第四章密钥管理技术精选PPT.ppt

《第四章密钥管理技术精选PPT.ppt》由会员分享，可在线阅读，更多相关《第四章密钥管理技术精选PPT.ppt（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章密钥管理技术第1页，此课件共46页哦密钥管理技术p什么样的密钥是安全的？p密钥应该发给谁？p密钥怎样安全地发给需要的用户？p怎样保存密钥才算安全？第2页，此课件共46页哦 密钥管理技术 p假设Alice和Bob在使用对称密钥进行保密通信时，必然拥有相同的密钥。p假设Alice在向Bob发送信息时，始终不更新密钥，那么在攻击者Mallory对信息M的收集量满足一定要求时，其成功破译系统的可能性会增大。两个通信用户Alice和Bob在进行通信时，必须要解决两个问题：必须经常更新或改变密钥和如何能安全地更新或是改必须经常更新或改变密钥和如何能安全地更新或是改变密钥变密钥。pKerberos系统

2、中为了避免攻击者通过穷举攻击等方式获得密钥，必须经常更新或是改变密钥，对于更新的密钥也要试图找到合适的传输途径。第3页，此课件共46页哦 密钥管理技术 p人为的情况往往比加密系统的设计者所能够想象的还要复杂的多，所以需要有一个专门的机构和系统防止上述情形的发生。p技术因素n用户产生的密钥是脆弱的。n密钥是安全的，但是密钥保护可那失败。第4页，此课件共46页哦对称密钥的管理 p对称加密是基于共同保守秘密来实现的。采用对称加密技术的双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换安全可靠，同时还要设定防止密钥泄密和更改密钥的程序。p通过公开密钥加密技术实现对称密钥的管理使相应的管理变得简单、

3、安全，解决了对称密钥体制模式中存在的管理、传输的可靠性问题和鉴别问题。对称密钥交换协议如图3-3所示。第5页，此课件共46页哦第6页，此课件共46页哦Diffie-Hellman密钥交换机制 pDiffie-Hellman协议是三方秘密传输，首先，Alice、Bob和Coral三方首先要协商确定一个大的素数n和整数g（这两个数可以公开），其中g是n的本原元。由此产生密钥过程为：p（1）Alice首先选取一个大的随机整数x，并且发送X=gx mod n给Bob。Bob首先选取一个大的随机整数y，并且发送Y=gy mod n给Coral。Coral首先选取一个大的随机整数z，并且发送Z=gz mo

4、d n给Alice。p（2）Alice计算X1=Zx mod n给Bob。Bob计算Y1=Xy mod n给Coral。Coral计算Z1=Yz mod n给Alice。p（3）Alice计算k=Z1x mod n 作为秘密密钥。Bob 计算k=X1y mod n作为秘密密钥。Coral计算机 k=Y1z mod n作为秘密密钥。如果p是一个素数，且g小于p，对于从0到p-1的每一个b，都存在某个a，使得gab(mod p)，那么g是模p的生成元(generator)。也称为g是p的本原元(primitive)。第7页，此课件共46页哦 加密密钥交换协议 p加密密钥交换（Encryption

5、Key Exchange，EKE）协议假设A和B共享一个密钥或者口令P，那么产生密钥K的过程为：p（1）A选取随机的公（私）密钥AEK，使用P作为加密密钥，并且发送Ep(AEK)给B。p（2）B计算求得AEK，然后选取随机得对称密钥BEK，使用AEK和P加密，发送Ep(EAEK(BEK)给A。p（3）A计算求得BEK，那么此时这个数值就是产生得密钥K。然后进行鉴别和验证。p（4）A选取随机数字符串RA，使用K加密后，发送Ek(RA)给B。p（5）B计算求得RA后，选取随机数字符串RB，使用K加密后，发送Ek(RA,RB)给A。p（6）A计算求得数字串(RA,RB)后，判断此时得字符串是否还有先

6、前发送得字符串RA，如果是则取出字符串RB，使用K加密后，发送Ek（RB）给B；否则取消发送。p（7）B计算求得字符串RB后，判断此时的字符串是否等于先前发送得数字串RB，如果是则选用密钥K作为通信密钥，否则取消通信。p此外还有因特网密钥交换（Internet Key Exchange，IKE）协议。第8页，此课件共46页哦 非对称密钥的管理 p保存私钥，公开密钥。n非对称密钥的管理相对于对称密钥就要简单的多，因为对于用户Alice而言，只需要记住通信的他方Bob的公钥，即可以进行正常的加密通信和对Bob发送信息的签名验证。非对称密钥的管理主要在于密钥的集中式管理。如何安全地将密钥传送给需要接

