Protokol interoperability správy klíčů - Key Management Interoperability Protocol

Účastníci spolupráce OASIS 2017 na konferenci RSA 2017.

The Protokol interoperability správy klíčů (KMIP) je rozšiřitelný komunikační protokol který definuje formáty zpráv pro manipulaci s kryptografické klíče na správa klíčů serveru. To usnadňuje šifrování dat zjednodušením správy šifrovacích klíčů. Klíče mohou být vytvořeny na serveru a poté načteny, případně zabaleny jinými klíči. Oba symetrický a asymetrický klíče jsou podporovány, včetně možnosti podepisovat certifikáty. KMIP také umožňuje klientům požádat server o šifrování nebo dešifrování dat, aniž by potřebovali přímý přístup ke klíči.

Standard KMIP byl poprvé vydán v roce 2010. Klienti a servery jsou komerčně dostupné od více dodavatelů. Standardní úsilí KMIP se řídí Orgán pro normalizaci OASIS. Technické podrobnosti najdete také na oficiální stránka KMIP a wiki.

Popis

Server KMIP ukládá a ovládá Spravované objekty jako jsou symetrické a asymetrické klíče, certifikáty a uživatelem definované objekty. Klienti poté pomocí protokolu přistupují k těmto objektům podle modelu zabezpečení, který je implementován servery. Poskytují se operace pro vytváření, lokalizaci, načítání a aktualizaci spravovaných objektů.

Každý spravovaný objekt má neměnný Hodnota například blok klíčů, který obsahuje kryptografický klíč. Obsahují také proměnlivé Atributy které lze použít k ukládání metadat o klíčích. Některé atributy jsou odvozeny přímo z Value, například kryptografický algoritmus a délka klíče. Další atributy jsou definovány ve specifikaci pro správu objektů, jako je Specifický identifikátor aplikace, který je obvykle odvozen z identifikačních dat pásky. Další identifikátory může server nebo klient definovat podle potřeby aplikací.

Každý objekt je identifikován jedinečným a neměnným identifikátorem objektu, který je generován serverem a slouží k získání hodnot objektu. Spravovaným objektům může být také přidělena řada proměnných, ale globálně jedinečných název atribut, který lze použít k vyhledání objektů.

Mezi typy spravovaných objektů, které spravuje KMIP, patří

Symetrické klávesy.
Veřejný a soukromý klíč.
Certifikáty a klíče PGP.
Rozdělené klíče.
Tajná data (hesla).
Neprůhledná data pro klientem a serverem definované rozšíření.

Mezi operace poskytované společností KMIP patří

Vytvořit — pro vytvoření nového spravovaného objektu, jako je symetrický klíč, a vrácení identifikátoru.
Získat - pro načtení hodnoty objektu vzhledem k jeho jedinečnému identifikátoru.
Registrovat - pro uložení externě generované hodnoty klíče.
Přidat atributy, získat atributy a upravit atributy - pro manipulaci s atributy spravovaného objektu.
Vyhledat - pro načtení seznamu objektů na základě kombinace predikátů.
Znovu klíč - pro vytvoření nového klíče, který může nahradit stávající klíč.
Vytvořit pár klíčů - vytvořte asymetrické klíče.
(Znovu) Certify - k certifikaci certifikátu.
Rozdělit a připojit se n klíčů.
Šifrovat, dešifrovat, MAC atd. - kryptografické operace prováděné na serveru pro správu klíčů.
Export a import klíčů na jiné servery KMIP.
Operace k implementaci NIST klíčový životní cyklus.

Každý klíč má kryptografický stav, například počáteční, aktivní, neaktivní, kompromitovaný. Jsou poskytovány operace, které manipulují se stavem v souladu s pokyny pro životní cyklus NIST. Data každé transformace se zaznamenávají, například datum, kdy byl klíč aktivován. Lze zadat data do budoucnosti, aby se klíče po vypršení platnosti automaticky staly nedostupnými pro zadané operace.

Kódování zpráv

Protokol KMIP určuje upravenou formu hodnota typu délka pro binární kódování zpráv, tzv TTLV (značka, typ, délka, hodnota). Vnořené struktury TTLV umožňují kódování složitých víceoperačních zpráv v jednom binární zpráva. Kódování TTLV má několik záměrných návrhových možností:

Výplň: TTLV zarovná data na nejbližší 4 nebo 8 bajtů, aby byla zajištěna optimální úroveň vyrovnání procesoru.
Rozšiřitelnost: záměrné ponechání prostoru ve výčtech, aby bylo možné snadno přidávat nové značky, datové typy a hodnoty atributů.
Mapování na další kódování: protokol umožňuje kódování zpráv KMIP ve formě XML a JSON, jak je popsáno v Kódování dalších zpráv KMIP dokument.

Existují také dobře definované kódování XML a JSON protokolu pro prostředí, kde binární není vhodné.

Samotný TTLV je nezpracovaný binární formát a nezabezpečuje šifrování přenášených zpráv. TLS je pověřen zabezpečením na úrovni spojení v komunikaci mezi klienty a servery.

