GB/T 17901.3-2021
基本信息
标准号: GB/T 17901.3-2021
中文名称:信息技术 安全技术 密钥管理第3部分:采用非对称技术的机制
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 17901.3-2021.Information technology-Security techniques-Key management-Part 3 :Mechanisms using asymmetric techniques.
1范围
GB/T 17901的本部分定义了基于非对称密码技术的密钥管理机制的要求、密钥派生函数、余子式乘法、密钥承诺、密钥确认、密钥管理框架、密钥协商、密钥传递.公钥传递。
本部分拟达到如下目的:
a)通过密钥协商建立一个共享密钥,用 于实体A和实体B间的对称加密。在密钥协商机制中,密钥通过实体A和实体B交换的数据计算得到.任何实体一方不能预先确定共享密钥值。
b) 通过密钥传递建立一个共享密钥,用于实体A和实体B间的对称加密。在密钥传递机制中,密钥由实体A选择,采用非对称密码保护技术,传给实体B。
c)通过密钥传递将实体 A的公钥传给其他实体。在公钥传递机制中,实体A的公钥经鉴别后传给其他实体,但不需保密。
本部分定义的一些机制基于GB/T 15843.3-2016相对应的鉴别机制。
本部分不包含以下密钥管理内容:
a)密钥生存期管 理;
b)产生或确定非对称密钥对的机制;.
c)密钥的存储、存档、删除等机制。
GB/T 17901.3适用于采用非对称技术实现密钥管理的系统的研制,也可指导该类系统的检测。
注:本部分定义的机制不涉及实体私钥的分发,由公钥签名系统对密钥交换消息进行签名进行操作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15843.3-2016 信息技术安全技术 实体鉴别第3 部分:采用数字签名技术的机制
GB/T 17901.1-2020信息技术 安全技术 密钥管理 第1部分:框架
1范围
GB/T 17901的本部分定义了基于非对称密码技术的密钥管理机制的要求、密钥派生函数、余子式乘法、密钥承诺、密钥确认、密钥管理框架、密钥协商、密钥传递.公钥传递。
本部分拟达到如下目的:
a)通过密钥协商建立一个共享密钥,用 于实体A和实体B间的对称加密。在密钥协商机制中,密钥通过实体A和实体B交换的数据计算得到.任何实体一方不能预先确定共享密钥值。
b) 通过密钥传递建立一个共享密钥,用于实体A和实体B间的对称加密。在密钥传递机制中,密钥由实体A选择,采用非对称密码保护技术,传给实体B。
c)通过密钥传递将实体 A的公钥传给其他实体。在公钥传递机制中,实体A的公钥经鉴别后传给其他实体,但不需保密。
本部分定义的一些机制基于GB/T 15843.3-2016相对应的鉴别机制。
本部分不包含以下密钥管理内容:
a)密钥生存期管 理;
b)产生或确定非对称密钥对的机制;.
c)密钥的存储、存档、删除等机制。
GB/T 17901.3适用于采用非对称技术实现密钥管理的系统的研制,也可指导该类系统的检测。
注:本部分定义的机制不涉及实体私钥的分发,由公钥签名系统对密钥交换消息进行签名进行操作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 15843.3-2016 信息技术安全技术 实体鉴别第3 部分:采用数字签名技术的机制
GB/T 17901.1-2020信息技术 安全技术 密钥管理 第1部分:框架
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T 17901.3—2021
信息技术
安全技术
密钥管理
第3部分:采用非对称技术的机制Information technology-Security techniques-Key management-Part 3:Mechanisms using asymmetric techniques(ISO/IEC 11770-3:2015MOD)
2021-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2021-10-01实施
-riKacerKAca-
规范性引用文件
术语和定义
符号和缩略语
密钥派生雨丽数
余了式乘法
密销示诺
密钥确认
密销管理框架
双方密钥协商:
三方密钥协商
秘密密钥传送
公销传送
密钥协商
密钥协商机制1
密钥协商机制2
密钥协商机制3
密钥协商机制4
密钥协商机制
密钥协机制6
密钥协商机制7
密钥协商机制8
密钥协商机制9
密销协商机制10
密钥协商机制11
密钥协商机制12
密钥传递
密钥传递机制1
密钥传逆机制2
密钥传递机制3
密钥传递机制
密钥传逆机制
密钥传递机制
-rrKaeerKAca-
GB/T 17901.3—2021
GB/T 17901.3—2021
13公钥传递
13.1公钥传递机制1
13.2公钥传递机制2
公钥传递机制3
附录A(规范性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
参考文献
对象标识符
密钥建立机制特性
密钥派生函数实例
隔数F,集合S.和S.实例