7、收消息的人是对称密码系统的一个难点，却是公开密钥密码系统的一个优势。公开密钥密码系统的一个基本特征就是采用不同的密钥进行加密和解密。公开密钥可以自由分发而无须威胁私有密钥的安全，但是私有密钥一定要保管好。第9页，此课件共46页哦混合密钥p由于公钥加密计算复杂，耗用时间长，比常规的对称密钥加密慢很多。所以通常使用公开密钥密码系统来传送密码，使用对称密钥密码系统来实现对话。p例如：假设Alice和Bob相互要进行通话，他们按照如下步骤进行：第10页，此课件共46页哦p1.Alice想和Bob通话，并向Bob提出对话请求。p2.Bob响应请求，并给Alice发送CA证书（CA证书是经过第三方认证和签

8、名，并且无法伪造或篡改）。这个证书中包括了Bob的身份信息和Bob的公开密钥。p3.Alice验证CA证书，使用一个高质量、快速的常用对称密钥加密法来加密一个普通文本信息和产生一个临时的通话密钥；然后使用Bob的公钥去加密该临时会话密钥。然后把此会话密钥和该已加密文本发送给Bob。p4.Bob接收到信息，并使用私有密钥恢复出会话密钥。Bob使用临时会话密钥对加密文本解密。p5.双方通过这个会话密钥会话。会话结束，会话密钥也就废弃。第11页，此课件共46页哦p公开密钥管理利用数字证书等方式实现通信双方间的公钥交换。数字证书通常包含有证书所有者（即贸易方）的唯一标识、证书发布者的唯一标识、证书所有

9、者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易双方的作用，目前网络上的浏览器，都提供了数字证书的识别功能来作为身份鉴别的手段。第12页，此课件共46页哦密钥管理系统 p一个完整得密钥管理系统应该包括：n密钥管理、密钥分配、计算机网络密钥分配方法、密钥注入、密钥存储、密钥更换和密钥吊销。n密钥管理是处理密钥自产生到最后销毁的整个过程中的关键问题，包括系统的初始化，密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等内容。n密钥的管理需要借助于加密、认证、签字、协

10、议、公证等技术。p密钥种类很多，主要的密钥包括：第13页，此课件共46页哦初始密钥p由用户选定或系统分配的，在较长的一段时间内由一个用户专用的秘密密钥。要求它既安全又便于更换。第14页，此课件共46页哦会话密钥p两个通信终端用户在一次会话或交换数据时所用的密钥。一般由系统通过密钥交换协议动态产生。它使用的时间很短，从而限制了密码分析者攻击时所能得到的同一密钥加密的密文量。丢失时对系统保密性影响不大。第15页，此课件共46页哦密钥加密密钥（Key Encrypting Key，KEK）p用于传送会话密钥时采用的密钥。第16页，此课件共46页哦主密钥（Mater Key）p主密钥是对密钥加密密钥进

11、行加密的密钥，存于主机的处理器中。第17页，此课件共46页哦密钥的分配 p密钥分配要解决两个问题：p（1）密钥的自动分配机制，自动分配密钥以提高系统的效率；p（2）应该尽可能减少系统中驻留的密钥量。p根据密钥信息的交换方式，密钥分配可以分成三类：p（1）人工密钥分发；p（2）基于中心的密钥分发；p（3）基于认证的密钥分发。第18页，此课件共46页哦1.人工密钥分发p在很多情况下，用人工的方式给每个用户发送一次密钥。然后，后面的加密信息用这个密钥加密后，再进行传送，这时，用人工方式传送的第一个密钥叫做密钥加密密钥（Key Encryption Key，KEK）。该方式已经不适应现代计算机网络发展

