【導(dǎo)讀】附件：；Publicannouncement. Public-keyauthority. mailinglists.Figure).participant.munication.someway.mandatory.

　　

【正文】 ical operation. (A1) Closure: If a and b belong to G, then a ? b is also in G. (A2) Associative: a ? (b ? c) = (a ? b) ? c for all a, b, c in G. (A3) Identity element: There is an element e in G such that a ? e = e ? a = a for all a in G. (A4) Inverse element:For each a in G there is an element a39。 in G such that a ? a39。 = a39。 ? a = e. (A5) Commutative: a ? b = b ? a for all a, b in G. A number of publickey ciphers are based on the use of an abelian group. For example, DiffieHellman key exchange involves multiplying pairs of nonzero integers modulo a prime number q. Keys are generated by exponentiation over the group, with exponentiation defined as repeated multiplication. For elliptic curve cryptography, an operation over elliptic curves, called addition, is used. Multiplication is defined by repeated addition. An elliptic curve is defined by an equation in two variables, with coefficients. For cryptography, the variables and coefficients are restricted to elements in a finite field, which results in the definition of a finite abelian group. Before looking at this, we first look at elliptic curves in which the variables and coefficients are real numbers. This case is perhaps easier to visualize. 外文資料翻譯 —— 譯文 密鑰管理 在第 7 章中，我們層討論了傳統(tǒng)密碼體制的密鑰分配問(wèn)題。公鑰密碼的主要作用之一就是解決密鑰分配問(wèn)題，在這方面，公鑰密碼實(shí)際上可用于下列兩個(gè)不同的方面： ? 公鑰的分配 ? 公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配 接下來(lái)，我們就來(lái)討論這兩方面的內(nèi)容。 公鑰的分配 人們已經(jīng)提出了幾種公鑰分配方法，所有這些方法本質(zhì)上可歸結(jié)為下列幾種方法： ? 公開(kāi)發(fā)布 ? 公開(kāi)課訪問(wèn)目錄 ? 公鑰授權(quán) ? 公鑰證書 公鑰的公開(kāi)發(fā)布 表面上看，公鑰密碼的特點(diǎn)就是公鑰可以公開(kāi)，因此如果有像 RSA 這樣為人們廣泛 接收的公鑰算法，那么任一通信方可以將他的公鑰發(fā)送給另一通信方或廣播給通信各方。