密码学导论˙第1章 绪论 4学时 李卫海 密码学导论--中国科学技术大学.

Presentation on theme: "密码学导论˙第1章 绪论 4学时 李卫海 密码学导论--中国科学技术大学."— Presentation transcript:

1 密码学导论˙第1章 绪论 4学时 李卫海 密码学导论--中国科学技术大学

2 本章目录 第一节 复杂的信息安全 第二节 密码学的历史 第三节 密码学基本概念 第四节 密码功能的使用 信息安全的复杂性 安全框架与模型
基本术语、基本模型、基本原则、基本参数 安全的种类、密码分析基本类型 密码体制分类 第四节 密码功能的使用 端到端加密、链路加密 密钥管理 密码学导论--中国科学技术大学

3 第一节 复杂的信息安全 密码学导论--中国科学技术大学

4 信息安全的复杂性 随着信息的发展，越来越复杂 信息简单，靠人脑记忆，专人口头传递 介质记录，专门存放，专人传送
密码学导论--中国科学技术大学

5 随着信息的发展，越来越复杂 计算机单机，专人操作 网络时代 需要自动工具来保护存储在计算机中的文件及其它信息
需要可靠措施来保护网络和通信链接中的数据传输 计算机安全：单机数据安全 网络安全：传输过程中的数据安全 互联网安全：全网络上的数据安全 密码学导论--中国科学技术大学

6 一个通信安全的例子 Alice与Bob通信 Thief 搭线窃听：攻击保密性 Alice Bob 否认发送：攻击可审计性
否认接受：攻击可审计性 Evil 重放：攻击实时性/真实性 篡改/删节：攻击真实性/完整性 拦截：攻击可用性 伪装身份：攻击真实性 DoS——攻击可用性 密码学导论--中国科学技术大学

7 安全的范畴 保密性（Confidentiality/Secrecy/Privacy） 完整性（Integrity）
保密性：秘密信息不向非授权者泄露，也不被非授权者使用 隐私性：个人能够控制私人信息 完整性（Integrity） 数据完整性：信息只能以特定和授权的方式进行改变 系统完整性：系统以正常方式执行预定功能，免于非授权操纵 可用性（Availability） 可用性：授权者能使用信息和信息系统 访问控制：通过授权限制用户能访问的资源 可控性：对信息和信息系统实施安全监控管理 真实性（Authenticity） 消息认证：消息未经篡改/确认来源 实体认证：确认实体所声称的身份 可追溯性/可审计性（Accountability/Auditability） 收据与确认：告知已经收到信息或服务 不可否认性：实体不能否认自己的行为 密码学导论--中国科学技术大学

8 The Information Security Triad: CIA （From Wiki）
信息系统通过在硬件、软件、通信三个主要部分上确定和应用信息安全行业标准，实现在物理、个人、和组织三个层面上提供保护和预防机制。 从本质上讲，程序或政策的实施是用来告诉人们（管理员，用户和运营商）如何使用产品以确保组织内的信息安全。 Information Security Attributes: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are decomposed in three main portions, hardware, software and communications with the purpose to identify and apply information security industry standards, as mechanisms of protection and prevention, at three levels or layers: physical, personal and organizational. Essentially, procedures or policies are implemented to tell people (administrators, users and operators)how to use products to ensure information security within the organizations. 密码学导论--中国科学技术大学

9 安全的复杂性 信息本身的安全涉及到数据的复杂性 网络安全涉及到通信和网络 安全机制或算法必须考虑各种各样潜在威胁
目标是消除所有可能的攻击 安全机制的应用位置：物理或逻辑上 秘密信息的产生、分配和保护等问题 经常更新和持续监管 用户和系统管理员的排斥 Cyber Security is not only about technology! 密码学导论--中国科学技术大学

10 安全框架 OSI安全框架： 目的：有效评价一个机构的安全需求；对各种安全产品和政策进行评估和选择 威胁 支撑 安全性攻击 安全服务 安全机制
任何危及信息系统安全的行为 用来检测、阻止攻击，或者从攻击状态恢复到正常状态的过程，或实现该过程的设备 加强数据处理/传输/存储系统的安全性的具体处理过程和措施 安全机制多以密码技术为基础 密码学导论--中国科学技术大学

11 网络安全模型 密码学是下列问题的基础 安全相关变换，产生秘密，保存秘密，传输秘密，多方协议，…… 可信第三方Trent
（分配秘密信息、仲裁…） Alice Bob 消息 消息 秘密信息 秘密信息 信道 安全相关变换 安全相关变换 攻击者 密码学是下列问题的基础 安全相关变换，产生秘密，保存秘密，传输秘密，多方协议，…… 密码学导论--中国科学技术大学

12 网络访问安全模型 使用网络访问安全模型需要： 可信计算机系统有助于实现此模型 信息系统 选择合适的看门函数识别用户
实现安全控制，确保仅授权用户可以使用指定信息或资源 可信计算机系统有助于实现此模型 信息系统 计算资源（处理器、内存、输入输出等） 数据 进程 软件 用户 访问通道 看门 函数 内部安全控制 密码学导论--中国科学技术大学

13 情报的获取 截获敌方密电 整理归类 密码分析 翻译整理 情报分发 无线电技术，巨大的天线阵列 无线电测向，确定报文来源，送往对口破译机关
文件意义上：海量报文，制作索引 情报意义上：综合分析 情报分发 参与破发情报的密码系统可能遭敌人的已知明文攻击 哪些人可以接触到情报？副官和报务员可靠么？ 不能让敌人知道被破译，不能对情报过分利用 密码学导论--中国科学技术大学

14 例：信息情报：大庆油田 《人民日报》的报道 《中国画报》出现王进喜在钻井旁的照片 《人民中国》 其他报道 “最早钻井是在北安附近开始的。”
“王进喜一到马家窑子，看到一片荒野说：好大的油海，我们要把中国石油落后的帽子抛到太平洋去！” “为把沉重的设备运到油井的位置，采用了人拉肩扛的方式。” 其他报道 王进喜个人事迹 “大庆已有820口油井出油” 确定大庆油田真实存在 位于齐齐哈尔到哈尔滨之间 反应塔的加工原油能力在100万吨上下 定位 油井离某个车站不远 大庆油田的开工不晚于1959年 反应塔炼油能力跟不上原油产量——准备低价现货出售炼油设备 密码学导论--中国科学技术大学

15 本课程内容 数论基础 密码学 基本理论 密码应用： 密码编码技术 密码分析技术 Hash 签名 身份认证 密钥分配、分享 不经意传输
公平计算 … 数论基础 密码编码技术 密码学 基本理论 密码分析技术 密码学导论--中国科学技术大学

16 章节安排 经典技术与理论 密码算法 密码应用 分组密码 经典密码学 密码协议选讲 绪论 流密码 密码学理论 基础 公开密钥密码 媒体内容安全
数论基础 密码算法 分组密码 流密码 公开密钥密码 认证技术 密码应用 密码协议选讲 媒体内容安全 密码学导论--中国科学技术大学

17 密码编码学与网络安全：原理与实践(第六版)
教材与参考书 课程主页： 参考书： William Stallings, 电子工业出版社，2006年 密码编码学与网络安全：原理与实践(第六版) Bruce Schneier, 机械工业出版社，2001 应用密码学——协议、算法与C源程序 机械工业出版社，吴世忠等译，2001年 密码编码学和密码分析 卿斯汉，清华大学出版社，2001年 密码学与计算机网络安全 密码学导论--中国科学技术大学

18 课外资源 欧洲密码协会ECRYPT 美国密码协会ACA 中国密码学会 Cryptography FAQ Wikipedia
美国密码协会ACA 中国密码学会 Cryptography FAQ Wikipedia NIST FIPS & SP 美国国家密码学博物馆 密码学导论--中国科学技术大学

