la criptografía de la Público-llave del, también conocida como criptografía asimétrica, es una forma de la criptografía en la cual un usuario tiene un par de las llaves criptográficas - una llave pública y una llave privada del . La llave privada es secreto guardado, mientras que la llave pública puede ser distribuida extensamente. Las llaves se relacionan matemáticamente, pero la llave privada no se puede derivar prácticamente de la llave pública. Un mensaje cifrado con la llave pública se puede descifrar solamente con la llave privada correspondiente.
Inversamente, la criptografía dominante secreta del, también conocida como criptografía simétrica utiliza una sola llave secreta para la encripción y el desciframiento.
Las dos ramas principales de la criptografía de llave pública son:
&mdash de la encripción de llave pública del ; un mensaje cifrado con la llave pública de un recipiente no se puede descifrar por cualquier persona excepto el recipiente que posee la llave privada correspondiente. Esto se utiliza para asegurar el secreto .
&mdash de las firmas de Digitaces ; un mensaje firmado con la llave privada de un remitente se puede verificar por cualquier persona que tenga acceso a la llave pública del remitente, de tal modo probando que el remitente la firmara y que el mensaje no se ha tratado de forzar con. Esto se utiliza para asegurar la autenticidad .
Una analogía para la encripción de la público-llave es la de una caja bloqueada con una ranura de correo. La ranura de correo es expuesta y accesible al público; su localización (la dirección de calle) es esencialmente la llave pública. Cualquier persona que sabe la dirección de calle puede ir a la puerta y caer un mensaje escrito a través de la ranura; sin embargo, solamente la persona que posee la llave puede abrir la caja y leer el mensaje.
Una analogía para las firmas digitales es el lacre de un sobre con un sello personal de la cera. El mensaje se puede abrir por cualquier persona, pero la presencia del sello authentica el remitente.
Un problema central para la criptografía de la público-llave está probando que una llave pública es auténtica, y no se ha tratado de forzar con ni ha sido substituida por un de tercera persona malévolo. El acercamiento generalmente a este problema es utilizar una infraestructura (PKI) de la público-llave, en cuál o más terceros, conocidos como autoridades del certificado, certifican la propiedad de los pares dominantes. Otros se acercan, utilizado por PGP, son el " Web del " de la confianza ; método para asegurar la autenticidad de los pares dominantes.
Las técnicas dominantes públicas son mucho más de cómputo intensivas que puramente los algoritmos simétricos . El uso juicioso de estas técnicas permite una gran variedad de usos. En la práctica, la criptografía de llave pública se utiliza conjuntamente con los métodos de la secreto-llave por razones de la eficacia. Para la encripción, el remitente cifra el mensaje con un algoritmo de la secreto-llave usar una llave aleatoriamente generada, y esa llave al azar entonces se cifra con la llave pública del recipiente. Para las firmas digitales, el remitente desmenuza el mensaje (usar una función de picadillo criptográfica ) y después firma el " resultante; value" del picadillo;. Antes de verificar la firma, el recipiente también computa el picadillo del mensaje, y compara este valor de picadillo con el valor de picadillo firmado para comprobar que el mensaje no se ha tratado de forzar con.
Historia
Para la mayor parte de la historia de la criptografía, una llave tuvo que ser absolutamente guardado secreto y sería convenida en de antemano usar un seguro, pero no-criptográfico, método; por ejemplo, una reunión cara a cara o un mensajero confiado en. Hay un número de dificultades prácticas significativas en este acercamiento a las llaves de distribución . la criptografía de la Público-llave fue inventada para tratar el &mdash de estas desventajas; con la criptografía de la público-llave, los usuarios pueden comunicar con seguridad sobre un canal inseguro sin tener que convenir en una llave compartida de antemano.En el 1874, un libro por el Guillermo Stanley Jevons describió la relación de las funciones unidireccionales a la criptografía y se encendió discutir específicamente el problema de la facturización usado para crear la función de la trampilla en el sistema del RSA . En julio el 1996, un observador comentó respecto al libro de Jevons de esta manera:
In su del libro los principios de ciencia: Un tratado en la lógica y el método científico, escritos y publicados en los 1890s, Guillermo S. Jevons observó que hay muchas situaciones donde está relativamente fácil la operación “directa”, pero la operación “inversa” es más difícil. Un ejemplo mencionado breve es que la codificación (encripción) es fácil mientras que no es el desciframiento (desciframiento). En la misma sección del capítulo 7: La “inducción titulada introducción una operación inversa”, mucho más atención se dedica al principio que la multiplicación de números enteros es fácil, pero encontrar los factores (primeros) del producto es mucho más duro. Así, Jevons anticipó una característica dominante del algoritmo del RSA para la criptografía de llave pública, aunque él no inventó ciertamente el concepto de la llave pública cryptography.
