Aks holda, u so'roq qilinishi va olib tashlanishi mumkin.
ga havolalar kiritish uchun ushbu maqolani tahrirlashingiz mumkin.
Bu belgi o'rnatilgan 2017 yil 21 fevral.
shaxsiy kalit- assimetrik shifrlarda qo'llaniladigan kalitlar juftligining maxfiy komponenti, ya'ni to'g'ridan-to'g'ri va teskari transformatsiyalar uchun turli xil kalitlar qo'llaniladigan shifrlar. Maxfiy kalitdan farqli o'laroq, kalitlar juftligining boshqa komponenti, ochiq kalit odatda sir saqlanmaydi, lekin qalbakilashtirishdan himoyalangan va nashr etiladi.
Maxfiy kalit elektron raqamli imzoni (ES) hisoblashda ishlatiladi. ESni tekshirishda DSni hisoblashda foydalaniladigan shaxsiy kalitga mos keladigan ochiq kalit ishlatiladi. Agar kuchli raqamli imzo algoritmidan foydalanilgan bo'lsa, shaxsiy kalitga ega bo'lmasdan elektron raqamli imzoni qalbakilashtirish mumkin emas.
Xabarlarni shifrlashda shifrlangan matnni qabul qiluvchining shaxsiy kalitiga mos keladigan ochiq kalit ishlatiladi. Xabarning shifrini ochishda qabul qiluvchi o'zining shaxsiy kalitidan foydalanadi. Agar kuchli assimetrik shifr ishlatilsa, maxfiy kalitga ega bo'lmasdan shifrni o'qib bo'lmaydi.
Maxfiy kalitni sir saqlash uning uchun eng muhim shartdir. xavfsiz foydalanish. eng yaxshi tarzda elektron shaxsiy kalitni saqlash shaxsiy kalitni ko'chirib bo'lmaydigan vositadan foydalanishdir. Ushbu ommaviy axborot vositalariga smart-kartalar va ularning ekvivalentlari va Hardware Security Module (HSM) qurilmalari kiradi.
Kuchli shifrlar va asosiy vositalardan foydalanishga qo'shimcha ravishda, muhim shart shaxsiy kalitdan foydalanishda xavfsizlik uning oldindan aytib bo'lmaydiganligi bo'lib, bu yuqori sifatli tasodifiy sonlar generatorlaridan foydalanish orqali erishiladi. Qoida tariqasida, smart-kartalar va HSM-larda yuqori sifatli sensorlar mavjud tasodifiy raqamlar va assimetrik kriptografik transformatsiyalarni yoqish mexanizmlari. Shu sababli, shaxsiy kalit faqat smart-karta yoki HSM ichida yaratilishi va ishlatilishi mumkin.
Maxfiy kalitni yaratish va qoʻllash uchun smart-kartalar va HSMlar kabi apparat vositalaridan foydalanishning afzalligi shundaki, agar bu vositalar xavfsiz boʻlsa va yuqori texnologiyali apparatni buzish ishlatilmasa, shaxsiy kalit sir saqlanishi 100% kafolatlanadi. Kamchilik shundaki, smart-karta yoki HSM ning yo'qolishi yoki sinishi shaxsiy kalitning qaytarib bo'lmaydigan yo'qolishiga va yo'qolgan shaxsiy kalitga mos keladigan ochiq kalit yordamida shifrlangan xabarlarning shifrini ochishning imkonsizligiga olib keladi.
umumiy kalit- ishonchli matematik nisbat bilan shaxsiy (yopiq, maxfiy) kalit bilan bog'langan maxsus kriptografik ERI kaliti. Ochiq kalitning maqsadi elektron raqamli imzoni (ERI) tekshirishdan iborat. Uning yordamida imzo muallifini, shuningdek, maxfiy kalitni aniqlamasdan elektron hujjatning aslligini (haqiqiyligini) aniqlash mumkin.
Tasdiqlash kaliti sertifikati- elektron hujjat yoki qog'oz shakli, bu tegishli markaz tomonidan taqdim etiladi va kalitning tasdiqlanishi va sertifikat egasi (egasi) tomonidan egalik qiladi.
Kalitni yaratish egasi haqidagi barcha ma'lumotlar saqlanadigan tarzda amalga oshiriladi. Shu tarzda olingan fayl imzo kaliti sertifikati deb ataladi. U ochiq kalitga, shuningdek egasi haqidagi ma'lumotlarga asoslanadi elektron imzo va kalitni taqdim etgan markaz.
Darhaqiqat, “imzo” kalitining sertifikati aylanmada ishtirok etuvchi tomonning elektron pasportidir. Uning yordamida siz foydalanuvchini tanib olishingiz va elektron qog'ozlar bilan xavfsiz almashishingiz mumkin. Yaroqli sertifikatlarsiz almashtirish jarayoni taqiqlanadi.
Imzo kaliti uchun sertifikat berish bir yil davomida taqdim etiladi. Muddat oxirida u ishlashni to'xtatadi va elektron qog'ozlarni almashtirish imkonsiz bo'ladi. Ishtirokchilar elektron hujjatlar bilan ishlashni davom ettirish uchun sertifikatlarini yangilashlari kerak. Agar kalit egasining rekvizitlari o'zgargan bo'lsa (masalan, tashkilot rahbarlari o'zgartirilsa yoki nomi o'zgargan bo'lsa), shuningdek, shaxsiy kalit buzilgan bo'lsa, eski sertifikat bekor qilinishi va yangi sertifikat berilishi kerak.
EDS uchun malakali kalit sertifikati– sertifikat turlaridan biri, uni berish vakolatli sertifikatlashtirish markazi tomonidan amalga oshiriladi davlat organi yoki CAning vakolatli vakili.
Maxfiylik va yaxlitlik elektron hujjatlar- Hujjatlarni boshqarishning asosiy vazifalari. Shu bilan birga, har bir elektron raqamli imzo ikki turdagi kalitlarga ega - ochiq va yopiq. Qurilmaning o'zi kalit egasini va uning haqiqiyligini maksimal ishonchlilik bilan tanib olish imkonini beruvchi individual belgilar ketma-ketligidir.
Shaxsiy kalit egasiga tegishli va faqat unga ma'lum. Aksincha, ochiq kalit ishtirok etgan har bir kishi uchun mavjud elektron almashinuv. Kalitlarning turlari shifrlash turiga qarab farqlanadi:
Maxfiy kalit assimetrik va simmetrik shifrlashdan foydalanadi;
- ochiq holda - assimetrik.
Har bir shifrlash turi o'ziga xos xususiyatlarga ega:
1. Simmetrik shifrlash. Elektron aylanma ishtirokchisi kalitga va uni qo'llash algoritmiga (sxemasiga) ega. Xuddi shu kalit ma'lumotlarni shifrlash yoki shifrlash uchun ishlatilishi mumkin. Asosiy vazifa - kalitning xavfsizligi (masalan, ishtirokchilar o'rtasida uzatilganda). Shuning uchun, ushbu turdagi shifrlash bilan kalitning o'zi shaxsiydir.
2. Asimmetrik shifrlash. Qo'lda ikkita turdagi kalit mavjud. Biri ochiq (ma'lumotlarni shifrlash uchun mo'ljallangan), ikkinchisi yopiq (ularni shifrlash uchun kerak). Ochiq kalitning o'ziga xos xususiyati shundaki, u ikkinchi turdagi kalitlarga hech qanday xavf tug'dirmasdan uzatilishi mumkin. Kelajakda shaxsiy kalit ERI yaratish uchun ishlatiladi.
umumiy kalitlar- Ochiq kalitlar infratuzilmasi. Aslida, PKI turli xil kripto vazifalarini qo'llab-quvvatlash uchun moddiy, texnik va boshqa vositalar guruhidir.
Ochiq kalitlar infratuzilmasi bir necha tamoyillarga asoslanadi:
Shaxsiy kalitni faqat egasi biladi;
- sertifikat yaratish sertifikatlashtirish organining vazifasidir;
- bitim taraflari o'rtasida ishonch yo'q. Hamma faqat sertifikatlashtirish organiga ishonadi;
- CA ochiq kalitning shaxsiy kalitga ega bo'lgan muayyan shaxsga tegishli ekanligini rad etadi yoki tasdiqlaydi.
Ochiq kalit kuchli sertifikatning bir qismidir. Uning vazifasi EDS kaliti ma'lum bir shaxsga tegishli ekanligini tasdiqlashdir. Sertifikat quyidagi ma'lumotlarni o'z ichiga oladi :
Noyob ro'yxatga olish raqami;
- egasining shaxsiy ma'lumotlari (tafsilotlari, to'liq ismi);
- kengaytirilgan sertifikatning amal qilish muddati.
Faqatgina foydalanish orqali shaxsiy kalitni aniqlang umumiy kalit, imkonsiz. Kalitni olish CAga telefon qo'ng'irog'i bilan boshlanadi, shuningdek, barchasini aniqlaydi zarur tartib-qoidalar. Shu bilan birga, kalitlarni yaratish va ro'yxatdan o'tkazish jarayoni bir necha bosqichda amalga oshiriladi:
1. Kalit berish markazi saytida kerakli hujjatlar bilan tanishish. haqida hujjatlar guruhlari haqida - reglament, qo'shilish uchun ariza, xizmat ko'rsatish shartnomasi va boshqalar.
2. Kerakli hujjatlarni tayyorlash (shaxsiy va yuridik shaxslar farq qilishi mumkin). Birinchi holda, siz quyidagilarni topshirishingiz kerak:
Sertifikatni keyinchalik olish uchun ro'yxatdan o'tkazish uchun ariza (namuna ishlatiladi);
- imzolovchi tomonidan shaxsiy ma'lumotlardan foydalanishga ruxsatnoma;
- yuridik shaxslarning yagona davlat reestridan ko'chirma nusxasi yoki xususiy shaxs;
- identifikatsiya kodi va pasport (etarlicha nusxalar).
Qancha kalit kerakligini hal qilishga arziydi. Ushbu ma'lumot arizaga kiritilgan.
Ma'lumotni o'rganish, kerakli nusxalarni tayyorlash, blankalarni chop etish va ularni to'ldirishning butun jarayoni 60 daqiqani tashkil qiladi.
3. Markazda ro‘yxatdan o‘tish jarayoni. Hujjatlar to'plami bilan siz ro'yxatga olish markazining filialiga borishingiz mumkin. Kalitni yozib olish uchun siz bilan DVD disklari yoki flesh-disklari bo'lishi kerak. Tashuvchilar soni to'g'ridan-to'g'ri buyurtma qilingan kalitlar soniga bog'liq. Hujjatlarning to'liqligi va to'g'riligini tekshirgandan so'ng, siz kalitni kiritishga o'tishingiz mumkin.
4. Kengaytirilgan xavfsizlik bilan sertifikat yaratish. Ushbu protsedura kalit egasi tomonidan maxsus kabinada amalga oshiriladi. Boshlash uchun sensor va tasodifiy sonlarni yaratish yordamida kalit yaratiladi, shundan so'ng u portativ vositaga yoziladi. Jarayon tugashi bilan Markazning rasmiy veb-saytida sertifikat yaratish to'g'risidagi tegishli ma'lumotlar paydo bo'ladi.
Oxirgi bosqich - soliq idorasiga hisobot yuborish.
ochiq kalit, ushbu talab kriptografiyaning butun mohiyatini, ya'ni aloqada universal maxfiylikni saqlash qobiliyatini inkor etishini ta'kidladi.Ikkinchi vazifa - bunday mexanizmlarni yaratish zarurati, uning yordamida ishtirokchilarning birortasini almashtirish mumkin bo'lmaydi, ya'ni. kerak raqamli imzo. Aloqadan tijorat va shaxsiy maqsadlar kabi keng ko'lamli maqsadlarda foydalanilganda, elektron xabarlar va hujjatlar qog'oz hujjatlardagi imzo ekvivalentiga ega bo'lishi kerak. Elektron pochta ma'lum bir ishtirokchi tomonidan yuborilganligiga barcha ishtirokchilar ishonch hosil qiladigan usulni yaratish kerak. Bu autentifikatsiyadan ko'ra kuchliroq talab.
Diffie va Hellman shifrlashning oldingi barcha yondashuvlaridan tubdan farq qiladigan ikkala muammoni hal qilish usulini taklif qilish orqali sezilarli natijalarga erishdilar.
