Kriptográfiai kulcsszerver

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2020. február 1-jén felülvizsgált verziótól ; az ellenőrzések 4 szerkesztést igényelnek .

Az információbiztonság szempontjából a kriptográfiai kulcsszerver egy olyan gazdagép , amelyet tárolásra és a felhasználók felé továbbítanak, valamint más kriptográfiai kriptográfiai kulcsszervereket .

Az ilyen típusú kiszolgálók által kiosztott kulcsokat leggyakrabban egy digitális tanúsítvány részeként használják, amely nemcsak magát a kulcsot tartalmazza, hanem a kulcs tulajdonosára vonatkozó információkat is. Általános szabály, hogy ebben az esetben a közös szabványok egyikének tanúsítványát használják: OpenPGP , X.509 vagy PKCS . Ezenkívül ezek a kulcsok általában nyilvános kulcsok, amelyeket nyilvános kulcsú titkosítási algoritmusokban használnak .

Történelem

Az ilyen típusú kiszolgálók létrehozására a nyilvános kulcsú titkosítási rendszerek megjelenése után volt szükség , amelyekben a felhasználó egy pár kulcsot hoz létre: privát és nyilvános. Ezen túlmenően, a nyilvános kulcsot, amint azt a név is sugallja, a nyilvánosság számára hozzáférhetővé kell tenni az EDS ellenőrzése és az üzenet titkosítása során végzett kriptográfiai műveletekben. A megfelelő kulcs keresése az interneten, vagy a kulcs személyes elküldésére irányuló kérés annak a személynek, akivel privát módon szeretne kommunikálni, sok időt vehet igénybe. Ezenkívül előfordulhat, hogy elavult vagy érvénytelen kulcsot kap. A kriptográfiai kulcsszerver ebben az esetben központi kulcstárolóként működik, amely minimálisra csökkenti az egyedi kulcskérések szükségességét, és a bizalmi lánc egyik szerkezeti elemévé válik .

Az első web-alapú PGP-kulcsszervert Mark Horowitz írta le és hozta létre a Massachusetts Institute of Technology -n folytatott tanulmányai során egy disszertáció megírása eredményeként . Ez a szerver a hozzá kifejlesztett protokoll (OpenPGP HTTP Keyserver Protocol) nevéről kapta a "HKP" nevet. A felhasználók fogadhatnak, letölthetnek kulcsokat, és kulcsokat is kereshetnek a szerveren ezzel a protokollal az 11371-es porton keresztül, vagy manuálisan egy böngészőn keresztül CGI - szkriptek futtatásával. A HKP létrehozása előtt a kulcsszervereket egy e-mail parancskezelőn keresztül kezelték .

A PGP Certificate Server néven ismert független kulcsszervert a PGP, Inc. fejlesztette ki . és alkalmazásként (a 2.5.x verziótól szerveralkalmazásként) elérhető a PGP kulcsszerver funkciók megvalósításához a 8.x verzió óta (kliens programok) [1] . 2002. január 1-jén a Network Associates Technology Corporation szabadalmat adott ki (6336186 amerikai egyesült államokbeli szabadalom) [2] a kulcsszerver koncepciójára.

Az elöregedő tanúsítványkiszolgáló lecserélésére a Network Associates bevezette a PGP Keyserver 7.0 nevű LDAP -kulcskiszolgálót. A PGP 6.0 megjelenése óta ez a kulcsszerver-megvalósítás lett a Network Associates PGP-megvalósításainak alapfelülete. Az LDAP és LDAPS kulcsszerverek (HKP támogatással a visszafelé kompatibilitás érdekében) lettek a PGP adminisztrációs eszközei is, amelyek a Netscape Directory Server séma szerinti vállalati privát kulcsszerver felépítésére szolgáltak . Később ezt a rendszert a PGP Corporation Global Directory-ja váltotta fel .

