KMIP

Shared Key Management Protocol (KMIP)  je komunikační protokol, který definuje formáty zpráv pro manipulaci s kryptografickými klíči na serveru. Klíče lze vytvořit na serveru a poté je obnovit z jiných zabezpečených klíčů. Podporovány jsou symetrické i asymetrické klíče. KMIP také definuje zprávy, které lze použít k provádění kryptografických akcí na serveru, jako je šifrování a dešifrování. [jeden]

KMIP je otevřený protokol, který má podporu mnoha významných technologických společností, jako jsou: Hewlett-Packard , Brocade Systems Communications, Inc., Cisco Systems, Inc. *, IBM a Oracle Corporation . [2] KMIP je systém správy, který řídí zpracování šifrovaných dat a také přístup k zašifrovaným datům. [3]

Úvod [4]

Protokol Key Relationship Management Protocol je určen pro použití v systémech se šifrovanými klíči. KMIP je relativně nový protokol vytvořený skupinou OASIS a navržený v únoru 2009. Cílem OASIS  je nahradit stávající podnikovou správu systémy s KMIP.

Historie [5]

OASIS KMIP 1.0

— veřejná diskuse listopad 2009;

— technická specifikace leden 2010;

— Standard OASIS z října 2010.

OASIS KMIP 1.1

— veřejná diskuse leden 2012;

— technická specifikace červenec 2012;

— Standard OASIS leden 2013.

OASIS KMIP 1.2

— veřejná diskuse leden 2014;

— technická specifikace listopad 2014;

— Standard OASIS z května 2015.

Implementace [6]

KMIP se skládá ze 3 částí:

• Objekty.
• Operace.
• atributy.

Servery musí pro své komunikační účely používat protokoly SSL nebo TLS , doporučuje se také HTTPS . SSL 2.0 má známé bezpečnostní problémy a všechny nejnovější protokoly HTTP/S . Proto tento profil zakazuje použití SSL 2.0 a doporučuje SSL 3.1 nebo TLS 1.0. KMIP doporučuje některé šifry. Požadované šifry jsou uvedeny níže:

• TLS umožňuje použití TLS_RSA_WITH_AES_128_CBC_SHA
• SSL umožňuje použití SSL_RSA_WITH_AES_128_CBC_SHA

Popis

Server KMIP ukládá a spravuje spravované objekty, jako jsou symetrické a asymetrické klíče, certifikáty a uživatelem definované objekty. Klient pak používá protokol pro přístup k těmto objektům. Servery aplikují techniky zabezpečení na spravované objekty. Operace mohou vytvářet, vyhledávat, načítat a aktualizovat spravované entity. [7]

Atributy [4]

Každý spravovaný objekt má neměnnou hodnotu, jako je blok klíče, který obsahuje kryptografický klíč. Obsahuje také neperzistentní atributy, které lze použít k ukládání metadat o klíčích. Některé atributy jsou odvozeny přímo z hodnoty, jako je kryptografický algoritmus a délka klíče. Další atributy jsou definovány ve specifikaci pro správu objektů, jako je například specializovaný identifikátor, který je obvykle odvozen z identity pásky. Existují atributy, které jsou vyžadovány pro každý objekt nebo pro konkrétní objekty, zatímco jiné jsou volitelné. Další identifikátory požadované aplikací mohou být definovány serverem nebo klientem. Kromě toho lze vytvářet šablony, které umožňují správci systému kombinovat atributy často používaných procesů.

Objekty

Každý objekt je identifikován jedinečným a neměnným identifikátorem objektu, který generuje server a používá se k načtení hodnot objektu. Spravovaným objektům lze také přidělit mnoho netrvalých, ale globálně jedinečných atributů názvu, které lze použít k vyhledání objektů. [čtyři]

[8] Mezi typy spravovaných entit, které KMIP kontroluje, patří:

• symetrické klíče.
• Veřejné a soukromé klíče.
• Certifikáty a klíče PGP.
• Separační klíče.
• Tajná data (hesla).
• Neprůhledná data pro klienta a server definovaná rozšířeními.

