第18讲 COCA.pptVIP

PKI技术 COCA: Cornell Online Certification Authority COCA: A Secure Distributed Online Certification Authority LIDONG ZHOU, Microsoft Research FRED B. SCHNEIDER and ROBBERT VAN RENESSE, Cornell University ACM Transactions on Computer Systems, November 2002. 本课内容 COCA的总体特点 同时简要说明门限密码和BQS理论 如何使用2种Operation来实现通常意义的证书、签发、更新、撤销、和查询 Operations: Update and Query 系统结构 2种Operation的协议详细过程 讨论 COCA Prototype COCA的目标 提供高安全的、高可用的证书服务 包括证书签发、撤销、更新、证书查询服务 通过： 对CA密钥的保护 证书存储服务器的冗余设置 使用同一套的设备，提供了证书签发、证书查询的服务 掌握CA密钥的服务器群，同时也存储用户证书 容忍一定数量服务器的失效 CA密钥的保护－机密性 CA密钥的机密性 CA密钥是用于签发用户证书（和CRL）的，如果CA密钥被攻击，则攻击者可以伪造证书（和CRL），危害PKI系统和应用系统 使用threshold cryptography，将密钥分散到k个部件中，其中任意的t个合作，能够完成密码计算（签名操作） 通常是分布在网络不同位置的k台服务器 CA密钥的保护－CA密钥的可用性 CA密钥的可用性 使用threshold cryptography之后，则至少需要t台服务器在线 而不是原先的1台 必须保证在各种环境中，至少能够与t台服务器通信，才能实现服务的可用性 在分布式网络环境中，路由器、交换机的链路错误，也会影响到可用性 证书撤销的处理—查询要求 在COCA中，撤销问题是如下解决的： 不签发CRL 要求在使用证书之前，到COCA进行证书查询 COCA保证能够回复最新的证书 用户证书需要撤销时，就进行证书更新操作 那么，CA的安全性还包括了证书查询的可靠性 服务可用－能够查询到 服务正确－得到最新的证书 注意：服务器有可能死机、出错、失效等等 CA的安全性－证书查询的可靠 冗余配置，多台服务器同时存储了最新的证书 保证查询能够获得最新的用户证书、而不是过时的 保证有足够数量的服务器回应 否则服务不可用 前提是 将最新的证书写入到足够多的服务器中 COCA的特点 CA同时提供了证书查询和更新（签发）服务 Certificate Update/Query 注意：通常，Query服务是由repository提供的 使用threshold cryptography保护CA密钥 3t+1服务器，t+1才能合作进行数字签名 最多t个服务器被攻占，不会泄漏私钥 结合Byzantine Quorum System理论—证书查询 Internet环境下，能够完成任务，得到最新的证书 证书查询的可靠性 3t+1服务器，最多t个服务器失效，保证协议能正确执行、执行成功（服务可用） 适用于各种门限密码学方案 COCA并非针对特定的threshold cryptography scheme，作者认为COCA的系统结构适用于各种（t+1, 3t+1）门限密码签名方案 私钥由3t+1个服务器分享、任意的其中t+1个服务器可以完成签名操作 即能够容忍一部分服务器的失效（t个服务器） BQS理论也有类似能力 能容忍部分服务器的失效 COCA的创新点不在于提出新的门限密码方案，而在于将门限密码学方案与BQS理论的相结合 下面先简单介绍threshold cryptography和Byzantine Quorum System threshold cryptography 进行密码计算，需要使用密钥Key，要保证Key的安全 注意：此处为了方便，签名门限用t表示，而COCA门限是t+1 表示不同而已，实质一样 将Key进行拆分，分成k个子密钥（SK1, SK2, …, SKk） ，由k个不同的设备掌握 进行密码计算FKey(M)，多个设备分别进行计算（至少t个），得到t个结果 F1SK1(M)、F1SK2(M)、F1SK3(M)… 1tk 再将t个结果进行计算 F2(F1SK1(M), F1SK2(M), F1SK3(M)…) = FKey(M) F1, F2可以是不同于F的函数 F是某种密码计算函数（例如，数字签名、解密） Threshold cryptography 可继续参考： P. S. Gemmell. An Introduction to