Kulcskezelés

A kulcskezelés olyan eljárásokból áll, amelyek biztosítják:

• felhasználók bevonása a rendszerbe;
• kulcsok fejlesztése, forgalmazása és bevezetése a berendezésbe ;
• kulcshasználat ellenőrzése;
• a kulcsok megváltoztatása és megsemmisítése;
• kulcsok archiválása, tárolása és helyreállítása.

A kulcskezelés kritikus szerepet játszik a kriptográfiában , mivel az alapja az információcsere, az azonosítás és az adatok integritásának titkosságának . A jól megtervezett kulcskezelő rendszer egyik fontos jellemzője, hogy a több kulcs összetett biztonsági problémáit néhány kulcs biztonságossá tételére csökkenti, ami viszonylag egyszerűen megoldható úgy, hogy fizikai elkülönítést biztosítanak erre a célra kialakított helyiségekben és hamisításbiztos berendezésekben. . A tárolt információk biztonságát biztosító kulcsok használata esetén az alany lehet egyetlen felhasználó, aki egymást követő időszakokban dolgozik adatokkal. A kommunikációs hálózatokban a kulcskezelés legalább két alanyból áll – az üzenet küldőjéből és címzettjéből.

Kulcsfontosságú menedzsment célok

A kulcskezelés célja az olyan fenyegetések mérséklése, mint:

• a privát kulcsok titkosságának veszélyeztetése ;
• a privát vagy nyilvános kulcsok hitelességének veszélyeztetése . Ugyanakkor hitelesség alatt ismereteket vagy a levelező személyazonosságának ellenőrzésére való képességet kell érteni, hogy biztosítsák a bizalmas kommunikációt, amellyel ezt a kulcsot használják;
• magán vagy nyilvános kulcsok jogosulatlan használata, például egy lejárt kulcs használata.

Biztonsági politika

A kulcskezelés általában egy adott biztonsági szabályzat keretében történik. A biztonsági politika közvetve vagy közvetlenül meghatározza azokat a fenyegetéseket, amelyeket a rendszernek le kell küzdenie. Ezenkívül meghatározza:

• az automatikus vagy kézi kulcskezelés során követendő és követendő szabályok és eljárások,
• az irányításban részt vevő valamennyi jogalany felelőssége és elszámoltathatósága, valamint minden olyan nyilvántartás, amelyet a szükséges jelentések elkészítéséhez és a kulcsok biztonságával kapcsolatos intézkedések ellenőrzéséhez vezetni kell.

A kulcsok titkosságának biztosítására használt egyik eszköz a kulcsok következő rétegezése.

• A főkulcs  a hierarchia legmagasabb kulcsa, amely nem védett kriptográfiailag. Fizikai vagy elektronikus védelem alatt áll.
• Kulcstitkosítási kulcsok  – Privát vagy nyilvános kulcsok, amelyeket titkosításra használnak az átvitel előtt, vagy amikor más titkosítási kulcsokat tárolnak. Ezek a kulcsok maguk is titkosíthatók más kulccsal.
• Adattitkosítási kulcsok  – a felhasználói adatok védelmére szolgálnak.

A magasabb szintű kulcsok az alacsonyabb szintű kulcsok vagy adatok védelmére szolgálnak, ami csökkenti a kulcsok szabaddá válásának okozta sérüléseket és a fizikailag védendő információ mennyiségét.

Kulcsok lejárati dátumai

A kulcskezelő rendszer egyik fontos jellemzője a kulcsok érvényességi ideje. A kulcs lejárata azt az időtartamot jelenti, amely alatt azt megbízható felek használhatják.

A kulcsok érvényességi idejének csökkentése a következő célok eléréséhez szükséges:

• az adott kulccsal titkosított, kriptoanalízishez használható információ mennyiségének korlátozása ;
• a kulcsok veszélyeztetése esetén a kár mértékének korlátozása ;
• korlátozza a kriptoanalízishez felhasználható számítógépes időt.

A kulcsok fenti szint szerinti osztályozása mellett a következő osztályozás is bevezethető.

