Z hlediska bezpečnosti informací je server s kryptografickými klíči hostitelem určeným pro ukládání a přenos uživatelům, stejně jako další servery s kryptografickými kryptografickými klíči .
Klíče distribuované tímto typem serveru se nejčastěji používají jako součást digitálního certifikátu obsahujícího nejen samotný klíč, ale také informace o vlastníkovi klíče. Zpravidla se v tomto případě používá certifikát jednoho z běžných standardů: OpenPGP , X.509 nebo PKCS . Kromě toho jsou tyto klíče obvykle veřejnými klíči pro použití v šifrovacích algoritmech veřejného klíče .
Vytvoření tohoto typu serverů bylo vyžadováno po vzniku kryptosystémů s veřejným klíčem , ve kterých uživatel vytváří pár klíčů: soukromý a veřejný. Kromě toho musí být veřejný klíč, jak název napovídá, zpřístupněn veřejnosti pro použití v kryptografických operacích při ověřování EDS a šifrování zprávy. Hledání správného klíče na internetu nebo žádosti o osobní zaslání tohoto klíče osobě, se kterou chcete soukromě komunikovat, může zabrat spoustu času. Kromě toho můžete obdržet zastaralý nebo neplatný klíč. Server kryptografických klíčů v tomto případě funguje jako centralizované úložiště klíčů, které minimalizuje potřebu individuálního požadavku na klíče a také se stává jedním ze strukturálních prvků řetězce důvěry .
První webový klíčový server PGP popsal a vytvořil Mark Horowitz jako výsledek psaní disertační práce během studia na Massachusetts Institute of Technology . Tento server byl pojmenován "HKP" podle názvu protokolu vyvinutého pro něj (OpenPGP HTTP Keyserver Protocol). Uživatelé mohou přijímat, stahovat klíče a také hledat klíče na serveru pomocí tohoto protokolu přes port 11371 nebo ručně prostřednictvím prohlížeče spuštěním CGI skriptů. Před vytvořením HKP byly klíčové servery spravovány pomocí e-mailového příkazového ovladače .
Nezávislý klíčový server známý jako PGP Certificate Server byl vyvinut společností PGP, Inc. a je k dispozici jako aplikace (od verze 2.5.x jako serverová aplikace) pro implementace funkcí keyserveru PGP od verze 8.x (klientské programy) [1] . 1. ledna 2002 vydala společnost Network Associates Technology Corporation patent (patent Spojených států 6336186) [2] na koncept klíčového serveru.
Aby nahradili zastarávající certifikační server, představili Network Associates server klíčů LDAP s názvem PGP Keyserver 7.0. Od vydání PGP 6.0 se tato implementace klíčového serveru stala základním rozhraním pro použití v implementacích PGP společnosti Network Associates. Klíčové servery LDAP a LDAPS (s podporou HKP pro zpětnou kompatibilitu) se také staly základem pro nástroje PGP Administration, které byly použity k vybudování podnikového soukromého serveru klíčů podle schématu Netscape Directory Server . Později byl tento systém nahrazen globálním adresářem společnosti PGP Corporation .
Existuje mnoho veřejně dostupných serverů klíčů distribuovaných po celém světě, které vám umožňují ukládat a přenášet klíče OpenPGP přes internet. Tyto servery jsou z velké části spravovány soukromými osobami podle konceptu pro bono , čímž se implementuje model použití PGP web of trust .
Několik veřejně dostupných serverů klíčů S/MIME [3] vám také umožňuje přidávat nebo odebírat klíče používané v kryptosystémech S/MIME .
Kromě výše uvedeného existuje mnoho proprietárních infrastruktur veřejných klíčů , které zahrnují klíčový server, který může být buď veřejně dostupný, nebo soukromý a slouží pouze uživatelům jeho systému.
OpenPGP keyservery vyvinuté v 90. letech čelily řadě problémů s používáním. Jakmile je veřejný klíč nahrán na server, je velmi obtížné jej odstranit. Někteří uživatelé z různých důvodů (například ztráta nebo krádež spárovaného soukromého klíče) přestali používat své veřejné klíče. V tomto případě bylo dost obtížné odstranit veřejný klíč, a i když byl odstraněn, nic nebránilo útočníkovi nahrát kopii klíče na server znovu. V takové situaci se na serveru nahromadilo velké množství starých nepotřebných veřejných klíčů, takzvaných "aterosklerotických plaků" serveru klíčů.
Dalším problémem bylo, že kdokoli mohl na server nahrát fiktivní veřejný klíč spojený s osobou, která není vlastníkem tohoto klíče. V takových serverech klíčů neexistuje způsob, jak ověřit legitimitu klíče.
K řešení těchto problémů vyvinula společnost PGP Corporation novou generaci serverů s kryptografickými klíči nazvanou PGP Global Directory [1] . Na takových serverech byl při přidávání veřejného klíče odeslán požadavek na e-mail zamýšleného vlastníka, aby potvrdil vlastnictví načítaného klíče. Pokud bylo přijato potvrzení, klíč byl serverem přijat jako legitimní. Aby se také zabránilo tomu, že se klíč změní na fiktivní "plaketu", mohl být takový požadavek pravidelně zasílán znovu. Díky tomu byl seznam klíčů na serveru aktualizován a v případě potřeby bylo vždy možné ověřit oprávněnost klíče žádostí majitele e-mailem. Bohužel skutečnost, že kontrola legitimity probíhala bez použití kryptografických metod na běžném e-mailu, vedla k tomu, že kdokoli s přístupem k e-mailovému účtu mohl například klíč odebrat nebo přidat fiktivní .
Nejnovější návrh IETF pro HKP popisoval distribuovanou síť serverů kryptografických klíčů založených na záznamech DNS SRV : při hledání klíče pro ně[email protected] lze odeslat dotaz na server klíčů example.com.
Níže je uvedeno několik klíčových serverů, které se nejčastěji používají k získání klíče pomocí příkazu "gpg --recv-key"
Symetrické kryptosystémy | |
---|---|
Streamové šifry | |
Síť Feistel | |
Síť SP | |
jiný |
Hashovací funkce | |
---|---|
obecný účel | |
Kryptografický | |
Funkce generování klíčů | |
Kontrolní číslo ( srovnání ) | |
Hashe |
|