La primera invención de algoritmos dominantes asimétricos estaba al lado de James H. Ellis, de los martillos de Clifford, y de Malcolm Williamson en el GCHQ en el Reino Unido en los años 70 tempranos ; estas invenciones eran qué más adelante se sabía pues intercambio de la llave de Diffie-Hellman, y un caso especial RSA . Los criptógrafos de GCHQ refirieron a la técnica como " encryption" del no-secreto;. Estas invenciones no fueron divulgadas público en ese entonces, y el hecho de que hubieran sido desarrolladas fue mantenido secreto hasta el 1997 .
Un sistema criptográfico de la asimétrico-llave fue publicado en el 1976 por el Whitfield Diffie y el Martin Hellman, que, influenciado por trabajo de s de Merkle Rafael 'sobre la distribución de la público-llave, divulgó un método de acuerdo de la público-llave. Este método de intercambio de la exponencial-llave, que vino ser conocido como intercambio de la llave de Diffie-Hellman, era el método práctico primero publicado para establecer una secreto-llave compartida sobre un canal de comunicaciones desprotegido sin usar un secreto compartido anterior. La técnica del público-llave-acuerdo de Merkle se sabía como los rompecabezas de Merkle, y fue publicada en el 1978 .
Una generalización del método de los martillos fue reinventada en el 1977 por el Rivest, el Shamir y el Adleman, todo entonces en MIT . Los 3ultimos autores publicaron su trabajo en el 1978, y el algoritmo vino apropiadamente ser conocido como RSA . El RSA utiliza modulo de la exponenciación un producto de dos que el grande prepara para cifrar y descifrar, realizando la encripción de llave pública y la firma digital de la llave pública, y su seguridad está conectado con la dificultad presumida que descompone en factores los números enteros grandes, un problema para los cuales allí no es ninguna (es decir, practicable ayunar) técnica general eficiente sabida.
Desde los años 70, un gran número y una variedad de encripción, la firma digital, el acuerdo dominante, y otras técnicas se han desarrollado en el campo de la criptografía de la público-llave. El sistema criptográfico de ElGamal (inventado por el Taher ElGamal entonces Netscape ) confía en (similar, y relacionado) la dificultad del problema discreto del logaritmo, al igual que el estrechamente vinculado DSA desarrollado por el NSA y el NIST . La introducción de la criptografía elíptica de la curva por el Neal Koblitz en los mediados de años 80 ha rendido una nueva familia de algoritmos análogos de la público-llave. Aunque matemáticamente sean más complejas, las curvas elípticas aparezcan proporcionar un más modo eficaz de leverage el problema discreto del logaritmo, particularmente con respecto al tamaño de la llave.
Seguridad
Algunos esquemas de la encripción pueden ser probados que seguro basado en la dureza presumida de un problema matemático como descomponer en factores el producto de dos grandes prepara o la computación de logaritmos discretos. Observar ese " secure" aquí tiene un significado matemático exacto, y hay diversas definiciones (significativas) del múltiplo de lo que significa para que un esquema de la encripción sea seguro. El " right" la definición depende del contexto en el cual el esquema será desplegado.En contraste con el cojín de una sola vez, ninguÌn esquema de la encripción de la público-llave puede ser seguro contra cotillas con energía de cómputo ilimitada. Las pruebas de la seguridad del asimiento por lo tanto con respecto a adversarios de cómputo-limitados, y dan garantías (concerniente a una asunción matemática particular) del " de la forma; el esquema no se puede romper usar una computadora de escritorio en el years" 1000;.
