Gestión de claves
Gestión de claves es la gestión de claves criptográficas en un criptosistema. Esto incluye tratar con la generación, intercambio, almacenamiento, uso y reemplazo de llaves. Incluye Protocolo criptográfico diseño, servidores de claves, los procedimientos de usuario y otros protocolos pertinentes.
Gestión de claves refiere a las claves a nivel de usuario, ya sea entre usuarios o sistemas. Esto está en contraste con programación clave; programación clave típicamente se refiere a la manipulación interna de material clave dentro de la operación de un criptograma.
Gestión de claves de éxito es fundamental para la seguridad de un criptosistema. En la práctica podría decirse que es el aspecto más difícil de criptografía porque se trata de directivas del sistema, formación de usuarios, las interacciones organizacionales y departamentales y coordinación entre todos estos elementos.
Contenido
- 1 Tipos de llaves
- 2 Intercambio de claves
- 3 Almacenamiento de claves
- 4 Uso de claves
- 5 Infraestructura de clave pública (PKI)
- 6 Clave de empresa y gestión de certificados (EKCM)
- 7 Gestión de claves de grupo de multidifusión
- 8 Desafíos de la gestión de claves
- 9 Tipos de sistemas de gestión de claves
- 9.1 Solución de administración de claves
- 10 Sistemas de gestión de claves
- 10.1 Open Source
- 10.2 Propietario
- 11 Véase también
- 12 Referencias
- 13 Enlaces externos
Tipos de llaves
Los sistemas criptográficos pueden emplear distintos tipos de llaves, con algunos sistemas que utilizan más de uno. Estos pueden incluir claves simétricas o asimétricas claves. En un algoritmo de clave simétrica las claves involucrados son idénticas para cifrar y descifrar un mensaje. Llaves deben ser elegidas cuidadosamente y distribuidas y almacenadas de manera segura. Llaves asimétricas, en cambio, son dos llaves distintas que matemáticamente están vinculadas. Normalmente se utilizan conjuntamente para comunicarse.
Intercambio de claves
Antes de cualquier comunicación asegurada, los usuarios deben fijar los detalles de la criptografía. En algunos casos esto puede requerir intercambiar llaves idénticas (en el caso de un sistema de clave simétrica). En otros puede requerir que posee la clave pública de la otra parte. Mientras que las claves públicas se pueden intercambiar abiertamente (su clave privada correspondiente es mantenido en secreto), claves simétricas deben ser reemplazadas por un canal de comunicación seguro. Anteriormente, intercambio de tal una clave era sumamente dificultosa y fue grandemente facilitado por el acceso para garantizar canales tales como un valija diplomática. Texto sin cifrar intercambio de claves simétricas permitiría cualquier interceptor saber inmediatamente la clave y los datos cifrados.
El avance de la criptografía de clave pública en la década de 1970 ha hecho que el intercambio de claves menos problemático. Puesto que el Diffie-Hellman Protocolo de intercambio de claves se publicó en 1975, se ha convertido en posible intercambiar una clave a través de un canal de comunicación insegura, que ha reducido sustancialmente el riesgo de divulgación clave durante la distribución. Es posible, utilizando algo parecido a un Código de libro, para incluir indicadores clave como texto adjunto a un mensaje cifrado. La técnica de cifrado utilizada por Richard Sorgeel código secretaria fue de este tipo, haciendo referencia a una página en un manual de estadística, aunque en realidad era un código. El Ejército alemán Enigma clave de cifrado simétrico era un tipo mixto temprano en su uso; la clave fue una combinación de horarios claves secretamente distribuidos y un componente clave de sesión de usuario elegido para cada mensaje.
En los sistemas más modernos, tales como OpenPGP sistemas compatibles, una clave de sesión para un algoritmo de clave simétrico se distribuye cifrado mediante una algoritmo de clave asimétrica. Este enfoque evita incluso la necesidad de utilizar un protocolo de intercambio de claves como intercambio de claves Diffie-Hellman.
