---

1. Інформація щодо відкритого ключа А — РКЦ — містить щонайменше розрізнювальний іден­тифікатор суб’єкта А і його відкритий ключ. Додатково вона може містити номер серії, період дійсності, позначку часу і інші елементи даних.

2. У зв’язку з тим, що інформація щодо відкритого ключа РКІ не містить жодних таємних даних, канал взаємодії не повинен забезпечувати конфіденційність.

Д В

К

КТ_Д1

онструювання
маркера ключа
(Д1)

Одержання маркера
ключа
(81)

Рисунок 14 — Передавання відкритого ключа, механізм 1

Конструювання маркера ключа (А1)

А конструює маркер ключа КТ_Д1, який містить інформацію щодо відкритого ключа суб’єкта А і деяке необов'язкове поле даних Text, і надсилає його до В захищеним каналом.

КТ_Л1 = РКЦ ||7exf

Одержання маркера ключа (81)

В одержує від А маркер ключа захищеним каналом, відновлює РКЦ — інформацію щодо відкри­того ключа суб'єкта А і запам’ятовує відкритий ключ А в переліку активних відкритих ключів (цей перелік повинен бути захищеним від втручання).

Примітка. Цей механізм передавання відкритого ключа має такі властивості:

1. Цей механізм можна використовувати для пересилання відкритого ключа верифікації (для асиметричних систем підпису) або відкритого ключа зашифровування (для асиметричних систем шифрування), або відкритого ключа узгодження ключів.

2. Автентифікація в цьому контексті включає автентифікацію як цілісності даних, так і походження даних (як визначено в ISO 7498-2).

8.1.2 Розповсюдження відкритих ключів, механізм 2

Цей механізм передає до В інформацію щодо відкритого ключа суб’єкта А незахищеним ка­налом. Щоб перевірити цілісність і походження одержаної інформації щодо відкритого ключа ви­користовують другий автентифікований канал. Такий механізм є корисним, коли інформацію щодо відкритого ключа РКІ пересилають широкосмуговим каналом, у той час як автентифікація інфор­мації щодо відкритого ключа проводиться автентифікованим вузькосмуговим каналом таким, як телефон, кур’єр, реєстровна пошта. Додатковою вимогою є розподілення суб’єктами спільної ґеш- функції hash, як визначено в ISO/IEC 10118-1. Повинні задовольнятися такі вимоги:

1. Інформація щодо відкритого ключа А — РКЦ — містить щонайменше розрізнювальний іден­тифікатор суб’єкта А і його відкритий ключ. Додатково вона може містити номер серії, період дій­сності, позначку часу та інші елементи даних.

У зв’язку з тим, що інформація щодо відкритого ключа РКІ не містить жодних таємних даних, канал взаємодії не повинен забезпечувати конфіденційність.

Конструювання
маркера ключа
(А1)

Конструювання
маркера верифікації
(А2)

Одержання
маркера ключа
(В1)

КТ_Д2

Верифікація
маркера ключа
(В2)

Рисунок 15 ~~ Передавання відкритого ключа, механізм 2

Конструювання маркера ключа (А1)

А конструює маркер ключа КТ_Аі, який містить інформацію щодо відкритого ключа суб’єкта А і надсилає його до В.

КТ_А1 = РКЦ|| Textl

Одержання маркера ключа (81)

В одержує маркер ключа, відновлює РКЦ — інформацію щодо відкритого ключа суб'єкта А, необов’язково, верифікує ключ верифікації А і запам'ятовує його захищеним від втручання чином для подальшої верифікації і використання.

Конструювання маркера верифікації (Д2)

А обчислює контролювальне значення hash (РКЦ) на його інформації щодо відкритого ключа і надсилає до В, із використанням другого незалежного і автентифікованого каналу (наприклад, кур'єра або реєстровної пошти), це контролювальне значення разом із необов’язковими розріз- нювальними ідентифікаторами суб’єктів А і В.