19 成绩构成 100 作业 课程实践 10% 30% 期末考试 70% 平日作业：态度分，对错不论
课程实践：完成指定实验研究项目，作10-15分钟报告 期末考试：闭卷 点名：小测验形式，负分，每次扣1分，上不封顶 密码学导论--中国科学技术大学

20 第二节 密码学的历史 密码学导论--中国科学技术大学

21 计算机时代 机电时代 手工时代 传统时代 密码学导论--中国科学技术大学

22 最早的有记载的加密文字 公元前19世纪古埃及第十二王朝，Menet Khufu小镇的一位祭祀撰写的碑文 本质是一种代换编码
目的：为了显得更重要和更神秘 密码学导论--中国科学技术大学

23 最早用于保护信息的密码技术 公元前11世纪，周武王时期姜太公发明 “阴符”： “阴书”：“一合而再离，三发而一知” 是一种代换加密
是一种置乱密码 文字必须简明扼要，收信人需要有较好的文学素养 大胜克敌符 长1尺 警众坚守符 长6寸 破阵离将符 长9寸 请粮益兵符 长5寸 降城得邑符 长8寸 败军亡将符 长4寸 却敌极远符 长7寸 失利亡士符 长3寸 阴书，3枚竹简并排，横向书写文字，然后由3名信使分别送出，接收者重新组合。 密码学导论--中国科学技术大学

24 公元前4世纪，斯巴达-波斯的战争中，“天书”
是一种置乱加密 公元前1世纪，凯撒密码 C=m+3 是第一种计算意义上的代换密码 密码学导论--中国科学技术大学

25 手工时代 手工加密、解密，有少量辅助设备出现 代换以技巧为主，辅助以少量计算 加密算法比较简单，一般不公开 手工分析，主要靠猜
字频统计分析是主要且有效的工具 密码分析员以语言学家为主 密码学导论--中国科学技术大学

26 20世纪初，进入机电时代 1919年转轮密码机 密码技术的变化 美国人Edward Hugh Hebern首先获得专利
最具代表性的是德国的ENIGMA 最早最广泛使用 犯了最多的错误 最早被攻破的机械转轮机 密码技术的变化 算法复杂度大大增加，安全性大大提高 算法开始公开，仅需保护密钥 数学家开始在密码分析技术中占据重要地位 虽然Edward Hugh Hebern是世界上第一个得到转轮密码机专利（美国）的人，但在他之后不久，就有多人在各自的国家申请了类似的专利，我们并不知晓他们之中究竟是谁第一个产生这样的想法。但Hebern的不幸在于，他的发明并没有得到重视，直到Arthur Scherbius发明了ENIGMA并在德国广泛应用，给盟国带来巨大麻烦的时候，才有人想起他的发明。 密码学导论--中国科学技术大学

27 计算机时代 密码技术的研究从技巧走向理论，融入大量现代数学理论
1949年，Shannon“The Communication Theory of Secrecy System”，从理论上为密码学奠定了科学基础 冷战时期，大家都重视，但都不公开 1975年，W.Diffie和M.Hellman首次提出公开密钥思想 1976年，美国国家标准局公布实施DES数据加密标准 1977年，R.Rivest、A.Shamir和L.Adleman提出RSA算法 1985年，T.ElGamal提出了概率密码系统ElGamal方法 2000年，美国国家标准局发布了AES代替DES 当代，混沌密码、量子密码、后量子密码等新兴技术 密码学导论--中国科学技术大学

28 第三节 密码学基本概念 密码学导论--中国科学技术大学

29 一、密码学基本概念 密码学 Cryptology： 从研究角度出发： 研究如何对己方信息及信息传递进行保护，如何对敌方信息进行破译的科学。
密码编码学 Cryptography： 研究如何将信息用秘密文字的形式加以保护 密码分析学 Cryptanalysis： 研究如何从秘密形式的文字中提取原始信息 密码协议 Cryptography Protocol： 使用密码技术的通信协议，在网络环境中提供各种安全服务 密码学导论--中国科学技术大学

