密码学基础知识(九)密钥管理
密鑰管理:
??????????? 前面說過,密鑰是保密系統的核心。那對密鑰的管理自然很重要:
??????????? 密鑰管理有:
1.??? 密鑰生成:主要是密鑰生成器,產生偽隨機序列;
2.??? 密鑰的分配和協商:生成后就要分發出去,有集中式和分布式兩種,就是有KDC的根據用戶要求發密鑰,沒有的根據主機相互協商生成共同密鑰。
3.??? 密鑰的保護和存儲:密鑰存儲要保證密鑰的機密性完整性真實性。
4.??? 密鑰的更換和裝入:不能超期使用密鑰,一旦泄露就要更換和撤銷,裝入可以主機主密鑰裝入或終端主密鑰裝入。
在密鑰的生命中,有四個狀態:使用前,使用中,使用后,過期。
一生中有12個階段,當然不是什么贏取白富美走上人生巔峰了:
1.用戶登記,成為授權用戶了;2.用戶初始化,建立用于安全的操作系統;3.密鑰生成,密鑰生成器生成,可以是用戶自己生成也可是可信機構分發;4.密鑰安裝,安裝在一個實體或軟件中以便使用;5.密鑰登記,密鑰材料記錄在案,綁定實體身份;6.密鑰的正常使用;7.密鑰更新;8.密鑰備份,兩種:密鑰托管和使用秘密共享協議;9.密鑰恢復;10.密鑰存檔,是密鑰使用后狀態;11.密鑰撤銷,出事了,密鑰不能再用了;12.注銷與銷毀,革命成功,趕快撤離。
密鑰建立協議:密鑰管理核心部分,包括密鑰分發和密鑰協商。密鑰分發:一方生成密鑰,通過某種方式發放給他人;密鑰協商:參與保密通信的各方協商出一個共同密鑰。
?
管理密鑰的層次結構:
1.??? 會話密鑰:兩個通信終端交換數據時使用的密鑰
2.??? 密鑰加密密鑰:對將要傳送的會話密鑰加密,也叫二級密鑰或輔助密鑰
3.??? 主密鑰:由用戶選定或系統分配,用戶專有密鑰。
主密鑰對密鑰加密密鑰保護,密鑰加密密鑰對會話密鑰保護。
?
說說密鑰分配:
??????????? 肯定分為分為公鑰密鑰分配和秘密密鑰分配啊
公開密鑰分配:廣播式,目錄式:可信機構建立目錄<用戶,公鑰>,帶認證的:目錄基礎上,想知道B的公鑰就要去問客服,公開密鑰證書分配:在前者基礎上,公鑰證書上有用戶身份公鑰和一些其他的,這樣認證證書即可知道一切。
私密密鑰分配:
??????????? 無中心:有共享密鑰:即密鑰加密密鑰
??????????????????????????????????????????????? 無共享密鑰:三次握手,沒有身份認證
??????????? 有中心:在我看來,KDC就是可信第三方。
??????????? NS密鑰分配協議:密鑰分配中心C,A,B通信。
??????????????????????? A有KAC ,B有KBC ,A想通信B,C就給A一個會話密鑰KAB和一個證書:E-KBC(IDA,KAB),然后A把證書給B,B一解密就得到會話密鑰了。
??????????? 其他密鑰分配基本基于NS分配。
總結密鑰分配協議:A想要和B通信,就要有底層的會話密鑰KAB,怎么安全的傳遞密鑰呢,你可以直接選一個密鑰加密密鑰來加密會話密鑰,然后直接給B,只要B也知道這個密鑰機密密鑰。然而大多數時候不能這么有默契,就需要密鑰分配中心KDC了,它作為可信第三方,經典的通信見NS密鑰分配。
?
密鑰協商技術:
??????????? 很明顯,我認為這個KDC不靠譜,不實用,那咋整,于是協商這種方式出現了。
??????????? Diffie-Hellman密鑰交換協議:
??????????????????????? 容易受到中間人攻擊,就是A和B沒有身份認證。C把兩人消息全截獲,然后分別發送自己的消息建立和A,B的共享密鑰,A,B就都蒙在鼓里。
由于這個致命缺點,之后這個改進成了端對端協議。
?
?
秘密備份的兩種方式:
??????????? 秘密共享和密鑰托管。
??????????? 秘密共享:把密鑰分給一些人,這些人一上交就把密鑰恢復了,只有一部分人是不能恢復密鑰的。就像銀行的金庫大門。
著名的有Shamir門限方案:基于多項式的拉格朗日插值公式
Asmuth-Bloom門限方案:基于中國剩余定理
?
密鑰托管:就是人心更發雜,存在一個數據恢復密鑰,可以推出解密密鑰,我們將這個恢復密鑰放在權威那以防不測。
??????????? 三個部分:用戶安全分量,密鑰托管分量,數據恢復分量
??????????? ESS:單鑰分組密碼,密鑰長度80,明文密文均64位,
? ? ? ? ? ??
總結
以上是生活随笔為你收集整理的密码学基础知识(九)密钥管理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 密码学基础知识(八)略说数字签名
- 下一篇: 密码学基础知识(十)查缺补漏(缺)