Інформація щодо відкритого ключа А — РКЦ — містить щонайменше розрізнювальний ідентифікатор суб’єкта А і його відкритий ключ. Додатково вона може містити номер серії, період дійсності, позначку часу і інші елементи даних.
У зв’язку з тим, що інформація щодо відкритого ключа РКІ не містить жодних таємних даних, канал взаємодії не повинен забезпечувати конфіденційність.
Д В
К
КТД1
онструюванняОдержання маркера
ключа
(81)
Рисунок 14 — Передавання відкритого ключа, механізм 1
Конструювання маркера ключа (А1)
А конструює маркер ключа КТД1, який містить інформацію щодо відкритого ключа суб’єкта А і деяке необов'язкове поле даних Text, і надсилає його до В захищеним каналом.
КТЛ1 = РКЦ ||7exf
Одержання маркера ключа (81)
В одержує від А маркер ключа захищеним каналом, відновлює РКЦ — інформацію щодо відкритого ключа суб'єкта А і запам’ятовує відкритий ключ А в переліку активних відкритих ключів (цей перелік повинен бути захищеним від втручання).
Примітка. Цей механізм передавання відкритого ключа має такі властивості:
Цей механізм можна використовувати для пересилання відкритого ключа верифікації (для асиметричних систем підпису) або відкритого ключа зашифровування (для асиметричних систем шифрування), або відкритого ключа узгодження ключів.
Автентифікація в цьому контексті включає автентифікацію як цілісності даних, так і походження даних (як визначено в ISO 7498-2).
8.1.2 Розповсюдження відкритих ключів, механізм 2
Цей механізм передає до В інформацію щодо відкритого ключа суб’єкта А незахищеним каналом. Щоб перевірити цілісність і походження одержаної інформації щодо відкритого ключа використовують другий автентифікований канал. Такий механізм є корисним, коли інформацію щодо відкритого ключа РКІ пересилають широкосмуговим каналом, у той час як автентифікація інформації щодо відкритого ключа проводиться автентифікованим вузькосмуговим каналом таким, як телефон, кур’єр, реєстровна пошта. Додатковою вимогою є розподілення суб’єктами спільної ґеш- функції hash, як визначено в ISO/IEC 10118-1. Повинні задовольнятися такі вимоги:
Інформація щодо відкритого ключа А — РКЦ — містить щонайменше розрізнювальний ідентифікатор суб’єкта А і його відкритий ключ. Додатково вона може містити номер серії, період дійсності, позначку часу та інші елементи даних.
У зв’язку з тим, що інформація щодо відкритого ключа РКІ не містить жодних таємних даних, канал взаємодії не повинен забезпечувати конфіденційність.
Конструювання
маркера ключа
(А1)
Конструювання
маркера верифікації
(А2)
Одержання
маркера ключа
(В1)
КТД2
Верифікація
маркера ключа
(В2)
Рисунок 15 ~~ Передавання відкритого ключа, механізм 2
Конструювання маркера ключа (А1)
А конструює маркер ключа КТАі, який містить інформацію щодо відкритого ключа суб’єкта А і надсилає його до В.
КТА1 = РКЦ|| Textl
Одержання маркера ключа (81)
В одержує маркер ключа, відновлює РКЦ — інформацію щодо відкритого ключа суб'єкта А, необов’язково, верифікує ключ верифікації А і запам'ятовує його захищеним від втручання чином для подальшої верифікації і використання.
Конструювання маркера верифікації (Д2)
А обчислює контролювальне значення hash (РКЦ) на його інформації щодо відкритого ключа і надсилає до В, із використанням другого незалежного і автентифікованого каналу (наприклад, кур'єра або реєстровної пошти), це контролювальне значення разом із необов’язковими розріз- нювальними ідентифікаторами суб’єктів А і В.
КТА2 = А||8||ЛазЛ(РКЦ)|| Text2
Верифікація маркера ключа (82)
Після одержання маркера верифікації КТА2В, необов'язково, контролює розрізнювальні ідентифікатори А і В, обчислює контролювальне значення на інформації щодо відкритого ключа суб'єкта А, одержаній в маркері верифікації КТАт і порівнює його з контролювальним значенням, одержаним у маркері верифікації КТА2. Якщо верифікації успішні, В вносить відкритий ключ у перелік активних відкритих ключів (цей перелік повинен бути захищений від втручання).
