密钥泄露保护机制和可证证明安全性.ppt

幽國出 密铟泄露保护机制与可证明安会 陈克非 kitchen@situedu.cn 2012.12.11  主要向容 ·密钥的泄露问题 主要几种密钥泄露保护方案 前向安全 密钥隔离 入侵回弹 · Dodis密钥隔离加密方案 可证明安全基础回顾 密钥隔离的签名方案 并行密钥隔离方案 密钥隔离还可以做的事 可证安全=实际安全? 几个例子带来的启示  问题的背景 ·在公钥密码体制中,用户的密钥起着非常重要的地位。密 钥的泄漏是一个毁灭性的灾难,意味着将彻底失去系统的 安全性保证。 由于病毒、木马或操作系统漏洞等引起密钥泄漏的情况越来越多 对于大量的移动用户,密码设备丢失的情况很难避免,进而导 致密钥丢失。 ·电子现金系统中的密钥泄漏: 无法相信密钥泄漏发生之后的未来时间内所有由该密钥所产生的 电子现金 也无法相信此前所有由该密钥所产生的电子现金。 ·基于身份的密码体制中的密钥泄漏: 用户私钥的泄漏,意味着对应的身份信息(如身份证号码,电话 号码,邮件地址)需要修改,这在现实生活中非常棘手 注:许多传统的密码使用和管理规定在“民用密码”环境中很难实施  基于身份的密码体制 日提出: Shamir[ crypto84 目的:避免传统公钥密码体制中因管理公钥证书所耗的大量 运算代价和通讯开销 日特点:用户的身份信息(如邮件地址/身份证号码)作为公钥 例子:邮件地址作公钥的基于身份的加密系统 Bob Dobo am Alice email encrypted using public key D@sjtu.edu.cn Alice does not access a PKI CA/PKG A UTher ty is offline master-key 如何处理基于身份的密钥泄漏问题是一项非常有意义的工作  如何应对密钥泄漏 且足够份额的部 分密钥发生泄漏, 加大因密钥泄漏而破坏系统安全性的难度 系统仍将丧失安全 将整个密钥分成若干个部分密钥并分别存放在多个设备中。这样即使敌 手获得个别部分密钥也无法恢复岀整个密钥,从而加大了敌手破坏系统 安全性的难度。 可能的技术手段 Secret Sharing Threshold Cryptosystem即使出现密钥泄漏 V Proactive Cryptosystem 对系统的危害也可 以降到最低 尽量减轻密钥泄漏带来的危害 其思想是在保持公钥不变的前提下对密钥采取进化处理,在不同的时间 片段内使用不同的密钥。这样就使得泄漏个别时间片段的密钥不会产生 全局性的影响,从而减轻密钥泄漏带来的危害。 可能的技术手段: V Forward-Security Key-Insulated Intrusion -Resilient  前向安会技术与局限 交互式 Gnhr[Ewr测g|在研究密明交换协议时最先提出前向安全的概念 nderson [62cCsy]|提出了在非交互式环境下考前向安金的间题 B业:MF,C咧首个签名方案公软长 山 reyzin8.Asap对6的方案改进,缩了私铜的长度 Iikis-Reyzin (69. Cryplo't具有高效的签名魔证过程 Makhinet al.. Eurocrypt(2通用构造方法,支持无限制的时间片段数目 签名 Koz- Reyzin[2.scrm支持快速密朝更新 群签名方案 Abdal et al.74, CT-RSA'O11ES门限签名方案 TzengTzeng[5,rKco具有前摄性(peFs签名方案 Bovenet al6. ACM CCS6适合不可信密钥更新环境的FS签名方案 Libert et al[7, ACM CCSO通用方法,用于枃建合不可信钥吏新环堄的F签名方军 加 Canettiet al [8. Eurocrypt'o3首个F公钥加密方案:不支持无限制的时间片段数目,运算代价较高 Yao et a9. ACM CCS4应用到基于身份的环 总纯:可以保证之前的安全性,但不能保订之后的安全国此不太适用于基于身份的密码体制中(因为需要国收身份 +|5K。5K1 SK:i sK SKN Igood exposed bad (non-exposed)  密铟隔离技术 最早由Dods等人提出( Eurocrypt02 时间分N个片段,公钥PK固定 备是一个 力很需但安全性较差 引入物理安全"协助器”,私钥分二部 共场台教、机房等 临时私钥:由用户保存,SK0 √协助器密钥:由协助器保存,HK 协助器是一个物理安 在每个时间片段t的开始 个时向片