Kryptografinen avainpalvelin

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 1. helmikuuta 2020 tarkistetusta versiosta . tarkastukset vaativat 4 muokkausta .

Tietoturvan kannalta salausavainpalvelin  on isäntä , joka on tarkoitettu tallennukseen ja lähettämiseen käyttäjille, sekä muut kryptografiset salausavainpalvelimet .

Tämän tyyppisten palvelinten jakamia avaimia käytetään useimmiten osana digitaalista sertifikaattia , joka sisältää paitsi itse avaimen myös tietoja avaimen omistajasta. Yleensä tässä tapauksessa käytetään jonkin yleisen standardin varmennetta: OpenPGP , X.509 tai PKCS . Lisäksi nämä avaimet ovat yleensä julkisia avaimia käytettäväksi julkisen avaimen salausalgoritmeissa .

Historia

Tämän tyyppisten palvelimien luominen vaadittiin julkisen avaimen salausjärjestelmien syntymisen jälkeen , joissa käyttäjä luo avainten parin: yksityisen ja julkisen. Lisäksi julkinen avain, kuten nimestä voi päätellä, on saatettava yleisön käyttöön salausoperaatioissa EDS :n varmentamisessa ja viestin salauksessa. Oikean avaimen etsiminen Internetistä tai pyyntö lähettää tämä avain henkilökohtaisesti henkilölle, jonka kanssa haluat kommunikoida yksityisesti, voi viedä paljon aikaa. Lisäksi saatat saada vanhentuneen tai virheellisen avaimen. Salausavainpalvelin toimii tässä tapauksessa keskitettynä avainsäilönä, joka minimoi yksittäisen avainpyynnön tarpeen, ja siitä tulee myös yksi luottamusketjun rakenneosista .

Mark Horowitz kuvaili ja loi ensimmäisen verkkopohjaisen PGP -avainpalvelimen, kun hän kirjoitti väitöskirjaa opiskellessaan Massachusetts Institute of Technologyssa . Tämä palvelin sai nimekseen "HKP" sille kehitetyn protokollan nimen mukaan (OpenPGP HTTP Keyserver Protocol). Käyttäjät voivat vastaanottaa, ladata avaimia ja myös etsiä avaimia palvelimelta käyttämällä tätä protokollaa portin 11371 kautta tai manuaalisesti selaimen kautta suorittamalla CGI - skriptejä. Ennen HKP:n luomista avainpalvelimia hallittiin sähköpostin komentokäsittelijän kautta .

PGP, Inc on kehittänyt itsenäisen avainpalvelimen, joka tunnetaan nimellä PGP Certificate Server . ja se on saatavilla sovelluksena (versiosta 2.5.x lähtien palvelinsovelluksena) PGP-avainpalvelintoimintojen toteuttamiseen versiosta 8.x lähtien (asiakasohjelmat) [1] . Network Associates Technology Corporation julkaisi 1. tammikuuta 2002 patentin (Yhdysvaltain patentti 6336186) [2] avainpalvelimen käsitteelle.

Korvaamaan ikääntyvän varmennepalvelimen Network Associates esitteli LDAP -avainpalvelimen nimeltä PGP Keyserver 7.0. PGP 6.0:n julkaisun jälkeen tästä avainpalvelintoteutuksesta on tullut perusrajapinta käytettäväksi Network Associatesin PGP-toteutuksissa. LDAP- ja LDAPS-avainpalvelimista (HKP-tuki taaksepäin yhteensopivuutta varten) tuli myös perusta PGP-hallintatyökaluille, joita käytettiin yrityksen yksityisen avainpalvelimen rakentamiseen Netscape Directory Server -skeeman mukaisesti . Myöhemmin tämä järjestelmä korvattiin PGP Corporationin Global Directorylla .

