Klíčový server (kryptografický) - Key server (cryptographic)
 | tento článek potřebuje další citace pro ověření. (listopad 2013) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) |
v zabezpečení počítače, a klíčový server je počítač, který přijímá a obsluhuje stávající kryptografické klíče uživatelům nebo jiným programům. Programy uživatelů mohou běžet ve stejné síti jako klíčový server nebo na jiném počítači v síti.
Klíče distribuované klíčovým serverem jsou téměř vždy poskytovány jako součást kryptograficky chráněné osvědčení o totožnosti obsahující nejen klíč, ale také „entitu“ informace o vlastníkovi klíče. Certifikát je obvykle ve standardním formátu, například OpenPGP formát veřejného klíče, X.509 formát certifikátu nebo PKCS formát. Dále je klíč téměř vždy veřejným klíčem pro použití s asymetrický klíč šifrování algoritmus.
Dějiny
Klíčové servery hrají v kryptografie veřejného klíče V kryptografii veřejného klíče je jednotlivec schopen generovat a pár klíčů, kde je jeden z klíčů uchováván v soukromí, zatímco druhý je veřejně distribuován. Znalost veřejného klíče neohrožuje bezpečnost kryptografie veřejného klíče. Individuální držení veřejného klíče páru klíčů může tento klíč použít k provádění kryptografických operací, které umožňují tajnou komunikaci se silným ověřením držitele odpovídajícího soukromého klíče. Existuje veřejný klíč páru klíčů, aby bylo možné zahájit komunikaci nebo ověřit podpisy, což je problém se zaváděním. Nalezení klíčů na webu nebo psaní jednotlivcům s žádostí o přenos jejich publikačních klíčů může být časově náročné a nejisté. Klíčové servery fungují jako centrální úložiště, aby zmírnily potřebu individuálně přenášet veřejné klíče a mohou působit jako kořen a řetězec důvěry.
První webový PGP keyserver napsal pro práci Marc Horowitz,[1] zatímco studoval na MIT. Horowitzův klíčový server se nazýval HKP Keyserver po webovém protokolu OpenKGP HTTP Keyserver (HKP)[2] dříve to umožňovalo lidem interakci s klíčovým serverem. Uživatelé mohli nahrávat, stahovat a vyhledávat klíče buď prostřednictvím protokolu HKP na portu TCP 11371, nebo prostřednictvím webových stránek, na nichž byly spuštěny skripty CGI. Před vytvořením HKP Keyserveru se klíčové servery spoléhaly na interakci s e-mailovými skripty.
Samostatný server klíčů, známý jako server certifikátů PGP, byl vyvinut společností PGP, Inc. a byl použit jako software (prostřednictvím verze 2.5.x pro server) pro výchozí klíčový server v PGP prostřednictvím verze 8.x (pro klientský software), keyserver.pgp.com. Network Associates bylo uděleno a patent spoluautorem Jon Callas (Patent USA 6336186)[3] na konceptu klíčového serveru.
Chcete-li nahradit stárnoucí certifikátový server, an LDAP klíčový server založený na byl přepracován na Network Associates částečně tím Randy Harmon a Len Sassaman, nazvaný PGP Keyserver 7. S vydáním PGP 6.0 byl LDAP preferovaným rozhraním klíčového serveru pro verze PGP od Network Associates. Tento klíčový server LDAP a LDAPS (který také hovořil HKP pro zpětnou kompatibilitu, ačkoli byl protokol (pravděpodobně správně) označován jako „HTTP“ nebo „HTTPS“), také vytvořil základ pro nástroje správy PGP pro servery soukromého klíče v podnikovém nastavení , spolu s a schéma pro Netscape Directory Server.
PGP Keyserver 7 byl později nahrazen novým PGP Corporation Globální adresář PGP[1] který umožňuje PGP klíče publikovat a stáhnout pomocí HTTPS nebo LDAP.[4]
Veřejné versus soukromé klíče
Mnoho veřejně přístupných klíčových serverů umístěných po celém světě jsou počítače, které ukládají a poskytují OpenPGP klíče přes internet pro uživatele tohoto kryptosystému. V tomto případě mohou počítače být a většinou jsou provozovány jednotlivci jako pro bono služby usnadňující web důvěry model PGP používá.
Několik veřejně přístupných Klíčové servery S / MIME jsou k dispozici pro publikování nebo načtení certifikátů používaných s S / MIME kryptosystém.
Existuje také několik vlastnických práv infrastruktura veřejného klíče systémy, které udržují klíčové servery pro své uživatele; ty mohou být soukromé nebo veřejné a je pravděpodobné, že o těchto serverech klíčů budou vědět pouze zúčastnění uživatelé.
