KMIP

KMIP (Shared Key Management Protocol) är ett kommunikationsprotokoll som definierar meddelandeformat för att manipulera kryptografiska nycklar på en server. Nycklar kan skapas på servern och sedan återställas från andra säkra nycklar. Både symmetriska och asymmetriska nycklar stöds. KMIP definierar också meddelanden som kan användas för att utföra kryptografiska åtgärder på servern, såsom kryptering och dekryptering. [ett]

KMIP är ett öppet protokoll som har stöd från många stora teknikföretag som: Hewlett-Packard , Brocade Systems Communications, Inc., Cisco Systems, Inc. *, IBM och Oracle Corporation . [2] KMIP är ett ledningssystem som kontrollerar behandlingen av krypterad data samt tillgång till krypterad data. [3]

Inledning [4]

Key Relationship Management Protocol är avsett för användning i system med krypterade nycklar. KMIP är ett relativt nytt protokoll skapat av OASIS- gruppen och föreslogs i februari 2009. Målet med OASIS är att ersätta befintlig företagsledning med system med KMIP.

Historik [5]

OASIS KMIP 1.0

— Offentlig diskussion november 2009;

— Teknisk specifikation januari 2010.

— OASIS-standard oktober 2010.

OASIS KMIP 1.1

— Offentlig diskussion januari 2012;

— Teknisk specifikation juli 2012;

— OASIS-standard januari 2013.

OASIS KMIP 1.2

— Offentlig diskussion januari 2014;

— Teknisk specifikation november 2014;

— OASIS-standard maj 2015.

Implementering [6]

KMIP består av 3 sektioner:

Objekt.
Operationer.
attribut.

Servrar måste använda antingen SSL- eller TLS- protokoll för sina kommunikationsändamål, HTTPS rekommenderas också . SSL 2.0 har kända säkerhetsproblem och alla de senaste HTTP/S -protokollen . Därför tillåter den här profilen användningen av SSL 2.0 och rekommenderar SSL 3.1 eller TLS 1.0. KMIP rekommenderar några chiffer. De obligatoriska chifferna listas nedan:

TLS tillåter användning av TLS_RSA_WITH_AES_128_CBC_SHA
SSL tillåter användning av SSL_RSA_WITH_AES_128_CBC_SHA

Beskrivning

KMIP-servern lagrar och hanterar hanterade objekt som symmetriska och asymmetriska nycklar, certifikat och användardefinierade objekt. Klienten använder sedan protokollet för att komma åt dessa objekt. Servrar tillämpar säkerhetstekniker på hanterade objekt. Operationer kan skapa, lokalisera, hämta och uppdatera hanterade enheter. [7]

Attribut [4]

Varje hanterat objekt har ett oföränderligt värde, som ett nyckelblock, som innehåller den kryptografiska nyckeln. Den innehåller också icke-beständiga attribut som kan användas för att lagra metadata om nycklarna. Vissa attribut härleds direkt från värdet, till exempel den kryptografiska algoritmen och nyckellängden. Andra attribut definieras i specifikationen för objekthantering, till exempel en specialiserad identifierare, som vanligtvis härleds från bandets identitet. Det finns attribut som krävs för varje objekt eller för specifika objekt, medan andra är valfria. Ytterligare identifierare som krävs av applikationen kan definieras av servern eller klienten. Dessutom kan mallar skapas som gör att systemadministratören kan kombinera attribut för ofta använda processer.

Objekt

Varje objekt identifieras av en unik och oföränderlig objektidentifierare, som genereras av servern och används för att hämta objektvärden. Hanterade objekt kan också ges många icke-beständiga men globalt unika namnattribut som kan användas för att lokalisera objekten. [fyra]

[8] De typer av hanterade enheter som KMIP kontrollerar inkluderar:

symmetriska nycklar.
Offentliga och privata nycklar.
Certifikat och PGP-nycklar.
Separationsnycklar.
Hemliga data (lösenord).
Ogenomskinlig data för klient och server definierad av tillägg.