Otro método de intercambio de claves consiste en encapsular una llave dentro de otra. Típicamente una llave maestra se genera y se intercambiaron utilizando un método seguro. Este método es generalmente engorrosos o caro (rompiendo una llave maestra en varias partes y cada uno con un mensajero de confianza enviando por ejemplo) y no es adecuado para el uso a gran escala. Una vez que la llave maestra ha sido intercambiada firmemente, entonces puede utilizarse para el intercambio seguro de las teclas con facilidad. Esta técnica se denomina generalmente Envoltura de clave. Utiliza una técnica común Cifrados de bloques y criptográfica funciones hash.[1]
Un método relacionado es intercambiar una llave maestra (a veces denominada una clave raíz) y derivan filiales llaves según sea necesario de esa llave y algunos otros datos (a menudo denominados datos de diversificación). El uso más común de este método es probablemente en SmartCard base de cifrado, como las que se encuentran en las tarjetas bancarias. La red de banco o crédito incrusta su clave secreta en almacenamiento de claves seguro de la tarjeta durante la producción de la tarjeta en una planta de producción asegurada. Entonces en el Punto de venta la tarjeta y el lector de tarjetas son ambos capaces de derivar un conjunto común de claves de sesión basada en la clave secreta compartida y datos específicos de la tarjeta (como el número de serie de la tarjeta). Este método también puede utilizarse cuando las llaves deben estar relacionadas con los demás (es decir, llaves departamentales están ligadas a la divisionales claves y llaves individuales vinculadas a departamentos claves). Sin embargo, atar llaves mutuamente de este modo aumenta el daño que pueda resultar de una brecha de seguridad como los atacantes aprenderán algo más de una clave. Esto reduce la entropía, con respecto a un atacante, para cada clave involucrado.
Almacenamiento de claves
Sin embargo distribuido, llaves deben ser almacenadas de manera segura para mantener la seguridad en las comunicaciones. Existen varias técnicas en uso para hacerlo. Probablemente el más común es que una aplicación de encriptación administra claves para el usuario y depende de una contraseña de acceso para controlar el uso de la tecla.
Uso de claves
La cuestión importante es la longitud de clave uso y por lo tanto la frecuencia de reemplazo. Porque se incrementa el esfuerzo requerido de cualquier atacante, llaves deben cambiarse con frecuencia. Esto también limita la pérdida de información, como el número de mensajes cifrados almacenados que será legible cuando se encuentra una clave disminuirá la frecuencia de cambio de clave aumenta. Históricamente, las claves simétricas se han utilizado durante largos períodos en situaciones en las que intercambio de claves era muy difícil o posible sólo intermitentemente. Idealmente, debe cambiar la clave simétrica con cada mensaje o interacción, así que sólo ese mensaje será legible si la llave es aprendida (por ejemplorobado, cryptanalyzed, o ingeniería social).
Infraestructura de clave pública (PKI)
Una infraestructura de clave pública es un tipo de sistema de gestión de claves que utiliza jerárquica certificados digitales proporcionar claves públicas a fin de proporcionar encriptación y autenticación. PKI se utiliza en el tráfico de la World Wide Web, comúnmente en forma de SSL y TLS.
Clave de empresa y gestión de certificados (EKCM)
El punto de partida en cualquier certificado y estrategia de gestión de claves privadas es crear un inventario de todos los certificados, sus ubicaciones y responsables. Esto no es un asunto trivial porque los certificados de una variedad de fuentes están desplegados en una variedad de lugares por equipos e individuos diferentes - simplemente no es posible contar con una lista de un solo autoridad de certificación. Los certificados que no son renovados y reemplazados antes de que caduquen pueden causar interrupciones y downtime grave. Algunas otras consideraciones:
- Normas y requisitos, como PCI-DSS, demandan estricta seguridad y administración de claves criptográficas y auditores revisan cada vez más los controles de gestión y procesos en uso.
