Interested Article - KMIP

Протокол совместным управлением ключами (KMIP) — протокол связи, который определяет форматы сообщений для манипулирования криптографическими ключами на сервере. Ключи могут создаваться на сервере, а затем восстанавливаться по другими защищенным ключам. Поддерживаются как симметричные, так и асимметричные ключи. KMIP также определяет сообщения, которые могут быть использованы, чтобы выполнять криптографические действия над сервером как например, кодирование и расшифрование.

KMIP является открытым протоколом, который имеет поддержку со стороны многих крупных технологических компаний, таких как: Hewlett-Packard , Brocade Systems Communications, Inc., Cisco Systems, Inc. *, IBM и Oracle Corporation . KMIP — это система управления, контролирующая обработку зашифрованных данных, а также доступ к зашифрованным данным.

Введение

Протокол управления взаимодействием ключей предназначен для использования в системах с зашифрованными ключами. KMIP представляет собой относительно новый протокол, созданный группой OASIS и предложенный в феврале 2009. Цель OASIS — заменить существующее управление предприятия на системы с KMIP.

История

OASIS KMIP 1.0

— публичное обсуждение ноябрь 2009;

— техническая спецификация январь 2010;

— стандарт OASIS октябрь 2010.

OASIS KMIP 1.1

— публичное обсуждение январь 2012;

— техническая спецификация июль 2012;

— стандарт OASIS январь 2013.

OASIS KMIP 1.2

— публичное обсуждение январь 2014;

— техническая спецификация ноябрь 2014;

— стандарт OASIS май 2015.

Реализация

КMIP состоит из 3 разделов:

  • Объекты.
  • Операции.
  • Атрибуты.

Серверы должны использовать либо SSL или TLS протоколы для своих целей связи, рекомендуется также HTTPS . SSL 2.0 имеет известные проблемы безопасности и все последние протоколы HTTP/S . Поэтому этот профиль запрещает использование SSL 2.0 и рекомендует SSL 3.1 или TLS 1.0. KMIP рекомендует некоторых шифры. Ниже перечислены обязательные шифры:

  • TLS допускает использование TLS_RSA_WITH_AES_128_CBC_SHA
  • SSL допускает использование SSL_RSA_WITH_AES_128_CBC_SHA

Описание

Сервер KMIP хранит и контролирует управляемые объекты, такие как ключи -симметричные и асимметричные, сертификаты и определяемые пользователем объекты. Клиент затем использует протокол, чтобы получить доступ к этим объектам. Серверы используют технику безопасности к управляемым объектам. Операции могут создавать, определять местоположение, получать и обновлять управляемые объекты.

Атрибуты

У каждого управляемого объекта есть неизменное значение, как ключевой блок, который содержит криптографический ключ. Он также содержит непостоянные атрибуты, которые могут использоваться, чтобы сохранять метаданные о ключах. Некоторые атрибуты получены непосредственно из значения, например, криптографический алгоритм и длина ключа. Другие атрибуты определены в спецификации для управления объектами, такие как специализированный идентификатор, который обычно получается из идентификационных данных ленты. Существуют атрибуты, которые являются обязательными для каждого объекта или для конкретных объектов, в то время как другие не являются обязательными. Дополнительные идентификаторы, необходимые приложению, могут быть определены сервером или клиентом. Кроме того, могут создаваться шаблоны, которые позволяют администратору системы объединять атрибуты часто используемых процессов.

Объекты

Каждый объект идентифицирован уникальным и неизменным идентификатором объекта, который сгенерирован сервером и используется, чтобы получить объектные значения. Управляемым объектам можно также дать много непостоянных, но глобально уникальных атрибутов имени, которые могут использоваться для определения местоположения объектов.

Типы управляемых объектов, которые контролирует KMIP, включают:

  • Симметричные ключи.
  • Открытые и закрытые ключи.
  • Сертификаты и ключи PGP.
  • Ключи разделения.
  • Секретные данные (пароли).
  • Непрозрачные данные для клиента и сервера определённые расширениями.

