现代密码学第九讲：密钥管理(二)

1
密钥管理（二）
《现代密码学》第九章
2
上节主要内容
密钥管理简介
密钥分配
密钥协商
PKI及数字证书简介
秘密共享
密钥托管
3
PKI 的作用
公钥基础设施（PKI ，Public Key Infrastructure）以公钥技术为基础，将个人、组织、设备的标识信息与各自的公钥捆绑在一起，为用户建立起一个安全、可信的网络运行环境，使陌生用户可以在多种应用环境下方便地使用加密和数字签名技术，在互联网上验证用户的身份，从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。

4
PKI 的定义
PKI 是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。

5
数字证书概述
公钥（数字）证书是一种包含了重要信息的载体，它证明了证书所有人和所持有的公钥的真实性，由一个可信的中介机构进行签名，这可以使获得证书的人只要信任这个可信的中介机构，就可以相信他所获得的证书了。

数字证书的内容
版本号：用来区分X.509的不同版本。

序列号：由CA给予每一个证书的分配惟一的
数字型编号。

认证机构标识：颁发该证书的机构惟一的CA
的X.500名字。

主体标识：证书持有者的名称。

主体公钥信息：和该主体私钥相对应的公钥。

证书有效期：证书有效时间包括两个日期：
证书开始有效期和证书失效期。

密钥/证书用法：描述该主体的公/私密钥对
的合法用途。

扩展：说明该证书的附加信息。

认证机构签名：用认证机构的私钥生成的数
字签名。

6
7
数字证书的安全性 证书是公开的，可复制的。

任何具有CA 公钥（根证书/CA 证书，自签名证书）的用户都可以验证证书有效性。

除了CA 以外，任何人都无法伪造、修改证书。

证书的安全性依赖于CA 的私钥安全。

8
8.证书响应7.证书请求
4.注册建立请求
5.注册建立结果
6.注册结果
3.注册表格提交2.注册表格应答终端实体RA CA
1.注册表格请求（一）证书注册与发布 申请人提交证书请求； RA 对证书请求进行审核； CA 生成证书；
下载并安装证书； 证书发布.证书库9.证书发
布
9
（二）证书的存放 使用IC 卡存放
直接存放在磁盘或自己的终端上 USB Key
证书库
10（三）证书撤销
当条件（雇佣关系结束、证书中信息修改等）要求证书的有效期在证书结束日期之前终止； 或者要求用户与私钥分离时（私钥可能以某种方式泄露），证书被撤销。

2.证书撤销响应
1.证书撤销请求
2.证书撤销响应1.证书撤销请求
RA CA 带
外
请
求终端实体证书库
3.撤销发布
11
证书撤销列表
发布者名字
签名算法标识
更新时间
被撤销的证书的列表证书序列号
撤销时间
证书序列号
撤销时间
：
：
签名
证书撤销列表（CRL ）会无限增加吗？
12
（四）证书状态查询
定期下载证书撤销列表（CRL ）；
在线证书状态协议OCSP （Online Certificate Status Protocol ），其目的为了克服基于CRL 的撤销方案的局限性，为证书状态查询提供即时的最新响应。

OCSP 使用证书序列号、CA 名称和公开密钥的散列值作为关键字查询目标的证书。

13
（五）证书验证
在证书撤销列表（CRL ）中查询确认该证书是否被CA 撤销； 检测证书拥有者是否为预期的用户；
检查证书的有效期，确保该证书是否有效；
检查该证书的预期用途是否符合CA 在该证书中指定的所有策略限制；
使用CA 证书公钥和算法验证终端实体证书签名有效性。

14
（六）证书的更新
下列情况需更新最终实体证书
原证书过期；
一些属性的改变；
实体要求发放新证书（如密钥可能泄露）
CA 签名密钥更新
15
PKI 主要组件
证书
RCA
RA/LRA 最终实体最终实体
目录服务证书证书请求证书申请证书
1.用户请求证书
2.RA验证
用户身份3.RA允许申请证书并发送4.CA颁发证书
5.CA公布证书和证书撤消信息
6.用户检索证书
和撤消信息
16
（一）注册中心（RA ）
注册中心是数字证书注册审批机构。

一般而言，注册中心负责与用户面对面的审核、控制注册、证书传递、其他密钥和证书生命周期管理过程中主体和PKI 间的交换。

有的系统中，将RA 合并在CA 中。

17
RA 的功能
主体注册证书的个人认证。

确定主体所提供信息的有效性。

对被请求证书属性确定主体的权利。

认证机构代表主体开始注册过程。

为识别身份的目的分配名字。

在注册初始化和证书获得阶段产生共享秘密。

产生公私钥对。

在需要撤销时报告报告密钥泄露或终止事件。

开始密钥恢复处理。

18
（二）证书授权(CA ，Certificate Authority)中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

