【现代密码学】公钥加密体制的密钥分配.pptVIP

第六章 密钥分配与密钥管理 Key Distribution and Key Management 内容提要 单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割 公钥加密体制的密钥管理 Key Management of Public Key Cryptography Diffie-Hellman密钥交换 W.Diffie和M.Hellman1976年提出 算法的安全性基于求离散对数的困难性 密钥托管 Key Escrow 密钥托管 也称托管加密，其目的在于保证个人没有绝对的银丝和绝对不可跟踪的匿名性。 实现手段是把已加密的数据和数据恢复密钥联系起来。 由数据恢复密钥可以得到解密密钥，由所信任的委托人持有。 提供了一个备用的解密途径，不仅对政府有用，也对用户自己有用。 美国托管加密标准 1993年4月提出托管加密标准EES（Escrowed encrytion standard） 提供强加密功能，同时也提供政府机构在法律授权下监听功能。 通过防窜扰Clipper芯片来实现。 包含两个特性 Skipjack算法，实现强加密 法律实施存取域LEAF，实现法律授权下解密 Skipjack算法 单钥分组加密算法，密钥长80比特，输入输出分组长度64Bit 4种工作模式 ECB模式 CBC模式 64bitOFB模式 1,8,16,32,64比特CFB模式 托管加密芯片 Skipjack算法 80比特族密钥KF(Family key),同一批芯片的族密钥都相同 芯片单元识别符UID 80bit的芯片单元密钥KU(unique key),由两个80bit密钥分量异或得到 控制软件被固化在芯片上 托管加密芯片的编程过程 托管加密芯片加密过程 通信和法律实施存取过程 密钥托管密码体制的组成成分 用户安全成分（USC） 密钥托管成分（KEC） 数据恢复成分（DRC） 随机数的产生 Generation of Random Numbers 随机数的用途 相互认证 会话密钥的产生 公钥密码算法中的密钥产生 随机数的要求－随机性 均匀分布 数列中每个数出现的频率相等或近似相等 独立性 数列中任一数不能由其他数推出 经常使用的是伪随机数列 随机数的要求－不可预测性 对数列中以后的数是不可预测的 对于真随机数，满足独立性，所以不可预测 伪随机数列需要特别注意满足不可预测性 随机数源 真随机数源－物理噪声产生器 离子辐射脉冲检测器 气体放电管 漏电容 数的随机性和精度不够 这些设备很难联入网络 伪随机数产生器-线性同余法 伪随机数产生器-线性同余法 a=7,c=0,m=32,X0=1 {7,17,23,1,7,…} a=3,c=0,m=32,X0=1 {3,9,27,17,19,25,11,1,3,…} 选m尽可能大，使其接近或等于计算机能表示的最大整数 伪随机数产生器-线性同余法 迭代函数应是整周期的，在重复之前应出现0到m间的所有数 产生的数列看上去应是随机的 迭代函数能有效的利用32为运算实现 如果m为素数，且a为m的本原根，产生的数列是整周期的。 a=16807,m=231-1,c=0 伪随机数产生器-线性同余法 假定敌手知道X0,X1,X2,X3,可以确定参数 西安电子科技大学 * 用户B 用户A 选择随机数xp 计算YA= gx mod p 选择随机数yp 计算YB= gy mod p YA YB 计算K=YA y = gxy mod p 计算K=YB x = gxy mod p UID KU1 E K1 KU1 E K2 + SJ KF UID KU KF 芯片 芯片编程 处理器 托管机构1 初始化 托管机构2 初始化 UID UID 托管机构1 托管机构2 用KU加密 加密的KS UID A KS IV 用KF加密 LEAF 80bit 32bit 16bit KS：会话密钥 A：认证符 UID：芯片识别符 IV：初始向量 参数： 模数m (m0) 乘数a (0≤am) 增量c (0≤cm) 初值种子X0(0≤X00) a,c,m的取值是产生高质量随机数的关键 周期为4 周期为8