Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 11770-4:2018 信息技术 安全技术 密钥管理 第4部分:基于弱秘密的机制
基于弱秘密的安全密钥建立机制标准化指南
IEC 11770-4:2018(对应加拿大采纳版 CAN/CSA-ISO/IEC 11770-4:18)是国际标准化组织在密钥管理领域的重要标准,专门针对基于弱秘密的密钥建立机制进行规范。弱秘密通常指用户口令、PIN码等低熵秘密,其安全强度远低于加密密钥,因此需要特殊的协议设计来抵抗离线字典攻击、中间人攻击等威胁。该标准为密码学协议设计、产品合规及系统互操作提供了权威框架,自发布以来已被广泛应用于安全认证、远程访问、物联网设备配对等场景。
1. 标准概况与适用范围
IEC 11770-4:2018 是 IEC 11770 系列(IT安全技术—密钥管理)的第四部分,主要规定利用弱秘密在参与方之间安全地建立会话密钥或长期密钥的机制。标准涵盖以下核心范围:
- 定义基于弱秘密的密钥建立协议的安全模型与攻击类型;
- 规定多种具体机制,包括平衡PAKE(如EKE、SPEKE、SRP)与非平衡PAKE(如A-EKE、B-SPEKE);
- 明确协议的消息流、密钥派生函数要求及安全属性证明;
- 提供密钥确认与显式/隐式认证的方法。
该标准适用于任何需要在通信前利用低熵秘密协商强密钥的场景,典型应用包括:
- 客户端-服务器身份认证与密钥协商(如TLS-PSK、SSH的键盘交互认证);
- 无线网络设备配对(如Wi-Fi Protected Setup改进方案);
- 文件加密与云存储的零知识证明系统。
实用提示: IEC 11770-4 中的机制可有效抵抗离线字典攻击,即使攻击者截获通信数据,也无法通过穷举弱秘密来破解会话密钥。开发者在设计认证协议时,应优先参考标准中已分析过的机制,避免自创协议引入安全隐患。
2. 主要技术内容与要求
2.1 安全模型与假设
标准定义了形式化的安全模型,假设敌手可完全控制通信信道(窃听、篡改、重放、延迟),并能在离线状态下获取用户选择的弱秘密空间。协议必须实现会话密钥安全(SK安全)与口令安全(即协议不会泄漏弱秘密的任何信息)。
2.2 分类机制
IEC 11770-4 将基于弱秘密的机制分为两大类:
| 类型 | 描述 | 典型代表 | 安全特性 |
|---|---|---|---|
| 平衡机制(Balanced) | 双方共享相同的弱秘密,协议运行后各自计算会话密钥。 | EKE、SPEKE、SRP | 提供显式认证;抗脱机字典攻击;提供前向保密(视具体协议) |
| 非平衡机制(Unbalanced) | 一方持有弱秘密,另一方仅持有验证子(如加盐哈希),实际计算中使用秘密与验证子分别作用。 | A-EKE、B-SPEKE、OPAQUE | 服务器不存储明文秘密;即使服务器泄露验证子,也无法直接冒充用户;抗服务器脱库攻击 |
2.3 密钥派生与确认
所有机制均要求通过密钥派生函数(KDF)从弱秘密和协议交换的临时值生成强会话密钥。标准规定了以下原则:
- 必须使用符合 ISO/IEC 11770-1 的KDF(如HKDF);
- 建议包含密钥确认步骤,确保双方成功得到相同密钥;
- 显式认证需包含消息认证码(MAC)或零知识证明。
重要注意事项: 标准明确禁止在未使用盐值的情况下对弱秘密直接哈希,因为这会使得彩虹表攻击变得可行。非平衡机制中的“验证子”必须包含足够长的盐且使用慢速哈希(如PBKDF2、bcrypt、Argon2)。
3. 实施与应用要点
3.1 算法选择与参数配置
实施方需根据安全等级选择具体机制。以 SRP(安全远程口令协议)为例,它要求使用大素数群(至少2048位)以避免子群攻击。标准附录提供示例参数。建议新系统优先采用非平衡机制(如OPAQUE),以提供更好的服务器泄露抵抗力。
3.2 与现有密码基础设施的集成