12、的要求。第19页，此课件共46页哦2.基于中心的密钥分发p基于中心的密钥分发利用可信任的第三方，进行密钥分发。可信第三方可以在其中扮演两种角色：n（1）密钥分发中心（Key Distribution Center，KDC）n（2）密钥转换中心（Key Translation Center，KTC）该方案的优势在于，用户Alice知道自己的密钥和KDC的公钥，就可以通过密钥分发中心获取他将要进行通信的他方的公钥，从而建立正确的保密通信。第20页，此课件共46页哦p如果主体Alice和Bob通信时需要一个密钥，那么，Alice需要在通信之前先从KDC获得一个密钥。这种模式又称为拉模式（pull m

13、odel）。如下图所示。第21页，此课件共46页哦pAlice首先向KDC请求然后获得一个密钥，然后利用该密钥和Bob通信。另一种是推模式。美国金融机构密钥管理标准（ANSI X9.17）要求通信方Alice首先要和Bob建立联系，然后，让Bob从KDC取得密钥。这种模式称推模式（push model），表示是由Alice推动Bob去和KDC联系取得密钥。如图所示。第22页，此课件共46页哦基于认证的密钥分发 p基于认证的密钥分发也可以用来进行建立成对的密钥。基于认证的密钥分发技术又分成两类：p（1）用公开密钥加密系统，对本地产生的加密密钥进行加密，来保护加密密钥在发送到密钥管理中心的过程，整

14、个技术叫做密钥传送；p（2）加密密钥由本地和远端密钥管理实体一起合作产生密钥。这个技术叫做密钥交换，或密钥协议。最典型的密钥交换协议是Diffie-Hellman密钥交换。第23页，此课件共46页哦计算机网络密钥分配方法 n（1）只使用会话密钥；n（2）采用会话和基本密钥；n（3）采用非对称密码体制的密钥分配。第24页，此课件共46页哦1.会话密钥p这种分配方法适合比较小的网络系统中的不同用户保密通信。由一专门机构生成密钥后，将其安全发送到每个用户结点，保存在安全的保密装置内。在通信双方通信时，就直接使用这个会话密钥对信息加密。p这种只使用这一种密钥的通信系统的安全性低，因为密钥被每个结点共享

15、，容易泄露。在密钥更新时就必须在同一时间，在网内的所有节点（或终端）上进行，比较繁琐。这种情况不适合现在开放性、大容量网络系统的需要。第25页，此课件共46页哦2.会话和基本密钥 p这种方法进行数据通信的过程是：主体在发送数据之前首先产生会话密钥，用基本密钥对其加密后，通过网络发送到客体；客体收到后用基本密钥对其解密，双方就可以开始通话了；会话结束，会话密钥消失。为了防止会话密钥和中间一连串加密结果被非法破译，加密方法和密钥必须保存在一个被定义为保密装置的保护区中。基本密钥必须以秘密信道的方式传送，注入保密装置，不能以明文形式存在于保密装置以外。p基于这种情况的密钥分配已经产生了很多成熟的密钥

16、协议。例如：Wide-Mouth Frog密钥分配协议，Yahalom密钥分配协议，Needham-Schroeder协议，Kerberos协议。第26页，此课件共46页哦3.采用非对称密码体制的密钥分配 p当系统中某一主体A想发起和另一主体B进行秘密通信时，先进行会话密钥的分配。A首先从认证中心获得B的公钥，用该公钥对会话密钥进行加密，然后发送给B，B收到该信息后，用自己所唯一拥有的私钥对该信息解密，就可以得到这次通信的会话密钥。这种方法是目前比较流行的密钥分配方法。第27页，此课件共46页哦密钥注入 p密钥的注入通常采用人工方式。密钥常用的注入方法有：键盘输入、软盘输入、专用密钥注入设备（

17、密钥枪）输入。采用密钥枪或密钥软盘应与键盘输入的口令相结合的方式来进行密钥注入更为安全。只有在输入了合法的加密操作口令后，才能激活密钥枪或软盘里的密钥信息。因此，应建立一定的接口规范。第28页，此课件共46页哦密钥存储 p密钥平时都以加密的形式存放，而且操作口令应该实现严格的保护。加密设备应有一定的物理保护措施。如果采用软件加密的形式，应有一定的软件保护措施。存储时必须保证密钥的机密性、认证性和完整性，防止泄露和篡改。p较好的解决方案是：将密钥储存在磁条卡中，使用嵌入ROM芯片的塑料密钥或智能卡，通过计算机终端上特殊的读入装置把密钥输入到系统中。当用户使用这个密钥时，他并不知道它，也不能泄露它