CA 中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。

CA 机构的数字签名使得攻击者不能伪造和篡改证书。

19
CA 的核心功能
确定是否接受最终用户数字证书的申请（证书审批）。

验证最终用户的公钥是否合法（用户是否知道对应私钥）。

向申请者颁发、拒绝颁发数字证书（证书发放）。

接受、处理最终用户的数字证书更新请求（证书更新）。

接受最终用户数字证书的查询、撤销。

产生和发布证书注销列表（CRL ）。

数字证书的归档。

密钥归档。

历史数据归档。

20CA 认证中心组成
签名和加密服务器
对于数字证书和被撤销的数字证书，应有认证机构的数字签名。

密钥管理服务器
与签名加密服务器连接，按配置生成密钥、撤销密钥、恢复密钥和查询密钥。

证书管理服务器
主要完成证书的生成、作废等操作控制。

证书发布和CRL 发布服务器
用于将证书信息按一定时间间隔对外发布，为客户提供证书下载和CRL 下载等服务。

在线证书状态查询服务器
证书用户随时都知道某个证书的最新状态。

Web 服务器
用于证书发布和有关数据认证系统政策的发布。

21
时间戳服务就是时间戳协议（TSP Time Stamp Protocol ）通过时间戳（Time Stamp Authority ）的服务来提供数据在特定时间存在的证据。

TSA(Time Stamp Authority)，时间戳权威，是一个可信的第三方时间权威。

它是PKI 中的重要组成部分。

仅仅是为了支持不可否认的目的，并不需要一个正确的时间，只要是能标记各项动作发生的先后关系即可。

但在很多情况下，一个权威的真正正确的时间是非常有用的，所以要求使用官方时间源提供的标准时间。

不可否认服务需要一个安全时间戳来证明某个事件发生在某个特定时间。

例如：Alice 用自己的私钥对一张支票签名并把它发送给Bob 。

现在Alice 想反悔，她故意把私钥四处散发，并通过CA 撤销自己的签名证书，以证明签名的并不是自己。

现在要揭穿Alice 是在抵赖，就需要有时间戳来证明她的证书撤销是发生在签名之后。

TSA 的工作流程：
1. 客户端首先计算所选文件的数字指纹，通常是做一次Hash .
2. 客户端将对文件计算的Hash 值发送给TSA ，TSA 将当前时间值加入数
字指纹，然后用私有密钥对这个信息数字签名，并产生一个时间邮戳(Time stamp)。

3. TSA 将时间邮戳返回到客户端存储（客户端需要验证时间邮戳的有效性）。

这样时间邮戳就跟文件绑在一起作为文件在某个时间内有效的证据。

22
23
简化站-站协议（STS 协议）
W.Diffie 和P.C.Van Orschot 等人于1992年提出DH 密钥协商协议的改进协议----站对站协议
（1）协议基于公钥基础设施，存在可信中心CA 。

设CA （A ）为A 的公钥证书，CA （B ）为B 的公钥证书
（2）协议利用数字签名技术。

设A 的签名算法为Sig A ，签名验证算法为Ver A ；B 的签名算法为Sig B ，签名验证算法为Ver B 。

24
设p 是一个大素数，是模p 的一个本原元，p 和个公开。

(1) A 随机选取x ，
,计算并将g a 传送给用户B 。

(2) B 随机选取y ，
,计算。

然后计算和
用户B 将传送给用户A 。

p g Z ∈02x p ≤≤−(mod )x a g g p =02y p ≤≤−(mod )y b g g p =mod y a K g p =((mod ,mod ))x y
B K B E E Sig g p g p =((),mod ,)y
B C B g p E
25
(3) 用户A 先验证C(B)的有效性。

然后计算，解密E B ，再验证B 的签名的有效性。

确认有效后，计算把自己的公钥证书C(A)以及E A 发给用户B 。

(4) 用户B 解密后，验证C(A)的有效性，再解密验证A 的签名的有效性。

mod x
b
K g p =A ((mod ,mod ))
x y K B E E Sig g p g p =
26
PKI 的问题
不兼容性
因为标准不完善、标准表述不清楚、理解错误或实施错误，再加上标准中有些扩展可以自己设定，从而导致了目前PKI 产品互操作性差的现状。

实际上各个信任域直接互联是有困难的，加上技术和产品不断更新，原来可以互联的PKI 产品可能又会不能互联。

27
对于一个重要的秘密信息(如主密钥)，由单一用户保管危险系数较高:
(1) 该用户会成为众矢之的，遭受各种攻击,该用户一旦背叛，秘密将完全泄漏.
(2) 掌握秘密的人出现事故，秘密无法恢复。

