Сервер ключей (криптографический) - Key server (cryptographic)

В компьютерная безопасность, а ключевой сервер это компьютер, который получает, а затем обслуживает существующие криптографические ключи пользователям или другим программам. Программы пользователей могут работать в той же сети, что и сервер ключей, или на другом сетевом компьютере.

Ключи, распространяемые сервером ключей, почти всегда предоставляются как часть криптографически защищенного удостоверение личности содержащий не только ключ, но и «сущность» информации о владельце ключа. Сертификат обычно имеет стандартный формат, например OpenPGP формат открытого ключа, X.509 формат сертификата, или PKCS формат. Кроме того, ключ почти всегда является открытым ключом для использования с асимметричный ключ шифрование алгоритм.

История

Ключевые серверы играют важную роль в криптография с открытым ключом.В криптографии с открытым ключом человек может генерировать пара ключей, где один из ключей хранится в секрете, а другой распространяется публично. Знание открытого ключа не ставит под угрозу безопасность криптографии с открытым ключом. Лицо, владеющее открытым ключом пары ключей, может использовать этот ключ для выполнения криптографических операций, которые позволяют осуществлять секретную связь с строгой аутентификацией держателя соответствующего закрытого ключа. Необходимость иметь открытый ключ пары ключей для начала связи или проверки подписей является проблемой начальной загрузки. Поиск ключей в сети или письмо человеку с просьбой передать свои открытые ключи может занять много времени и быть небезопасным. Серверы ключей действуют как центральные репозитории, чтобы исключить необходимость индивидуальной передачи открытых ключей, и могут действовать как корень цепь доверия.

Первый веб-сайт PGP keyserver был написан для диссертации Марка Горовица,[1] пока он учился в Массачусетский технологический институт. Сервер ключей Горовица был назван HKP Keyservera после веб-протокола OpenPGP HTTP Keyserver Protocol (HKP).[2] раньше он позволял людям взаимодействовать с сервером ключей. Пользователи могли выгружать, скачивать и искать ключи либо через HKP через TCP-порт 11371, либо через веб-страницы, на которых выполнялись CGIscripts. До создания HKP Keyserver серверы ключей полагались на сценарии обработки электронной почты для взаимодействия.

Отдельный сервер ключей, известный как сервер сертификатов PGP, был разработан PGP, Inc. и использовался в качестве программного обеспечения (до версии 2.5.x для сервера) для сервера ключей по умолчанию в PGP до версии 8.x (для клиентского программного обеспечения), keyserver.pgp.com. Сетевые партнеры получил патент в соавторстве с Джон Каллас (Патент США 6336186)[3] по концепции ключевого сервера.

Чтобы заменить устаревший сервер сертификатов, LDAP -проектирован ключевой сервер на Сетевые партнеры частично Рэнди Хармон и Лен Сассаман, называемый PGP Keyserver 7. С выпуском PGP 6.0 LDAP стал предпочтительным интерфейсом сервера ключей для версий PGP Network Associates. Этот сервер ключей LDAP и LDAPS (который также использовал HKP для обратной совместимости, хотя протокол (возможно, правильно) назывался «HTTP» или «HTTPS») также послужил основой для инструментов администрирования PGP для серверов закрытых ключей в корпоративных настройках. вместе с схема для Сервер каталогов Netscape.

PGP Keyserver 7 был позже заменен новым PGP Corporation Глобальный каталог PGP[1] что позволяет публиковать и загружать ключи PGP с помощью HTTPS или LDAP.[4]

Публичные и приватные серверы ключей

Многие общедоступные серверы ключей, расположенные по всему миру, представляют собой компьютеры, которые хранят и предоставляют OpenPGP ключи через Интернет для пользователей этой криптосистемы. В этом случае компьютеры могут быть и в большинстве случаев управляются отдельными лицами в качестве pro bono сервис, облегчающий сеть доверия модель PGP использует.

Несколько общедоступных Серверы ключей S / MIME доступны для публикации или получения сертификатов, используемых с S / MIME криптосистема.

