1、12024/3/192024/3/1912024/3/192024/3/191 现代密码学除了包括密码编码学和密码分析学两个学科之外,还包括近几年现代密码学除了包括密码编码学和密码分析学两个学科之外,还包括近几年才形成的新分支才形成的新分支密钥密码学密钥密码学密钥密码学密钥密码学,它是以密钥(现代密码学的核心)及密钥管理,它是以密钥(现代密码学的核心)及密钥管理作为研究对象的学科。作为研究对象的学科。密钥管理作为现代密码学的一个重要分支,就是在授权各方之间实现密钥关密钥管理作为现代密码学的一个重要分支,就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序,也是现代密码学中最重要、最困难
2、的部分。系的建立和维护的一整套技术和程序,也是现代密码学中最重要、最困难的部分。密钥设计一系列的规程,包括密钥的产生、分配、存储、使用、备份密钥设计一系列的规程,包括密钥的产生、分配、存储、使用、备份/恢复、恢复、更新、撤消和销毁等环节更新、撤消和销毁等环节。在现代密码学中,密钥管理作为作为提供数据保密性、数据完整性、可用性、在现代密码学中,密钥管理作为作为提供数据保密性、数据完整性、可用性、可靠性、可审查性和不可抵赖性等安全技术的基础,在保密系统中是至关重要的。可靠性、可审查性和不可抵赖性等安全技术的基础,在保密系统中是至关重要的。3/19/20243/19/20241 122024/3/1
3、92024/3/1922024/3/192024/3/192 现代密码体制要求加密和解密算法是可以公开评估的,现代密码体制要求加密和解密算法是可以公开评估的,整个密码系统的安全性整个密码系统的安全性并不取决于对密码算法的保密或是对加密设备等的保护并不取决于对密码算法的保密或是对加密设备等的保护(尽管这样有利于提高整个(尽管这样有利于提高整个密码系统的安全程度,但这种提高是相对而言的),密码系统的安全程度,但这种提高是相对而言的),而是取决于密钥的安全性而是取决于密钥的安全性而是取决于密钥的安全性而是取决于密钥的安全性,一,一旦密钥泄露,也就不再具有保密功能。旦密钥泄露,也就不再具有保密功能。密
4、码算法可以公开,密码设备可以丢失,但它们都不危及密码体制的安全性;密码算法可以公开,密码设备可以丢失,但它们都不危及密码体制的安全性;但当密钥丢失时,非法用户将有可能窃取保密信息。但当密钥丢失时,非法用户将有可能窃取保密信息。但当密钥丢失时,非法用户将有可能窃取保密信息。但当密钥丢失时,非法用户将有可能窃取保密信息。此外,此外,密钥作为密码系统中的密钥作为密码系统中的可变部分可变部分,在考虑密码系统的设计时(,在考虑密码系统的设计时(特别是在商用系统的设计特别是在商用系统的设计时),需要解决的时),需要解决的核心问题是密钥管理问题,而不是密码算法问题(例如商用系统可以使用公开了的、核心问题是密
5、钥管理问题,而不是密码算法问题(例如商用系统可以使用公开了的、经过大量评估分析认为抗攻击能力比较强的算法)。经过大量评估分析认为抗攻击能力比较强的算法)。由此,可以看出密钥管理在整由此,可以看出密钥管理在整由此,可以看出密钥管理在整由此,可以看出密钥管理在整个密码系统中是极其重要的个密码系统中是极其重要的个密码系统中是极其重要的个密码系统中是极其重要的。3/19/20243/19/20242 232024/3/192024/3/1932024/3/192024/3/19332024/3/192024/3/1932024/3/192024/3/1939.1 密钥管理概述密钥管理概述 密密钥钥管管
6、理理是是一一门门综综合合性性的的技技术术,它它除除了了技技术术性性的的因因素素之之外外,它它还还与与人人的的因因素素有有关关,例例如如密密钥钥的的行行政政管管理理制制度度以以及及人人员员的的素素质质密密切切相相关关。再再再再好好好好的的的的技技技技术术术术,如如如如果果果果失失失失去了必要的管理支持,终将使技术毫无意义。去了必要的管理支持,终将使技术毫无意义。去了必要的管理支持,终将使技术毫无意义。去了必要的管理支持,终将使技术毫无意义。密密码码系系统统的的安安全全强强度度总总是是由由系系统统中中最最薄薄弱弱的的环环节节决决定定的的。但但作作为为一一个个好好的的密密钥钥管管理理系系统统应应当当
7、尽尽量量不不依依赖赖于于人人的的因因素素,这这不不仅仅是是为为了了提提高高密密钥钥管管理理的的自自动动化化水水平平,最终目的还是为了提高系统的安全程度。最终目的还是为了提高系统的安全程度。对密钥管理系统一般应满足:对密钥管理系统一般应满足:密钥难以被非法窃取;密钥难以被非法窃取;在一定条件下窃取了密钥也没有用;在一定条件下窃取了密钥也没有用;密钥的分配和更换过程在用户看来是透明的,用户不一定密钥的分配和更换过程在用户看来是透明的,用户不一定要亲自掌握密钥。要亲自掌握密钥。3/19/20243/19/20243 342024/3/192024/3/1942024/3/192024/3/19442
8、024/3/192024/3/1942024/3/192024/3/1949.2 密钥的结构和分类密钥的结构和分类 为了适应密钥管理系统的要求,目前在现有的计算机网络系统和数据库系统为了适应密钥管理系统的要求,目前在现有的计算机网络系统和数据库系统的密钥管理系统的设计中,大都采用了的密钥管理系统的设计中,大都采用了层次化的密钥结构层次化的密钥结构层次化的密钥结构层次化的密钥结构。这种层次化的密钥结构与整个系统的密钥控制关系是对应的。这种层次化的密钥结构与整个系统的密钥控制关系是对应的。按照密钥的作用与类型及它们之间的相互控制关系,可以将不同类型的密钥按照密钥的作用与类型及它们之间的相互控制关系
9、,可以将不同类型的密钥划分为划分为1 1 1 1级密钥、级密钥、级密钥、级密钥、2 2 2 2级密钥、级密钥、级密钥、级密钥、n n n n级密钥级密钥级密钥级密钥,从而组成一个,从而组成一个n层密钥系统,如下图所示。层密钥系统,如下图所示。密钥的结构密钥的结构3/19/20243/19/20244 452024/3/192024/3/1952024/3/192024/3/1953/19/20243/19/20245 5 在左图中,系统使用在左图中,系统使用一级密钥一级密钥一级密钥一级密钥通过算法保护二级密钥(通过算法保护二级密钥(通过算法保护二级密钥(通过算法保护二级密钥(一级密钥一级密钥使
10、用物理方法或其他的方法进行保使用物理方法或其他的方法进行保护),使用护),使用二级密钥通过算法保护二级密钥通过算法保护三级密钥三级密钥,以此类推,直到最后使,以此类推,直到最后使用级密钥通过算法保护明文数据。用级密钥通过算法保护明文数据。随着加密过程的进行,各层密随着加密过程的进行,各层密钥的内容动态变化,而这种变化的钥的内容动态变化,而这种变化的规则由规则由相应层次的密钥协议控制相应层次的密钥协议控制。62024/3/192024/3/1962024/3/192024/3/196 在左图中,在左图中,最下层的密钥也叫工最下层的密钥也叫工最下层的密钥也叫工最下层的密钥也叫工作密钥,或数据加密密
11、钥,它直接作作密钥,或数据加密密钥,它直接作作密钥,或数据加密密钥,它直接作作密钥,或数据加密密钥,它直接作用于对明文数据的加解密用于对明文数据的加解密用于对明文数据的加解密用于对明文数据的加解密。所有上层密钥可称为密钥加密密所有上层密钥可称为密钥加密密钥,钥,它们的作用是保护数据加密密钥它们的作用是保护数据加密密钥它们的作用是保护数据加密密钥它们的作用是保护数据加密密钥或作为其他更低层次密钥的加密密钥或作为其他更低层次密钥的加密密钥或作为其他更低层次密钥的加密密钥或作为其他更低层次密钥的加密密钥。最上面一层的密钥也叫主密钥,最上面一层的密钥也叫主密钥,通常主密钥是整个密钥管理系统的核通常主密
12、钥是整个密钥管理系统的核心,应该采用最安全的方式来进行保心,应该采用最安全的方式来进行保护。护。3/19/20243/19/20246 672024/3/192024/3/1972024/3/192024/3/197 数据加密密钥(即数据加密密钥(即工作密钥工作密钥)在平时并不存在,在进行数据的加解密时,)在平时并不存在,在进行数据的加解密时,工作工作密钥将在上层密钥的保护下动态地产生密钥将在上层密钥的保护下动态地产生(如,在上层密钥的保护下,通过密钥协商(如,在上层密钥的保护下,通过密钥协商产生本次数据通信所使用的数据加密密钥;或在文件加密时,产生一个新的数据加产生本次数据通信所使用的数据加