КТ_А2 = А||8||ЛазЛ(РКЦ)|| Text2

Верифікація маркера ключа (82)

Після одержання маркера верифікації КТ_А2В, необов'язково, контролює розрізнювальні іден­тифікатори А і В, обчислює контролювальне значення на інформації щодо відкритого ключа суб'єкта А, одержаній в маркері верифікації КТ_Ат і порівнює його з контролювальним значенням, одержа­ним у маркері верифікації КТ_А2. Якщо верифікації успішні, В вносить відкритий ключ у перелік ак­тивних відкритих ключів (цей перелік повинен бути захищений від втручання).

Примітка. Цей механізм передавання відкритого ключа має такі властивості:

1. Цей механізм можна використовувати для пересилання відкритого ключа верифікації (для асиметричних систем підпису} або відкритого ключа зашифровування (для асиметричних систем шифрування), або відкритого ключа узгодження, ключів.

2. Автентифікація в цьому контексті включає автентифікацію як цілісності даних, так і походження даних

3. Якщо пересланий відкритий ключ є ключем для асиметричної системи підпису без відновлення повідомлень, А може підписати маркер КТ_Л, із використанням відповідного особистого ключа підпису. У цьому випадку верифікація підпису А на кроці (51) Із використанням одержаного відкритого ключа верифікації підтверджує, що А знає відповідний особистий ключ підпису і тому, можливо, був єдиним суб’єктом, який знає відповідний особистий ключ підпису на момент генерування мар­кера. Якщо в РКІ використано позначку часу, то верифікація підтверджує, що А на поточний момент знає відповідний-особис­тий ключ підпису.

4. Для маркера верифікації можуть бути використані листи, підписані вручну.

8.2 Розповсюдження відкритих ключів із використанням третьої довірчої сторони

Автентифікація відкритого ключа суб’єкта може бути гарантована обміном відкритими клю­чами у формі сертифікатів відкритих ключів. Сертифікат відкритого ключа містить інформацію щодо відкритого ключа, разом із цифровим підписом, забезпеченим третьою довірчою стороною, пов­новажним сертификатором (СА). Залучення СА зводить проблему автентифікованого розподілення 24відкритого ключа користувача до проблеми автентифікованого розподілення відкритого ключа суб’єкта СА за рахунок довірчого центру (СА) (див, ISO/IEC 9594-8, 11770-1).

Цей механізм пересилає відкритий ключ від суб’єкта А до суб’єкта В автентифікованим чи­ном. Він оснований на припущенні, що достовірний сертифікат відкритого ключа CertA РКЦ — інфор­мації щодо відкритого ключа суб’єкта А — був виданий деяким повноважним сертифікатором і що В має доступ до автентифікованої копії відкритого перетворення верифікації Ї/_СА цього повноваж­ного сертифікатора СА, який видав сертифікат відкритого ключа.

К

КГ_Д1

онструювання
маркера ключа
(А1)

Верифікація
сертифіката
(81)

Рисунок 16 — Передавання відкритого ключа, механізм З

Конструювання маркера ключа (А1)

А конструює маркер ключа КТ_Д1, який містить сертифікат відкритого ключа суб’єкта А і надси­лає його до В.

Верифікація сертифіката (S1)

Після одержання сертифіката відкритого ключа, В використовує відкрите перетворення ве­рифікації повноважного сертифікатора ї/_СА для верифікації автентичності інформації щодо відкри­того ключа і контролю достовірності відкритого ключа суб’єкта А.

Якщо В хоче впевнитися в тім, що сертифікат відкритого ключа суб’єкта А ще не був відклика­ний, В повинен проконсультуватися у третьої довірчої сторони (такої, як СА) по деякому автенти- фікованому каналу.

