密码学基础知识(九)密钥管理
密鑰管理:
??????????? 前面說(shuō)過(guò),密鑰是保密系統(tǒng)的核心。那對(duì)密鑰的管理自然很重要:
??????????? 密鑰管理有:
1.??? 密鑰生成:主要是密鑰生成器,產(chǎn)生偽隨機(jī)序列;
2.??? 密鑰的分配和協(xié)商:生成后就要分發(fā)出去,有集中式和分布式兩種,就是有KDC的根據(jù)用戶要求發(fā)密鑰,沒(méi)有的根據(jù)主機(jī)相互協(xié)商生成共同密鑰。
3.??? 密鑰的保護(hù)和存儲(chǔ):密鑰存儲(chǔ)要保證密鑰的機(jī)密性完整性真實(shí)性。
4.??? 密鑰的更換和裝入:不能超期使用密鑰,一旦泄露就要更換和撤銷,裝入可以主機(jī)主密鑰裝入或終端主密鑰裝入。
在密鑰的生命中,有四個(gè)狀態(tài):使用前,使用中,使用后,過(guò)期。
一生中有12個(gè)階段,當(dāng)然不是什么贏取白富美走上人生巔峰了:
1.用戶登記,成為授權(quán)用戶了;2.用戶初始化,建立用于安全的操作系統(tǒng);3.密鑰生成,密鑰生成器生成,可以是用戶自己生成也可是可信機(jī)構(gòu)分發(fā);4.密鑰安裝,安裝在一個(gè)實(shí)體或軟件中以便使用;5.密鑰登記,密鑰材料記錄在案,綁定實(shí)體身份;6.密鑰的正常使用;7.密鑰更新;8.密鑰備份,兩種:密鑰托管和使用秘密共享協(xié)議;9.密鑰恢復(fù);10.密鑰存檔,是密鑰使用后狀態(tài);11.密鑰撤銷,出事了,密鑰不能再用了;12.注銷與銷毀,革命成功,趕快撤離。
密鑰建立協(xié)議:密鑰管理核心部分,包括密鑰分發(fā)和密鑰協(xié)商。密鑰分發(fā):一方生成密鑰,通過(guò)某種方式發(fā)放給他人;密鑰協(xié)商:參與保密通信的各方協(xié)商出一個(gè)共同密鑰。
?
管理密鑰的層次結(jié)構(gòu):
1.??? 會(huì)話密鑰:兩個(gè)通信終端交換數(shù)據(jù)時(shí)使用的密鑰
2.??? 密鑰加密密鑰:對(duì)將要傳送的會(huì)話密鑰加密,也叫二級(jí)密鑰或輔助密鑰
3.??? 主密鑰:由用戶選定或系統(tǒng)分配,用戶專有密鑰。
主密鑰對(duì)密鑰加密密鑰保護(hù),密鑰加密密鑰對(duì)會(huì)話密鑰保護(hù)。
?
說(shuō)說(shuō)密鑰分配:
??????????? 肯定分為分為公鑰密鑰分配和秘密密鑰分配啊
公開密鑰分配:廣播式,目錄式:可信機(jī)構(gòu)建立目錄<用戶,公鑰>,帶認(rèn)證的:目錄基礎(chǔ)上,想知道B的公鑰就要去問(wèn)客服,公開密鑰證書分配:在前者基礎(chǔ)上,公鑰證書上有用戶身份公鑰和一些其他的,這樣認(rèn)證證書即可知道一切。
私密密鑰分配:
??????????? 無(wú)中心:有共享密鑰:即密鑰加密密鑰
??????????????????????????????????????????????? 無(wú)共享密鑰:三次握手,沒(méi)有身份認(rèn)證
??????????? 有中心:在我看來(lái),KDC就是可信第三方。
??????????? NS密鑰分配協(xié)議:密鑰分配中心C,A,B通信。
??????????????????????? A有KAC ,B有KBC ,A想通信B,C就給A一個(gè)會(huì)話密鑰KAB和一個(gè)證書:E-KBC(IDA,KAB),然后A把證書給B,B一解密就得到會(huì)話密鑰了。
??????????? 其他密鑰分配基本基于NS分配。
總結(jié)密鑰分配協(xié)議:A想要和B通信,就要有底層的會(huì)話密鑰KAB,怎么安全的傳遞密鑰呢,你可以直接選一個(gè)密鑰加密密鑰來(lái)加密會(huì)話密鑰,然后直接給B,只要B也知道這個(gè)密鑰機(jī)密密鑰。然而大多數(shù)時(shí)候不能這么有默契,就需要密鑰分配中心KDC了,它作為可信第三方,經(jīng)典的通信見NS密鑰分配。
?
密鑰協(xié)商技術(shù):
??????????? 很明顯,我認(rèn)為這個(gè)KDC不靠譜,不實(shí)用,那咋整,于是協(xié)商這種方式出現(xiàn)了。
??????????? Diffie-Hellman密鑰交換協(xié)議:
??????????????????????? 容易受到中間人攻擊,就是A和B沒(méi)有身份認(rèn)證。C把兩人消息全截獲,然后分別發(fā)送自己的消息建立和A,B的共享密鑰,A,B就都蒙在鼓里。
由于這個(gè)致命缺點(diǎn),之后這個(gè)改進(jìn)成了端對(duì)端協(xié)議。
?
?
秘密備份的兩種方式:
??????????? 秘密共享和密鑰托管。
??????????? 秘密共享:把密鑰分給一些人,這些人一上交就把密鑰恢復(fù)了,只有一部分人是不能恢復(fù)密鑰的。就像銀行的金庫(kù)大門。
著名的有Shamir門限方案:基于多項(xiàng)式的拉格朗日插值公式
Asmuth-Bloom門限方案:基于中國(guó)剩余定理
?
密鑰托管:就是人心更發(fā)雜,存在一個(gè)數(shù)據(jù)恢復(fù)密鑰,可以推出解密密鑰,我們將這個(gè)恢復(fù)密鑰放在權(quán)威那以防不測(cè)。
??????????? 三個(gè)部分:用戶安全分量,密鑰托管分量,數(shù)據(jù)恢復(fù)分量
??????????? ESS:單鑰分組密碼,密鑰長(zhǎng)度80,明文密文均64位,
? ? ? ? ? ??
總結(jié)
以上是生活随笔為你收集整理的密码学基础知识(九)密钥管理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 密码学基础知识(八)略说数字签名
- 下一篇: 密码学基础知识(十)查缺补漏(缺)