de gestionare a cheilor

Gestionarea cheilor constă în procedurile pentru a se asigura că:

  • includerea utilizatorilor în sistem;
  • producția, distribuția și administrarea cheilor de hardware;
  • cu ajutorul tastelor de control;
  • schimba și distrugerea cheilor;
  • arhivare, stocare și recuperare a cheilor.

Gestionarea cheilor joacă un rol critic în criptografie ca bază pentru a asigura confidențialitatea schimbului de informații, identificarea și integritatea datelor. O proprietate importantă a unui sistem de gestionare a cheilor bine conceput este de a reduce provocările de securitate a multor chei pentru securitatea mai multor probleme-cheie care pot fi rezolvate relativ simplu prin asigurarea izolarea fizică a acestora în zone izolate și la adăpost de echipament. În cazul cheile pentru a asigura securitatea informațiilor stocate entității poate fi singurul utilizator care lucrează cu date în intervale succesive. Gestionarea cheilor în rețeaua de comunicații cuprinde cel puțin două discipline - expeditorul și destinatarul.

Obiective cheie de management

Obiectivul managementului cheie este de a neutraliza amenințările, cum ar fi:

  • compromiterea confidențialității chei private;
  • compromite autenticitatea cheilor publice sau private. În acest caz, în conformitate cu autenticitatea se referă la cunoștințele sau capacitatea de a verifica identitatea corespondentului pentru a asigura o comunicare confidențială care utilizează cheia;
  • utilizarea neautorizată a cheii private sau publice, de exemplu, folosind o cheie care a expirat.

Gestionarea cheilor se realizează de obicei în cadrul unei politici de securitate definite. Politicile de securitate detectează în mod direct sau indirect, amenințările pe care trebuie să se confrunte sistemul. În plus, se definește:

  • normele și procedurile care trebuie urmate și de urmat în procesul de gestionare a cheilor automată sau manuală,
  • responsabilitatea și răspunderea tuturor actorilor implicați în managementul, precum și toate tipurile de înregistrări care trebuie să fie păstrate pentru pregătirea mesajelor necesare și activitățile de audit legate de securitatea cheie.

Unul dintre instrumentele folosite pentru a oferi cheile de confidențialitate, o divizie a tastelor niveluri urmează.

  • Cheia de master - cea mai mare cheie în ierarhia, care nu este protejată criptografic. Apărarea sa este realizată prin mijloace fizice sau electronice.
  • Taste pentru chei de criptare - închise sau deschise chei utilizate pentru clasificare înainte de transmiterea sau stocarea alte chei de criptare. Aceste chei pot fi ele însele criptate folosind alte chei.
  • Taste pentru a cripta datele - sunt folosite pentru a proteja datele de utilizator.

Keys niveluri mai ridicate sunt folosite pentru a proteja cheile și datele la niveluri mai scăzute, reducând daunele la divulgarea de chei și volumul de informații necesare care au nevoie de protecție fizică.

Licența

Una dintre cele mai importante caracteristici ale sistemelor de gestionare a cheilor sunt perioada de valabilitate cheie. Tasta de valabilitate indică perioada de timp în care acesta poate fi utilizat de către părți de încredere.

Reducerea timpului cheile de acțiune necesare pentru atingerea următoarelor obiective:

  • limitând cantitatea de informații criptate în acest mod, care poate fi utilizat pentru criptanaliza;
  • a limita cantitatea de daune în cazul în care cheile compromise;
  • constrângerile de volum de timp mașină, care poate fi utilizat pentru criptanaliza.

În plus față de cheile nivelurilor de clasificare de mai sus, următoarea clasificare poate fi de asemenea introduse.

  • Cheile cu o durată de viață lungă. Acestea includ o cheie master, de multe ori - chei pentru chei de criptare.
  • Chei cu o durată scurtă. Acestea sunt cheile pentru criptarea datelor.

De obicei, cheile sunt folosite în acțiuni pe termen scurt în aplicațiile de telecomunicații, precum și pentru protecția datelor stocate - cu o durată de viață lungă. Trebuie amintit că termenul de „acțiune pe termen scurt“ se referă numai la data la care acțiunile-cheie și nu la perioada de timp în care cheia este să rămână un secret. De exemplu, cheia utilizată pentru criptare într-o singură sesiune, de multe ori sunt necesare pentru a cripta informația de pe aceasta nu poate fi deschis timp de mai multe decenii. În același timp, semnătura electronică este verificată imediat după transferul de mesaje, astfel încât cheia semnăturii trebuie să fie păstrată secretă pentru o perioadă destul de scurtă de timp.

Ciclul de viață a cheilor

Informațiile cheie care urmează să fie migrat înainte de expirarea duratei de viață cheie. Acest lucru poate fi folosit o informație validă cheie, protocoale cheie de distribuție, precum și nivelurile de cheie. Pentru a limita daunele unui compromis cheie, ar trebui să evite dependențelor între informațiile cheie existente și a stabilit. De exemplu, este recomandat pentru a proteja următoarea cheia de sesiune cu ajutorul cheii de sesiune curente. La stocarea cheilor private trebuie luate pentru a asigura confidențialitatea și autenticitatea. La stocarea cheilor publice trebuie luate măsuri pentru a verifica autenticitatea lor. Confidențialitatea și autenticitate pot fi asigurate criptografic, măsuri organizatorice și tehnice.