基于椭圆曲线的密钥建立机制实例.所采用国际标准涉及的专利信息-rrKaeerKa-
GB/T17901信息技术安全技术密销管理》拟分为6个部分:第1部分:框架;
第2部分:采用对称技术的机制:第3部分:采用非对称技术的机制;第4部分:基于弱秘密的机制;
第5部分:群组密钥管埋;
第6部分:密钥派生,
本部分为GB/T17901的第3部分
本部分按照GB/T1.1一2009给山的的规则起节。GB/T17901.3—2021
本部分使用重新起草法修改采用1S0/EC1177032015信息技术安全技术密钥管理第3部分,采用非对称技术的机制》。本部分与IS0/IEC1177C-3:2015的技术性差异及其原因如下:关」规范性引用文件,本部分做了具有技术性差异的调整,以造应我国的技术条件,调整的情况集中反映在第2章\规范性引用义件\中,其体调整如下:。删除了对IS0/IEC10118IS0/IEC11770-1以及IS0/IEC15946-1的引用*增师了对B/T15843.3—2016、B/T17901.1—2020、GB/T25C69、GB/T32905以及GB/T32918系列标准的引用(见第2竞)删除了IS0/1EC11770-3:2015中3.1~~3.18和3.20~~3.43的术语利定义,增加了3.1,3.2和3.4的术语和定义(见第3章)。增加了“本部分涉及使用椭圆山线签名验证、公钥如解密的算法见GB/T32918.2租GB/T32918.4。\(见第5章)。修改了对附录C、附录D、附录E和附录F的引用关系(见第11章,第12章和第13章)修改或删除了1S0/IEC11770-3:2015的附录C、附录D和附录E1与密钥管理其体实例相关的内容,井在附录C中增加对GB/T32918.32016中规范的密销派生函数的引用:在附录E中增加对GB/T32918.3—2016现范的SM2密钥协商机制的引用。删除了1S0/1E117703:20151的录F和附录G请注意本文件的某些内容可能涉及专利,本文件的发布机构不承识别这些专利的责任。本部分由企国信息安全标准化技术委员会(SAC/TC260)提出并归I1本部分起草单位:西安西电捷通无线网络通信股份限公司、无线网络安全技术国家工程实验室、中关村无线网络安全产业联熙、北京大学深圳研究生院、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、中国电了技术标准化研究院、中国通用技术研究院、天津市无线电监测站、北京计算机技术及虚用研究所、天津市电子机电产品检测中心、重庆邮电天学。本部分主岁起草人:杜志强、工月群、朱跃生、周国良、陶洪波、李琴、铁满霞、张变玲、井经涛、李志勇、李冰、彭潇、刘科伟、黄振海、许下娜、于光明、郎元、郑骊、颜湘、张国强、刘景莉、李冬、朱正美、商钧、主崇、赵慧、高德龙、方华、熊克琦、手玉娇、龙昭华、昊冬学。iiKaeerkAca-
-riKacerKAca-
1范围
信息技术安全技术密钥管理
第3部分:采用非对称技术的机制GB/T17901.3—2021
GB/T17901的本部分定义了基丁非对称密码技术的密钥管理机制的要求.密钥派生函数、余子式乘法、密钥承诺、密钥确认、密钥管理框架、密钥协商、密钥传递、公钥传递本部分拟达到如下月的:
通过密钊协商建立一个共享密钥,用丁实体A和实体B间的对称加密。在密销协商机制中,a)
密钥通过实体A和实体B交换的数据计算得到,任何实体一方不能预先确定!享密钥值。b)通过密销传递建立个共享密钳用于实体A和实体B问的对称加密。在密销传递机制中,密钥由实体A选择,采用非对称密码保护技术,传给实体B。通过密钥传递将实体A的公钥传给具他实体。在公钥传递机制中,实体A的公钥经鉴别后传给其他实体,但不需保密。
本部分定义的一比机制基于GB/T15843.32016相对应的鉴别机制。本部分不包含以下密钥管理内容:a)密钥生存期管埋;
b)产生或确定非对称密钥对的机制:c)密钥的存储、存档、删除等机制本部分适用丁采用非对称技术实现密钥管理的系统的研制,也可指导该类系统的检测,注:云部分定义的机制不涉及实体私钥的分发由公钥签名系统对密钥交换消息进行签务进行操作:2规范性引用文件
下列文件对」本文件的应用是必不可少的。凡是注日期的引文件,仪注日期的版本适用」本文件。凡是不注口期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T15843.32016信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制GB/T17901.120201
信息技术安全技术密销管理第1部分:框架GB/T25069信息安全技术术语
信息安全技术SM3密码杂资算法
GB/T 32905
GB/T32918.1
信息安全技术SM2椭圆由线公钥密码算法第1部分:息则信息安全技术SM2橘圆曲线公钥密码算法第2部分:数学签名算法GB/T 32918.2
信息安全技术SM2椭圆曲线公销密码算法第3部分:密销交换协议GB/T32918.320161
GB/132918.4信息安全技术SM2摘圆西线公钥密码算法第4部分:公钥加密算法3术语和定义
GB/T17901.12020和GB/T25069界定的以及下列术语和定义适用于本文件。1
rKaeerkAca-
GB/T 17901.3—2021
椭圆曲线密码算法