Operationer

Verksamheten skiljer sig åt vad gäller vem som initierade dem. De flesta av dessa är "Client-Server"-operationer. Dessutom finns det server-klient-operationer. [fyra]

[8] KMIP-operationer inkluderar

Skapa - Skapa ett nytt hanterat objekt, till exempel en symmetrisk nyckel, och returnera en identifierare.
Get - få värdet av ett objekt genom dess unika identifierare.
Registrering är lagring av ett externt genererat nyckelvärde.
Lägga till, hämta och ändra attribut - Hantera hanterade objektattribut.
Plats - få en lista över objekt baserat på anslutningen av predikat.
Nyckeländring - Skapa en ny nyckel som kan ersätta en befintlig nyckel.
Generera ett nyckelpar - generera asymmetriska nycklar.
(Åter)certifiering - bekräftelse av certifikatet.
Dela och sammanfoga n av m nycklar.
Kryptering, dekryptering, MAC, etc. är kryptografiska operationer som utförs på nyckelhanteringsservern.
Operationer som implementerar livscykeln för en NIST-nyckel.

Varje nyckel har ett kryptografiskt tillstånd som initial, aktiv, passiv. Verksamheten tillhandahåller statlig ledning i enlighet med NIST:s livscykelriktlinjer. Data för varje konvertering loggas, till exempel det datum då nyckeln aktiverades. Datum kan definieras i framtiden så att nyckeln automatiskt är otillgänglig för specificerade operationer så snart de löper ut. [fyra]

Meddelandeformat

Ett meddelande består alltid av en rubrik följt av ett eller flera paketobjekt och valfria meddelandetillägg. Rubriken skiljer mellan två typer av meddelanden: begäran och svar. Det finns data som beror på typen. Batchobjekt indikerar den nödvändiga operationen och inkluderar alla attribut som behövs för att göra det. [fyra]

Meddelandekodning

KMIP är ett nätverksprotokoll, inte ett applikationsprogrammeringsgränssnitt. Det är ett binärt format som består av en kapslad tagg-, typ-, längd- och värdestruktur (TTLV). [9]

Fördelar med protokollet [4]

KMIP har många fördelar jämfört med befintliga konstruktioner. Den första fördelen är möjligheten att förenkla det aktuella projektet och bli av med komplexiteten och redundansen.

Utformningen av KMIP löser problemen med kommunikationsprotokoll och hjälper företag att inte investera mycket pengar i sin infrastruktur. Det finns alltså ett sätt för alla protokoll att kommunicera med varandra, såväl som sammankoppling mellan system. Denna design eliminerar ett enda systemfel på grund av möjligheten till ömsesidig kommunikation. Således, om ett system misslyckas, kan du säkert komma åt krypterad data.

Slutligen undviker KMIP-protokollet redundansen i den nuvarande designen och förenklar den. Detta minskar kostnaden för att investera i ett nyckelhanteringssystem, eftersom det inte finns något behov av att skräddarsy protokoll för varje tjänst. När komplexiteten i ett system är mindre är det lättare att underhålla. Det kräver mindre investeringar för att fortsätta arbeta.

Anteckningar

↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OAS . www.oasis-open.org. Hämtad 17 december 2016. Arkiverad från originalet 24 maj 2018. (obestämd)
↑ Medlemmar | OAS . www.oasis-open.org. Hämtad 25 november 2016. Arkiverad från originalet 19 april 2018. (obestämd)
↑ Arkiverad kopia . Hämtad 18 oktober 2016. Arkiverad från originalet 19 februari 2018. (obestämd)
↑ 1 2 3 4 5 6 7 Key Management Interoperability Protocol av Derrick Erickson (länk ej tillgänglig) . Tillträdesdatum: 16 december 2016. Arkiverad från originalet 21 december 2016. (obestämd)
↑ SNIA | Förbättra lagrings- och informationsteknik . www.snia.org. Hämtad 22 november 2016. Arkiverad från originalet 3 april 2018. (obestämd)
↑ Arkiverad kopia . Hämtad 18 oktober 2016. Arkiverad från originalet 21 september 2018. (obestämd)
↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OAS . www.oasis-open.org. Hämtad 22 november 2016. Arkiverad från originalet 24 maj 2018. (obestämd)
↑ 1 2 Key Management Interoperability Protocol // Wikipedia . — 2016-11-17.
↑ Fil:KMIP Nachricht nach TTLV codiert.png - Wikimedia Commons

Länkar

OASIS standarder
BCM KAM keps CIQ DSS dokbok DITA ebXML EDXL EML KMIP öppna dokument SAML SDD SPML UBL WSDM XRI XDI WS-BPEL WSRF WSS XACML