秘钥托管技术简介

前言

一、秘钥托管是什么？

二、秘钥托管技术简介

1. Skipjack算法

2. LEAF产生过程示意图

3. 对加密通信的法律实施存取过程

总结

前言

1993年4月，美国政府为了满足其电信安全、公众安全和国家安全，提出了托管加密标准EES (escrowed encryption standard)。

该标准所使用的托管加密技术不仅提供了强加密功能，同时也为政府机构提供了实施法律授权下的监听功能。这一技术是通过一个防窜扰的芯片(称为Clipper芯片)来实现的。 1994年2月正式被美国政府公布采用。

美国政府的EES标准公布之后，在社会上引起很大的争议！

一、秘钥托管是什么？

秘钥托管也称为托管加密，目的是在突发事件下，具备解密能力。实现手段是把已加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可得解密密钥。

数据恢复密钥由所信任的委托人持有，委托人可以是政府机构、法院或有契约的私人组织。一个密钥可能是在数个这样的委托人中分拆。调查机构或情报机构通过适当的程序，如获得法院证书，从委托人处获得数据恢复密钥。

密钥托管加密技术提供了一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复自己的密钥。所以这个备用的手段不仅对政府有用，而且对用户自己也有用。

目的：为了有效控制密码技术的使用，保证对个人没有绝对的隐私和绝对不可跟踪的匿名性。

实现手段：是把已加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可得解密密钥。

用途：提供一个备用的解密途径，政府机构在需要时，可通过密钥托管技术解密用户的信息，而用户的密钥若丢失或损坏，也可通过密钥托管技术恢复自己的密钥。

注意：

A：数据恢复密钥由所信任的委托人持有，委托人可以是政府机构、法院或有契约的私人组织

B：一个密钥可能是在数个这样的委托人中分拆

二、秘钥托管技术简介

它有两个特性：

① 一个加密算法——Skipjack分组密码算法，该算法是由NSA设计的，用于加（解）密用户间通信的消息。该算法已于1998年3月公布。

② 为法律实施提供“后门”的部分——法律实施存取域LEAF(law enforcement access field)。通过这个域，法律实施部门可在法律授权下，实现对用户通信的解密（窃听）。

备注：EES（托管加密标准）提出以后，密钥托管密码体制受到了普遍关注，已提出了各种类型的密钥托管密码体制，包括软件实现的、硬件实现的、有多个委托人的、防用户欺诈的、防委托人欺诈的等。

在双向通信（如电话）中，通信每一方的安全设备都需传送一个IV（初始向量）和由其设备芯片计算出的LEAF。然后，两个设备使用同一会话密钥KS来加密传送给通信对方的消息，并解密由对方传回的消息。

1. Skipjack算法

Skipjack算法是一个单钥分组加密算法，密钥长80比特，输入和输出的分组长均为64比特。

可使用4种工作模式：电码本模式，密码分组链接模式，64比特输出反馈模式，1、8、16、32或64比特密码反馈模式。

算法的内部细节在向公众公开以前，政府邀请了一些局外人士对算法作出评价，并公布了评价结果。评价结果认为算法的强度高于DES，并且未发现陷门。Skipjack的密钥长是80比特，比DES的密钥长24比特，因此通过穷搜索的蛮力攻击比DES多224倍的搜索。所以若假定处理能力的费用每18个月减少一半，那么破译它所需的代价要1.5×24=36年才能减少到今天破译DES的代价。

Skipjack算法以及在法律授权下对加密结果的存取是通过防窜扰的托管加密芯片来实现的。芯片装有以下部分：

Skipjack算法；

80比特的族密钥KF(family key)，同一批芯片的族密钥都相同;
芯片单元识别符UID(unique identifier);
80比特的芯片单元密钥KU(unique key),它是两个80比特的芯片单元密钥分量(KU1,KU2)的异或。

这些部分被固化在芯片上。编程过程是在由两个托管机构的代表监控下的安全工厂中进行，一段时间一批。编程过程如下图所示。

首先，托管机构的代表通过向编程设备输入两个参数（随机数）对芯片编程处理器初始化。

芯片编程处理器对每个芯片，分别计算以上两个初始参数和UID的函数，作为单元密钥的两个分量KU1和KU2。求KU1 XOR KU2，作为芯片单元密钥KU。UID和KU放在芯片中。

然后，用分配给托管机构1的密钥K1加密KU1得EK1(KU1)。类似地，用分配给托管机构2的加密密钥K2加密KU2得EK2(KU2)。(UID，EK1(KU1))和(UID，EK2(KU2))分别给托管机构1和托管机构2，并以托管形式保存。以加密方式保存单元密钥分量是为了防止密钥分量被窃或泄露。

