Tietoturvan kannalta salausavainpalvelin on isäntä , joka on tarkoitettu tallennukseen ja lähettämiseen käyttäjille, sekä muut kryptografiset salausavainpalvelimet .
Tämän tyyppisten palvelinten jakamia avaimia käytetään useimmiten osana digitaalista sertifikaattia , joka sisältää paitsi itse avaimen myös tietoja avaimen omistajasta. Yleensä tässä tapauksessa käytetään jonkin yleisen standardin varmennetta: OpenPGP , X.509 tai PKCS . Lisäksi nämä avaimet ovat yleensä julkisia avaimia käytettäväksi julkisen avaimen salausalgoritmeissa .
Tämän tyyppisten palvelimien luominen vaadittiin julkisen avaimen salausjärjestelmien syntymisen jälkeen , joissa käyttäjä luo avainten parin: yksityisen ja julkisen. Lisäksi julkinen avain, kuten nimestä voi päätellä, on saatettava yleisön käyttöön salausoperaatioissa EDS :n varmentamisessa ja viestin salauksessa. Oikean avaimen etsiminen Internetistä tai pyyntö lähettää tämä avain henkilökohtaisesti henkilölle, jonka kanssa haluat kommunikoida yksityisesti, voi viedä paljon aikaa. Lisäksi saatat saada vanhentuneen tai virheellisen avaimen. Salausavainpalvelin toimii tässä tapauksessa keskitettynä avainsäilönä, joka minimoi yksittäisen avainpyynnön tarpeen, ja siitä tulee myös yksi luottamusketjun rakenneosista .
Mark Horowitz kuvaili ja loi ensimmäisen verkkopohjaisen PGP -avainpalvelimen, kun hän kirjoitti väitöskirjaa opiskellessaan Massachusetts Institute of Technologyssa . Tämä palvelin sai nimekseen "HKP" sille kehitetyn protokollan nimen mukaan (OpenPGP HTTP Keyserver Protocol). Käyttäjät voivat vastaanottaa, ladata avaimia ja myös etsiä avaimia palvelimelta käyttämällä tätä protokollaa portin 11371 kautta tai manuaalisesti selaimen kautta suorittamalla CGI - skriptejä. Ennen HKP:n luomista avainpalvelimia hallittiin sähköpostin komentokäsittelijän kautta .
PGP, Inc on kehittänyt itsenäisen avainpalvelimen, joka tunnetaan nimellä PGP Certificate Server . ja se on saatavilla sovelluksena (versiosta 2.5.x lähtien palvelinsovelluksena) PGP-avainpalvelintoimintojen toteuttamiseen versiosta 8.x lähtien (asiakasohjelmat) [1] . Network Associates Technology Corporation julkaisi 1. tammikuuta 2002 patentin (Yhdysvaltain patentti 6336186) [2] avainpalvelimen käsitteelle.
Korvaamaan ikääntyvän varmennepalvelimen Network Associates esitteli LDAP -avainpalvelimen nimeltä PGP Keyserver 7.0. PGP 6.0:n julkaisun jälkeen tästä avainpalvelintoteutuksesta on tullut perusrajapinta käytettäväksi Network Associatesin PGP-toteutuksissa. LDAP- ja LDAPS-avainpalvelimista (HKP-tuki taaksepäin yhteensopivuutta varten) tuli myös perusta PGP-hallintatyökaluille, joita käytettiin yrityksen yksityisen avainpalvelimen rakentamiseen Netscape Directory Server -skeeman mukaisesti . Myöhemmin tämä järjestelmä korvattiin PGP Corporationin Global Directorylla .
Maailmassa on monia julkisesti saatavilla olevia avainpalvelimia, joiden avulla voit tallentaa ja siirtää OpenPGP -avaimia Internetin kautta. Näitä palvelimia ylläpitävät suurimmaksi osaksi yksityishenkilöt pro bono -konseptin mukaisesti, mikä toteuttaa PGP -luottamusverkon käyttömallin .
Useat julkisesti saatavilla olevat S/MIME-avainpalvelimet [3] antavat myös mahdollisuuden lisätä tai peruuttaa S/MIME - salausjärjestelmissä käytettyjä avaimia.
Edellä mainittujen lisäksi on olemassa monia yksityisiä julkisen avaimen infrastruktuureja , jotka sisältävät avainpalvelimen, joka voi olla joko julkisesti saatavilla tai yksityinen ja joka palvelee vain järjestelmänsä käyttäjiä.
90-luvulla kehitetyissä OpenPGP-avainpalvelimissa oli useita käyttöongelmia. Kun julkinen avain on ladattu palvelimelle, sitä on erittäin vaikea poistaa. Useista syistä (esimerkiksi pariksi liitetyn yksityisen avaimen katoaminen tai varkaus) jotkut käyttäjät lopettivat julkisten avaimiensa käytön. Tässä tapauksessa julkisen avaimen poistaminen oli tarpeeksi vaikeaa, ja vaikka se poistettiin, mikään ei estänyt hyökkääjää lähettämästä avaimen kopiota palvelimelle uudelleen. Tällaisessa tilanteessa palvelimelle kertyy suuri määrä vanhoja tarpeettomia julkisia avaimia, avainpalvelimen niin sanottuja "ateroskleroottisia plakkeja".
Toinen ongelma oli, että kuka tahansa saattoi ladata palvelimelle kuvitteellisen julkisen avaimen, joka liittyy henkilöön, joka ei ole tämän avaimen omistaja. Tällaisissa avainpalvelimissa ei ole mitään keinoa tarkistaa avaimen laillisuutta.
Näiden ongelmien ratkaisemiseksi PGP Corporation on kehittänyt uuden sukupolven salausavainpalvelimia nimeltä PGP Global Directory [1] . Tällaisissa palvelimissa julkista avainta lisättäessä lähetettiin aiotun omistajan sähköpostiin pyyntö vahvistaa ladattavan avaimen omistajuus. Jos vahvistus vastaanotettiin, palvelin hyväksyi avaimen lailliseksi. Lisäksi, jotta avainta estetään muuttumasta kuvitteelliseksi "kilveksi", tällainen pyyntö voitaisiin lähettää säännöllisesti uudelleen. Tämän seurauksena palvelimella oleva avainlista pysyi ajan tasalla ja avaimen laillisuus oli aina mahdollista tarkistaa halutessaan pyytämällä omistajalta sähköpostilla. Valitettavasti se tosiasia, että laillisuustarkistus tehtiin ilman salausmenetelmiä tavallisessa sähköpostissa, johti siihen, että kuka tahansa, jolla oli pääsy sähköpostitiliin, saattoi esimerkiksi poistaa avaimen tai lisätä tyhjän avaimen. .
Uusin IETF -luonnos HKP:lle kuvaili DNS SRV -tietueisiin perustuvan hajautetun kryptografisten avainpalvelimien verkon : kun etsitään avainta osoitteelle [email protected], kysely voidaan lähettää example.com-avainpalvelimelle.
Alla on muutamia avainpalvelimia, joita käytetään yleisimmin avaimen hankkimiseen komennolla "gpg --recv-key"
Symmetriset salausjärjestelmät | |
---|---|
Suoratoista salauksia | |
Feistelin verkko | |
SP verkko | |
Muut |
Hash-funktiot | |
---|---|
yleinen tarkoitus | |
Kryptografinen | |
Avainten luontitoiminnot | |
Tarkista numero ( vertailu ) | |
Hashes |
|