Kryptografisk nyckelserver

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 1 februari 2020; kontroller kräver 4 redigeringar .

När det gäller informationssäkerhet är en kryptografisk nyckelserver  en värd avsedd för lagring och överföring till användare, såväl som andra kryptografiska kryptonyckelservrar .

Nycklarna som distribueras av denna typ av server används oftast som en del av ett digitalt certifikat som innehåller inte bara själva nyckeln utan även information om nyckelns ägare. Som regel används i detta fall ett certifikat för en av de vanliga standarderna: OpenPGP , X.509 eller PKCS . Dessutom är dessa nycklar vanligtvis offentliga nycklar för användning i krypteringsalgoritmer för offentliga nycklar .

Historik

Skapandet av denna typ av servrar krävdes efter uppkomsten av offentliga nyckelkryptosystem , där användaren skapar ett par nycklar: privata och offentliga. Dessutom måste den publika nyckeln, som namnet antyder, göras tillgänglig för allmänheten för användning i kryptografiska operationer vid verifiering av en EDS och kryptering av ett meddelande. Att söka efter rätt nyckel på Internet, eller begäran om att skicka denna nyckel personligen till den person som du vill kommunicera privat med, kan ta mycket tid. Dessutom kan du mycket väl få en inaktuell eller ogiltig nyckel. Den kryptografiska nyckelservern fungerar i det här fallet som ett centraliserat nyckellager som minimerar behovet av en individuell begäran om nycklar, och blir också en av de strukturella delarna av förtroendekedjan .

Den första webbaserade PGP-nyckelservern beskrevs och skapades av Mark Horowitz som ett resultat av att han skrev en avhandling medan han studerade vid Massachusetts Institute of Technology . Denna server fick namnet "HKP" efter namnet på det protokoll som utvecklats för den (OpenPGP HTTP Keyserver Protocol). Användare kan ta emot, ladda ner nycklar och även leta efter nycklar på servern med detta protokoll via port 11371, eller manuellt via en webbläsare genom att köra CGI- skript. Innan HKP skapades hanterades nyckelservrar via en e- postkommandohanterare .

En oberoende nyckelserver känd som PGP Certificate Server utvecklades av PGP, Inc. och är tillgänglig som applikation (sedan version 2.5.x som serverapplikation) för implementeringar av PGP-nyckelserverfunktioner sedan version 8.x (klientprogram) [1] . Den 1 januari 2002 utfärdade Network Associates Technology Corporation ett patent (United States Patent 6336186) [2] för konceptet med en nyckelserver.

För att ersätta den åldrande certifikatservern introducerade Network Associates en LDAP -nyckelserver som heter PGP Keyserver 7.0. Sedan lanseringen av PGP 6.0 har denna nyckelserverimplementering blivit basgränssnittet för användning i Network Associates PGP-implementationer. LDAP- och LDAPS-nyckelservrar (med HKP-stöd för bakåtkompatibilitet) blev också basen för PGP-administrationsverktygen, som användes för att bygga en privat företagsnyckelserver enligt Netscape Directory Server-schemat . Senare ersattes detta system av PGP Corporations Global Directory .

Offentliga och privata servrar

Det finns många allmänt tillgängliga nyckelservrar distribuerade runt om i världen som låter dig lagra och överföra OpenPGP- nycklar över Internet. För det mesta underhålls dessa servrar av privatpersoner enligt pro bono- konceptet , och implementerar därigenom PGP -web of trust användningsmodell .

Flera allmänt tillgängliga S/MIME-nyckelservrar [3] låter dig också lägga till eller återkalla nycklar som används i S/MIME -kryptosystem.

Utöver ovanstående finns det många proprietära infrastrukturer för offentliga nyckel som inkluderar en nyckelserver, som antingen kan vara offentligt tillgänglig eller privat, och endast betjänar användarna av dess system.

Användningsproblem

OpenPGP-nyckelservrar som utvecklades på 90-talet stod inför ett antal användningsproblem. När den väl har laddats upp till servern är den publika nyckeln mycket svår att ta bort. Av olika anledningar (till exempel förlust eller stöld av en ihopparad privat nyckel) slutade vissa användare att använda sina offentliga nycklar. I det här fallet var det svårt nog att ta bort den publika nyckeln, och även om den togs bort hindrade ingenting angriparen från att ladda upp en kopia av nyckeln till servern igen. I en sådan situation ackumulerades ett stort antal gamla onödiga publika nycklar på servern, de så kallade "aterosklerotiska placken" på nyckelservern.

Ett annat problem var att vem som helst kunde ladda upp en fiktiv offentlig nyckel som är kopplad till en person som inte är ägare till denna nyckel till servern. I sådana nyckelservrar finns det inget sätt att kontrollera nyckelns legitimitet.

För att lösa dessa problem har PGP Corporation utvecklat en ny generation av kryptografiska nyckelservrar som kallas PGP Global Directory [1] . På sådana servrar, när en publik nyckel lades till, skickades en begäran till den avsedda ägarens e-post för att bekräfta äganderätten till nyckeln som laddas. Om bekräftelse mottogs, accepterades nyckeln av servern som legitim. Dessutom, för att förhindra att nyckeln förvandlas till en fiktiv "plakett", kan en sådan förfrågan regelbundet skickas igen. Som ett resultat av detta hölls listan över nycklar på servern uppdaterad och om så önskades var det alltid möjligt att kontrollera nyckelns legitimitet genom att begära ägaren via e-post. Tyvärr ledde det faktum att legitimitetskontrollen genomfördes utan användning av kryptografiska metoder på ett vanligt e-postmeddelande till att alla med tillgång till e-postkontot till exempel kunde ta bort nyckeln eller lägga till en dummy. .

Det senaste IETF- utkastet för HKP beskrev ett distribuerat nätverk av kryptografiska nyckelservrar baserat på DNS ​​SRV-poster : när du letar upp en nyckel för nå[email protected] kan en fråga skickas till exempel.com-nyckelservern.

Exempel på nyckelserver

Nedan finns några nyckelservrar som oftast används för att få en nyckel med kommandot "gpg --recv-key"

Se även

Anteckningar

  1. 1 2 PGP Global Directory . Hämtad 23 oktober 2012. Arkiverad från originalet 18 maj 2001.
  2. USA-patent 6336186  (otillgänglig länk)
  3. Nyckelservrar - CAcert Wiki . Hämtad 24 oktober 2012. Arkiverad från originalet 8 januari 2018.

Länkar