IRCERT - کليدها در رمزنگاري

صفحه اول > مقالات

کليدها در رمزنگاري

با روشن شدن اهميت وجود کليدها در امنيت داده‌ها، اکنون بايد به انواع کليدهاي موجود و مکان مناسب براي استفاده هر نوع کليد توجه کنيم.

۱- کليدهاي محرمانه (Secret keys)

الگوريتمهاي متقارن مانند DES از کليدهاي محرمانه استفاده مي‌کنند؛ کليد بايد توسط دو طرف تراکنش منتقل و ذخيره شود. چون فرض بر اين است که الگوريتم شناخته شده و معلوم است، اين قضيه اهميت امن بودن انتقال و ذخيره کليد را مشخص مي‌سازد. کارتهاي هوشمند معمولا براي ذخيره کليدهاي محرمانه استفاده مي‌شوند. در اين حالت تضمين اينکه قلمرو کليد محدود است، مهم است: بايد هميشه فرض کنيم که يک کارت ممکن است با موفقيت توسط افراد غيرمجاز تحليل گردد، و به اين ترتيب کل سيستم نبايد در مخاطره قرار گيرد.

۲- کليدهاي عمومي و اختصاصي (Public and private keys)

امتياز اصلي و مهم سيستمهاي کليد نامتقارن اين است که آنها اجازه مي‌دهند که يک کليد (کليد اختصاصي) با امنيت بسيار بالا توسط توليد کننده آن نگهداري شود در حاليکه کليد ديگر (کليد عمومي)مي‌تواند منتشر شود. کليدهاي عمومي مي‌توانند همراه پيامها فرستاده شوند يا در فهرستها ليست شوند (شروط و قوانيني براي کليدهاي عمومي در طرح فهرست پيام‌رساني الکترونيکي ITU X.500 وجود دارد)، و از يک شخص به شخص بعدي داده شوند. مکانيسم توزيع کليدهاي عمومي مي‌تواند رسمي (يک مرکز توزيع کليد) يا غيررسمي باشد.

محرمانگي کليد اختصاصي در چنين سيستمي مهمترين مساله است؛ بايد توسط ابزار منطقي و فيزيکي در کامپيوتري که ذخيره شده، محافظت گردد. کليدهاي اختصاصي نبايد هرگز بصورت رمزنشده در يک سيستم کامپيوتر معمولي يا بشکلي که توسط انسان قابل خواندن باشد، ذخيره شوند. در اينجا نيز کارت هوشمند براي ذخيره کليدهاي اختصاصي يک فرد قابل استفاده است، اما کليدهاي اختصاصي سازمانهاي بزرگ معمولا نبايد در يک کارت ذخيره شود.

۳- کليدهاي اصلي و کليدهاي مشتق‌شده (Master keys and derived keys)

يک روش کاستن از تعداد کليدهايي که بايد منتقل و ذخيره شوند، مشتق گرفتن از آنهاست هر زماني که استفاده مي‌شوند. در يک برنامه اشتقاق کليد، يک کليد اصلي همراه با چند پارامتر مجزا براي محاسبه کليد مشتق‌شده استفاده مي‌شود که بعدا براي رمزنگاري استفاده مي‌گردد. براي مثال، اگر يک صادرکننده با تعداد زيادي کارت سروکار دارد، مي‌تواند براي هر کارت، با استفاده از کليد اصلي، شماره کارت را رمز کند و به اين ترتيب کليد مشتق‌شده حاصل مي‌شود و به آن کارت اختصاص داده مي‌شود.

شکل ديگري از کليدهاي مشتق‌شده با استفاده از tokenها که محاسبه‌گرهاي الکترونيکي با عملکردهاي بخصوص هستند، محاسبه مي‌شوند. آنها ممکن است بعنوان ورودي از يک مقدار گرفته شده از سيستم مرکزي، يک PIN وارد شده توسط کاربر و تاريخ و زمان استفاده کنند. خود token شامل الگوريتم و يک کليد اصلي است. چنيني tokenهايي اغلب براي دسترسي به سيستمهاي کامپيوتري امن استفاده مي‌شوند.

۴- کليدهاي رمزکننده‌کليد (Key-encrypting keys)

از آنجا که ارسال کليد يک نقطه ضعف از نظر امنيتي در يک سيستم بشمار مي‌رود، رمزکردن کليدها هنگام ارسال و ذخيره آنها بشکل رمزشده منطقي بنظر مي‌رسد. کليدهاي رمزکننده کليد هرگز به خارج از يک سيستم کامپيوتري (يا کارت هوشمند) ارسال نمي‌شوند و بنابراين مي‌توانند آسانتر محافظت شوند تا آنهايي که ارسال مي‌شوند. اغلب الگوريتم متفاوتي براي تبادل کليدها از آنچه که براي رمزکردن پيامها استفاده مي‌شود، مورد استفاده قرار مي‌گيرد.

از مفهوم دامنه کليد (key domain) براي محدود کردن ميدان کليدها و محافظت کردن کليدها در دامنه‌شان استفاده مي‌کنيم. معمولا يک دامنه، يک سيستم کامپيوتري خواهد بود که مي‌تواند بصورت فيزيکي و منطقي محافظت گردد. کليدهاي استفاده شده در يک دامنه توسط يک کليد رمزکننده‌کليد محلي ذخيره مي‌شوند.هنگامي که کليدها مي‌خواهند به يک سيستم کامپيوتري ديگر فرستاده شوند، رمزگشايي و تحت يک کليد جديد رمز مي‌شوند که اغلب بعنوان کليد کنترل ناحيه (zone control key) شناخته مي‌شوند. با دريافت اين کليدها در طرف ديگر، تحت کليد محلي سيستم جديد رمز مي‌شوند. بنابراين کليدهايي که در دامنه‌هاي يک ناحيه قرار دارند از دامنه‌اي به دامنه ديگر بصورتي که بيان گرديد منتقل مي‌شوند.

۵- کليدهاي نشست (Session keys)

براي محدودکردن مدت زماني که کليدها معتبر هستند، اغلب يک کليد جديد براي هر نشست يا هر تراکنش توليد مي‌شود. اين کليد ممکن است يک عدد تصادفي توليد شده توسط ترمينالي باشد که در مرحله تصديق کارت قرار دارد باشد. اگر کارت قادر به رمزگشايي روش کليد عمومي باشد، يعني کليد نشست مي‌تواند با استفاده از کليد عمومي کارت رمز شود.

بخشي از تراکنش که در آن کليد منتقل مي‌شود اغلب در مقايسه با بقيه تراکنش کوتاهتر است؛ بنابراين بار اضافي اين بخش نسبت به کل تراکنش قابل صرفنظر است. چنانچه بقيه تراکنش بسبب استفاده از کليد متقارن با بالاسري کمتري رمز شود، زمان پردازش براي فاز تاييد هويت و انتقال کليد قابل پذيرش است. (توضيح اينکه روشهاي رمز متقارن از نامتقارن بمراتب سريعتر هستند بنابراين مي‌توان ابتدا يک کليد متقارن را با استفاده از روش نامتقارن انتقال داد و سپس از آن کليد متقارن براي انجام بقيه تراکنش استفاده کرد.)

شکل خاصي از کليد نشست، سيستم انتقال کليد است که در برخي سيستمهاي پرداخت الکترونيک و مبادله ديتاي الکترونيک استفاده مي‌شود. بدين صورت که در پايان هر تراکنش، يک کليد جديد منتقل مي‌شود و اين کليد براي تراکنش بعدي مورد استفاده قرار مي‌گيرد.