Совершенствование управлінням ключами

Ніде і раніше не сдавался.

ДОКЛАД.

На тему: «Удосконалення управлінням ключами».

Студента групи ________.

_______________________.

Москва 2001.

Організації повинен мати можливість безпечним способом отримувати пари ключів, відповідати ефективності їх і вимогам системи безпеки. З іншого боку, вони повинні мати доступ з відкритою ключам інших компаній, а також можливість опублікувати свій відкритий ключ.

Організації також має мати упевненістю в законності відкритих ключів низки інших компаній, оскільки користувач порушник може змінитися відкриті ключі, які у каталозі, чи діяти від імені іншого пользователя.

Всім цього використовується сертифікати. Вони повинні бути такими, що з не міг підробити. Отримувати вони мають з надійних джерел і був надійним способом, і дозволяють опрацьовувати те щоб ними було скористатися порушник. Видання сертифікатів також має відбуватися безпечним шляхом, несприйнятливою до атаке.

Ключі би мало бути дійсними лише протягом певного періоду. Дату закінчення термін дії ключа слід вибирати дуже уважно і повідомляти зацікавленим організаціям про забезпечення заходів безпеки. Деякі документи повинен мати підписи, справжні після закінчення термін дії ключа, з допомогою яку вони були підписано. Хоча більшість проблем управління ключами виникає у будь-який криптосистеме.

1. Хранителі ключей.

Будь-яка організація, що хоче підписати повідомлення чи отримувати зашифровані послання, повинен мати пару ключів (key pair). Компанія може мати довше ключа. Приміром, і той ж користувач організації може мати окремі ключі до роботи, для використання в особистих цілях. Поруч із організаційними структурами — такі як корпоративні відділи, готельні реєстраційні бюро чи університетські архівні офіси — ключами можуть як і володіти електронні прилади: модеми, робочі станції, принтери і т.д.

1. Одержання пар ключей.

Кожному користувачеві мережі організації слід генерувати свою пару ключів. Можливо, компанії видасться зручним мати єдиний вузол, генеруючий ключі всім службовців, у яких нужденних, цьому вони підданий ризику систему безпеки, оскільки це означатиме передачу особистих ключів через мережу, і навіть діяти катастрофічні наслідки втручання у разі, якщо порушник проникне цей узел.

Кожен вузол мережі має бути здатним генерувати ключі для свого ділянки, щоб ключі не передавалися, не треба було довірятися єдиному джерелу ключів, у своїй, зрозуміло, саме програмне забезпечення, застосовується для генерування ключів, має бути перевіреним і був надійним. Система аутентифікації секретних ключів, подібні Kerberos, найчастіше дозволяють локального генерування ключів, однак їх потребують цієї мети застосовується центральний сервер.

2. Поділ особистих ключей.

Кожен користувач організації повинен мати унікальний модуль і особистий показник (унікальний особистий ключ). Відкритий показник, з іншого боку, то, можливо загальним для групи користувачів, не піддаючи у своїй ризику системи безпеки. Відкриті показники, зазвичай застосовувані в наші дні - 3 і 216 + 1, оскільки ті цифри малі, а операції з особистим ключем (шифрування і верифікація підписи) швидкі проти операціями з особистим ключем (дешифрация та підпис). Якщо хтось показник стане стандартом, програмне і апаратне забезпечення то, можливо оптимизировано під цю значение.

У системах відкритих ключів, які базуються на дискретних логарифмах, як-от Е1 Gamal, Diffie — Helmann чи DSS одним модулем може скористатися група користувачів. Таке загальне користування робить поділ на ключі привабливішим для порушників, позаяк у цьому разі можна зламати все ключі, доклавши цього зовсім значно більше зусиль, ніж у тому, щоб зламати один ключ. Отже, організаціям слід дуже обережними, застосовуючи загальні модулі при керуванні та розподілі великих баз даних відкритих ключів. У кожному разі, якщо компанія вибирає такі модулі, повинно бути дуже великими і під'єднуватися до сервера відкритих ключей.

2. Сервери відкритих ключей.

Сервери відкритих ключів існують у тому, щоб зробити відкриті ключі організацій доступними через великі бази даних, яких кожен повинен мати доступ із єдиною метою шифрування повідомлень, що посилаються у ці організації. Хоча є кілька серверів ключів, організації необхідно послати свій відкритий ключ лише на їх, який відправить всі інші відомі сервери. На 1 лютого 1995 року в сервері відкритих ключів зберігалося 4199 ключів, які забезпечують доступом до великим загальним баз даних, як-от SLED.

