НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
інформаційні технології
МЕТОДИ ЗАХИСТУ
КЕРУВАННЯ КЛЮЧАМИ
Ч
БЗ № 3-2009/464
астина 1. Загальні положенняВидання офіційне
Київ
ДЄРЖС ПОЖИВСТ АН ДАРТ УКРАЇНИ
2010
ПЕРЕДМОВА
1 ВНЕСЕНО: Технічний комітет стандартизації ТК 105 «Банківські та фінансові системи та технології», ЗАТ «Інститут інформаційних технологій»
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: І. Горбенко, д-р техн, наук (науковий керівник);
І. Івченко, канд. техн, наук; М. Карнаух; О. Потій, канд. техн, наук; А. Лєншин, канд. техн, наук; Д. Шевченко; І. Остапенко
2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту України від 12 березня 2009 р. № 108 з 2010-06-01
З Національний стандарт відповідає ISO/IEC 11770-1:1996 Information technology — Security techniques — Key management — Part 1: Framework (Інформаційні технології. Методи захисту. Керування ключами. Частина 1. Загальні положення)
Ступінь відповідності — ідентичний (IDT)
Переклад з англійської (еп) 4 УВЕДЕНО ВПЕРШЕ
Право власності на цей документ належить державі.
Відтворювати, тиражувати і розповсюджувати його повністю чи частково
на будь-яких носіях інформації без офіційного дозволу заборонено.
Стосовно врегулювання прав власності треба звертатися до Держспоживстандарту України
Держспожиастандарт України, 201
0ЗМІСТ
с
Національний вступ V
Сфера застосування 1
Нормативні посилання 2
Терміни та визначення понять 2
Загальні положення про керування ключами 4
4 1 Захист ключів 4
4 1 1 Захист криптографічними методами 4
4 1 2 Захист некриптографічними методами 4
4 1 3 Захист фізичними засобами 4
4 1 4 Захист організаційними засобами 5
4 2 Загальна модель життєвого циклу ключа 5
4 2 1 Переходи між станами ключа 6
4 2 2 Переходи послуги і ключі 7
5 Поняття про керування ключами 7
5 1 Послуги щодо керування ключами 7
5 1 1 Послуга щодо генерування ключа 8
5 1 2 Послуга щодо реєстрування ключа 8
5 1 3 Послуга щодо формування сертифіката ключа 8
5 1 4 Послуга щодо розподілення ключа 8
5 1 5 Послуга щодо інсталювання ключа 9
5 1 6 Послуга щодо зберігання ключа 9
5 1 7 Послуга щодо виведення ключа 9
5 1 8 Послуга щодо архівування ключа 9
5 1 9 Послуга щодо відкликання ключа 9
5 110 Послуга щодо скасування ключа 9
5 111 Послуга щодо знищення ключів 9
5 2 Послуги щодо підтримування Ю
5 2 1 Послуги засобів керування ключами Ю
5 2 2 Послуги орієнтовані на користувача Ю
6 Концептуальні моделі розподілення ключів 10
6 1 Розподілення ключів між зв язаними об єктами Ю
2 Розподілення ключів у межах одного домена 10
3 Розподілення ключів між доменами 12
Спеціальні постачальники послуг 13
Додаток А Загрози керуванню ключами 14
Додаток В Інформаційні об єкти керування ключами 14
Додаток С Класи криптографічних застосунків 15
С 1 Послуги автентифікування та ключі 16
С 2 Послуги шифрування та ключі 16
Додаток D Керування життєвим циклом сертифіката Я
D 1 Повноважна організація з сертифікування (СА) 17
D 2 Процес сертифікування 17
D 3 Розподілення та використання сертифікатів відкритих ключів 20
D 4 Способи сертифікування 20
D 5 Відкликання сертифіката 21
Додаток Е Бібліографія 22НАЦІОНАЛЬНИЙ ВСТУП
Цей стандарт є тотожний переклад ISO/IEC 11770-1:1996 Information technology— Security techniques — Key management — Part 1: Framework (Інформаційні технології. Методи захисту. Керування ключами. Частина 1. Загальні положення).
Технічний комітет, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».
Стандарт містить вимоги, які відповідають чинному законодавству України.
До стандарту внесено такі редакційні зміни:
слова «ця частина ISO/IEC 11770», «цей документ» замінено на «цей стандарт»;
структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», «першу сторінку», «Терміни та визначення понять» і «Бібліографічні дані» — оформлено відповідно до вимог комплексу стандартів «Національна стандартизація»;
у розділах «Нормативні посилання» та «Бібліографія» наведено «Національне пояснення», виділене в тексті рамкою;
до підрозділу 3.2 долучено «Національну примітку», виділену в тексті рамкою.
Додатки А, В, С, Д — інформативні.
Копії документів, на які є посилання в тексті цього стандарту, можна замовити в Головному фонді нормативних документів.ДСТУ ISO/IEC 11770-1:2009
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ. КЕРУВАННЯ КЛЮЧАМИ
Частина 1. Загальні положення
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ. УПРАВЛЕНИЕ КЛЮЧАМИ
Часть 1. Основные положения
INFORMATION TECHNOLOGY
SECURITY TECHNIQUES. KEY MANAGEMENT
Part 1. Framework
Чинний від 2010-06-01
СФЕРА ЗАСТОСУВАННЯ
Цей стандарт:
установлює мету керування ключами;
описує загальну модель керування ключами, яка є основою для механізмів керування ключами;
визначає основні поняття щодо керування ключами, загальні для всіх частин стандарту;
визначає послуги керування ключами;
установлює властивості механізмів керування ключами;
висуває вимоги щодо керування ключовими даними протягом їхнього життєвого циклу;
описує схему керування ключовими даними протягом їхнього життєвого циклу.
Цей стандарт визначає загальну модель керування ключами, незалежну від використання будь- якого окремого криптографічного алгоритму. Однак певні механізми розподілення ключів можуть залежати від окремих властивостей алгоритмів, наприклад від властивостей асиметричних алгоритмів.
Окремі механізми керування ключами розглянуто в інших частинах стандарту ISO/IEC 11770. Симетричні механізми розглянуто в ISO/IEC 11770-2. Асиметричні механізми розглянуто в ISO/IEC 11770-3. Цей стандарт є основоположним для зазначених вище стандартів. Приклади використання механізмів керування ключами містять стандарти ISO 8732 та ISO 11166. Якщо для керування ключами потрібна неспростовність, треба використовувати стандарти ISO/IEC 13888.
У цьому стандарті розглянуто як автоматизовані, так і неавтоматизовані аспекти керування ключами, в тому числі структури елементів даних і послідовності операцій, які використовують для отримання послуг керування ключами. Однак деталі протоколу обміну, які можуть знадобитися, цим стандартом не визначено.
Як і у випадку інших послуг щодо безпеки, керування ключами може забезпечуватися тільки в контексті визначеної політики безпеки. Означення політики безпеки не належить до сфери застосування цього стандарту.
Видання офіційне
НОРМАТИВНІ ПОСИЛАННЯ
Наведені нижче нормативні документи містять положення, які через посилання в цьому тексті становлять положення цього стандарту. На час опублікування цього стандарту зазначені нормативні документи були чинними. Усі нормативні документи підлягають перегляду, і учасникам угод, базованих на цьому стандарті, необхідно визначити можливість застосування найновіших видань нормативних документів, наведених нижче. Члени ІЕС та ISO впорядковують каталоги чинних міжнародних стандартів.
ISO 7498-2:1989 Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture
ISO/IEC 9798-1:1991 Information technology — Security techniques — Entity authentification mechanisms — Part 1: General model
ISO 10181-1:1996 Information Technology— Open Systems Interconnection — Security frameworks for open systems: Overview.
НАЦІОНАЛЬНЕ ПОЯСНЕННЯ
ISO 7498-2:1989 Системи оброблення інформації. Взаємодія відкритих систем. Базова еталонна модель. Частина 2. Архітектура безпеки
ISO/IEC 9798-1:1991 Інформаційні технології. Методи захисту. Механізми автентифікування об’єктів. Частина 1. Загальна модель
ISO 10181-1:1996 Інформаційні технології. Взаємодія відкритих систем. Схеми безпеки для відкритих систем. Огляд.
ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ
Наведені нижче терміни вжито згідно з визначеннями, наведеними в ISO 7498-2:
цілісність даних (data integrity);
автентифікація джерела даних (data origin authentication);
цифровий підпис (digital signature).
