Jump to content

Recommended Posts

Подскажите предназначение персональных ключей?

Вся матрешка

Ключи обмена зашифрованы ключами защиты.

Ключи защиты зашифрованы на персональных ключах.

Персональные зашифрованы на парольных.

Почему нельзя пропустить персональные ключи и шифровать ключи защиты парольными ключами?

Может у них есть еще какой-то смысл?

Share this post


Link to post
Share on other sites

Парольные ключи, по сути - это не ключи :) В случае хранения (как и положено) персональных ключей на внешних носителях (на токенах), спрашивается только пин-код к токену. Пароли можно использовать только на необслуживаемых сетевых узлах (при обеспечении должного уровня безопасности).

Share this post


Link to post
Share on other sites

Т.е. если я правильно понимаю парольными ключами ничего не шифруется, а парольный ключ это это пароль доступа к персональному ключу?

Share this post


Link to post
Share on other sites

Персональные ключи при хранении на обычных носителях (flash,HDD) шифруется на хэше пароля. Это сделано для удобства. А для защиты, соответствующей нормативным документам, необходимо использовать съёмные носители. Токены обеспечивают дополнительную защиту, при которой парольный ключ не нужен.

Да. Грубо говоря - это просто пароль доступа к ключу.

Share this post


Link to post
Share on other sites

Спасибо за разъяснения. Последний вопрос.

Получаем пароль (pin-код) на токене для доступа к персональному ключу.

Ключи защиты зашифрованы на персональных ключах.

Ключи обмена зашифрованы ключами защиты.

Почему мы не можем зашифровать ключи обмена персональными ключами, которые находятся на внешнем носителе? Зачем двухуровневое шифрование?

Share this post


Link to post
Share on other sites

Многоуровневые ключи необходимы для минимизации ущерба от компрометации, а также для разграничения доступа. Персональные ключи, как и сказано в определении, являются индивидуальными ключами пользователя и входят в состав ключевой дискеты. Остальные ключи входят в ключевой набор и являются общими на абонентском пункте. Только сами ключи в ключевом наборе существуют в вариациях, зашифрованных для разных субъектов. Поскольку у нас присутствует многоуровневая система доступа: Пользователь - тип коллектива - абонентский пункт, то и шифруются они на разных ключах разных уровней. То есть, к примеру, ключи защиты ТК - общие для пользователей одного ТК. А ключам обмена имеют доступ все пользователи абонентского пункта. Многоуровневое шифрование - это элегантное разграничение доступа криптографическим способом.

Share this post


Link to post
Share on other sites

>>А ключам обмена имеют доступ все пользователи абонентского пункта.

Может быть корректнее было бы к ключам обмена имеют доступ все ТК абонентского пункта?

Share this post


Link to post
Share on other sites

Есть ключи обмена коллективов, а есть ключи обмена сетевого узла.

Share this post


Link to post
Share on other sites

Совершенно верно. Только на практике 2 ТК мы ещё ни разу не использовали в связи с тем, что компьютеры, в основном, индивидуального пользования и у каждого свой клиент. В основном, у нас один пользователь входить в многие ТК (чтобы ключевые дискеты не плодить).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.