Managementul cheilor

Managementul cheilor constă în proceduri pentru a asigura:

• includerea utilizatorilor în sistem;
• dezvoltarea, distribuția și introducerea în echipament a cheilor ;
• controlul utilizării cheilor;
• schimbarea și distrugerea cheilor;
• arhivarea, stocarea și recuperarea cheilor.

Managementul cheilor joacă un rol critic în criptografie ca bază pentru asigurarea confidențialității schimbului de informații, a identificării și a integrității datelor . O caracteristică importantă a unui sistem de management al cheilor bine conceput este reducerea problemelor complexe de securitate ale mai multor chei la problema securizării câtorva chei, care poate fi rezolvată relativ ușor prin asigurarea izolării fizice a acestora în camere dedicate și echipamente inviolabile. . În cazul utilizării cheilor pentru asigurarea securității informațiilor stocate, subiectul poate fi un singur utilizator care lucrează cu date în perioade succesive de timp. Managementul cheilor în rețelele de comunicații include cel puțin două subiecte - expeditorul și destinatarul mesajului.

Obiective cheie ale managementului

Scopul managementului cheie este de a atenua amenințările precum:

• compromiterea confidenţialităţii cheilor private ;
• compromiterea autenticității cheilor private sau publice . Totodată, autenticitatea este înțeleasă ca cunoaștere sau capacitatea de a verifica identitatea corespondentului, de a asigura comunicarea confidențială cu care se utilizează această cheie;
• utilizarea neautorizată a cheilor private sau publice, cum ar fi utilizarea unei chei expirate.

Politica de securitate

Gestionarea cheilor se face de obicei în contextul unei politici de securitate specifice. Politica de securitate definește direct sau indirect amenințările pe care sistemul trebuie să le contracareze. În plus, definește:

• reguli și proceduri care trebuie urmate și care trebuie urmate în procesul de gestionare automată sau manuală a cheilor,
• responsabilitatea și răspunderea tuturor entităților implicate în management, precum și toate tipurile de evidențe care trebuie păstrate pentru întocmirea rapoartelor necesare și verificarea acțiunilor legate de securitatea cheilor.

Unul dintre instrumentele folosite pentru a asigura confidențialitatea cheilor este aranjarea cheilor după cum urmează.

• Cheia principală  este cea mai înaltă cheie din ierarhie care nu este protejată criptografic. Este protejat prin mijloace fizice sau electronice.
• Chei de criptare a cheilor  - chei private sau publice utilizate pentru criptare înainte de transmitere sau atunci când sunt stocate alte chei de criptare. Aceste chei pot fi ele însele criptate cu alte chei.
• Chei pentru criptarea datelor  - utilizate pentru a proteja datele utilizatorului.

Cheile de nivel superior sunt folosite pentru a proteja cheile sau datele la niveluri inferioare, ceea ce reduce daunele atunci când cheile sunt expuse și cantitatea de informații care trebuie protejată fizic.

Datele de expirare a cheilor

Una dintre caracteristicile importante ale unui sistem de management al cheilor este perioada de valabilitate a cheilor. Expirarea cheii se referă la perioada de timp în care poate fi utilizată de părți de încredere.

Reducerea perioadei de valabilitate a cheilor este necesară pentru a atinge următoarele obiective:

• limitarea cantității de informații criptate cu o anumită cheie care poate fi utilizată pentru criptoanaliza ;
• limitarea cantității daunelor în cazul compromiterii cheilor;
• limitarea timpului de calculator care poate fi utilizat pentru criptoanaliza.

Pe lângă clasificarea de mai sus a cheilor pe niveluri, poate fi introdusă și următoarea clasificare.

• Chei cu o perioadă lungă de valabilitate. Acestea includ cheia principală, adesea cheile pentru criptarea cheilor.
• Chei cu o dată de expirare scurtă. Acestea includ chei pentru criptarea datelor.

În mod obișnuit, aplicațiile de telecomunicații folosesc chei cu o durată de viață scurtă, în timp ce pentru protejarea datelor stocate, folosesc chei cu viață lungă. Rețineți că termenul „durată de viață scurtă” se referă numai la durata de viață a cheii, nu la durata de timp în care cheia trebuie să rămână secretă. De exemplu, o cheie folosită pentru criptare în timpul unei singure sesiuni de comunicare este adesea necesară pentru ca informațiile criptate pe ea să nu poată fi deschise pentru o perioadă scurtă de timp. Totodată, semnătura electronică este verificată imediat după transmiterea mesajului, astfel că cheia de semnătură trebuie păstrată secretă câțiva ani.

Ciclul de viață al cheilor

Informațiile cheie trebuie modificate înainte ca cheia să expire. Pentru aceasta, pot fi utilizate informații cheie valide, protocoale de distribuție a cheilor și niveluri cheie. Pentru a limita daunele cauzate de compromiterea cheii , dependențele dintre informațiile cheie valide și stabilite ar trebui evitate. De exemplu, nu este recomandat să protejați următoarea cheie de sesiune cu o cheie de sesiune validă. Atunci când stocați cheile private, trebuie să aveți grijă pentru a asigura confidențialitatea și autenticitatea acestora. La stocarea cheilor publice, trebuie luate măsuri pentru a verifica autenticitatea acestora. Confidențialitatea și autenticitatea pot fi asigurate prin măsuri criptografice, organizatorice și tehnice.

