при управление на ключове

Ключ за управление се състои от процедурите, които да гарантират, че:

  • включване на потребители в системата;
  • производство, дистрибуция и управление на ключовете на хардуера;
  • използване на клавишите за управление;
  • се промени и унищожаването на ключове;
  • архивиране, съхранение и ключ за възстановяване.

Управление на ключовете, играе изключително важна роля в криптографията като основа да се гарантира поверителността на обмена на информация, идентифициране и целостта на данните. Важно свойство на добре изградена система за управление на ключ е да се намали на предизвикателствата на сигурността на много ключове за сигурността на няколко ключови проблема, които могат да бъдат решени относително просто, като се гарантира тяхната физическа изолация на отделни части и защитени от оборудването. В случай на клавишите, за да се гарантира сигурността на съхраняваната информация субект може да бъде единственият потребител, който работи с данни в последователни интервали. Ключ за управление на комуникационната мрежа се състои от най-малко две дисциплини - на изпращача и получателя.

Ключови цели за управление

Целта на управлението на ключовете е да се неутрализира подобни заплахи като:

  • компрометиране на конфиденциалност на частни ключове;
  • компрометира автентичността на частни или публични ключове. В този случай, по силата на автентичността се отнася до знанието или възможността да проверяват самоличността на кореспондент за да се гарантира поверителна комуникация, която се използва ключа;
  • неразрешено използване на частен или публичен ключ, например, с помощта на ключ, който е изтекъл.

Ключ за управление обикновено се извършва в контекста на определена политика за сигурност. Политиките за сигурност, пряко или косвено открива заплахите, които трябва да се изправят срещу системата. В допълнение, той определя:

  • правила и процедури, които да бъдат следвани и трябва да се следват в процеса на автоматично или ръчно управление на ключове,
  • отговорност и отчетност на всички участници в управлението, както и всички видове документи, които трябва да бъдат запазени за подготовка на необходимите послания и одитните дейности, свързани с ключ за защита.

Един от инструментите, използвани за предоставяне на ключове за конфиденциалност, подразделение на клавишите нива следва.

  • Главният ключ - най-високият ключ в йерархията, който не е защитен криптографски. Неговата защита се извършва от физически или електронни средства.
  • Ключове за ключове за криптиране - затворени или отворени ключове, използвани за класифициране преди предаване или съхранение на други ключове за криптиране. Тези ключове могат сами да бъдат криптирани с помощта на други клавиши.
  • Ключове за криптиране на данни - се използват за защита на потребителските данни.

Ключове по-високи нива се използват за защита на ключове и данни на по-ниски нива, намаляване на вредите за разкриването на ключове и обема на информацията, необходима които се нуждаят от физическа защита.

Лицензът ще

Един от най-важните характеристики на основните системи за управление са от ключово значение срок на валидност. ключ Валидност посочва периодът от време, през който може да се използва от доверени лица.

Съкращаване на времето клавишите за действие, необходимо за постигане на следните цели:

  • ограничаване на количеството информация, криптирани по този начин, което може да се използва за криптоанализ;
  • ограничаване размера на щетите, ако компрометирани ключове;
  • обем ограничения на времето машина, която може да се използва за криптоанализ.

В допълнение към горните нива на класификация ключовете, може също така да бъде въведена следната класификация.

  • Ключове с дълъг живот. Те включват основен ключ често - ключове за криптиране ключове.
  • Ключове с кратка продължителност. Това са ключовете за криптиране на данните.

Обикновено се използват ключовете краткосрочни действия в телекомуникационни приложения, както и за защита на данните, съхранени - с дълъг живот. Трябва да се има предвид, че понятието "действия в краткосрочен план" се отнася само до датата на ключовите действия, а не за периода от време, през който най-важното е да остане в тайна. Например, ключ, използван за криптиране само за една сесия, често са необходими за кодиране на информацията за това не могат да бъдат отворени в продължение на няколко десетилетия. В същото време на електронния подпис се проверява веднага след предаването на съобщения, така че ключа за подпис, трябва да се пази в тайна, за доста кратък период от време.

Жизненият цикъл на ключовете

Основната информация за да се премести преди изтичането на ключовата живот. Това може да се използва валиден ключ информация, ключови протоколи за дистрибуция, както и ключови нива. За да се ограничат щетите от ключов компромис, трябва да избягвате зависимости между съществуващи и установени ключова информация. Така например, се препоръчва да се защитят следващата сесия ключ използване ключ на сесията. При съхраняване на частните ключове трябва да бъдат взети, за да се гарантира конфиденциалност и автентичност. При съхранение на публични ключове трябва да се вземат мерки, за да се провери тяхната автентичност. Конфиденциалност и автентичност може да бъде закрепено криптографски, организационни и технически мерки.