Примітка. Цей механізм передавання відкритого ключа має такі властивості:
Цей механізм можна використовувати для пересилання відкритого ключа верифікації (для асиметричних систем підпису} або відкритого ключа зашифровування (для асиметричних систем шифрування), або відкритого ключа узгодження, ключів.
Автентифікація в цьому контексті включає автентифікацію як цілісності даних, так і походження даних
Якщо пересланий відкритий ключ є ключем для асиметричної системи підпису без відновлення повідомлень, А може підписати маркер КТЛ, із використанням відповідного особистого ключа підпису. У цьому випадку верифікація підпису А на кроці (51) Із використанням одержаного відкритого ключа верифікації підтверджує, що А знає відповідний особистий ключ підпису і тому, можливо, був єдиним суб’єктом, який знає відповідний особистий ключ підпису на момент генерування маркера. Якщо в РКІ використано позначку часу, то верифікація підтверджує, що А на поточний момент знає відповідний-особистий ключ підпису.
Для маркера верифікації можуть бути використані листи, підписані вручну.
8.2 Розповсюдження відкритих ключів із використанням третьої довірчої сторони
Автентифікація відкритого ключа суб’єкта може бути гарантована обміном відкритими ключами у формі сертифікатів відкритих ключів. Сертифікат відкритого ключа містить інформацію щодо відкритого ключа, разом із цифровим підписом, забезпеченим третьою довірчою стороною, повноважним сертификатором (СА). Залучення СА зводить проблему автентифікованого розподілення 24відкритого ключа користувача до проблеми автентифікованого розподілення відкритого ключа суб’єкта СА за рахунок довірчого центру (СА) (див, ISO/IEC 9594-8, 11770-1).
Розподілення відкритих ключів, механізм З
Цей механізм пересилає відкритий ключ від суб’єкта А до суб’єкта В автентифікованим чином. Він оснований на припущенні, що достовірний сертифікат відкритого ключа CertA РКЦ — інформації щодо відкритого ключа суб’єкта А — був виданий деяким повноважним сертифікатором і що В має доступ до автентифікованої копії відкритого перетворення верифікації Ї/СА цього повноважного сертифікатора СА, який видав сертифікат відкритого ключа.
К
КГД1
онструюванняВерифікація
сертифіката
(81)
Рисунок 16 — Передавання відкритого ключа, механізм З
Конструювання маркера ключа (А1)
А конструює маркер ключа КТД1, який містить сертифікат відкритого ключа суб’єкта А і надсилає його до В.
Верифікація сертифіката (S1)
Після одержання сертифіката відкритого ключа, В використовує відкрите перетворення верифікації повноважного сертифікатора ї/СА для верифікації автентичності інформації щодо відкритого ключа і контролю достовірності відкритого ключа суб’єкта А.
Якщо В хоче впевнитися в тім, що сертифікат відкритого ключа суб’єкта А ще не був відкликаний, В повинен проконсультуватися у третьої довірчої сторони (такої, як СА) по деякому автенти- фікованому каналу.
Примітка. Цей механізм передавання відкритого ключа має такі властивості:
Число проходів: 1. Але може вимагатися запит від В до А на передавання сертифіката відкритого ключа. Цей додатковий прохід є необов’язковим і тут не показаний. Сертифікат відкритого ключа суб'єкта А може також бути розподілений через довідник. У цьому випадку цей механізм передавання відкритого ключа повинен виконуватися між довідником і суб'єктом В.
Автентифікація суб’єкта: автентифікація суб'єкта цим механізмом не забезпечується.
Підтвердження ключа: одержання сертифіката відкритого ключа забезпечує підтвердження того, що відкритий ключ був сертифікований суб’єктом СА.
Відкритий ключ верифікації vCaсуб'єкта СА повинен ставати доступним для В автентифікованим чином. Це можна зробити, використавши механізми, наведені в розділі 8.
ДОДАТОКА
(довідковий)
ВЛАСТИВОСТІ МЕХАНІЗМУ ВСТАНОВЛЕННЯ КЛЮЧА
Наступні таблиці сумують головні властивості механізмів встановлення (передавання) ключа, визначені цією частиною стандарту.
