密钥创建是两方或多方建立共享秘密密钥的过程。两个实体之间的密钥创建有两种途径:第一种方式是密钥封装或密钥传输;第二种方式更常用,由通信实体共同产生会话密钥,叫做密钥协商。第一个也是最重要的密钥协商机制是Diffie-Hellman的密钥交换,双方仅用公开数据的交换就能创建秘密的会话密钥。该方案虽不比RSA密钥交换强,不过算法简单、运算速度快,在需常常建立连接的通信业务时适用。
密钥协商协议不但要可抵抗被动攻击,还得可能抵抗主动攻击,因此,必须提供实体认证,即可认证的密钥协商。认证和密钥协商一定得联合考虑,只给出认证而无密钥交换的过程,攻击者可能在认证完成之后接管通信方;密钥交换过程若不提供认证,则协商参与者无法确信与他建立共享密钥的实体就是预期的实体,而不是冒充者。所以,和分析认证协议时必须考虑共享密钥的协商,反之亦然。
基本的Diffie-Hellman机制不提供认证,因此易受到中间人攻击,现今已有很多把认证集成到Diffie-Hellman机制中的方案,一类是采用会话参与者的长期对称密钥包括口令,一类是采用会话参与者的长期非对称密钥。
用长期对称密钥的方案要求参与者事先共享一些秘密信息,这些信息的位数一定得足够多才可以保证安全性,要大大超过人的记忆能力,而在不安全的信道上传输及长期存储这些信息危险且不实用。除此之外,有很多应用不便于使用密钥,而使用口令更方便,如仅有数字键盘的系统和无盘工作站。虽字典攻击使在不安全的网络上进行口令验证很难,用口令实现强认证仍是可行的。这种做法的缺点是用户数目非常大时,密钥管理特别困难。
密钥协商协议需符合如下安全特征。
(1)密钥认证。若能确保协商参与者之外的用户无法得到会话密钥,那么叫该协议提供了密钥认证,通过实体认证实现。
(2)可认证的密钥协商协议。给出了隐含密钥认证的密钥协商协议。
(3)密钥确认。如果一方可确保对方确实有一个特定的密钥,则称该协议给出了密钥确认,通过密钥验证过程实现。
(4)完善前向安全性PFS。泄露长期密钥,不会致使旧的会话密钥泄露。这是密钥创建协议的一种安全特征,描述会话密钥对长期私钥的依赖性。
(5)抵御已知密钥攻击。若会话密钥的泄露不存在使得被动攻击者获得其他会话密钥或主动攻击者假冒协商参与者,则说该协议可以抵御已知密钥攻击。
(6)密钥控制。随意一方都无法迫使会话密钥取为预先选的值,但在实际协议中,协议响应方在控制会话密钥值方面几乎总占优势。
在开放式包括无线网络环境下,攻击者能力不断提高,一个实用而安全的密钥协商协议除满足上述定义的安全特征之外,还应有如下的性质。
(1)在保证安全性的基础上应尽量减小执行协议的开销,所以许多协议采用隐式的密钥认证,而不是显式的密钥认证。
(2)不同会话的安全性应相互独立,若一个会话密钥泄露,不会对其他会话密钥造成影响。
(3)若长期密钥用于创建会话密钥,必须为其提供更高的安全性。