13、密密钥;或在文件加密时,产生一个新的数据加密密钥,在使用完毕后,立即使用上层密钥进行加密后存储。密密钥,在使用完毕后,立即使用上层密钥进行加密后存储。这样,除了加密部件外,密钥仅以密文的形式出现在密码系统其余部分中);这样,除了加密部件外,密钥仅以密文的形式出现在密码系统其余部分中);数据加密密钥在使用完毕后,将立即清除,不再以明的形式出现在密码系统中数据加密密钥在使用完毕后,将立即清除,不再以明的形式出现在密码系统中。3/19/20243/19/20247 782024/3/192024/3/1982024/3/192024/3/198 层次化的密钥结构意味着以密钥来保护密钥层次化的密钥结构
14、意味着以密钥来保护密钥层次化的密钥结构意味着以密钥来保护密钥层次化的密钥结构意味着以密钥来保护密钥。这样,大量的数据可以通过少。这样,大量的数据可以通过少量动态产生的数据加密密钥(工作密钥)进行保护,而数据加密密钥又可以由更量动态产生的数据加密密钥(工作密钥)进行保护,而数据加密密钥又可以由更少量的、相对不变(使用期较长)的密钥加密密钥来保护。少量的、相对不变(使用期较长)的密钥加密密钥来保护。同理,同理,在最后第二层的密钥加密密钥可以由主密钥进行保护,从而保证了除在最后第二层的密钥加密密钥可以由主密钥进行保护,从而保证了除了主密钥可以以明文的形式存储在有严密物理保护的主机密码器件中,其他密钥
15、了主密钥可以以明文的形式存储在有严密物理保护的主机密码器件中,其他密钥则以加密后的密文形式存储,这样,就改善了密钥的安全性。则以加密后的密文形式存储,这样,就改善了密钥的安全性。具体来说,层次化的密钥结构具有以下优点:具体来说,层次化的密钥结构具有以下优点:(1 1)安全性强:)安全性强:位于层次化密钥结构中的底层密钥更换得越快,最底层密钥最底层密钥可以做到每加密一份报文就更换一次可以做到每加密一份报文就更换一次;在少量最初处于最高层的主密钥注入系统后,下层各密钥的那样可以按照某种协议不断地变化(如可以使用安全算法以及高层密钥产生低层密钥;另外,下层密钥的泄露不会影响上层密钥的安全。(2 2)
16、进一步提高了密钥管理的自动化)进一步提高了密钥管理的自动化.92024/3/192024/3/1992024/3/192024/3/199 从具体的功能来看,在一般的密码系统中,密钥可以分为基本密钥、会话密钥从具体的功能来看,在一般的密码系统中,密钥可以分为基本密钥、会话密钥(数据加密密钥)、密钥加密密钥和主密钥(数据加密密钥)、密钥加密密钥和主密钥。(1 1)基本密钥()基本密钥(Base KeyBase Key):):又称为初始密钥(又称为初始密钥(primary keyprimary key)或用户密钥()或用户密钥(user user keykey)。)。它是由它是由用户选定或由系统分
17、配给用户的,可以在较长时间内(相对于会话密钥)用户选定或由系统分配给用户的,可以在较长时间内(相对于会话密钥)用户选定或由系统分配给用户的,可以在较长时间内(相对于会话密钥)用户选定或由系统分配给用户的,可以在较长时间内(相对于会话密钥)由一对用户(例如密钥分配中心与某一用户之间,或者两个用户之间)所专用的密钥由一对用户(例如密钥分配中心与某一用户之间,或者两个用户之间)所专用的密钥由一对用户(例如密钥分配中心与某一用户之间,或者两个用户之间)所专用的密钥由一对用户(例如密钥分配中心与某一用户之间,或者两个用户之间)所专用的密钥。在某种程度上,基本密钥还起到了标识用户的作用。在某种程度上,基本
18、密钥还起到了标识用户的作用。(2 2)会话密钥()会话密钥(Session KeySession Key):也称为:也称为数据加密密钥数据加密密钥,是在一次通信或数据交换,是在一次通信或数据交换中,用户之间所使用的密钥,它可由通信用户之间进行协商得到。中,用户之间所使用的密钥,它可由通信用户之间进行协商得到。它一般是它一般是动态地、仅在需要进行会话数据加密时产生,并在使用完毕后立即清除动态地、仅在需要进行会话数据加密时产生,并在使用完毕后立即清除动态地、仅在需要进行会话数据加密时产生,并在使用完毕后立即清除动态地、仅在需要进行会话数据加密时产生,并在使用完毕后立即清除(或由用户双方进行预先约定
19、)(或由用户双方进行预先约定)(或由用户双方进行预先约定)(或由用户双方进行预先约定)。密钥的分类密钥的分类3/19/20243/19/20249 9102024/3/192024/3/19102024/3/192024/3/1910 会话密钥可以使大家不必很频繁地去更换基本密钥,而是通过密钥分配或者密会话密钥可以使大家不必很频繁地去更换基本密钥,而是通过密钥分配或者密钥协商的方法得到某次数据通信所使用的数据加密密钥这样就可以做到一次一密,钥协商的方法得到某次数据通信所使用的数据加密密钥这样就可以做到一次一密,从而大大提高通信的安全性,并方便密钥的管理。从而大大提高通信的安全性,并方便密钥的管