例如，越來(lái)越為人們廣泛使用的 PGP（ pretty good privacy，該方法將在第 15章討論）中使用了 RSA 算法，所以許多 PGP 用戶在給諸如 USENET新聞組和 Inter 郵件列表這樣的一些公開(kāi)論壇發(fā)送消息時(shí)，都將其公鑰附加在要發(fā)送的消息之后。 雖然這種方法比較簡(jiǎn)便，但它有一個(gè)較大的缺點(diǎn)，即任何人都可以偽造這種公鑰的公開(kāi)發(fā)布。也就是說(shuō)，某個(gè)用戶可以假冒是用戶 A并將一個(gè)公鑰發(fā)送給通信的另一方或廣播該公鑰，在用戶 A 發(fā)現(xiàn)這種假 冒并通知其他各方之前，該假冒者可以讀取所有本應(yīng)發(fā)送給 A 的加密后的消息，并且可以用偽造的密鑰進(jìn)行認(rèn)證。 公開(kāi)可訪問(wèn)的目錄 維護(hù)一個(gè)動(dòng)態(tài)可訪問(wèn)的公鑰目錄可以獲得更大程度的安全性。某可信的實(shí)體或組織負(fù)責(zé)這個(gè)公開(kāi)目錄的維護(hù)和分配，這種方法包含下面幾方面的內(nèi)容： 1. 管理員通過(guò)對(duì)每一通信方建立一個(gè)目錄項(xiàng) |姓名，公鑰 |來(lái)維護(hù)該目錄。 2. 每一通信方通過(guò)目錄管理員來(lái)注冊(cè)一個(gè)公鑰。注冊(cè)必須親自或通過(guò)安全的認(rèn)證通信來(lái)進(jìn)行。 3. 通信方在任何時(shí)刻可以用新的密鑰替代當(dāng)前密鑰。這可能是因?yàn)楣€已用于大量的數(shù)據(jù)，因而用戶更希望更換公鑰，也可能是 因?yàn)橄鄳?yīng)的私鑰已經(jīng)泄密。 4. 通信方也可以訪問(wèn)電子目錄。為實(shí)現(xiàn)這一目標(biāo)，必須有從管理員到他的安全的認(rèn)證通信。 公鑰授權(quán) 通過(guò)更加嚴(yán)格地控制目錄中的公鑰分配，可使公鑰分配更加安全。圖 舉例說(shuō)明了一個(gè)典型的公鑰分配方案，它基于 [POPE79]中給出的圖示。想前面一樣，該方案中假定中心管理員負(fù)責(zé)維護(hù)通信各方公鑰的動(dòng)態(tài)目錄，除此之外，每一通信方可靠地知道該目錄管理員的公鑰，并且只有管理員知道相應(yīng)的私鑰。這種方案包含以下步驟（與圖 中的序號(hào)對(duì)應(yīng)）： 1. A 發(fā)送一條帶有時(shí)間戳的消息給公鑰管理員，以請(qǐng)求 B的當(dāng)前公鑰。 2. 管理員給 A 發(fā)送一條勇氣私鑰 PRauth加密的消息，這樣 A就可用管理員的工業(yè)對(duì)接收到得消息 ，因此 A可以確信該消息來(lái)自管理員。這條消息包括下列內(nèi)容： ? B 的公鑰 PUb。 A 可用它對(duì)要發(fā)送給 B的消息加密。 ? 原始請(qǐng)求。這樣 A 可以將該請(qǐng)求與其最初發(fā)出的請(qǐng)求進(jìn)行比較，以驗(yàn)證在管理員收到請(qǐng)求之前，其原始請(qǐng)求違背修改。 ? 原始時(shí)間戳。這樣 A 可以確定它收到的不是來(lái)自管理員的舊消息，該舊消息中包含的不是 B 的當(dāng)前公鑰。 3. A 保存 B的公鑰，并用它對(duì)包含 A 的標(biāo)識(shí)（ IDA）和臨時(shí)交互號(hào)（ N1）的消息加密，然后發(fā)送給 B。這里，臨時(shí)交互號(hào)是用 來(lái)惟一標(biāo)識(shí)本次交易的。 4. 與 A檢索 B 的公鑰一樣， B以同樣的方法從管理員處檢索出 A 的公鑰。 至此公鑰已被安全地傳遞給 A 和 B，他們之間的信息交換將受到保護(hù)。盡管如此，但是最好還包含下面兩步： 5. B 用 PUa 對(duì) A的臨時(shí)交互號(hào)（ N1）和 B所產(chǎn)生的新臨時(shí)交互號(hào)（ N2）加密，并發(fā)送給 A。因?yàn)橹挥?B 可以解密消息（ 3），所以消息（ 6）中的 N1 可以使 A確信其通信伙伴就是 B。 