ویکی‌پدیا

رمزنگاری کلید عمومی: تفاوت میان نسخه‌ها

نمایش تاریخچه به صورت تعاملی
→ تفاوت قدیمی‌ترتفاوت جدیدتر ←
محتوای حذف‌شده محتوای افزوده‌شده
دیداریویکی‌متن
Iqueerified (بحث | مشارکت‌ها)
۱۵ ویرایش‌ها
جز نیاز به فاصله
FreshmanBot (بحث | مشارکت‌ها)
ربات‌ها
۱۳۳٬۲۴۲ ویرایش‌ها
جز اصلاح فاصله مجازی + اصلاح نویسه با ویرایشگر خودکار فارسی
خط ۲۳:
هر موجودیت PKI می‌تواند چند زوج کلید داشته باشد. بین یک زوج کلید و یک «نقش» یک تناظر قوی وجود دارد. مثلاً ممکن است یک موجودیت از یک کلید برای امضای یک خرید برای بخش کاری خودش و از کلید دیگر برای امضای یک فرم کرایة فیلم و از یکی دیگر برای امضای یک ایمیل شخصی استفاده کند.
 
مفهوم زوج کلیدهای چندتایی برای هر موجودیت برای بعضی از محیط‌ها به دلیل نقشهاینقش‌های مختلفی که موجودیت ایفا می‌کند منطقی است، چون هر زوج کلید در حوزة کوچکی از کاربرد محدود شده‌است. برای صورت گرفتن تمام وظایفی که با یک نقش مشخص در ارتباط است، یک موجودیت PKI نیاز است که چند زوج کلید داشته باشد.
 
<center>[[پرونده:Kpair.JPG]]</center>
 
زوج کلیدهای مختلف می‌توانند کاربردهای متفاوت داشته باشند. خصوصاً اینکه یک زوج کلید در الگوریتم [[امضای دیجیتال]]ی (DSA) زمانی‌که بر طبق خصوصیاتی پیاده‌سازی شده‌است، نمی‌تواند برای رمزگذاری یا رمزگشایی بکار رود. بطوربه‌طور مشابه زوج کلید DH نمی‌تواند برای امضا نمودن داده‌ها و راست‌آزمایی امضا بکار رود. به‌علاوه حتی یک زوج کلید بر اساس الگوریتم RSA _ که به صورت ریاضی برای تصدیق، یکپارچگی، محرمانگی یا معاوضه کلید بکار می‌رود_ ممکن است به وسیلة سیاستها،سیاست‌ها، احکام، یا انتخاب پیاده‌سازی برای استفادة تک منظوره محدود شود.
 
== کشف رمز کلید ==
خط ۳۴:
* کشف رمز کلید خصوصی یک CA
در حالت اول، به محض اینکه شخصی متوجه می‌شود که کلید خصوصی اش کشف رمز شده‌است، باید اقدامات زیر را انجام دهد:
* یک پیام درخواست ابطال برای مرجع قدرت امنیتی مربوط جهت صدور اعلان به تمام طرفهایطرف‌های مرتبط مبنی بر عدم استفاده از کلید عمومی
* در صورت لزوم، پیمودن مراحل برای تولید و صدور گواهی برای یک زوج کلید جدید
 
خط ۴۲:
;آگاه ساختن طرف اعتمادکننده
 
در صورتی که کلید CA کشف رمز شود، به دلیل تعدد افراد، وی نمی‌تواند به طرفهایطرف‌های اعتمادکننده اطلاع دهد که این مسئله اتفاق افتاده‌است و هیچ راه قابل اعتمادی برای این شکل از [[اطلاع‌رسانی]] وجود ندارد.
 
یک راه اطلاع‌رسانی از طریق پیام‌های CRL است که آن را با ارائة یک مکانیزم بیان می‌کنیم. در این مکانیزم، CRL شامل کلید کشف رمز شده می‌باشد که توسط کلید خصوصی جدید CA صادر و امضا شده‌است. اعضای اعتمادکننده این امضا را با بازیابی کلید عمومی CA و محاسبة عدد HASH این کلید معتبر می‌شمارند و آن را با عدد HASH قبلی در گواهی قدیمی CA مقایسه می‌کنند. این مکانیزم نیاز بدان دارد که CA در زمان گواهی کردن زوج کلید فعلی، زوج کلید بعدی را نیز تولید کند.
خط ۴۸:
;آماده‌سازی
 
در شرایط کشف رمز CA باید اقدامات زیر را در جهت کاهش آسیبهاآسیب‌ها انجام دهد:
* تلاش به هر شکل ممکن برای شناخت طرفهایطرف‌های اعتمادکننده تا پیام اخطار فقط به این افراد فرستاده شود. این کار در مدل وب شدنی نیست، اما از طریق دیگر مدل‌های اعتماد PKI حاصل می‌شود.
* ذخیره نمودن کلید عمومی مورد اعتماد به عنوان یک گواهی در حوزة محلی طرفهایطرف‌های اعتمادکننده، پشتیبانی از انتشار پیام CRL و تقویت نرم‌افزاری طرفهایطرف‌های اعتمادکننده برای چک کردن پیام CRL. این کار تا حد زیادی زیان را کمینه می‌کند چون بدون مداخلة موجودیت‌های نهایی و بطوربه‌طور خودکار، اعتماد نسبت به کلید کشف رمز شده از بین می‌رود. این روش برای محیط‌هایی که وضعیت گواهی خود را از طریق لیست ابطال چک می‌کنند، مناسب‌ترین است.
* داشتن یک دورة زمانی معتبر برای زوج کلیدها. کشف رمز یک کلید پس از ده سال استفاده نسبت به کشف رمز کلید پس از یک سال استفاده، عواقب وخیم تری دارد؛ بنابراین هرچه این دورة زمانی کوتاهتر باشد، میزان خسارت کمتر خواهد بود.
* اجرای مکانیزم خودکار و کنترل شدة جابجایی کلید CA.
خط ۵۶:
;بازیابی
 
تنها راه بازیابی این است که به PKI دوباره ارزش دهی شود؛ بنابراین یک کلید از سمت CA تولید می‌شودومی‌شود و یک کپی از کلید عمومی در محل هر موجودیت PKI قرار داده می‌شود. به عبارتی PKI باید برای موجودیت‌ها به شکلی ساخته شود که انگار هیچ وقت وجود نداشته‌است.
 
== مدیریت گواهی مستقل ==
اگر یک کلید عمومی در چند گواهی قرار داده شده و کلید خصوصی در معرض خطر باشد، باید به یاد داشت که کدام گواهی‌ها دارای این کلید بودند تا بتوان آن‌ها را باطل نمود. عدم ابطال هرکدام از این گواهی‌ها می‌تواند منجر به یک ریسک امنیتی جدی شود. در مقابل، چنین ریسکی کاهش می‌یابد اگر کلید عمومی فقط در یک گواهی ظاهر شود؛ چون بار اجرایی یافتن و ابطال یک گواهی به مراتب کمتر است.
بعلاوه، گواهی‌های جداگانة در ارتباط با زوج کلیدهای جداگانه، از نظر ساخت مستقلند: آن‌ها از نظر دورة اعتبار، سیاستها،سیاست‌ها، کاربرد و رویه‌های مدیریتی مستقلند؛ بنابراین ابطال یکی از آن‌ها بر بقیه تأثیرگذار نیست. داشتن یک کلید عمومی در چند گواهی، مدیریت آن را پیچیده می‌کند.
 
== پشتیبانی از عدم انکار ==
برگرفته از «https://fa.wikipedia.org/wiki/رمزنگاری_کلید_عمومی»