基于RSA體制的分布式秘鑰托管方案研究

毛志芹,程元元

(華北水利水電大學 信息工程系,河南 鄭州 450011)

基于RSA體制的分布式秘鑰托管方案研究

毛志芹,程元元

(華北水利水電大學 信息工程系,河南 鄭州 450011)

基于RSA密碼體制對秘鑰托管方案進行了進一步的研究和優化實現——多素數RSA密碼體制。該優化方案滿足了對用戶秘鑰安全管理與司法部門調查取證之間的協調,有效的解決了“一次監聽,永久監聽”問題,而且每個托管代理能夠驗證他所托管的子密鑰的有效性,實現分布式托管的優化,規避了“閾下攻擊”和托管部門權力濫用等問題。

秘鑰托管;多素數RSA體制;分布式托管;監聽

近年,計算機密碼學不斷進展,人們在使用密碼算法獲得保密消息方面有了可靠的保證,但同時,這也給犯罪提供了條件。如何在用戶隱私權和法律授權下的政府機構監聽權之間尋找出一種折中方法是近年來密碼學界研究的熱點課題之一。一方面,為了保護用戶的隱私權,密碼強度不應減弱;另一方面,為了打擊犯罪分子的非法活動,法律授權下的政府機構監聽權也應得到保證。

美國政府1993年頒布了EES(Escrow Encryption Standard)[1]體現了對密鑰實行法定托管代理的新思路。1995年Shamir[2]提出了部分密鑰托管思想,Lenstra等[3]提出時間約束下的托管加密方案,Micali[4-5]提出了公正密鑰托管方案和共享偽隨機函數密鑰托管方案等。但這些方案由于秘鑰產生機構和秘鑰托管機構獨立和單一,都沒有很好地解決個權力濫用和“閾下攻擊”問題。

為了防止托管機構濫用權力,人們開始將門限密碼體制應用于私鑰托管,進而提出了門限密鑰托管思想。但這些利用門限方案得到的托管方案[6-8]存在很多缺點,一方面,不能及時準確地得知不能正常工作或不愿合作的托管代理,導致密鑰恢復時判斷重構的密鑰是否正確需要試湊解密,影響實時性;另一方面,防止托管機構非法合作恢復密鑰而必須保證各個托管機構相互獨立,這樣很難驗證各托管代理保存的子密鑰的正確性,而使用戶有可能逃避托管,都沒有很好地解決“一次監聽,永久監聽”問題。

鑒于秘鑰拖管方面的研究,莊涌提出的基于RSA密碼體制的可驗證部分秘鑰托管方案[9],密鑰在產生過程中,每個托管機構分別托管N的分解因子p和q的部分信息(piqi),然后通過用戶的通信加密公鑰ke加密后傳輸到用戶端以便用戶計算私鑰d。該過程是其托管方案的瓶頸,因而無法應用于實際,因此本文改進了該算法,把(piqi)改成N的分解因子p1、p2、p3…。

1 優化的分布式秘鑰托管方案

1.1 系統描述

在本文討論的秘鑰托管方案中,采用改進的多素數RSA算法,整個方案大致分為4個步驟:(1)t個密鑰托管機構分別產生公鑰N的素數分解因子p1、p2、…、Pt,驗證是否為不同的素數,并將這些分解因子經過Tb、CAb的傳輸到用戶端。(2)用戶端自己合成公鑰N=p1,p2,p3,…pi和私鑰d,并把公鑰(e,N)傳輸到Tb端和CAb端。(3)Tb端T1、T2、…、Tt一起驗證用戶傳過來的公鑰N是否由各托管機構共同生成,然后驗證結果發送給CAb端。(4)CAb端為用戶制作加密公鑰證書。

具體托管方案原理如圖1所示。

圖1 分布式密鑰托管方案原理圖

1.2 方案分析

1.2.1 算法正確性分析

方案中,托管機構托管公鑰N的素數分解因子p1,p2,…,pt,公鑰(e,N)中,e由系統指定,N是用戶收到p1,p2,…,pt后自己計算的。所以在e,N,N的分解因子確定的情況下,求解同余方程

eN≡1(modφ(N))

(1)

由于gcd(e,φ(N))=1根據一次同余方程的有關定理,知其解為

(e,φ(N))=1

(2)

即存在唯一私鑰d。

這樣對于明文m∈ZN,應用歐拉定理有

D(E(m))=D(c)=cd(modN)≡med(modN)≡mkφ(N)+1(modN)≡m(modN)

(3)

