密钥管理概述
目錄
層次化的密鑰結構:
?密鑰的分類:
密鑰托管技術:
系統的組成:
密鑰協商:
?密鑰共享:?
?密鑰分配技術:
現代密碼體加密和解密算法是可以公開評估的,整個密碼系統的安全性并不取決于對密碼算法的保護或是對加密設備等的保護,而是取決于密鑰的安全性。
層次化的密鑰結構:
按照密鑰的作用與類型及它們之間的相互控制關系,可以將不同類型的密鑰劃分為1級密鑰,2級密鑰......n級密鑰,從而組成一個n級密鑰系統。
系統使用一級密鑰K1通過算法f1保護二級密鑰。
使用二級密鑰K2通過算法f2保護三級密鑰。
使用n級密鑰通過算法fn保護明文數據。
最下層的密鑰kn也叫工作密鑰或數據加密密鑰,它直接作用于對明文數據的加解密。所有上層密鑰可稱為密鑰加密密鑰,最上面一層K1也叫主密鑰,通常主密鑰是整個密鑰管理系統的核心,應該采用最安全的方式來進行保護。數據加密密鑰(即工作密鑰)平時并存在,在進行數據的加解密時,工作密鑰將在上層密鑰的保護下動態的產生。
主密鑰——密鑰加密密鑰——工作密鑰
可以這樣來理解層次化的密鑰結構:某一層密鑰Ki相對于更高層的密鑰Ki-1是工作密碼,而相對于底一層的密鑰Ki+1是密鑰加密密鑰。
層次化的密鑰結構意味著以密鑰來保護密鑰。主密鑰可以以明文的形式存儲在有嚴密物理保護的主機密碼器件中。
優點:
1安全性強 :下層密鑰的泄露不會影響上層密鑰的安全,對于破譯者來說,層次化的密鑰結構意味著它所攻擊的系統已不再是一個靜止的密鑰管理系統,而是一個動態的密鑰管理系統。使得破譯者無法一勞永逸地破譯管理系統。
2提高了密鑰管理的自動化程度:
?核心的主密鑰,比如就是帝國權力的運作秘密,由皇帝和宰相少數人掌握。用戶用工作密鑰進行明文數據加密,比如就是縣城里農民糾紛,知縣在斷案。
?密鑰的分類:
?在一般的密碼系統中,密鑰可以分為基本密鑰,會話密鑰(數據加密密鑰),密鑰加密密鑰和主密鑰。
基本密鑰:又稱為初始密鑰或用戶密鑰。它是由用戶選定或由系統分配給用戶的,可以在較長時間內由一對用戶所專用的密鑰。
會話密鑰:也稱為數據加密密鑰,一般是動態的,僅在需要進行會話數據加密時產生,也相當于前面提到的工作密鑰。?
密鑰加密密鑰和主密鑰? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
密鑰托管技術:
密鑰托管提供了一種密鑰備份與恢復的途徑,也稱為托管加密,在用戶的密鑰丟失或者損壞的情況下可通過密鑰托管技術恢復自己的密鑰。
美國政府頒布ESS(托管加密標準)。ESS使用的托管加密技術不僅提供了加密功能,同時也使政府可以實施法律許可下的監聽。
系統的組成:
?箱子上有把鎖,用戶有鎖的鑰匙。托管加密:將鑰匙在摸具上壓出個模型,然后將摸具掰斷,比如擺成五段,分給可信賴的人保管。
摸具的碎塊——數據恢復密鑰
鑰匙——加解密用到的密鑰
密鑰協商:
?密鑰協商實際上是一個協議,它通過兩個或多個成員在一個公開的信道上通信聯合地建立一個密鑰密鑰。
Diffie—Hellman密鑰交換協議。基于離散對數
在一個不安全的信道(公開信道)上協商出一個安全的密鑰(只有參與者知道的密鑰)
?
?
?
?密鑰共享:?
? ?一個絕密情報鎖在保險柜,為了確保安全,規定情報部門8人至少4人在現場才能打開。
為了解決這樣一些問題,入門引用了(t,n)門限方案,基本思想:預先由需要保護的共享秘密產生n份秘密,并且這n份中任意t個就可以重構共享秘密。
假設一個共享秘密M分成n份 m1 m2 m3 m4 ...mn,并將這份n份秘密分別授予n個不同的持有人保管
使得:1由任意t個或多于t個已知的秘密份額mi,可以計算出共享秘密M;
? ? ? ? ? ?2若僅知道t-1個或者少于t-1個不能解密出M;
Shamir門限方案
g(x)是t-1次多項式,系數相當于未知數,一共t個未知數。七個坐標點代入g(x),就得到t個方程。七個方程聯立為方程組,可求t個未知數。
?密鑰分配技術:
?非對稱秘密技術的密鑰分配方案:
非對稱密碼技術的密鑰分配方案主要包括兩個方面的內容:非對稱密碼技術所用的公鑰的分配和利用非對稱密碼技術來分配對稱密碼技術中使用的密鑰。
1)獲取公鑰的途徑有多種,包括公開分布,公用目錄,公鑰機構和公鑰證書。
公鑰證書:
?E相當于用cA的私鑰進行數字簽名。
利用非對稱密碼1技術進行對稱密碼技術密鑰的分配
?對稱密碼體制和非對稱密碼體制(公鑰密碼 可以組成黃金搭檔。
對稱密碼加密速度快,但密鑰分發困難;公鑰密碼加密速度慢,但基本不存在密鑰分發問題。
可以用公鑰密碼傳遞對稱密碼的密鑰,完成密鑰分發,之后利用對稱密碼進行大規模數據傳輸。
總結
- 上一篇: 数字签名简记
- 下一篇: Have a tea -(极客大挑战(S