30 密码系统的数学描述： S＝{P, C, K, E, D} P：明文空间 C：密文空间 K：密钥空间 E：加密变换 D：解密变换
P也常用消息空间M代替。 C = E(kE,P), D(kD,*)= E(kE,*)-1 P = D(kD,C) = D(kD,E(kE,P)), E(kE,*)= D(kD,*)-1 信源 加密器E 解密器D 信息M 加密密钥kE 解密密钥kD 密文C 密码学导论--中国科学技术大学

31 现代密码学基本原则 柯克霍夫原则（Kerckhoff's principle） 香农箴言（Shannon's maxim）
除了密钥之外，即使密码系统的一切均被公开，它仍然应当是安全的。 香农箴言（Shannon's maxim） 敌人了解系统。 密码系统的安全性不在于算法的保密，而在于当对手获知了算法和密文后，分析出密钥或明文的难度。 密码学导论--中国科学技术大学

32 密码系统的安全性 无条件安全 unconditional security 可证明安全 provable security
即使有无限的资源和时间，都无法唯一地破译确定密文。 安全性最强的，但仅有一次一密体制是无条件安全的。 可证明安全 provable security 破译密码的难度与数学上某个困难问题的难度相同。 计算上安全 computational security 破译密码的代价超出密文信息的价值；或 破译密码的时间超出密文信息的有效生命期。 实际安全 practical security 包括可证明安全和计算上安全。 密码学导论--中国科学技术大学

33 密码系统安全性的考虑 一次一密成本太高，极少使用 可证明安全： 计算安全： 在设计密码系统时，为保证实际安全，必须 难度随着问题的规模而改变
计算能力飞速发展，使用多大的规模能保证在未来是安全的？ 量子技术有望解决数学难题 计算安全： 价值是相对的，有效生命期也是相对的 在设计密码系统时，为保证实际安全，必须 明确系统所针对的对象，适当地选择系统的计算规模 保守地估计系统使用年限 在说明系统的计算安全程度时，必须列举所假设的资源条件 一次一密的成本还包括实用时的危险代价 密码学导论--中国科学技术大学

34 对密码系统的基本要求 密码系统遵从柯克霍夫原则，且是实际安全的。 加解密算法适用于密钥空间中的所有元素，或者应把“弱密钥”全部列出。
某些密钥对特定算法会泄漏明文信息，称之为弱密钥。 密钥应当可以随时更改。 系统应易于实现，使用方便。 从时延、成本、软硬件出错概率等角度的考虑，倾向于使用数学上计算复杂，但易于实现的密码系统。 便于使用，不使操作者过于劳累。否则一方面容易出错，另一方面会诱使操作者采取偷懒的方式，而这往往会危及整个密码系统。 密码系统的使用不应使通信网络的效率过分降低。 应考虑系统实用性。 不到使用时刻不解密数据。 密码学导论--中国科学技术大学

35 密码体制 密码体制：整个密码系统的基本工作方式。 密码体制的基本要素是密码算法和密钥。 密码体制的主要参数：
密码算法是一些公式、法则或程序； 密钥是密码算法中的控制参数。 密码体制的主要参数： 编码的运算类型：代换、置乱、数域计算 密钥长度；密钥形式：加解密密钥是否一致，是否需要保密 处理明文的方法：顺序地处理（序列）或一组一组地处理（分组） 密文的膨胀：密文的长度是否与明文长度一致 密文错误的传播 加密和解密的运算复杂度 编码过程是否可逆 …… 密码学导论--中国科学技术大学

36 密码分析与密码系统安全性 攻击类型 密码分析员的资源 唯密文攻击 Ciphtext-only 密码算法 待分析密文 已知明文攻击
Known-plaintext 用同一密钥加密的一个或多个明文－密文对 选择密文攻击 Chosen-ciphertext 可选择特定密文，并获得对应的明文 选择明文攻击 Chosen-plaintext 可选择特定明文，并获得对应的密文 选择文本攻击 Chosen-text 可选择特定密文/明文，并获得对应的明文/密文 相关密钥攻击 Related-key 有确定关系的两个密钥对应的明文-密文对 密码学导论--中国科学技术大学

