密钥更换是指密钥的使用期已到,当通信双方任一方请求更换时域者已知或怀疑密钥已被泄露时,用新的密钥替换已用过的钥。密钥更换是保证通信各方进行安全通信不可缺少的一个重要环节。密钥更换的方式有三种。
(1)直接更换方式:密钥通过手工安装或键盘轴入。
(2)间接更换方式:密钥管理机构先将密钥置入稳定性高的载体,分发给用户,用户通过密钥载体将密钥注入密码机。
(3)自动更换方式:密钥分配中心或主台以遥控方式用新的密钥替换已用过的密钥。
密钥更换的要求是:
1.已知或怀疑密钥被泄露,密钥和它的变形都应该被替换。如果怀疑的密钥是一个密钥加密密钥或由其他密钥推导出来的密钥,各层和它有关的所有密钥都应被替换。
2.设一段时间内对用某密钥加密的数据用字典攻击或穷尽攻击能确定该密钥,则在该时间内应该更换该密钥。
3.如果确信或已知密钥已被非法替换,该密钥和有关的密钥加密密钥都应该被更换。
4.密钥更换必须将存贮在所有单元中的密钥更换掉,被更换的密钥不更换有效,并将其销毁。
更换密钥必须采用下面的两种方法:
一是分发一个新的密钥,即:
(a)重复有关密钥的生成、分发和装载的方法;
b)利用初始密钥分发规程,用存放在装置中的密钥加密密钥来加密新的工作密钥,然后将它发送纷安仝的密码装置。
二是对密钥进行不可逆变换产生一个新密钥,即:
(a)对要更换的密钥进行不可逆变换产生一个新密钥;
(b)对固定密钥和执行数据(可变因素)进行函数变换,生成一个新密钥。
当已知或怀疑密钥被泄露时,用分发一个新密钥来更换该密钥。当不知道或不怀疑密钥被泄露时,可以用不可逆变换产生一个新密钥来更换该密钥。
如果更换密钥是为了防止对加密数据进行字典攻击法,可采用(a)-(d)中的任何一种方法。如果更换密钥是为了防止泄露安全的密码装置,可采用(a)或(c)方法。如果采用密钮更换是由于对旧密钥可以进行穷尽攻击,可采用方法(a)。如果密钥加密密钥是双长度的,用夯尽法无法确定时,可采用方法(b)来更换密钥。如果工作密钥是双长度的,就不需要更换密钥。
5.所更换的密钥应得以确认。如果现存的密钥周期与新密钥周期有所重叠时,应该规定个有效的接替日期(或其他默认的参考时间),以便从规定之时起,不再使用旧密钥。在更换时刻,新旧密钥应技相同的安全级进行存贮。