elliptic curves cryptusystem利用椭圆曲线上的右理点构成Abel加法群上椭圆离散对数的计算困难性的公钥密码算法3.2
山与特定的通信相关的数据宁段构成的消息,包含使用密码技术进行变换后的信息。3.3
密钥承诺kcycommitment
向对方确认已方公钥或者密钥权标的过程。3.4
密钥确认keyconfirmation
某实体确信另一个已识别的实体担有正确的密钥的过程。4符号和缩略语
4.1符号
下列符号适用丁本文件。
A、B、C.实体A、BC的区分标识,BE,加密的数据块。
BS:带符号的数据决签名的数据块。CertA:实体A的公钥证3。
D.():实体A的私有解密变换两数,d.:实体A的私有解密密钥。
E:圆曲线,给定在域GF(p)上的方程Y2-X3一aX十b,当p>3并Ⅱm为正整数,给定在域GF(2\)上方程Y\—XY—X^+uX+h,或者在域GF(3\)上的方程Y2一X\+aX+,有一额外的参考点O称为无穷远点,分别记为E/GF(b\),E/GF(2\),或E/GF(3\)。EA(:实体A的公开加密变唤函数。A:实体A的公开加密密钥。
F(:密销协商函数,
FP(:基于对的密钥协商函数
F万,品):侦用参数和公共参数作为输人的密钥协商函数G:以n为顺序E上的点,
GF(力\)GF(2\)、GF(3):对素数力>3并且m为止整数p\、2\3\的有限域。g:密钥协商函数F使用的所有实体共享的公共参数Hasht):杂透函数。
:实体A的私销协商密销,
i:用于余了式乘法中的余了式。K:对称加密系统伪密钥。
KT:密钥权标
KTA:实休A的密钥权标。
KTa:实体A处理第:次交互.后发送的密钥权标K:在实体A与实体B问共享的密销。2
-rrKaeerkAca-
kdl():密钥派生阴数。
:余子式乘法采用的值
M:数据消息。
MAC(Z):以密钥K和随机数拆串Z作为输人的MAC算法输出n:椭圆曲线上在有限域中的序列的素内数。0::椭圆曲线的无限远点,
P:摘圆曲线E上的点。
P:实体A在椭圆曲线E上的公开密钥协商密钥。PKIA:实体A的公开密销信息。
parameter:密钥派生数函数使用的参数P力p:实休A、B的公开密钥协商密钥,9:素数p/3月m≥1的素数常力\。厂:随机生成数
TA:实休A的密钥协商机制的随机数。S.S2,S:元素巢合,
SA:实体A的私有签名变换函数。A:实体A的私有签名密钥。
T:可信第三方。
TVI:随时问变化的参数,如一随机数、一时问裁,或一序列号。Ter:包括在一数据块中第:个文本、数据或其他信息。VA(:实体A的公开验证变换隔数。W:实体A的公开验证密钥,
W):单向两数
X(P):点P的坐标。
Y(P):点P的y坐标。
Vq:个正数q的平方根。
=:椭圆曲线H的顺序(或基数),:两数据元索连接。
「:大于戎等于实数的最小整数。三数宁签名。
元(P):(X(P)mod 2fel)—2fe,其a—logn1.X(P)为点P的r坐标。缩略语
下列缩略语适用于木文件。
CA,认证机构(CerificaleAuhority)MAC:消鉴别码(MessagcAuthentication Code)5要求
GB/T17901.3—2021
本部分要求所涉及的实休被此知道其所声称的身份,这可通过两个实体间信息交换时所包含的标识符来实现,或从该机制所使用的上下文明显看出。身份验证意味着检查一个收到的标识符与某个已知的(可借的或预期值是否相同,本部分所规范的机制的对象标识符见附录A如呆一个公钥属于某实体,那么该实休应确保它抑有相应的私钥(密钥注册见GB/T17901,12020)。3
-rKaeerkca-
GB/T17901.3—2021
本部分中凡涉及采用密码技术解决机密杜、完整性、真实性、不可否认性需求的应遵循密码相关下家标准和行业标准。其中,涉及使用椭圆曲线签名验证、公钥加解密的算法按GB/T32918.2和GB/T 32918.4。
6密钥派生函数
对于对称密码系统,不推荐使用由算10章派生的共享秘密而不做任何的进步处理。通过密钥派生两数可导出共享密,建设仙用个单向函数作为密钥派工雨数,警如使用杂凑两数。密钥派牛函数产生的密销与随机产牛的密钥很难区分。但密钥派生函数需输人一个共享秘密和一组密钥派生参数·并产生输出所需长度的密钥:为了让参与同一个密钥建立机制的双方能够协商山共同的密钥,密钥派生函数应事先商定。达成这一协定的方法超出「本部分的范围。密钥派生函数实例参见附录C。
7余子式乘法bzxZ.net
本章只适用使用椭圆山线密码算法的机制。第11章描述的密钥协商机制和第12章、第13章描述的案钥传送机制都要求用户的秘钥或者密钥权标和另一个实体的公钢或者密钢权标混合使用。在确圆曲线密码算法中,如果另一个实体的公销或者密权标不是有效的(即它不是椭圆曲线上的一个点,或者不在\阶子群巾),那么该操作的执行可能会导致私钥中的某些位泄露给攻击者例如,“小子群攻击”。
有两种选择方法,可防止“小子样攻击”和类似的攻击种方法是采用公钥鉴别法对从另-方接收到的公钥和密钥权标进行验证(见本部分的规定)。另一种方法是采用余了式乘法对公钥进行验证.余了式乘法将在第11章中具体规范,下而定义的和1的值,将在余于式乘法中用到。使用余子式乘法时有两种选择:如果不要求与末使用余了式相乘的实体兼容,则设j一二F/n和一1。在这种情况下,要求参与双方都应同意使用该选项:否则该机制不起作用。b)如果要求与未使用余子式相乘的实体兼容,则设j-#E/n和1一jmodn。注;土于要求n>.国此gcd(nj)-1.所以j-1 modn的值始终存在。如果不需要用到余于式相乘,则1=1。无论是否使用了余子改相乘法,如桌其享密钥(或者其享密销的:个组成部分)的计算结果为无穷远点(0,),则用广认为密钥协商过祸失败、公钥验证法或余子式乘法特别适合下列情况:a)实体的公钥木经验证;