37 二、常见密码体制分类 根据密钥的形式分类：
对称密码体制（Symmetric System, One-key System, Secret-key System） 加密密钥与解密密钥相同，或者可以方便地相互导出 加密能力与解密能力是紧密结合，能加密就能解密 密钥必须严格保护，开放性差 非对称密码体制（Asymmetric System, Two-key System, Public-key System） 加密密钥与解密密钥不同，并且从一个密钥导出另一个密钥是计算上不可行的 加密能力与解密能力是分开的 可以公开一个密钥，开放性好 密码学导论--中国科学技术大学

38 根据处理明文的方式分类： 序列密码体制 / 流密码体制（Stream Cipher） 分组密码体制（Block Cipher）
以比特（有时也用字节）为单位进行加密/解密运算 同一明文对应的密文一般不同 分组密码体制（Block Cipher） 以若干比特（通常大于64比特）的数据块为处理单元 同一明文块对应的密文块相同 密码学导论--中国科学技术大学

39 根据密文的唯一性分类： 确定型密码体制（Deterministic Cipher）
当明文和密钥确定后，密文唯一 并不排除不同明文用不同密钥加密会得到同一密文 概率型密码体制（Probabilistic Cipher） 当明文和密钥确定后，密文从一个密文子集中随机产生 解密时，有的算法能够由密文唯一确定明文，有的算法需要接收者从多个可能中选出正确的明文 可以增加字典攻击的难度。 字典攻击：对同一密钥加密的明文-密文对编制一个字典，通过查表的方式得到新截获的密文所对应的明文。 密码学导论--中国科学技术大学

40 根据加密算法的可逆性分类： 可逆变换型密码算法（Reversible Transformation）
加密、解密变换互逆，一般用于数据的加密/解密。 具体算法多采用单向陷门函数，即正向变换计算简单，逆向变换在知道陷门信息的情况下计算简单，否则计算上不可行 单向函数型密码算法（One-way function） 只能进行正向变换，不可逆 适用于不需要解密的场合 利用密文做口令、验证码、… 密码学导论--中国科学技术大学

41 第四节 密码功能的使用 密码学导论--中国科学技术大学

42 一、密码功能的配置 安全隐患 从同一局域网上其他工作站发起的窃听 使用拨号或外部路由进入局域网进行窃听 嵌入配线室窃听
在外部链路上对通信业务的监听和修改 密码学导论--中国科学技术大学

43 基本方法：链路加密与端到端加密 链路加密 端到端加密 每个链接独立加密 在初始源与最终目的之间加密 结点需要解密、加密操作，结点处消息为明文
每个终端需要加/解密设备和共享密钥 需要更多加/解密设备及成对的密钥 密码学导论--中国科学技术大学

44 流量分析 使用端到端加密时，必须保留数据包头不加密，保证网络能够获得正确的路由信息 通信内容可以保护，通信流量模式无法保护
存在流量分析攻击，可获得： 哪些通信实体参与了通信过程，甚至他们的身份、关系等 通信双方的通信频率 消息格式、长度、数量，并可由此推断是否有重要消息被传输 特定通信双方特定会话内容所涉及的事件 可解决的办法是在传输层或应用层把所有数据单元都填充到一个统一的长度，以防止攻击者获得端用户之间交换的数据量信息 密码学导论--中国科学技术大学

45 理想情况为两种方案都使用 端到端加密全程保护数据内容，并提供认证 链路加密保护数据包头信息，但网络全局流量仍可被监听
流量填充（traffic padding）可以保护数据流量信息 代价是持续的通信 密码学导论--中国科学技术大学