Ochrana osobních údajů
Pro mnoho jednotlivců je účelem použití kryptografie získání vyšší úrovně Soukromí v osobních interakcích a vztazích. Bylo poukázáno na to, že umožnění nahrání veřejného klíče na klíčový server při použití decentralizovaného webu důvěryhodných kryptografických systémů, jako je PGP, může odhalit spoustu informací, které si jednotlivec může přát uchovat jako soukromé. Vzhledem k tomu, že PGP spoléhá na podpisy na veřejném klíči jednotlivce, aby určil autentičnost tohoto klíče, lze potenciální vztahy odhalit analýzou signatářů daného klíče. Tímto způsobem mohou být vyvíjeny modely celých sociálních sítí.[Citace je zapotřebí ]
Problémy se servery klíčů
Klíčové servery OpenPGP od svého vývoje v 90. letech trpěly několika problémy. Jakmile byl veřejný klíč nahrán, bylo záměrně obtížné jej odstranit, protože se servery mezi sebou automaticky synchronizovaly (bylo to provedeno za účelem boje proti vládní cenzuře). Někteří uživatelé přestanou používat své veřejné klíče z různých důvodů, například když zapomenou svou přístupovou frázi nebo pokud je jejich soukromý klíč ohrožen nebo ztracen. V těchto případech bylo těžké odstranit veřejný klíč ze serveru, ai kdyby byl odstraněn, někdo jiný může na server nahrát novou kopii stejného veřejného klíče. To vede k hromadění starých fosilních veřejných klíčů, které nikdy nezmizí, což je forma „plakátu klíčového serveru“. Důsledkem toho může kdokoli nahrát falešný veřejný klíč na klíčový server, který nese jméno osoby, která ve skutečnosti tento klíč nevlastní, nebo ještě hůře, použije jej jako chybu zabezpečení: certifikát Spamming Attack.[5]
Klíčový server neměl žádný způsob, jak zkontrolovat, zda je klíč legitimní (patří skutečnému vlastníkovi).
K vyřešení těchto problémů vyvinula společnost PGP Corp novou generaci klíčového serveru s názvem Globální adresář PGP. Tento klíčový server zaslal e-mailem požadavek na domnělého vlastníka klíče a požádal tuto osobu, aby potvrdila, že dotyčný klíč je jejich. Pokud to potvrdí, PGP Global Directory klíč přijme. To lze pravidelně obnovovat, aby se zabránilo hromadění plaku klíče. Výsledkem je kvalitnější sbírka veřejných klíčů a každý klíč byl prověřen e-mailem se zjevným vlastníkem klíče. V důsledku toho však nastává další problém: protože PGP Global Directory umožňuje údržbu klíčových účtů a ověřuje je pouze e-mailem, nikoli kryptograficky, kdokoli, kdo má přístup k e-mailovému účtu, může například odstranit klíč a nahrát falešný.
Poslední koncept IETF pro HKP také definuje síť distribuovaných klíčových serverů na základě DNS Záznamy SRV: najít klíč ně[email protected], můžete o to požádat example.com 's klíčovým serverem.
Příklady klíčového serveru
Jedná se o některé servery, které se často používají k vyhledání klíčů gpg --recv-keys.[6] Ty lze dotazovat prostřednictvím https: // (HTTPS ) nebo hkps: // (HKP přes TLS ).
- keys.openpgp.org
- pgp.mit.edu
- keyring.debian.org
- keyserver.ubuntu.com
- attester.flowcrypt.com
- zimmermann.mayfirst.org
Viz také
Reference
- ^ Horowitz, Marc (1996-11-18). „Server veřejného klíče PGP“. Citováno 2018-05-02.
- ^ Shaw, David (březen 2003). „Protokol HTTP Keyserver OpenPGP (HKP)“. IETF. Citováno 2018-05-02.
- ^ Kryptografický systém a metodika pro vytváření a správu zásad šifrování na certifikovaných serverech
- ^ https://keyserver.pgp.com/vkd/VKDHelpPGPCom.html
- ^ 262588213843476. „Síť klíčového serveru SKS pod útokem“. Podstata. Citováno 2020-09-17.CS1 maint: číselné názvy: seznam autorů (odkaz)
- ^ "dokumentace recv-keys". Manuál GPG. Citováno 30. června 2020.
externí odkazy
- Seznam klíčových serverů na Curlie
- Protokol HTTP Keyserver OpenPGP (HKP) (Březen 2003)
- Server veřejného klíče OpenPGP na SourceForge.net - softwarový balíček klíčového serveru OpenPGP distribuovaný pod a Licence ve stylu BSD. To bylo do značné míry nahrazeno SKS.
- Synchronizing Key Server (SKS) - softwarový balíček klíčového serveru OpenPGP distribuovaný pod GPL.
- Globální adresář PGP hostitelem PGP Corporation.