20、理。(3 3)密钥加密密钥()密钥加密密钥(Key Encrypting KeyKey Encrypting Key):用来对传送的会话密钥或文件:用来对传送的会话密钥或文件加密密钥进行加密时所采用的密钥,另外也可以称为加密密钥进行加密时所采用的密钥,另外也可以称为二级密钥二级密钥二级密钥二级密钥。密钥加密密钥所保护的对象是用来保护通信或文件数据的会话密钥或者文件加密钥加密密钥所保护的对象是用来保护通信或文件数据的会话密钥或者文件加密密钥。密密钥。在通信网中,一般在每个节点都分配有一个这类密钥在通信网中,一般在每个节点都分配有一个这类密钥在通信网中,一般在每个节点都分配有一个这类密钥在通信网中
21、,一般在每个节点都分配有一个这类密钥。同时,为了安全,各节点的密钥加密密钥应互不相同。节点之间进行密钥协商同时,为了安全,各节点的密钥加密密钥应互不相同。节点之间进行密钥协商时,应用各节点的密钥加密密钥加以完成。时,应用各节点的密钥加密密钥加以完成。3/19/20243/19/20241010112024/3/192024/3/19112024/3/192024/3/1911(4 4)主密钥()主密钥(Master KeyMaster Key):对应于层次化密钥结构中的最上面一层,:对应于层次化密钥结构中的最上面一层,它是对密它是对密它是对密它是对密钥加密密钥进行加密的密钥,通常主密钥都受到了
22、严格的保护钥加密密钥进行加密的密钥,通常主密钥都受到了严格的保护钥加密密钥进行加密的密钥,通常主密钥都受到了严格的保护钥加密密钥进行加密的密钥,通常主密钥都受到了严格的保护。在实际应用中,除了上述几种密钥外,还有其他类型的密钥,例如:在实际应用中,除了上述几种密钥外,还有其他类型的密钥,例如:算法更换算法更换密钥(密钥(Algorithm Changing KeyAlgorithm Changing Key)等。等。如果从广义的角度来看,它的某些作用是完全可以归结为上述几类密钥的作用。如果从广义的角度来看,它的某些作用是完全可以归结为上述几类密钥的作用。3/19/20243/19/202411
23、11122024/3/192024/3/19122024/3/192024/3/1912122024/3/192024/3/19122024/3/192024/3/19129.3 密钥管理密钥管理 密钥管理涉包括管理方式、密钥的生成、使用、存储、备份与恢复、更新、密钥管理涉包括管理方式、密钥的生成、使用、存储、备份与恢复、更新、销毁以及密钥的撤消等销毁以及密钥的撤消等,涵盖了密钥的整个生存周期。1 1管理方式管理方式层次化的密钥管理方式层次化的密钥管理方式,用于数据加密的工作密钥需要动态产生;工作密钥由上层的加密密钥来保护,最上层的密钥成为主密钥,是整个密钥管理系统的核心。3/19/20243
24、/19/20241212132024/3/192024/3/19132024/3/192024/3/19132密钥的生成 假如使用一个弱的密钥产生方法,那么整个系统动将是弱的。数据加密标准DES有56位密钥,正常情况下任何56位的数据串都可以成为密钥,所以共有256种可能的密钥。在具体实现中,一般仅允许使用ASCII码的密钥,并强制每一字节的最高位为零。在一些实现中甚至只将大写字母转换成小写字母,这些密钥程序使得DES的攻击难度比正常情况下低上万倍。因此,在现代加密技术中,密钥的生成方法必须高度重视。142024/3/192024/3/19142024/3/192024/3/1914 在在AN
25、SI X9.17标准中规定了一种密钥生成法,这种方法适合于在系统中产生标准中规定了一种密钥生成法,这种方法适合于在系统中产生会话密钥或伪随机数,是密码强度较高的伪随机数生成器之一,目前已经在会话密钥或伪随机数,是密码强度较高的伪随机数生成器之一,目前已经在PGP等许多应用中得到了广泛使用。等许多应用中得到了广泛使用。其中用来生成密钥的加密算法采用的是三重其中用来生成密钥的加密算法采用的是三重其中用来生成密钥的加密算法采用的是三重其中用来生成密钥的加密算法采用的是三重DESDES。设设k主密钥,主密钥,Wi为一个保为一个保密的密的64比特的随机数种子,比特的随机数种子,Ti为时间戳,为时间戳,E
