现代密码学第9章密码协议.ppt

第9章 密码协议 主要内容 9. 1 密钥分配与密钥协商 9. 1. 1 密钥分配 9. 1. 2 密钥协商 9. 2 秘密分享 9. 2. 1 Shamir 的(t，w) 门限方案 9. 2. 2 (t，w) 门限方案中的密钥重建 9. 2. 3 利用Lagrange 插值公式重建(t，w) 门限方案中的密钥 9. 3 身份识别 9. 4 零知识证明 * 密钥分配与密钥协商 秘密分享. 身份识别 零知识证明 密钥分配 密钥协商 Kerboros 密钥分配协议是一种在线式密钥分配协议(on-line key distributionprotocol)。所谓在线(on-line) 指的是, 当两个用户U 和V 想要进行保密通信时, 就根据协议产生一个新的密钥, 而不是事先确定一个密钥。 Kerboros 密钥分配协议中消息的传送 Di±e-Hellman 密钥交换协议是一个典型的密钥协商协议 ，描述如下： 设p 是一个大素数, α ∈Zp 是一个本原元. p 和α 公开 ① 用户U 随机选取aU，1 ≤ aU≤p ? 2 ② 用户U 计算 并将结果传送给用户V ③ 用户V 随机选取aV，1≤aV≤p ? 2 ④用户V 计算 并将结果传送给用户U ⑤用户U 计算 用户V 计算 Di±e-Hellman 密钥交换协议容易受到主动的对手的中间入侵攻击假设W 是一个主动的对手，其中间入侵攻击如上图所示 Shamir 的(t，w) 门限方案 (t;w) 门限方案中的密钥重建 利用Lagrange 插值公式重建(t;w) 门限方案中的密钥 主要内容 定义9.1 设t 和w 为正整数，t ≤ w。一个(t;w) 门限方案是一种在w 个参与者中分享一个密钥k 的方法, 使得任意t 个参与者在给出他们的秘密份额后可以恢复密钥k, 而任意t -1 个参与者在给出他们的秘密份额后不能恢复密钥k。 设p 是一个素数, p w + 1。 Shamir 的(t，w) 门限方案描述如下： ① D 从Zp 中选取w 个不同的非零元 D 将 分配给参与者 可以公开。 ② 如果D 要让参与者 分享一个密钥 , 则D 秘密地随机选取t -1 个元素 ③ 对 D 计算 其中 ④ D 将 秘密地分配给 可以写成矩阵的形式为 设系数矩阵为A。显然, A 是一个Vandermonde 矩阵，系数 矩阵A 的行列式为 因为 互不相同, 所以 线性方程组有唯一解，这说明任意t 个参与者能够重建密钥k。 而任t - 1 个参与者得不到密钥k的任何信息 过点 可以唯一地确定一个次数至多为t-1 的多项式。 根据Lagrange 插值公式 容易验证 因为密钥k = a(0), 所以 令 则 Guillou-Quisquater协议 知道咒语的人才能打开门 ① V 停留在位置A; ② P 从位置A 走到位置B, 然后随机选择从左通道走到位置C 或从右通道走到位置D; ③ P 消失后, V 走到位置B; ④ V 命令P 从位置C 经左通道或从位置D 经右通道返回位置B; ⑤ P 服从V 的命令, 必要时P 可以利用咒语打开位置C 和位置D 之间的门; ⑥ P 和V 重复执行第1 步至第5 步n 次. P 向V 证明自己知道咒语的协议 *