密钥管理概要课件.pptVIP

第5讲密钥管理1

主要内容概述1234密钥长度密钥生成密钥分配密钥保护5

5.1概述v密钥是加密解密算法中的可变部分，采用密码技术保护的系统，其安全性在很大程度上取决于对密钥的保护，而不仅仅是对算法和硬件本身的保护。因此，密钥的保密和密钥的安全管理在信息系统、通信系统等现代系统安全中是极其重要的。密钥管理包含了密钥自产生到最终销毁的整个过程中的各种安全问题。如：密钥的产生、存储、装入、分配、保护、遗忘、丢失和销毁。

密钥安全的几个关键步骤：v（1）密钥生成密钥算法，公式，实现v（2）密钥分配分配方式，途径，拥有者v（3）密钥验证密钥附着一些检错和纠错位来传输,当密钥在传输中发生错误,能很容易地被检查出来.v（4）更新密钥如需频繁改变密钥,可从旧密钥中产生新密钥,或利用单向函数更新密钥.

密钥安全的几个关键步骤：v（5）密钥保护保密，权限，授权，存储，加密，携带v（6）备份密钥密钥托管、秘密分割、秘密共享v（7）密钥有效期v（8）密钥销毁更换，销毁v（9）公开密钥的密钥管理

密钥类型密钥的种类繁杂，但一般可以将不同场合的密钥分为以下几类：v基本密钥BaseKey又称初始密钥（PrimaryKey）、用户密钥(Userkey),是由用户选定或由系统分配给用户的，可在较长时间（相对于会话密钥）内，由一对用户所专用的密钥。v会话密钥SessionKey即两个通信终端用户在一次通话或交换数据时使用的密钥，当它用于加密文件时称为文件密钥(Filekey)，当它用于加密数据时称为数据加密密钥(DataEncryptingKey)。

密钥类型v密钥加密密钥KeyEncryptingKey用于对会话密钥或文件密钥进行加密时采用的密钥，又称辅助（二级）密钥(SecondaryKey)或密钥传送密钥(keyTransportkey)，通信网中的每个节点都分配有一个这类密钥。v主机主密钥HostMasterKey它是对密钥加密密钥进行加密的密钥，存于主机处理器中。v在公钥体制下，还有公开密钥、秘密密钥、签名密钥之分。

密钥分级保护v将用于数据加密的密钥称三级密钥。v保护三级密钥的密钥称二级密钥也称密钥加密密钥。v保护二级密钥的密钥称一级密钥也称密钥保护密钥。v如用口令保护二级密钥那么口令就是一级密钥。

密钥的生存期密钥的生存周期----授权使用该密钥的周期。v原因：1拥有大量的密文有助于密码分析，一个密钥使用得太多了，会给攻击者增大收集密文的机会。2假定一个密钥受到危及或用一个特定密钥的加密/解密过程被分析，则限定密钥的使用期限就相当于限制危险的发生。v一个密钥主要经历以下几个阶段1产生（可能需要登记）；2分配；3使用；4更新/替换；5撤销；6销毁。

密钥管理v密钥管理keymanagement)–在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用(GB/T9387.2—1995\ISO7498-2—1989)–处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化、密钥的产生、存储、备份/恢复、装入、分配、保护、更新、泄露、撤销和销毁等内容v密钥管理的目的：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：?密钥的泄露?秘密密钥或公开密钥的身份的真实性丧失?经未授权使用

5.2密钥长度v决定密钥长度需要考虑多方面的因素：?数据价值有多大？?数据要多长的安全期？?攻击者的资源情况怎样？v选择比需要的密钥长度更长的密钥。

不同安全需求的密钥长度信息型事信息最小密数分/小56-64bits布、合并、利率易秘密几天/几周几十年40年64bits112bits128bits128bits128bits至少128bits秘密的身份50年个人私外交秘密50年65年

攻击难度相当的对称密钥密码和公钥密码的密钥长度（位）称密密的密公密的密度56bits384bits512bits768bits1792bits2304bits64bits80bits112bits128bits

5.3密钥生成5.3.1密钥的选择v尽量避免容易记忆的安全性差的密钥：?如用户的姓名、简写字母、帐户姓名和其他有关的个人信息等；?字典攻击。v最好的密钥还是随机密钥，但不容易记忆。

v一个叫DanialKlein的人使用以下方法构造字典破译了40%的?用户的姓名、首字母、帐户名等与用户相关的个人信息；?从各种数据库得到的单词，如地名、山名、河名、著名人物的名字、著名文章或者小说的名字等；?数据库单词的置换，如数据库单词的大写置换，字母o变成数字0，或者单词中的字母颠倒顺序；?如果被攻击者为外国人