Войти
В компьютерная безопасность, сервер ключей - это компьютер, который получает и затем передает существующие криптографические ключи пользователям или другим программам.. Программы пользователей могут работать в той же сети, что и сервер ключей, или на другом сетевом компьютере.
Ключи, распространяемые сервером ключей, почти всегда предоставляются как часть криптографически защищенного сертификата идентичности, содержащего не только ключ, но и «сущностную» информацию о владельце ключа. Сертификат обычно имеет стандартный формат, такой как формат открытого ключа OpenPGP, формат сертификата X.509 или формат PKCS. Кроме того, ключ почти всегда является открытым ключом для использования с алгоритмом асимметричного ключа шифрования.
Серверы ключей играют важную роль в криптографии с открытым ключом. В криптографии с открытым ключом человек может сгенерировать пару ключей , в которой один из ключей хранится в секрете, а другой распространяется публично. Знание открытого ключа не ставит под угрозу безопасность криптографии с открытым ключом. Лицо, владеющее открытым ключом пары ключей, может использовать этот ключ для выполнения криптографических операций, которые позволяют осуществлять секретную связь с надежной аутентификацией держателя соответствующего частного ключа. Необходимость иметь открытый ключ пары ключей для начала связи или проверки подписей является проблемой начальной загрузки. Поиск ключей в Интернете или обращение к человеку с просьбой передать свои открытые ключи может занять много времени и быть небезопасным. Серверы ключей действуют как центральные репозитории, чтобы уменьшить необходимость индивидуальной передачи открытых ключей, и могут выступать в качестве корня цепочки доверия.
Первый веб-сервер ключей PGP был написан для диссертации Марком Горовицем, когда он учился в MIT. Сервер ключей Горовица был назван HKP Keyserver в честь веб-протокола OpenPGP HTTP Keyserver Protocol (HKP), который он использовал, чтобы позволить людям взаимодействовать с сервером ключей. Пользователи могли выгружать, скачивать и искать ключи либо через HKP на TCP-порту 11371, либо через веб-страницы, на которых выполнялись сценарии CGI. До создания HKP Keyserver серверы ключей полагались на сценарии обработки электронной почты для взаимодействия.
Отдельный сервер ключей, известный как the, был разработан и использовался в качестве программного обеспечения (до версии 2.5.x для сервера) для сервера ключей по умолчанию в PGP до версии 8.x (для клиента программное обеспечение), keyserver.pgp.com. Network Associates был выдан патент в соавторстве с Джоном Калласом (патент США 6336186) на концепцию сервера ключей.
Чтобы заменить устаревший сервер сертификатов, сервер ключей на основе LDAP был переработан в Network Associates частично и Лен Сассаман, названный. С выпуском PGP 6.0 LDAP стал предпочтительным интерфейсом сервера ключей для версий PGP Network Associates. Этот сервер ключей LDAP и LDAPS (который также использовал HKP для обратной совместимости, хотя протокол (возможно, правильно) назывался «HTTP» или «HTTPS») также послужил основой для инструментов администрирования PGP для серверов закрытых ключей в корпоративных настройках. вместе со схемой для сервера каталогов Netscape. Позже он был заменен новым глобальным каталогом PGP Corporation.
Многие общедоступные серверы ключей, расположенные по всему миру, представляют собой компьютеры, которые хранят и предоставляют ключи OpenPGP через Интернет для пользователей этой криптосистемы. В этом случае компьютеры могут использоваться и в большинстве случаев используются отдельными лицами в качестве службы pro bono, облегчая использование модели сети доверия, которую использует PGP.
Несколько общедоступных серверов ключей S / MIME доступны для публикации или извлечения сертификатов, используемых с криптосистемой S / MIME.
Существует также несколько проприетарных систем инфраструктуры открытых ключей, которые поддерживают серверы ключей для своих пользователей; они могут быть частными или общедоступными, и только участвующие пользователи могут вообще знать об этих серверах ключей.
Для многих людей целью использования криптографии является получение более высокого уровня конфиденциальности в личных взаимодействиях и отношениях. Было отмечено, что разрешение загрузки открытого ключа на сервер ключей при использовании децентрализованной сети криптографических систем на основе доверия, таких как PGP, может раскрыть значительный объем информации, которую человек может пожелать сохранить в тайне. Поскольку PGP полагается на подписи на открытом ключе человека для определения подлинности этого ключа, потенциальные отношения могут быть выявлены путем анализа лиц, подписавших данный ключ. Таким образом могут быть разработаны модели целых социальных сетей.
Серверы ключей OpenPGP с момента их разработки в 1990-х годах страдали от нескольких проблем. После того, как открытый ключ был загружен, было намеренно затруднено его удаление, поскольку серверы автоматически синхронизируются между собой (это было сделано для борьбы с государственной цензурой). Некоторые пользователи прекращают использовать свои открытые ключи по разным причинам, например, когда они забывают свою парольную фразу, или если их закрытый ключ скомпрометирован или утерян. В этих случаях было сложно удалить открытый ключ с сервера, и даже если он был удален, кто-то другой может загрузить новую копию того же открытого ключа на сервер. Это приводит к накоплению старых ископаемых открытых ключей, которые никогда не исчезают, в форме «таблички на сервере ключей». Как следствие, любой может загрузить поддельный открытый ключ на сервер ключей, названный именем человека, который на самом деле не владеет этим ключом, или, что еще хуже, использовать его как уязвимость: атака рассылки спама сертификатов.
Сервер ключей не было возможности проверить, был ли ключ легитимным (принадлежит истинному владельцу).
Для решения этих проблем PGP Corp разработала новое поколение серверов ключей, названное PGP Global Directory. Этот сервер ключей отправил предполагаемому владельцу ключа электронное письмо с просьбой подтвердить, что данный ключ принадлежит им. Если они подтвердят это, глобальный каталог PGP принимает ключ. Его можно периодически обновлять, чтобы предотвратить накопление налета на сервере ключей. Результатом является более качественный сбор открытых ключей, и каждый ключ проверяется по электронной почте с очевидным владельцем ключа. Но, как следствие, возникает другая проблема: поскольку PGP Global Directory позволяет вести ключевую учетную запись и проверяет ее только по электронной почте, а не криптографически, любой, кто имеет доступ к учетной записи электронной почты, может, например, удалить ключ и загрузить поддельный.
Последний черновик IETF для HKP также определяет сеть распределенных серверов ключей на основе DNS записей SRV : чтобы найти ключ [email#160;protected], можно запросить его, запросив пример Ключевой сервер.com.
Это некоторые серверы ключей, которые часто используются для поиска ключей с помощью gpg --recv-keys. Их можно запросить через https: //(HTTPS ) или hkps: //(HKP поверх TLS ) соответственно.