6. A 用 B 的公鑰對(duì) N2加密并發(fā)送給 B，以使 B 相信其通信伙伴是 A。 這樣 .總共需要發(fā)送七條消息。但是由于 A和 B 可保存另一方的公鑰以備將來(lái)使用 (這種 方法稱為暫存 ).所以并不會(huì)頻繁地發(fā)送前面 4 條消息 .不過(guò)為了保證通信中使用的是當(dāng)前公 鑰，用戶應(yīng)定期地申請(qǐng)對(duì)方的當(dāng)前公鑰。 公鑰證書 圖 的方案雖然不錯(cuò)，但它還是有缺陷。因?yàn)橹灰脩襞c其他用戶通信 .就必須向目 錄管理員申請(qǐng)對(duì)方的公鑰，因此公鑰管理員就會(huì)成為系統(tǒng)的瓶頸。像前面一樣，管理員所維護(hù)的，含有姓名和公鑰的目錄也容易被篡改。 最早由 Kohnfelder 提出了使用證書的方法 [KOHN78]。通信各方使用證書來(lái)交換密鑰而不是通過(guò)公鑰管理員。在某種意義上，這種方案與直接從公鑰管理員處獲得密鑰的可靠性相同。 證書包含公鑰和其他一些信息，它由證書管理員嚴(yán)生，井發(fā)給擁有相應(yīng)私鑰的通信方。通信一方通過(guò)傳遞證書將密鑰信息傳遞給另一方，其他通信各方可以驗(yàn)證該證書確實(shí)是由證書管理者產(chǎn)生的。這種方法應(yīng)滿足下列要求 : 1. 任何通信方可以讀取證書并確定證書擁有者的姓名和公鑰。 2. 任何通信方可以驗(yàn)證該證書出自證書管理員，而不是偽造的。 3. 只有證書管理員才可以產(chǎn)生并更新證書。 [KOHN78]中最初提出的方法能滿足上述條件。后來(lái) Denning[ DENN83」又增加了下列要求 : 4．任何通信方可以驗(yàn)證證書的當(dāng)前性。 圖 舉例說(shuō)明了證書方法。每一通信方向證書管理員提供一個(gè)公鑰并提出申請(qǐng)證書 請(qǐng)求。申請(qǐng)必須由當(dāng)事人親自或通過(guò)某種安全的認(rèn)證通信提出。對(duì)于申請(qǐng)者 A，管理員提供如下形式的證書 : CA=EPRauth[T,IDA,PUa] 其中 PRauth 是證書管理員的私鑰。 A 將該證書發(fā)送給其他通信各方，他們讀取并如下驗(yàn)證證書 : DPUauth[CA]=DPUauth[EPRauth[T,IDA,PUa]]= (T,IDA,PUa) 接收方用管理員的公鑰 PRauth,對(duì)證書解密。因?yàn)橹挥霉芾韱T的公鑰即可讀取證書，因此接收方可 驗(yàn)證證書確實(shí)是出自證書管理員； IDA和 PUa幾向接收方提供證書擁有者的姓名和公 鑰；時(shí)間戳 T 用來(lái)驗(yàn)證證書的當(dāng)前性。時(shí)間戳可以在攻擊者已知 A的私鑰的情況下抗攻擊。 假設(shè) A 產(chǎn)生新的公 /私鑰對(duì)并向證書管理員申請(qǐng)新的證書；同時(shí)，攻擊者重放 A的舊證書給 B，若 B用偽冒的舊公鑰加密消息，則攻擊者可讀取消息。 在這種情形下，私鑰的泄密就如同信用卡丟失一樣，卡的持有者會(huì)注銷信用卡號(hào)，但只有在所有可能的通信方均已知舊信用卡已過(guò)時(shí)的時(shí)候，才能保證卡的持有者的安全。因此，時(shí)間戳有些像截止日期。若一個(gè)證書太舊，則認(rèn)為證書已失效。 利用公鑰密碼分配傳統(tǒng)密碼體制的密鑰 如果已分配了公鑰或者公鑰是可訪問(wèn)的 .那么我們就可以進(jìn)行安全的通信 .這種通信可以抗竊聽(tīng) (見(jiàn)圖 ) 、篡改 (見(jiàn)圖 )?；蛘咄瑫r(shí)抗竊聽(tīng)和篡改攻擊。但是由于公鑰密碼速度較慢，幾乎沒(méi)有用戶愿意在通信中完全使用公鑰密碼，因此公鑰密碼更適合作為傳統(tǒng)密碼中實(shí)現(xiàn)秘密鑰分配的一種手段 簡(jiǎn)單的秘密鑰分配 Merkle 提出了一種極其簡(jiǎn)單的方法 [MERK79].如圖 所示。若 A 要與 B通信，則執(zhí)行下列操作： 1. A 產(chǎn)生公 /私鑰對(duì) [PUa,PRa]，并將含有 PUa 和其標(biāo)識(shí) IDA。