编程过程结束后，编程处理器被清除，以防止芯片单元密钥KU被他人获得或被他人计算，只能从两个托管机构获得加了密的单元密钥分量，并且使用特定的政府解密设备来解密。

通信双方为了使用Skipjack算法加密他们的通信,都必须有一个装有托管加密芯片的安全的防窜扰设备,该设备负责实现建立安全信道所需的协议,包括协商或分布用于加密通信的80比特秘密会话密钥KS。例如,会话密钥可使用Diffie-Hellman密钥协商协议,该协议执行过程中,两个设备仅交换公共值即可获得公共的秘密会话密钥。

2. LEAF产生过程示意图

80比特的会话密钥KS建立后，被传送给加密芯片，用于与初始化向量IV（由芯片产生）一起产生LEAF。控制软件使用芯片单元密钥KU加密KS，然后将加密后的结果和芯片识别符UID、认证符A链接，再使用公共的族密钥KF加密，以上链接的结果而产生LEAF。如图所示。

最后将IV和LEAF传递给接收芯片，用于建立同步。同步建立后，会话密钥就可用于通信双方的加解密。对语音通信,消息串（语音）首先应被数字化。下图显示的是在发送者的安全设备和接收者的安全设备之间传送LEAF以及用会话密钥KS加密明文消息hello的过程。图中未显示初始向量。

在双向通信（如电话）中，通信每一方的安全设备都需传送一个IV和由其设备芯片计算出的LEAF。然后，两个设备使用同一会话密钥KS来加密传送给通信对方的消息，并解密由对方传回的消息。

3. 对加密通信的法律实施存取过程

政府机构进行犯罪调查，为监听被调查者的通信，首先取得法院证书，并将证书出示给通信服务的提供者（电信部门），并从电信部门租用线路用来截取被监听者的通信。如果被监听者的通信是经过加密的，则被截获的通信首先通过一个政府控制的解密设备，如下图所示，其中D表示解密。解密设备可识别由托管芯片加密的通信，取出LEAF和IV，并使用族密钥KF解密LEAF以取出芯片识别符UID和加密的会话密钥EKU(KS)。

政府机构将芯片识别符UID、法院许可监听的许可证书、解密设备的顺序号以及政府机构对该芯片的单元密钥分量的要求一起给托管机构。托管机构在收到并验证政府机构传送的内容后，将被加密的单元密钥分量EK1(KU1)和EK2(KU2)传送给政府机构的解密设备，解密设备分别使用加密密钥K1和K2解密EK1(KU1)和EK2(KU2)以得到KU1、KU2，求它们的异或KU1 XOR KU2，即为单元密钥KU。由单元密钥KU解密EKU(KS)，得被调查者的会话密钥KS。最后解密设备使用KS解密被调查者的通信。为了实现解密，解密设备在初始化阶段，应安装族密钥KF和密钥加密密钥K1、K2。

托管机构在传送加密的密钥分量时，也传送监听的截止时间。因此解密设备的设计应使得它到截止时间后，可自动销毁芯片单元密钥及用于得到单元密钥的所有信息。同时，因为每一次新的会话用一新的会话密钥加密，所以解密设备在监听的截止时间之前，在截获调查者新的会话时，可不经过托管机构而直接从LEAF中提取并解密会话密钥。因此，除在得到密钥时可有一个时间延迟外，对被截获通信的解密也可在监听的有效期内有一个时间延迟。这种时间延迟对有些案情极为重要，如监听进行绑架的犯罪分子或监听有计划的恐怖活动。

因为被调查的通信双方使用相同的会话密钥，所以解密设备不需要对通信双方都取出LEAF及芯片单元密钥，解密设备只需取出被调查者一方的LEAF及芯片单元密钥。

如果某人想监听他人的通信，他必须首先能够截获他人的通信，然后必须有一个解密设备和两个经过加密的芯片单元密钥分量。因为制造解密设备必须知道保密算法、族密钥KF和密钥加密密钥K1、K2，任何未经授权的人，都不可能私自制造出解密设备，因此无法获得对他人的监听。

总结

秘钥托管技术（Key Management Service，KMS）是一种用于生成、存储、管理和保护加密密钥的解决方案，通过集中管理和严格的访问控制，提升数据保护的安全性和合规性。它的主要功能包括密钥生成与存储、分发、轮换、销毁以及访问控制和审计，广泛应用于云服务、数据库加密、文件加密和通信加密等领域。

这种技术的优势在于提高安全性、简化合规性、降低复杂性并增强系统的可扩展性。随着零信任架构和量子计算防护等新趋势的发展，秘钥托管技术将变得越来越重要，并会在未来与更多应用和系统进行更广泛的集成。