(现代密码学课件）05密钥分配.ppt

Diffie-Hellman密钥交换 Diffie-Hellman密钥交换易受中间人攻击： BBS随机比特产生器 例如：n=192649=383×503, 种子s=101355，结果由表5.1给出。 伪随机数和随机比特练习 对线性同余算法 Xn+1= aXn mod 24，求 （1）该算法产生的有最大周期的数列 （2）周期最大时的a和X0的值 对BBS随机比特产生器，取两个素数p=3, q=7, 种子s=5，计算产生的随机比特B1B2…B10 基于中国剩余定理的门限方案 设 m1m2…mn 是n个两两互素的整数，满足 mnmn-1…mn-k+2m1m2…mk, 即{mi}中任何k个的乘积大于任何k-1个的乘积。 设秘密数据s满足 mnmn-1…mn-k+2sm1m2…mk 计算 M=m1m2m3m4m5, si=s(mod mi) 以 (si, mi, M) 作为子密钥, 集合{(si, mi, M)} 就构成了一个(k,n)门限方案. 基于中国剩余定理的门限方案 基于中国剩余定理的门限方案 基于中国剩余定理的门限方案 基于中国剩余定理的门限方案 基于中国剩余定理的门限方案 门限方案练习 在Shamir秘密分割门限方案中，设k=3，n=5，q=17，5个子密钥分别是8、7、10、0、11，从中任选3个，构造插值多项式并求秘密数据s。 在基于中国剩余定理的秘密分割门限方案中，设k=2，n=3，m1=7，m2=9，m3=11，3个子密钥分别是6、3、4，求秘密数据s。 通信和法律实施存取过程 密钥托管密码体制的组成成分 用户安全成分（USC） 密钥托管成分（KEC） 数据恢复成分（DRC） 四、随机数的产生 Generation of Random Numbers 随机数的用途 相互认证 密钥产生 直接以随机数作为密钥 用随机数作为参数来产生密钥 随机数的要求－随机性 均匀分布 数列中每个数出现的频率相等或近似相等 独立性 数列中任一数不能由其他数推出 经常使用的是伪随机数列 随机数的要求－不可预测性 对数列中以后的数是不可预测的 对于真随机数，满足独立性，所以不可预测 伪随机数列需要特别注意满足不可预测性 随机数源 真随机数源－物理噪声产生器 离子辐射脉冲检测器 气体放电管 漏电容 数的随机性和精度不够 这些设备很难联入网络 伪随机数产生器-线性同余法 参数： 模数m (m0) 乘数a (0≤am) 增量c (0≤cm) 初值种子X0(0≤X0m) a, c, m的取值是产生高质量随机数的关键 伪随机数产生器-线性同余法 a=7,c=0,m=32,X0=1 {7,17,23,1,7,…} a=3,c=0,m=32,X0=1 {3,9,27,17,19,25,11,1,3,…} 选m尽可能大，使其接近或等于计算机能表示的最大整数 周期为4 周期为8 伪随机数产生器-线性同余法 迭代函数应是整周期的，在重复之前应出现0到m间的所有数 产生的数列看上去应是随机的 迭代函数能有效的利用32位运算实现 如果m为素数，且a为m的本原根，产生的数列是整周期的。 a=16807,m=231-1,c=0 伪随机数产生器-线性同余法 假定敌手知道X0,X1,X2,X3,可以确定参数 改进方法：利用系统时钟修改随机数列。 基于密码算法的随机数产生器 循环加密 C C+1 加密算法 主密钥Km 周期为N的计数器 基于密码算法的随机数产生器 DES的输出反馈方式(OFB)模式 采用OFB模式能用来产生密钥并用 于流加密。加密算法的输出构成伪 随机序列 基于密码算法的随机数产生器 ANSIX9.17伪随机数产生器 EDE EDE EDE ＋ ＋ K1K2 Vi+1 Vi Ri DTi BBS随机比特产生器 密码强度最强，基于大整数分解困难性 选择p,q,满足p=q=3 mod 4, n=p×q。选随机数s，s和n互素 X0＝s2 mod n For i=1 to ∞ do { Xi=Xi-12 mod n; Bi=Xi mod 2} Bi为产生的随机比特序列 五、秘密分割 Secrete Sharing 秘密分割门限方案 导弹控制发射，重要场所通行检验，通常需要多人同时参与才能生效，需要将秘密分为多人掌管，并且由一定掌管秘密的人数同时到场才能恢复秘密。 门限方案的一般概念 秘密s被分为n个部分,每个部分称为子密钥或者影子,由一个参与者持有，使得 由k个或多于k个参与者所持有的部分信息可重构s 由少于k个参与者所持有的部分信息则无法重构s 则称为(k,n)秘密分割门限方案，k称为门限值。 如果少于k个参与者所持有的部分信息得不到s的任何信息称该门限方案是完善的。 Shamir门限方案 基