26、k为加密算法,见下图所示。为加密算法,见下图所示。图中图中图中图中 R Ri i=E=Ek k(E(Ek k(T(Ti i)W)Wi i);WWi+1i+1=E=Ek k(E(Ek k(T(Ti i)R)Ri i)R Ri i为每次生成的密钥。为每次生成的密钥。为每次生成的密钥。为每次生成的密钥。3/19/20243/19/20241414152024/3/192024/3/19152024/3/192024/3/19153密钥的使用密钥的使用是指从存储介质上获得密钥进行加密和解密的技术活动。在密钥的使用过程中,要防止密钥被泄露,同时也要在密钥过了使用期更换新的密钥。例如。162024/3/1
27、92024/3/19162024/3/192024/3/19164密钥的存储 密钥的存储分为无介质、记录介质和物理介质等几种。无介质就是不存储密钥,或者说靠记忆来存储密钥。这种方法也许是最安全的,也许是最不安全的。但是一旦遗忘了密钥,其结果就可想而知了。但对于只使用短时间通信的密钥而言,也许并不需要存储密钥。记录介质就是把密钥存储在计算机等的磁盘上。当然这要求存储密钥的计算机只有授权人才可以使用,否则不是安全的,但如果有非授权的人要使用该计算机,对存储密钥的文件进行加密或许也是一个不错的选择。物理介质是指把密钥存储在一个特殊介质上,如IC卡等,显然这种物理介质存储密钥便于携带、安全、方便。17
28、2024/3/192024/3/19172024/3/192024/3/19175密钥的备份与恢复 由于密钥在保密通信中具有重要的地位,应尽全力对密钥进行保护密钥备份是指在密钥使用期内,存储一个受保护的拷贝,用于恢复遭到破坏的密钥。密钥的恢复是指当一个密钥由于某种原因被破坏了,在还没有被泄露出去以前,从它的一个备份重新得到密钥的过程。密钥的备份与恢复保证了即使密钥丢失,由该密钥加密保护的信息也能够恢复。密钥托管技术就能够满足这种需求的一种有效的技术。182024/3/192024/3/19182024/3/192024/3/19186密钥的更新 在密钥有效期快要结束时,如果需要继续对该密钥加的
29、内容进行保护,该密钥需要由一个新的密钥来代替,这就是密钥的更新。密钥更新可以通过再生密钥来取代原有密钥的方式来实现。192024/3/192024/3/19192024/3/192024/3/19197密钥的销毁 密钥必须定期更换,更换密钥后原来的密钥必须销毁。密钥不再使用时,该密钥的所有拷贝都必须删除,生成或构造该密钥的所有信息也应该被全部删除。8密钥的撤消 在密钥正常的生命周期结束之前,有时需要对密钥进行撤消,比如密钥的安全受到威胁时或实体发生组织关系变动等。密钥的撤消包括撤消相应的证书。202024/3/192024/3/19202024/3/192024/3/1920202024/3/
30、192024/3/19202024/3/192024/3/19209.4 密钥托管技术密钥托管技术(略略)密钥托管技术简介密钥托管技术简介 密钥托管提供了一种密钥备份与恢复的途径,也称为托管加密密钥托管提供了一种密钥备份与恢复的途径,也称为托管加密密钥托管提供了一种密钥备份与恢复的途径,也称为托管加密密钥托管提供了一种密钥备份与恢复的途径,也称为托管加密。其目的是政府机关希望在需要时可通过密钥托管提供(解密)一些特定信息,在其目的是政府机关希望在需要时可通过密钥托管提供(解密)一些特定信息,在用户的密钥丢失或损坏的情况下可通过密钥托管技术恢复出自己的密钥。用户的密钥丢失或损坏的情况下可通过密钥
31、托管技术恢复出自己的密钥。密钥托管技术的实现手段通常是把加密的数据和数据恢复密钥联系起来,数据恢密钥托管技术的实现手段通常是把加密的数据和数据恢复密钥联系起来,数据恢复密钥不一定是直接解密的密钥,但由它可以得到解密密钥。复密钥不一定是直接解密的密钥,但由它可以得到解密密钥。理论上数据恢复密钥由所信赖的委托人持有(委托人可以是政府机构、法院或有理论上数据恢复密钥由所信赖的委托人持有(委托人可以是政府机构、法院或有理论上数据恢复密钥由所信赖的委托人持有(委托人可以是政府机构、法院或有理论上数据恢复密钥由所信赖的委托人持有(委托人可以是政府机构、法院或有合同的私人组织合同的私人组织合同的私人组织合同
