Певне використання ключа або застосунок можуть визначати послуги для цього ключа Наприк­лад у системі може бути прийнято рішення не реєструвати сеансові ключі тому, що процес реєстру­вання може бути довшим, ніж їх життєвий цикл Навпаки, потрібно реєструвати таємний ключ у разі використання для цифрового підпису симетричних методів

5 ПОНЯТТЯ ПРО КЕРУВАННЯ КЛЮЧАМИ

5 1 Послуги щодо керування ключами

Для кращого розуміння послуг щодо керування ключами у цьому розділі описано загальну струк­туру керування ключами, як послуги скомбіновано одна з одною та як їх підтримують

Керування ключами спирається на основні послуги щодо генерування реєстрування сертифіку­вання розподілення інсталювання зберігання, виведення, архівування, відкликання скасування та зни­щення Ці послуги можуть бути частиною системи керування ключами або надаватися іншими поста­чальниками послуг Залежно від виду послуги постачальник послуги повинен виконувати визначений мінімум вимог щодо безпеки (безпека обміну тощо) для того, щоб йому довіряли всі залучені об єкти Наприклад постачальником послуги може бути третя довірча сторона

На рисунку 2 показано, що послуги щодо керування ключами розташовані на одному рівні і можуть бути використані множиною різних користувачів (особами або процесами). Ці користувачі можуть за­стосовувати різні засоби керування ключами в різних застосунках, використовуючи послуги залежно від своїх потреб. Послуги керування ключами наведені в таблиці 1.

Рисунок 2 — Послуги щодо керування ключами



  1. Послуга щодо генерування ключа

Послуга щодо генерування ключа — це послуга, яку активізують для генерування ключів у захи­щеному режимі для окремого криптографічного алгоритму. Це означає, що генерування ключів не може бути підроблене, ключі генерують згідно із заданим розподілом і таким чином, що результат не мож­на передбачити. Цей розподіл залежить від криптографічного алгоритму, для якого його використову­ють, і потрібним рівнем криптографічного захисту. Генерування деяких ключів, а саме головних ключів, потребує особливої уваги, оскільки знання цих ключів надає доступ до залежних від них або породже­них ними ключів.

  1. Послуга щодо реєстрування ключа

Послуга щодо реєстрування ключа зв’язує ключ із об’єктом. Її надає повноважний реєстратор і зазвичай застосовують тоді, коли використовують симетричні методи. Коли об’єкт бажає зареєстру­вати ключ, він має зв’язатися з повноважним реєстратором. Реєстрування ключа охоплює запит на реє­стрування та підтвердження цього реєстрування.

Повноважний реєстратор веде реєстр ключів і відповідної інформації з належним рівнем захисту. У додатку В надано детальну інформацію щодо керування ключами.

Повноважний реєстратор ключів забезпечує операції реєстрування і скасування.

  1. Послуга щодо формування сертифіката ключа

Послуга щодо формування сертифіката ключа засвідчує зв'язок відкритого ключа з об'єктом і на­дається повноважною організацією з сертифікування. Після одержання запиту на сертифікацію клю­ча повноважна організація з сертифікування створює сертифікат ключа. Сертифікати відкритих ключів описані детальніше в ISO/IEC 11770-3.

  1. Послуга щодо розподілення ключа

Розподілення ключа — це множина процедур для надійного забезпечення авторизованих об'єктів інформаційними об'єктами керування ключами (відповідно до прикладу в додатку В). Особливим випад­ком розподілення ключів є передавання ключа, в якій ключові дані встановлюють між об'єктами з ви­користанням центра передавання ключів (відповідно до 6.2).

ISO/IEC 11770-2 пропонує різні механізми встановлення ключів між об'єктами. ISO/IEC 11770-3 визначає механізми узгодження таємних ключів і механізми пересилання таємних і відкритих ключів.

  1. Послуга щодо інсталювання ключа

Послуга щодо інсталювання ключа завжди необхідна перед використанням ключа. Інсталювання ключа означає створення ключа всередині засобу керування ключем із захистом від розкриття.

  1. Послуга щодо зберігання ключа

Послуга щодо зберігання ключа забезпечує безпечне зберігання ключів, призначених для поточ­ного чи короткострокового використання або для резервування. Зазвичай корисно забезпечувати фізич­но відокремлене зберігання ключів. Наприклад, це забезпечує конфіденційність та цілісність ключових даних або цілісність відкритих ключів.

