Хранение и отзыв ключей

Share

|

Основные хранения возникает, когда пользователю необходимо для защиты криптографических ключей, таким образом, помимо вспоминая его. Если ключ общественности, конечно, любое свидетельство, на основе механизма будет достаточно, поскольку цель заключается в защите ключевых целостности. Но секретные ключи (для классической криптосистемами) и частные ключи (для открытых ключей криптосистемами) должен иметь защиту их конфиденциальности, а.

Основные хранения

Защита криптографических ключей звучит просто: просто поставить ключ в файл, и использовать операционную систему контроля доступа механизмов защиты. К сожалению, в операционной системе механизмов контроля доступа зачастую можно избежать или победить, а могут и не применяться для некоторых пользователей. От одного пользователя системы, это соображение не имеет значения, потому что никто не будет иметь доступ к системе, а ключ в системе. На multiuser системы, другие пользователи имеют доступ к системе. В сетевой системе, злоумышленник может обмануть владельца на загрузку программы, которая будет направлять символы и файлы злоумышленника, что выявление конфиденциального криптографических ключей. Мы считаем, что эти системы.

От таких систем, enciphering файл, содержащий ключи не будут работать, либо. Когда пользователь вводит ключ к decipher файл, ключ и содержимое файла будет проживать в памяти в какой-то момент; Это потенциально видимыми для других пользователей на multiuser системы. Комбинация клавиш используется для decipher файла могут быть отмечены и replayed позднее. Либо компромисс будет ключевым.

А возможным решением является поставить ключ на один или несколько физических устройств, таких, как специальный терминал, ROM, или смарт-карта. Ключ никогда не попадает в содержимое памяти компьютера. Вместо того, чтобы encipher сообщение, пользователь вставляет смарт-карт в специальное устройство, что можно прочитать и написать на компьютере. Компьютер посылает ему сообщение, которое будет защищать, и на устройство использует ключ на смарт-карте для encipher сообщение и отправить его на компьютер. На нет - это криптографический ключ подвержены.

А вариант опирается на наблюдение, что если смарт-карта украли, вор имеет криптографических ключей. Вместо того, он по одной карте, ключ делится на несколько устройств (две карты, карты и физического считывания карт, и т. д.). Теперь, если вор похищает одну из карт, украденных карт бесполезно, поскольку не содержит весь ключ.

Основные отзыва

Свидетельство форматов содержат ключевую дату. Если ключ становится недействительным до этой даты, оно должно быть отменено. Как правило, это означает, что ключ скомпрометирован, или что обязательный между предметом и ключевыми изменился.

Мы это различие от срока действия сертификата. Истекшее сертификат достиг предварительно период после чего он больше не верен. Этот срок был превышен является единственной причиной. А аннулировано свидетельство удалена по просьбе владельца или эмитента по какой-либо причине, кроме истечения.

Есть две проблемы, связанные с отмене публичных ключей. Первый заключается в том, чтобы аннулировать это correctin Иными словами, чтобы образование отмену ключевых уполномочен сделать это. Вторая заключается в обеспечении своевременности отмены всей инфраструктуры. Вторая проблема зависит от надежной и в высшей степени связанных серверов, и в зависимости от инфраструктуры, а также о расположении сертификатов и главарей, которые копии этих сертификатов. В идеале, уведомление об аннулировании будет разослан всем сторонам, когда получил, но всегда будет существовать времени.

В X.509 и Интернет инфраструктур публичных ключей (ИПК) использовать списки сертификатов.

А аннулирования свидетельства списке - перечень сертификатов, которые более не являются действительными.

А аннулирования свидетельства список содержит номера в отозванных сертификатов и сроки, в которые они были отменены. Она также содержит наименование эмитента, дату, с которой перечень был опубликован, и при следующем списке, как ожидается, выйдет. Эмитент также признаки списка [865]. Согласно X.509, только эмитент сертификата могут отменить.

PGP позволяет подписавшихся сертификатов об отзыве своих подписей, а также позволяет владельцам сертификатов, и их уполномоченным лицам, отозвать все сертификаты. Свидетельство отзыв помещается в пакет PGP и подписывается как очередной сертификат PGP. А специальный флаг знаменует его аннулирования сообщения.