32、的私人组织)。)。)。)。一个密钥也有可能被折分成多个分量,分别由多个委托人持有。一个密钥也有可能被折分成多个分量,分别由多个委托人持有。3/19/20243/19/20242020212024/3/192024/3/19212024/3/192024/3/1921 自从这种技术出现以来,许多人对此自从这种技术出现以来,许多人对此颇有争议颇有争议,他们认为密钥托管技术侵犯个,他们认为密钥托管技术侵犯个人隐私。人隐私。尽管如此,由于这种密钥备用与恢复手段不仅对政府机关有用,也对用户自己尽管如此,由于这种密钥备用与恢复手段不仅对政府机关有用,也对用户自己有用,为此许多国家都制定了相关的法律法规。有
33、用,为此许多国家都制定了相关的法律法规。美国政府美国政府19931993年年4 4月颁布了月颁布了EESEES标准(标准(Escrow Encryption Standard,Escrow Encryption Standard,托管加密托管加密标准),该标准体现了一种新思想,即对密钥实行法定托管代理的机制标准),该标准体现了一种新思想,即对密钥实行法定托管代理的机制。该标准使用的托管加密技术不仅提供了加密功能,同时也使政府可以在实施该标准使用的托管加密技术不仅提供了加密功能,同时也使政府可以在实施法律许可下的监听(法律许可下的监听(如果向法院提供的证据表明,密码使用者是利用密码在进行如果向法
34、院提供的证据表明,密码使用者是利用密码在进行危及国家安全和违反法律规定的事,经过法院许可,政府可以从托管代理机构取危及国家安全和违反法律规定的事,经过法院许可,政府可以从托管代理机构取来密钥参数,经过合成运算,就可以直接侦听通信。来密钥参数,经过合成运算,就可以直接侦听通信。)。)。3/19/20243/19/20242121222024/3/192024/3/19222024/3/192024/3/1922 该标准的加密算法使用的是该标准的加密算法使用的是SkipjackSkipjack。其后(其后(19941994年年2 2月),美国政府进一步改进提出了月),美国政府进一步改进提出了密钥托
35、管标准密钥托管标准密钥托管标准密钥托管标准KESKESKESKES(Key Key Escrow StandardEscrow Standard)政策,希望用这种办法加强政府对密码使用的调控管理。)政策,希望用这种办法加强政府对密码使用的调控管理。目前,目前,在美国有许多组织都参加了在美国有许多组织都参加了KESKES和和EESEES的开发工作,系统的开发者是司的开发工作,系统的开发者是司法部门(法部门(DOJDOJ),国家标准技术研究所(),国家标准技术研究所(NISTNIST)和基金自动化系统分部对初始的)和基金自动化系统分部对初始的托管(托管(EscrowEscrow)代理都进行了研究)
36、代理都进行了研究,国家安全局(,国家安全局(NSANSA)负责)负责KESKES产品的生产,联产品的生产,联邦调查局(邦调查局(FBIFBI)被指定为最初的合法性强制用户。)被指定为最初的合法性强制用户。3/19/20243/19/20242222232024/3/192024/3/19232024/3/192024/3/1923 密钥托管技术是通过一个防窜扰的托管加密芯片(密钥托管技术是通过一个防窜扰的托管加密芯片(密钥托管技术是通过一个防窜扰的托管加密芯片(密钥托管技术是通过一个防窜扰的托管加密芯片(ClipperClipperClipperClipper芯片)来实现,芯片)来实现,芯片)
37、来实现,芯片)来实现,该技术包括两个主要的核心内容:该技术包括两个主要的核心内容:(1 1)SkipjackSkipjack加密算法加密算法 是由是由NSANSA设计的,用于加解密用户之间通信的信息。它是一个对称密码分组设计的,用于加解密用户之间通信的信息。它是一个对称密码分组加密算法,密钥长为加密算法,密钥长为80bits80bits,输入和输出分组长度均为,输入和输出分组长度均为64bits64bits。该算法的实现方式采用供该算法的实现方式采用供DESDES使用的联邦信息处理标准(使用的联邦信息处理标准(FIPS PUB81FIPS PUB81和和FIPS FIPS PUB81PUB81
