密碼系統(tǒng)中密鑰的狀態(tài)與保護(hù)*

王 雄 馮文浩

北京電子科技學(xué)院，北京市 100070

引言

隨著我國(guó)信息化與網(wǎng)絡(luò)化的快速發(fā)展與應(yīng)用，網(wǎng)絡(luò)空間安全問(wèn)題逐步凸顯。 作為網(wǎng)絡(luò)空間安全重要基石的密碼技術(shù)也隨著密碼法的實(shí)施展開(kāi)了新的篇章。 依據(jù)密碼學(xué)上的柯克霍夫原則(Kerckhoffs’s principle)，密碼算法的安全性應(yīng)基于密鑰的安全性。 從已有資料看，針對(duì)密鑰的論述主要集中在密鑰管理類相關(guān)的文獻(xiàn)，比如文獻(xiàn)[1-4]，或者國(guó)家制訂并發(fā)布的關(guān)于密碼管理的規(guī)范[5-7]。 但是，這些密鑰管理技術(shù)主要集中在密鑰管理系統(tǒng)的設(shè)計(jì)、密鑰生成、密鑰存儲(chǔ)或密鑰傳輸?shù)姆椒ǎ艽a管理的規(guī)范主要集中在密鑰管理的架構(gòu)設(shè)計(jì)、管理內(nèi)容的定義以及管理接口的設(shè)計(jì)。 針對(duì)密鑰如何使用，密鑰是否可以使用，密鑰自身的安全防護(hù)等問(wèn)題沒(méi)有系統(tǒng)的給出回答。 密鑰在工程應(yīng)用中是一個(gè)復(fù)雜并且非常重要的內(nèi)容，要求設(shè)計(jì)人員必須對(duì)密鑰有完整的認(rèn)識(shí)之后才能制定有效的密鑰管理方案。本文參考美國(guó)密鑰管理相關(guān)資料[8-9]，從工程實(shí)現(xiàn)的角度對(duì)密鑰使用及保護(hù)的相關(guān)內(nèi)容進(jìn)行了系統(tǒng)的介紹。

1 密鑰元數(shù)據(jù)

在密碼系統(tǒng)中，密鑰在其生命周期內(nèi)涉及到生成、存到、導(dǎo)入和導(dǎo)出、分發(fā)、使用、備份和恢復(fù)、歸檔、銷毀等環(huán)節(jié)。 但是，伴隨密鑰生命周期全過(guò)程的不僅是密鑰本身，還有與密鑰不可分割的密鑰控制(屬性)信息即密鑰元數(shù)據(jù)。 密鑰元數(shù)據(jù)標(biāo)識(shí)了關(guān)聯(lián)密鑰的長(zhǎng)度、適用的密碼算法、密鑰的有效時(shí)間、密鑰狀態(tài)等密鑰信息，并給出了密鑰所有者、密鑰標(biāo)識(shí)符等信息。 密鑰元數(shù)據(jù)必須與密鑰一起進(jìn)行安全存儲(chǔ)，且密鑰使用時(shí)受到與其關(guān)聯(lián)的密鑰元數(shù)據(jù)的限制與支持。

密鑰元數(shù)據(jù)一般在密鑰生成時(shí)進(jìn)行設(shè)置，并隨著密鑰生命周期的進(jìn)程而發(fā)生變化，主要包括以下內(nèi)容：

1)密鑰標(biāo)識(shí)符：唯一標(biāo)識(shí)密鑰的特定符號(hào)。

2)密鑰標(biāo)簽：一組可讀的密鑰描述符(文本字符串)。

3)密鑰所有者：擁有密鑰的一個(gè)或多個(gè)實(shí)體的標(biāo)識(shí)符。

4)密鑰狀態(tài)：描述密鑰當(dāng)前使用條件的有限狀態(tài)。

5)密碼算法：用于使用該密鑰的密碼算法標(biāo)識(shí)，如SM2、SM3、SM4、SM9 等。

6)工作模式：使用密鑰時(shí)指定的使用方案或操作模式。 比如對(duì)稱密碼算法的加密模式可以有電子密碼本ECB(Electronic CodeBook)、密碼塊鏈接CBC((Cipher Block Chaining)、輸出反饋模式OFB(Output feedback)和密文反饋CFB(Cipher feedback)。

