搜索结果: GB/T 17901.3-2021, GB/T17901.3-2021, GBT 17901.3-2021, GBT17901.3-2021
| 标准编号 | GB/T 17901.3-2021 (GB/T17901.3-2021) | | 中文名称 | | | 英文名称 | Information technology - Security techniques - Key management - Part 3: Mechanisms using asymmetric techniques | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 字数估计 | 46,463 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 17901.3-2021
Information technology -- Security techniques -- Key management -- Part 3: Mechanisms using asymmetric techniques
ICS 35.040
L80
中华人民共和国国家标准
信息技术 安全技术 密钥管理
第3部分:采用非对称技术的机制
2021-03-09发布
2021-10-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 符号和缩略语 2
5 要求 3
6 密钥派生函数 4
7 余子式乘法 4
8 密钥承诺 4
9 密钥确认 5
10 密钥管理框架 6
10.1 概要 6
10.2 双方密钥协商 6
10.3 三方密钥协商 6
10.4 秘密密钥传送 7
10.5 公钥传送 7
11 密钥协商 7
11.1 密钥协商机制1 7
11.2 密钥协商机制2 8
11.3 密钥协商机制3 9
11.4 密钥协商机制4 10
11.5 密钥协商机制5 11
11.6 密钥协商机制6 11
11.7 密钥协商机制7 12
11.8 密钥协商机制8 14
11.9 密钥协商机制9 14
11.10 密钥协商机制10 15
11.11 密钥协商机制11 16
11.12 密钥协商机制12 16
12 密钥传递 17
12.1 密钥传递机制1 17
12.2 密钥传递机制2 18
12.3 密钥传递机制3 19
12.4 密钥传递机制4 20
12.5 密钥传递机制5 21
12.6 密钥传递机制6 23
13 公钥传递 24
13.1 公钥传递机制1 24
13.2 公钥传递机制2 25
13.3 公钥传递机制3 26
附录A(规范性附录) 对象标识符 27
附录B(资料性附录) 密钥建立机制特性 32
附录C(资料性附录) 密钥派生函数实例 34
附录D(资料性附录) 函数F、集合S1和S2实例 35
附录E(资料性附录) 基于椭圆曲线的密钥建立机制实例 36
附录F(资料性附录) 所采用国际标准涉及的专利信息 37
参考文献 41
信息技术 安全技术 密钥管理
第3部分:采用非对称技术的机制
1 范围
GB/T 17901的本部分定义了基于非对称密码技术的密钥管理机制的要求、密钥派生函数、余子式
乘法、密钥承诺、密钥确认、密钥管理框架、密钥协商、密钥传递、公钥传递。
本部分拟达到如下目的:
a) 通过密钥协商建立一个共享密钥,用于实体A和实体B间的对称加密。在密钥协商机制中,
密钥通过实体A和实体B交换的数据计算得到,任何实体一方不能预先确定共享密钥值。
b) 通过密钥传递建立一个共享密钥,用于实体A和实体B间的对称加密。在密钥传递机制中,
密钥由实体A选择,采用非对称密码保护技术,传给实体B。
c) 通过密钥传递将实体A的公钥传给其他实体。在公钥传递机制中,实体A的公钥经鉴别后传
给其他实体,但不需保密。
本部分定义的一些机制基于GB/T 15843.3-2016相对应的鉴别机制。
本部分不包含以下密钥管理内容:
a) 密钥生存期管理;
b) 产生或确定非对称密钥对的机制;
c) 密钥的存储、存档、删除等机制。
本部分适用于采用非对称技术实现密钥管理的系统的研制,也可指导该类系统的检测。
注:本部分定义的机制不涉及实体私钥的分发,由公钥签名系统对密钥交换消息进行签名进行操作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15843.3-2016 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制
GB/T 17901.1-2020 信息技术 安全技术 密钥管理 第1部分:框架
GB/T 25069 信息安全技术 术语
GB/T 32905 信息安全技术 SM3密码杂凑算法
GB/T 32918.1 信息安全技术 SM2椭圆曲线公钥密码算法 第1部分:总则
GB/T 32918.2 信息安全技术 SM2椭圆曲线公钥密码算法 第2部分:数字签名算法
GB/T 32918.3-2016 信息安全技术 SM2椭圆曲线公钥密码算法 第3部分:密钥交换协议
GB/T 32918.4 信息安全技术 SM2椭圆曲线公钥密码算法 第4部分:公钥加密算法
3 术语和定义
GB/T 17901.1-2020和GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性的公钥密码算法。
3.2
权标 token
由与特定的通信相关的数据字段构成的消息,包含使用密码技术进行变换后的信息。
3.3
密钥承诺 keycommitment
向对方确认己方公钥或者密钥权标的过程。
3.4
密钥确认 keyconfirmation
某实体确信另一个已识别的实体拥有正确的密钥的过程。
4 符号和缩略语
4.1 符号
下列符号适用于本文件。
A、B、C:实体A、B、C的区分标识。
BE:加密的数据块。
BS:带符号的数据块签名的数据块。
CertA:实体A的公钥证书。
DA():实体A的私有解密变换函数。
dA:实体A的私有解密密钥。
E:椭圆曲线,给定在域GF(pm)上的方程Y 2=X 3+aX+b,当p >3并且m 为正整数,给定在域
GF(2m)上方程Y 2+XY=X 3+aX 2+b,或者在域GF(3m)上的方程Y 2=X 3+aX 2+b,有一额外
的参考点OE称为无穷远点,分别记为E/GF(pm),E/GF(2m),或E/GF(3m)。
EA():实体A的公开加密变换函数。
eA:实体A的公开加密密钥。
F():密钥协商函数。
FP():基于对的密钥协商函数。
F(h,g):使用参数h和公共参数g作为输入的密钥协商函数。
G:以n为顺序E 上的点。
GF(pm)、GF(2m)、GF(3m):对素数p >3并且m 为正整数pm、2m、3m的有限域。
g:密钥协商函数F使用的所有实体共享的公共参数。
Hash():杂凑函数。
hA:实体A的私钥协商密钥。
j:用于余子式乘法中的余子式。
K:对称加密系统的密钥。
KT:密钥权标。
KTA:实体A的密钥权标。
KTAi:实体A处理第i次交互后发送的密钥权标。
KAB:在实体A与实体B间共享的密钥。
kdf():密钥派生函数。
l:余子式乘法采用的值。
M:数据消息。
MACK(Z):以密钥K 和随机数据串Z 作为输入的 MAC算法输出。
n:椭圆曲线E 在有限域中的序列的素因数。
OE:椭圆曲线的无限远点。
P:椭圆曲线E 上的点。
PX:实体A在椭圆曲线E 上的公开密钥协商密钥。
PKIA:实体A的公开密钥信息。
parameter:密钥派生数函数使用的参数。
pA、pB:实体A、B的公开密钥协商密钥。
q:素数p≠3且m≥1的素数幂pm。
r:随机生成数。
rA:实体A的密钥协商机制的随机数。
S1、S2、S3:元素集合。
SA:实体A的私有签名变换函数。
sA:实体A的私有签名密钥。
T:可信第三方。
TVP:随时间变化的参数,如一随机数、一时间戳,或一序列号。
Texti:包括在一数据块中第i个文本、数据或其他信息。
VA():实体A的公开验证变换函数。
vA:实体A的公开验证密钥。
w():单向函数。
X(P):点P 的x坐标。
Y(P):点P 的y坐标。
√q:一个正数q的平方根。
#E:椭圆曲线E 的顺序(或基数)。
‖:两数据元素连接。
x⌉:大于或等于实数x的最小整数。
∑:数字签名。
π(P):(X(P)mod2ρ/2⌉)+2ρ/2⌉,其中ρ= log2n⌉,X(P)为点P 的x坐标。
4.2 缩略语
下列缩略语适用于本文件。
5 要求
本部分要求所涉及的实体彼此知道其所声称的身份,这可通过两个实体间信息交换时所包含的标
识符来实现,或从该机制所使用的上下文明显看出。身份验证意味着检查一个收到的标识符与某个已
知的(可信的)或预期值是否相同。本部分所规范的机制的对象标识符见附录A。
如果一个公钥属于某实体,那么该实体应确保它拥有相应的私钥(密钥注册见GB/T 17901.1-2020)。
本部分中凡涉及采用密码技术解决机密性、完整性、真实性、不可否认性需求的应遵循密码相关国
家标准和行业标准。其中,涉及使用椭圆曲线签名验证、公钥加解密的算法按 GB/T 32918.2
和GB/T 32918.4。
6 密钥派生函数
对于对称密码系统,不推荐使用由第10章派生的共享秘密而不做任何的进一步处理。通过密钥派
生函数可导出共享密钥,建议使用一个单向函数作为密钥派生函数,譬如使用杂凑函数。
密钥派生函数产生的密钥与随机产生的密钥很难区分。但密钥派生函数需输入一个共享秘密和一
组密钥派生参数,并产生输出所需长度的密钥。
为了让参与同一个密钥建立机制的双方能够协商出共同的密钥,密钥派生函数应事先商定。达成
这一协定的方法超出了本部分的范围。
密钥派生函数实例参见附录C。
7 余子式乘法
本章只适用使用椭圆曲线密码算法的机制。第11章描述的密钥协商机制和第12章、第13章描述
的密钥传送机制都要求用户的私钥或者密钥权标和另一个实体的公钥或者密钥权标混合使用。在椭圆
曲线密码算法中,如果另一个实体的公钥或者密钥权标不是有效的(即它不是椭圆曲线上的一个点,或
者不在n阶子群中),那么该操作的执行可能会导致私钥中的某些位泄露给攻击者,例如,“小子群攻
击”。
有两种选择方法,可防止“小子群攻击”和类似的攻击:
一种方法是采用公钥鉴别法对从另一方接收到的公钥和密钥权标进行验证(见本部分的规定)。另
一种方法是采用余子式乘法对公钥进行验证,余子式乘法将在第11章中具体规范。下面定义的j和l
的值,将在余子式乘法中用到。
使用余子式乘法时有两种选择:
a) 如果不要求与未使用余子式相乘的实体兼容,则设j=#E/n和l=1。在这种情况下,要求参
与双方都应同意使用该选项,否则该机制不起作用。
b) 如果要求与未使用余子式相乘的实体兼容,则设j=#E/n和l=j-1modn。
注:由于要求n >4q,因此gcd(n,j)=1,所以j-1modn的值始终存在。
如果不需要用到余子式相乘,则j=l=1。
无论是否使用了余子式相乘法,如果共享密钥(或者共享密钥的一个组成部分)的计算结果为无穷
远点(OE),则用户认为密钥协商过程失败。
公钥验证法或余子式乘法特别适合下列情况:
a) 实体的公钥未经验证;
b) 密钥权标未经验证;
c) 用户的公钥希望长期使用。
如果另一实体的公钥已被验证且余子式较小,可被泄露的信息相当有限,则可不需完成这些测试。
8 密钥承诺
通过对秘密的密钥协商协议的密钥进行单向函数来建立密钥的机制在第11章描述。然而,某实体
可能在选择自己的私钥前就知道另一实体的公钥或密钥权标。所以,在该实体发现其他实体的公钥和
选定自己私钥的间隔内,可以以生成2s个私钥协商密钥候选值为代价,控制其所要建立的密钥中s个二
进制比特位的值。
解决问题的方法是使用密钥承诺,这需要在协议中增加一个附加信息或协议交互来完成。密钥承
诺的执行可以通过让第一实体对自己的公钥或者密钥权标进行杂凑变换并将杂凑码送给第二实体;第
二实体接着回复自己的公钥或者密钥权标,然后第一实体回复自己的公钥或者密钥权标给第二实体,第
二个实体可对它进行杂凑变换并验证杂凑码是否等于之前第一实体所发送的值。
9 密钥确认
显式密钥确认过程是通过添加附加消息到一个提供隐式密钥鉴别的密钥建立协议中,因此提供了
显式密钥鉴别和实体鉴别。显式密钥确认可以被添加到任何不包含它本身的方法中。密钥确认通常是
通过交换一个值来实现,这个值在很大的概率下只有密钥建立计算成功时才能正确计算出来。从实体
A到实体B的密钥确认是通过实体A计算一个值并发送给实体B以确认实体A的计算。如果要求相
互密钥确认,则每个实体需发送一个不同的值给对方。
隐式密钥确认是在已建立的密钥的后续使用中提供密钥确认,当发生某种错误时,就立即检测到。