Toate criptosistemele, cu excepția celor mai simple, în care cheile utilizate sunt fixate o dată pentru totdeauna, trebuie înlocuite periodic cu chei. Această înlocuire se realizează folosind anumite proceduri și protocoale, dintre care unele folosesc și protocoale pentru interacțiunea cu o terță parte. Secvența de etape prin care trec cheile din momentul în care sunt instalate până la următoarea înlocuire se numește ciclul de viață al cheii .

1. Înregistrarea utilizatorului . Această etapă implică schimbul de informații cheie inițiale, cum ar fi parolele partajate sau codurile PIN , fie față în față, fie printr-un curier de încredere.
2. Inițializare . În această etapă, utilizatorul instalează hardware-ul și/sau software-ul în conformitate cu liniile directoare și regulile stabilite.
3. Generarea cheilor . La generarea cheilor trebuie luate măsuri pentru a asigura calitățile criptografice necesare ale acestora. Cheile pot fi generate fie independent de către utilizator, fie de către un element special securizat al sistemului și apoi transmise utilizatorului printr-un canal securizat.
4. Instalarea cheilor . Cheile sunt instalate în echipament într-un fel sau altul. În acest caz, informațiile cheie inițiale obținute în etapa înregistrării utilizatorului pot fi fie introduse direct în echipament, fie utilizate pentru a stabili un canal securizat prin care sunt transmise informațiile cheie. Aceeași etapă este folosită ulterior pentru a schimba informațiile cheie. Pentru a evita compromiterea valorii reale a cheii, algoritmii de sumă de control KCV sunt utilizați pentru verificarea integrității .
5. Înregistrarea cheilor . Informațiile cheie sunt asociate de către centrul de înregistrare cu numele utilizatorului și comunicate altor utilizatori ai rețelei de chei. În același timp, certificatele de cheie sunt create pentru cheile publice de către centrul de certificare, iar aceste informații sunt publicate într-un fel sau altul.
6. Mod normal de operare . În această etapă, cheile sunt folosite pentru a proteja informațiile în mod normal.
7. Depozitarea cheilor . Această etapă include procedurile necesare pentru păstrarea cheii în condiții corespunzătoare pentru a asigura securitatea acesteia până la înlocuirea acesteia.
8. Înlocuirea cheii . Înlocuirea cheii se efectuează înainte de data expirării acesteia și include proceduri legate de generarea cheilor, protocoale pentru schimbul de informații cheie între corespondenți, precum și cu un terț de încredere. Pentru cheile publice, această etapă include de obicei schimbul de informații printr-un canal securizat cu o autoritate de certificare.
9. Arhivarea . În unele cazuri, informațiile cheie, după ce au fost folosite pentru a proteja informațiile, pot fi arhivate pentru a fi recuperate în scopuri speciale (de exemplu, luarea în considerare a problemelor legate de refuzul semnăturii digitale).
10. Distrugerea cheilor . După expirarea cheilor, acestea sunt retrase din circulație, iar toate copiile disponibile ale acestora sunt distruse. În același timp, este necesar să se asigure că, în cazul distrugerii cheilor private, toate informațiile din care este posibilă recuperarea parțială a acestora sunt, de asemenea, distruse cu grijă.
11. Recuperarea cheii . Dacă informațiile cheie sunt distruse, dar nu sunt compromise (de exemplu, din cauza defecțiunii echipamentului sau pentru că operatorul a uitat parola), ar trebui prevăzute măsuri pentru a permite recuperarea cheii din copia sa stocată în condiții adecvate.
12. Anularea cheilor . În cazul unui compromis al informațiilor cheie, devine necesar să opriți utilizarea cheilor înainte de data expirării acestora. În același timp, ar trebui prevăzute măsurile necesare pentru notificarea abonaților rețelei. Revocarea cheilor publice certificate încetează simultan valabilitatea certificatelor.

Servicii furnizate de o terță parte de încredere (TPP)

O așa-numită parte terță de încredere joacă un rol important în ciclul de viață al managementului cheie. Așa cum este definit în Recomandarea ITU T seria X.842, un TTP este o organizație sau un agent al acesteia care furnizează unul sau mai multe servicii de securitate și este de încredere de către alte entități ca furnizor al acelor servicii. Principalele categorii de servicii TTP sunt:

1. Serviciu de fixare a timpului
2. Servicii de non-repudiere
3. Servicii de management al cheilor
4. Servicii electronice notariale
5. Serviciu de arhivare a datelor
6. Alte servicii, inclusiv, de exemplu, serviciul de identificare și autentificare, serviciul de traducere încorporat și altele.

Vezi și

• Securitatea informațiilor
• Cheie (criptografie)
• Protocolul criptografic
• Împărtășirea unui secret
• Algoritmul Diffie-Hellman
• Server de chei criptografice

Note

Literatură

• A. P. Alferov, A. Yu. Zubov, A. S. Kuzmin, A. V. Cheremushkin. Fundamentele Criptografiei. — M .: Helios, 2005.
• Mao V. Criptografia modernă : Teorie și practică / transl. D. A. Klyushina - M . : Williams , 2005. - 768 p. — ISBN 978-5-8459-0847-6
• V. V. Iascenko. Introducere în criptografie. - M. , 1999.

Link -uri

• Tehnologia informației - Tehnici de securitate - Linii directoare pentru implementarea și gestionarea serviciilor de încredere ale terților
• Managementul cheilor de criptare
• Îmbunătățirea fiabilității stocării cheilor