Avval umumiy xususiyatlarni ko'rib chiqaylik. shifrlash algoritmlari ochiq kalit va ushbu algoritmlarga qo'yiladigan talablar bilan. Bitta kalitni shifrlash uchun, ikkinchisini ochish uchun kalitni ishlatadigan algoritm tomonidan bajarilishi kerak bo'lgan talablarni aniqlaylik va shu bilan birga, agar faqat shifrlash algoritmi va shifrlash kaliti ma'lum bo'lsa, parol hal qilish kalitini aniqlashning hisoblash mumkin emas.
Bundan tashqari, ba'zi algoritmlar, masalan, RSA, quyidagi xususiyatga ega: ikkita kalitning har biri shifrlash va shifrni ochish uchun ishlatilishi mumkin.
Biz birinchi navbatda ikkala xususiyatga ega bo'lgan algoritmlarni ko'rib chiqamiz, so'ngra ikkinchi xususiyatga ega bo'lmagan ochiq kalitli algoritmlarga o'tamiz.
Ta'riflashda simmetrik shifrlash va ochiq kalitni shifrlashda biz quyidagi terminologiyadan foydalanamiz. ishlatiladigan kalit simmetrik shifrlash, qo'ng'iroq qilamiz maxfiy kalit. Ochiq kalitlarni shifrlashda ishlatiladigan ikkita kalit chaqiriladi umumiy kalit Va shaxsiy kalit. Maxfiy kalit sir saqlanadi, lekin biz foydalanilgan kalit bilan chalkashmaslik uchun uni maxfiy emas, balki shaxsiy kalit deb ataymiz. simmetrik shifrlash. Maxfiy kalit KR, ochiq kalit - KU bilan belgilanadi.
Biz barcha ishtirokchilar bir-birining ochiq kalitlariga kirish huquqiga ega deb hisoblaymiz va shaxsiy kalitlar har bir ishtirokchi tomonidan mahalliy sifatida yaratilgan va shuning uchun tarqatilmasligi kerak.
Ishtirokchi istalgan vaqtda o'zining shaxsiy kalitini o'zgartirishi va eski ochiq kalitni u bilan almashtirib, juftlikni tashkil etuvchi ochiq kalitni nashr etishi mumkin.
Diffie va Hellman talablarni tavsiflaydi shifrlash algoritmi umumiy kalit bilan.
M = D KR [C] = D KR ]
Oltinchi talab qo'shilishi mumkin, garchi u barcha ochiq kalit algoritmlari uchun mos kelmasa ham:
M = E ku]
Bu tushunchani kiritadigan etarlicha kuchli talablar. Bir tomonlama funktsiya bunday funktsiya chaqiriladi, unda har bir argument o'ziga xos teskari qiymatga ega bo'ladi, bunda funktsiyaning o'zini hisoblash oson, lekin teskari funktsiyani hisoblash qiyin.
Odatda "oson" muammoni kirish uzunligining polinom vaqtida hal qilish mumkinligini anglatadi. Shunday qilib, agar kirish uzunligi n bit bo'lsa, u holda funktsiyani hisoblash vaqti n a ga proportsional bo'ladi, bu erda a o'zgarmas doimiydir. Shunday qilib, algoritm P polinomli algoritmlar sinfiga tegishli deb aytiladi. "Qattiq" atamasi murakkabroq tushunchani anglatadi. Umumiy holatda, agar muammoni hal qilish uchun qilingan harakat kiritilgan qiymatning polinom vaqtidan kattaroq bo'lsa, uni hal qilib bo'lmaydi, deb taxmin qilamiz. Misol uchun, agar kirish uzunligi n bit bo'lsa va funktsiyani baholash vaqti 2 n ga proportsional bo'lsa, u holda bu hisoblash mumkin bo'lmagan vazifa hisoblanadi. Afsuski, ma'lum bir algoritm bunday murakkablikni ko'rsatadimi yoki yo'qligini aniqlash qiyin. Bundan tashqari, hisoblash murakkabligi haqidagi an'anaviy tushunchalar algoritmning eng yomon yoki o'rtacha holatlariga qaratilgan. Bu kriptografiya uchun qabul qilinishi mumkin emas, bu erda funktsiyani barcha yoki deyarli barcha kirish qiymatlari uchun o'zgartirib bo'lmaydi.