b)密钥权标未经验证:
c)用户的公钥希望长期使用,
如果另一实休的公钥已被验证且余了式较小,可被泄露的信息相当有限,则可不需完成这些测试,8密钥承诺
过对秘密的密钥协商协议的密钥进行单问函数来建立密钥的机制在第11章挡述。然而,某实休-riKacerKAca-
GB/T17901.3—2021
可能在迹择自已的私钥前就知道另一实体的公钥或密钥权标。所以,在该实体发其他实体的公钥和选定自凹私钥的间隔内,可以以生成2:个私钥动商密钥侯选值为代价,控制其所要建立的密钥中:个一进制比特位的俏
解决问题的方法是使用密钥承诺,这需要在协议中增加一个附加信息或协议交互来完成。密钥戚诺的执行可以通过让第一实休对自凹的公钥或者密钥权标进行杂漆变换并将杂凑码送给第一实休:第三实体接着同复自己的公钥或者密钥权标,然后第·实体同复自己的公钥或者密钥权标给第二实体,第二个实体可对它进行杂凑变换并验证杂读码是否等于之前第一实体所发送的值9密钥确认
显式密钥确认过程是通过添加附加消息到个提供隐式案钥鉴别的案钥建立协议中,固此提供了显改密钥鉴别和实体鉴别。显改密钥确认可以被添加到任何不包含它术身的方法中。密钥确认道常是通过交换一个俏来实现,这个值在很大的概率下只有密钥建立计算成功时才能正研订算出来,从实体A到实体B的密钥确认是通过实体A计算一个值并发送给实体B以确认实体A的计算。如果要求相立密钥确认,则每个实休需发送一个不同的值给对方。隐式密钥确认是在已建立的密钥的后续使用小提供密例确认,当发生某种错误时,就立即检测到。在这种情况下,不需品式密钥确认,如果一个实体不在线[如在单轮通信协议中,存储和转发(电子邮件)的场景1.另一个实体就不可能获得密钥确认。然而,有时建立的密钥在片来才使用·或者密建立过程的实体并不知道所产生的密钥是否会被立即使用:在这些情况下,通常需使用显式密钥确认方法,否则一旦错误检测出来纠正它就可能太晚。显式密钥碗认可看作是密钥建立过程中具有\坚固\安全局性的种方式,且可认作为是一个保守的协议设计。使用MA提供密钥确认的步赚如下:实体A和B首先执行本部分中第11竞和第12竞中采用的其中二个密销建立过程,期望共享个的MAC密钥KA,执行的步骤如下
a)实体B产生一个八位位组中的消息M,包括,消息标识符八位位组0x02.实体B的标识符,实体A的标识符,对应实体B的密钥权标的八位位组串KT(如不存在,省略),对应士实体A的密钥权标的八位位组串K工(如不存在.省略),对应于实体B的密销建立公销(如不存在,省略),对应干实体A的密钥建立公钥力:(如不存在,省咯),及可选的附加文本Tcxtl(如存在的话),即:M—02|BA|KTIKT:|pTexl1.H中0x02是消息序号。实体B计算Ke一kdf(K),采用共享密钥K:用个合适的MAC机制对消息M计算出b)
MAC(M)
实体B将消息M和MACK(M)发送给实体A:d)实体A计算K=kdf(Kb),用收到的消息M计算MACr,(M),并验证MACx-(M)-MAC(M)
假设MAC验证,实体A凹收到实体B的密钥确认(即实体A知道K,一K)。如需相F密销e
确认,则实体A继续执行协议,产牛八位位纠中的消息M”由几部分组成:消息标识符八位位组0xC3,实体A的标识符,实体B的标识符,对应于实体A的密钥权标的八位位组串KTA(如不存在,省略):对应丁实体B的密钥权标的八位位纽串KT(如不存在.省略),对应丁实体A的密销建立公销P。(如不存在,省略),对应于实体B的密钥建立公钥P,(如不存在,省略),以及可选的附加文本Text2(如存在的话),即:M=03|A|B|KT「KTPA|PTcxt2.其中0x03是消息序号
实休A采用共亨密钥K、用一个合适的MAC机制计算MAC(M\)。f)
g)实体A将M和MAC(M')发送给实体B5
-iiKaeerkAca-
GB/T17901.3—2021
h)对消息M,实体B用K验证MAC,(M*)。假设MAC验证,实体B已收到实体A的密确认(即实体B知道K=)
也可采用其他确认密钥方法,如果共亨密钥用」数据加密,那么一实休可将另一实休口知的一些特定的明文进行加密,并发送给该实体,如全0或全1的二进制块,应注意后续使用该密钥时,不再加密用于密钥确认时便用过的同一明文10密钥管理框架
10.1概要
本章包含了对密钥建立机制框架的高级插述,定义了四种机制(双方密钥协商、三方密钥协商、利销传送以及公钥传送)以及各自的使用要求,这些机制的特性参见附录B。10.2双方密钥协商
本条适用于11.1~-11.11描述的双方密钥协商的密钥协商机制。双方密钥协商是一个在AB两实体间建立儿享密钥的过程,订何一方不能预先确定共享密钙的值,密钥协商机制可以提供隐式密钢鉴别:在密钥建立的条件下,隐式密钥鉴别意味者机制实施后只有经确定的实休才可拥有止确的共宁密。
A与B两实体问的密钥协商发生在双方共享一段内容的条件下。该内容包括两个集合S,S:和一个密钥协商离数F。附数F应满足以下规定:a)F:SXS→S将元素(h,)eS,XS.映射到S.的元素,写成=F(h.):b)F满是可交换:
