【现代密码学】公钥加密体制的密钥管理.pptVIP

第六章 密钥分配与密钥管理 Key Distribution and Key Management 内容提要 单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割 随机数的产生 Generation of Random Numbers 基于密码算法的随机数产生器 循环加密 基于密码算法的随机数产生器 DES的输出反馈方式(OFB)模式 基于密码算法的随机数产生器 ANSIX9.17伪随机数产生器 BBS产生器（blum-blum-shub） 密码强度最强，基于大整数分解困难性 秘密分割 Secrete Sharing 秘密分割门限方案 导弹控制发射，重要场所通行检验，通常需要多人同时参与才能生效，需要将秘密分为多人掌管，并且由一定掌管秘密的人数同时到场才能恢复秘密。 门限方案的一般概念 秘密s被分为n个部分,每个部分称为shadow,由一个参与者持有，使得 由k个或多于k个参与者所持有的部分信息可重构s。 由少于k个参与者所持有的部分信息则无法重构s。 称为(k,n)秘密分割门限方案，k称为门限值。 少于k个参与者所持有的部分信息得不到s的任何信息称该门限方案是完善的。 Shamir门限方案 基于多项式Lagrange插值公式 Shamir门限方案 有限域GF(q),q为大素数，q≥n+1。秘密s是GF(q)\{0}上均匀选取的随机数，表示为s∈RGF(q)\{0}.k-1个系数a1,a2,…ak-1选取ai ∈RGF(q)\{0}.在GF(q)上构造一个k-1次多项式f(x)=a0+a1x+…+ak-1xk-1 N个参与者P1,…,Pn,Pi的Shadow为f(i)。任意k个参与者得到秘密，可使用{(il,f(il))|l=1,…,k}构造方程组 Shamir门限方案 由Lagrange插值公式 Shamir门限方案 如果k-1个参与者想获得s，可构造k-1个方程，有k个未知量。对任一s0,设f(0)= s0.这样可以得到第k个方程，得到f(x)。对每个s0都有唯一的多项式满足，所有由k-1个shadow得不到任何s的信息。因此此方案是完善的。 Shamir门限方案 例k=3,n=5,q=19,s=11。随机选a1=2,a2=7 f(x)=7x2+2x＋11 mod 19。 计算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6 已知f(2),f(3),f(5),重构 Asmuth-Bloom门限方案 首先选取大素数q，正整数s(秘密数据)，以及n个严格递增的m1,m2,…,mn,满足 qs (mi,mj)=1(对所有i≠j) (q,mi)=1(对所有i) Asmuth-Bloom门限方案 求y=s+Aq(yN)，yi=y(mod mi) (i=1,…, N).（mi,yi）为一子密钥.集合{(mi,yi)}(i=1…,n)构成(k,n)门限方案 当k个参与者提供子密钥时，可建立方程组 由中国剩余定理可以求得y=y’ mod N‘，N’为k个m的乘积，大于等于N,所以y=y’是唯一的，再由y-Aq得到s Asmuth-Bloom门限方案 如果仅有k－1个参与者，只能求得y’’=y mod N’’，而N’’N/q,无法确定y。 例k=2,n=3,q=7,s=4,m1=9,m2=11,m3=13 N=m1m2=9991=7*13=qm3 在[0,[99/7]-1]=[0,13]中随机取A=10，求y＝s+Aq=4+10×7=74. y1＝y mod m1=2 y2＝y mod m2=8 y3＝y mod m3=9 Asmuth-Bloom门限方案 若已知(9,2),(11,8)，可建立方程组 解得y=(11×5×2＋9×5×8) mod 99=74 S=y-Aq=74-10×7＝4 西安电子科技大学 * C C+1 加密算法 主密钥Km 周期为N的计数器 采用OFB模式能用来产生密钥并用 于流加密。加密算法的输出构成伪 随机序列 EDE EDE EDE ＋ ＋ K1K2 Vi+1 Vi Ri DTi 选择p,q,满足p=q=3 mod 4, n=p×q。选随机数s，s和n互素 X0＝s2 mod n For i=1 to ∞ do { Xi=Xi-12 mod n; Bi=Xi mod 2} Bi为产生的随机数序列 设{(x1,y1),…,(xk,yk)}是平面上k个点构成的点集，其中xi(i=1,…k,)各不相同，那么在平面上存在唯一的k-1次多项式f(x)通过这k个点.若把秘密s取做f(0)，n个shadow取做f(xi)(i=1,…n),那么利用其中任意k个shadow可以重构f(x)，从