Перейти до вмісту

KMIP

Матеріал з Вікіпедії — вільної енциклопедії.

Протокол керування спільними ключами (KMIP) — протокол зв'язку, який визначає формати повідомлення для маніпуляції криптографічними ключами на сервері. Ключі можуть створюватися на сервері, а потім відновлюватися за іншими захищеним ключем. Підтримуються як симетричні, так і асиметричні ключі. KMIP також визначає повідомлення, які можуть бути використані, щоб виконувати криптографічні дії над сервером як наприклад, кодування і розшифрування.[1]

KMIP є відкритим протоколом, який має підтримку з боку багатьох великих технологічних компаній, таких як: Hewlett-Packard, Brocade Communications Systems, Inc., Cisco Systems, Inc. *, IBM і Oracle Corporation.[2] KMIP — це система управління, яка контролює обробку зашифрованих даних, а також доступ до зашифрованих даних.[3]

Введення

[ред. | ред. код]

Протокол управління взаємодією ключів призначений для використання в системах з зашифрованими ключами. KMIP являє собою відносно новий протокол, створений групою OASIS і запропонований в лютому 2009. Мета OASIS — замінити існуючі системи управління  на системи з KMIP.

Історія[4]

[ред. | ред. код]

OASIS KMIP 1.0

— публічне обговорення листопад 2009;

— технічна специфікація січень 2010;

— стандарт OASIS жовтень 2010.

OASIS KMIP 1.1

— публічне обговорення січень 2012;

— технічна специфікація липень 2012;

— стандарт OASIS січень 2013.

OASIS KMIP 1.2

— публічне обговорення січень 2014;

— технічна специфікація листопад 2014;

— стандарт OASIS травень 2015.

Реалізація[5]

[ред. | ред. код]

КМІР складається з 3 розділів:

  • Об'єкти.
  • Операції.
  • Атрибути.

Сервери повинні використовувати SSL або TLS протоколи для своїх цілей зв'язку, рекомендується також HTTPS . SSL 2.0 має відомі проблеми безпеки і всі останні протоколи HTTP/S . Тому цей профіль забороняє використання SSL 2.0 і рекомендує SSL 3.1 або TLS 1.0. KMIP рекомендує деякі шифри. Нижче перераховані обов'язкові шифри:

  • TLS допускає використання TLS_RSA_WITH_AES_128_CBC_SHA
  • SSL допускає використання SSL_RSA_WITH_AES_128_CBC_SHA

Сервер KMIP зберігає і контролює керовані об'єкти, такі як ключі -симетричні і асиметричні, сертифікати і визначені користувачем об'єкти. Потім клієнт використовує протокол, щоб отримати доступ до цих об'єктів. Сервери використовують техніку безпеки до керованих об'єктів. Операції можуть створювати, визначати місце розташування, отримувати та оновлювати керовані об'єкти.[6]

Атрибути[7]

У кожного керованого об'єкта є незмінне значення, як ключовий блок, який містить криптографічний ключ. Він також містить непостійні атрибути, які можуть використовуватися, щоб зберігати метадані про ключі. Деякі атрибути отримані безпосередньо із значення, наприклад, криптографічний алгоритм і довжина ключа. Інші атрибути визначені в специфікації для управління об'єктами, такі як спеціалізований ідентифікатор, який зазвичай виходить з ідентифікаційних даних стрічки. Існують атрибути, які є обов'язковими для кожного об'єкта або для конкретних об'єктів, у той час як інші не є обов'язковими. Додаткові ідентифікатори, необхідні додатку, можуть бути визначені сервером, або клієнтом. Крім того, можна створювати шаблони, які дозволяють адміністратору системи об'єднувати атрибути часто використовуваних процесів.

Об'єкти

Кожен об'єкт ідентифікований унікальним і незмінним ідентифікатором об'єкта, який згенерований сервером і використовується, щоб отримати об'єктні значення. Керованим об'єктам можна також дати багато непостійних, але глобально унікальних атрибутів імені, які можуть використовуватися для визначення місця розташування об'єктів.

[8]Типи керованих об'єктів, які контролює KMIP, включають:

  • Симетричні ключі.
  • Відкриті і закриті ключі.
  • Сертифікати ключів PGP.
  • Ключі поділу.
  • Секретні дані (паролі).
  • Непрозорі дані для клієнта і сервера визначені розширеннями.

Операції

Операції відрізняються за ознакою — ким вони ініційовані. Більшість з них є операціями «Клієнт-сервер» . Крім того, існують операції «Сервер-клієнт».