F(ha.F(hu+g))=F(hμ-F(ha+g)) :从F(ht+g),F(h:g)和g算得到F(h,F(hag))是因难的.意床着F(,g)是单向丽数:实休A和B共亨S.中的一个公共元素g.该元素是公开的;此设胃下的实体可以高效算函数值F(h·8).并有效地产生S:中的随机元素。在特定的密e
钥协商中,可过一步包括一些条件注1:附录和附录F给山密训协商雨数F的例子,注2:如第6章中措述,在密切协商机制的实际实现时对共享密切做进一步处理。注3:一股来讲,吾改到的函数值F(,g)为将值,该协议将终正10.3三方密钥协商
本条适用于猫述11.12描述的一方之间密钥协商的案钥协商机制。一方密钥协商在一个实体A,B.C问建立一个共字密钥,三方中的任何一方不能预先确定共亨密钥的值。三个实休A,B.C问的密钥协商发生在三方共享段内容的条件下.该内容包括三个集合S1.S.S,.密钥协商所数F和FP。密销协商函数F和FP应满足以下规定:a)F.S,XS*S将元素(hg)ES.×S快射到S的元素,写成=F(hg);b)F满足可交换:
F(ha.F(hn-g))=F(hi.F(ha-g));从F(hl+g).F(hz+g)和g计算F(hl,F(h+g))是困难的,意味着F(.g)是单间函数;FP.S,XS.XS→S,将元素(he.F(h+g),F(h+g))ES-XS.XS快射到S.的元素,写成:2=FP(he.F(hs.E).F(hE-H)) :
FP满足可交换性:
FP(he.F(hA-g),F(ht-g))=FP(he-F(h-g),F(hA-g))=FP(hb.F(hA-g),F(h-g))6
-riKacerKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T 17901.3—2021
信息技术
安全技术
密钥管理
第3部分:采用非对称技术的机制Information technology-Security techniques-Key management-Part 3:Mechanisms using asymmetric techniques(ISO/IEC 11770-3:2015MOD)
2021-03-09发布
国家市场监督管理总局
国家标准化管理委员会
2021-10-01实施
-riKacerKAca-
规范性引用文件
术语和定义
符号和缩略语
密钥派生雨丽数
余了式乘法
密销示诺
密钥确认
密销管理框架
双方密钥协商:
三方密钥协商
秘密密钥传送
公销传送
密钥协商
密钥协商机制1
密钥协商机制2
密钥协商机制3
密钥协商机制4
密钥协商机制
密钥协机制6
密钥协商机制7
密钥协商机制8
密钥协商机制9
密销协商机制10
密钥协商机制11
密钥协商机制12
密钥传递
密钥传递机制1
密钥传逆机制2
密钥传递机制3
密钥传递机制
密钥传逆机制
密钥传递机制
-rrKaeerKAca-
GB/T 17901.3—2021
GB/T 17901.3—2021
13公钥传递
13.1公钥传递机制1
13.2公钥传递机制2
公钥传递机制3
附录A(规范性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
参考文献
对象标识符
密钥建立机制特性
密钥派生函数实例
隔数F,集合S.和S.实例
基于椭圆曲线的密钥建立机制实例.所采用国际标准涉及的专利信息-rrKaeerKa-
GB/T17901信息技术安全技术密销管理》拟分为6个部分:第1部分:框架;
第2部分:采用对称技术的机制:第3部分:采用非对称技术的机制;第4部分:基于弱秘密的机制;
第5部分:群组密钥管埋;
第6部分:密钥派生,
本部分为GB/T17901的第3部分
本部分按照GB/T1.1一2009给山的的规则起节。GB/T17901.3—2021
本部分使用重新起草法修改采用1S0/EC1177032015信息技术安全技术密钥管理第3部分,采用非对称技术的机制》。本部分与IS0/IEC1177C-3:2015的技术性差异及其原因如下:关」规范性引用文件,本部分做了具有技术性差异的调整,以造应我国的技术条件,调整的情况集中反映在第2章\规范性引用义件\中,其体调整如下:。删除了对IS0/IEC10118IS0/IEC11770-1以及IS0/IEC15946-1的引用*增师了对B/T15843.3—2016、B/T17901.1—2020、GB/T25C69、GB/T32905以及GB/T32918系列标准的引用(见第2竞)删除了IS0/1EC11770-3:2015中3.1~~3.18和3.20~~3.43的术语利定义,增加了3.1,3.2和3.4的术语和定义(见第3章)。增加了“本部分涉及使用椭圆山线签名验证、公钥如解密的算法见GB/T32918.2租GB/T32918.4。\(见第5章)。修改了对附录C、附录D、附录E和附录F的引用关系(见第11章,第12章和第13章)修改或删除了1S0/IEC11770-3:2015的附录C、附录D和附录E1与密钥管理其体实例相关的内容,井在附录C中增加对GB/T32918.32016中规范的密销派生函数的引用:在附录E中增加对GB/T32918.3—2016现范的SM2密钥协商机制的引用。