Глава 19 Сокеты управления ключами

Глава 19

Сокеты управления ключами

19.1. Введение

С появлением архитектуры безопасности IP (IPSec, см. RFC 2401 [64]) возникла потребность в стандартном механизме управления индивидуальными ключами шифрования и авторизации. Документ RFC 2367 [73] предлагает универсальный интерфейс управления ключами, который может использоваться с IPSec и иными криптографическими сетевыми службами. Подобно маршрутизирующим сокетам, этот интерфейс принадлежит к отдельному семейству протоколов, которое называется PF_KEY. В этом семействе поддерживаются только символьные сокеты.

ПРИМЕЧАНИЕ

Как отмечалось в разделе 4.2, на большинстве систем константа AF_KEY совпадает с PF_KEY. Однако в RFC 2367 совершенно четко утверждается, что с сокетами управления ключами должна использоваться константа PF_KEY.

Для открытия символьного сокета управления ключами требуются определенные привилегии. В системах с сегментированными привилегиями для этого действия должна иметься специальная привилегия. В обычных Unix-системах открывать такие сокеты может только привилегированный пользователь.

IPSec предоставляет криптографический сервис на базе соглашений о безопасности (security association, SA). Соглашение о безопасности представляет собой сочетание адресов отправителя и получателя (а при необходимости, транспортного протокола и портов), механизма (например, аутентификации) и ключей. К одному потоку трафика может относиться несколько соглашений (например, соглашения об аутентификации и о шифровании). Набор хранящихся в системе соглашений называется базой данных соглашений о безопасности (security association database, SADB).

База SADB может использоваться не только для работы с IPSec. В ней могут иметься записи для OSPFv2, RIPv2, RSVP и Mobile-IP. По этой причине нельзя считать, что сокеты PF_KEY предназначены только для работы с IPSec.

Для работы IPSec необходима также база политик безопасности (security policy database, SPDB). Политики описывают требования к трафику, например: «трафик между узлами А и В должен аутентифицироваться при помощи заголовков аутентификации IPSec (authentication header, АН); не удовлетворяющий требованию трафик должен сбрасываться». База соглашений описывает порядок выполнения требуемых для обеспечения безопасности действий, например, если трафик между узлами А и В использует заголовки аутентификации, то в SADB содержится соответствующий алгоритм и ключи. К сожалению, стандартного механизма управления SPDB не существует. Сокеты PF_KEY работают только с базой SADB, но не с SPDB. Реализация IPSec группы KAME использует для управления SPDB расширения PF_KEY, однако никаким стандартом эти расширения не описываются.

Сокеты управления ключами поддерживают три типа операций:

1. Процесс может отправить сообщение ядру и всем остальным процессам с открытыми сокетами, записав это сообщение в свой сокет. Таким способом добавляются и удаляются записи в базе соглашений о безопасности. Таким же способом процессы, обеспечивающие собственную безопасность самостоятельно (типа OSPFv2), могут запрашивать ключи у демона-ключника (демона, управляющего ключами).

2. Процесс может считать сообщение от ядра или иного процесса через сокет управления ключами. Это позволяет ядру запросить демона-ключника о добавлении соглашения о безопасности для нового сеанса TCP, который, согласно политике, подлежит определенной защите.

3. Процесс может отправить ядру запрос дампа, и ядро в ответ передаст ему дамп текущей базы SADB. Это отладочная функция, которая может быть доступна не во всех системах.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Управление ключами

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

Управление ключами Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭЦП, является управление открытыми ключами. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от


Глава 7 Панель управления

Из книги Windows Vista. Мультимедийный курс автора Мединов Олег

Глава 7 Панель управления Рассмотрим содержимое папки Панель управления, в которой собраны основные функциональные средства по настройке параметров компьютера и операционной системы. С помощью команд Панели управления можно быстро настроить вид и поведение Windows Vista в


Протокол обмена ключами IKE

Из книги Инфраструктуры открытых ключей автора Полянская Ольга Юрьевна

Протокол обмена ключами IKE Широкое использование IPsec требует масштабируемого, автоматизированного управления контекстами безопасности. Формирование контекстов безопасности по запросу и использование средств защиты от воспроизведения пакетов в протоколах AH и ESP


Управление сертификатами и ключами

Из книги Программирование на языке Ruby [Идеология языка, теория и практика применения] автора Фултон Хэл