El uso más obvio de un sistema de la encripción de llave pública del es el secreto ; un mensaje que un remitente cifra usar la llave pública del recipiente se puede descifrar solamente por la llave privada apareada del recipiente.
los algoritmos de la firma de Digitaces de la Público-llave se pueden utilizar para la autentificación del remitente y la no repudiación . Por ejemplo, un usuario puede cifrar un mensaje con su propia llave privada y enviarlo. Si otro usuario puede descifrarlo con éxito usar el key público corresponding, éste ofrece garantía que el primer usuario (y ninguÌn otro) la enviaron. En la práctica, un valor de picadillo criptográfico del mensaje se calcula, se cifra con la llave privada y se envía junto con el mensaje (dando por resultado una firma criptográfica del mensaje). El receptor puede entonces verificar integridad y origen de mensaje calculando el valor de picadillo del mensaje recibido y comparándolo contra la firma descifrada (el picadillo original). Si el picadillo del remitente y el picadillo en el lado del receptor hace el fósforo no, después el mensaje recibido no es idéntico al mensaje que el " del remitente; signed", o la identidad del remitente es incorrecta.
Para alcanzar la autentificación, la no repudiación, el y el secreto de, el remitente primero cifrarían el mensaje usar su llave privada, después una segunda encripción se realiza usar la llave pública del recipiente.
Estas características son útiles para mucho otra, a veces asombrosamente, los usos, como el efectivo de Digitaces, el acuerdo dominante Contraseña-authenticado, el acuerdo dominante pluripartidista, el etc.
Consideraciones prácticas
Una analogía postal
Una analogía que se puede utilizar para entender que las ventajas de un sistema asimétrico son imaginarse a dos personas, Alicia y Bob, enviando un mensaje secreto a través del correo público. En este ejemplo, Alicia quiere enviar un mensaje secreto a Bob, y cuenta con una contestación secreta de Bob.Con un sistema simétrico de la llave, Alicia primero pone el mensaje secreto en una caja, y traba la caja usar un candado a el cual ella tenga una llave. Ella entonces envía la caja a Bob a través de correo regular. Cuando Bob recibe la caja, él utiliza una copia idéntica de la llave de Alicia (que él ha obtenido de alguna manera previamente, quizá por una reunión cara a cara) para abrir la caja, y lee el mensaje. Bob puede entonces utilizar el mismo candado para enviar su contestación secreta.
En un sistema dominante asimétrico, Bob y Alicia tienen candados separados. Primero, Alicia pide que Bob le envíe su candado abierto a través de correo regular, guardando su llave a se. Cuando Alicia la recibe ella la utiliza para trabar una caja que contiene su mensaje, y envía la caja bloqueada a Bob. Bob puede después abrir la caja con su llave y leer el mensaje de Alicia. Para contestar, Bob debe conseguir semejantemente el candado abierto de Alicia para trabar la caja antes de enviarla de nuevo a ella.
La ventaja crítica en un sistema dominante asimétrico es que Bob y Alicia nunca necesitan enviar una copia de sus llaves el uno al otro. Esto evita un de tercera persona (quizás, en el ejemplo, un trabajador postal corrupto) copie una llave mientras que está en tránsito, permitiendo que de tercera persona dicha espíe en todos los mensajes futuros enviados entre Alicia y Bob. Tan en el panorama de la llave pública, Alicia y Bob no necesitan confiar en el servicio postal tanto. Además, si Bob fuera descuidado y permitido algún otro copiar el su llave de, los mensajes de Alicia a Bob serían comprometidos, pero los mensajes de Alicia a la otra gente seguirían siendo secretos, puesto que la otra gente estaría proporcionando diversos candados para Alicia al uso.
Llaves ligadas algoritmos-dos reales
No todos los algoritmos dominantes asimétricos funcionan en exacto esta manera. Los mas comunes tienen la característica que Alicia y Bob cada propias llaves del dos, una para la encripción y uno para el desciframiento. En un esquema dominante asimétrico seguro de la encripción, la llave privada no debe ser deducible de la llave pública. Esto se conoce como encripción de la público-llave, puesto que una llave de encripción puede ser publicada sin el compromiso de la seguridad de los mensajes cifrados con esa llave.En la analogía arriba, Bob pudo publicar instrucciones en cómo hacer una cerradura (" key" público;), solamente la cerradura es tal que es imposible (en cuanto se sabe) deducir de estas instrucciones cómo hacer una llave que abra esa cerradura (" key" privado;). Ésos que desean enviar mensajes al uso de Bob la llave pública de cifrar el mensaje; Bob utiliza su llave privada para descifrarla.
