòu)聯(lián)系。每個文件用唯一的文件加密密鑰，用主密鑰把文件密鑰加密首先，A和B協(xié)商一個大素數(shù)p和p的本原根a，這兩個整數(shù)都不必是秘密的。[4]Request||Time2接收方使用CA的公鑰PKCA對證書加以驗證：所有的數(shù)據(jù)項經(jīng)CA用自己的私鑰SKCA簽字后就形成證書。不同密鑰應用不同有效期。通信完成后，Ks即被銷毀。而用公鑰密碼體制加密通信量較小的對稱密鑰密碼體制的密鑰。根據(jù)會話密鑰的不同用途定義不同類型的會話密鑰。公鑰管理機構(gòu)公鑰分配公鑰管理機構(gòu)AB[1]Request||Time1[4]Request||Time2[2]ESKAU[PKB||Request||Time1][5]ESKAU[PKA||Request||Time2][3]EPKB[IDA||N1][6]EPKA[N1||N2][7]EPKB[N2]第35頁，共60頁。對公鑰管理機構(gòu)的討論由于每個用戶要想和他人通信都需要求助于公鑰管理機構(gòu)，所以管理機構(gòu)有可能成為系統(tǒng)的瓶頸。由管理機構(gòu)維護的公鑰目錄表也容易給攻擊者攻擊。

第36頁，共60頁。4、公鑰證書用戶通過公鑰證書相互交換自己的公鑰而不須和公鑰管理機構(gòu)聯(lián)系。公鑰證書由證書管理機構(gòu)（certificateauthority，CA）為用戶簽發(fā)（制作和簽名）。CA的公鑰PKCA是眾所周知的。第37頁，共60頁。公鑰證書的形式CA為用戶簽發(fā)公鑰證書，其中至少包含如下數(shù)據(jù)項：與該用戶的私鑰相匹配的公鑰——PKA用戶的身份——IDA有效期時間戳——T所有的數(shù)據(jù)項經(jīng)CA用自己的私鑰SKCA簽字后就形成證書。證書的形式為：第38頁，共60頁。利用公鑰證書獲得公鑰用戶把自己的公鑰通過公鑰證書發(fā)給另一用戶：

接收方使用CA的公鑰PKCA對證書加以驗證：第39頁，共60頁。利用公鑰證書獲得公鑰因為只有用CA的公鑰才能解讀證書，這樣接收方就：驗證了證書的確是CA發(fā)放的，并且也獲得了發(fā)放的身份標識IDA和公鑰PKA，時間戳可以被當作截止日期，如果證書過期則被吊銷。第40頁，共60頁。2、用公鑰加密分配

對稱密鑰密碼體制的密鑰第41頁，共60頁。公鑰分配完成后，用戶就可用公鑰加密體制進行保密通信。問題在于公鑰加密的速度比較慢，通常不適于進行保密通信。在實際應用中廣泛采用的方法是：用對稱密碼體制加密大量的信息；而用公鑰密碼體制加密通信量較小的對稱密鑰密碼體制的密鑰。第42頁，共60頁。1、簡單分配2、具有保密和認證功能的密鑰分配3、Deffie-Hellman密鑰交換常用的用公鑰分配會話密鑰的方式主要有以下幾種第43頁，共60頁。1、簡單分配優(yōu)點：會話密鑰泄漏的危險性很小可以防止雙方的通信被敵手監(jiān)聽。缺點：容易受到主動攻擊。AB[1]PKA||IDA[2]EPKA[KS]第44頁，共60頁。針對簡單分配的攻擊第45頁，共60頁。如果攻擊者E已接入A、B雙方的通信信道，就可以用以下不被察覺的方法截獲雙方的通信。[1]A向B發(fā)送消息PKA||IDA[2]E截獲A的發(fā)送后建立一對自己的密鑰{PKD，SKD}，并將PKD||IDA發(fā)送給B，而將真正的PKA留待后用。[3]B產(chǎn)生會話密鑰KS后，將EPKD[KS]發(fā)送出去。[4]E截獲B發(fā)送的消息后，由DSKD[EPKD[KS]]解讀。[5]E再將EPKA[KS]發(fā)往A。AB[1]PKA||IDA[2]EPKA[KS]第46頁，共60頁。2、具有保密和認證功能的密鑰分配假定A、B雙方已完成公鑰交換。該過程具有保密性和認證性，因此既可以防止被動攻擊，也能夠防止主動攻擊。第47頁，共60頁。3、Deffie-Hellman密鑰交換

首先，A和B協(xié)商一個大素數(shù)p和p的本原根a，這兩個整數(shù)都不必是秘密的。（1）A選擇一個大的隨機數(shù)XA并發(fā)送給B：YA=aXAmodp（2）B選擇一個大的隨機數(shù)XB并發(fā)送給A：YB=aXBmodn（3）A計算k=YBXA

modn。（4）B計算k’=YAXB

modn。K=k’=aXAXBmodn。該算法的安全性建立在求解離散對數(shù)的困難性的基礎上。第48頁，共60頁。習題用戶A和B使用Diffie-Hellman密鑰交換技術(shù)來交換密鑰，設公用素數(shù)q=71，本原根a=7。若用戶A的私鑰Xa=5，則A的公鑰Ya為多少？若用戶B的私鑰Xb=12，則B的公鑰Yb為多少？共享的密鑰為多少？第49頁，共60頁。本講主要內(nèi)容9.1密鑰長度9.2密鑰生成9.3密鑰分配9.4密鑰保護第50頁，共60頁。密鑰的有效期沒有哪個加密密鑰能無限期使用，因為：密鑰使用時間越長，泄漏的機會就越大。如果密鑰已泄漏，那么密鑰使用越久，損失就越大。密鑰使用越久，人們花費經(jīng)歷破譯它的誘惑力就越大，甚至采用窮舉攻擊法。對用同一密鑰加密的多個密文進行密碼分析一般比較容易。不同密鑰應用不同有效期。第51頁，共60頁。不同密鑰的有效期-1會話密鑰：更換越頻繁，系統(tǒng)的安全性就越高。對面向連接的協(xié)議：每次建立連接時，都應使用新的會話密鑰，如果邏輯連接的時間很長，則應定期更換會話密鑰。對面向無連接協(xié)議：在某一固定周期內(nèi)或?qū)σ欢〝?shù)目的業(yè)務使用同一會話密鑰。文件密鑰：每個文件用唯一的文件加密密鑰，用主密鑰把文件密鑰加密第52頁，共60頁。不同密鑰的有效期-2密鑰加密密鑰（主密鑰）無需頻繁更換但要安全保管公鑰密碼應用的私鑰根據(jù)應用的不同而變化，可僅使用兩三年乃至終身舊密鑰仍需保密第53頁，共60頁。密鑰保護密鑰存儲密鑰銷毀密鑰備份第5