同理可證E(D(m))=m,因此E(D(m)=D(E(m))=m,這說明無論用于加密還是數字簽名,該方案都遵循多素數RSA加密體制的原理,因此都是正確的。

1.2.2 公鑰的可驗證性分析

為防止“閾下攻擊”用戶惡意修改N值,需要驗證用戶傳輸過來的(e,N)是否是按秘鑰托管機構要求產生的。對于N的正確性,可以通過下面的定理證明。

證明 假設各密鑰托管機構托管的安全素數是p1、p2、…、pt,則需證明用戶傳輸過來的N′是否等于各密鑰托管機構想產生的N=p1,p2,p3,…,pt。

1.2.3 安全性分析

此方案依據的仍是標準RSA體制數學難題,并沒有引入其他問題,沒有擴大RSA密碼體制的安全性基礎。

首先,素數p1,p2,…,pt的產生和存儲階段,都經過了加密機的秘鑰加密,因此產生和存儲階段是安全的。其次,傳輸階段,傳輸前要用用戶的通信加密秘鑰的公鑰進行加密,然后傳輸給用戶,根據共鑰密碼學的相關知識,只有用戶通過私鑰才能解密,因此,傳輸安全。第三,私鑰的安全性,當用戶收到加密后的p1,p2,…,pt時,公鑰的計算N=p1,p2,p3,…,pt和求解同余方程e d≡1(modφ(N))的過程都是用戶在客戶端單獨計算的,因此私鑰d的計算過程安全。第四,在多素數RSA密碼體制下,各密鑰托管機構Ti只擁有pi的信息,而無法獲得N的完全分解信息。進而解決了托管機構權利濫用問題,這可以通過定理2得到證明。

定理2 如果IF問題是困難的,則無法獲得N的完全分解信息。

最后,每個密鑰托管機構Ti維護著素數備用數據庫和素數正用數據庫、素數歸檔數據庫,分別管理未使用、正在使用的和已經使用過的公鑰N的素因子pi,(i=1,2,…,t)的信息。如果想恢復用戶的私鑰d,至少需要t-1個密鑰托管機構聯合計算N。同時,一次司法監聽之后素數數據庫就會更新一次,有效預防了“一次監聽,永久監聽”的問題,使用戶通信的安全性得到保障。

2 結束語

綜上,分布式密鑰托管方案基于多素數RSA密碼體制,其托管對象不再是用戶的私鑰d,而是與計算用戶私鑰d直接相關的模N的安全素數分解因子pi。方案把目前獨立的密鑰托管機構聯合起來,實現聯合托管;托管機構和用戶共同產生用戶密鑰,從而防止了用戶的“閾下攻擊”,托管過程中;用戶不會向托管機構泄漏未托管的部分私鑰的任何信息,從而避免了“早期恢復”問題;具有一定的門限能力,即對于由個密鑰托管機構共同生成用戶的公鑰N,只有t-1個托管機構的聯合才能恢復出用戶的私鑰來;監聽過程中沒有泄露加密會話密鑰的密鑰和托管代理所托管的子密鑰的任何信息,監聽機構只能獲得用戶某一次通信的會話密鑰。

當然在密鑰托管等方面,相比國外,國內的理論研究水平還是有一定的差距,有很多新概念和新技術是由國外的專家研究率先提出的,后來國內的學者也針對這些技術提出了新的改進。雖然在理論研究方面基本能夠跟上國際水平的腳步,但對于信息安全技術來說,在技術和產品實現方面還要依賴其它的技術,如集成電路等技術的進步。

[1] Denning D E,Sm Id M.Key escrow ing today[J].IEEE Communications Magazine,1994,32(9):58-68.

[2] Shamir A.Partial key escrow:A new approach to software key escrow[M].Washington:Proceeding of Key Escrow Conference,1995.

[3] Len Stra A K,Winkler P,Yacobi Y.A key escrow system with W arrant bound[C].In:ProcCrypto’95,1995:197-207.

[4] Micali S.Fair cryptosystems[M].Cambridge,Massachusetts:Massachusetts Institute of Technology,1994.

[5] Micali S,Ney R.A simple method for generating and sharing pseudo-random functions with application to clipper-like key escrow system[C].In:ProcCrypto’95,1995:184-196.

[6] 楊波,馬文平,王育民.一種新的密鑰分割門限方案及密鑰托管體制[J].電子學報,1998,26(10):1-3.

[7] Nechvatal J.A public-key-based key escrow system[J].Journal of Systems Software,1996,35(1):73-83.

[8] Denning D E,Branstad D K.A taxonomy of key escrow encryption systems[J].Communications of the ACM,1996,39(3):34-40

[9] 莊涌.PKI中的可驗證部分密鑰托管[J].計算機學報,2006,29(9):1584-155.

Research on the Distributed Key Escrow Scheme Based on RSA

MAO Zhiqin,CHENG Yuanyuan

(Department of Information Engineering,North China University of Water Resources and Electric Power,Zhengzhou 450011,China)

Based on RSA cryptography system,this paper carries out a further research on and optimization of the secret key escrow scheme,called Multi-prime RSA Cryptosystem.This optimization scheme satisfies the coordination between the user secret key security management and the judicial department’s investigation and evidence collection,effectively solving the problem of “once monitoring,permanent monitoring”.And each escrow agent can verify the validity of the sub-key it manages to realize the optimization of distributed hosting,and avoid such troubles as “subliminal channel attack” and abuse of power by the hosting department.

secret key escrow;multi-prime RSA cryptosystem

2014- 07- 23

毛志芹(1986—),女,碩士研究生。研究方向:密碼學信息安全。E-mali:523339560@qq.com。程元元(1987—),女,碩士研究生。研究方向:代理簽名。

10.16180/j.cnki.issn1007-7820.2015.04.042

TP309

A

1007-7820(2015)04-158-03