现代密码学与应用.ppt

2008-11-3 111  现代密码学与应用 ——密钥建立协议 参考书籍 《Handbook of Applied Cryptography》: Chapter 12 《Applied Cryptography: Protocols, algorithms, and source code in C》：Chapter 22 大纲 一、基本概念 二、基于对称加密的密钥传输 三、基于对称技术的密钥协商 四、基于公钥加密的密钥传输 五、基于非对称技术的密钥协商 六、秘密共享 七、会议密钥生成 八、密钥建立协议的分析 一、基本概念 密钥建立协议 是这样的一个协议，它能够为两个或多个参与方生成共享密钥，供随后的密码方案使用。 生成的共享密钥，常称为或用于推导会话密钥 协议：是一系列步骤，它包括两方和多方，设计它的目的是要完成一项任务。 协议是从开始到结束的一个序列，每步必须依次执行 完成协议至少需要两个人 协议的目的是为了做一些事情 分类 密钥建立协议可分为： 密钥传输协议： 它使得一个参与方可以建立或获得一个秘密值，并将它安全地传输给其他参与方 密钥协商协议： 两个(或更多的)参与方共同提供消息，推导出一个共享密钥，（理想状态下）任何一方不能预先确定结果值 可信服务器的使用 有多种名称： 可信第三方(TTP) 可信服务器 (TS) 认证服务器 (AS) 密钥分发中心(KDC) 密钥变换中心(KTC) 证书颁发机构(CA) 用于初始化系统设置和(或)在线活动(即包括实时参与） 实体认证、密钥认证和密钥确认 实体认证：通过对秘密的拥有来证明身份 (实时性) 数据源认证(消息认证)：MAC、数字签名、加密和hash函数 密钥确认：一个参与方能确认第二方(该方身份可能未识别)实际已经拥有一个特定的密钥 认证焦点为一些参与方是否可提供拥有给定密钥的证据 密钥认证： (认证焦点是身份) 隐式密钥认证：认证焦点是可能共享一个密钥的参与方的身份 显式密钥认证：可确定一个身份已识别的参与方实际拥有一个给定密钥 同时具有隐式密钥认证和密钥确认的特性 密钥建立协议通常附加单方的密钥确认(如，在最后的消息中附加会话密钥的单向杂凑值) 会话密钥的使用动机 会话密钥：临时秘密 被严格限制在一小段时间内使用，如一次单独的通信会话 动机： 针对密码分析攻击，限制可用的密文(在一个规定的密钥下) 在会话密钥暴露的事件中，限制暴露的时间周期以及数据量 仅仅当实际需要时才建立密钥，从而避免长期存储大量不同的密钥(如，当一个终端需要与众多的参与方进行通信的情况下) 在通信会话或应用过程中建立独立性 密钥建立技术的特性 认证的种类：实体认证?密钥认证？密钥确认? 认证的相互性：单方面？相互？ 密钥的新鲜度 密钥控制： 密钥传输：某一参与方选择密钥值 密钥协商：共同决定，任一参与方不能控制、也不能预知密钥值 效率：消息数目、带宽、计算复杂度、需预计算? 第三方的需要 证书：初始密钥的分发方式 不可抵赖性：能提供密钥已被交换的收据 密钥建立协议中的假定和敌手 假定： 使用的底层密码机制(如加密方案和签名方案)都是安全的 敌手是一个不能直接攻击底层机制的密码分析家 敌手只能攻击协议本身，即攻击底层机制的组合，以达到击破协议的目标 协议中的消息是通过未受保护(开放式)的网络来传输的，敌手可以能完全控制数据 敌手能伪造成一个合法参与方 敌手 外部敌手 内部敌手：能通过一些特权方法(如实际获取私人计算机上的资源或其他一些阴谋等)获取额外信息(如会话密钥或部分秘密信息) 一次内部敌手:能及时获取某些信息并在随后时间应用 持久内部敌手:能不断获取特权信息 敌手的活动： 利用窃听到的消息推导会话密钥 （被动) 伪装成合法的参与者，从而共享密钥 (主动) 完善前向必威体育官网网址和已知密钥攻击 长期(对称或非对称的)密钥的泄密 完善前向必威体育官网网址：长期密钥的泄密不能使得过去的会话密钥泄密 （通信安全的锁定在过去） 过去的会话密钥的泄密 (可能性大) 已知密钥攻击：若过去的会话密钥泄密，则可能会泄露将来的会话密钥，或将来可能被敌手用于伪装成合法参与者 二、基于对称加密的密钥传输(Key transport based on symmetric encryption) 无服务器的对称密钥传输和导出 使用对称加密的点对点密钥更新 使用密钥导出和不可逆函数的点对点密钥更新 无预先共享密钥的密钥传输 Kerberos协议和相关的基于服务器的协议 Needham-Schroeder共享密钥协议 Kerberos认证协议 2.1 使用对称加密的点对点密钥更新 参与双方A和B须预先共享长期对称密钥K 可通过安全信道分发 也可从一个密钥预分发方案(如带固定指数的Diffie-Hellman协议)中得到 会话密