第7章 密钥管理.ppt

第7章 密钥管理 密钥管理的意义 网络安全服务所依赖的基础之一就是对传送数据的加密，不论是链路加密方式还是端到端的加密方式都是密钥技术的应用。 由于密钥技术的核心内容是通过加密方法把对大量数据的保护归结为对若干核心参量——密钥的保护，因此网络系统中加秘密钥管理问题就成为首要的核心问题。 密钥的管理综合了密钥的生成、分配、存储、销毁等各个环节中的保密措施。 宗旨：确保使用中密钥的安全。 密 钥 长 度 决定密钥长度需要考虑多方面的因素： 数据价值、数据的安全期、攻击者的资源情况 不同信息安全需求 计算机计算能力和加密算法的发展 选择比需要的密钥长度更长的密钥。 对称密钥长度 对称密码体制的安全性是算法强度和密钥长度的函数：前者比较重要，后者更容易描述。 Kerckhoffs假设，密码体制的安全性依赖于密钥，而不是依赖算法的细节。 穷举攻击所需的时间及所花的代价。 硬件穷举攻击对称密钥的平均时间估计（ 1995年） 公钥密钥长度 破译公钥密码的出发点是试图分解大整数（或者在一个非常大的有限域内取离散对数） 选择公钥密码体系时为了决定所需要的密钥长度，必须考虑所需的安全性和密钥的生命周期以及了解当前因子分解技术的发展水平。 攻击难度相当的对称密钥密码和公钥密码的密钥长度（位） 密钥生成的重要性 算法安全性依赖于密钥，使用一个弱的密钥生成方法会导致整个体制的脆弱。 如果攻击者能够破译密钥生成算法，就不需要试图去破译加密算。 密钥选择 选择密钥，应尽量避免弱密钥。(安全性较弱的密钥) 尽量避免容易记忆的安全性差的密钥： 如用户的姓名、简写字母、帐户姓名和其他有关的个人信息等； 字典攻击。(综合考虑用户的姓名、简写字母、帐户姓名和其他有关的个人信息等从各种数据库中得到的单词，攻击者可生成一本公用的密钥字典，然后逐个尝试。) 字典攻击用作破译系统密钥文件而不是单个密钥时显得更加有效。 攻击者首先尝试最可能密钥。 最好的密钥还是随机密钥 ，但不容易记忆。比较好的办法是利用一个完整的短语代替一个单词，然后将该短语转换成密钥（通行短语）。 随机数在网络安全中的主要应用 生成密钥。 相互认证:密钥分配过程中使用一次性随机数防止重放攻击(现时)。 对称密码密码体制中会话密钥的生成。 公钥密码体制中密钥的生成。 随机数 随机数列要求满足随机性和不可预测性。 随机性，评价随机性通常有两个准则： 均匀分布性，比较容易检测； 独立性 ，一般只能通过反向验证（即无法证明不满足独立性）来保证其独立性。 不可预测性 由随机数列的相互独立性来保证。 网络安全中的随机数通常借助于安全的密码算法产生的，由于算法是确定的，由此产生的数列不是真正随机的但能通过各种随机性进行检测，称为伪随机数。 伪随机数生成器 线性同余算法。 基于密码算法的随机数生成器 循环加密； DES的输出反馈（OFB）模式； ANSI X9.17密钥生成器。 BBS(Blum-Blum-Shub)生成器。 线性同余算法 有四个参数 模数m (m0)； 乘数a (0≤am)； 增量c (0≤cm)； 种子X0 (0≤X0m)； 由迭代公式 得到随机数数列{Xn}。 线性同余算法的性能 迭代函数应是整周期的，即数列中的数在重复之前应产生0到m之间的所有数。 产生的数列看上去是随机的。虽然实际上数列是确定的（因为算法和参数是确定的），但是可以通过各种统计检测来评价数列的随机性。 迭代函数能有效地运用32位/64位运算来实现。 线性同余算法的问题 算法本身并不具有随机性，生成的数列实际上是确定的。 如果能确定X0,X1,X2,X3，就可以通过以下方程组解出a,c和m ： 解决办法：可以通过利用系统时钟修改随机数数列来改进 每产生N个数后利用当前的时钟值模m作为新种子； 直接把当前的时钟值模m加到每个随机数上。 实现参考：/question/540840 循环加密方式生成伪随机数 DES的输出反馈（OFB）模式 可以用系统中断向量、系统状态寄存器和系统计数器生成DES密钥；用系统时钟、系统ID号、日期、时间生成初始化向量；用外部生成的64位数据作为明文输入（V0），如系统管理员键入的8个字符。这样，最后的输出就是生成的密钥（随机数）。 ANSI X9.17密钥生成器 ANSI X9.17标准是美国国家标准化协会制订的金融机构密钥管理规范；ANSI X9.17标准制定于1985年，对金融机构的密钥管理进行了规范。 ANSI x9.17标准规定了一种密钥生成算法，更适合于在系统中产生会话密钥或者随机数，是密码强度最高的伪随机数生成器之一。 目前已经在PGP等许多应用中被采纳。