KMIP

A Shared Key Management Protocol (KMIP)  egy kommunikációs protokoll, amely üzenetformátumokat határoz meg a kriptográfiai kulcsok kiszolgálón történő kezeléséhez. A kulcsok létrehozhatók a szerveren, majd visszaállíthatók más biztonságos kulcsokból. A szimmetrikus és az aszimmetrikus billentyűk egyaránt támogatottak. A KMIP olyan üzeneteket is meghatároz, amelyek segítségével titkosítási műveleteket hajthatnak végre a szerveren, például titkosítást és visszafejtést. [egy]

A KMIP egy nyílt protokoll, amelyet számos nagy technológiai vállalat támogat, például: Hewlett-Packard , Brocade Systems Communications, Inc., Cisco Systems, Inc. *, IBM és Oracle Corporation . [2] A KMIP egy felügyeleti rendszer, amely szabályozza a titkosított adatok feldolgozását, valamint a titkosított adatokhoz való hozzáférést. [3]

Bevezetés [4]

A Key Relationship Management Protocol titkosított kulcsokkal rendelkező rendszerekben való használatra készült. A KMIP egy viszonylag új protokoll, amelyet az OASIS csoport hozott létre, és 2009 februárjában javasolták. Az OASIS  célja, hogy a meglévő vállalatirányítást felváltsa a KMIP rendszerekkel.

Történelem [5]

OASIS KMIP 1.0

– nyilvános vita 2009. november;

— műszaki leírás 2010. január;

— OASIS szabvány 2010. október.

OASIS KMIP 1.1

— nyilvános vita 2012. január;

— műszaki leírás 2012. július;

— OASIS szabvány 2013. január.

OASIS KMIP 1.2

— nyilvános vita 2014. január;

— műszaki leírás 2014. november;

— OASIS szabvány 2015. május.

Megvalósítás [6]

A KMIP 3 részből áll:

• Objektumok.
• Tevékenységek.
• attribútumok.

A szervereknek SSL vagy TLS protokollt kell használniuk kommunikációs céljaikhoz, a HTTPS szintén ajánlott . Az SSL 2.0 ismert biztonsági problémákkal és a legújabb HTTP/S protokollokkal rendelkezik . Ezért ez a profil nem engedélyezi az SSL 2.0 használatát, és az SSL 3.1 vagy TLS 1.0 használatát javasolja. A KMIP néhány titkosítást ajánl. A szükséges titkosítások az alábbiakban találhatók:

• A TLS lehetővé teszi a TLS_RSA_WITH_AES_128_CBC_SHA használatát
• Az SSL lehetővé teszi az SSL_RSA_WITH_AES_128_CBC_SHA használatát

Leírás

A KMIP-kiszolgáló tárolja és kezeli a felügyelt objektumokat, például szimmetrikus és aszimmetrikus kulcsokat, tanúsítványokat és felhasználó által definiált objektumokat. Az ügyfél ezután a protokoll segítségével éri el ezeket az objektumokat. A kiszolgálók biztonsági technikákat alkalmaznak a felügyelt objektumokra. A műveletek létrehozhatnak, megkereshetnek, lekérhetnek és frissíthetnek felügyelt entitásokat. [7]

Tulajdonságok [4]

Minden kezelt objektumnak van egy megváltoztathatatlan értéke, például egy kulcsblokk, amely tartalmazza a kriptográfiai kulcsot. Nem állandó attribútumokat is tartalmaz, amelyek a kulcsokkal kapcsolatos metaadatok tárolására használhatók. Egyes attribútumok közvetlenül az értékből származnak, például a kriptográfiai algoritmus és a kulcshossz. Más attribútumok az objektumkezelés specifikációjában vannak meghatározva, például egy speciális azonosító, amely általában a szalag azonosítójából származik. Vannak olyan attribútumok, amelyek minden objektumhoz vagy bizonyos objektumokhoz szükségesek, míg mások nem kötelezőek. Az alkalmazás által igényelt további azonosítókat a szerver vagy a kliens határozhatja meg. Ezenkívül sablonok is létrehozhatók, amelyek lehetővé teszik a rendszergazdának a gyakran használt folyamatok attribútumainak kombinálását.

Objektumok

Minden objektumot egyedi és megváltoztathatatlan objektumazonosító azonosít, amelyet a szerver generál, és az objektumértékek lekérésére használ. A felügyelt objektumok sok nem állandó, de globálisan egyedi névattribútumot is kaphatnak, amelyek segítségével megtalálhatják az objektumokat. [négy]

[8] A KMIP által vezérelt felügyelt entitások típusai a következők:

• szimmetrikus billentyűk.
• Nyilvános és privát kulcsok.
• Tanúsítványok és PGP-kulcsok.
• Elválasztó kulcsok.
• Titkos adatok (jelszavak).
• Átláthatatlan adatok a klienshez és a szerverhez, amelyet a bővítmények határoznak meg.