Ta'rifga qaytish lyuk bilan bir tomonlama funksiya, qaysi, kabi bir tomonlama funktsiya, bir yo'nalishda hisoblash oson va ba'zilarigacha qarama-qarshi yo'nalishda hisoblash qiyin qo'shimcha ma'lumot. Ushbu qo'shimcha ma'lumotlar bilan inversiyani polinom vaqtida hisoblash mumkin. Shunday qilib, bir tomonlama funktsiya lyuklar oilasiga tegishli bir tomonlama funktsiyalar f k shunday
Ko'ramiz, ma'lum bir ochiq kalit algoritmini ishlab chiqish mos keladiganini topishga bog'liq lyuk bilan bir tomonlama funksiya.
Vaziyatdagi kabi simmetrik shifrlash, shifrlash algoritmi ochiq kalit bilan frontal hujumga qarshi himoyasiz. Qarshi chora standartdir: katta tugmalardan foydalaning.
Ochiq kalitli kriptotizim ma'lum bir teskari bo'lmagan kalitlardan foydalanadi matematik funktsiyalar. Bunday funktsiyalarni hisoblashning murakkabligi kalit bitlar soni bo'yicha chiziqli emas, lekin kalitdan tezroq ortadi. Shunday qilib, kalit o'lchami qo'pol kuch hujumlarini amaliy bo'lmagan qilish uchun etarlicha katta va amaliy shifrlash imkonini beradigan darajada kichik bo'lishi kerak. Amalda, kalit o'lchami shunday qilinganki, shafqatsiz kuchlar hujumi amaliy bo'lmaydi, ammo natijada shifrlash tezligi algoritmdan foydalanish uchun etarlicha sekin bo'ladi. umumiy maqsadlar. Shu sababli, ochiq kalitlarni shifrlash hozirda asosan kichik ma'lumotlar blokini shifrlashni talab qiluvchi kalitlarni boshqarish va imzo ilovalari bilan cheklangan.
Hujumning yana bir shakli ochiq kalit berilgan shaxsiy kalitni hisoblash usulini topishdir. Hujumning ma'lum bir shakli ochiq kalit algoritmi uchun mumkin emasligini matematik jihatdan isbotlashning hech qanday usuli yo'q. Shunday qilib, har qanday algoritm, shu jumladan keng qo'llaniladigan RSA algoritmi shubhali.
Va nihoyat, ochiq kalit tizimlaridan qanday foydalanishga xos bo'lgan hujum shakli mavjud. Bu ehtimoliy xabarga hujum. Misol uchun, yuborilayotgan xabar faqat simmetrik shifrlash algoritmi uchun 56-bitli seans kalitidan iborat, deylik. Raqib ochiq kalit yordamida barcha mumkin bo'lgan kalitlarni shifrlashi mumkin va uzatilayotgan shifrlangan matnga mos keladigan har qanday xabarning shifrini ochishi mumkin. Shunday qilib, ochiq kalit sxemasining kalit o'lchamidan qat'i nazar, hujum 56 bitli shafqatsiz hujumga qisqartiriladi. simmetrik kalit. Bunday hujumdan himoya qilish oddiy xabarlarga ma'lum miqdordagi tasodifiy bitlarni qo'shishdan iborat.
Ochiq kalit algoritmlarining asosiy qoʻllanilishi shifrlash/shifrini yechish, imzo yaratish va tekshirish hamda kalit almashinuvidir.
Shifrlash ochiq kalit bilan quyidagi bosqichlardan iborat:
Guruch. 7.1.
Agar foydalanuvchi (oxirgi tizim) shaxsiy kalitini xavfsiz saqlasa, hech kim uzatilayotgan xabarlarga josuslik qila olmaydi.
Imzoni yaratish va tekshirish quyidagi bosqichlardan iborat:
Kompyuter ma'lumotlarini shifrlashning eng so'nggi yondashuvi ommaviy-xususiy kalitlarni shifrlash bo'lib, unda xabarni shifrlash kaliti xabarning o'zida joylashgan.