38、)中定义的)中定义的4 4种实现方式。种实现方式。这这4 4种实现方式为:电码本(种实现方式为:电码本(ECBECB)、密码分组链接()、密码分组链接(CBCCBC)、)、6464比特输出反馈比特输出反馈(OFBOFB)和)和1 1、8 8、1616、3232或或6464比特密码反馈(比特密码反馈(CFBCFB)模式。)模式。密钥托管技术研究的内容密钥托管技术研究的内容密钥托管技术研究的内容密钥托管技术研究的内容 3/19/20243/19/20242323242024/3/192024/3/19242024/3/192024/3/1924 该算法于该算法于该算法于该算法于1998199819
39、981998年年年年3 3 3 3月公布月公布月公布月公布。据密码专家们推算,如果采用价值一百万美元的机。据密码专家们推算,如果采用价值一百万美元的机器攻破器攻破5656比特的密钥需要比特的密钥需要3.53.5小时,而攻破小时,而攻破8080比特的密钥则需要比特的密钥则需要20002000年;如果采用年;如果采用价值十亿美元的机器攻破价值十亿美元的机器攻破5656比特的密钥需要比特的密钥需要1313秒,而攻破秒,而攻破8080比特的密钥则需要比特的密钥则需要6.76.7年。年。虽然一些密码学家认为虽然一些密码学家认为SkipjackSkipjack有陷门,但对目前任何已知的攻击方法还不存有陷门
40、,但对目前任何已知的攻击方法还不存在任何风险,该算法可以在不影响政府合法监视的环境下为保密通信提供加密工在任何风险,该算法可以在不影响政府合法监视的环境下为保密通信提供加密工具。具。(2 2)LEAFLEAF(Law Enforcement Access FieldLaw Enforcement Access Field,法律实施访问域),法律实施访问域)通过这个访问域,法律实施部门可以在法律授权的情况下,实现对用户之间通过这个访问域,法律实施部门可以在法律授权的情况下,实现对用户之间通信的监听(解密或无密钥)。这也看成是一个通信的监听(解密或无密钥)。这也看成是一个“后门后门”。3/19/2
41、0243/19/20242424252024/3/192024/3/19252024/3/192024/3/1925-密钥托管技术的具体实施密钥托管技术的具体实施 该密钥托管技术具体实施时有该密钥托管技术具体实施时有3 3个主要环节:生产托管个主要环节:生产托管ClipperClipper芯片、用芯片芯片、用芯片加密通信和无密钥存取。加密通信和无密钥存取。(1 1)生产托管生产托管ClipperClipper芯片芯片 Clipper Clipper芯片主要包含:芯片主要包含:SkipjackSkipjack加密算法、加密算法、8080比特的族密钥比特的族密钥KFKF(Family Family
42、 KeyKey,同一芯片的族密钥相同)、芯片单元标识符,同一芯片的族密钥相同)、芯片单元标识符UIDUID(Unique IdentifierUnique Identifier)、)、8080比特的芯片单元密钥比特的芯片单元密钥KU(Unique KeyKU(Unique Key,由两个,由两个8080比特的芯片单元密钥分量比特的芯片单元密钥分量(KU1(KU1,KU2)KU2)异或而成)和控制软件。异或而成)和控制软件。以上以上这些内容都是固化在这些内容都是固化在ClipperClipper芯片上。芯片上。3/19/20243/19/20242525262024/3/192024/3/192
43、62024/3/192024/3/1926 (2 2)用芯片加密通信用芯片加密通信 通信双方为了通信,都必须有一个装有通信双方为了通信,都必须有一个装有ClipperClipper芯片的安全防窜扰设备,该设芯片的安全防窜扰设备,该设备主要实现建立安全信道所需的协议,包括备主要实现建立安全信道所需的协议,包括协商或分配协商或分配用于加密通信的用于加密通信的8080比特秘比特秘密会话密钥密会话密钥KSKS。(3 3)无密钥存取)无密钥存取 在需要对加密的通信进行解密监控时(即在无密钥且合法的情况下),可通在需要对加密的通信进行解密监控时(即在无密钥且合法的情况下),可通过一个安装好的同样的过一个安
44、装好的同样的密码算法、族密钥密码算法、族密钥KFKF和密钥加密密钥和密钥加密密钥K K的解密设备的解密设备来实现。来实现。由于被监控的通信双方使用相同的会话密钥,解密设备不需要都取出通信双由于被监控的通信双方使用相同的会话密钥,解密设备不需要都取出通信双方的方的LEAFLEAF及芯片的单元密钥,而只需取出被监听一方的及芯片的单元密钥,而只需取出被监听一方的LEAFLEAF及芯片的单元密钥。及芯片的单元密钥。3/19/20243/19/20242626272024/3/192024/3/19272024/3/192024/3/1927 对于每个数据加密密钥,对于每个数据加密密钥,S S或或R R