Nyilvános és privát szerverek

Számos nyilvánosan elérhető kulcsszerver létezik világszerte, amelyek lehetővé teszik OpenPGP -kulcsok tárolását és átvitelét az interneten keresztül. Ezeket a szervereket túlnyomórészt magánszemélyek tartják karban a pro bono koncepció szerint, így valósítva meg a PGP web of trust használati modelljét .

Számos nyilvánosan elérhető S/MIME kulcsszerver [3] lehetővé teszi az S/MIME kriptorendszerekben használt kulcsok hozzáadását vagy visszavonását is.

A fentieken kívül számos szabadalmaztatott nyilvános kulcsú infrastruktúra létezik, amelyek kulcsszervert tartalmaznak, amely lehet nyilvánosan elérhető vagy privát, és csak a rendszer felhasználóit szolgálja ki.

Használati problémák

A 90-es években kifejlesztett OpenPGP kulcsszerverek számos használati problémával szembesültek. A szerverre való feltöltést követően a nyilvános kulcsot nagyon nehéz eltávolítani. Különféle okok miatt (például egy párosított privát kulcs elvesztése vagy ellopása miatt) egyes felhasználók felhagytak a nyilvános kulcsaik használatával. Ebben az esetben elég nehéz volt eltávolítani a nyilvános kulcsot, és még ha eltávolították is, semmi sem akadályozta meg a támadót abban, hogy újra feltöltse a kulcs másolatát a szerverre. Ilyen helyzetben nagyszámú régi, szükségtelen nyilvános kulcs halmozódott fel a szerveren, a kulcsszerver úgynevezett "aterosklerotikus plakkjai".

A másik probléma az volt, hogy bárki feltölthetett a szerverre egy olyan fiktív nyilvános kulcsot, amely olyan személyhez volt társítva, aki nem tulajdonosa ennek a kulcsnak. Az ilyen kulcsszervereken nincs mód a kulcs legitimitásának ellenőrzésére.

E problémák megoldására a PGP Corporation kifejlesztette a kriptográfiai kulcsszerverek új generációját PGP Global Directory néven [1] . Az ilyen szervereken nyilvános kulcs hozzáadásakor a kívánt tulajdonos e-mail-címére kérést küldtek a kulcs betöltése alatti tulajdonjogának megerősítésére. Ha megerősítés érkezett, a kulcsot a szerver legitimnek fogadta el. Ezenkívül annak elkerülése érdekében, hogy a kulcs fiktív „táblává változzon”, egy ilyen kérést rendszeresen újra el lehet küldeni. Ennek eredményeként a szerveren lévő kulcsok listája naprakész volt, és kívánt esetben a tulajdonos e-mailben történő lekérésével mindig ellenőrizni lehetett a kulcs jogosságát. Sajnos az a tény, hogy a legitimitás-ellenőrzést kriptográfiai módszerek alkalmazása nélkül hajtották végre egy hagyományos e-mailen, oda vezetett, hogy bárki, aki hozzáfért az e-mail fiókhoz, például eltávolíthatja a kulcsot vagy hozzáadhat egy ál kulcsot. .

A HKP legújabb IETF tervezete DNS SRV rekordokon alapuló titkosítási kulcsszerverek elosztott hálózatát írta le : amikor [email protected] kulcsot keresünk, lekérdezés küldhető az example.com kulcsszerverre.

Példák kulcsszerverre

Az alábbiakban felsorolunk néhány kulcsszervert, amelyeket leggyakrabban használnak kulcsok beszerzésére a "gpg --recv-key" paranccsal

hkp://subkeys.pgp.net (szerverkészlet)
hkp://pgp.mit.edu
hkp://pool.sks-keyservers.net Archiválva : 2019. december 16. a Wayback Machine -nél (szerverkészlet)
hkp://zimmermann.mayfirst.org (támogatja a TLS kulcskérést is )

Lásd még

Jegyzetek

↑ 1 2 PGP globális címtár . Letöltve: 2012. október 23. Az eredetiből archiválva : 2001. május 18.. (határozatlan)
↑ 6336186-os amerikai szabadalom (elérhetetlen link)
↑ KeyServers - CAcert Wiki . Letöltve: 2012. október 24. Az eredetiből archiválva : 2018. január 8.. (határozatlan)