Наведені нижче терміни вжито згідно з визначеннями, наведеними в ISO 9798-1:
автентифікація об’єкта (entity authentication).
Наведені нижче терміни вжито згідно з визначеннями, наведеними в ISO/IEC 10181-1:
повноважний з безпеки (security authority);
домен безпеки (security domain);
третя довірча сторона (TTP) (trusted third party (TTP)).
У цьому стандарті вжито такі терміни та визначення позначених ними понять.
асиметричний криптографічний метод (asymmetric cryptographic technique)
Криптографічний метод, який використовує два взаємозв'язані перетворення: відкрите (з використанням відкритого ключа) і секретне (з використанням особистого ключа): ЦІ перетворення мають таку властивість, що за наданим відкритим перетворенням не можна в результаті обчислень вивести секретне перетворення
повноважна організація з сертифікування (СА) (certification authority) (СА)
Центр, якому довірено формувати і призначати сертифікати відкритих ключів: СА може формувати і призначати ключі об'єктам (необов’язково).
Національна примітка
В Україні повноважною організацією з сертифікування є Центр сертифікування ключів, Засвідчувапьний центр, Централь-
I ний засвідчувапьний орган
розшифровування (decipherment)
Обернення відповідного перетвору зашифровування
зашифровування (encipherment)
(Звооотне) перетворення даних за допомогою криптографічного алгоритму для одержання шифро- тексту, тобто для приховування інформаційного змісту данихключ {key)
Послідовність кодів, яка керує виконанням криптографічного перетворення (наприклад, зашифровування. розшифровування, обчислення криптографічної перевіркової функції, формування підпису або верифікація цього підпису)
узгодження ключів {key agreement)
Процес установлювання спільного таємного ключа між об'єктами так, що жоден з них не може попередньо визначити значення цього ключа
підтвердження ключа {key confirmation)
Засвідчення одному із об’єктів, що інший ідентифікований об'єкт володіє правильним ключем
контроль ключа {key control)
Спроможність вибрати ключ або параметри, використовувані для обчислення ключа
центр розподілення ключів (ЦРК) {key distribution center) (KDC)
Об’єкт, якому довірено генерування (або придбання) і розподілення ключів об'єктам, кожен з яких має ключовий взаємозв'язок із ЦРК
ключові дані {key material)
Дані (а саме: ключі, значення для ініціалізації), потрібні для встановлення і підтримування криптографічного ключового взаємозв’язку
керування ключами {keymanagement)
Адміністрування і використання генерування, реєстрування, сертифікування, скасування, розподілення, інсталювання, зберігання, архівування, відкликання, виведення і знищення ключових даних відповідно до політики безпеки
центр передавання ключів (ЦПК) {key translation center) (КТС)
Об’єкт, якому довірено передавання ключів між об’єктами, кожен з яких має ключовий взаємозв’язок із ЦПК
особистий ключ {private key)
Ключ пари асиметричних ключів об'єкта, який повинен використовувати тільки цей об'єкт.
Примітка. Особистий ключ зазвичай не повинен розкриватися.
відкритий ключ {public key)
Ключ пари асиметричних ключів об'єкта, який може бути загальнодоступний
сертифікат відкритого ключа {public key certificate)
Інформація щодо відкритого ключа об’єкта, підписана повноважною організацією з сертифікування, внаслідок чого вона стає непідробною
інформація щодо відкритого ключа {public key information)
Певна інформація окремого об’єкта, яка містить щонайменше розрізнювальний ідентифікатор об’єкта і щонайменше один його відкритий ключ. Може бути доповнена іншою інформацією щодо повноважної організації з сертифікування, об’єкта і відкритого ключа, який міститься в інформації щодо відкритого ключа, а саме: строк чинності відкритого ключа, строк чинності відповідного особистого ключа або ідентифікатор застосованого алгоритму
випадкове число {random number)
Змінюваний з часом параметр, значення якого не можна передбачити
таємний ключ {secret key)
Ключ, який використовує у симетричних криптографічних методах тільки наперед визначена множина об'єктів
порядковий номер {sequence number)
Змінюваний з часом параметр, значення якого вибирають із визначеної послідовності, який не повторюється протягом певного періоду часусиметричний криптографічний метод (symmetric cryptographic technique)