Використані такі познаки:
А — механізм забезпечує властивість відносно суб’єкта А;
А, В — механізм забезпечує властивість відносно обох суб’єктів А і В;
Немає — механізм не забезпечує властивість;
Не обов. — механізм може забезпечити властивість як необов’язкову з використанням інших засобів;
(А) — механізм може, необов’язково, забезпечити властивість відносно суб'єкта А з ви
користанням інших засобів.
Дії з відкритим ключем: кількість обчислень асиметричного перетворення, тобто «2,1» означає, що суб'єкт А потребує два обчислення функції F, а В потребує одне обчислення функції F у механізмі узгодження ключа 2.
Властивості механізму узгодження ключа
Механізм |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
Число проходів |
0 |
1 |
1 |
2 |
2 |
2 |
3 |
Неявна автентифікація ключа |
А, В |
В |
А, В |
немає |
А, В |
А, В |
А, В |
Підтвердження ключа |
немає |
немає |
В |
немає |
не обов. |
не обов. |
А, В |
Керування ключем |
А, В |
А, В |
А, В |
А, В |
А, В |
А, В |
А, В |
Автентифікація суб’єкта |
немає |
немає |
(А) |
немає |
немає |
В |
А, В |
Операції з відкритим ключем |
1,1 |
2,1 |
3 (або2),2 |
2,2 |
2,2 |
2,2 |
3,3 |
Властивості механізму передавання ключа
Механізм |
1 |
2 |
3 |
4 |
5 |
6 |
Число проходів |
1 |
1 |
1 |
2 |
3 |
3 |
Неявна автентифікація ключа |
В |
В |
В |
А |
А, В |
А, В |
Підтвердження ключа |
немає |
В |
В |
А |
(А), В |
А, В |
Керування ключем |
А |
А |
А |
В |
А по відношенню В |
(А), В |
Автентифікація суб’єкта |
немає |
(А) |
(А) |
В |
А, В |
А, В |
Дії з відкритим ключем |
1.1 |
2.2 |
2.2 |
4.4 |
4.4 |
2.2 |
ДОДАТОК В
(довідковий)
ПРИКЛАДИ МЕХАНІЗМУ УЗГОДЖЕННЯ КЛЮЧА
Цей інформаційний додаток надає приклади деяких механізмів встановлення ключа, наведених у цій частині стандарту.
Спочатку визначають поширений приклад функції F і супутні множини G і Н, відносно яких припускають, що вони задовольняють вимоги, перелічені у розділі 6, який обумовлює, що певні параметри обирають певним чином.
Нехай р є простим числом, G є множиною елементів поля Галуа з р елементами Fp і Н = {1,..., р-2}. Нехай д є основним елементом Fp, тоді множина
F(h, д) = gh modp.
F є комутативною по відношенню до h.
(9 ) =(9 ) =(g ) modp.
Просте число p повинно бути досить великим, щоб F(*, д) могла розглядатися як односпря- мована функція. Нехай кожен суб’єкт X має особистий ключ hx в Н, відомий тільки X, і відкритий ключ рх = ghX modp, відомий всім іншим суб’єктам.
Примітка. Обрання параметрів.
Для дискретного логарифма за простим модулем: розмір простого числа треба обирати так, щоб обчислити дискретний логарифм у відповідній циклічній групі було неможливо. Деякі інші вимоги до простого числа можуть бути накладені з метою зробити дискретний логарифм не придатним.
Рекомендовано або обирати р суворо простим так, щоб р- 1 мав великий простий множник, або обирати д, який був би генератором групи великого простого порядку q
.Складення модуля для дискретного логарифма: модуль повинен бути обраний як добуток двох окремих непарних простих, які повинні триматися в таємниці. Розміри модулів треба обирати так, щоб розкладення їх на множники обчислюванням було неможливе. Можуть бути накладені деякі додаткові умови обрання простих чисел із метою зробити розкладення їх обчислюванням на множники неможливим.
Неінтерактивне узгодження ключів Діффі-Гелмана.
Це приклад [6] узгодження ключа, механізм 1.
Конструювання ключа (А1)
З використанням свого власного приватного ключа узгодження ключа ЛА і відкритого ключа узгодження ключа рв суб’єкта В, А обчислює розподілений ключ як