7)密鑰參數(shù)：生成密鑰的種子或密鑰對(duì)中的素?cái)?shù)、指數(shù)、生成元等。

8)密鑰長(zhǎng)度：密鑰數(shù)據(jù)的長(zhǎng)度(以位為單位)，如256 位的SM2 密鑰、128 位的SM4 密鑰。

9)密鑰類型：標(biāo)識(shí)了密鑰的種類，比如加密公鑰、簽名私鑰等。

10)密鑰保護(hù)：保護(hù)該密鑰的安全的類型，可以是完整性、機(jī)密性和源認(rèn)證保護(hù)。 比如對(duì)稱密碼算法密鑰及其摘要值一起加密，實(shí)現(xiàn)密鑰數(shù)據(jù)的機(jī)密性和完整性保護(hù)。

11)日期-時(shí)間：密鑰生命周期中密鑰狀態(tài)有關(guān)的重要時(shí)間信息，生成時(shí)間、激活時(shí)間、更新時(shí)間、停用時(shí)間、撤銷時(shí)間、銷毀時(shí)間。

12)撤銷原因：如果密鑰被撤銷，必須對(duì)密鑰撤銷的理由進(jìn)行說(shuō)明，比如密鑰丟失、保存密鑰的密碼模塊丟失、密鑰所有者濫用密鑰等。

2 密鑰狀態(tài)與轉(zhuǎn)換

雖然密鑰生命周期從時(shí)間的維度刻畫(huà)了密鑰，但是，密鑰是否可以使用并沒(méi)有明確的說(shuō)明。比如，在密鑰使用階段，如果懷疑密鑰泄露，此時(shí)密鑰是否可以使用；密鑰到達(dá)有限期后是否可以繼續(xù)使用或是有選擇的使用。 所以，密鑰生命周期的各個(gè)環(huán)節(jié)并不能完整的刻畫(huà)密鑰。 但是，通過(guò)密鑰狀態(tài)則可以將密鑰是否可以使用的問(wèn)題有效的清晰表達(dá)。

密鑰定義有六種狀態(tài)，即預(yù)激活、激活、掛起、停用、盜用、銷毀。

2.1 預(yù)激活狀態(tài)

該狀態(tài)下，密鑰已經(jīng)生成但是還沒(méi)有被授權(quán)使用。

在密鑰管理系統(tǒng)中，管理中心一端的大量密鑰往往處于預(yù)激活狀態(tài)，比如進(jìn)行被管端密鑰更新之前，管理中心需要提前生成大量密鑰用于更新。 此時(shí)產(chǎn)生的密鑰雖然已經(jīng)經(jīng)過(guò)檢測(cè)，但是并沒(méi)有分發(fā)到最終目的設(shè)備，沒(méi)有進(jìn)行使用授權(quán)，所以全部處于預(yù)激活狀態(tài)。

一般來(lái)說(shuō)，這種狀態(tài)下密鑰只能用于所有權(quán)證明或者密鑰信息的確認(rèn)。 所有權(quán)證明是用來(lái)驗(yàn)證密鑰的所有者，比如公鑰證書(shū)在簽發(fā)之前。密鑰信息的確認(rèn)用來(lái)確認(rèn)密鑰的元數(shù)據(jù)信息，密鑰類型等。 因?yàn)闆](méi)有被授權(quán)使用，所以該狀態(tài)的密鑰不能用于信息的加解密，簽名等操作。

2.2 激活狀態(tài)

該狀態(tài)下，密鑰已被授權(quán)正式使用或者密鑰已經(jīng)通過(guò)更新替換原有密鑰。

在密鑰管理系統(tǒng)中，處于激活狀態(tài)的密鑰可以用來(lái)對(duì)信息進(jìn)行處理(例如加解密，簽名等)。此外，該密鑰也可用于所有權(quán)證明或者密鑰信息的確認(rèn)。

