Опубликован: 19.01.2010 | Уровень: специалист | Доступ: свободно
Лекция 6:

Безопасность на прикладном уровне: PGP и S/MIME

Аннулирование ключей

Аннулирование ключей может стать необходимым для объекта, если надо отменить его или ее общедоступный ключ в кольце. Это может случиться, если владелец ключа чувствует, что ключ скомпрометирован (например, украден) или слишком старый, чтобы быть безопасным. Чтобы отменять ключ, владелец может передать сертификат аннулирования, подписанный им самим. Сертификат аннулирования должен быть подписан старым ключом и распространен всем людям в кольце, которые использовали общедоступный ключ.

Распаковка информации из колец

Как мы видели, передатчик и приемник каждый имеет два кольца ключей: один частный и один открытый. Давайте посмотрим, какая информация нужна для того, чтобы послать и получить сообщение, извлеченное из этих колец.

Сторона передатчика

Предположим, что Алиса посылает электронную почту Бобу. Алиса нуждается в пяти единицах информации: ключ ID открытого ключа, который она использует, ее секретный ключ, ключ сеанса, ID открытого ключа Боба и открытый ключ Боба. Для того чтобы получить эти пять единиц информации, Алиса должна передать PGP четыре единицы информации: ее пользовательский ID (для электронной почты ), ее фразу-пароль (последовательность нажатия клавиш с возможными паузами) и пользовательский ID Боба (см. рис. 6.10).

ID открытого ключа Алисы (полученный с сообщением) и ее секретный ключ (для подписи сообщения) хранятся в таблице кольца секретного ключа. Алиса выбирает пользовательский ID (user ID - ее адрес электронной почты ), который она хочет использовать как индекс к этому кольцу. PGP извлекает ключ ID и зашифрованный секретный ключ. PGP использует заранее заданный алгоритм дешифрования и ее хэширования, фразу-пароль (как ключ), чтобы расшифровать этот секретный ключ.

 Распаковка информации из колец на стороне передатчика

увеличить изображение
Рис. 6.10. Распаковка информации из колец на стороне передатчика

Алиса также нуждается в секретном ключе сеанса. Ключ сеанса в PGP - случайное число с размером, который определен в алгоритме шифрования/дешифрования. PGP использует генератор случайных чисел, чтобы создать случайный ключ сеанса; начальное число - множество произвольных нажатий клавиши, напечатанных Алисой на ее клавиатуре. Каждое нажатие клавиши преобразовано в 8 бит, а каждая пауза между нажатиями клавиши преобразована в 32 бита. Комбинация проходит сложный генератор случайных чисел, чтобы создать очень достоверное случайное число как ключ сеанса. Обратите внимание, что ключ сеанса в PGP - одноразовый случайный ключ (см. приложение K), используемый только один раз.

Алиса также нуждается в ID ключа Боба (чтобы послать его с сообщением) и в открытом ключе Боба (чтобы зашифровать ключ сеанса). Эти две части информации извлекаются из таблицы кольца открытых ключей, используя пользовательское ID Боба (его адрес электронной почты ).

Сторона приемника

На стороне приемника Бобу нужны три части информации: секретный ключ Боба (расшифровывает ключ сеанса), ключ сеанса (чтобы расшифровать данные) и ключ Алисы (чтобы проверить подпись) (см. рис. 6.11).

Боб использует ID своего открытого ключа, передаваемый Алисой, чтобы определить, что его соответствующий секретный ключ может расшифровать ключ сеанса. Эта часть информации может быть извлечена из таблицы кольца секретного ключа Боба. Секретный ключ, однако, зашифрован при записи в память. Боб должен использовать фразу-пароль и хэш-функцию, чтобы расшифровать ключ.

Зашифрованный ключ сеанса передали с сообщением; Боб применяет свой расшифрованный секретный ключ, чтобы расшифровать ключ сеанса.

Боб использует ID ключа Алисы, переданный с сообщением, чтобы извлечь открытый ключ Алисы, который хранится в таблице кольца открытого ключа Боба.

 Распаковка информации из колец на стороне приема

увеличить изображение
Рис. 6.11. Распаковка информации из колец на стороне приема
Евгений Виноградов
Евгений Виноградов
Экстернат
Илья Сидоркин
Илья Сидоркин
Как получить диплом?
Анатолий Гречман
Анатолий Гречман
Казахстан, Экибастуз, Экибастузский Инженерно-технический Институт, 2014