Операції, передбачені KMIP, включають

  • Створення — створення нового керованого об'єкта, наприклад, симетричний ключ, і повернення ідентифікатора.
  • Отримання — отримання значення об'єкта за його унікальним ідентифікатором.
  • Реєстрація — зберігання зовні згенерованого значення ключа.
  • Додавання, отримання і зміна атрибутів — контроль атрибутів керованого об'єкта.
  • Розташування — отримання списку об'єктів на основі з'єднання предикатів.
  • Зміна ключа — створення нового ключа, який може замінити існуючий ключ.
  • Створення пари ключів — створення асиметричних ключів.
  • (Пере-) сертифікація — підтвердження сертифікату.
  • Поділ і з'єднання n з m ключів.
  • Шифрування, дешифрування, MAC і т. д. — криптографічні операції, що виконуються на сервері керування ключами.
  • Операції які реалізовують життєвий цикл ключа NIST.

У кожного ключа є криптографічний стан такий як початковий, активний, пасивний. Операції надають управління станом у відповідності з інструкціями по життєвому циклу NIST. Дані кожного перетворення реєструються, наприклад, дата активації ключа. Дати можуть бути визначені в майбутньому так, щоб ключ автоматично став недоступним вказаними операціями, як тільки вони спливуть.

Формат повідомлення

[ред. | ред. код]

Повідомлення завжди складається з заголовка, за яким випливає одна чи більш пакетних об'єктів і додаткових розширень повідомлень. Заголовок розрізняє два типи повідомлень: запит і відповідь. Існують дані, що залежать від типу. Пакетні об'єкти вказують необхідну операцію і включають в себе всі атрибути, необхідні для цього.

Кодування повідомлення

[ред. | ред. код]

KMIP — мережевий протокол, а не прикладний програмний інтерфейс. Він являє собою двійковий формат, який складається з вкладеного тегу, типу, довжини і значення (TTLV) структури. [9]

Малюнок 1. KMIP TTLV

Переваги протоколу

[ред. | ред. код]

KMIP має багато переваг у порівнянні з існуючими конструкціями. Перша перевага — це можливість спростити поточний проект і позбутися від складнощів і надлишковостей.

Конструкція KMIP виправляє проблеми протоколів зв'язку, допомагаючи компаніям не вкладати велику кількість грошей в свою інфраструктуру. Таким чином, виникає спосіб зв'язку для всіх протоколів один з одним, так само відбувається взаємозв'язок між системами. Така конструкція усуває єдину відмову системи завдяки здатності взаємного спілкування. Таким чином, якщо одна система виходить з ладу, то можна спокійно отримати доступ до зашифрованих даних.

І нарешті, протокол KMIP уникає надмірності поточного дизайну і спрощує його. Це дозволяє знизити вартість інвестицій в систему управління ключами, так як немає ніякої необхідності адаптувати протоколи для кожної послуги. Коли складність системи менше, її легше підтримувати. Їй потрібно менших інвестицій, щоб зберегти працездатність.

Примітки

[ред. | ред. код]
  1. OASIS Key Management Interoperability Protocol (KMIP) TC | OASIS. www.oasis-open.org. Архів оригіналу за 24 травня 2018. Процитовано 17 грудня 2016.
  2. Members | OASIS. www.oasis-open.org. Архів оригіналу за 19 квітня 2018. Процитовано 25 листопада 2016.
  3. Архівована копія (PDF). Архів оригіналу (PDF) за 19 лютого 2018. Процитовано 17 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  4. SNIA | Advancing Storage and Information Technology. www.snia.org. Архів оригіналу за 3 квітня 2018. Процитовано 22 листопада 2016.
  5. Архівована копія (PDF). Архів оригіналу (PDF) за 21 вересня 2018. Процитовано 17 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  6. OASIS Key Management Interoperability Protocol (KMIP) TC | OASIS. www.oasis-open.org. Архів оригіналу за 24 травня 2018. Процитовано 22 листопада 2016.
  7. Key Management Interoperability Protocol by Derrick Erickson. Архів оригіналу за 21 грудня 2016. Процитовано 17 квітня 2018. [Архівовано 2016-12-21 у Wayback Machine.]
  8. .
  9. File:KMIP Nachricht nach TTLV codiert.png — Wikimedia Commons

Посилання

[ред. | ред. код]
  1. «OASIS Key Management Interoperability Protocol (KMIP) TC» OASIS [Архівовано 12 липня 2017 у Wayback Machine.]
  2. «Key Management Interoperability Protocol Specification Version 1.0» [Архівовано 2 травня 2018 у Wayback Machine.]
  3. «Key Management Interoperability Protocol (KMIP) Addressing the Need for Standardization in Key Enterprise Management» [Архівовано 19 лютого 2018 у Wayback Machine.] Май 20, 2009.
  4. «Key Management Interoperability Protocol Usage Guide» [Архівовано 21 вересня 2018 у Wayback Machine.] Лютий. 10, 2009.
  5. «Key Management Interoperability Protocol Use Cases — Draft version 0.98» [Архівовано 23 січня 2022 у Wayback Machine.] Лютий 10, 2009.
  6. «KMIP message» [Архівовано 30 березня 2018 у Wayback Machine.] Травень 24, 2012.
  7. http://www.snia.org/events/dsicon/presentations2016 [Архівовано 30 березня 2018 у Wayback Machine.]