由若干用户分别保管秘密，每个用户保管秘密的一部分，部分用户被攻击或者背叛不会泄露秘密，更有利于的保密。

此外，足够的人一起可以恢复秘密，少量人出现事故，不会导致秘密无法恢复。

28秘密共享技术的基本要求：
将秘密s 分成n 个共享，t 为一个小于等于n 的整数。

(1) 已知任意t 个si 值易于算出s 。

(2) 已知任意t-1个或更少个数的si ，则由于信息短缺而不能确定出s 。

t 的具体取值由安全策略确定；
秘密共享算法包含：参数选取、秘密分割、秘密恢复。

12,,n s s s L
Shamir门限方案
1979年Shamir基于多项式的拉格朗日插值公式提出了一个(t, n)门限方案
（1）参数选取
设秘密是S，参与保管的成员共有n个，要求重构该消息需要至少t个人
选定一个足够大的素数p，p>n
大于所有可能的随机输入
29
30（2）秘密分割 随机地选定t-1个模数，得到多项式：
随机选定n 个不同的小于p 的整数
例如：1,2,3,…,n 对于每个整数x i 分别计算数对(x i ,y i ),
销毁多项式，并将n 个子共享(x i ,y i )分别秘密传送给n 个成员。

12,1,...t s s s −1
11()(mod )t t s x S s x s x p −−≡++⋅⋅⋅+()(mod )
i i y s x p ≡
31
（3）秘密恢复
假设个人聚集准备恢复秘密S ，不妨设他们的数对为.
t 个人计算多项式
取多项式f(x)的常数项f(0)即为所求秘密S.
11(,),...,(,)t t x y x y 11()(mod )
t
t j
k
k j k j
j k x x f x y p
x x ==≠−≡−∑∏
32（4）正确性证明
t 个人构造出来的多项式满足 任意t 个对确定唯一的多项式. 通过点重构t 阶的多项式意味着已知t 个t 元一次方程
记为左边t*t 矩阵是非奇异的范德蒙矩阵，故有惟一解。

()()i i i f x s x y ==1,2,...,i n =()()f x s x =1
111(mod )t k k t k y S s x s x p −−≡++⋅⋅⋅+1k t
≤≤1110112122111
(mod )1t t t t t t t x x s y y s x x p y s x x −−−⎛⎞⋅⋅⋅⎛⎞⎛⎞⎜⎟⎜⎟⎜⎟⋅⋅⋅⎜⎟⎜⎟⎜⎟≡⎜⎟⎜⎟⎜⎟⎜⎟⎜⎟⎜⎟⎜⎟⎝⎠
⎝⎠⎝⎠M M M M O M K 11(,),...,(,)t t x y x y
33
例.（3，5
）门限方案
34
秘密
35
36
目的：为了有效控制密码技术的使用，保证对个人没有绝对的隐私和绝对不可跟踪的匿名性。

实现手段：是把已加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可得解密密钥。

用途：提供一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复自己的密钥。

37
起源：
美国政府于1993年4月提出Clipper 计划和密钥托管加密技术。

建议联邦政府和工业界使用新的具有密钥托管功能的联邦加密标准，即托管加密标准EES （Escrowed Encryption Standard ），又称Clipper 建议。

EES 标准于1994年2月正式被美国政府公布采用。

38
密钥托管密码体制组成：
用户安全成分USC(user security component)密钥托管成分KEC(key escrow component)数据恢复成分DRC(data recovery component)USC 用密钥KS 加密明文数据，并且在传送密文时，一起传送一个数据恢复域DRF （data recovery field ）。

DRC 使用包含在DRF 中的信息及由KEC 提供的信息恢复明文。

39
密钥托管密码体制的组成
40（1）用户安全成分USC
作用：提供数据加解密能力以及支持密钥托管功能
USC 可用于通信和数据存储的密钥托管；USC 使用的加密算法可以是保密的、专用的,也可以是公钥算法。

41
（2）密钥托管成分KEC
Z 作用：存储所有的数据恢复密钥，通过向DRC 提供所需的数据和服务以支持DRC 。

KEC 作为密钥管理系统的一部分：
单钥管理系统--密钥分配中心；
公钥基础设施--公钥证书机构。

Z 托管代理机构也为可信赖的第三方，需要在密钥托管中心注册。

Z 职责：操作KEC ，协调托管代理机构的操作或担当USC 或DRC 的联系点
42
（3）数据恢复成分DRC
作用：由KEC 提供的用于通过密文及DRF 中的信息获得明文的算法、协议和仪器。

它仅在执行指定的已授权的恢复数据时使用。

43
对加密通信的法律实施存取过程
44
密钥托管
EES 提出以后，密钥托管密码体制受到了普遍关注，已提出了各种类型的密钥托管密码体制，包括软件实现的、硬件实现的、有多个委托人的、防用户欺诈的、防委托人欺诈的等。

45
本节要点回顾
PKI及数字证书简介
秘密共享技术
46
作业
1 设秘密S=123，用Shamir 门限技术和构建（3，5）门限方案.
47THE END
！。