Operace

Operace se liší podle toho, kdo je inicioval. Většina z nich jsou operace typu „klient-server“. Kromě toho existují operace server-klient. [čtyři]

[8] Operace KMIP zahrnují

• Vytvořit – Vytvoří nový spravovaný objekt, například symetrický klíč, a vrátí identifikátor.
• Get - získání hodnoty objektu podle jeho jedinečného identifikátoru.
• Registrace je uložení externě generované hodnoty klíče.
• Přidávání, získávání a úprava atributů – Správa atributů spravovaných objektů.
• Umístění – získáte seznam objektů na základě spojení predikátů.
• Změna klíče – Vytvořte nový klíč, který může nahradit stávající klíč.
• Generování páru klíčů - generování asymetrických klíčů.
• (Re-)certifikace - potvrzení certifikátu.
• Rozdělení a spojení n z m klíčů.
• Šifrování, dešifrování, MAC atd. jsou kryptografické operace prováděné na serveru pro správu klíčů.
• Operace, které implementují životní cyklus klíče NIST.

Každý klíč má kryptografický stav, jako je počáteční, aktivní, pasivní. Provoz zajišťuje řízení stavu v souladu s pokyny pro životní cyklus NIST. Zaznamenávají se data každé konverze, například datum aktivace klíče. Data lze definovat v budoucnosti, takže klíč bude automaticky nedostupný pro zadané operace, jakmile vyprší jejich platnost. [čtyři]

Formát zprávy

Zpráva se vždy skládá z hlavičky následované jedním nebo více objekty balíčku a volitelnými rozšířeními zprávy. Hlavička rozlišuje dva typy zpráv: žádost a odpověď. Existují data, která závisí na typu. Dávkové objekty označují požadovanou operaci a zahrnují všechny atributy potřebné k tomu. [čtyři]

Kódování zprávy

KMIP je síťový protokol, nikoli rozhraní pro programování aplikací. Jedná se o binární formát skládající se z vnořené struktury tagu, typu, délky a hodnoty (TTLV). [9]

Výhody protokolu [4]

KMIP má oproti stávajícím návrhům mnoho výhod. První výhodou je možnost zjednodušit stávající projekt a zbavit se složitosti a nadbytečnosti.

Návrh KMIP řeší problémy komunikačních protokolů a pomáhá společnostem neinvestovat mnoho peněz do své infrastruktury. Existuje tedy způsob, jak mezi sebou komunikovat všechny protokoly a také propojení mezi systémy. Toto provedení eliminuje jediné selhání systému díky schopnosti vzájemné komunikace. Pokud tedy jeden systém selže, můžete bezpečně přistupovat k šifrovaným datům.

A konečně, protokol KMIP se vyhýbá redundanci současného návrhu a zjednodušuje jej. To snižuje náklady na investice do systému správy klíčů, protože není nutné přizpůsobovat protokoly pro každou službu. Když je složitost systému menší, je snadnější jej udržovat. Vyžaduje méně investic, aby fungoval.

Poznámky

1. ↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OASIS . www.oasis-open.org. Získáno 17. prosince 2016. Archivováno z originálu 24. května 2018. (neurčitý)
2. ↑ Členové | OASIS . www.oasis-open.org. Získáno 25. listopadu 2016. Archivováno z originálu 19. dubna 2018. (neurčitý)
3. ↑ Archivovaná kopie . Získáno 18. října 2016. Archivováno z originálu 19. února 2018. (neurčitý)
4. ↑ 1 2 3 4 5 6 7 Key Management Interoperability Protocol od Derricka Ericksona (odkaz není k dispozici) . Datum přístupu: 16. prosince 2016. Archivováno z originálu 21. prosince 2016. (neurčitý) 
5. ↑ SNIA | Pokrok v ukládání a informačních technologiích . www.snia.org. Získáno 22. listopadu 2016. Archivováno z originálu 3. dubna 2018. (neurčitý)
6. ↑ Archivovaná kopie . Získáno 18. října 2016. Archivováno z originálu 21. září 2018. (neurčitý)
7. ↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OASIS . www.oasis-open.org. Získáno 22. listopadu 2016. Archivováno z originálu 24. května 2018. (neurčitý)
8. ↑ 1 2 Key Management Interoperability Protocol   // Wikipedie . — 2016-11-17.
9. ↑ Soubor:KMIP Nachricht nach TTLV codiert.png - Wikimedia Commons

Odkazy

1. "OASIS Key Management Interoperability Protocol (KMIP) TC" OASIS
2. "Specifikace protokolu interoperability správy klíčů verze 1.0"
3. „Protokol interoperability správy klíčů (KMIP) řešící potřebu standardizace v podnikové správě klíčů“ 20. května 2009.
4. "Key Management Interoperability Protocol Usage Guide" únor. 10, 2009.
5. "Případy použití protokolu interoperability správy klíčů - verze návrhu 0.98" 10. února 2009.
6. "Zpráva KMIP" 24. května 2012.
7. http://www.snia.org/events/dsicon/presentations2016