GP卡片规范(附录B-H).doc

算法（加解密和Hashing） GP卡可以支持多种类型的安全功能供应用使用。本附录包含几个可能用于GP的加解密算法和Hash方法的示例。 数据加密标注（DES） 数据加密标准（DES）是对称加解密算法，它要求使用相同的密钥来加密和解密数据。在它的最简单形式中它使用一个8字节密钥来加密一个8字节数据块，并且相同的密钥用于解密获得原始的明文。 3DES使用组合的DES操作进行加密和解密。本规范中使用的3DES采用ISO/IEC 18033-3中定义的密钥选项2。 加密/解密 对加密定义了两种不同变化。 CBC模式 CBC模式的3DES采用如[ANSI X9.52]和[ISO 10116]中的定义，初始化链接值为‘00 00 00 00 00 00 00 00’。 ECB模式 ECB模式的3DES采用如[ANSI X9.52]和[ISO 10116]中的定义。 MAC计算 链接数据加密方法在[ISO 9797]中定义。 完全3DES MAC 完全3DES MAC是在[ISO9797-1]中定义的MAC算法3，采用输出转换3，不截断，并用DES代替块加密。 单一DES加最终3DES MAC 这也是大家所知道的零售密钥。它是在[ISO9797-1]中定义的MAC算法3，采用输出转换3，不截断，并用DES代替块加密。 哈希算法 哈希是单向摘要操作，对于任意长度的数据返回一个固定长度的哈希值。哈希不是加解密算法而只是提供数据的完整性。它不提供认证或保密性。 安全哈希算法（SHA-1） SHA-1在[ISO 10118-3]和FIPS PUB 180-1中定义。 MULTOS非对称哈希算法 对GP的MULTOS的非对称哈希算法在MULTOS文档[MAO-DOC-REF-009]中描述。 公开密钥加解密方案1（PKCS#1） 不同于DES，使用共享的密钥，公开密钥加解密使用私钥（秘密保存在一个实体上）和公钥。RSA（Rives/Shamir/Adleman）是GP所用的公开密钥算法之一。 产生一个RSA签名的过程包括使用PKCS#1标准。签名方案是PKCS#1中定义的RSA SSA-PKCS1-v1_5。该方案应用于要签名数据的摘要，通过SHA-1算法生成。签名结果的大小同公钥模块的大小相同。 校验一个签名的过程为，将公钥应用于（提供哈希的）签名，并比较此哈希值和要校验的数据的哈希值。 DES填充 除非相反地指定，在执行DES操作之前对一块数据进行填充可通过下列方式进行： 在数据块的右边添加一个80； 如果合成后数据块长度是8字节倍数，则不需要填充其它的； 在数据块右方添加2进制0，直到数据块长度是8的倍数。 如果填充的数据块要用于生成MAC，在DES操作后删除填充的数据。 安全内容管理 本附录定义了安全地改变和/或修改GP卡内容应当采用的一些不同方法。在现在这个时候，这些方法是为GP指定的仅有的方法。取决于卡片的实现，可以支持这些方法的任何子集。 密钥 为了执行后续小节中描述的卡片内容管理操作，需要各种不同的密钥。 令牌和收条密钥 如果支持委托管理，具有令牌验证权限的安全域和具有生成收条权限的安全域，应当有不同的密钥。这些密钥用于安全地管理卡片和它的内容。 密钥用途最短长度说明令牌令牌验证（RSA公钥）1024位仅委托管理收条可选地生成收条（DES）16字节仅委托管理收条可选地生成收条（RSA）1024位仅委托管理表C-1：令牌和收条密钥 建议RSA密钥为大于上述最短长度的32位的倍数。 令牌密钥 如果卡片支持委托管理，具有令牌验证权限的安全域应当有一个RSA公钥用于验证令牌。如果令牌验证密钥不存在，令牌验证和相应的委托管理操作应当失败。 收条密钥 如果卡片支持委托管理特别是产生收条，具有产生收条权限的安全域应当要么有一个公认的无歧义的DES密钥，或者一个RSA私钥用于产生收条。如果收条生成密钥不存在，生成收条和相应的委托管理操作应当失败。 DAP验证密钥 如果安全域支持DAP验证，则安全域应当要么有一个RSA公钥或者一个DES密钥来验证加载文件数据块（LFDB）签名。 密钥用途最短长度说明DAP验证加载文件数据块（LFDB）签名验证（RSA公钥）1024位仅DAP验证DAP验证加载文件数据块（LFDB）签名验证（DES密钥）16字节仅DAP验证表C-2：其它额外的安全域密钥 建议RSA密钥为大于上述最短长度的32位的倍数。 加载文件数据块哈希（LFDB Hash） 如果发生委托管理加载和/或加载文件包含一个或多个DAP块，则需要INSTALL [for load]命令中存在加载文件数据块哈希（LFDB Hash）域。此域的用途是提供加载文件数据块（LFDB）的SHA-1摘