Всички криптосистема, с изключение на най-простите, в който ключовете, използвани са фиксирани веднъж завинаги, да изисква периодични ключове за подмяна. Тази замяна се извършва с помощта на определени процедури и протоколи, някои от които се използват и протоколите на взаимодействие с трета страна. Последователността от стъпки, които са ключът към създаването до следващия замяната се нарича ключове от жизнения цикъл.

  1. Регистрация на потребител. Тази стъпка включва подмяна на оригиналния ключовата информация, като пароли или споделени ПИН-кодове. от личен контакт или напред през доверен куриер.
  2. Инициализация. На този етап, потребителят определя на хардуера и / или софтуера в съответствие с насоките и разпоредби.
  3. Ключови поколение. Когато трябва да се генерирането на ключове, за да гарантира необходимото им криптографски качества. Ключовете могат да бъдат генерирани независимо от потребителя, и специален защитен елемент от системата, и след това се предават към потребителя чрез сигурен канал.
  4. Създаване ключове. Ключовете са определени в хардуера по някакъв начин. Така първоначалната ключовата информация, получена в регистрацията стъпка на потребителя, може да се прилага директно в оборудването, или да се използва за създаване на сигурен канал, през които се предава информацията за ключовете. Същото се използва в следващия етап, за да промените ключовата информация.
  5. Регистрация ключове. ключова информация в регистрационния център, свързан с името на потребителя и другите потребители съобщава ядрото на мрежата. Това създава център за сертифициране ключови сертификати, както и публикуването на тази информация по някакъв начин за публичния ключ.
  6. Нормалната работа. В тази стъпка, ключовете, използвани за защита на информацията в нормален режим.
  7. ключ за съхранение. Тази стъпка включва процедури, необходими за съхраняване на ключа в подходящи условия, които гарантират неговата безопасност, докато не бъде заменен.
  8. Подмяна на ключ. Смяна на отговорни оперативни докато не изтече и включва процедури, свързани с генерирането на ключове, ключ протокол за обмен на информация между кореспондентите и надеждна трета страна. За публичния ключ, тази стъпка обикновено включва обмен на информация чрез защитен канал с центъра на сертифициране.
  9. Архивиране. В някои случаи ключовата информация след използването му за защита на информацията може да бъде подложен на архивиране за неговото извличане специални цели (например, решаване на въпросите, свързани с повреда на електронните подписи).
  10. Унищожаване на ключове. След изтичане на ключове, те са излезли от употреба, както и всички копия унищожени. Необходимо е да се гарантира, че в случай на унищожаване на частни ключове напълно унищожени и цялата информация, на която частичното им възстановяване.
  11. Възстановяване на ключ. Ако ключовата информация се унищожава, но не компрометирана (например, поради повреда на оборудването или се дължи на факта, че операторът забравена парола) трябва да бъде предоставена, за да може да се възстанови ключа от съхраняван при подходящи условия, копие от него.
  12. Отмени ключове. В случай на нарушена ключова информация е необходимо да се премахне използването на ключовете за текущи изтичащ срок на годност. В този случай, трябва да се предоставя уведомлението необходимите мерки, за абонати. Ако анулирате публичния ключ, снабдени с удостоверения в същото време го прави прекратяването на сертификата.

Услуги, предоставяни от надеждна трета страна

В жизнения цикъл на ключ управление играе важна роля т.нар надеждна трета страна. Тези функции могат да бъдат определени, както следва.

  1. Имената на сървъра на абонатите - предоставя на абонатите дават всеки отделен име.
  2. Регистрация Център - гарантира включването на всеки един от абонатите в защитена комуникационна мрежа и издаването на съответен ключ информация.
  3. производство KDC.
  4. ключ (ID) сървър - предоставя обща сесия ключ за настройка между два абоната чрез предаване на ключа по защитен канал, който произвежда от сървъра на всеки от абонатите. Това може да се извърши и идентификация на абонати.
  5. Център за управление на ключ - помещение за съхранение, архивиране, подмяна и анулиране на клавишите, както и дейностите по одит, свързани с жизнения цикъл на ключове.
  6. Сертификационен център - гарантира автентичността на публичния ключ, като им удостоверения, заверени цифров подпис.
  7. Поставяне на времеви отпечатъци център - осигурява моментна клеймото на електронното съобщение или сделката, като по този начин се осигурява присъствието си в определено време.
  8. Център нотариална заверка - осигурява недопускане на отхвърляне на направеното в някакъв момент от изявленията, записани в електронна форма.