密碼學基礎知識（九）金鑰管理

金鑰管理：

前面說過，金鑰是保密系統的核心。那對金鑰的管理自然很重要：

金鑰管理有：

1. 金鑰生成：主要是金鑰生成器，產生偽隨機序列；

2. 金鑰的分配和協商：生成後就要分發出去，有集中式和分布式兩種，就是有kdc的根據使用者要求發金鑰，沒有的根據主機相互協商生成共同金鑰。

3. 金鑰的保護和儲存：金鑰儲存要保證金鑰的機密性完整性真實性。

4. 金鑰的更換和裝入：不能超期使用金鑰，一旦洩露就要更換和撤銷，裝入可以主機主金鑰裝入或終端主金鑰裝入。

在金鑰的生命中，有四個狀態：使用前，使用中，使用後，過期。

一生中有12個階段，當然不是什麼贏取白富美走上人生巔峰了：

1.使用者登記，成為授權使用者了；2.使用者初始化，建立用於安全的作業系統；3.金鑰生成，金鑰生成器生成，可以是使用者自己生成也可是可信機構分發；4.金鑰安裝，安裝在乙個實體或軟體中以便使用；5.金鑰登記，金鑰材料記錄在案，繫結實體身份；6.金鑰的正常使用；7.金鑰更新；8.金鑰備份，兩種：金鑰託管和使用秘密共享協議；9.金鑰恢復；10.金鑰存檔，是金鑰使用後狀態；11.金鑰撤銷，出事了，金鑰不能再用了；12.登出與銷毀，革命成功，趕快撤離。

金鑰建立協議：金鑰管理核心部分，包括金鑰分發和金鑰協商。金鑰分發：一方生成金鑰，通過某種方式發放給他人；金鑰協商：參與保密通訊的各方協商出乙個共同金鑰。

管理金鑰的層次結構：

1. 會話金鑰：兩個通訊終端交換資料時使用的金鑰

2. 金鑰加密金鑰：對將要傳送的會話金鑰加密，也叫二級金鑰或輔助金鑰

3. 主金鑰：由使用者選定或系統分配，使用者專有金鑰。

主金鑰對金鑰加密金鑰保護，金鑰加密金鑰對會話金鑰保護。

說說金鑰分配：

肯定分為分為公鑰金鑰分配和秘密金鑰分配啊

公開金鑰分配：廣播式，目錄式：可信機構建立目錄《使用者，公鑰》，帶認證的：目錄基礎上，想知道b的公鑰就要去問客服，公開金鑰證書分配：在前者基礎上，公鑰證書上有使用者身份公鑰和一些其他的，這樣認證證書即可知道一切。

私密金鑰分配：

無中心：有共享金鑰：即金鑰加密金鑰

無共享金鑰：三次握手，沒有身份認證

有中心：在我看來，kdc就是可信第三方。

ns金鑰分配協議：金鑰分配中心c，a，b通訊。

a有kac ，b有kbc ，a想通訊b，c就給a乙個會話金鑰kab和乙個證書：e-kbc(ida,kab)，然後a把證書給b，b一解密就得到會話金鑰了。

其他金鑰分配基本基於ns分配。

總結金鑰分配協議：a想要和b通訊，就要有底層的會話金鑰kab，怎麼安全的傳遞金鑰呢，你可以直接選乙個金鑰加密金鑰來加密會話金鑰，然後直接給b，只要b也知道這個金鑰機密金鑰。然而大多數時候不能這麼有默契，就需要金鑰分配中心kdc了，它作為可信第三方，經典的通訊見ns金鑰分配。

金鑰協商技術：

很明顯，我認為這個kdc不靠譜，不實用，那咋整，於是協商這種方式出現了。

diffie-hellman金鑰交換協議：

容易受到中間人攻擊，就是a和b沒有身份認證。c把兩人訊息全截獲，然後分別傳送自己的訊息建立和a,b的共享金鑰，a,b就都蒙在鼓裡。

由於這個致命缺點，之後這個改進成了端對端協議。

秘密備份的兩種方式：

秘密共享和金鑰託管。

秘密共享：把金鑰分給一些人，這些人一上交就把金鑰恢復了，只有一部分人是不能恢復金鑰的。就像銀行的金庫大門。

著名的有shamir門限方案：基於多項式的拉格朗日插值公式

asmuth-bloom門限方案：基於中國剩餘定理

金鑰託管：就是人心更發雜，存在乙個資料恢復金鑰，可以推出解密金鑰，我們將這個恢復金鑰放在權威那以防不測。

三個部分：使用者安全分量，金鑰託管分量，資料恢復分量

ess：單鑰分組密碼，金鑰長度80，明文密文均64位，

密碼學基礎知識（九）金鑰管理

密碼學基礎知識

密碼學基礎知識（二）密碼體制

金鑰密碼學相關

密碼學基礎知識（九）金鑰管理

密碼學基礎知識

密碼學基礎知識（二）密碼體制

金鑰 密碼學相關

相關推薦

金鑰密碼學相關