Также есть несколько проприетарных инфраструктура открытого ключа системы, которые обслуживают ключевые серверы для своих пользователей; они могут быть частными или общедоступными, и только участвующие пользователи могут вообще знать об этих серверах ключей.

Проблемы конфиденциальности

Для многих людей целью использования криптографии является получение более высокого уровня Конфиденциальность в личных взаимодействиях и отношениях. Было указано, что разрешение загрузки открытого ключа на сервер ключей при использовании децентрализованной сети криптографических систем, основанных на доверии, таких как PGP, может раскрыть большой объем информации, которую человек может пожелать сохранить в тайне. Поскольку для определения аутентичности этого ключа PGP полагается на подписи на открытом ключе человека, потенциальные отношения могут быть выявлены путем анализа лиц, подписавших данный ключ. Таким образом можно разработать модели целых социальных сетей.[нужна цитата ]

Проблемы с серверами ключей

Серверы ключей OpenPGP с момента их разработки в 1990-х годах страдали от нескольких проблем. После того, как открытый ключ был загружен, было намеренно затруднено его удаление, поскольку серверы автоматически синхронизируются между собой (это было сделано для борьбы с государственной цензурой). Некоторые пользователи прекращают использовать свои открытые ключи по разным причинам, например, когда они забывают свою парольную фразу, или если их закрытый ключ скомпрометирован или утерян. В этих случаях было сложно удалить открытый ключ с сервера, и даже если он был удален, кто-то другой может загрузить новую копию того же открытого ключа на сервер. Это приводит к накоплению старых ископаемых открытых ключей, которые никогда не исчезают, в форме «таблички на сервере ключей». Как следствие, любой может загрузить поддельный открытый ключ на сервер ключей, названный именем человека, который на самом деле не владеет этим ключом, или, что еще хуже, использовать его как уязвимость: атака с рассылкой спама сертификатов.[5]

У сервера ключей не было возможности проверить, был ли ключ легитимным (принадлежал ли он истинному владельцу).

Для решения этих проблем PGP Corp разработала новое поколение серверов ключей, названное Глобальный каталог PGP. Этот сервер ключей отправил предполагаемому владельцу ключа электронное письмо с просьбой подтвердить, что данный ключ принадлежит им. Если они подтвердят это, глобальный каталог PGP принимает ключ. Его можно периодически обновлять, чтобы предотвратить накопление налета на сервере ключей. Результатом является более качественный сбор открытых ключей, и каждый ключ проверяется по электронной почте с очевидным владельцем ключа. Но, как следствие, возникает другая проблема: поскольку PGP Global Directory позволяет вести ключевую учетную запись и проверяет ее только по электронной почте, а не криптографически, любой, кто имеет доступ к учетной записи электронной почты, может, например, удалить ключ и загрузить поддельный.

Последний черновик IETF для HKP также определяет распределенную сеть серверов ключей на основе DNS. Записи SRV: найти ключ [email protected], можно задать его, запросив example.com 's ключевой сервер.

Примеры серверов ключей

Это некоторые серверы ключей, которые часто используются для поиска ключей с помощью gpg --recv-keys.[6] Их можно запросить через https: // (HTTPS ) или hkps: // (HKP более TLS ) соответственно.

Смотрите также

использованная литература

  1. ^ Горовиц, Марк (1996-11-18). «Сервер открытых ключей PGP». Получено 2018-05-02.
  2. ^ Шоу, Дэвид (март 2003 г.). "Протокол сервера ключей HTTP OpenPGP (HKP)". IETF. Получено 2018-05-02.
  3. ^ Криптографическая система и методология создания и управления криптополитикой на серверах сертификатов
  4. ^ https://keyserver.pgp.com/vkd/VKDHelpPGPCom.html
  5. ^ 262588213843476. «Сеть серверов ключей SKS атакована». Суть. Получено 2020-09-17.CS1 maint: числовые имена: список авторов (ссылка на сайт)
  6. ^ "документация recv-ключей". Руководство GPG. Получено 30 июн 2020.

внешние ссылки