Julkiset ja yksityiset palvelimet

Maailmassa on monia julkisesti saatavilla olevia avainpalvelimia, joiden avulla voit tallentaa ja siirtää OpenPGP -avaimia Internetin kautta. Näitä palvelimia ylläpitävät suurimmaksi osaksi yksityishenkilöt pro bono -konseptin mukaisesti, mikä toteuttaa PGP -luottamusverkon käyttömallin .

Useat julkisesti saatavilla olevat S/MIME-avainpalvelimet [3] antavat myös mahdollisuuden lisätä tai peruuttaa S/MIME - salausjärjestelmissä käytettyjä avaimia.

Edellä mainittujen lisäksi on olemassa monia yksityisiä julkisen avaimen infrastruktuureja , jotka sisältävät avainpalvelimen, joka voi olla joko julkisesti saatavilla tai yksityinen ja joka palvelee vain järjestelmänsä käyttäjiä.

Käyttöongelmat

90-luvulla kehitetyissä OpenPGP-avainpalvelimissa oli useita käyttöongelmia. Kun julkinen avain on ladattu palvelimelle, sitä on erittäin vaikea poistaa. Useista syistä (esimerkiksi pariksi liitetyn yksityisen avaimen katoaminen tai varkaus) jotkut käyttäjät lopettivat julkisten avaimiensa käytön. Tässä tapauksessa julkisen avaimen poistaminen oli tarpeeksi vaikeaa, ja vaikka se poistettiin, mikään ei estänyt hyökkääjää lähettämästä avaimen kopiota palvelimelle uudelleen. Tällaisessa tilanteessa palvelimelle kertyy suuri määrä vanhoja tarpeettomia julkisia avaimia, avainpalvelimen niin sanottuja "ateroskleroottisia plakkeja".

Toinen ongelma oli, että kuka tahansa saattoi ladata palvelimelle kuvitteellisen julkisen avaimen, joka liittyy henkilöön, joka ei ole tämän avaimen omistaja. Tällaisissa avainpalvelimissa ei ole mitään keinoa tarkistaa avaimen laillisuutta.

Näiden ongelmien ratkaisemiseksi PGP Corporation on kehittänyt uuden sukupolven salausavainpalvelimia nimeltä PGP Global Directory [1] . Tällaisissa palvelimissa julkista avainta lisättäessä lähetettiin aiotun omistajan sähköpostiin pyyntö vahvistaa ladattavan avaimen omistajuus. Jos vahvistus vastaanotettiin, palvelin hyväksyi avaimen lailliseksi. Lisäksi, jotta avainta estetään muuttumasta kuvitteelliseksi "kilveksi", tällainen pyyntö voitaisiin lähettää säännöllisesti uudelleen. Tämän seurauksena palvelimella oleva avainlista pysyi ajan tasalla ja avaimen laillisuus oli aina mahdollista tarkistaa halutessaan pyytämällä omistajalta sähköpostilla. Valitettavasti se tosiasia, että laillisuustarkistus tehtiin ilman salausmenetelmiä tavallisessa sähköpostissa, johti siihen, että kuka tahansa, jolla oli pääsy sähköpostitiliin, saattoi esimerkiksi poistaa avaimen tai lisätä tyhjän avaimen. .

Uusin IETF -luonnos HKP:lle kuvaili DNS SRV -tietueisiin perustuvan hajautetun kryptografisten avainpalvelimien verkon : kun etsitään avainta osoitteelle [email protected], kysely voidaan lähettää example.com-avainpalvelimelle.

Esimerkkejä avainpalvelimesta

Alla on muutamia avainpalvelimia, joita käytetään yleisimmin avaimen hankkimiseen komennolla "gpg --recv-key"

Katso myös

Muistiinpanot

  1. 1 2 PGP Global Directory . Haettu 23. lokakuuta 2012. Arkistoitu alkuperäisestä 18. toukokuuta 2001.
  2. Yhdysvaltain patentti 6336186  (linkki, jota ei voi käyttää)
  3. KeyServers - CAcert Wiki . Haettu 24. lokakuuta 2012. Arkistoitu alkuperäisestä 8. tammikuuta 2018.

Linkit