Управление ключами состоит из процедур, обеспечивающих:
Управление ключами играет важнейшую роль в криптографии как основа для обеспечения конфиденциальности обмена информацией, идентификации и целостности данных. Важным свойством хорошо спроектированной системы управления ключами является сведение сложных проблем обеспечения безопасности многочисленных ключей к проблеме обеспечения безопасности нескольких ключей, которая может быть относительно просто решена путём обеспечения их физической изоляции в выделенных помещениях и защищенном от проникновения оборудовании. В случае использования ключей для обеспечения безопасности хранимой информации субъектом может быть единственный пользователь, который осуществляет работу с данными в последовательные промежутки времени. Управление ключами в сетях связи включает, по крайней мере, двух субъектов — отправителя и получателя сообщения.
Целью управления ключами является нейтрализация таких угроз, как:
Управление ключами обычно осуществляется в контексте определенной политики безопасности. Политика безопасности прямо или косвенно определяет те угрозы, которым должна противостоять система. Кроме того, она определяет:
Одним из инструментов, используемых для обеспечения конфиденциальности ключей, является разделение ключей по уровням следующим образом.
Ключи более высоких уровней используются для защиты ключей или данных на более низких уровнях, что уменьшает ущерб при раскрытии ключей и объём необходимой информации, нуждающейся в физической защите.
Одной из важных характеристик системы управления ключами являются сроки действия ключей. Срок действия ключа означает промежуток времени, в течение которого он может быть использован доверенными сторонами.
Сокращение сроков действия ключей необходимо для достижения следующих целей:
В дополнение к указанной выше классификации ключей по уровням, может быть введена также следующая классификация.
Как правило, в телекоммуникационных приложениях используются ключи с коротким сроком действия, а для защиты хранимых данных — с длительным сроком действия. Необходимо иметь в виду, что термин «короткий срок действия» относится только к сроку действия ключа, а не к промежутку времени, в течение которого ключ должен оставаться в секрете. Например, к ключу, используемому для шифрования в течение только одного сеанса связи, часто предъявляется требование, чтобы зашифрованная на нём информация не могла быть вскрыта на протяжении нескольких десятков лет. В то же время электронная подпись проверяется немедленно после передачи сообщения, поэтому ключ подписи должен сохраняться в тайне в течение достаточно короткого срока.
Ключевая информация должна быть сменена до момента истечения срока действия ключа. Для этого может быть использована действующая ключевая информация, протоколы распределения ключей и ключевые уровни . Для того чтобы ограничить ущерб от компрометации ключей, следует избегать зависимостей между действующей и устанавливаемой ключевой информацией. Например, не рекомендуется защищать очередной сеансовый ключ с помощью действующего сеансового ключа. При хранении закрытых ключей должны быть приняты меры по обеспечению их конфиденциальности и аутентичности. При хранении открытых ключей должны быть приняты меры, позволяющие проверить их аутентичность. Конфиденциальность и аутентичность могут быть обеспечены криптографическими, организационными и техническими мерами.
Все криптосистемы, за исключением простейших, в которых используемые ключи зафиксированы раз и навсегда, нуждаются в периодической замене ключей. Эта замена проводится с помощью определенных процедур и протоколов, в ряде которых используются и протоколы взаимодействия с третьей стороной. Последовательность стадий, которые проходят ключи от момента установления до следующей замены, называется жизненным циклом ключей.
В жизненном цикле управления ключами важную роль играет так называемая доверенная третья сторона. Согласно определению, данному в Рекомендации ITU T серия X.842, ДТС — это организация или её агент, предоставляющий один или более сервисов в области безопасности, которому доверяют другие объекты как поставщику данных услуг. Основными категориями служб ДТС являются:
Для улучшения этой статьи желательно: |
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .