密码学：密钥管理

密钥管理是密码系统不可缺少的组成部分，也是密码系统中最重要、最困难的部分。出发点是在一种安全策略指导下的密钥产生、存储、分配、删除、归档和应用方案。

目的：维持系统各实体之间的密钥关系，抗击各种威胁：

内容：产生、登记、装入、存储和保护、分配和密钥协定、使用控制、备份恢复、更新、撤销和销毁。

密钥类型

密钥的层次关系可以用下面的公式表示：

$E_{K_m}(K_e) \quad \text{其中 } K_m \text{ 为密钥加密密钥，} K_e \text{ 为会话密钥}$

密钥产生不当会导致密钥空间的减小和字典式攻击。要尽可能随机等概率产生密钥。不同等级的密钥产生方式不同：

密钥登记：将密钥和特定使用者绑定。

密钥装入：主机主密钥和终端主密钥装入时要有电磁屏蔽，装入后不可再读出，可间接验证。会话密钥不存在装入问题。

最好放在物理安全的地方。否则要使用机密性和完整性服务来保护。公钥的存储方式有：一次性发放给用户；用户存放在公共媒体上；利用公钥建立密钥环分散保存。

一个是单成员确定，一个是协商确定。

主密钥的分配：将密钥切分成多部分，通过多种方式传输。

首先是著名的 Diffie-Hellman 密钥交换，可被中间人攻击。利用离散对数的复杂度保证密钥不被获取，通过原根和选定随机数进行密钥协定，但中间人可以截获并伪造双方密钥进行攻击。

$K = g^{x_u \cdot x_v} \mod p$

假设用户有签名/验证算法 sig/ver，可信中心的签名/验证为 sig_TA/ver_TA，用户有证书 (ID(u), ver_u, sig_TA(ID(u), ver_u))：

用户 U 随机选 $x_u \in \mathbb{Z}_p$ ，计算 $g^{x_u} \mod p$ 发给 V
用户 V 随机选 $x_v \in \mathbb{Z}_p$ ，计算 $g^{x_v} \mod p$ ， $S_v = \text{sig}_v(g^{x_u} \| g^{x_v})$ ，发送 $(C(V), g^{x_v}, S_v)$ 给 U；同时计算 $K = g^{x_u \cdot x_v}$
用户 U 计算 $K = g^{x_u \cdot x_v} \mod p$ ，用 ver_v 验证 $S_v$ ，用 ver_TA 验证 $C(V)$ ，计算 $S_u = \text{sig}_u(g^{x_u} \| g^{x_v})$ ，把 $(C(U), S_u)$ 发给 V
V 验证 ver_u(S_u) 和 ver_TA(C(U))

STS 协议在 Diffie-Hellman 基础上引入 TA 的证书校验机构，在交换密钥的同时补充身份认证，解决了中间人攻击。

引入了证书，但双方不进行签名。MIT 协议在用户丢失证书时可以进行中间人攻击。

目标：标识密钥的种类，使得密钥值和合法使用范围绑定。通常标识有：密钥拥有者、密钥标识符、有效时间、特定算法、特定使用环境和用户、密钥产生注册认证的实体、完整性检查。

目标：保证系统安全但不能开销太大。确定长度需要考虑：保存信息的价值、信息的保密时间、攻击者的资源情况。

本文从 CSDN 迁移并重写，原文链接。