删除了1S0/1E117703:20151的录F和附录G请注意本文件的某些内容可能涉及专利,本文件的发布机构不承识别这些专利的责任。本部分由企国信息安全标准化技术委员会(SAC/TC260)提出并归I1本部分起草单位:西安西电捷通无线网络通信股份限公司、无线网络安全技术国家工程实验室、中关村无线网络安全产业联熙、北京大学深圳研究生院、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、中国电了技术标准化研究院、中国通用技术研究院、天津市无线电监测站、北京计算机技术及虚用研究所、天津市电子机电产品检测中心、重庆邮电天学。本部分主岁起草人:杜志强、工月群、朱跃生、周国良、陶洪波、李琴、铁满霞、张变玲、井经涛、李志勇、李冰、彭潇、刘科伟、黄振海、许下娜、于光明、郎元、郑骊、颜湘、张国强、刘景莉、李冬、朱正美、商钧、主崇、赵慧、高德龙、方华、熊克琦、手玉娇、龙昭华、昊冬学。iiKaeerkAca-
-riKacerKAca-
1范围
信息技术安全技术密钥管理
第3部分:采用非对称技术的机制GB/T17901.3—2021
GB/T17901的本部分定义了基丁非对称密码技术的密钥管理机制的要求.密钥派生函数、余子式乘法、密钥承诺、密钥确认、密钥管理框架、密钥协商、密钥传递、公钥传递本部分拟达到如下月的:
通过密钊协商建立一个共享密钥,用丁实体A和实体B间的对称加密。在密销协商机制中,a)
密钥通过实体A和实体B交换的数据计算得到,任何实体一方不能预先确定!享密钥值。b)通过密销传递建立个共享密钳用于实体A和实体B问的对称加密。在密销传递机制中,密钥由实体A选择,采用非对称密码保护技术,传给实体B。通过密钥传递将实体A的公钥传给具他实体。在公钥传递机制中,实体A的公钥经鉴别后传给其他实体,但不需保密。
本部分定义的一比机制基于GB/T15843.32016相对应的鉴别机制。本部分不包含以下密钥管理内容:a)密钥生存期管埋;
b)产生或确定非对称密钥对的机制:c)密钥的存储、存档、删除等机制本部分适用丁采用非对称技术实现密钥管理的系统的研制,也可指导该类系统的检测,注:云部分定义的机制不涉及实体私钥的分发由公钥签名系统对密钥交换消息进行签务进行操作:2规范性引用文件
下列文件对」本文件的应用是必不可少的。凡是注日期的引文件,仪注日期的版本适用」本文件。凡是不注口期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T15843.32016信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制GB/T17901.120201
信息技术安全技术密销管理第1部分:框架GB/T25069信息安全技术术语
信息安全技术SM3密码杂资算法
GB/T 32905
GB/T32918.1
信息安全技术SM2椭圆由线公钥密码算法第1部分:息则信息安全技术SM2橘圆曲线公钥密码算法第2部分:数学签名算法GB/T 32918.2
信息安全技术SM2椭圆曲线公销密码算法第3部分:密销交换协议GB/T32918.320161
GB/132918.4信息安全技术SM2摘圆西线公钥密码算法第4部分:公钥加密算法3术语和定义
GB/T17901.12020和GB/T25069界定的以及下列术语和定义适用于本文件。1
rKaeerkAca-
GB/T 17901.3—2021
椭圆曲线密码算法
elliptic curves cryptusystem利用椭圆曲线上的右理点构成Abel加法群上椭圆离散对数的计算困难性的公钥密码算法3.2
山与特定的通信相关的数据宁段构成的消息,包含使用密码技术进行变换后的信息。3.3
密钥承诺kcycommitment
向对方确认已方公钥或者密钥权标的过程。3.4
密钥确认keyconfirmation
某实体确信另一个已识别的实体担有正确的密钥的过程。4符号和缩略语
4.1符号
下列符号适用丁本文件。
A、B、C.实体A、BC的区分标识,BE,加密的数据块。
BS:带符号的数据决签名的数据块。CertA:实体A的公钥证3。
D.():实体A的私有解密变换两数,d.:实体A的私有解密密钥。
E:圆曲线,给定在域GF(p)上的方程Y2-X3一aX十b,当p>3并Ⅱm为正整数,给定在域GF(2\)上方程Y\—XY—X^+uX+h,或者在域GF(3\)上的方程Y2一X\+aX+,有一额外的参考点O称为无穷远点,分别记为E/GF(b\),E/GF(2\),或E/GF(3\)。EA(:实体A的公开加密变唤函数。A:实体A的公开加密密钥。
F(:密销协商函数,
FP(:基于对的密钥协商函数
F万,品):侦用参数和公共参数作为输人的密钥协商函数G:以n为顺序E上的点,
GF(力\)GF(2\)、GF(3):对素数力>3并且m为止整数p\、2\3\的有限域。g:密钥协商函数F使用的所有实体共享的公共参数Hasht):杂透函数。
:实体A的私销协商密销,
i:用于余了式乘法中的余了式。K:对称加密系统伪密钥。
KT:密钥权标
KTA:实休A的密钥权标。
KTa:实体A处理第:次交互.后发送的密钥权标K:在实体A与实体B问共享的密销。2
-rrKaeerkAca-
kdl():密钥派生阴数。
:余子式乘法采用的值
M:数据消息。