在这种情况下,不需显式密钥确认。如果一个实体不在线[如在单轮通信协议中,存储和转发(电子邮
件)的场景],另一个实体就不可能获得密钥确认。然而,有时建立的密钥在后来才使用,或者密钥建立
过程的实体并不知道所产生的密钥是否会被立即使用。在这些情况下,通常需使用显式密钥确认方法,
否则一旦错误检测出来纠正它就可能太晚。显式密钥确认可看作是密钥建立过程中具有“坚固”安全属
性的一种方式,且可认作为是一个保守的协议设计。
使用 MAC提供密钥确认的步骤如下:
实体A和B首先执行本部分中第11章和第12章中采用的其中一个密钥建立过程,期望共享一个
的 MAC密钥KAB,执行的步骤如下:
a) 实体B产生一个八位位组串的消息M,包括:消息标识符八位位组0x02,实体B的标识符,实
体A的标识符,对应于实体B的密钥权标的八位位组串KTB(如不存在,省略),对应于实体A
的密钥权标的八位位组串KTA(如不存在,省略),对应于实体B的密钥建立公钥pB(如不存
在,省略),对应于实体A的密钥建立公钥pA(如不存在,省略),及可选的附加文本Text1(如
存在的话),即:M=02|B|A|KTB|KTA|pB|pA|Text1,其中0x02是消息序号。
b) 实体B计算KB=kdf(KAB),采用共享密钥KB,用一个合适的 MAC机制对消息M 计算出
MACKB(M)。
c) 实体B将消息M 和 MACKB(M)发送给实体A。
d)实体 A 计算 KA=kdf(KAB),用收到的消息 M 计算 MACKA(M),并验证 MACKB(M)=
MACKA(M)。
e) 假设 MAC验证,实体A已收到实体B的密钥确认(即实体A知道KA=KB)。如需相互密钥
确认,则实体A继续执行协议,产生八位位组串的消息M’,由几部分组成:消息标识符八位位
组0x03,实体A的标识符,实体B的标识符,对应于实体 A的密钥权标的八位位组串KTA
(如不存在,省略),对应于实体B的密钥权标的八位位组串KTB(如不存在,省略),对应于实
体A的密钥建立公钥pA(如不存在,省略),对应于实体B的密钥建立公钥pB(如不存在,省
略),以及可选的附加文本Text2(如存在的话),即:M’=03|A|B|KTA|KTB|pA|pB|
Text2,其中0x03是消息序号。
f) 实体A采用共享密钥KA,用一个合适的 MAC机制计算 MACKA(M’)。
g) 实体A将M’和 MACKA(M’)发送给实体B。
h) 对消息M’,实体B用KB验证 MACKA(M’)。假设 MAC验证,实体B已收到实体A的密钥
确认(即实体B知道KA=KB)。
也可采用其他确认密钥方法,如果共享密钥用于数据加密,那么一实体可将另一实体已知的一些特
定的明文进行加密,并发送给该实体,如全0或全1的二进制块,但应注意后续使用该密钥时,不再加密
用于密钥确认时使用过的同一明文。
10 密钥管理框架
10.1 概要
本章包含了对密钥建立机制框架的高级描述,定义了四种机制(双方密钥协商、三方密钥协商、私钥
传送以及公钥传送)以及各自的使用要求,这些机制的特性参见附录B。
10.2 双方密钥协商
本条适用于11.1~11.11描述的双方密钥协商的密钥协商机制。双方密钥协商是一个在A与B两
实体间建立共享密钥的过程,任何一方不能预先确定共享密钥的值。密钥协商机制可以提供隐式密钥
鉴别;在密钥建立的条件下,隐式密钥鉴别意味着机制实施后只有经确定的实体才可拥有正确的共享
密钥。
A与B两实体间的密钥协商发生在双方共享一段内容的条件下。该内容包括两个集合S1、S2 和
一个密钥协商函数F。函数F应满足以下规定:
a) F:S1×S2→S2将元素(h,g)∈S1×S2映射到S2的元素,写成y=F(h,g);
b) F满足可交换:
F(hA,F(hB,g))=F(hB,F(hA,g));
c) 从F(h1,g),F(h2,g)和g计算得到F(h1,F(h2,g))是困难的,意味着F(.,g)是单向函数;
d) 实体A和B共享S2中的一个公共元素g,该元素是公开的;
e) 此设置下的实体可以高效计算函数值F(h,g),并有效地产生S1中的随机元素。在特定的密
钥协商中,可进一步包括一些条件。
注1:附......
|