Зберігання ключів можливе в усіх станах життєвого циклу ключа (а саме: в очікуванні активності, в активному і в постактивному). Залежно від важливості ключів вони можуть бути захищені одним із таких механізмів:

  • фізичний захист (а саме: зберігання ключа всередині тривких до пошкоджень пристроїв або на зовнішніх носіях, як дискета або картка з пам’яттю);

  • шифрування з використанням ключів, які самі фізично захищені;

  • захист доступу до них за допомогою паролів або персонального ідентифікаційного номера (ПІН).

Для всіх ключових даних кожна спроба розкриття має бути виявленою.

  1. Послуга щодо виведення ключа

Послуга щодо виведення ключа створює потенційно велику кількість ключів із використанням та­ємного первинного ключа, що називають ключем виведення, нетаємних змінюваних даних та процесу перетворення (який так само не потребує таємності). Результатом такого процесу є похідний ключ. Ви­ведення ключа потребує спеціального захисту. Процес виведення має бути незворотним і непередба- чуваним, щоб забезпечити неможливість у разі розкриття похідного ключа розкриття ключа виведен­ня або іншого похідного ключа.

  1. Послуга щодо архівування ключа

Архівування ключа забезпечує процес безпечного довгострокового зберігання ключів після нор­мального використання. Архівування може використовувати послугу зберігання ключів, але допускається також їхнє автономне зберігання. Заархівовані ключі можуть потребувати відновлення значно пізнішою датою з ціллю доведення або спростування певних позовів після припинення нормального користуван­ня ключами.

  1. Послуга щодо відкликання ключа

Якщо є припущення або відома компрометація ключа послуга щодо відкликання ключа гарантує безпечне призупинення дії ключа. Ця послуга потрібна для ключів, строк дії яких вичерпано. Відкли­кання ключа також буде мати місце, коли змінюються обставини у власника ключа. Після відкликан­ня ключа його може бути використано тільки для розшифровування і верифікування. Відкликання ключа не застосовне для схем, заснованих на сертифікатах, в яких життєвий цикл ключа контролюється стро­ком дії сертифіката.

Примітка. Деякі застосунки для цієї послуги використовують строк «вилучити ключ».

  1. Послуга щодо скасування ключа

Послуга щодо скасування ключа — це процедура, яку надає повноважний реєстратор ключів і усуває зв'язок ключа з об’єктом. Вона є частиною процесу знищення ключа (відповідно до 5.1.11). Для скасування ключа об'єкт повинен зв'язатися з повноважним реєстратором.

  1. Послуга щодо знищення ключів

Послуга щодо знищення ключа забезпечує процес безпечного знищення ключів, які вже не потрібні. Знищування ключа означає видалення всіх записів цього інформаційного об’єкта керування ключем таким чином, що не залишається жодної нформації після проведення знищення і жодними за­собами неможливо відновити знищений ключ. Це стосується знищування усіх заархівованих копій. Од­нак до знищування заархівованих ключів має бути виконано перевіряння, щоб упевнитись, що жодний заархівований матеріал, захищений цими ключами, вже ніколи не знадобиться.

Примітка. Деякі ключі можуть зберігатися поза електронним пристроєм або системою Знищення таких ключів потребує додаткових адміністративних заходів.

5.2 Послуги щодо підтримування

Для підтримки дії щодо керування ключами можуть знадобитися інші послуги.

  1. Послуги засобів керування ключами

Послуги щодо керування ключами можуть використовувати інші послуги, що стосується захисту. До них належать:

  • контроль доступу. Ця послуга може бути використана для забезпечення доступу до ресурсів системи керування ключами тільки авторизованим об’єктам і авторизованим чином;

  • аудит. Відстежування дій, що стосуються безпеки і виникають у системі керування ключами Журнали аудиту можуть допомогти визначити ризики та порушення безпеки;

  • автентифікація. Цю послугу треба використовувати для встановлення об'єкта як авторизова­ного члена домена безпеки;

  • криптографічні послуги. Ці послуги треба використовувати для забезпечення цілісності, кон­фіденційності, автентифікування та неспростовності послуги керування ключами;

  • послуга фіксування часу. Ця послуга потрібна для генерування змінюваних із часом пара­метрів, таких як строк вірогідності.

  1. Послуги, орієнтовані на користувача

Криптографічні системи і пристрої можуть потребувати інших послуг, потрібних для адекватного функціювання, таких як послуги реєстрування користувачів. Ці послуги залежать від особливостей реалізацій не належать до сфери застосування цього стандарту.