46 存储转发通信网络中的加密覆盖范围 OSI框架七层协议 TCP/IP协议 端到端加密 链路加密 密码学导论--中国科学技术大学

47 将加密设备用于端到端协议 将加密设备用于应用层 例如：网络层，TCP层 可以提供整个网络的端对端的安全性 不能用于网络之间的服务
越高的层次，所需加密的信息越少，而安全性越高 但涉及的实体太多，所需的密钥也太多 密码学导论--中国科学技术大学

48 网络层加密 用在帧中继或者ATM协议上 可识别并被保护的实体数与网络的末端系统数相对应，两端系统应公用一个密码系统，共享一个密钥
可以用带有加密功能的前端处理器（FEP）来实现 通常是末端系统的网卡 密码学导论--中国科学技术大学

49 密码系统的使用 加密算法的选择 通信信道的加密 存储数据的加密 公开发表的加密算法 政府指定的加密算法 著名厂家产品 专家推荐的加密算法
链路加密－点到点加密 高层连接加密－端到端加密 存储数据的加密 硬盘级加密 文件级加密 密码学导论--中国科学技术大学

50 二、密钥管理概念 密钥管理原则： 密钥管理内容： 密钥难以窃取 在一定条件下即使窃得密钥也无用 密钥分配和更新对用户透明
超过使用时间和范围限制 密钥分配和更新对用户透明 密钥管理内容： 产生密钥、非线性密钥空间、传输密钥、验证密钥、使用密钥、更新密钥、备份密钥、泄漏密钥处理、密钥有效期、销毁密钥、密钥证书、…… 密码学导论--中国科学技术大学

51 密钥的层次化管理结构 会话密钥(工作密钥 session key) 主密钥 重复使用同一密钥容易导致泄漏，应该经常更换；
使用相同密钥，可能存在重播攻击； 密钥丢失，仅影响本次会话； 更换密钥，防止对方以后窃取信息。 主密钥 主密钥，构成密钥管理系统之核心 会话密钥按照某种密钥协议来生成，受主密钥保护 密码学导论--中国科学技术大学

52 1、产生密钥 密钥长度应当足够 密钥生成算法要足够安全 避免选择弱密钥——字典攻击 使用长密钥——HASH——实际密钥
密钥生成算法的安全性不应低于密码算法的安全性 避免选择弱密钥——字典攻击 便于记忆的，往往是便于攻击的 使用长密钥——HASH——实际密钥 密码学导论--中国科学技术大学

53 2、非线性密钥空间 如何防止我方密码设备（算法没有公开）被敌方利用？ 方法：让敌人不敢用这些设备“保护”他们的秘密
算法中要求使用有特殊形式的密钥 否则用弱算法执行加密 即所有密钥的安全强度不同！ 密码学导论--中国科学技术大学

54 一种实现方法： 密钥分为两部分，前一部分是密钥本身，后一部分是用该密钥加密的某个固定字符串。
设备执行时，先用前面的密钥解密后面的字符串，若解密结果与固定字符串相同，则正常工作；否则就用一个弱加密算法 若前部分密钥128位，字符串64位，则密钥总长度192位 有效密钥共2128个，敌方从2192个密钥中随机选择一个，选中好密钥的机会为2-64。 密钥本身 识别串 密码学导论--中国科学技术大学

55 3、验证密钥 Bob收到Alice的密钥时，如何确认它来自Alice？ Bob需要验证密钥传输中是否有错误 密钥的验证
由Alice数字签名，Bob必须相信Alice的公钥数据真实 由可信第三方数字签名，Bob必须相信可信第三方的公钥数据真实 Bob需要验证密钥传输中是否有错误 密钥的验证 附带一个用该密钥加密的密文来验证密钥的正确性 结合身份认证 密码学导论--中国科学技术大学

56 4、使用密钥 软件加密是可怕的 硬件加密比较安全 因用途不同而定义的不同类型密钥 多线程操作系统，进程被挂起 内存被存在硬盘页面文件上
数据加密密钥 个人标识号PIN加密密钥 文件加密密钥 等等 密码学导论--中国科学技术大学