MAC(Z):以密钥K和随机数拆串Z作为输人的MAC算法输出n:椭圆曲线上在有限域中的序列的素内数。0::椭圆曲线的无限远点,
P:摘圆曲线E上的点。
P:实体A在椭圆曲线E上的公开密钥协商密钥。PKIA:实体A的公开密销信息。
parameter:密钥派生数函数使用的参数P力p:实休A、B的公开密钥协商密钥,9:素数p/3月m≥1的素数常力\。厂:随机生成数
TA:实休A的密钥协商机制的随机数。S.S2,S:元素巢合,
SA:实体A的私有签名变换函数。A:实体A的私有签名密钥。
T:可信第三方。
TVI:随时问变化的参数,如一随机数、一时问裁,或一序列号。Ter:包括在一数据块中第:个文本、数据或其他信息。VA(:实体A的公开验证变换隔数。W:实体A的公开验证密钥,
W):单向两数
X(P):点P的坐标。
Y(P):点P的y坐标。
Vq:个正数q的平方根。
=:椭圆曲线H的顺序(或基数),:两数据元索连接。
「:大于戎等于实数的最小整数。三数宁签名。
元(P):(X(P)mod 2fel)—2fe,其a—logn1.X(P)为点P的r坐标。缩略语
下列缩略语适用于木文件。
CA,认证机构(CerificaleAuhority)MAC:消鉴别码(MessagcAuthentication Code)5要求
GB/T17901.3—2021
本部分要求所涉及的实休被此知道其所声称的身份,这可通过两个实体间信息交换时所包含的标识符来实现,或从该机制所使用的上下文明显看出。身份验证意味着检查一个收到的标识符与某个已知的(可借的或预期值是否相同,本部分所规范的机制的对象标识符见附录A如呆一个公钥属于某实体,那么该实休应确保它抑有相应的私钥(密钥注册见GB/T17901,12020)。3
-rKaeerkca-
GB/T17901.3—2021
本部分中凡涉及采用密码技术解决机密杜、完整性、真实性、不可否认性需求的应遵循密码相关下家标准和行业标准。其中,涉及使用椭圆曲线签名验证、公钥加解密的算法按GB/T32918.2和GB/T 32918.4。
6密钥派生函数
对于对称密码系统,不推荐使用由算10章派生的共享秘密而不做任何的进步处理。通过密钥派生两数可导出共享密,建设仙用个单向函数作为密钥派工雨数,警如使用杂凑两数。密钥派牛函数产生的密销与随机产牛的密钥很难区分。但密钥派生函数需输人一个共享秘密和一组密钥派生参数·并产生输出所需长度的密钥:为了让参与同一个密钥建立机制的双方能够协商山共同的密钥,密钥派生函数应事先商定。达成这一协定的方法超出「本部分的范围。密钥派生函数实例参见附录C。
7余子式乘法bzxZ.net
本章只适用使用椭圆山线密码算法的机制。第11章描述的密钥协商机制和第12章、第13章描述的案钥传送机制都要求用户的秘钥或者密钥权标和另一个实体的公钢或者密钢权标混合使用。在确圆曲线密码算法中,如果另一个实体的公销或者密权标不是有效的(即它不是椭圆曲线上的一个点,或者不在\阶子群巾),那么该操作的执行可能会导致私钥中的某些位泄露给攻击者例如,“小子群攻击”。
有两种选择方法,可防止“小子样攻击”和类似的攻击种方法是采用公钥鉴别法对从另-方接收到的公钥和密钥权标进行验证(见本部分的规定)。另一种方法是采用余了式乘法对公钥进行验证.余了式乘法将在第11章中具体规范,下而定义的和1的值,将在余于式乘法中用到。使用余子式乘法时有两种选择:如果不要求与末使用余了式相乘的实体兼容,则设j一二F/n和一1。在这种情况下,要求参与双方都应同意使用该选项:否则该机制不起作用。b)如果要求与未使用余子式相乘的实体兼容,则设j-#E/n和1一jmodn。注;土于要求n>.国此gcd(nj)-1.所以j-1 modn的值始终存在。如果不需要用到余于式相乘,则1=1。无论是否使用了余子改相乘法,如桌其享密钥(或者其享密销的:个组成部分)的计算结果为无穷远点(0,),则用广认为密钥协商过祸失败、公钥验证法或余子式乘法特别适合下列情况:a)实体的公钥木经验证;
b)密钥权标未经验证:
c)用户的公钥希望长期使用,
如果另一实休的公钥已被验证且余了式较小,可被泄露的信息相当有限,则可不需完成这些测试,8密钥承诺
过对秘密的密钥协商协议的密钥进行单问函数来建立密钥的机制在第11章挡述。然而,某实休-riKacerKAca-
GB/T17901.3—2021
可能在迹择自已的私钥前就知道另一实体的公钥或密钥权标。所以,在该实体发其他实体的公钥和选定自凹私钥的间隔内,可以以生成2:个私钥动商密钥侯选值为代价,控制其所要建立的密钥中:个一进制比特位的俏
解决问题的方法是使用密钥承诺,这需要在协议中增加一个附加信息或协议交互来完成。密钥戚诺的执行可以通过让第一实休对自凹的公钥或者密钥权标进行杂漆变换并将杂凑码送给第一实休:第三实体接着同复自己的公钥或者密钥权标,然后第·实体同复自己的公钥或者密钥权标给第二实体,第二个实体可对它进行杂凑变换并验证杂读码是否等于之前第一实体所发送的值9密钥确认
