第4讲《认证协议与密钥建立协议设计》.pptVIP

5.秘密共享协议——Shamir (t, n)门限方案 5.秘密共享协议——Shamir (t, n)门限方案 5.秘密共享协议——Shamir (t, n)门限方案 5.秘密共享协议——Shamir (t, n)门限方案 例子1：如何构造Shamir (3, 5)门限方案在5个用户间共享密钥k=11，其中素数p=19 1. 密钥共享： 随机选取a1=2, a2=7,而a0=11，由此得多项式为： h(x)=(7x2+2x+11) mod 19 则由yi=h(xi), 1≤i≤5，很容易得5个子密钥： h(1)=1, h(2)=5, h(3)=4, h(4)=17, h(5)=6 5.秘密共享协议——Shamir (t, n)门限方案 例子1：如何构造Shamir (3, 5)门限方案在5个用户间共享密钥k=11，其中素数p=19 2. 密钥恢复： 如果知道其中的3个子密钥h(2)=5, h(3)=4, h(5)=6，就可按下式重构h(x)： 即：h(2)子项： 5.秘密共享协议——Shamir (t, n)门限方案 例子1：如何构造Shamir (3, 5)门限方案在5个用户间共享密钥k=11，其中素数p=19 2. 密钥恢复： h(3)子项： h(5)子项： 5.秘密共享协议——Shamir (t, n)门限方案 由此得： 从而得密钥:k=11 5.秘密共享协议——Shamir (k, n)门限方案 例子2：假设现在要在7个人中对消息S=12进行秘密共享，其中任意4个人在一起就可以恢复秘密S，即如何构造一个Shamir(4，7)门限方案？ 秘密共享步骤如下： 选择一个满足pmax(S=12, n=7) 的大素数p=19，并定义a0=12 按要求0aip-1，随机选择3个独立系数a1=7, a2=15, a3=6，并构造3次多项式 分别计算7个影子： 从4个影子中恢复秘密信息S： 假定4个影子为：S1, S3, S5, S6 由多项式f(x)，构造如下方程组： 解得：a0=S=12 5.秘密共享协议——关于门限方案的问题 Shamir门限方案是最简单的秘密共享方案，除此之外，还有很多其他的门限方案，比如矢量方案、KGH方案等 还可基于中国剩余定理，如Asmuth-Bloom门限方案 更进一步的问题： 如果有一个人比其他人都要重要，那么他的重要身份如何在门限方案中体现出来？ 如果k个人中存在着一个骗子，那么如何能检测谁是骗子？ 第一次课后作业 在NSSK密钥建立协议中，为了防范攻击，须妥善保存或销毁协议中的各种密钥。以下面情形为例，即KDC与Alice间共享的密钥KA泄露，攻击者Mallory能够用该密钥KA获得同Bob交谈的会话密钥K，请设计其具体的攻击过程。 提交要求： 给出消息交互过程，并给予文字解释 课程结束前两周提交PPT文档到课程邮箱，必要时课堂讲解 在Shamir(3, 5)门限方案中，设素数P＝17，xi=i，1≤i≤5，且h(1)=8, h(3)=10, h(5)=11，假设要从用户P1, P3,P5的共享中恢复密钥k。请给出具体重构密钥的过程。 提交要求： 须给出主要步骤及式子 课程结束前两周提交Word文档到课程邮箱 END 身份认证——挑战-应答机制：基于非对称密钥 前面的挑战-应答机制是基于对称密钥的，可改为基于非对称密钥的 1. Alice → Bob：Na 2. Bob → Alice：Nb, M1= {M, Nb, N’a} SKb 3. Alice : { {M, Nb, N’a} SKb } PKb，N’a ==Na ? 4. Alice → Bob: M2= {M’, N’b} SKa 5. Bob: {{M’, N’b} SKa}PKa, N’b ==Nb ? 问题： 该认证是单向，还是双向？ 是谁要确认谁的身份？ 如何改造成双向认证？ 2.身份认证——挑战-应答机制:带密钥的单向函数 加密操作→利用带密钥的单向函数，即带密钥单向函数的挑战-响应机制 假设用h(·)表示用密钥k对消息进行单向哈希运算，其步骤： 1. Alice → Bob：Na 2. Bob → Alice： Nb，M＝hk{Alice,Nb, N’a} 3. Alice: M’= hk{Alice, Nb , N’a} ==M ? 单方认证 1. Alice → Bob：Na 2. Bob → Alice： Nb，M1＝hk{Alice,Nb, N’a} 3. Alice: M’1= hk{Alice, Nb , Na} ==M1 ? 4. Alice → Bob：M2= hk{Bob, N’b} 5. Bob: M’2= hk{Bob, Nb} ==M2