مدیریت کلید
مدیریت کلید، (به انگلیسی: Key management) در واقع مدیریت یک کلیدهای رمزنگاری در یک سیستم رمزنگار میباشد و این شامل تولید، مبادله، ذخیره، استفاده، و جانشانی کلیدها میشود. این به معنی طراحی پروتکل نفتن، سرور کلید، رویههای کاربر، و پروتکلهای وابستهٔ دیگر میباشد.
مدیریت کلید به کلیدهای سطح کاربر مربوط میشود، حال چه بین کاربران باشد یا بین سیستمها. این با زمانبندی کلیدها در تقابل میباشد، زمانبندی کلید نوعاً به کنترل داخلی مواد کلید در عمل رمزکردن اشاره دارد.
یک مدیریت کلید موفق برای امنیت یک سیستم رمز نگار بسیار حیاتی است، در واقع میتوان گفت که تقریباً سختترین جنبهٔ رمز نگاری میباشد چرا که شامل سیاستهای سیستم، آموزش کاربر، سازمان دهی و فعل و انفعالات سازمانی، و هماهنگی بین تمامی این موارد میباشد.
انواع کلیدها
سیستمهای رمز ممکن است از کلیدهای متفاوتی استفاده کنند، در برخی نیز ممکن است از بیشتر از تنها یک کلید استفاده شود که میتواند شامل کلیدهای متقارن یا غیر متقارن گردد. در الگوریتم کلید متقارن، کلیدهای یکسان هم برای رمز کردن و هم برای رمزگشایی یک پیغام مورد استفاده قرار میگیرد. کلیدها باید با دقت خاصی انتخاب شوند؛ و با امنیت توزیع و ذخیره گردند. کلیدهای نامتقارن، در مقابل، دو کلید مجزا هستند که به صورت یک رابطهٔ ریاضی به یکدیگر مرتبط میگردند. آنها نوعاً در ترکیب عطفی برای ارتباط برقرار کردن استفاده میگردند.
جابه جایی کلید
قبل از هر ارتباط امن، کاربرها میبایست جزئییات رمزنگاری را تنظیم کنند، در برخی نمونهها این کار نیاز به جا به جایی کلیدهای همسان دارند (در این مورد خاص از کلید متقارن سیستمی). در سایر نمونهها ممکن است به کلید عمومی که به سایر قمستها متعلق است نیاز داشته باشد. زمانی که کلیدهای عمومی میتوانند به صورت باز مبادله شوند (کلید خصوصی متناظر آنها به صورت محرمانه باقی خواهد ماند)، کلیدهای متقارن آنها باید از طریق یک کانال ارتباطی امن مبادله شده باشد. قبل از این، جابه جایی چنین کلیدی بسیار پر دردسر بود، و دسترسی به کانالهای امنی مانند diplomatic bag به شدت آسان بود.
انتقال کلیدهای متقارن هر جداکنندهای را که سریعاً کلید را میشناخت و هردادهٔ رمزنگاری شده را فعال میساخت.
پیشترفت رمزنگاری کلیدهای عمومی در دههٔ ۱۹۷۰ دردسرهای جابه جایی کلیدها را کمتر ساخت. هنگامی که پروتکل جابه جایی Diffie-Hellman در سال ۱۹۷۵ منتشر گردید، ارتباط یک کلید از طریق یک کانال ارتباطی نامطمئن ممکن گردید؛ که به مقدار زیادی خطر لو رفتن کلید در طی یک توزیع را کاهش داد. استفاده از چیزهایی شبیه به یک BOOK CODE برای شامل شدن شاخصهای کلید به عنوان CLEAR TEXT وابسته به یک پیغام رمزنگاری شده محتمل است. تکنیکهای رمز نگاری ای که توسط کد Richard Sorge استفاده میشد، از این نوع بودند؛ که به صفحهای در راهنمای وابسته ارجاع داشتند، اگر چه در حقیقت این یک کد بود.
کلید رمزنگاری متقارن معمای ارتش آلمان در ابتدا نوع پیچیدهای برای استفاده کردن بود. این کلید ترکیبی از زمانبندی کلید توزیع یافتهٔ محرمانه و اجزای کلید بخش ای انتخاب شده توسط کاربر برای هر پیغام بود.
در سیستمهای مدرن تر، مانند سیستمهای سازگار OpenPGP، یک کلید بخش ای برای یک الگوریتم کلید متقارن توسط یک الگوریتم کلید نامتقارن به صورت توزیع یافته رمزنگاری میشد. این تقریب حتی از ضرورت استفاده از یک پروتکل جابه جایی کلید شبیه به جا به جایی کلید Diffie-Hellman جلوگیری میکرد.
یک متد پیچیدهتر از جابه جایی کلید شامل تجمیع یکی از کلیدها درون دیگری میشود، روشن نیست برای حالتی که اگر یک کلیدبتواند با امنیت جابهجا شود (کلید تجمیع کننده)، کلید تجمیع شونده احتمالاً، افزایش امنیت داشته باشد.
این تکنیک اصطلاحاً Key Wrap نامیده میشود. یک تکنیک رایج که در رمزنگاری Block ciphers و توابع hash استفاده میشود.
یک روش مرتبط، و البته پیچیدهتر، تبادل یک شاه کلید است (که گاهی اوقات کلید ریشه نامیده میشود)، و، همانطور که نیاز ماست، کلیدهای فرعی مشتق شده، برای هر بخش، از آن کلید، ممکن است. نظر به این که طور خلاطه یک نمای کلی از کلید هیچ سود مشهودی را برای ما در برندارد، برای حالتی که شاه کلید بتواند به صورت امن توزیع شود، ممکن است از کلیدهای کمکی استفاده شود. زمانی که دسترسی متناوب به یک جا به جایی امن داریم، یا زمانی که کلیدها باید به یکدیگر مرتبط باشند (شبیه به کلیدهای سازمانی ای که به کلیدهای تقسیمی گره خوردهاند و کلیدهای منفرد گره خورده به کلیدهای سازمانی) این تکنیک میتواند مفید واقع گردد. هر چند گرده زدن کلیدها به یکدیگر مقدار خسارت وارده را افزایش میدهد که این میتواند نتیجهٔ یک نقض امنیت باشد همانگونه که حمله کنندهها در مورد بیشتر از یک کلید خواهند دانست. این، بی نظمی را برای شخص حمله کننده در مورد هر کلید شامل شده کاهش میدهد.
ذخیرهسازی کلید
هر چند کلیدها توزیع شدهاند، اما کلیدها باید به صورت امن برای نگه داشتن ارتباطی امن ذخیره گردند. تکنیکهای متنوعی در عمل برای چنین کاری وجود دارد، خوشبختانه رایجترین تکنیک، برنامهٔ مدیریت رمزنگاری کلید برای کاربر است و وابسته به یک رمز عبور برای کنترل کلید میباشد.
استفاده از کلید
یک مسئلهٔ بزرگ در این رابطه انتخاب طول مناسب کلیدیست که مورد استفاده قرار میدهیم، و پس از آن، بسامد جایگزینی آن. به خاطر افزایش دادن تلاش و تقلای شخص حمله کننده، کلیدها باید بهطور متناوب عوض شوند. این کار همچنین باعت محدود گشتن گم شدن اطلاعات نیز میگردد. تعداد پیامهای رمزنگاری شدهٔ زخیره شده که به هنگام یافتن کلید قابل خواندن میگردند با افزایش دورهٔ تغییر کلید کاهش خواهند یافت. مدت هاست، کلیدهای متقارن برای دورههای زمانی طولانی در موقعیتهایی که مبادلهٔ کلید بسیار سخت بود یا این که تنها تناوب ممکن بود، استفاده میشد. در یک حالت ایدهآل، کلید متقارن باید با هر پیام یا هر فعل و انفعالی تغییر کند، بنابراین پیام تنها در صورتی قابل خواندن خواهد گشت که کلید را داشته باشد. (e.g. , stolen, cryptanalyzed, or social engineered).
سازمان کلید عمومی
سازمان کلید عمومی یک توع از مدیریت کلید سیستم است که از یک گواهینامهٔ رقمی سلسله مراتبی (hierarchical digital certificates) برای فراهم ساختن احراز هویت و از کلیدهای عمومی برای فراهم سازی رمزنگاری استفاده میکند. PKIها در ترافیک www و معمولاً به صورت SSL استفاده میشوند.
گروههای چندنقشی مدیریت کلید
گروههای چندنقشی مدیریت کلید (Multicast Group Key Management) به معنای مدیریت کلیدها در یک گروه ارتباطی میباشد. بیشتر گروههای ارتباطی از ارتباطات چند نقشی استفاه میکنند، زیرا اگر پیامی توسط فرستنده ارسال گردد، همهٔ کاربران آن را دریافت میکنند. مشکل اساسی در گروههای ارتباطی چند نقشی، امنیت آن است. به منظور بهبود امنیت، کلیدهای متنوعی به کاربران داده میشود. کلیدهایی که کاربران میتوانند با استفاده از آن پیامهایشان را رمز کرده و به صورت محرمانه ارسال کنند.
سیستمهای تجاری مدیریت کلید
لیست زیر که شامل سیستمهای مدیریت کلید میباشند به صورت تجاری فراهم هستند.
- Venafi Encryption Director
- HP Enterprise Secure Key Manager
- IBM Tivoli Key Lifecycle Manager
- Oracle Key Manager
- QuintessenceLabs Key Manager
- RSA Data Protection Manager
- Safenet Enterprise Key Management
- Thales Key Management
- Townsend Security Alliance Key Manager
- Gazzang zTrustee