Profily KMIP

KMIP také definuje sadu profily, což jsou podmnožiny specifikace KMIP ukazující běžné použití pro konkrétní kontext. Konkrétní implementace KMIP se říká konformní do profilu, pokud splňuje všechny požadavky stanovené v dokumentu se specifikací profilu. OÁZA zavedl různé profily popisující požadavky na shodu s poli úložiště^[1] a páskové knihovny,^[2] ale každá organizace může vytvořit profil.

Vztah k PKCS # 11

PKCS # 11 je API slouží k ovládání a hardwarový bezpečnostní modul. PKCS # 11 poskytuje kryptografické operace pro šifrování a dešifrování, stejně jako operace pro jednoduchou správu klíčů. Mezi PKCS # 11 API a protokolem KMIP existuje značné množství překrývání.

Tyto dva standardy byly původně vyvinuty nezávisle. PKCS # 11 vytvořil Zabezpečení RSA, ale standard se nyní řídí také OÁZA technická komise. Stanoveným cílem výborů PKCS # 11 a KMIP je sladit standardy tam, kde je to praktické. Například atributy PKCS # 11 Sensitive a Extractable se přidávají do KMIP verze 1.4. Mnoho stejných lidí je v technických komisích KMIP i PKCS # 11.

Implementace KMIP

Technický výbor OASIS KMIP udržuje seznam známých implementací KMIP, které jsou k dispozici na internetu Web OASIS. K březnu 2017 je v tomto seznamu 28 implementací a 61 produktů KMIP.

Interoperabilita mezi implementacemi

Standard KMIP je definován pomocí formálního specifikačního dokumentu, testovacích kufříků a profilů předložených OÁZA Technická komise KMIP. Tyto dokumenty jsou veřejně dostupné na webových stránkách OASIS.

Prodejci prokazují interoperabilitu během procesu organizovaného technickou komisí OASIS KMIP v měsících před každou bezpečnostní konferencí RSA. Tyto demonstrace jsou neformálně známé jako interop. Interoperabilita KMIP se koná každý rok od roku 2010. Následující graf ukazuje počet jednotlivých testů provedených každou kombinací klienta a dodavatele serveru od roku 2012.

Individuální testy interoperability prováděné každou kombinací server / klient od roku 2012
Výsledky testování interoperability OASIS KMIP z roku 2017

Veškeré podrobnosti o výsledku spolupráce 2017 najdete na webových stránkách OASIS.

V roce 2014 Asociace průmyslového úložiště (SNIA) oznámila podobnou, ale odlišnou testovací platformu KMIP.^[3] To je známé jako Program zkoušek shody SSIF KMIP. Program testování shody SSIF KMIP byl však vyřazen s platností od 1. září 2017 a podle webových stránek SNIA nelze v tuto chvíli naplánovat žádné nové testování.

Historie verzí

Souhrn verzí a funkcí KMIP.
Verze	Návrh výboru	Hlavní rysy
1.0	Říjen 2010	Počáteční verze
1.1	Leden 2013
1.2	Červen 2014	Kryptografické operace. Představení profilů, včetně identifikátorů aplikací pro páskové knihovny.
1.3	2015	Streamování kryptografických operací; Registrace klienta; Vyhledejte offset / limit; Zastaralé šablony; Dotazy RNG;
1.4	2017	Lepší asynchronní operace; Import / export klíčů na jiné servery; Podpora PKCS # 12; Lepší zpracování chyb; Standardizované zabalení klíčů; Certifikace atributů; Hodnoty korelace mezi klientem a serverem; Popisné atributy; Podpora AEAD; Podpora AES-XTS; Vytvořit tajná data; Podpora RSA PSS; Mnoho rozšíření Query.
2.0	Aktuální vývojová verze, přijaté návrhy únor 2017	Odstranění zastaralých položek; Nahrazení konvence "x-" pro vlastní atributy; Operace protokolu klienta; Datum Časové rozlišení 1 mikrosekundu; Vyhledejte zničené a vzory; Lepší zpracování chyb; Nový CSR objekt; Odstranění atributového indexu; Podpora tokenizace; Typ klíče NIST; Jedinečné identifikátory pevné délky; Několik nových atributů a rozšíření dotazu.

Viz také

Správa klíčů
Klíč (kryptografie)
Šifrování
IEEE P1619 Zabezpečení v pracovní skupině pro úložiště

Reference

externí odkazy

„Technický výbor OASIS KMIP“.

„Implementace KMIP známé KMIP TC“.

^ „Úložné pole KMIP s profilem samošifrovacích disků verze 1.0“.
^ „KMIP Tape Library Profile verze 1.0“.
^ „Oznámen testovací program SNIA KMIP“. Oficiální webové stránky. SNIA. 2014-02-24. Citováno 2014-03-20.

[1] „Úložné pole KMIP s profilem samošifrovacích disků verze 1.0“.

[2] „KMIP Tape Library Profile verze 1.0“.

[3] „Oznámen testovací program SNIA KMIP“. Oficiální webové stránky. SNIA. 2014-02-24. Citováno 2014-03-20.

[1]

[2]

[3]