Linkek

Mark Horowitz tézisei
A kulcsszerverek listája archiválva 2018. március 28-án a Wayback Machine -en az Open Directory Projectben
A HKP megvalósítása PHP - ben
openPGP projekt Oroszországban (orosz)
Az OpenPGP nyilvános kulcskiszolgáló egy BSD-licencű kulcsszerver-megvalósítás .
Szinkronizáló kulcsszerver - kulcsszerver megvalósítása GPL-2.0+ licenc alatt (eng.)

Szimmetrikus titkosítási rendszerek
Rejtjelfolyam adatfolyam	A3 A5 A8 Decim F-FCSR Gabona HC-256 KCipher-2 MICKEY MUGI CSUKA Phelix RC4 Nyúl FÓKA HÓ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel hálózat	GOST 28147-89 (Magma) blowfish Kamélia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra ÜZLET DES DESX DFC E2 EnRUPT FEAL HPC ÖTLET KASUMI Khafre Khufu LOKI97 MacGuffin MARS HÁLÓ MISTY1 NewDES NDS RC5 RC6 MAG Simon Sinopoli skipjack SM4 Folt TEA XTEA XXTEA Raiden RTEA Tripla DES Kéthal
SP hálózat	Szöcske 3 út ABC ÁRIA AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Öv CRYPTON Gyémánt2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer jelenlegi Szivárvány BIZTONSÁGOSBAN CÁPA NÉGYZET Kígyó háromhal
Egyéb	BÉKA NUSH REDOC SC2000 SHACAL CS-Cipher

Nyilvános kulcsú kriptorendszerek

Algoritmusok

Egész számok faktorizálása	Benalo kriptorendszer Bluma – Goldwasser Cayley Purser Damgorda – Eureka GMR Goldwasser – Micali Nakasha – Stern paye Rabin RSA Okamoto – Uchiyama Schmidt-Szamoa
Diszkrét logaritmus	BLS Cramer – Shoup Diffie-Hellman protokoll DSA ECDH Görbe 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Titkosított kulcscsere ElGamal séma aláírási séma MQV Schnorr-séma SPEKE SRP STS
Kriptográfia rácsokon	NTRUEncrypt NTRUSign Tanulás alapú kulcscsere hibákkal Aláírás alapú edzés hibákkal a ringben BOLDOGSÁG Új remény
Egyéb	AE CEILIDH EPOC Rejtett mező egyenletek IES Lamport aláírása McEliece Merkle-Hellman háti kriptorendszer Naccache–Stern háti kriptorendszer Három lépéses protokoll XTR

Elmélet

Szabványok

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Posztkvantum kriptográfia

Témák

Elektronikus aláírás
OAEP
Ujjlenyomat
PKI
a bizalom hálója
Kulcsméret
Identitás alapú kriptográfia
Posztkvantum kriptográfia
OpenPGP kártya

Hash függvények
Általános rendeltetésű	Adler-32 CRC Fletcher ellenőrző összeg FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH – Hash Tree jenkins hash hash összeg
Kriptográfia	Stribog GOST R 34.11-94 Öv BLAKE BMW CubeHash VISSZHANG edonkey2k FSB Fúga Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Bőr Snefru Tigris Örvény
Kulcsgenerálási funkciók	bcrypt PBKDF2 scrypt Argon2 Lyra2
Csekkszám ( összehasonlítás )	Ellenőrző összeg Verhouff algoritmusa Hold algoritmus Damm algoritmus Vonalkód bankszámlák bankkártyák VAN SNILS OKPO ÓN OKATO ISBN OGRN és OGRNIP VIN
Hashes	A csekkszámok összehasonlítása Hitelesítési protokollok Vonalkód összehasonlítás Kriptográfia Mágneses kapcsolat Merkle aláírása ed2k URNA