Los pares dominantes se pueden también utilizar en revés; la llave privada se puede utilizar para cifrar los mensajes que solamente la llave pública puede descifrar. Esto es útil para los usos donde, en vez del secreto que es la meta, está la meta la integridad, la autenticidad, y/o la transparencia, por ejemplo con la firma digital.
Debilidades
Por supuesto, hay una posibilidad que podría alguien " pick" Cerradura de Bob o de Alicia. Entre algoritmos de encripción dominantes simétricos, solamente el cojín de una sola vez se puede demostrar para ser seguro contra cualquier adversario, no importa cómo mucho poder de computación está disponible. Desafortunadamente, no hay esquema de la público-llave con esta característica, puesto que todos los esquemas de la público-llave son susceptibles al ataque de la búsqueda de claves de la fuerza bruta. Tales ataques son imprácticos si la cantidad de cómputo necesitó tener éxito (llamado “factor de trabajo” por el Claude Shannon ) es fuera del alcance de atacantes potenciales. El factor de trabajo puede ser aumentado simplemente eligiendo una llave más larga. Otros ataques pueden ser más eficientes, y algunos se saben para algunos algoritmos de encripción de la llave pública. El RSA y la encripción de ElGamal han sabido los ataques que son mucho más rápidos que el acercamiento de la fuerza bruta. Tales estimaciones han cambiado ambos con el coste decreasing de energía de la computadora, y nuevos descubrimientos matemáticos.En la práctica, estas inseguridades pueden ser evitadas eligiendo los tamaños dominantes bastante grandes que el ataque más conocido duraría tan que no está digno de el tiempo y el dinero de ninguÌn adversario para romper el código. Por ejemplo, si una estimación de cuánto tiempo toma para romper un esquema de la encripción es mil años, y él fueron utilizados para cifrar sus detalles de la tarjeta de crédito, ellos sería bastante seguro, desde el tiempo necesario descifrar los detalles será algo más larga que la vida útil de esos detalles, que expiran después de algunos años. Típicamente, el tamaño dominante necesario es mucho más largo para los algoritmos de la llave pública que para los algoritmos dominantes simétricos.
Además de la fuerza algorítmica cruda de un keypair particular, la seguridad de la jerarquía de la certificación debe ser considerada al desplegar sistemas dominantes públicos. Esta jerarquía atestigua para las identidades asignadas a las llaves privadas específicas. Los certificados digitales de la llave pública son típicamente válidos por varios años a la vez, así que las llaves privadas asociadas se deben llevar a cabo con seguridad sobre el largo plazo. Cuando una llave privada más arriba en la jerarquía se compromete o se divulga accidentalmente, todos los keypairs debajo de ella en la jerarquía se deben asumir para ser comprometido y deben ser reeditados. Los sistemas de la criptografía de la Transitorio-Llave se pueden utilizar a veces para abordar estas ediciones. Bajo sistemas de la transitorio-llave, los keypairs del RSA se asignan a los intervalos del breve periodo de tiempo, en vez a individuos, de servidores, o de organizaciones. Las llaves privadas en el esquema de la transitorio-llave son válidas solamente por algunos minutos a la vez antes de que sean destruidas y substituidas por nuevas llaves privadas. En sistemas de la transitorio-llave, no hay secretos de largo plazo a proteger y ningunos puntos de la falta para la jerarquía dominante entera.
Las debilidades importantes se han encontrado para varios algoritmos dominantes asimétricos antes prometedores. Del “el algoritmo embalaje de la mochila” fue encontrado para ser inseguro cuando un nuevo ataque fue encontrado. Recientemente, algunos ataques basados en medidas cuidadosas de la cantidad de tiempo exacta que lleva sabido que el hardware para cifrar el texto llano se ha utilizado para simplificar la búsqueda para las llaves probables del desciframiento (véase el canal lateral atacar ). Así, el uso mero de algoritmos dominantes asimétricos no asegura seguridad; es un área de la investigación activa a descubrir y a proteger contra nuevos ataques.
