密码理论与技术 crypto-10.pptVIP

现代密码学理论与实践-10 现代密码学理论与实践-10 * 现代密码学理论与实践-10 */59 密码理论与技术 Chapter 10 Key Management; Other Public Key Cryptosystem * 现代密码学理论与实践-10 */60 本章要点 公钥密码方案是安全的，仅当公钥的真实性能够得到保证。公钥证书方案提供了必要的安全性。 一个简单的公钥算法是Diffie-Hellman密钥交换协议。这个协议使得通信双方利用基于离散对数问题的公钥算法建立秘密密钥。这个协议是安全的，仅当通信双方的真实性能够得到保证。 * 现代密码学理论与实践-10 */60 公开密码的主要作用之一就是解决密钥分配问题，公钥密码实际上可以用于以下两个不同的方面 公钥的分配 公钥密码用于传统密码体制的密钥分配 几种公钥分配方法 公开发布、公开可访问的目录 公钥授权、公钥证书 公钥的公开发布 用户将他的公钥发送给另一通信方，或者广播给通信各方，比如在电子邮件后附上PGP密钥，或者发布到邮件列表上 最大问题在于任何人都可以伪造这种公钥的发布 10.1.1 密钥管理之公钥的分配 * 现代密码学理论与实践-10 */60 自由的公钥发布 * 现代密码学理论与实践-10 */60 维护一个动态可访问的公钥目录可以获得更大程度的安全性 一个可信实体或组织负责这个公开目录的维护和分配 目录包含{name, public-key}等项 每一通信方通过目录管理员以安全的方式注册一个公钥 通信方在任何时刻可以用新的密钥替代当前的密钥 目录定期更新 目录可通过电子方式访问 一旦攻击者获得目录管理员私钥，则可传递伪造的公钥，可以假冒任何通信方以窃取消息，或者修改已有的记录 公开可访问的目录 * 现代密码学理论与实践-10 */60 公开可访问的目录 * 现代密码学理论与实践-10 */60 A发送带有时间戳的消息给公钥管理员, 请求B的当前公钥 管理员给A发送用其私钥KRauth加密的消息, A用管理员的公钥解密，可以确信该消息来自管理员： B的公钥KUb，用来加密； 原始请求，A可以验证其请求未被修改； 原始时间戳, A可以确定收到的不是来自管理员的旧消息。 A保存B的公钥, 并用它对包含A的标识IDA和Nonce1的消息加密, 然后发送给B B以同样方式从管理员处得到A的公钥 B用KUa对A的N1和B的N2加密, 发送给A A用B的公钥对N2加密并发送给B, 使B相信其通信伙伴是A 公钥授权 * 现代密码学理论与实践-10 */60 公钥分配方案 * 现代密码学理论与实践-10 */60 有了公钥证书使得不通过实时访问公钥授权部门而实现公钥交换成为可能 公钥证书将一个通信方的身份与他的公开密钥绑定在一起，通常还包括有效期和使用方法等 证书的所有内容必须经由可信公钥授权方或者证书授权方签名后方可生效 知道公钥授权当局公开密钥的任何人都可以验证一个用户的公开密钥证书的有效性 对于申请者A，管理员提供的证书为： CA = EKRauth [T, IDA, KUa] 其他人读取并验证： DKUauth[CA]=DKUauth [EKRauth [T, IDA, KUa]]=(T, IDA, KUa) 10.1.2 公钥证书 * 现代密码学理论与实践-10 */60 公钥证书的交换 * 现代密码学理论与实践-10 */60 采用前述方法获得的公开密钥可以用于保密和认证之需 公钥密码算法速度较慢，因此更适合作为传统密码中实现秘密密钥分配的一种手段 因此，需要产生会话密码来加密 已经有一些方法用来协商适当的会话密钥 10.1.3 利用公钥密码分配传统密码体制的密钥 * 现代密码学理论与实践-10 */60 一种简单的秘密密钥分配方法 Merkle在1979提出一种简单的方法 A产生公/私钥对{PUa,PRa}, 将含有PUa和标识IDA的消息发给B B产生秘密密钥(会话密钥)Ks, 并用A的公钥加密后发给A A解密D(PRa,E(PUa,Ks), 得到Ks, 这样双方即可通信 这个协议不安全，因为会受到中间人攻击 * 现代密码学理论与实践-10 */60 具有保密性和真实性的密钥分配 * 现代密码学理论与实践-10 */60 10.2 Diffie-Hellman密钥交换 Diffie和Hellman在1976年首次提出了公钥算法，给出了公钥密码学的定义，该算法通常被称为Diffie-Hellman密钥交换算法 Diffie-Hellman密钥交换算法是一种公钥分发机制 它不是用来加密消息的 所生成的是通信双方共享的会话密钥，必须保密，其值取决于通信双方的私钥和公钥信息 Diffie-Hellman密钥交换算法是基于有限域GF中的指数运算的(模一素数或