一般來(lái)說(shuō)，這種狀態(tài)下的密鑰會(huì)根據(jù)密鑰所屬的類型來(lái)完成相對(duì)應(yīng)的功能。 例如，私有簽名密鑰可以用來(lái)對(duì)明文信息進(jìn)行簽名。 對(duì)稱加密密鑰可以用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密等。

2.3 掛起狀態(tài)

該狀態(tài)下，密鑰暫時(shí)停止使用。 定義該狀態(tài)一般是用于處理密鑰或密碼系統(tǒng)中的特殊情況。

在密鑰管理系統(tǒng)中，如果系統(tǒng)通過(guò)對(duì)相關(guān)信息綜合后感知到密鑰可能存在泄漏的情況，系統(tǒng)將密鑰狀態(tài)轉(zhuǎn)換為掛起狀態(tài)，并對(duì)泄露情況進(jìn)一步核實(shí)。 如果結(jié)果顯示密鑰沒(méi)有被泄露或盜用，可以將密鑰恢復(fù)到之前的狀態(tài)。 當(dāng)簽名私鑰的所有者信息出現(xiàn)錯(cuò)誤或變更，該密鑰所生產(chǎn)的簽名將無(wú)效，此時(shí)，需要將密鑰轉(zhuǎn)換為掛起狀態(tài)。

處于該狀態(tài)的密鑰并沒(méi)有完全喪失全部功能。 比如，如果掛起的原因不是密鑰泄露且該密鑰是對(duì)稱密鑰，那么該密鑰仍然可以用于解密之前加密過(guò)的信息。 如果該密鑰是驗(yàn)簽公鑰且掛起原因不是密鑰泄露，那么驗(yàn)簽公鑰同樣可以用來(lái)對(duì)簽名私鑰生成的簽名信息進(jìn)行認(rèn)證。

2.4 停用狀態(tài)

密鑰的元數(shù)據(jù)會(huì)保存有密鑰的使用期限。在密鑰使用期滿后，系統(tǒng)將密鑰置為停用狀態(tài)。處于停用狀態(tài)的密鑰不能用于信息加密或信息簽名，但可以用于解密或者認(rèn)證簽名。

2.5 盜用狀態(tài)

處于該狀態(tài)的密鑰已經(jīng)證實(shí)存在泄漏行為。當(dāng)密鑰提供給未經(jīng)授權(quán)的實(shí)體或由未經(jīng)授權(quán)的實(shí)體使用時(shí)，密鑰就會(huì)被盜用。 被盜用的密鑰不能用于信息加密保護(hù)。

在某些情況下，泄露的對(duì)稱密鑰或泄露的密鑰對(duì)公鑰仍然可用于處理加密保護(hù)的信息。 例如，如果簽名在簽名私鑰泄露之前已經(jīng)受到物理保護(hù)，或者簽名數(shù)據(jù)中包含了可靠的時(shí)間戳，則可以驗(yàn)證簽名以確定簽名數(shù)據(jù)的完整性。

2.6 銷毀狀態(tài)

銷毀狀態(tài)是密鑰的最終狀態(tài)。 當(dāng)密鑰使用期已滿且密鑰不再用于對(duì)信息進(jìn)行加密、解密、簽名，或者密鑰被盜，密鑰直接進(jìn)入該狀態(tài)。 該狀態(tài)的密鑰需要銷毀以釋放存儲(chǔ)空間。

2.7 狀態(tài)轉(zhuǎn)換

密鑰在任一時(shí)刻必定處于上述六種狀態(tài)之一。 但是，密鑰并不是靜態(tài)的，其狀態(tài)在某些事件觸發(fā)下進(jìn)行狀態(tài)的轉(zhuǎn)換。 具體轉(zhuǎn)換如圖1所示。

預(yù)激活-＞激活：在密鑰管理系統(tǒng)中，密鑰通過(guò)算法生成后立即轉(zhuǎn)為預(yù)激活狀態(tài)，等待使用。處于該狀態(tài)的密鑰，正式分發(fā)給用戶后，密鑰從預(yù)激活狀態(tài)轉(zhuǎn)換為激活狀態(tài)。