• Kulcsok hosszú érvényességi idővel. Ezek közé tartozik a főkulcs, gyakran a kulcsok titkosítására szolgáló kulcsok.
• Kulcsok rövid lejárati idővel. Ezek közé tartoznak az adatok titkosítására szolgáló kulcsok.

A távközlési alkalmazások jellemzően rövid élettartamú kulcsokat, míg a tárolt adatok védelmére hosszú élettartamú kulcsokat használnak. Ne feledje, hogy a „rövid élettartam” kifejezés csak a kulcs élettartamára vonatkozik, nem arra az időtartamra, ameddig a kulcsnak titkosnak kell maradnia. Például gyakran csak egy kommunikációs munkamenet során titkosításra használt kulcsra van szükség ahhoz, hogy a rajta titkosított információ rövid ideig ne legyen megnyitható. Ugyanakkor az elektronikus aláírás ellenőrzése az üzenet továbbítása után azonnal megtörténik, így az aláírási kulcsot több évig titokban kell tartani.

A kulcsok életciklusa

A kulcsinformációkat meg kell változtatni, mielőtt a kulcs lejár. Ehhez érvényes kulcsinformációk, kulcselosztási protokollok és kulcsszintek használhatók. A kulcskompromittálásból származó károk korlátozása érdekében kerülni kell az érvényes és a megállapított kulcsinformációk közötti függőséget. Például nem ajánlott a következő munkamenetkulcsot érvényes munkamenetkulccsal védeni. A privát kulcsok tárolása során ügyelni kell azok titkosságára és hitelességére. A nyilvános kulcsok tárolásakor intézkedéseket kell tenni azok hitelességének ellenőrzésére. A titkosság és a hitelesség titkosítási, szervezési és technikai intézkedésekkel biztosítható.

Minden kriptorendszert, kivéve a legegyszerűbbeket, amelyekben a használt kulcsok egyszer s mindenkorra rögzítve vannak, időszakonként kulcsokkal kell cserélni. Ezt a cserét bizonyos eljárások és protokollok használatával hajtják végre, amelyek némelyike ​​szintén protokollokat használ a harmadik féllel való interakcióhoz. Azt a szakaszt, amelyen a kulcsok átmennek a telepítés pillanatától a következő cseréig, kulcséletciklusnak nevezzük .

