КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Хранение ключей
|
|
|
|
Cекретные ключи не должны храниться в памяти в явном виде, допускающем их считывание. Любая информация об используемых ключах должна хранится в зашифрованном виде, а значит, в защищенной системе должна иметь место иерархия ключей:
· либо двухуровневая (ключи шифрования ключей - ключи шифрования данных),
· либо трехуровневая (главный или мастер-ключ - ключи шифрования ключей - ключи шифрования данных).
Учитывая, что такое разделение функций необходимо для обеспечения максимальной безопасности, каждый из указанных типов ключей, различающихся по последствиям компрометации, времени жизни, а иногда и по способам формирования, должен использоваться только по своему прямому назначению.
На самом нижнем уровне иерархии находятся ключи шифрования данных или сеансовые ключи, которые используются для шифрования пересылаемых сообщений или аутентификационной информации.
Для защиты сеансовых ключей при их хранении и передаче используется ключи следующего уровня - ключи шифрования ключей.
На верхнем уровне иерархии располагается мастер-ключ, используемый для защиты ключей шифрования ключей. Обычно в каждом компьютере используется один мастер-ключ
Учитывая главенствующую роль в иерархии мастер-ключа, используемого в течение длительного времени, его защите уделяется особое внимание:
· мастер-ключ хранится в защищенном от считывания, записи и разрушающих воздействий модуле системы защиты;
· мастер-ключ распространяется неэлектронным способом, исключающим его компрометацию;
· в системе должен существовать способ проверки аутентичности мастер-ключа.
Один из способов аутентификации мастер-ключа показан на рис. 3. В памяти компьютера хранится пара (т, с), где т - некоторый массив данных, с = Ек(т) - результат его зашифрования на мастер-ключе kм. Всякий раз, когда требуется проверка аутентичности мастер-ключа, берется код m из памяти и подается на вход криптомодуля. Полученный с выхода последнего зашифрованный текст с' сравнивается с шифротекстом, хранящемся в памяти. При положительном результате сравнения, аутентичность мастер-ключа считается установленной.
|
|
|
|
Рис. 3. Схема аутентификации мастер-ключа
При генерации сеансовых ключей код с выхода генератора ПСП рассматривается как результат шифрования Ek(ks) сеансового ключа ks, полученный с использованием мастер-ключа kм, и поэтому может храниться в том виде, в котором он был получен (рис. 4). При шифровании сообщения на вход криптомодуля подается шифротекст Ek(ks) и сообщение m. Криптомодуль сначала «восстанавливает» сеансовый ключ, а затем с его помощью шифрует сообщение.
Рис. 4. Схема защиты сеансового ключа
Проще всего хранить ключи криптосистемы с одним пользователем. В распоряжении последнего один из следующих вариантов в порядке возрастания надежности:
· запоминание пароля pw и в случае необходимости автоматическое получение из него ключа k с использованием хеш-функции h(x) по формуле
k = h(pw);
· запоминание начального заполнения качественного генератора ПСП, формирующего ключ;
· использование пластикового ключа с размещенным на нем ПЗУ (ROM-key) или интеллектуальной карточки.
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 466; Нарушение авторских прав?; Мы поможем в написании вашей работы!