O altă abordare, în mod frecvent utilizate pentru stocarea informațiilor cheie este cheile de criptare și stocarea lor într-o formă criptată. În plus, această abordare este adesea folosit pentru a distribui informații cheie criptografică în rețele.
Nevoia de stocare și de transmitere a informațiilor cheie criptate folosind alte chei, a condus la dezvoltarea conceptului unei ierarhii de chei.
Ierarhia informațiilor cheie poate include o multitudine de niveluri, cu toate acestea, cel mai frecvent izolate:
· Taste master (chei principale)
· Cheile de criptare cu cheie,
· Taste de operare (sesiune).
Cheile de sesiune sunt situate la nivelul inferior și este utilizat pentru a cripta datele. Atunci când aceste chei trebuie să fie transmise în condiții de siguranță între nodurile dintr-o rețea, sau în siguranță, stoca lor criptate cu ajutorul tastelor la nivelul următor - cheia de criptare cu cheie.
La nivelul superior al ierarhiei de chei este o cheie master. Această cheie este utilizată pentru a cripta chei de criptare atunci când aveți nevoie pentru a le stoca în siguranță pe disc. De obicei, fiecare calculator folosește doar o singură cheie master, care este conținut pe un mediu de stocare extern, de regulă, protejate împotriva accesului neautorizat.
Valoarea cheii de master este înregistrat pentru o lungă perioadă de timp (până la câteva săptămâni sau luni). Cheile de sesiune schimba mult mai frecvent, de exemplu, în construcția de tuneluri kriptozaschischennyh care urmează să fie schimbate la fiecare 10-15 minute, sau cu privire la rezultatele cripteze volumului de trafic predeterminat (de exemplu, 1 MB).
de distribuție a cheilor este un proces foarte exigent în gestionarea cheilor. Una dintre principalele cerințe pentru punerea în aplicare a acestui proces este de a ascunde informațiile cheie distribuite.
problema-cheie de distribuție reduce la construirea protocolului de distribuție a cheilor, care prevede:
1) autentificarea reciprocă a participanților la sesiune;
2) confirmarea fiabilității sesiunii de protecție de la atac
3) utilizează un număr minim de mesaje pentru schimbul de chei.
În general vorbind, două abordări pentru a aloca distribuirea de informații-cheie într-o rețea de calculatoare:
1. Distribuția de informații cheie, folosind un singur
sau mai multe centre de distribuție a cheilor.
2. Schimbul direct al cheilor de sesiune între utilizatori.
distribuirea de informații cheie cu ajutorul unui centru de distribuție a cheilor
Această abordare presupune că centrul de distribuție a cheilor cunoscute chei distribuite, în acest sens, toți destinatarii informațiilor cheie ar trebui să fie de încredere centru de distribuție a cheilor.
Avantajul acestei abordări este capacitatea de a gestiona centralizat distribuirea de informații esențiale și chiar politici de restricționare a accesului entităților la distanță unul de altul.
Această abordare este pusă în aplicare în protocolul de Needham-Schroeder, și pe aceasta, protocolul de autentificare Kerberos. Distribuția cheie de control al informațiilor și de acces pe baza mandatelor de protocol de date care emit centrul de distribuție a cheilor. Utilizarea acestor protocoale pentru a distribui în condiții de siguranță cheile de sesiune, chiar și în cazul de neîncredere reciprocă a două părți comunicante.
schimb direct de chei de sesiune între utilizatori
Pentru a putea utiliza într-un schimb sigur de informații între laturile opuse ale interacțiunii cheie secretă Criptosistem între părți este necesar să se dezvolte un secret comun pe baza cărora se pot cripta în siguranță informațiile într-un mod sigur sau de a produce și a cheilor de sesiune de schimb. În primul caz, secretul partajat este o cheie de sesiune, în al doilea - cheia principală. În orice caz, atacatorul nu trebuie să fie capabil de a asculta canalul de comunicare, pentru a obține acest secret.
Pentru a rezolva această problemă un secret comun, fără a dezvălui atacatorul, există două moduri principale:
· Utilizarea de criptare cu cheie publică pentru criptare;
· Utilizarea distribuției publice de protocol Diffie-Hellman.
Punerea în aplicare a primei metode nu ar trebui să cauzeze probleme. Luați în considerare punerea în aplicare a doua metodă mai detaliat.
Protocolul Diffie-Hellman a fost primul de a lucra cu chei publice (1976). Securitatea acestui protocol se bazează pe dificultatea de a calcula logaritmilor discreți [4].
Să utilizatorii A și B doresc să dezvolte un secret comun. Pentru a face acest lucru, ei efectuați următorii pași.
Părțile A și B sunt de acord asupra modulului N. folosit precum elementul primitiv g. . întinderea care formează un număr de la 1 la N-1.
1. Numerele N și g sunt elemente de protocol publice.
2. Utilizatorii A și B sunt selectați în mod independent propria cheie secretă SKA și CKB (număr întreg de mare aleatoare mai mici decât N. ținute secrete).
3. Utilizatorii A și B se calculează și cheile publice OKA OKB bazate pe cheile secrete corespunzătoare următoarelor formule:
4. Părțile A și B, schimbul de valorile lor de chei publice printr-un canal nesigur.
5. Membrii A și B formează un K secret comun de formulele:
Cheia K poate fi folosit ca o cheie secretă partajată (cheie master) într-un sistem de criptare simetrică.
Ia modulul N = 47 și un element primitiv g = 23. Să presupunem că utilizatorii A și B au ales lor chei secrete SKA = 12, SCR = 33. Apoi,
În acest caz, secretul partajat va fi:
.
Algoritmul de distribuție publică a cheilor de Diffie - Hellman algoritm elimină necesitatea unui canal securizat pentru transferul de chei. Cu toate acestea, trebuie să se asigure că destinatarul a primit cheia publică este pe expeditor, de la care el este în așteptare pentru el. Această problemă este rezolvată cu ajutorul certificatelor digitale și a tehnologiei semnăturii electronice.
Protocolul Diffie - Hellman găsit aplicarea efectivă a protocolului SKIP de gestionare a cheilor. Acest protocol este utilizat în construcția de tuneluri în kriptozaschischennyh familie produse Zastava.