  1. КОНЦЕПТУАЛЬНІ МОДЕЛІ РОЗПОДІЛЕННЯ КЛЮЧІВ

Розподілення ключів між об'єктами може бути складним. На це впливає характер каналів зв’язку, залучені довірчі взаємовідносини та використовувані криптографічні методи. Об'єкти можуть зв’язува­тися безпосередньо або опосередковано, можуть належати до одного або різних доменів безпеки, мо­жуть використовувати або ні послуги довірчих органів. Наведені нижче концептуальні моделі показу­ють, як ці різні випадки впливають на розподілення ключів та інформації.

  1. Розподілення ключів між зв’язаними об’єктами

На взаємодію об’єктів впливають канали зв’язку, ступінь довіри між ними та використовувані крип­тографічні методи.

Існують канали зв’язку між об'єктами А і В, які бажають обмінятися інформацією з використанням криптографічних методів. Ці канали зв'язку показано на рисунку 3. Взагалі розподілення ключа має здійснюватися через безпечний канал, який логічно відрізняється від каналу передавання.

Рисунок 3 — Лінія зв'язку між двома об'єктами



Випадками безпосередньої взаємодії об'єктів є узгодження ключів, контролювання ключів та підтвердження ключів. Детальніше цей випадок наведено в ISO/IEC 11770-2 та ISO/IEC 11770-3.

  1. Розподілення ключів у межах одного домена

Наведену нижче модель засновано на концепціїї домена безпеки з повноважним із безпеки згідно з ISO/IEC 10181-1.

Цей повноважний з безпеки може пропонувати такі послуги керування ключами, як передавання ключів. За умови використання об'єктами асиметричних методів для безпечного обміну інформацією можливі такі випадки:

  • для цілісності або автентифікування джерела даних одержувач потребує відповідного серти­фіката відкритого ключа відправника;

  • для конфіденційності відправник потребує чинного сертифіката відкритого ключа одержувача;

  • для автентифікування, конфіденційності та цілісності кожний партнер потребує сертифіката відкритого ключа іншої сторони. Це забезпечує засоби взаємної неспростовності.

Кожен об'єкт може потребувати взаємодії зі своєю повноважною організацією з сертифікування для одержання відповідного сертифіката відкритого ключа. Якщо пов’язані партнери довіряють одне одному і можуть провести взаємну автентифікацію сертифікатів їхніх відкритих ключів, то жодна повно­важна організація з сертифікування не потрібна.

Примітка. Існують криптографічні застосунки, в яких не застосовують жодної повноважної організації з сертифікування. У цьому випадку пов'язані партнери можуть лише здійснити безпечний обмін спеціальною відкритою інформацією замість серти­фікатів їхніх відкритих ключів

У разі використання симетричних методів між двома такими партнерами генерування ключів роз­починається одним із таких способів:

  1. генеруванням ключа одним із об'єктів і відсиланням його до центру передавання ключів (ЦПК);

  2. запитом одного із об'єктів до центру передавання ключів стосовно генерування ключа для по­дальшого розподілення.

Якщо генерування ключів виконує один із об’єктів, безпечне розподілення ключа може виконува­тися центром передавання ключів як показано на рисунку 4. Цифри зображують кроки обміну. ЦПК одер­жує зашифрований ключ від об’єкта А (1), розшифровує його і повторно зашифровує його, використо­вуючи ключ, розподілений між ним та об’єктом В. Потім він може або переслати зашифрований ключ об'єкту В (2), або відправити його назад об’єкту А (3), який перешле його об’єкту В (4).

Рисунок 4 — Центр передавання ключів



Якщо генерування ключів здійснює третя довірча сторона, то існують два варіанти подальшого розподілення ключа пов'язаним партнерам. Ці випадки проілюстровані на рисунку 5 «Концептуальна модель центра розподілення ключів» та на рисунку 6 «Розподілення ключів пересиланням ключа від об'єкта А до об’єкта В». На рисунку 5 проілюстровано випадок, коли центр розподілення ключів спро­можний безпечно зв'язуватися з обома об'єктами. У цьому випадку, як тільки ключ згенеровано за за­питом одного з об'єктів, центр розподілення ключів несе відповідальність за безпечне розподілення ключа обом об’єктам. (1) — зображення запиту розподіленого ключа, а (2а) і (2в) — розподілення ключа пов’язаним партнерам.