KMIP
Протокол совместным управлением ключами (KMIP) — протокол связи, который определяет форматы сообщений для манипулирования криптографическими ключами на сервере. Ключи могут создаваться на сервере, а затем восстанавливаться по другими защищенным ключам. Поддерживаются как симметричные, так и асимметричные ключи. KMIP также определяет сообщения, которые могут быть использованы, чтобы выполнять криптографические действия над сервером как например, кодирование и расшифрование.[1]
KMIP является открытым протоколом, который имеет поддержку со стороны многих крупных технологических компаний, таких как: Hewlett-Packard, Brocade Systems Communications, Inc., Cisco Systems, Inc. *, IBM и Oracle Corporation.[2] KMIP — это система управления, контролирующая обработку зашифрованных данных, а также доступ к зашифрованным данным.[3]
Введение[4]
[править | править код]Протокол управления взаимодействием ключей предназначен для использования в системах с зашифрованными ключами. KMIP представляет собой относительно новый протокол, созданный группой OASIS и предложенный в феврале 2009. Цель OASIS — заменить существующее управление предприятия на системы с KMIP.
История[5]
[править | править код]OASIS KMIP 1.0
— публичное обсуждение ноябрь 2009;
— техническая спецификация январь 2010;
— стандарт OASIS октябрь 2010.
OASIS KMIP 1.1
— публичное обсуждение январь 2012;
— техническая спецификация июль 2012;
— стандарт OASIS январь 2013.
OASIS KMIP 1.2
— публичное обсуждение январь 2014;
— техническая спецификация ноябрь 2014;
— стандарт OASIS май 2015.
Реализация[6]
[править | править код]КMIP состоит из 3 разделов:
- Объекты.
- Операции.
- Атрибуты.
Серверы должны использовать либо SSL или TLS протоколы для своих целей связи, рекомендуется также HTTPS . SSL 2.0 имеет известные проблемы безопасности и все последние протоколы HTTP/S . Поэтому этот профиль запрещает использование SSL 2.0 и рекомендует SSL 3.1 или TLS 1.0. KMIP рекомендует некоторых шифры. Ниже перечислены обязательные шифры:
- TLS допускает использование TLS_RSA_WITH_AES_128_CBC_SHA
- SSL допускает использование SSL_RSA_WITH_AES_128_CBC_SHA
Описание
[править | править код]Сервер KMIP хранит и контролирует управляемые объекты, такие как ключи -симметричные и асимметричные, сертификаты и определяемые пользователем объекты. Клиент затем использует протокол, чтобы получить доступ к этим объектам. Серверы используют технику безопасности к управляемым объектам. Операции могут создавать, определять местоположение, получать и обновлять управляемые объекты.[7]
Атрибуты[4]
У каждого управляемого объекта есть неизменное значение, как ключевой блок, который содержит криптографический ключ. Он также содержит непостоянные атрибуты, которые могут использоваться, чтобы сохранять метаданные о ключах. Некоторые атрибуты получены непосредственно из значения, например, криптографический алгоритм и длина ключа. Другие атрибуты определены в спецификации для управления объектами, такие как специализированный идентификатор, который обычно получается из идентификационных данных ленты. Существуют атрибуты, которые являются обязательными для каждого объекта или для конкретных объектов, в то время как другие не являются обязательными. Дополнительные идентификаторы, необходимые приложению, могут быть определены сервером или клиентом. Кроме того, могут создаваться шаблоны, которые позволяют администратору системы объединять атрибуты часто используемых процессов.
Объекты
Каждый объект идентифицирован уникальным и неизменным идентификатором объекта, который сгенерирован сервером и используется, чтобы получить объектные значения. Управляемым объектам можно также дать много непостоянных, но глобально уникальных атрибутов имени, которые могут использоваться для определения местоположения объектов.[4]
[8]Типы управляемых объектов, которые контролирует KMIP, включают:
- Симметричные ключи.
- Открытые и закрытые ключи.
- Сертификаты и ключи PGP.
- Ключи разделения.
- Секретные данные (пароли).
- Непрозрачные данные для клиента и сервера определённые расширениями.
Операции
Операции отличаются по признаку — кем они инициированы. Большинство из них являются операциями «Клиент-сервер» . Кроме того, существуют операции «Сервер-клиент».[4]
[8]Операции, предусмотренные KMIP, включают
- Создание — создание нового управляемого объекта, например, симметричный ключ, и возврат идентификатора.
- Получение — получение значения объекта по его уникальному идентификатору.