Примітка. Цей механізм передавання відкритого ключа має такі властивості:

1. Число проходів: 1. Але може вимагатися запит від В до А на передавання сертифіката відкритого ключа. Цей до­датковий прохід є необов’язковим і тут не показаний. Сертифікат відкритого ключа суб'єкта А може також бути розподілений через довідник. У цьому випадку цей механізм передавання відкритого ключа повинен виконуватися між довідником і суб'єк­том В.

2. Автентифікація суб’єкта: автентифікація суб'єкта цим механізмом не забезпечується.

3. Підтвердження ключа: одержання сертифіката відкритого ключа забезпечує підтвердження того, що відкритий ключ був сертифікований суб’єктом СА.

4. Відкритий ключ верифікації v_Caсуб'єкта СА повинен ставати доступним для В автентифікованим чином. Це можна зробити, використавши механізми, наведені в розділі 8.

ДОДАТОКА
(довідковий)

ВЛАСТИВОСТІ МЕХАНІЗМУ ВСТАНОВЛЕННЯ КЛЮЧА

Наступні таблиці сумують головні властивості механізмів встановлення (передавання) клю­ча, визначені цією частиною стандарту.

Використані такі познаки:

А — механізм забезпечує властивість відносно суб’єкта А;

А, В — механізм забезпечує властивість відносно обох суб’єктів А і В;

Немає — механізм не забезпечує властивість;

Не обов. — механізм може забезпечити властивість як необов’язкову з використанням інших засобів;

(А) — механізм може, необов’язково, забезпечити властивість відносно суб'єкта А з ви­

користанням інших засобів.

Дії з відкритим ключем: кількість обчислень асиметричного перетворення, тобто «2,1» озна­чає, що суб'єкт А потребує два обчислення функції F, а В потребує одне обчислення функції F у ме­ханізмі узгодження ключа 2.

Властивості механізму узгодження ключа

Властивості механізму передавання ключа

ДОДАТОК В

(довідковий)

ПРИКЛАДИ МЕХАНІЗМУ УЗГОДЖЕННЯ КЛЮЧА

Цей інформаційний додаток надає приклади деяких механізмів встановлення ключа, наве­дених у цій частині стандарту.

Спочатку визначають поширений приклад функції F і супутні множини G і Н, відносно яких припускають, що вони задовольняють вимоги, перелічені у розділі 6, який обумовлює, що певні параметри обирають певним чином.

Нехай р є простим числом, G є множиною елементів поля Галуа з р елементами F_p і Н = {1,..., р-2}. Нехай д є основним елементом F_p, тоді множина

F(h, д) = g^h modp.

F є комутативною по відношенню до h.

(9 ) =(9 ) =(g ) modp.

Просте число p повинно бути досить великим, щоб F(*, д) могла розглядатися як односпря- мована функція. Нехай кожен суб’єкт X має особистий ключ h_x в Н, відомий тільки X, і відкритий ключ рх = g^hX modp, відомий всім іншим суб’єктам.

Примітка. Обрання параметрів.

Для дискретного логарифма за простим модулем: розмір простого числа треба обирати так, щоб обчислити дискрет­ний логарифм у відповідній циклічній групі було неможливо. Деякі інші вимоги до простого числа можуть бути накладені з ме­тою зробити дискретний логарифм не придатним.

Рекомендовано або обирати р суворо простим так, щоб р- 1 мав великий простий множник, або обирати д, який був би генератором групи великого простого порядку q

.Складення модуля для дискретного логарифма: модуль повинен бути обраний як добуток двох окремих непарних про­стих, які повинні триматися в таємниці. Розміри модулів треба обирати так, щоб розкладення їх на множники обчислюван­ням було неможливе. Можуть бути накладені деякі додаткові умови обрання простих чисел із метою зробити розкладення їх обчислюванням на множники неможливим.

Це приклад [6] узгодження ключа, механізм 1.

Конструювання ключа (А1)

З використанням свого власного приватного ключа узгодження ключа Л_А і відкритого ключа узгодження ключа р_в суб’єкта В, А обчислює розподілений ключ як