1. Felhasználó regisztráció . Ez a szakasz magában foglalja a kezdeti kulcsfontosságú információk, például a megosztott jelszavak vagy PIN -kódok cseréjét, akár személyesen, akár egy megbízható futáron keresztül.
2. Inicializálás . Ebben a szakaszban a felhasználó telepíti a hardvert és/vagy szoftvert a megállapított irányelveknek és szabályoknak megfelelően.
3. Kulcsgenerálás . A kulcsok generálásakor intézkedéseket kell tenni a szükséges kriptográfiai minőségük biztosítására. A kulcsokat a felhasználó önállóan, vagy a rendszer speciális biztonságos eleme állíthatja elő, majd egy biztonságos csatornán továbbítja a felhasználóhoz.
4. Kulcsok telepítése . A kulcsok ilyen vagy olyan módon be vannak szerelve a berendezésbe. Ebben az esetben a felhasználói regisztráció szakaszában megszerzett kezdeti kulcsinformáció vagy közvetlenül bevihető a berendezésbe, vagy felhasználható egy biztonságos csatorna létrehozására, amelyen keresztül a kulcsinformációkat továbbítják. Ugyanezt a szakaszt használjuk később a kulcsinformációk módosítására. A tényleges kulcsérték veszélyeztetésének elkerülése érdekében KCV ellenőrzőösszeg algoritmusokat használnak az integritás ellenőrzésére .
5. A kulcsok regisztrációja . A kulcsfontosságú információkat a regisztrációs központ társítja a felhasználó nevéhez, és közli a kulcshálózat többi felhasználójával. Ugyanakkor a nyilvános kulcsokhoz kulcstanúsítványokat készít a hitelesítési központ, és ezeket az információkat így vagy úgy közzéteszi.
6. Normál üzemmód . Ebben a szakaszban a gombokat az információk normál módon történő védelmére használják.
7. Kulcstárolás . Ez a szakasz tartalmazza azokat az eljárásokat, amelyek szükségesek ahhoz, hogy a kulcsot megfelelő körülmények között tárolják, hogy biztosítsák a biztonságot a cseréig.
8. Kulcscsere . A kulcscsere a lejárati dátum előtt megtörténik, és magában foglalja a kulcsgenerálással kapcsolatos eljárásokat, a kulcsfontosságú információk cseréjére szolgáló protokollokat a levelezők között, valamint egy megbízható harmadik féllel. Nyilvános kulcsok esetében ez a szakasz általában magában foglalja az információcserét egy biztonságos csatornán keresztül a hitelesítésszolgáltatóval.
9. Archiválás . Egyes esetekben a kulcsfontosságú információkat, miután azokat az információk védelmére használták fel, speciális célokra (például a digitális aláírás elutasításával kapcsolatos kérdések megfontolása céljából) archiválhatják.
10. A kulcsok megsemmisítése . A kulcsok lejárata után kivonják a forgalomból, és minden rendelkezésre álló példányt megsemmisítenek. Ugyanakkor biztosítani kell, hogy a privát kulcsok megsemmisülése esetén minden olyan információ gondosan megsemmisüljön, amelyből részleges helyreállításuk lehetséges.
11. Kulcs helyreállítása . Ha a kulcsinformáció megsemmisült, de nem sérül meg (például a berendezés meghibásodása miatt, vagy azért, mert a kezelő elfelejtette a jelszót), intézkedéseket kell tenni annak érdekében, hogy a kulcsot a megfelelő körülmények között tárolt másolatából vissza lehessen állítani.
12. A kulcsok törlése . A kulcsfontosságú információk kompromittálódása esetén szükségessé válik a kulcsok használatának leállítása a lejárati dátumuk előtt. Ugyanakkor meg kell tenni a hálózati előfizetők értesítéséhez szükséges intézkedéseket. A tanúsított nyilvános kulcsok visszavonása egyidejűleg megszünteti a tanúsítványok érvényességét.

Megbízható harmadik fél (TPP) által nyújtott szolgáltatások

Az úgynevezett megbízható harmadik fél fontos szerepet játszik a kulcskezelési életciklusban. Az ITU X.842. számú ajánlásának meghatározása szerint a TTP olyan szervezet vagy ügynöke, amely egy vagy több biztonsági szolgáltatást nyújt, és amelyet más entitások e szolgáltatások szolgáltatójaként megbíznak. A TTP szolgáltatások fő kategóriái a következők:

1. Időrögzítő szolgáltatás
2. Letagadhatatlan szolgáltatások
3. Kulcskezelési szolgáltatások
4. Elektronikus közjegyzői szolgáltatások
5. Adatarchiválási szolgáltatás
6. Egyéb szolgáltatások, beleértve például az azonosítási és hitelesítési szolgáltatást, a beépített fordítási szolgáltatást és másokat.

Lásd még

• Információ biztonság
• Kulcs (kriptográfia)
• Kriptográfiai protokoll
• Egy titok megosztása
• Diffie-Hellman algoritmus
• Kriptográfiai kulcsszerver

Jegyzetek

Irodalom

• A. P. Alferov, A. Yu. Zubov, A. S. Kuzmin, A. V. Cseremuskin. A kriptográfia alapjai. - M .: Helios, 2005.
• Mao V. Modern kriptográfia : Elmélet és gyakorlat / ford. D. A. Klyushina - M .: Williams , 2005. - 768 p. — ISBN 978-5-8459-0847-6
• V. V. Jascsenko. Bevezetés a kriptográfiába. - M. , 1999.

Linkek

• Információtechnológia – Biztonsági technikák – Útmutató a megbízható, harmadik féltől származó szolgáltatások megvalósításához és kezeléséhez
• Titkosítókulcs-kezelés
• A kulcstárolás megbízhatóságának javítása