的消息發(fā)送給B。 2. B 產(chǎn)生秘密鑰 KA，并用 A 的公鑰對(duì) KA,加密后發(fā)送給 A。 3． A 計(jì)算 DPRa[EPUa[KA]]得出秘密鑰 KA。因?yàn)橹挥?A能解密該消息，所以只有A和 B知道 KA。 4. A 放棄 PUa和 PRa， B 放棄 PUa。 這樣 ,A和 B就可利用傳統(tǒng)密碼和會(huì)話密鑰 KA安全地通信。密鑰交換完成后，A和 B均 放棄 KA。上述協(xié)議盡管簡(jiǎn)單，但卻很誘人。由于在通信前和通信完成后都沒(méi)有密鑰存在。所 以密鑰泄密的可能性最小，同時(shí)這種通信還可抗抗竊聽(tīng)攻擊。 不過(guò)該協(xié)議容易受主動(dòng)攻擊。如果攻擊者 E能夠控制通信信道。那 么他可用下列方式對(duì) 通信造成危害但又不被發(fā)現(xiàn) : 1. A 產(chǎn)生公 /私鑰對(duì) [PUa,PRa]，并將含有 PUa和其標(biāo)識(shí) IDA的消息發(fā)送給 B。 2. E 截獲該消息，產(chǎn)生其公 /私鑰對(duì) [PUa,PRa],并將 PUa||IDA發(fā)送給 B。 3. E 產(chǎn)生秘密鑰 KA，井發(fā)送 EPUa[KA]。 4. E 截獲該消息，井通過(guò)計(jì)算 DPRa[EPUa[KA]]得出 KA。 5. E 發(fā)送 EPUa[KA]給 A。 結(jié)果是 A 和 B 均已知 KA，但他們不知道 E 也己知道 KA。 A 和 B 用 KA來(lái)交換消息； E不 再主動(dòng)干擾通信信道而只需竊聽(tīng)即可。由于 E也已知 KA，所以 E可解密任何消息 .但是 A和 B卻毫無(wú)察覺(jué)，因此上述簡(jiǎn)單協(xié)議只能用于僅有竊聽(tīng)攻擊的環(huán)境中。 其有保密性和棄實(shí)性的密鑰分配 圖 中給出的方法建立在 [NEED78]中提出的一種方法之上，它既可抗主動(dòng)攻擊又可 抗被動(dòng)攻擊。假定 A和 B已通過(guò)本節(jié)前面所講到的某種方法交換了公鑰，并執(zhí)行下列操作： 1. A 用 B 的公鑰對(duì)含有其標(biāo)識(shí) IDA和臨時(shí)交互號(hào) (N1)的消息加密，并發(fā)送給B。其中 N1 用來(lái)惟一標(biāo)識(shí)本次交易。 2. B 發(fā)送一條用 PUa 加密的消息，該消息包含 A的臨時(shí)交互號(hào) (N1)和 B產(chǎn)生的新臨時(shí)交互號(hào)（ N2）。因?yàn)橹挥?B可以解 密消息 (1)，所以消息 (2)中的N1 可使 A確信其通信伙伴是 B。 3. A 用 B 的公鑰對(duì) N2加密，并返回給 B，這樣可使 B確信其通信伙伴是 A。 4. A 選擇密鑰 KA，并將 M =EPRa[EPUa[KA]社氣〔戈 ]」發(fā)送給 B。使用 B的公鑰對(duì)消息加密可以保證只有 B 才能對(duì)它解密；使用 A 的私鑰加密可以保證只有 A 才能發(fā)送該消息。 5. B 計(jì)算 DPRa[DPUa[M]]得到密鑰。 請(qǐng)注意，本方法的前三步與圖 中的后三步相同，但是它們?cè)趥鹘y(tǒng)密碼體制密鑰交換過(guò)程中，既可保證保密性又可保證真實(shí)性。 混合方法 混合方法也是利用公鑰密碼來(lái)進(jìn)行密鑰 分配，在 IBM 計(jì)算機(jī)上曾使用了這種方法 [LE93]。這種方法也需要密鑰分配中心 (KDC)，該 KDC 與每一用戶共享一個(gè)秘密的主密鑰，通過(guò)用該主密鑰加密來(lái)實(shí)現(xiàn)秘密的會(huì)話密鑰的分配。公鑰方法在這里只用來(lái)分配主密鑰。使 用這種三層結(jié)構(gòu)方法的依據(jù)如下 : ? 性能：許多應(yīng)用，特別是面向交易的應(yīng)用，需要頻繁地交換會(huì)話密鑰。因?yàn)楣€加密和解密計(jì)算量大，所以若用公鑰密碼進(jìn)行會(huì)話密鑰的