Speichern und Sperren Keys


  Share  
|

Key Lagerung entsteht, wenn ein Benutzer einen kryptografischen Schlüssel in anderer Weise als durch die Erinnerung an sie zu schützen braucht. Wenn der Schlüssel ist öffentlich, natürlich wird jedes Zertifikat-basierter Mechanismus genügen, denn das Ziel ist, den Schlüssel der Integrität zu schützen. Aber geheimen Schlüssel (für klassische Kryptosysteme) und private Schlüssel (Public Key Kryptosysteme für) müssen ihre Vertraulichkeit geschützt als auch.

Key Storage

Schutz kryptographischer Schlüssel klingt einfach: einfach den Schlüssel in einer Datei, und verwenden Betriebssystem Zugang Kontrollmechanismen zu schützen. Leider kann Betriebssystem Zugang Kontrollmechanismen oft umgangen oder überwunden werden, oder auch nicht, dass manche Nutzer gelten. Auf einer Single-User-System, ist diese Betrachtung irrelevant, weil niemand sonst Zugang zu dem System haben werden, während der Schlüssel im System. Auf einem Mehrbenutzer-System, haben andere Nutzer Zugriff auf das System. Auf einem vernetzten System, könnte ein Angreifer den Besitzer zum Download eines Programms, das Tastenanschläge und Dateien auf den Angreifer senden, und verrät so den vertraulichen kryptografischen Schlüssel Trick. Wir betrachten diese Systeme.

Auf solchen Systemen Verschlüsselung der Datei mit dem Schlüssel wird nicht funktionieren, entweder. Wenn der Benutzer die Taste, um die Datei zu entschlüsseln betritt, wird der Schlüssel und der Inhalt der Datei im Speicher irgendwann wohnen, dies ist möglicherweise für andere Benutzer sichtbar auf einem Mehrbenutzer-System. Die Tastenanschläge verwendet, um die Datei zu entschlüsseln konnte aufgezeichnet und wiedergegeben werden zu einem späteren Zeitpunkt. Entweder wird Kompromiss der Schlüssel.

Eine praktikable Lösung ist, die Schlüssel auf einem oder mehreren physischen Geräten wie einem speziellen Terminal, ROM oder Chipkarte setzen. Der Schlüssel nie in den Arbeitsspeicher des Computers. Stattdessen eine Nachricht verschlüsseln, wird der Benutzer die Smartcard in ein spezielles Gerät, das aus lesen kann, und schreiben Sie an die Computer. Der Computer sendet er die Meldung zu schützen, und das Gerät verwendet den Schlüssel auf der Smartcard, um die Nachricht zu verschlüsseln und senden es zurück an den Computer. Zu keinem Zeitpunkt ist die kryptografischen Schlüssel ausgesetzt.

Eine Variante beruht auf der Beobachtung, dass, wenn die Smartcard ist gestohlen, der Dieb die kryptografischen Schlüssel hat. Anstatt es auf eine Karte, die Schlüssel über mehrere Geräte aufgeteilt wird (zwei Karten, eine Karte und die physische Kartenleser, und so weiter.) Nun, wenn ein Dieb stiehlt einer der Karten ist die gestohlene Karte nutzlos, da sie enthält nicht den gesamten Schlüssel.

Key Revocation

Zertifikat Format enthalten einen Schlüssel Verfallsdatum. Wenn ein Schlüssel wird vor diesem Zeitpunkt ungültig, muss aufgehoben werden. Normalerweise bedeutet dies, dass der Schlüssel kompromittiert wird, oder dass die Bindung zwischen dem Subjekt und der Schlüssel hat sich geändert.

Wir zeichnen diese aus einem abgelaufenen Zertifikat. Ein abgelaufenes Zertifikat hat eine predesignated Zeitraum, nach dem es nicht mehr gültig ist erreicht. Dass die Lebensdauer wurde überschritten ist der einzige Grund. Ein gesperrtes Zertifikat wurde auf Antrag des Eigentümers oder der Emittent aus irgendeinem Grund außer Ablauf wurde abgebrochen.

Es gibt zwei Probleme mit dem Widerruf einer öffentlichen Schlüssel. Die erste besteht darin, sicherzustellen, dass der Widerruf anderen Worten ist Correction, um sicherzustellen, dass das Unternehmen den Widerruf der Schlüssel berechtigt ist, dies zu tun. Die zweite ist die Aktualität der Widerruf der gesamten Infrastruktur zu gewährleisten. Das zweite Problem hängt zuverlässigen und hoch angeschlossenen Server und ist eine Funktion der Infrastruktur sowie der Standorte der Zeugnisse und die Prinzipien, die Kopien dieser Zertifikate. Im Idealfall wird Bekanntmachung über den Widerruf für alle Beteiligten, wenn erhalten, aber immer wird es eine Verzögerung zugesandt werden.

Die X.509-und Internet Public Key Infrastrukturen (PKI) verwenden Listen von Zertifikaten.

Ein Zertifikat Widerruf ist eine Liste der Zertifikate, die nicht mehr gültig sind.

Eine Sperrliste enthält die Seriennummern der gesperrten Zertifikate und die Zeitpunkte, zu denen sie entzogen wurden. Es enthält auch den Namen des Emittenten, dem Tag, an dem die Liste ausgegeben wurde und wann die nächste Liste wird voraussichtlich ausgegeben werden. Der Emittent auch Zeichen der Liste [865]. Unter X.509, kann nur der Emittent eines Zertifikats widerrufen.

PGP erlaubt Unterzeichner der Zertifikate an ihre Unterschriften sowie als widerrufen ermöglicht Besitzern von Zertifikaten und deren Beauftragten, den gesamten Zertifikate widerrufen. Das Zertifikat Widerruf ist zu einem PGP-Paket platziert und wird wie eine normale PGP-Zertifikat signiert. Ein besonderes Kennzeichen kennzeichnet ihn als einen Widerruf Nachricht.

Verfasst von Bill Kuriko

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions