Opslaan en tot intrekking van Keys


  Share  
|

Key opslag ontstaat wanneer een gebruiker nodig heeft om een cryptografische sleutel te beschermen op een andere wijze dan door te herinneren. Als de sleutel publiek is, natuurlijk zal een certificaat gebaseerd mechanisme volstaan, omdat het doel is om de integriteit van de sleutel te beschermen. Maar geheime sleutels (voor klassieke cryptografie) en prive-sleutels (voor de openbare sleutel) moeten hun vertrouwelijkheid als goed beschermd.

Key Storage

Bescherming van cryptografische sleutels klinkt eenvoudig: gewoon de sleutel zetten in een bestand, en gebruik het besturingssysteem toegang controlemechanismen om het te beschermen. Helaas kan het besturingssysteem toegang controlemechanismen vaak ontdoken of verslagen, of kan niet van toepassing op sommige gebruikers. Op een single-user systeem, is deze overweging niet relevant, omdat niemand anders toegang tot het systeem zal hebben, terwijl de sleutel is op het systeem. Op een multi-user systeem, andere gebruikers hebben toegang tot het systeem. Op een netwerk-systeem kan een aanvaller truc van de eigenaar in het downloaden van een programma dat zou sturen toetsaanslagen en bestanden naar de aanvaller, waardoor het openbaren van de vertrouwelijke cryptografische sleutel. Wij achten deze systemen.

Op dergelijke systemen, encryptieapparatuur het bestand met de sleutels zullen niet werken, hetzij. Wanneer de gebruiker voert de sleutel tot het dossier, de sleutel en de inhoud van het bestand te ontcijferen zal verblijven in het geheugen op een gegeven moment, dit is mogelijk zichtbaar voor andere gebruikers op een multi-user systeem. De toetsaanslagen gebruikt voor het ontcijferen van het bestand kan worden opgenomen en weergegeven op een later tijdstip. Ofwel zal het compromis van de sleutel.

Een haalbare oplossing is om de sleutel op een of meer fysieke apparaten, zoals een speciale terminal, ROM, of smart card. De sleutel komt nooit geheugen van de computer. In plaats daarvan om een bericht te vercijferen, de gebruiker voegt de smartcard in een speciaal apparaat dat kan lezen van en schrijven naar de computer. De computer stuurt het bericht moet worden beschermd, en het apparaat maakt gebruik van de toets op de smartcard om het bericht te coderen en terug te sturen naar de computer. Op geen enkel punt is de cryptografische sleutel blootgesteld.

Een variant is gebaseerd op de observatie dat als de smartcard is gestolen, de dief heeft de cryptografische sleutel. In plaats van het op een kaart, is de sleutel verdeeld over meerdere apparaten (twee kaarten, een kaart en de fysieke kaartlezer, enz..) Nu, als een dief een van de kaarten steelt, de gestolen kaart nutteloos is omdat het bevat niet de volledige toets.

Key Intrekking

Certificaat formaten bevatten een sleutel vervaldatum. Als een sleutel ongeldig wordt vóór die datum moet worden ingetrokken. Doorgaans betekent dit dat de sleutel in het gedrang komt, of dat de binding tussen het onderwerp en de sleutel is veranderd.

We onderscheiden dit van een verlopen certificaat. Een verlopen certificaat heeft bereikt predesignated periode waarna het niet meer geldig. Dat de levensduur is overschreden is de enige reden. Een ingetrokken certificaat is geannuleerd op verzoek van de eigenaar of uitgever voor enkele andere reden dan het verstrijken.

Er zijn twee problemen met de intrekking van een publieke sleutel. De eerste is ervoor te zorgen dat de herroeping is correctin andere woorden, om ervoor te zorgen dat de entiteit intrekking van de sleutel is gemachtigd dit te doen. De tweede is om de tijdigheid van de herroeping te waarborgen in de gehele infrastructuur. Dit tweede probleem is afhankelijk van betrouwbare en zeer verbonden servers en is een functie van de infrastructuur, alsook van de locaties van de certificaten en de opdrachtgevers die kopieën van deze certificaten. Idealiter zal merken van de herroeping worden toegezonden aan alle partijen bij het ontvangen, maar altijd zal er een vertraging.

De en Internet X.509 Public Key Infrastructures (PKIs) gebruik van lijsten van certificaten.

Een certificaat intrekking

Een certificaat intrekking lijst bevat de volgnummers van de ingetrokken certificaten en de data waarop zij werden ingetrokken. Het bevat ook de naam van de uitgevende instelling, de datum waarop de lijst is afgegeven, en wanneer de volgende lijst zal naar verwachting worden afgegeven. De uitgever tekenen ook de lijst [865]. Onder X.509 kan alleen de uitgever van een certificaat intrekken.

PGP staat ondertekenaars van certificaten om hun handtekening te trekken evenals waardoor eigenaren van certificaten, en hun aangewezen personen, tot het gehele certificaten intrekken. Het certificaat intrekking wordt geplaatst in een PGP-pakket en is ondertekend net als een gewone PGP-certificaat. Een speciale vlag markeert het als een intrekking bericht.

een artikel afkomstig van Bill Kuriko

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions