第九章密码协议单钥加密体制的密钥分配KeyDistributionofsymmetriccryptography3密钥分配的基本方法两个用户在使用单钥体制进行通信时,必须预先共享秘密密钥,并且应当时常更新,用户A和B共享密钥的方法主要有A选取密钥并通过物理手段发送给B第三方选取密钥并通过物理手段发送给A和BA,B事先已有一密钥,其中一方选取新密钥,用已有密钥加密新密钥发送给另一方A和B分别与第三方C有一保密信道,C为A,B选取密钥,分别在两个保密信道上发送给A和B4密钥分配的基本方法如果有n个用户,需要两两拥有共享密钥,一共需要n(n-1)/2个密钥每个用户需要存储n-1个密钥5KS:一次性会话密钥N1,N2:随机数KA,KB:A与B和KDC的共享密钥f:某种函数变换2.一个实例4.)],(||||||[1AsKsKIDKENrequestKEBAKDCAB1.Request||N13.]||[AsKIDKEB][2NESK5.)]([2NfESK6无中心的密钥控制有KDC时,要求所有用户信任KDC,并且要求KDC加以保护。无KDC时没有这种限制,但是只适用于用户比较少的场合公钥加密体制的密钥管理KeyManagementofPublicKeyCryptography8公钥的分配-公开发布用户将自己的公钥发给每一个其他用户方法简单,但没有认证性,因为任何人都可以伪造这种公开发布9公钥的分配-公钥目录表公用的公钥动态目录表:目录表的建立、维护以及公钥的分布由可信的实体和组织承担。管理员为每个用户都在目录表里建立一个目录,目录中包括两个数据项:一是用户名,二是用户的公开密钥。每一用户都亲自或以某种安全的认证通信在管理员处为自己的公开密钥注册。用户可以随时替换自己的密钥。管理员定期公布或定期更新目录。用户可以通过电子手段访问目录。10公钥的分配-公钥管理机构公钥管理机构为用户建立维护动态的公钥目录。每个用户知道管理机构的公开钥。只有管理机构知道自己的秘密钥。11公钥管理机构分配公钥公钥管理机构AB1.Request||Time12.1[||Re||]AUBSKEPKquestTime3.]||[1NIDEAPKB6.]||[21NNEAPK4.Request||Time25.]||Re||[2TimequestPKEASKAU7.][2NEBPK有可能成为系统的瓶颈,目录容易受到敌手的串扰12用公钥加密分配单钥密码体制的密钥AB1.PKA||IDA2.][SPKKEA简单分配易受到主动攻击AB攻击者E1.PKA||IDA2.PKE||IDA3.][SPKKEE4.][SPKKEA13用公钥加密分配单钥密码体制的密钥具有保密性和认证性的密钥分配AB1.]||[1APKIDNEB2.]||[21NNEAPK3.][2NEBPK4.]][[SSKPKKEEAB公钥加密体制的密钥管理KeyManagementofPublicKeyCryptography15用户B用户ADiffie-Hellman密钥交换W.Diffie和M.Hellman1976年提出算法的安全性基于求离散对数的困难性选择随机数xp计算YA=gxmodp选择随机数yp计算YB=gymodpYAYB计算K=YAy=gxymodp计算K=YBx=gxymodp秘密分割SecreteSharing17秘密分割门限方案导弹控制发射,重要场所通行检验,通常需要多人同时参与才能生效,需要将秘密分为多人掌管,并且由一定掌管秘密的人数同时到场才能恢复秘密。18门限方案的一般概念秘密s被分为n个部分,每个部分称为shadow,由一个参与者持有,使得由k个或多于k个参与者所持有的部分信息可重构s。由少于k个参与者所持有的部分信息则无法重构s。称(k,n)为秘密分割门限方案,k称为门限值。少于k个参与者所持有的部分信息得不到s的任何信息,称该门限方案是完善的。19Shamir门限方案基于多项式Lagrange插值公式设{(x1,y1),…,(xk,yk)}是平面上k个点构成的点集,其中xi(i=1,…k)各不相同,那么在平面上存在唯一的k-1次多项式f(x)通过这k个点.若把秘密s取做f(0),n个shadow取做f(xi)(i=1,…n),那么利用其中任意k个shadow可以重构f(x),从而可以得到秘密s20Shamir门限方案有限域GF(q),q为大素数,q≥n+1。秘密s是GF(q)\{0}上均匀选取的随机数,表示为s∈GF(q)\{0}.k-1个系数a1,a2,…ak-1选取ai∈GF(q)\{0}.在GF(q)上构造一个k-1次多项式f(x)=a0+a1x+…+ak-1xk-1N个参与者P1,…,Pn,Pi的Shadow为f(i)。任意k个参与者得到秘密,可使用{(il,f(il))|l=1,…,k}构造方程组)()()()()()(11101111110kkkkkkkifiaiaaifiaiaa21Shamir门限方案由Lagrange插值公式)(mod)()()(11qiiixifxfkjkjllljlj)(mod)()1(111qiiiifskjkjllljljk22Shamir门限方案如果k-1个参与者想获得s,可构造k-1个方程,有k个未知量。对任一s0,设f(0)=s0.这样可以得到第k个方程,得到f(x)。对每个s0都有唯一的多项式满足,所以由k-1个shadow得不到任何s的信息。因此此方案是完善的。23Shamir门限方案例k=3,n=5,q=19,s=11。随机选a1=2,a2=7f(x)=7x2+2x+11mod19。计算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6已知f(2),f(3),f(5),重构1127)35)(25()3)(2(6)53)(23()5)(2(4)52)(32()5)(3(5)(2xxxxxxxxxf