第5章_密钥分配与密钥管理分解.ppt

§5.4.4 基于密码算法的随机数产生器 为了产生密码中可用的随机数，可使用加密算法。本小节介绍3个具有代表性的例子。 * * * * 图5.13 循环加密产生伪随机数 1. 循环加密 图5.13是通过循环加密由主密钥产生会话密钥的示意图，其中周期为N的计数器用来为加密算法产生输入。例如要想产生56比特的DES密钥，可使用周期为256的计数器，每产生一个密钥后，计数器加1。因此本方案产生的伪随机数以整周期循环，输出数列X0,X1,…,XN-1中的每个值都是由计数器中的不同值得到，因此X0≠X1≠…≠XN-1。又因为主密钥是受到保护的，所以知道前面的密钥值想得到后面的密钥在计算上是不可行的。 为进一步增加算法的强度，可用整周期的伪随机数产生器代替计数器作为方案中加密算法的输入。 * * 2. DES的输出反馈（OFB）模式 DES的OFB模式能用来产生密钥并能用于流加密。 加密算法的每一步输出都为64比特，其中最左边的j个比特被反馈回加密算法。因此加密算法的一个个64比特输出就构成了一个具有很好统计特性的伪随机数序列。 如此产生的会话密钥可通过对主密钥的保护而得以保护。 * * * * 3. ANSI X 9.17的伪随机数产生器 ANSI X9.17的伪随机数产生器是密码强度最高的伪随机数产生器之一，已在包括PGP等许多应用过程中被采纳。 产生器有3个组成部分： ① 输入 输入为两个64比特的伪随机数，其中DTi表示当前的日期和时间，每产生一个数Ri后，DTi都更新一次；Vi是产生第i个随机数时的种子，其初值可任意设定，以后每次自动更新。 * * * * 图5.14 ANSI X9.17伪随机数产生器 * * ② 密钥 产生器用了3次三重DES加密，3次加密使用相同的两个56比特的密钥K1和K2，这两个密钥必须必威体育官网网址且不能用作他用。 ③ 输出 输出为一个64比特的伪随机数Ri和一个64比特的新种子Vi+1，其中, EDE表示两个密钥的三重DES。 本方案具有非常高的密码强度， 采用了112比特长的密钥和9个DES加密，同时还由于算法由两个伪随机数输入驱动，一个是当前的日期和时间，另一个是算法上次产生的新种子。 即使某次产生的随机数Ri泄露了，但由于Ri又经一次EDE加密才产生新种子Vi+1，所以别人即使得到Ri也得不到Vi+1，从而得不到新随机数Ri+1。 * * §5.4.5 随机比特产生器 在某些情况下，需要的是随机比特序列，而不是随机数序列，如流密码的密钥流。下面介绍几个常用的随机比特产生器 * * 1. BBS(blum-blum-shub）产生器 BBS产生器是已经过证明的密码强度最强的伪随机数产生器，它的整个过程如下： 首先，选择两个大素数p，q,满足p≡q≡3(mod 4)，令n=p×q。再选一随机数s，使得s与n互素。然后按以下算法产生比特序列{Bi}： X0=s2 mod n for i=1 to ∞ do { Xi=X2i-1 mod n; Bi=Xi mod 2 } 即在每次循环中取Xi的最低有效位。 * * 例如：n=192649=383×503，种子s=101355， * * BBS的安全性基于大整数分解的困难性，它是密码上安全的伪随机比特产生器。 如果伪随机比特产生器能通过下一比特检验，则称之为密码上安全的伪随机比特产生器，具体定义为：以伪随机比特产生器的输出序列的前k个比特作为输入，如果不存在多项式时间算法，能以大于1/2的概率预测第k+1个比特。换句话说，已知一个序列的前k个比特，不存在实际可行的算法能以大于1/2的概率预测下一比特是0还是1。 * * §5.5 秘密分割 5.5.1 秘密分割门限方案 在导弹控制发射、重要场所通行检验等情况下，通常必须由两人或多人同时参与才能生效，这时都需要将秘密分给多人掌管，并且必须有一定人数的掌管秘密的人同时到场才能恢复这一秘密。 由此，引入门限方案（threshold schemes）的一般概念。 * * 定义5.1 设秘密s被分成n个部分信息，每一部分信息称为一个子密钥或影子，由一个参与者持有，使得： 由k个或多于k个参与者所持有的部分信息可重构s。 由少于k个参与者所持有的部分信息则无法重构s。 则称这种方案为(k,n)-秘密分割门限方案，k称为方案的门限值。 * * 如果一个参与者或一组未经授权的参与者在猜测秘密s时，并不比局外人猜秘密时有优势，即 由少于k个参与者所持有的部分信息得不到秘密s的任何信息。 则称这个方案是完善的，即(k,n)-秘密分割门限方案是完善的。 下面介绍最具代表性的两个秘密分割门限方案。 * * §5.5.