Операции

Операции отличаются по признаку — кем они инициированы. Большинство из них являются операциями «Клиент-сервер» . Кроме того, существуют операции «Сервер-клиент».

Операции, предусмотренные KMIP, включают

  • Создание — создание нового управляемого объекта, например, симметричный ключ, и возврат идентификатора.
  • Получение — получение значения объекта по его уникальному идентификатору.
  • Регистрация — хранение внешне сгенерированного значения ключа.
  • Добавление, получение и изменение атрибутов — контроль атрибутов управляемого объекта.
  • Расположение — получение списка объектов на основе соединения предикатов.
  • Изменение ключа — создание нового ключа, который может заменить существующий ключ.
  • Создание пары ключей — создание асимметричных ключей.
  • (Пере-) сертифицирование — подтверждение сертификат.
  • Разделение и соединение n из m ключей.
  • Зашифровка, дешифровка, MAC и т. д. — криптографические операции, выполняемые на сервере управления ключами.
  • Операции реализовывающие жизненный цикл ключа NIST.

У каждого ключа есть криптографическое состояние такое как начальное, активное, пассивное. Операции предоставляют управление состоянием в соответствии с инструкциями по жизненному циклу NIST. Данные каждого преобразования регистрируются, например, дата активации ключа. Даты могут быть определены в будущем так, чтобы ключ автоматически стал недоступным указанным операциям, как только они истекут.

Формат сообщения

Сообщение всегда состоит из заголовка, за которым следует один или более пакетных объектов и дополнительных расширений сообщений. Заголовок различает два типа сообщений: запрос и ответ. Существуют данные, зависящие от типа. Пакетные объекты указывают требуемую операцию и включают в себя все атрибуты, необходимые для этого.

Кодирование сообщения

KMIP — сетевой протокол, а не прикладной программный интерфейс. Он представляет собой двоичный формат, состоящий из вложенного тега, типа, длины и значения (TTLV) структуры.

Рисунок 1. KMIP TTLV

Преимущества протокола

KMIP имеет много преимуществ по сравнению с существующими конструкциями. Первое преимущество — это возможность упростить текущий проект и избавиться от сложностей и избыточностей.

Конструкция KMIP исправляет проблемы протоколов связи, помогая компаниям не вкладывать большое количество денег в свою инфраструктуру. Таким образом, возникает способ связи для всех протоколов друг с другом, так же происходит взаимосвязь между системами. Такая конструкция устраняет единый отказ системы из-за способности взаимного общения. Таким образом, если одна система выходит из строя, то можно спокойно получить доступ к зашифрованным данным.

И наконец, протокол KMIP избегает избыточности текущего дизайна и упрощает его. Это позволяет снизить стоимость инвестиций в систему управления ключами, так как нет никакой необходимости адаптировать протоколы для каждой услуги. Когда сложность системы меньше, её легче поддерживать. Ей требуется меньших инвестиций, чтобы сохранить работоспособность.

Примечания

  1. . www.oasis-open.org. Дата обращения: 17 декабря 2016. 24 мая 2018 года.
  2. . www.oasis-open.org. Дата обращения: 25 ноября 2016. 19 апреля 2018 года.
  3. . Дата обращения: 18 октября 2016. 19 февраля 2018 года.
  4. . Дата обращения: 16 декабря 2016. Архивировано из 21 декабря 2016 года.
  5. . www.snia.org. Дата обращения: 22 ноября 2016. 3 апреля 2018 года.
  6. . Дата обращения: 18 октября 2016. 21 сентября 2018 года.
  7. . www.oasis-open.org. Дата обращения: 22 ноября 2016. 24 мая 2018 года.
  8. (англ.) // Wikipedia. — 2016-11-17.

Ссылки

  1. Май 20, 2009.
  2. Февраль. 10, 2009.
  3. Февраль 10, 2009.
  4. Май 24, 2012.
Источник —

Same as KMIP