【導(dǎo)讀】附件：；Publicannouncement. Public-keyauthority. mailinglists.Figure).participant.munication.someway.mandatory.

　　

【正文】 ical operation. (A1) Closure: If a and b belong to G, then a ? b is also in G. (A2) Associative: a ? (b ? c) = (a ? b) ? c for all a, b, c in G. (A3) Identity element: There is an element e in G such that a ? e = e ? a = a for all a in G. (A4) Inverse element:For each a in G there is an element a39。 in G such that a ? a39。 = a39。 ? a = e. (A5) Commutative: a ? b = b ? a for all a, b in G. A number of publickey ciphers are based on the use of an abelian group. For example, DiffieHellman key exchange involves multiplying pairs of nonzero integers modulo a prime number q. Keys are generated by exponentiation over the group, with exponentiation defined as repeated multiplication. For elliptic curve cryptography, an operation over elliptic curves, called addition, is used. Multiplication is defined by repeated addition. An elliptic curve is defined by an equation in two variables, with coefficients. For cryptography, the variables and coefficients are restricted to elements in a finite field, which results in the definition of a finite abelian group. Before looking at this, we first look at elliptic curves in which the variables and coefficients are real numbers. This case is perhaps easier to visualize. 外文資料翻譯 —— 譯文 密鑰管理 在第 7 章中，我們層討論了傳統(tǒng)密碼體制的密鑰分配問題。公鑰密碼的主要作用之一就是解決密鑰分配問題，在這方面，公鑰密碼實際上可用于下列兩個不同的方面： ? 公鑰的分配 ? 公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配 接下來，我們就來討論這兩方面的內(nèi)容。 公鑰的分配 人們已經(jīng)提出了幾種公鑰分配方法，所有這些方法本質(zhì)上可歸結(jié)為下列幾種方法： ? 公開發(fā)布 ? 公開課訪問目錄 ? 公鑰授權(quán) ? 公鑰證書 公鑰的公開發(fā)布 表面上看，公鑰密碼的特點就是公鑰可以公開，因此如果有像 RSA 這樣為人們廣泛 接收的公鑰算法，那么任一通信方可以將他的公鑰發(fā)送給另一通信方或廣播給通信各方。例如，越來越為人們廣泛使用的 PGP（ pretty good privacy，該方法將在第 15章討論）中使用了 RSA 算法，所以許多 PGP 用戶在給諸如 USENET新聞組和 Inter 郵件列表這樣的一些公開論壇發(fā)送消息時，都將其公鑰附加在要發(fā)送的消息之后。 雖然這種方法比較簡便，但它有一個較大的缺點，即任何人都可以偽造這種公鑰的公開發(fā)布。也就是說，某個用戶可以假冒是用戶 A并將一個公鑰發(fā)送給通信的另一方或廣播該公鑰，在用戶 A 發(fā)現(xiàn)這種假 冒并通知其他各方之前，該假冒者可以讀取所有本應(yīng)發(fā)送給 A 的加密后的消息，并且可以用偽造的密鑰進(jìn)行認(rèn)證。 公開可訪問的目錄 維護(hù)一個動態(tài)可訪問的公鑰目錄可以獲得更大程度的安全性。