18、，他只能用这种方法使用它。若将密钥平分成两部分，一半存入终端，一半存入ROM密钥卡上。即使丢掉了ROM密钥卡也不致泄露密钥。将密钥做成物理形式会使存储和保护它更加直观。第29页，此课件共46页哦密钥更换和密钥吊销 p密钥的使用是有寿命的，一旦密钥有效期到，必须消除原密钥存储区，或者使用随机产生的噪声重写。密钥的更换，可以采用批密钥的方式，即一次注入多个密钥，在更换时可以按照一个密钥生效，另一个密钥废除的形式进行。替代的次序可以采用密钥的序号，如果批密钥的生成与废除是顺序的，则序数低于正在使用的密钥的所有密钥都已过期，相应的存储区清零。p会话密钥在会话结束时，会被删除，不需要吊销。一些密钥有有效

19、期，不需要吊销。对于密钥丢失或被攻击,密钥的拥有者必须将密钥不再有效并且不应该继续使用这一情况通知其他用户。对于私钥加密系统，如果密钥被攻击，那么启用新的密钥。第30页，此课件共46页哦密钥产生技术 p一个不合适的密钥有可能很容易被对方破解，这种密钥被称为弱密钥。导致弱密钥的产生有以下两种情形：（1）密钥产生设置的缺陷和密钥空间的减少：对于一个64位比特串的密钥，可以有1019种可能的密钥，然而实际上所对应的密钥空间中的密钥值比预计的要少的多。（2）人为选择的弱密钥：用户选择易于记忆的密钥是通常的选择，但这给密码破译提供了便利。p防止产生弱密钥的最佳方案是产生随机密钥，当然，这是不利于记忆的，

20、可以将随机密钥存储在智能卡中。在密钥产生的过程中，需要的是真正的随机数。密钥产生的制约条件有三个：这就是随机性，密钥强度和密钥空间。p有两种密钥产生方法：硬件方法和软件方法。第31页，此课件共46页哦密钥产生的硬件技术 p噪声源技术是密钥硬件产生的常用方法。噪声源的功能为：产生二进制的随机序列或与之对应的随机数；在物理层加密的环境下进行信息填充，使网络具有防止流量分析的功能。当采用序列密码时，也有防止乱数空发的功能。用于某些身份验证技术中，如对等实体鉴别中。为了防止口令被窃取，常常使用随机应答技术，这时的提问与应答是由噪声源控制的。噪声源输出随机数序列有以下常见的几种：p（1）伪随机序列：也称

21、作伪码，具有近似随机序列（噪声）的性质，而又能按一定规律（周期）产生和复制的序列。一般用数学方法和少量的种子密钥来产生。p（2）物理随机序列：物理随机序列是用热噪声等客观方法产生的随机序列。实际的物理噪声往往要受到温度、电源、电路特性等因素的限制，其统计特性常带有一定的偏向性。因此也不能算是真正的随机序列。第32页，此课件共46页哦p（3）准随机序列：用数学方法和物理方法相结合产生的随机序列。这种随机序列可以克服前两者的缺点，具有很好的随机性。p物理噪声源按照产生的方法不同有以下常见的几种：p（1）基于力学噪声源的密钥产生技术。通常利用硬币、骰子等抛散落地的随机性产生密钥。这种方法效率低，而且

22、随机性较差。p（2）基于电子学噪声源的密钥产生技术。这种方法利用电子方法对噪声器件（如真空管、稳压二极管等）的噪声进行放大、整形处理后产生密钥随机序列。根据噪声迭代的原理将电子器件的内部噪声放大，形成频率随机变化的信号，在外界采样信号CLK的控制下，对此信号进行采样锁存，然后输出信号为0、1随机的数字序列。p（3）基于混沌理论的密钥产生技术。在混沌现象中，只要初始条件稍有不同，其结果就大相径庭，难以预测，在有些情况下，反映这类现象的数学模型又是十分简单。因此利用混沌理论的方法，不仅可以产生噪声，而且噪声序列的随机性好，产生效率高。第33页，此课件共46页哦密钥产生的软件技术 pX9.17（X9