Toate criptosistem, cu excepția cele mai simple, în care cheile utilizate sunt fixate o dată pentru totdeauna, au nevoie de chei de înlocuire periodice. Această înlocuire se realizează prin intermediul unor proceduri și protocoale, dintre care unele sunt utilizate și protocoalele de interacțiune cu o terță parte. Secvența de pași, care sunt cheile de la înființarea până la următoarea înlocuire se numește taste ciclului de viață.

  1. Înregistrare utilizator. Acest pas implică schimbul de informații cheie originale, cum ar fi parole sau coduri PIN-partajate. prin contact personal sau transmite printr-un curier de încredere.
  2. Inițializarea. În această etapă, utilizatorul setează hardware și / sau software-ul, în conformitate cu liniile directoare și regulamentele.
  3. generarea cheilor. Atunci când trebuie să se ia generația cheie pentru a asigura calitățile lor criptografice necesare. Cheile pot fi generate în mod independent de către utilizator, și un element special în siguranță a sistemului, și apoi transmise utilizatorului printr-un canal securizat.
  4. Setarea chei. Tastele sunt stabilite în hardware-ul într-un fel. Astfel, informațiile de bază inițiale obținute în etapa de înregistrare a utilizatorului, poate fi administrat fie direct în echipament, sau pot fi folosite pentru a stabili un canal securizat peste care se transmite informația cheie. Același lucru este utilizat în etapa următoare pentru a modifica informațiile cheie.
  5. chei de înregistrare. Centrul cheie de înregistrare de informații asociate cu numele de utilizator și alți utilizatori au raportat nucleul rețelei. Acest lucru creează un centru de certificare a certificatelor cheie, iar aceste informații sunt publicate într-un fel pentru cheia publică.
  6. Funcționarea normală. În această etapă, tastele folosite pentru a proteja informațiile în modul normal.
  7. cheie de stocare. Acest pas include proceduri necesare pentru a stoca cheia în condiții adecvate care să asigure siguranța acestuia până când acesta este înlocuit.
  8. Înlocuirea cheie. Înlocuirea cheie de exploatare până când expiră și include proceduri asociate cu generarea cheie, cheie protocolul de schimb de informații între corespondenții și o terță parte de încredere. Pentru cheia publică, această etapă include, de obicei, un schimb de informații prin intermediul unui canal securizat cu centrul de certificare.
  9. Arhivarea. În unele cazuri, informațiile de bază după utilizarea sa pentru protecția informațiilor pot fi supuse la arhivarea pentru extragerea cu scopuri speciale (de exemplu, probleme de adresă asociate cu eșecul semnăturilor digitale).
  10. Distrugerea de chei. După expirarea cheilor, acestea sunt scoase din circulație, precum și toate copiile distruse. Este necesar să se asigure că, în caz de distrugere a cheilor private bine distruse și toate informațiile pe care recuperarea lor parțială.
  11. De recuperare a cheilor. Dacă informația cheie este distrusă, dar nu compromisă (de exemplu, din cauza disfuncționalității echipamentelor sau din cauza faptului că operatorul a uitat parola) trebuie să fie furnizate pentru a face posibilă recuperarea cheii de depozitat în condiții adecvate, o copie a acesteia.
  12. Anulare chei. În cazul informațiilor cheie compromisa este necesară pentru a elimina utilizarea cheile de la datele de expirare curente. În acest caz, trebuie să fie furnizate notificarea măsurile necesare pentru abonați. Dacă anulați cheia publică, prevăzută cu certificate în același timp, a făcut încetarea certificatului.

Serviciile furnizate de către o terță parte de încredere

În ciclul de viață al managementului cheie joacă un rol important așa-numita terță parte de încredere. Aceste funcții pot fi definite după cum urmează.

  1. nume de servere de abonați - oferă abonaților, oferind fiecărui nume individual.
  2. Înregistrare Center - asigură includerea fiecăruia dintre abonați într-o rețea de comunicații securizată și eliberarea unei informații cheie corespunzătoare.
  3. producția KDC.
  4. Cheia (ID) server - oferă o configurare cheie de sesiune comună între doi abonați prin transmiterea cheii printr-un canal securizat care a produs de server pentru fiecare dintre abonați. Acest lucru poate fi efectuată și identificarea abonaților.
  5. Key Management Center - oferă posibilitatea de stocare, arhivare, înlocuirea și anularea cheilor, precum și activitățile de audit legate de ciclul de viață al chei.
  6. Centrul de certificare - asigură autenticitatea cheii publice, oferindu-le certificate, certificate de semnătură digitală.
  7. Centrul de amprente de timp de fixare - oferă o completare snap-timestamp la mesajul electronic sau tranzacție, asigurându-se astfel prezența lor la un anumit moment.
  8. Centrul notarială - oferă non-repudiere a făcut la un moment dat în declarațiile înregistrate în format electronic.