激活-＞停用：正常情況下，處于激活狀態(tài)的密鑰在使用周期到達(dá)后會(huì)轉(zhuǎn)換為停用狀態(tài)。

激活-＞掛起：特殊情況下，比如激活密鑰存在泄漏的可能或者其他原因(非使用期滿)造成密鑰暫時(shí)不能繼續(xù)使用時(shí)，密鑰從激活狀態(tài)轉(zhuǎn)為掛起狀態(tài)。

掛起-＞激活：當(dāng)密鑰經(jīng)核查未泄漏且密鑰使用期未滿，恢復(fù)至激活狀態(tài)繼續(xù)使用。

掛起-＞盜用：處于掛起狀態(tài)的密鑰經(jīng)過(guò)核查后確定密鑰泄漏，此時(shí)密鑰從掛起狀態(tài)轉(zhuǎn)換為盜用狀態(tài)。

盜用-＞銷毀：當(dāng)密鑰處于盜用狀態(tài)下，且該密鑰不在進(jìn)行使用，直接轉(zhuǎn)換到銷毀狀態(tài)。

停用-＞銷毀：當(dāng)密鑰處于停用狀態(tài)時(shí)，待達(dá)到緩沖期(比如所有經(jīng)停用密鑰加密過(guò)的數(shù)據(jù)全部更換新密鑰重新加密)結(jié)束后，此時(shí)密鑰已經(jīng)喪失其功能，密鑰從停用狀態(tài)轉(zhuǎn)換為銷毀狀態(tài)。

在密鑰整個(gè)生命周期中，密鑰必定處于某種狀態(tài)，且在事件觸發(fā)下，在預(yù)激活、激活、掛起、停用、盜用、銷毀中輪轉(zhuǎn)。

3 密鑰信息保護(hù)

鑒于密鑰在密碼學(xué)中的重要地位，密鑰信息需要在存儲(chǔ)、傳輸時(shí)進(jìn)行有效的安全保護(hù)，尤其是密鑰在加密模塊外部存儲(chǔ)時(shí)更加需要保護(hù)。密鑰的類型決定了密鑰信息的保護(hù)類型，比如對(duì)稱加密密鑰無(wú)論是在存儲(chǔ)還是傳輸時(shí)都要受到機(jī)密性與完整性保護(hù)，而數(shù)字證書(shū)中驗(yàn)簽公鑰只需要完整性保護(hù)。

一般情況下針對(duì)密鑰設(shè)計(jì)的保護(hù)技術(shù)包含訪問(wèn)控制(授權(quán))、機(jī)密性保護(hù)、完整性保護(hù)。

對(duì)存儲(chǔ)的密鑰進(jìn)行訪問(wèn)時(shí)需要進(jìn)行授權(quán)，即只允許授權(quán)用戶訪問(wèn)存儲(chǔ)的密鑰。 在密鑰管理系統(tǒng)或底層密碼模塊中，需要設(shè)計(jì)針對(duì)密鑰的授權(quán)訪問(wèn)機(jī)制。 特別是對(duì)非對(duì)稱密鑰中的私鑰，需要設(shè)置單獨(dú)的訪問(wèn)授權(quán)碼進(jìn)行訪問(wèn)授權(quán)。

所有存儲(chǔ)的密鑰都需要完整性保護(hù)。 當(dāng)密鑰的完整性破壞后，新的密鑰無(wú)法正確執(zhí)行預(yù)期功能，并在某些情況下影響其他密鑰[7]。 從某種意義上說(shuō)，物理安全技術(shù)可以為密鑰提供完整性保護(hù)。 但是，受到存儲(chǔ)空間等因素的影響，一般采用密鑰完整性檢測(cè)或糾錯(cuò)技術(shù)實(shí)現(xiàn)密鑰的完整性保護(hù)， 比如使用消息認(rèn)證碼 MAC(Message Authentication Code)或數(shù)字簽名可以實(shí)現(xiàn)密鑰的完整性保護(hù)。 當(dāng)公鑰以數(shù)字證書(shū)為載體時(shí)，利用數(shù)字證書(shū)上頒發(fā)者的數(shù)字簽名提供公鑰的完整性保護(hù)；如果公鑰并不是以數(shù)字證書(shū)為載體，系統(tǒng)需要提供其他方法實(shí)現(xiàn)公鑰的完整性保護(hù)。