23、.17-1985金融机构密钥管理标准，由ANSI美国国家标准定义）标准定义了一种产生密钥的方法，算法是三重DES，目的是在系统中产生一个会话密钥或是伪随机数。其过程如下：p假设表示用密钥对比特串进行的三重DES加密，是为密钥发生器保留的一个特殊密钥。是一个秘密的64位种子，是一个时间标记。产生的随机密钥可以通过下面的算式来计算，如图3-6所示。第34页，此课件共46页哦密钥的分散管理与托管 p密钥的分散管理就是把主密钥拷贝给多个可靠的用户保管，而且可以使每个持密钥者具有不同的权力。其中权力大的用户可以持有几个密钥，权力小的用户只持有一个密钥。也就是说密钥分散地把主密钥信息进行分割，不同的密钥持

24、有者掌握其相应权限的主密钥信息。如图3-7所示。第35页，此课件共46页哦p模型中，各个子系统分别掌握私钥的一部分信息，而要进行会话的真实密钥是所有这些子系统所掌握的不同密钥的组合，但不是简单的合并。这样做的好处是，攻击者只有将各个子系统全部破解，才能得到完整的密钥。但是会导致系统效率不高。采用存取门限机制可以解决认证过程复杂、低效的问题。p密钥管理的复杂性主要体现在密钥的分配和存储，对于不是主密钥的其他密钥，也可以分散存储。为了提高密钥管理的安全性，采用如下两种措施：（1）尽量减少在网络系统中所使用的密钥的个数；（2）采用（k，w）门限体制增强主密钥的保密强度，即将密钥E分成w个片段，密钥由

25、k（kw）个密钥片段产生，小于或等于k-1个片段都不能正确产生E，这样一个或k-1个密钥片段的泄露不会威胁到E的安全性。第36页，此课件共46页哦p目前有三种基本的网络管理结构：集中式、层次式和分布式结构可以实现密钥的分散管理，其中层次式结构是一种重要的网络管理结构。层次式结构使用了对管理者进行管理（Manager of Managers）的概念，每个域管理者只负责他自己的域的管理，并不知道其它域的存在，更高级管理者从下级的域管理者获得信息，在域管理者之间不进行直接通信，这个结构具有很好的扩展性和较好的灵活性。第37页，此课件共46页哦密钥的分散、分配和分发 p密钥的分散是指主密钥在密钥的管理

26、系统中具有重要地位，因此他的安全至关重要，所以需要将主密钥按照权限分散在几个高级用户（或是机构）中保管。这样可以避免攻击者破获主密钥的可能性。分配是指用户或是可信第三方为通信双方所产生密钥协商的过程。分发是指密钥管理系统与用户间的密钥协商过程。过程如图3-8所示。第38页，此课件共46页哦密钥的托管技术 p1993年4月美国政府公布托管加密标准（Escrowed Encryption Standard，EES），提出了密钥托管的新概念，即提供强密码算法实现用户的保密通信，并使获得合法授权的法律执行机构利用密钥托管机构提供的信息，恢复出会话密钥从而对通信实施监听。p密钥托管是指用户向CA在申请数

27、据加密证书之前，必须把自己的密钥分成份交给可信赖的个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这个人存储的密钥合在一起才能得到用户的完整密钥。密钥托管有如下重要功能：第39页，此课件共46页哦p（1）防抵赖。在商务活动中，通过数字签名即可验证自己的身份可防抵赖。但当用户改变了自己的密码，他就可抵赖没有进行过此商务活动。为了防止这种抵赖有几种办法，一种是用户在改密码时必须向CA说明，不能自己私自改变。另一种是密钥托管，当用户抵赖时，其他位托管人就可出示他们存储的密钥合成用户的密钥，使用户没法抵赖。p（2）政府监听。政府、法律职能部门或合法的第三者为了跟踪、截获

28、犯罪嫌疑人员的通信，需要获得通信双方的密钥。这时合法的监听者就可通过用户的委托人收集密钥片后得到用户密钥，就可进行监听。p（3）密钥恢复。用户遗忘了密钥想恢复密钥，就可从委托人那里收集密钥片恢复密钥。第40页，此课件共46页哦p密钥托管加密系统按照功能的不同，逻辑上可分为五大部分p用户安全部分（User Security Component，USC）p密钥托管部分（Key Escrow Component，KEC）p政府监听部分（也就是数据恢复部分（Data Recovery Component，DRC），p法律授权部分（Court Authorization Component，CAC）p外