3. Постійна велика база даних електронної пошти (SLED).

Побудована велика база даних електронний пошти (SLED — Stahle Large Е-mail Database) має забезпечити роботу механізму, подібного серверу відкритих ключів, метою якого є обслуговування може й пошук адрес електронної пошти як приватних осіб, так організацій. SLED ідеальний для користувачів всередині організації, що мають одну і більше поштових ящиків (куди можна посилати пошту по Internet), які мають щодня проверять.

Що може робити SLED: 1) SLED забезпечує своєчасне обслуговування наявних адрес електронної пошти. За певний період то вона може змінювати адреси, змінюючи місце роботи, провайдерів Internet, зі школи і т.д. Це обслуговування також озанчает скорочення списку тих, хто від входить у інтерактивний список (наприклад померлих користувачів); 2) SLED забезпечує практичні параметри пошуку. Бази даных поточних електронних адрес, наприклад whois і netfind дають можливість для пошуку, ефективного лише коли вам вже відомий адресу електронної пошти людини. Кожен індивідуальний користувач визначає свою комплект даних, зокрема такі элементв, як школи, професії, галузі досліджень тощо.; 3) SLED забезпечує захист проти ворогів. Цю базу даних пропонує високоякісний комплект даних, що дозволяє більшої гнучкості у пошуку, і навіть захистом ворогів великих адресних книжок, якими можуть бути такими категорії: Аналогічні і фальшиві бюджети користувачів; Комерційні поштові служды, зайняті масової розсиланням; «мисливці на голови» (бюро зайнятості і натора на військову службу).

SLED підписує свої відкриті ключі по тому, як станеться перевірка, обмін зашифрованими повідомленнями і співпаде відбитки пальців. SLED використовує ViaCrypt PGP, варто ненадовго доларів — і вимагає по крайньої мері одне застосування звичайній пошти (поштове відомство США).

У базі даних SLED зберігаються лише реальні імена, ніяких фіктивних ID чи псевдонімів. Для пошуку користувач сам має бути в неї включен.

Ніколи не можна розглядати комплект запроваджених вами даних як єдине ціле. Запровадження даних про колишніх й сьогоденних навчальних закладів, професіях і місцях роботи — хороша практика. Проте, тоді як процесі пошуку збігається одна з елементів, це значить, що систему видасть й інше. Критерії пошуку SLED ускладнюють її дослідження «мисливці на голови» і комерційним поштовим фирмам.

4. Емпірична перевірка підписів тридцятирічної давности.

Зазвичай термін дії ключа минає, скажімо, два роки, і документ (чи чек), підписаний застарілим ключем ні ніким прийматися. В багатьох випадках необхідно, щоб документ був законний на протязі набагато більше терміну, як два наступних року, наприклад, контракти про довгострокову оренду. Як усунути цю проблеми? Передбачалося чимало рішень, але й одного з них не віддано переваги. Розглянемо що з них.

Разом зі звичайним дворічним ключем може мати спеціальні довгострокові, що зберігаються із великим рівнем захисту та зі значною великий довжиною модулів. головним чином якщо відлік терміну дії ключа минає через 60 років, будь-який документ, підписаний їм, матиме чинність закону на протязі від цього срока.

Проблема полягає в тому випадку у тому, що це скомпрометовані ключі залишатимуться в CRL, США можуть розростися до неймовірних размеров.

Резюме:

Цей доповідь присвячений працювати з ключем. Зокрема, у ньому розглянуті такі питання: 1) Щоб підписати повідомлення отримувати зашифровані листи, організація повинен мати пару ключів. Організація може мати довше ключа; 2) Аби зробити відкритий ключ організації доступним з великої бази даних, необхідний сервер відкритих ключів, якого може мати доступ кожен бажаючий посилати зашифровані сполучення цю організацію; 3) Документи, підписані ключем, термін дії яких минув, нічого не винні прийматися. Проте є кілька ситуацій, коли документ повинен зберігати статус законності протягом терміну більше двох лет.

Список використовуваної литературы:

1. Джон Вакка. Секрети безпеки в Internet. Переклад з англійської. -.

Київ; Діалектика, 1997 р. 2. Джеймс Саймино. Мережі інтранет: внутрішнє рух. Переклад з англійської. — М.: ТОВ «Бук Медіа Паблишер». 1997 р. 3. Володимир Зима. Безпека глобальних мережевих технологій /В.М. Зима,.

А.А. і Н. А. Молдавян. СПб та інших.: БХВ — Санкт — Петербург, 2000 г.