57 密钥的连通：密钥共享的范围 密钥的分割：适用范围和时间限制 依据密钥特征限制密钥的使用方式 按空间分割 按时间分割 分割实现：静态/动态
给予每个密钥一个关联标记，如DES的8位非密钥比特 1比特指示此密钥是主密钥还是会话密钥 1比特指示此密钥是否可以用于加密 1比特指示此密钥是否可以用于解密 其余比特用作其它用途 密码学导论--中国科学技术大学

58 控制向量的方案 控制向量长度没有限制，可实现任意复杂的控制 控制向量始终是明文，可多次运用或叠加 密码学导论--中国科学技术大学

59 5、更新密钥 从旧密钥出发获得新密钥 重新认证身份并分发密钥 旧密钥必须销毁 用旧密钥计算 用旧密钥协商 旧密钥的泄露会危及新密钥
密码学导论--中国科学技术大学

60 6、存储密钥 用户记忆，需要时输入系统 密钥加密存储在硬盘上 保存在即插即用物理设备中 难记，输入慢，可能出错
加密密钥一部分存在硬盘上，一部分以口令输入 保存在即插即用物理设备中 要确保不会丢失 要确保只能被特定设备/软件读出 密码学导论--中国科学技术大学

61 目前最好的办法： 将密钥分片存储 密钥的保存 将密钥和密码算法集成在即插即用设备上 输入明文，输出密文 集中保存 分散保存
秘密分享secret sharing 密码学导论--中国科学技术大学

62 7、备份密钥 密码丢失了，怎么办？ 密钥托管，由特定安全官掌管备份的密钥 密钥分片，用不同人的公钥加密 密码保管人可能出意外
保存密码的设备可能出意外 密钥托管，由特定安全官掌管备份的密钥 安全官可靠么？ 安全官也可能出意外 密钥分片，用不同人的公钥加密 恢复密钥需要多个人共同进行 存在共谋攻击 密码学导论--中国科学技术大学

63 密钥托管 法院授权的搭线窃听是防止犯罪的有效方法之一 美国政府的Clipper计划中的密钥托管 公民使用弱的密码系统？
公民事先把私钥交给政府？ 美国政府的Clipper计划中的密钥托管 所有数字通信(包括音、视频)的加密都必须使用经政府批准、统一生产的防篡改的加密芯片实现 每个加密芯片有唯一ID号和设备唯一密钥KU KU分两个部分，与ID号一起由两个托管机构存储 芯片加密数据时，先用KU加密会话密钥，并发布 当法院授权窃听时，从托管机构收集并重建KU，解密会话密钥，进而解密消息 密码学导论--中国科学技术大学

64 8、泄漏密钥处理 对称密码系统的密钥丢失，需要立即通知通信对方 公钥密码中私钥丢失，麻烦大了 通知所有人 要尽可能确定泄漏发生的时间
如何证明泄漏发生的时间，用于仲裁？ 最好在不同用途上使用不同的密码，减少损失 密码学导论--中国科学技术大学

65 9、密钥有效期 为什么要有效期？ 例外： 密钥使用时间越长，泄漏的机会越大 若密钥已泄漏，则用得时间越长，损失越大
密钥使用越久，破译它的诱惑力就越大 同一密钥加密的消息越多，破译越容易 例外： 加密密钥的密钥无需频繁更换 加密文件的密钥不能经常更换 这些密钥必须妥善保管 密码学导论--中国科学技术大学

66 10、销毁密钥 旧密钥必须安全地销毁 记忆在脑中：必须忘记 写在纸上：必须烧毁或粉碎（用优质粉碎机），必要时粉碎后烧毁
存储在EEPROM中：多次擦写 存储在EPROM或PROM中：粉碎 存储在硬盘中：多次擦写密钥存储位置，或粉碎 密码学导论--中国科学技术大学

67 恃吾有所不可攻也 无恃其不攻 恃吾有以待之 无恃其不来 故用兵之法 ——孙子兵法 密码学导论--中国科学技术大学

68