显式密钥确认过程是通过添加附加消息到个提供隐式案钥鉴别的案钥建立协议中,固此提供了显改密钥鉴别和实体鉴别。显改密钥确认可以被添加到任何不包含它术身的方法中。密钥确认道常是通过交换一个俏来实现,这个值在很大的概率下只有密钥建立计算成功时才能正研订算出来,从实体A到实体B的密钥确认是通过实体A计算一个值并发送给实体B以确认实体A的计算。如果要求相立密钥确认,则每个实休需发送一个不同的值给对方。隐式密钥确认是在已建立的密钥的后续使用小提供密例确认,当发生某种错误时,就立即检测到。在这种情况下,不需品式密钥确认,如果一个实体不在线[如在单轮通信协议中,存储和转发(电子邮件)的场景1.另一个实体就不可能获得密钥确认。然而,有时建立的密钥在片来才使用·或者密建立过程的实体并不知道所产生的密钥是否会被立即使用:在这些情况下,通常需使用显式密钥确认方法,否则一旦错误检测出来纠正它就可能太晚。显式密钥碗认可看作是密钥建立过程中具有\坚固\安全局性的种方式,且可认作为是一个保守的协议设计。使用MA提供密钥确认的步赚如下:实体A和B首先执行本部分中第11竞和第12竞中采用的其中二个密销建立过程,期望共享个的MAC密钥KA,执行的步骤如下
a)实体B产生一个八位位组中的消息M,包括,消息标识符八位位组0x02.实体B的标识符,实体A的标识符,对应实体B的密钥权标的八位位组串KT(如不存在,省略),对应士实体A的密钥权标的八位位组串K工(如不存在.省略),对应于实体B的密销建立公销(如不存在,省略),对应干实体A的密钥建立公钥力:(如不存在,省咯),及可选的附加文本Tcxtl(如存在的话),即:M—02|BA|KTIKT:|pTexl1.H中0x02是消息序号。实体B计算Ke一kdf(K),采用共享密钥K:用个合适的MAC机制对消息M计算出b)
MAC(M)
实体B将消息M和MACK(M)发送给实体A:d)实体A计算K=kdf(Kb),用收到的消息M计算MACr,(M),并验证MACx-(M)-MAC(M)
假设MAC验证,实体A凹收到实体B的密钥确认(即实体A知道K,一K)。如需相F密销e
确认,则实体A继续执行协议,产牛八位位纠中的消息M”由几部分组成:消息标识符八位位组0xC3,实体A的标识符,实体B的标识符,对应于实体A的密钥权标的八位位组串KTA(如不存在,省略):对应丁实体B的密钥权标的八位位纽串KT(如不存在.省略),对应丁实体A的密销建立公销P。(如不存在,省略),对应于实体B的密钥建立公钥P,(如不存在,省略),以及可选的附加文本Text2(如存在的话),即:M=03|A|B|KT「KTPA|PTcxt2.其中0x03是消息序号
实休A采用共亨密钥K、用一个合适的MAC机制计算MAC(M\)。f)
g)实体A将M和MAC(M')发送给实体B5
-iiKaeerkAca-
GB/T17901.3—2021
h)对消息M,实体B用K验证MAC,(M*)。假设MAC验证,实体B已收到实体A的密确认(即实体B知道K=)
也可采用其他确认密钥方法,如果共亨密钥用」数据加密,那么一实休可将另一实休口知的一些特定的明文进行加密,并发送给该实体,如全0或全1的二进制块,应注意后续使用该密钥时,不再加密用于密钥确认时便用过的同一明文10密钥管理框架
10.1概要
本章包含了对密钥建立机制框架的高级插述,定义了四种机制(双方密钥协商、三方密钥协商、利销传送以及公钥传送)以及各自的使用要求,这些机制的特性参见附录B。10.2双方密钥协商
本条适用于11.1~-11.11描述的双方密钥协商的密钥协商机制。双方密钥协商是一个在AB两实体间建立儿享密钥的过程,订何一方不能预先确定共享密钙的值,密钥协商机制可以提供隐式密钢鉴别:在密钥建立的条件下,隐式密钥鉴别意味者机制实施后只有经确定的实休才可拥有止确的共宁密。
A与B两实体问的密钥协商发生在双方共享一段内容的条件下。该内容包括两个集合S,S:和一个密钥协商离数F。附数F应满足以下规定:a)F:SXS→S将元素(h,)eS,XS.映射到S.的元素,写成=F(h.):b)F满是可交换:
F(ha.F(hu+g))=F(hμ-F(ha+g)) :从F(ht+g),F(h:g)和g算得到F(h,F(hag))是因难的.意床着F(,g)是单向丽数:实休A和B共亨S.中的一个公共元素g.该元素是公开的;此设胃下的实体可以高效算函数值F(h·8).并有效地产生S:中的随机元素。在特定的密e
钥协商中,可过一步包括一些条件注1:附录和附录F给山密训协商雨数F的例子,注2:如第6章中措述,在密切协商机制的实际实现时对共享密切做进一步处理。注3:一股来讲,吾改到的函数值F(,g)为将值,该协议将终正10.3三方密钥协商
本条适用于猫述11.12描述的一方之间密钥协商的案钥协商机制。一方密钥协商在一个实体A,B.C问建立一个共字密钥,三方中的任何一方不能预先确定共亨密钥的值。三个实休A,B.C问的密钥协商发生在三方共享段内容的条件下.该内容包括三个集合S1.S.S,.密钥协商所数F和FP。密销协商函数F和FP应满足以下规定:a)F.S,XS*S将元素(hg)ES.×S快射到S的元素,写成=F(hg);b)F满足可交换:
F(ha.F(hn-g))=F(hi.F(ha-g));从F(hl+g).F(hz+g)和g计算F(hl,F(h+g))是困难的,意味着F(.g)是单间函数;FP.S,XS.XS→S,将元素(he.F(h+g),F(h+g))ES-XS.XS快射到S.的元素,写成:2=FP(he.F(hs.E).F(hE-H)) :
FP满足可交换性:
FP(he.F(hA-g),F(ht-g))=FP(he-F(h-g),F(hA-g))=FP(hb.F(hA-g),F(h-g))6
-riKacerKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。