45、都有可能要求都有可能要求DRCDRC或或KECKEC有一次相互作用,其中有一次相互作用,其中对数据加密密钥要求对数据加密密钥要求DRCDRC与与KECKEC之间的联系是在线的,以支持当每次会话密钥改变之间的联系是在线的,以支持当每次会话密钥改变时的实时解密。时的实时解密。如果托管代理机构把部分密钥返回给如果托管代理机构把部分密钥返回给DRCDRC时,时,DRCDRC必须使用穷举搜索以确定密必须使用穷举搜索以确定密钥的其余部分。钥的其余部分。此外,此外,DRCDRCDRCDRC还使用技术、操作和法律等保护手段来控制什么是可以解密的还使用技术、操作和法律等保护手段来控制什么是可以解密的还使用技术、
46、操作和法律等保护手段来控制什么是可以解密的还使用技术、操作和法律等保护手段来控制什么是可以解密的,比如可以对数据恢复进行严格的时间限制。比如可以对数据恢复进行严格的时间限制。这些保护措施提供了这些保护措施提供了KECKEC传送密钥时所要求的限制,而且认证机构也可以防传送密钥时所要求的限制,而且认证机构也可以防止止DRCDRC用密钥产生伪消息。用密钥产生伪消息。3/19/20243/19/20242727282024/3/192024/3/19282024/3/192024/3/1928 密钥托管是具有备份解密密钥的加密技术,它允许获得授权者(包括用户、民密钥托管是具有备份解密密钥的加密技术,它
47、允许获得授权者(包括用户、民间组织和政府机构)在特定的条件下,借助于一个以上持有数据恢复密钥可信赖的间组织和政府机构)在特定的条件下,借助于一个以上持有数据恢复密钥可信赖的委托人的支持来解密密文。委托人的支持来解密密文。所谓数据恢复密钥,它不同于常用的加密、解密密钥,它只是为确定数据加密所谓数据恢复密钥,它不同于常用的加密、解密密钥,它只是为确定数据加密/解密提供了一种方法。而所谓密钥托管就是指存储这些数据恢复密钥的方案。解密提供了一种方法。而所谓密钥托管就是指存储这些数据恢复密钥的方案。密钥托管在逻辑上分为密钥托管在逻辑上分为3 3个主要的模块(如上图所示):个主要的模块(如上图所示):US
48、CUSC(User Security User Security ComponentComponent,用户安全模块用户安全模块用户安全模块用户安全模块)、)、KECKEC(Key Escrow ComponentKey Escrow Component,密钥托管模块密钥托管模块密钥托管模块密钥托管模块)和)和DRCDRC(Data Recovery ComponentData Recovery Component,数据恢复模块数据恢复模块数据恢复模块数据恢复模块)。这些逻辑模块是密切相关的,)。这些逻辑模块是密切相关的,对其中的一个设计将影响着其他模块。对其中的一个设计将影响着其他模块。密钥
49、托管系统的组成 3/19/20243/19/20242828292024/3/192024/3/19292024/3/192024/3/1929 下图所示的是这几个模块的相互关系:下图所示的是这几个模块的相互关系:USCUSC用密钥用密钥K K加密明文,并且在传送的加密明文,并且在传送的同时传送一个数据恢复域同时传送一个数据恢复域DRFDRF(Data Recovery FieldData Recovery Field),),DRCDRC则从则从KECKEC提供的和提供的和DRFDRF中包含的信息中恢复出密钥中包含的信息中恢复出密钥K K来解密密文。来解密密文。3/19/20243/19/20
50、242929302024/3/192024/3/19302024/3/192024/3/19301)USC1)USC(User Security ComponentUser Security Component,用户安全模块),用户安全模块)USC USC由软件、硬件组成(一般情况下,硬件比软件安全、不易发生窜扰),由软件、硬件组成(一般情况下,硬件比软件安全、不易发生窜扰),提供数据加密提供数据加密/解密的能力,执行支持数据恢复的操作,同时也支持密钥托管。解密的能力,执行支持数据恢复的操作,同时也支持密钥托管。这种支持体现在将数据恢复域(这种支持体现在将数据恢复域(DRFDRF)附加到数据上
个人主页
