Лекция: Билет 1 Вопр2

Управление секретными ключами связано с помощью протоколов их распределения между системами установки ключей и управления ключей. Система установки ключей определяет алгоритмы и процедуры генерации, распределения, передачи и проверки ключей.
Система управления ключами определяет порядок использования, смены, хранения, изъятия из обращения скомпрометированных и уничтожения старых ключей.

Криптографические методы защиты применяют для надежной защиты информации, которая передается по открытому каналу связи. Чтобы пользоваться этими методами, нужно выполнить первоначальный выбор и установку ключей. Для первоначального распределения ключей нужен защищенный канал связи.

Имеется два алгоритма предварительного распределения ключей:

· передается информация, включающая открытую часть, которая может помещена на общедоступном сервере, а также секретные части, предназначенные для каждой стороны;

· вычисляется действующее значение ключа для взаимодействия между абонентами по имеющейся у абонентов секретной и общей открытой части исходной ключевой информации.

Имеются два требования к системе предварительного распределения ключей:

· устойчивость, т.е. учитывать возможность раскрытия части ключей при компрометации, обмане или сговоре абонентов;

· гибкость – допускать возможность быстрого восстановления путем исключения скомпрометированных и подключения новых абонентов.

После предварительного распределения требуется передача конкретных сеансовых ключей. Передача ключей осуществляется с помощью шифрования с использованием ранее полученных ключей.

При передачи секретных ключей по открытому каналу связи между не доверяющими друг другу абонентами нужно использовать весь комплекс задач по установлению подлинности.

Для централизованного управления пересылкой ключей созданы специальные доверенные центры, выполняющие функции центров распределения или перешифрования ключей. В первом случае генерация ключей производится в самом центре распределения, а во втором случае ключи генерируют сами абоненты.

В связи с большим числом абонентов сети подходы к распределению ключей, упомянутые выше, становятся очень неудобными. Эту задачу решили Диффи и Хеллман, используя незащищенный канал связи.

В системе открытого распределения ключей каждая из сторон изначально имеет свой секретный параметр. Протокол взаимодействия выполняется по открытому каналу связи.
Стороны обмениваются некоторыми сообщениями, образованными с помощью своих секретных параметров. По результатам обмена абоненты вычисляют общий секретный связной ключ. Такие протоколы не связаны с распределением и пересылкой ключей, поскольку изначально ни один из абонентов не имеет ключа.
В усовершенствованном виде система Диффи-Хеллмана позволяет получить общий ключ, проверить и подтвердить правильность вычислений, провести аутентификацию сторон.

Схема разделения заключается в том, что каждому абоненту выделяется доля секрета и определяется двумя алгоритмами, удовлетворяющими условию, чтобы ни один из пользователей не имел полный групповой ключ.
Первый алгоритм определяет порядок вычисления значений долей по заданному значению секретного ключа, второй предназначен для восстановления секрета по известным долям.
Обобщение схемы разделение секрета связано:

· с введением структуры доступа, когда решение может приниматься не одной, а несколькими различными группами, причем часть участников может наделяться правом «вето»;

· с введением механизма для обнаружения обмана или сговора участников;

· с введением специального протокола распределения долей между участниками с подтверждением правильности полученной информации и аутентификацией сторон.

Для защиты открытых ключей созданы специальные центры сертификации, которые играют роль третьей стороны и заверяют открытые ключи каждого из абонентов своими цифровыми подписями.
Сертификат представляет собой набор данных, заверенный цифровой подписью центра, и включает открытый ключ и список атрибутов, принадлежащих абоненту. В этот список входят атрибуты:

· имя пользователя и центра сертификации;

· номер сертификата;

· время действия сертификата;

· назначение открытого ключа (шифрование, цифровая подпись) и др.

Для сетей с большим количеством абонентов создается несколько центров сертификации по иерархической структуре.

Зная иерархию и подчиненность друг другу центров сертификации, можно установить, является ли абонент владельцем данного открытого ключа.