IEC 11770-4 可与其他标准协同:
- ISO/IEC 11770-1:通用密钥管理框架;
- ISO/IEC 11770-3:使用公钥技术的机制(可用于协助弱秘密注册);
- ISO/IEC 9798-3:实体认证协议(弱秘密机制可嵌入认证流程)。
标准实施的益处: 采用IEC 11770-4 标准机制可以显著降低密码学设计风险,提高互操作性,并能够通过安全评估认证(如FIPS 140-3、CC认证)。许多行业法规(如GDPR下的数据保护)也推荐或要求使用此类标准化的密钥管理方法。
安全关键要求: 任何产品若声称符合IEC 11770-4,必须通过 ISO/IEC 19790(密码模块安全)或同等标准的测试,确保随机数生成、时间常数比较、中间结果清理等实现级安全。否则可能引入侧信道漏洞,使弱秘密保护形同虚设。
4. 与其他标准的关系
IEC 11770-4 是密码学标准体系的一部分,其发展借鉴了IEEE 1363.2(基于口令的公钥密码标准)及RFC系列(如RFC 5054 SRP、RFC 8125 OPAQUE)。IEC版本对RFC规范进行了更严格的安全模型定义,并统一了术语与测试向量。在中国,相关国家标准化机构已将其等同采用为GB/T标准,在金融、政务等领域强制要求。
预计到2026年,IEC/ISO将发布修订版,纳入后量子安全弱秘密机制,并加强对量子攻击的迁移建议。届时实施者应关注标准更新,提前规划密码敏捷性。
常见问题(FAQ)
问: IEC 11770-4 中“弱秘密”的具体定义是什么?
答: 弱秘密指熵值较低(通常小于120比特)的秘密,如人类可记忆的口令、PIN码或共享短语。标准假设攻击者可在离线状态下穷举该空间,因此协议必须设计为在线尝试次数受限,且离线计算无法验证猜测的正确性。
答: 弱秘密指熵值较低(通常小于120比特)的秘密,如人类可记忆的口令、PIN码或共享短语。标准假设攻击者可在离线状态下穷举该空间,因此协议必须设计为在线尝试次数受限,且离线计算无法验证猜测的正确性。
问: 实施该标准是否需要申请专利许可?
答: 部分机制早期存在专利(如EKE、SPEKE),但随着期限已过或进入开源领域,目前多数机制已是自由实现。IEC标准本身不包含专利,但建议开发者在选用具体算法时检索相关专利状态,或使用标准中标记为“免版税”的机制(如SRP、OPAQUE)。
答: 部分机制早期存在专利(如EKE、SPEKE),但随着期限已过或进入开源领域,目前多数机制已是自由实现。IEC标准本身不包含专利,但建议开发者在选用具体算法时检索相关专利状态,或使用标准中标记为“免版税”的机制(如SRP、OPAQUE)。
问: 标准是否强制要求使用特定曲线或有限域?
答: 不强制,但标准附录给出了推荐参数,如MODP Group 2048(RFC 5054)及椭圆曲线Curve25519。建议遵循最新密码学指南(如NIST SP 800-186),避免使用过时的小域。
答: 不强制,但标准附录给出了推荐参数,如MODP Group 2048(RFC 5054)及椭圆曲线Curve25519。建议遵循最新密码学指南(如NIST SP 800-186),避免使用过时的小域。
问: IEC 11770-4 与 FIPS 140-3 有何关联?
答: FIPS 140-3 是密码模块的安全等级认证标准,要求内部的密码算法与协议必须符合相关标准。实现IEC 11770-4 机制时,若将其作为独立密码模块申请FIPS认证,则可以同时满足两者要求。但FIPS当前只认可有限的弱秘密机制(如密钥协商方案),开发商需提前确认。
答: FIPS 140-3 是密码模块的安全等级认证标准,要求内部的密码算法与协议必须符合相关标准。实现IEC 11770-4 机制时,若将其作为独立密码模块申请FIPS认证,则可以同时满足两者要求。但FIPS当前只认可有限的弱秘密机制(如密钥协商方案),开发商需提前确认。