- Регистрация — хранение внешне сгенерированного значения ключа.
- Добавление, получение и изменение атрибутов — контроль атрибутов управляемого объекта.
- Расположение — получение списка объектов на основе соединения предикатов.
- Изменение ключа — создание нового ключа, который может заменить существующий ключ.
- Создание пары ключей — создание асимметричных ключей.
- (Пере-) сертифицирование — подтверждение сертификат.
- Разделение и соединение n из m ключей.
- Зашифровка, дешифровка, MAC и т. д. — криптографические операции, выполняемые на сервере управления ключами.
- Операции реализовывающие жизненный цикл ключа NIST.
У каждого ключа есть криптографическое состояние такое как начальное, активное, пассивное. Операции предоставляют управление состоянием в соответствии с инструкциями по жизненному циклу NIST. Данные каждого преобразования регистрируются, например, дата активации ключа. Даты могут быть определены в будущем так, чтобы ключ автоматически стал недоступным указанным операциям, как только они истекут.[4]
Формат сообщения
[править | править код]Сообщение всегда состоит из заголовка, за которым следует один или более пакетных объектов и дополнительных расширений сообщений. Заголовок различает два типа сообщений: запрос и ответ. Существуют данные, зависящие от типа. Пакетные объекты указывают требуемую операцию и включают в себя все атрибуты, необходимые для этого.[4]
Кодирование сообщения
[править | править код]KMIP — сетевой протокол, а не прикладной программный интерфейс. Он представляет собой двоичный формат, состоящий из вложенного тега, типа, длины и значения (TTLV) структуры. [9]
Преимущества протокола[4]
[править | править код]KMIP имеет много преимуществ по сравнению с существующими конструкциями. Первое преимущество — это возможность упростить текущий проект и избавиться от сложностей и избыточностей.
Конструкция KMIP исправляет проблемы протоколов связи, помогая компаниям не вкладывать большое количество денег в свою инфраструктуру. Таким образом, возникает способ связи для всех протоколов друг с другом, так же происходит взаимосвязь между системами. Такая конструкция устраняет единый отказ системы из-за способности взаимного общения. Таким образом, если одна система выходит из строя, то можно спокойно получить доступ к зашифрованным данным.
И наконец, протокол KMIP избегает избыточности текущего дизайна и упрощает его. Это позволяет снизить стоимость инвестиций в систему управления ключами, так как нет никакой необходимости адаптировать протоколы для каждой услуги. Когда сложность системы меньше, её легче поддерживать. Ей требуется меньших инвестиций, чтобы сохранить работоспособность.
Примечания
[править | править код]- ↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OASIS . www.oasis-open.org. Дата обращения: 17 декабря 2016. Архивировано 24 мая 2018 года.
- ↑ Members | OASIS . www.oasis-open.org. Дата обращения: 25 ноября 2016. Архивировано 19 апреля 2018 года.
- ↑ Архивированная копия . Дата обращения: 18 октября 2016. Архивировано 19 февраля 2018 года.
- ↑ 1 2 3 4 5 6 7 Key Management Interoperability Protocol by Derrick Erickson . Дата обращения: 16 декабря 2016. Архивировано из оригинала 21 декабря 2016 года.
- ↑ SNIA | Advancing Storage and Information Technology . www.snia.org. Дата обращения: 22 ноября 2016. Архивировано 3 апреля 2018 года.
- ↑ Архивированная копия . Дата обращения: 18 октября 2016. Архивировано 21 сентября 2018 года.
- ↑ OASIS Key Management Interoperability Protocol (KMIP) TC | OASIS . www.oasis-open.org. Дата обращения: 22 ноября 2016. Архивировано 24 мая 2018 года.
- ↑ 1 2 Key Management Interoperability Protocol (англ.) // Wikipedia. — 2016-11-17.
- ↑ File:KMIP Nachricht nach TTLV codiert.png — Wikimedia Commons
Ссылки
[править | править код]- «OASIS Key Management Interoperability Protocol (KMIP) TC» OASIS
- «Key Management Interoperability Protocol Specification Version 1.0»
- «Key Management Interoperability Protocol (KMIP) Addressing the Need for Standardization in Enterprise Key Management» Май 20, 2009.
- «Key Management Interoperability Protocol Usage Guide» Февраль. 10, 2009.
- «Key Management Interoperability Protocol Use Cases — Draft version 0.98» Февраль 10, 2009.
- «KMIP message» Май 24, 2012.
- http://www.snia.org/events/dsicon/presentations2016