Управление сертификатами и ключами Управление сертификатами и ключами - существенный аспект успешной реализации PKI. Проблемы управления особенно актуальны для масштабных PKI с большим количеством владельцев сертификатов и пользователей [79]. К наиболее важным проблемам


8.2.15. Реализация хэша с повторяющимися ключами

Из книги Руководство по переходу на Ubuntu 10.04 LTS «Lucid Lynx» автора Неворотин Вадим

8.2.15. Реализация хэша с повторяющимися ключами Приверженцы математической строгости скажут, что хэш с повторяющимися ключами — вообще не хэш. Не станем спорить. Называйте как хотите, но на практике бывают случаи, когда нужна структура данных, обладающая гибкостью и


22.2 Безопасность репозиториев и управление ключами

Из книги PGP: Кодирование и шифрование информации с открытым ключом. автора Левин Максим

22.2 Безопасность репозиториев и управление ключами Все источники приложений подписываются электронными ключами в целях обеспечения безопасности. Для корректной работы с репозиторием Ubuntu должна знать его ключ, иначе она будет постоянно сообщать о ненадёжном источнике


Работа с ключами.

Из книги 19 смертных грехов, угрожающих безопасности программ автора Ховард Майкл

Работа с ключами. Со времен Юлия Цезаря работа с ключами всегда была наиболее трудной частью криптографии. Одной из принципиально выдающихся особенностей PGP является сложная работа с


Команды для работы с ключами.

Из книги Введение в криптографию автора Циммерманн Филипп

Команды для работы с ключами. Сгенерировать вашу   собственную уникальную пару секретный/открытый ключи: pgp -kgДля того, чтобы добавить содержимое файла открытого или секретного ключа в ваш каталог открытых или секретных ключей:pgp –ka keyfile [keyring]Для извлечения (копирования)


Система для шифрования с двумя ключами.

Из книги UNIX: разработка сетевых приложений автора Стивенс Уильям Ричард

Система для шифрования с двумя ключами. Все желающие (PGP распространяется свободно) переписывают из любых источников саму систему (PGP) и ее исходные тексты (если есть необходимость, исходные тексты также распространяются свободно). Все функции системы выполняются с


Симметричное шифрование и управление ключами

Из книги автора

Симметричное шифрование и управление ключами Симметричное шифрование имеет ряд преимуществ. Первое — скорость криптографических операций. Оно особенно полезно для шифрования данных, которые остаются у вас. Однако, симметричное шифрование, применяемое само по себе как


Махинации с открытыми ключами

Из книги автора

Махинации с открытыми ключами Крупная проблема возникает в том случае, если открытые ключи контрагентов при взаимообмене оказались злоумышленно подменены. Подмена открытых ключей представляет собой главную уязвимость любой асимметричной криптосистемы, отчасти и


Глава 3 Введение в сокеты

Из книги автора

Глава 3 Введение в сокеты 3.1. Введение Эта глава начинается с описания программного интерфейса приложения (API) сокетов. Мы начнем со структур адресов сокетов, которые будут встречаться почти в каждом примере на протяжении всей книги. Эти структуры можно передавать в двух


Глава 4 Элементарные сокеты TCP

Из книги автора

Глава 4 Элементарные сокеты TCP 4.1. Введение В этой главе описываются элементарные функции сокетов, необходимые для написания полностью работоспособного клиента и сервера TCP. Сначала мы опишем все элементарные функции сокетов, которые будем использовать, а затем в


Глава 18 Маршрутизирующие сокеты

Из книги автора

Глава 18 Маршрутизирующие сокеты 18.1. Введение Традиционно доступ к таблице маршрутизации Unix внутри ядра осуществлялся с помощью команд функции ioctl. В разделе 17.9 мы описали две операции: SIOCADDRT и SIOCDELRT, предназначенные для добавления и удаления маршрута. Мы также отметили,


Глава 28 Символьные сокеты

Из книги автора

Глава 28 Символьные сокеты 28.1. Введение Символьные, или неструктурированные, сокеты (raw sockets) обеспечивают три возможности, не предоставляемые обычными сокетами TCP и UDP.1. Символьные сокеты позволяют читать и записывать пакеты ICMPv4, IGMPv4 и ICMPv6. Например, программа ping посылает