Управление историями ключей
Управление историями ключей
Концепция обновления ключей, ручного или автоматического, подразумевает, что в данный момент времени пользователь имеет много "старых" сертификатов и, по крайней мере, один "текущий" сертификат. Этот набор сертификатов и соответствующих секретных ключей обычно называют историей ключей пользователя, хотя более точно его называть историей ключей и сертификатов. Сохранение этой полной истории ключей очень важно, потому что данные, зашифрованные самим пользователем или кем-нибудь для него в прошлом (например, 5 лет назад), не могут быть расшифрованы при помощи текущего секретного ключа пользователя. Заметим, что повторное шифрование всех данных пользователя при обновлении ключа обычно не практикуется. Поэтому пользователю необходима поддержка его истории ключей, чтобы найти корректный ключ шифрования для извлечения необходимых данных, зашифрованных в прошлом. То же самое справедливо и для сертификатов ключей подписи и старых документов, заверенных цифровой подписью данного пользователя.
Подобно обновлению ключей, управление историями ключей должно выполняться автоматически и полностью управляться PKI. Пользователи обычно не любят работать с системами, где надо самостоятельно выбирать подходящий ключ или, хуже того, искать его перебором всех секретных ключей по очереди до тех пор, пока расшифрованные данные не станут походить на искомое. PKI должна поддерживать все ключи и сертификаты из истории ключей каждого пользователя, выполнять их резервирование и восстановление, а также находить подходящий ключ, который соответствует любым защищенным данным.
В ближайшем будущем пользователи будут иметь огромное количество пар ключей, которые должны будут поддерживаться как криптографические ключи, даже если никогда не будут использоваться. Ключи шифрования со временем требуют обновления, при этом должна поддерживаться история всех ключей, использованных ранее (например, для расшифрования информации многолетней давности или проверки цифровой подписи на старом договоре).
Процесс корректировки пар ключей должен быть "прозрачен" для пользователя. Это означает, что пользователи не должны заботиться об обновлении ключей или получать отказ в обслуживании из-за недействительности своих ключей. Для удовлетворения этого требования пары ключей пользователя должны автоматически обновляться до истечения срока их действия. При обновлении пары ключей подписи предыдущий ключ подписи безопасно уничтожается, тем самым предотвращается несанкционированный доступ к ключу и устраняется необходимость хранения предыдущих ключей.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
24.4.4 Количество ключей аутентификации
24.4.4 Количество ключей аутентификации Сколько ключей аутентификации нужно для работы сервера с клиентами? Может показаться, что серверу достаточно иметь один ключ MD5, с помощью которого он может сказать: "Я тот самый сервер".Однако этот ключ будут знать все клиенты. Один из
24.5.6 Обслуживание ключей
24.5.6 Обслуживание ключей Широкое использование безопасности в IP требует распространения множества секретных ключей среди большого количества сетевых узлов. Ключи должны периодически обновляться, и их нужно синхронизовать между собой.Существует много литературы по
13.3 Связки ключей
13.3 Связки ключей Есть ещё один интересный механизм, связанный с обеспечением безопасности. Дело в том, что для хранения различных пользовательских паролей в Ubuntu используются так называемые связки ключей (keyrings). Весь этот механизм служит одной цели — никто, кроме
5. Понятие ключей
5. Понятие ключей При объявлении схемы базового отношения могут быть заданы объявления нескольких ключей. С этим мы уже не раз сталкивались прежде. Наконец настало время поговорить более подробно о том, что же такой ключи отношения, а не ограничиваться общими фразами и
Добавление ключей к кольцу.
Добавление ключей к кольцу. Теперь вам, вероятно, захочется добавить открытые ключи ваших друзей к вашему кольцу. Для этого вам потребуется получить эти кольца: с сервера ключей, непосредственно от этого человека, при помощи команды finger, по e-mail, и т.д. Вспомним, что открытые
11.1.12. Несколько ключей сортировки
11.1.12. Несколько ключей сортировки При использовании опций +позиция и -k следует быть особенно аккуратным. Если вы внимательно прочитали их описание в табл. 11.1, то должны были отметить такой факт: когда не указана конечная позиция, ключ сортировки считается заканчивающимся
Как PGP определяет подлинность ключей
Как PGP определяет подлинность ключей Прежде чем приступить к этому параграфу, ознакомьтесь с предыдущим, "Как защитить открытый ключ от подмены".PGP следит, какие из открытых ключей на связке сертифицированы подписями ваших доверенных поручителей. Вам нужно лишь указать
Софтерра: Доска для ключей 2.0
Софтерра: Доска для ключей 2.0 Автор: Илья Щуров VoyagerДа, да, да — опять клавиатура, опять командная строка и снова ни слова о мышах. Возможно, постоянные читатели помнят, что я неравнодушен к этим интерфейсным инструментам — одна из моих первых публикаций в «КТ» была
Инфраструктуры открытых ключей
Инфраструктуры открытых ключей Полянская Ольга ЮрьевнаИнтернет-университет информационных технологий -
Генерация пар ключей
Генерация пар ключей При помощи этого сервиса генерируется пара ключей (открытый ключ/секретный ключ), секретный ключ хранится в файле, защищенном паролем или иными средствами (например, на смарт-карте или при помощи другого аппаратного или программного средства,
Управление жизненным циклом сертификатов и ключей
Управление жизненным циклом сертификатов и ключей Если секретный ключ пользователя потерян, похищен или скомпрометирован, либо существует вероятность наступления таких событий, действие сертификата должно быть прекращено. После получения подтверждения запроса
Автоматическое обновление ключей
Автоматическое обновление ключей Сертификат имеет ограниченный срок действия, который устанавливается в зависимости от возможностей современных криптографических алгоритмов и используемых длин ключей, а также с учетом практических соображений (например, объем
Взаимосвязи сертификатов и пар ключей
Взаимосвязи сертификатов и пар ключей Если субъект PKI имеет много пар ключей, то должен иметь и много сертификатов, поскольку формат сертификата стандарта X.509 не позволяет ему указывать в поле Subject Public Key Info (информация об открытом ключе субъекта) несколько ключей. Это,
Управление несколькими парами ключей
Управление несколькими парами ключей Возможность использовать несколько действующих сертификатов, связанных с разными политиками и назначениями ключей, сопряжена с тем, что для каждого вида активности должен выбираться корректный (соответствующий назначению)