- Las claves privadas con certificados deben mantenerse seguras o individuos no autorizados pueden interceptar comunicaciones confidenciales o ganar acceso no autorizado a los sistemas críticos. Fracaso para asegurar la correcta segregación de funciones significa que los administradores que generan las claves de cifrado pueden utilizarlos para acceder a datos sensibles, regulados.
- Si una autoridad de certificación está comprometida o un algoritmo de cifrado se ha roto, las organizaciones deben prepararse para reemplazar todos los certificados y claves en cuestión de horas.
Gestión de claves de grupo de multidifusión
Grupo Key Management significa administrar las claves de la comunicación de un grupo. La mayoría de las comunicaciones de grupo use comunicación multicast para que si el mensaje se envía una vez por el remitente, será recibido por todos los usuarios. El principal problema en la comunicación del grupo de multidifusión es su seguridad. Con el fin de mejorar la seguridad, los usuarios reciben varias llaves. Utilizando las teclas, los usuarios pueden cifrar sus mensajes y enviarlos en secreto.
Desafíos de la gestión de claves
Varios lo desafía a las organizaciones son la cara cuando se trata de controlar y administrar sus claves de cifrado:
- Complejos de gestión: Gestión de una plétora de claves de cifrado en millones.
- Temas de seguridad: Vulnerabilidad de las llaves de los iniciados los hackers/malicioso exterior.
- Disponibilidad de los datos: Asegurar la accesibilidad a los datos para usuarios autorizados.
- Escalabilidad: Apoyo a múltiples bases de datos, aplicaciones y estándares.
- Gobernanza: Definición de política impulsada, acceso, control y protección de datos.[2]
Tipos de sistemas de gestión de claves
Existen dos tipos de sistemas de gestión de claves
- Sistema integrado de gestión de claves
- Sistema de gestión de claves de terceros[3]
Solución de administración de claves
A solución de administración de claves (KMS) es un enfoque integrado para la generación, distribución y administración claves criptográficas para los dispositivos y aplicaciones. En comparación con la administración de claves de término, un KMS se adapta a casos específicos como la actualización de software seguro o máquina a máquina comunicación. En un enfoque holístico, cubre todos los aspectos de seguridad - de la generación segura de claves sobre el intercambio seguro de claves hasta clave segura y almacenamiento en el cliente. Por lo tanto, un KMS incluye la funcionalidad de backend para la generación de claves, distribución y reemplazo, así como la funcionalidad del cliente para inyectar las llaves, almacenamiento y administración de claves en los dispositivos. Con el Internet de las cosas, KMS se convierten en un elemento esencial para la seguridad de los dispositivos conectados.
Sistemas de gestión de claves
Existen los siguientes sistemas de gestión de claves como fuente abierta o Propietario software.
Open Source
- StrongKey[4] -fuente abierta, actualizada en Sourceforge en 2013[5]
Propietario
- Bell ID Key Manager[6]
- Cryptsoft KMIP C y Java servidores[7]
- Gazzang zTrustee[8]
- HP Enterprise Secure Key Manager[9]
- IBM distribuido sistema de gestión de claves (DKMS)[10]
- Fundamentos de administración clave de IBM Enterprise[11]
- IBM Tivoli clave Lifecycle Manager[12]
- KEYper sistemas[13]
- Keytracker Ltd[14]
- Oracle Key Manager[15]
- Porticor Datos privados virtuales[16]
- QuintessenceLabs Key Manager[17]
- RSA Data Protection Manager[18]
- Gestión de claves de empresa SafeNet[19]
- Armario inteligente Senergy[20]
- SSH Communications Security Universal SSH Key Manager [21]
- Gestión de claves de Thales[22]
- Townsend seguridad Alianza Key Manager[23]
- Unitech Power Technology Co.[24]
- Venafi Confíe en la plataforma de protección[25]
Véase también
- Clave (criptografía)
- Intercambio de claves
- Ceremonia de clave
- Función de derivación de claves
- Encapsulación clave
- Gestión de claves física
- Envoltura de clave
- Almacén de claves
- KMIP
- KSD-64
- Lista de tipos de claves criptográficos
- NSAes Sistema de gestión de claves electrónicas (EKMS)
- Familia función pseudoaleatoria
- Infraestructura de clave pública
- Algoritmo de clave simétrica
- Secretos dinámicos
Referencias
- ^ Pressestelle Ruhr-Universität Bochum - redacción Online. "Startseite - Ruhr-Universität Bochum" (en alemán). Crypto.Rub.de. 2013-08-06.
- ^ "La política de seguridad y administración de claves: administrar de manera centralizada clave de cifrado". 13 / 08 / 2012 slideshare.net.. 2013-08-06.
- ^ "La política de seguridad y administración de claves de empresa a centralmente administrar las claves de encriptación de Vormetric". YouTube. 2012-09-11. 2013-08-06.
- ^ https://strongkey.strongauth.com/
- ^ https://sourceforge.net/projects/strongkey/
- ^ "Sistema de gestión de claves". ID de timbre. 17 / 01 / 2014.
- ^ "Cryptsoft". Cryptsoft. 2013-08-06.
- ^ "Gazzang zTrustee". Gazzang.com. 1970-01-01. 2013-08-06.
- ^ Estados Unidos. "Cifrado de datos - empresa segura Key Manager | Sitio oficial de HP ®". H17007.www1.HP.com. 2013-08-06.
- ^ "IBM Enterprise Key Management Foundation (EKMF)". 03.IBM.com. 2013-08-06.
- ^ https://Public.DHE.IBM.com/common/SSI/ECM/en/zss03081usen/ZSS03081USEN.pdf
- ^ "IBM - Tivoli clave Lifecycle Manager - Estados Unidos". 01.IBM.com. 2013-08-06.
- ^ https://www.keypersystems.com
- ^ https://www.Keytracker.co.uk
- ^ "Key Manager | Almacenamiento". Oracle. 2013-08-06.
- ^ "Sobre datos privados virtuales". Porticor.com. 2013-08-06.
- ^ "QuintessenceLabs Inc". Quintessencelabs.com. 2013-08-06.
- ^ "RSA Data Protection Manager - encriptación de datos, administración de claves". EMC. 2013-04-18. 2013-08-06.
- ^ "Clave de las soluciones de administración de SafeNet: proteger y administrar las claves criptográficas". SafeNet-inc.com. 2013-08-06.
- ^ Senergy Intellution Pvt Ltd | Armario inteligente, sistema de gestión de claves y sistema de Control de acceso. https://www.Senergy.net.in
- ^ https://www.ssh.com/products/universal-ssh-Key-Manager
- ^ "Gestión de clave: keyAuthority - una solución probada para centralizar la gestión de claves". Thales-esecurity.com. 2013-08-06.
- ^ "Gestión de claves de cifrado | Protección de datos de gestión de claves, seguridad en la nube, cifrado". Townsendsecurity.com. 2013-08-06.
- ^ https://www.ut-Power.com/English/Solution/index/ID/4.html
- ^ https://www.venafi.com/what-we-do/
Enlaces externos
- Recomendación para Key Management — parte 1: general, Publicación especial NIST 800-57
- NIST Kit de herramientas criptográfica
- La seguridad de IEEE en almacenamiento trabajando Group (SISWG) que está generando la norma P1619.3 para administración de claves
- American National Standards Institute -ANSI X9.24, venta por menor financiera servicios de gestión de claves simétrica
- El Comité Técnico de OASIS gestión de claves interoperabilidad protocolo (KMIP)
- El Comité Técnico de OASIS empresa gestión de claves infraestructura (EKMI)
- "Gestión de claves con un poderoso Keystore"