存儲(chǔ)加密密鑰時(shí)，對(duì)稱密鑰和私鑰需要機(jī)密性保護(hù)和訪問(wèn)控制，對(duì)稱密鑰和非對(duì)稱密鑰都需要完整性保護(hù)。 對(duì)于機(jī)密性保護(hù)，可以使用加密、分割、物理安全等技術(shù)，一般要求三級(jí)保護(hù)，在密鑰加密保護(hù)層次結(jié)構(gòu)的頂層，通常有一個(gè)密鑰必須受到物理保護(hù)。

這里的分割是一種多方控制的門限共享技術(shù)。 密鑰分割時(shí)會(huì)生成n 個(gè)密鑰片段，并分發(fā)給n 個(gè)不同的持有者。 使用時(shí)，可以使用任何k 個(gè)密鑰片段合成密鑰，且任何k-1 個(gè)密鑰片段都不能合成密鑰，從而實(shí)現(xiàn)密鑰的安全分布式管理。 一般情況下，密鑰分割技術(shù)應(yīng)用于密鑰保護(hù)層次結(jié)構(gòu)中的主密鑰或根密鑰。

為了防止密鑰遭到敵手的破壞或用戶誤操作刪除等情況，需要設(shè)計(jì)密鑰備份、歸檔和恢復(fù)的機(jī)制，防止密鑰遭受破壞后導(dǎo)致受密鑰保護(hù)數(shù)據(jù)無(wú)法還原或認(rèn)證。 這里的備份機(jī)制可以采用密碼系統(tǒng)配備的智能密碼鑰匙USB Key 或其他硬件存儲(chǔ)設(shè)備保存密鑰保護(hù)后導(dǎo)出數(shù)據(jù)的方法，此時(shí)，備份的密鑰仍然需要按照存儲(chǔ)密鑰保護(hù)機(jī)制進(jìn)行機(jī)密性和完整性保護(hù)，同時(shí)備份密鑰需要通過(guò)密鑰分割技術(shù)、物理安全等進(jìn)行保護(hù)。

密鑰傳輸時(shí)，需要設(shè)計(jì)安全的密鑰傳輸方案對(duì)傳輸?shù)拿荑€提供機(jī)密性和完整性保護(hù)，并且在傳輸之前，對(duì)通信雙方的身份進(jìn)行認(rèn)證。 目前有一些成熟的設(shè)計(jì)方案[5]，比如基于公鑰證書(shū)進(jìn)行身份認(rèn)證，基于公鑰密碼體制協(xié)商動(dòng)態(tài)對(duì)稱密鑰并建立安全通道。

4 總結(jié)

本文對(duì)密碼/密鑰管理系統(tǒng)中涉及密鑰的使用與保護(hù)相關(guān)內(nèi)容進(jìn)行了詳細(xì)的介紹，通過(guò)密鑰元數(shù)據(jù)的定義闡述了密鑰使用中的限制與支持，即如何使用密鑰；通過(guò)密鑰狀態(tài)的定義闡述了密鑰能不能使用；通過(guò)對(duì)存儲(chǔ)密鑰和傳輸密鑰機(jī)密性、完整性保護(hù)方案給出了密鑰信息保護(hù)的方法。 本文的內(nèi)容是密碼工程應(yīng)用中密鑰管理涉及的基本問(wèn)題，也是關(guān)鍵問(wèn)題。 所設(shè)計(jì)與方案可為密鑰管理系統(tǒng)以及密碼模塊中針對(duì)密鑰部分的設(shè)計(jì)提供參考和指南。