29、部攻击部分（Outsider Attack Component，OAC）第41页，此课件共46页哦p1.用户安全部分（USC）p主要是指能提供数据加解密及密钥托管功能的硬件设备或软件程序，其中密钥托管功能可提供一个用来解密密文的数据恢复域DRF（Data Recovery Field）。USC主要由以下几部分组成：p（1）数据加解密算法。首先USC提供的算法是整个密钥托管加密系统的基础，其中安全强度、加密速度和密钥长度是衡量算法优劣的主要参数。p（2）存储的身份和密钥。其次USC要存储用户、USC或托管代理等的身份，以及用户的密钥、USC族密钥等，其中用户密钥应该唯一标识USC。这些身份和密钥

30、信息可被监听机构用来追踪消息的源及解密被加密的数据等。p（3）DRF机制。最后USC还必须提供一种机制把密文和加密密钥K捆绑到数据恢复密钥（即把密文和DRF捆绑在一起），使得监听机构能由DRF来解密加密数据，其中被捆绑到的数据恢复密钥由托管代理掌握。pDRF除了包含会话密钥K的加密拷贝外，还包含一些身份号、加解密算法模型、校验和等信息。整个DRF最后用一个族密钥加密，其中它的有效性要由一种认证机制来保证。第42页，此课件共46页哦p2.密钥托管部分（KEC）pKEC由密钥托管代理操作，主要用来管理数据恢复密钥的存储和释放，它也可能是一个公开密钥证书管理系统或一个密钥管理中心的一部分。pKEC包

31、含4个元素：托管代理。它是KEC的操作者。数据恢复密钥。它主要用来恢复数据加密密钥，这部分内容主要包含秘密共享门限方案、密钥的产生和分配、托管时间、密钥更新、部分特性及密钥的存储等。数据恢复服务。KEC提供的服务主要是释放托管信息给DRC，服务的项目大致有：释放数据恢复密钥、释放派生密钥、解密密钥和执行门限方案等。托管密钥的保护。它主要用来克服密钥的损坏或丢失。第43页，此课件共46页哦p3.政府监听部分（DRC）pDRC使用由KEC提供的信息和DRF中的信息把被加密的数据恢复到明文，它主要包含以下两方面：数据加密密钥的恢复。为了解密被加密的数据，DRC必须获得数据加密密钥K。有关解密的保护。

32、DRC可使用技术上的、过程上的和法律上的保护措施来控制解密，例如，数据恢复可被限制到一个特殊的周期。p法律授权部分（CAC）pCAC的主要职责是根据DRC截获的信息和有关法律条文及实际情况进行综合考虑，确定给DRC监听以适当的授权，其中授权内容主要包括：p监听时间界限。法律授权机构授予监听机构的“order”中规定了通信的监听时间，使得监听机构只能监听该时间内的用户通信。p监听目标界限。法律授权机构授予监听机构的“order”中规定了通信的监听对象，一种是一般对象监听，即监听机构根据委托代理给予的用户A的信息可监听用户A与任何用户之间的通信，另一种是特定对象监听，即监听机构根据委托代理给予的信

33、息只能监听特定的两个用户，如A与B之间的通信。第44页，此课件共46页哦p5.外部攻击部分（OAC）p除以上四部分外的所有攻击该密钥托管加密系统的成员都属于该部分，其中主要是对密钥托管加密信道的攻击。第45页，此课件共46页哦p3.7.3 部分密钥托管技术p1995年，Shamir提出部分密钥托管的方案，其目的是为了在监听时延迟恢复密钥，从而阻止了政府大规模实施监听事件的发生。p所谓部分密钥托管，就是把整个私钥c分成两个部分x0和a，使得c=x0+a，其中a是小比特数，x0是被托管的密钥。x0被分成许多份子密钥，它们分别被不同的托管机构托管，只有足够多的托管机构合在一起才能恢复x0。监听机构在实施监听时依靠托管机构只能得到x0，要得到用户的私钥c，就需穷搜出a。从上面的描述可以看出，一旦监听机构对某个用户实施监听后，监听机构就可以知道用户的私钥c。这样，用户不得不重新申请密钥。这对诚实合法的用户来说是不公平的。第46页，此课件共46页哦