某可信的實體或組織負(fù)責(zé)這個公開目錄的維護(hù)和分配，這種方法包含下面幾方面的內(nèi)容： 1. 管理員通過對每一通信方建立一個目錄項 |姓名，公鑰 |來維護(hù)該目錄。 2. 每一通信方通過目錄管理員來注冊一個公鑰。注冊必須親自或通過安全的認(rèn)證通信來進(jìn)行。 3. 通信方在任何時刻可以用新的密鑰替代當(dāng)前密鑰。這可能是因為公鑰已用于大量的數(shù)據(jù)，因而用戶更希望更換公鑰，也可能是 因為相應(yīng)的私鑰已經(jīng)泄密。 4. 通信方也可以訪問電子目錄。為實現(xiàn)這一目標(biāo)，必須有從管理員到他的安全的認(rèn)證通信。 公鑰授權(quán) 通過更加嚴(yán)格地控制目錄中的公鑰分配，可使公鑰分配更加安全。圖 舉例說明了一個典型的公鑰分配方案，它基于 [POPE79]中給出的圖示。想前面一樣，該方案中假定中心管理員負(fù)責(zé)維護(hù)通信各方公鑰的動態(tài)目錄，除此之外，每一通信方可靠地知道該目錄管理員的公鑰，并且只有管理員知道相應(yīng)的私鑰。這種方案包含以下步驟（與圖 中的序號對應(yīng)）： 1. A 發(fā)送一條帶有時間戳的消息給公鑰管理員，以請求 B的當(dāng)前公鑰。 2. 管理員給 A 發(fā)送一條勇氣私鑰 PRauth加密的消息，這樣 A就可用管理員的工業(yè)對接收到得消息 ，因此 A可以確信該消息來自管理員。這條消息包括下列內(nèi)容： ? B 的公鑰 PUb。 A 可用它對要發(fā)送給 B的消息加密。 ? 原始請求。這樣 A 可以將該請求與其最初發(fā)出的請求進(jìn)行比較，以驗證在管理員收到請求之前，其原始請求違背修改。 ? 原始時間戳。這樣 A 可以確定它收到的不是來自管理員的舊消息，該舊消息中包含的不是 B 的當(dāng)前公鑰。 3. A 保存 B的公鑰，并用它對包含 A 的標(biāo)識（ IDA）和臨時交互號（ N1）的消息加密，然后發(fā)送給 B。這里，臨時交互號是用 來惟一標(biāo)識本次交易的。 4. 與 A檢索 B 的公鑰一樣， B以同樣的方法從管理員處檢索出 A 的公鑰。 至此公鑰已被安全地傳遞給 A 和 B，他們之間的信息交換將受到保護(hù)。盡管如此，但是最好還包含下面兩步： 5. B 用 PUa 對 A的臨時交互號（ N1）和 B所產(chǎn)生的新臨時交互號（ N2）加密，并發(fā)送給 A。因為只有 B 可以解密消息（ 3），所以消息（ 6）中的 N1 可以使 A確信其通信伙伴就是 B。 6. A 用 B 的公鑰對 N2加密并發(fā)送給 B，以使 B 相信其通信伙伴是 A。 這樣 .總共需要發(fā)送七條消息。但是由于 A和 B 可保存另一方的公鑰以備將來使用 (這種 方法稱為暫存 ).所以并不會頻繁地發(fā)送前面 4 條消息 .不過為了保證通信中使用的是當(dāng)前公 鑰，用戶應(yīng)定期地申請對方的當(dāng)前公鑰。 公鑰證書 圖 的方案雖然不錯，但它還是有缺陷。因為只要用戶與其他用戶通信 .就必須向目 錄管理員申請對方的公鑰，因此公鑰管理員就會成為系統(tǒng)的瓶頸。像前面一樣，管理員所維護(hù)的，含有姓名和公鑰的目錄也容易被篡改。 最早由 Kohnfelder 提出了使用證書的方法 [KOHN78]。通信各方使用證書來交換密鑰而不是通過公鑰管理員。在某種意義上，這種方案與直接從公鑰管理員處獲得密鑰的可靠性相同。 證書包含公鑰和其他一些信息，它由證書管理員嚴(yán)生，井發(fā)給擁有相應(yīng)私鑰的通信方。通信一方通過傳遞證書將密鑰信息傳遞給另一方，其他通信各方可以驗證該證書確實是由證書管理者產(chǎn)生的。這種方法應(yīng)滿足下列要求 : 1. 任何通信方可以讀取證書并確定證書擁有者的姓名和公鑰。 2. 任何通信方可以驗證該證書出自證書管理員，而不是偽造的。 3. 只有證書管理員才可以產(chǎn)生并更新證書。 [KOHN78]中最初提出的方法能滿足上述條件。后來 Denning[ DENN83」又增加了下列要求 : 4．任何通信方可以驗證證書的當(dāng)前性。 圖 舉例說明了證書方法。每一通信方向證書管理員提供一個公鑰并提出申請證書 請求。申請必須由當(dāng)事人親自或通過某種安全的認(rèn)證通信提出。對于申請者 A，管理員提供如下形式的證書 : CA=EPRauth[T,IDA,PUa] 其中 PRauth 是證書管理員的私鑰。 A 將該證書發(fā)送給其他通信各方，他們讀取并如下驗證證書 : DPUauth[CA]=DPUauth[EPRauth[T,IDA,PUa]]= (T,IDA,PUa) 接收方用管理員的公鑰 PRauth,對證書解密。