Tevékenységek

A műveletek különböznek attól, hogy ki kezdeményezte őket. Ezek többsége "kliens-szerver" művelet. Ezen kívül vannak szerver-kliens műveletek. [négy]

[8] A KMIP műveletek közé tartozik

• Létrehozás – Hozzon létre egy új felügyelt objektumot, például egy szimmetrikus kulcsot, és adja vissza az azonosítót.
• Get - egy objektum értékének lekérése az egyedi azonosítója alapján.
• A regisztráció egy külsőleg generált kulcsérték tárolása.
• Attribútumok hozzáadása, lekérése és módosítása – Kezelje a felügyelt objektum attribútumait.
• Hely - az objektumok listájának beszerzése a predikátumok kapcsolata alapján.
• Kulcsmódosítás – Hozzon létre egy új kulcsot, amely helyettesítheti a meglévő kulcsot.
• Kulcspár generálása - aszimmetrikus kulcsok generálása.
• (Újra)tanúsítás - a tanúsítvány megerősítése.
• m kulcsból n darab felosztása és összekapcsolása.
• A titkosítás, a visszafejtés, a MAC stb. a kulcskezelő szerveren végrehajtott kriptográfiai műveletek.
• Műveletek, amelyek megvalósítják egy NIST kulcs életciklusát.

Minden kulcsnak van egy kriptográfiai állapota, például kezdeti, aktív, passzív. A műveletek állapotkezelést biztosítanak a NIST életciklus-irányelvei szerint. Az egyes konverziók adatai naplózásra kerülnek, például a kulcs aktiválásának dátuma. A dátumokat a jövőben is meg lehet határozni, így a kulcs automatikusan nem lesz elérhető a megadott műveletekhez, amint lejár. [négy]

Üzenet formátuma

Az üzenet mindig egy fejlécből áll, amelyet egy vagy több csomagobjektum és opcionális üzenetbővítmények követnek. A fejléc kétféle üzenetet különböztet meg: kérést és választ. Vannak adatok, amelyek típustól függenek. A kötegelt objektumok jelzik a szükséges műveletet, és tartalmazzák az ehhez szükséges összes attribútumot. [négy]

Üzenetkódolás

A KMIP egy hálózati protokoll, nem pedig egy alkalmazásprogramozási felület. Ez egy bináris formátum, amely egy beágyazott címkéből, típusból, hosszból és értékből (TTLV) áll. [9]

A protokoll előnyei [4]

A KMIP számos előnnyel rendelkezik a meglévő tervekhez képest. Az első előny az, hogy leegyszerűsítheti a jelenlegi projektet, és megszabadulhat a bonyolultságtól és a redundanciától.

A KMIP kialakítása megoldja a kommunikációs protokollok problémáit, segítve a cégeket abban, hogy ne fektessenek be sok pénzt az infrastruktúrájukba. Így mód van arra, hogy minden protokoll kommunikáljon egymással, valamint a rendszerek közötti összekapcsolás. Ez a kialakítás kiküszöböli az egyetlen rendszerhibát a kölcsönös kommunikáció képessége miatt. Így, ha egy rendszer meghibásodik, akkor biztonságosan hozzáférhet a titkosított adatokhoz.

Végül a KMIP protokoll elkerüli a jelenlegi tervezés redundanciáját és leegyszerűsíti azt. Ez csökkenti a kulcskezelő rendszerbe való befektetés költségeit, mivel nincs szükség az egyes szolgáltatásokra szabott protokollokra. Ha egy rendszer bonyolultsága kisebb, könnyebben karbantartható. Kevesebb befektetést igényel a folyamatos munkavégzés.

Jegyzetek

1. ↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OÁZIS . www.oasis-open.org. Letöltve: 2016. december 17. Az eredetiből archiválva : 2018. május 24.. (határozatlan)
2. ↑ Tagok | OÁZIS . www.oasis-open.org. Letöltve: 2016. november 25. Az eredetiből archiválva : 2018. április 19. (határozatlan)
3. ↑ Archivált másolat . Letöltve: 2016. október 18. Az eredetiből archiválva : 2018. február 19. (határozatlan)
4. ↑ 1 2 3 4 5 6 7 Key Management Interoperability Protocol, Derrick Erickson (hivatkozás nem érhető el) . Hozzáférés dátuma: 2016. december 16. Az eredetiből archiválva : 2016. december 21. (határozatlan) 
5. ↑ SNIA | A tárolási és információs technológia fejlesztése . www.snia.org. Letöltve: 2016. november 22. Az eredetiből archiválva : 2018. április 3. (határozatlan)
6. ↑ Archivált másolat . Letöltve: 2016. október 18. Az eredetiből archiválva : 2018. szeptember 21.. (határozatlan)
7. ↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OÁZIS . www.oasis-open.org. Letöltve: 2016. november 22. Az eredetiből archiválva : 2018. május 24.. (határozatlan)
8. ↑ 1 2 Key Management Interoperability Protocol   // Wikipédia . — 2016-11-17.
9. ↑ Fájl:KMIP Nachricht nach TTLV codiert.png - Wikimedia Commons

Linkek

1. "OASIS Key Management Interoperability Protocol (KMIP) TC" OASIS
2. "Key Management Interoperability Protocol Specification Version 1.0"
3. „A kulcskezelési interoperabilitási protokoll (KMIP) a vállalati kulcskezelés szabványosítási igényével foglalkozik” 2009. május 20.
4. "Key Management Interoperability Protocol Usage Guide" február. 2009. 10.
5. „Kulcskezelési interoperabilitási protokoll használati esetei – 0.98-as verzió vázlat” 2009. február 10.
6. "KMIP üzenet" 2012. május 24.
7. http://www.snia.org/events/dsicon/presentations2016