[Kerberos] 简化的加密和校验和总则
基于上一篇:[Kerberos加密和校验和总则]
1. A Key Derivation Function
我们没有定义“protocol key” 由大量加密密钥组成的一些方案,而是使用从 base key 派生的密钥来执行加密操作。
base key 必须只用于生成其他 key。而且这个生成过程必须是不可逆的(non-invertible)并且熵保持的(entropy preserving)。
鉴于这些限制,一个派生密钥的泄露并不会危及其他密钥。
对
base key的攻击是非常有限的,因为它仅用于生成其他 key 并且不会用于处理任何用户数据。
从 base key 生成 derived key:
Derived Key = DK(Base Key, Well-Known Constant);
DK(Key, Constant) = random-to-key(DR(Key, Constant));
DR(Key, Constant) = k-truncate(E(Key, Constant, initial-cipher-state));
其中:
DR 是一个随机序列生成函数 (random-octet generation function)
DK 是一个 key-derivation 函数
E(Key, Plaintext, CipherState) 是一个 cipher
Constant 是由该函数具体用途决定的众所周知的一个常量
k-truncate 用于从输入中截取前 k 个比特。
k 是该加密算法所使用的 key generation seed length
当 Constant 的长度小于 E 的 cipher block size 时, 需要使用 n-fold 函数扩展其长度,以便可以使用相应的 E 来加密它。
当 E 算法的输出长度小于 K时, 则根据需要多次将其加密结果作为输入继续加密,直到达到指定长度。
K1 = E(Key, n-fold(Constant), intial-cipher-state);
K2 = E(Key, K1, initial-cipher-state);
K3 = E(Key, K2, initial-cipher-state);
K4 = ...
DR(Key, Constant) = k-truncate (K1 | K2 | K3 | K4 ...)
'|' 表示拼接
n-fold 是一种算法,它采用 m 个输入位并“拉伸”它们,以形成 n 个输出位,每个输入位对输出的贡献相等,
We first define a primitive called n-folding, which takes a variable-length input block and produces a fixed-length output sequence. The intent is to give each input bit approximately equal weight in determining the value of each output bit. Note that whenever we need to treat a string of octets as a number, the assumed representation is Big-Endian – Most Significant Byte first.
To n-fold a number X, replicate the input value to a length that is the least common multiple of n and the length of X. Before each repetition, the input is rotated to the right by 13 bit positions. The successive n-bit chunks are added together using 1’s-complement addition (that is, with end-around carry) to yield a n-bit result…
在这里, n-fold 总是被用于输出一个 c 位的输出, c 是 E 算法的 cipher block size。
当 E 的 block size 小于 random-to-key 要求的输入长度时, 需要重复调用 E(将前一次的结果作为下一次的输入), 直到输出长度达到 random-to-key 要求的输入长度。
2. 简化总则
-
protocol key format
-
string-to-key function
-
default string-to-key parameters
-
key-generation seed length, k
-
random-to-key function
保持不变
-
unkeyed hash algorithm,
H这应该是一种具有固定大小输出的抗碰撞哈希算法(collision-resistant hash algorithm),适合在 HMAC 中使用.
它必须支持任意长度的输入。其输出必须至少为 message block size。
-
HMAC output size,
h这表示的在传输的消息中使用的 HMAC 函数输出的前导字符串的长度。
它应该至少是哈希函数
H输出大小的一半, 至少 80 位。 -
message block size,
m这是当前加密算法能处理的最小单元的大小。
消息将被填充为此大小的倍数。
当一个加密算法可以处理非块大小整数倍的数据时(例如 CTS 模式)则该值位 1 字节。
对于传统的带有填充的 CBC 模式, 它的值是底层加密算法的块大小。
-
encryption/decryption functions,
EandD这些是针对大小为消息块大小倍数的消息的基本加密和解密函数。
这里不应包括完整性检查或confounder。
-
cipher block size,
c这是底层加密和解密算法所使用分组加密算法的块大小, 用于密钥派生以及消息 confounder 和初始向量的大小。
3. 基于简化总则的密码系统
使用上述的 key derivation函数生成三个中间密钥(intermediate keys):
- 一个用于计算原始明文数据的检验和
- 其他两个用于加密和计算密文的检验和
最终输出的密文是以下部分拼接构成:
- 加密函数
E的输出 - 使用哈希函数
H的 HMAC 的输出(可能是截断的,只用前面特定长度)
其中明文加密前, 需要添加前缀 confounder 和 后缀必要的填充以便消息长度是消息块大小的整数倍。
| protocol key format | 和总则相同 |
| specific key structure | 三个 key: { Kc, Ke, Ki } |
| key-generation seed length | 和总则相同 |
| required checksum mechanism | 如下 |
| cipher state | IV 初始化向量 |
| initial cipher state | 所有位为 0 |
| encryption function | conf = Random string of length c pad = Shortest string to bring counder and plaintext to a length that's a multiple of m`(C1, newIV) = E(Ke, config |
| decryption function | (C1, H1) = ciphertext(P1, newIV) = D(Ke, C1, oldstate.ivec)if (H1 != HMAC(Ki, P1)[1..h])--report errornewstate.ivec = newIV |
| default string-to-key params | 和总则相同 |
| pseudo-random function | tmp1 = H(octet-string)tmp2 = truncate tmp1 to multiple of m PRF = E(DK(protocol-key, prfconstant), tmp2, intial-cipher-state)在 PRF 中使用的 prfconstant 是一个三字节的字符串 "prf". |
| key generation functions: | |
| string-to-key function | 和总则相同 |
| random-to-key function | 和总则相同 |
| key-derivation function | 在 DK 中使用的 "“well-known constant” 是 key usage number. 采用大端编码转为 4字节长度的数组, 外加一个额外的字节, 如下: `Kc = DK(base-key, usage |
4. 基于简化总则的检验和
当使用以上简化的密码系统时, 检验和可以为定义如下:
| associated cryptosystem | 如上 |
| get_mic | HMAC(Kc, message)[1..h] |
| verify_mic | get_mic 然后对比结果 |