Shifrlashning asosiy muammosi har doim kalitni shifrlangan xabarlarni qabul qiluvchi shaxsga o'tkazish bo'lib kelgan. Ochiq va shaxsiy kalitlarni shifrlash tizimlari 70-yillarda paydo bo'ldi. shifrlangan xabarlarni uzatishni ta'minlaydigan tizimlar sifatida, shifrlash uchun shifrlash kalitidan farqli kalitdan foydalanish mumkin edi. Shu tarzda, bunday tizimlar eski tizimlardan tubdan farq qiladi, ularda xabarlarni qabul qiluvchi va jo'natuvchi bir xil kalitga ega bo'lishi kerak.
Kompyuterning ochiq kalitlarini shifrlash tizimi qabul qiluvchining ochiq kaliti yordamida ma'lumotlarni shifrlaydigan dasturdan foydalanadi. Ochiq kalit bu xabarni shifrlash bo'yicha ko'rsatma (yo'riqnoma) bo'lib xizmat qiluvchi qabul qiluvchi tomonidan taqdim etiladigan shifrdir. Ochiq kalit shifrlash dasturi tomonidan ishlab chiqariladi va har bir foydalanuvchi o'ziga xos kalitga ega.
Xabar shifrlangandan so'ng, faqat qabul qiluvchi shaxsiy, shaxsiy kaliti yordamida uni parolini hal qilishi mumkin. Shaxsiy kalit dasturni o'rnatishda foydalanuvchi tomonidan yaratiladi va unga dastlabki ma'lumot sifatida uzatiladi. Shu bilan birga, ochiq kalit yaratiladi.
Ikkala muxbir ham shifrlash/parchalash dasturini talab qiladi. Agar foydalanuvchi LEKIN foydalanuvchiga shifrlangan xabar yubormoqchi IN, keyin foydalanuvchi LEKIN avval foydalanuvchining ochiq kalitini olish kerak IN. Ochiq kalit ochiq kalit serveri orqali taqdim etiladi. Foydalanuvchi IN o'zining ochiq kalitlarini (yoki kalitini) ushbu serverga qo'yadi - kerak bo'lganda ko'p. Foydalanuvchi LEKIN ushbu kalitni oladi va keyin uni xabarlarni shifrlash dasturiga "qo'yadi" va foydalanuvchiga yuboriladigan xabarni tayyorlaydi IN. Xabarlarning shifrini ochish uchun foydalanuvchi IN shaxsiy kalitidan foydalanadi. Shifrlash dasturi ochiq kalitni o'qiydi, bu xabar qanday shifrlanganligi haqida xabar beradi, shuning uchun uni shaxsiy kalit bilan hal qilish mumkin. Bunday holda, ochiq kalitdan xabarning shifrini ochish uchun foydalanish mumkin emas. Bu foydalanuvchi yuborgan xabarni faqat xabarni qabul qiluvchi shaxs o‘qiy olishini bildiradi. LEKIN.
Shunday qilib, maxfiy kalit shifrlash dasturi bilan birgalikda foydalanuvchining ochiq kaliti va bir xil shifrlash dasturi bilan shifrlangan xabarni shifrlash uchun ishlatiladi. Shaxsiy kalitni bilmasdan shifrlangan faylning shifrini ochish mumkin emas.
Bu usul uzatilgan shifrlangan xabarlarni qabul qilishi kerak bo'lganlar uchun foydalidir elektron pochta ko'plab muxbirlardan. Ularning barchasi xabarlarni shifrlash uchun shifrlash dasturi va ochiq kalitdan foydalanishi mumkin, lekin faqat qabul qiluvchi shaxsiy kalit yordamida uni parolini hal qilishi mumkin.
Ushbu jarayon sxematik tarzda rasmda ko'rsatilgan:
Ochiq va shaxsiy kalitlardan foydalangan holda xabarni shifrlash va shifrini hal qilish
Xabarlarni shifrlashdan tashqari, ochiq kalit tizimlari xabarlarni yoki qabul qiluvchilardan keladigan boshqa ma'lumotlarni autentifikatsiya qilish vositasi sifatida ishlatilishi mumkin.
Yuqorida aytib o'tilganidek, ochiq kalit Internetdagi tegishli serverlarning istalgan soniga joylashtirilishi mumkin. Ushbu saytlar ochiq kalitlarni bepul saqlaydi va ma'lumotlar bazasi sifatida tashkil etilgan. Bunday serverlarni qidirish uchun qidiruv dasturiga kiring kalit ibora umumiy kalit serverlari(ommaviy kalit serverlari).