因為只用管理員的公鑰即可讀取證書，因此接收方可 驗證證書確實是出自證書管理員； IDA和 PUa幾向接收方提供證書擁有者的姓名和公 鑰；時間戳 T 用來驗證證書的當(dāng)前性。時間戳可以在攻擊者已知 A的私鑰的情況下抗攻擊。 假設(shè) A 產(chǎn)生新的公 /私鑰對并向證書管理員申請新的證書；同時，攻擊者重放 A的舊證書給 B，若 B用偽冒的舊公鑰加密消息，則攻擊者可讀取消息。 在這種情形下，私鑰的泄密就如同信用卡丟失一樣，卡的持有者會注銷信用卡號，但只有在所有可能的通信方均已知舊信用卡已過時的時候，才能保證卡的持有者的安全。因此，時間戳有些像截止日期。若一個證書太舊，則認(rèn)為證書已失效。 利用公鑰密碼分配傳統(tǒng)密碼體制的密鑰 如果已分配了公鑰或者公鑰是可訪問的 .那么我們就可以進(jìn)行安全的通信 .這種通信可以抗竊聽 (見圖 ) 、篡改 (見圖 )?；蛘咄瑫r抗竊聽和篡改攻擊。但是由于公鑰密碼速度較慢，幾乎沒有用戶愿意在通信中完全使用公鑰密碼，因此公鑰密碼更適合作為傳統(tǒng)密碼中實現(xiàn)秘密鑰分配的一種手段 簡單的秘密鑰分配 Merkle 提出了一種極其簡單的方法 [MERK79].如圖 所示。若 A 要與 B通信，則執(zhí)行下列操作： 1. A 產(chǎn)生公 /私鑰對 [PUa,PRa]，并將含有 PUa 和其標(biāo)識 IDA。的消息發(fā)送給B。 2. B 產(chǎn)生秘密鑰 KA，并用 A 的公鑰對 KA,加密后發(fā)送給 A。 3． A 計算 DPRa[EPUa[KA]]得出秘密鑰 KA。因為只有 A能解密該消息，所以只有A和 B知道 KA。 4. A 放棄 PUa和 PRa， B 放棄 PUa。 這樣 ,A和 B就可利用傳統(tǒng)密碼和會話密鑰 KA安全地通信。密鑰交換完成后，A和 B均 放棄 KA。上述協(xié)議盡管簡單，但卻很誘人。由于在通信前和通信完成后都沒有密鑰存在。所 以密鑰泄密的可能性最小，同時這種通信還可抗抗竊聽攻擊。 不過該協(xié)議容易受主動攻擊。如果攻擊者 E能夠控制通信信道。那 么他可用下列方式對 通信造成危害但又不被發(fā)現(xiàn) : 1. A 產(chǎn)生公 /私鑰對 [PUa,PRa]，并將含有 PUa和其標(biāo)識 IDA的消息發(fā)送給 B。 2. E 截獲該消息，產(chǎn)生其公 /私鑰對 [PUa,PRa],并將 PUa||IDA發(fā)送給 B。 3. E 產(chǎn)生秘密鑰 KA，井發(fā)送 EPUa[KA]。 4. E 截獲該消息，井通過計算 DPRa[EPUa[KA]]得出 KA。 5. E 發(fā)送 EPUa[KA]給 A。 結(jié)果是 A 和 B 均已知 KA，但他們不知道 E 也己知道 KA。 A 和 B 用 KA來交換消息； E不 再主動干擾通信信道而只需竊聽即可。由于 E也已知 KA，所以 E可解密任何消息 .但是 A和 B卻毫無察覺，因此上述簡單協(xié)議只能用于僅有竊聽攻擊的環(huán)境中。 其有保密性和棄實性的密鑰分配 圖 中給出的方法建立在 [NEED78]中提出的一種方法之上，它既可抗主動攻擊又可 抗被動攻擊。假定 A和 B已通過本節(jié)前面所講到的某種方法交換了公鑰，并執(zhí)行下列操作： 1. A 用 B 的公鑰對含有其標(biāo)識 IDA和臨時交互號 (N1)的消息加密，并發(fā)送給B。其中 N1 用來惟一標(biāo)識本次交易。 2. B 發(fā)送一條用 PUa 加密的消息，該消息包含 A的臨時交互號 (N1)和 B產(chǎn)生的新臨時交互號（ N2）。因為只有 B可以解 密消息 (1)，所以消息 (2)中的N1 可使 A確信其通信伙伴是 B。 3. A 用 B 的公鑰對 N2加密，并返回給 B，這樣可使 B確信其通信伙伴是 A。 4. A 選擇密鑰 KA，并將 M =EPRa[EPUa[KA]社氣〔戈 ]」發(fā)送給 B。使用 B的公鑰對消息加密可以保證只有 B 才能對它解密；使用 A 的私鑰加密可以保證只有 A 才能發(fā)送該消息。 5. B 計算 DPRa[DPUa[M]]得到密鑰。 請注意，本方法的前三步與圖 中的后三步相同，但是它們在傳統(tǒng)密碼體制密鑰交換過程中，既可保證保密性又可保證真實性。 混合方法 混合方法也是利用公鑰密碼來進(jìn)行密鑰 分配，在 IBM 計算機(jī)上曾使用了這種方法 [LE93]。這種方法也需要密鑰分配中心 (KDC)，該 KDC 與每一用戶共享一個秘密的主密鑰，通過用該主密鑰加密來實現(xiàn)秘密的會話密鑰的分配。公鑰方法在這里只用來分配主密鑰。使 用這種三層結(jié)構(gòu)方法的依據(jù)如下 : ? 性能：許多應(yīng)用，特別是面向交易的應(yīng)用，需要頻繁地交換會話密鑰。因為公鑰加密和解密計算量大，所以若用公鑰密碼進(jìn)行會話密鑰的