Otra vulnerabilidad de seguridad potencial al usar llaves asimétricas es la posibilidad de un hombre en el ataque medio, en el cual la comunicación de llaves públicas es interceptada por un de tercera persona y modificada para proporcionar diversas llaves públicas en lugar de otro. Los mensajes y las respuestas cifrados se deben también interceptar, descifrar y re-cifrar por el atacante que usa las llaves públicas correctas para diversos segmentos de la comunicación en todos los casos para evitar la suspicacia. Este ataque puede parecer ser difícil de ejecutar en la práctica, pero no es imposible al usar los medios inseguros (e. redes públicas tales como el Internet o comunicaciones sin hilos). Un miembro de personal malévolo en la ISP de Alicia o de Bob pudo encontrarla fácil absoluto.
Un acercamiento para prevenir tales ataques es el uso de un Certificate Authority, un de tercera persona confiado en que sea responsable de verificar la identidad de un usuario del sistema y de publicar un certificado de Digitaces, que es un bloque firmado de datos que indican que esta llave pública pertenece a la esa persona, a la compañía o a la otra entidad. Este acercamiento también tiene debilidades. Por ejemplo, el Certificate Authority se debe confiar en para haber comprobado correctamente la identidad del llave-sostenedor y la corrección de la llave pública cuando publica un certificado, y se ha fijado correctamente en los participantes de la comunicación antes de que pueda ser utilizado. Un atacante que podría derribar el Certificate Authority en la publicación de un certificado para una llave pública falsa podría entonces montar a un hombre en el ataque medio como fácilmente como si el esquema del certificado no fuera utilizado en absoluto. A pesar de sus problemas, este acercamiento es ampliamente utilizado; los ejemplos incluyen SSL y su sucesor, TLS, que son de uso general proporcionar seguridad en hojeadores de la tela, por ejemplo, para enviar con seguridad los detalles de la tarjeta de crédito a un almacén en línea.
Coste de cómputo
La mayoría de los algoritmos de la llave pública son relativamente de cómputo costosos en comparación con muchos algoritmos dominantes simétricos de la seguridad al parecer equivalente. Esto tiene implicaciones importantes para su uso práctico. La mayoría se utilizan en sistemas criptográficos híbridos por razones de eficacia; en tal sistema criptográfico, una llave secreta compartida (" key" de la sesión;) es generado por un partido y esta llave de sesión del orador entonces es cifrada mucho por la llave pública de cada recipiente. Cada recipiente utiliza la llave privada correspondiente para descifrar la llave de sesión. Una vez que todos los partidos han obtenido la llave de sesión pueden utilizar un algoritmo simétrico mucho más rápido para cifrar y para descifrar mensajes.
Asociar llaves públicas a identidades
El atascamiento entre una llave pública y su “dueño” debe estar correcto, a fin de la función del algoritmo perfectamente pero sea enteramente insegura en la práctica. Como con la mayoría de la criptografía, los protocolos usados para establecer y para verificar este atascamiento son críticamente importantes. Asociar una llave pública a su dueño es hecha típicamente por los protocolos que ejecutan una infraestructura de llave pública ; éstos permiten que la validez de la asociación sea verificada formalmente por la referencia a un de tercera persona confiado en, bajo la forma de Certificate Authority jerárquico (e.509 ), modelo local de la confianza (e., SPKI ), o Web del esquema de la confianza (e., que se incorporó original a PGP y GPG y aún hasta cierto punto usable con ellos). Lo que el aseguramiento criptográfico de los protocolos ellos mismos, la asociación entre una llave pública y su dueño es en última instancia una cuestión de juicio subjetivo de parte del de tercera persona confiada en, puesto que la llave es una entidad matemática mientras que no son el dueño, y la conexión entre el dueño y la llave. Por esta razón, el formalismo de una infraestructura de llave pública debe prever las declaraciones explícitas de la política seguida al hacer este juicio. Por ejemplo, el complejo y el estándar nunca completamente ejecutado X.509 permite que un Certificate Authority identifique su política por medio de un identificador del objeto que funcione como un índice en un catálogo de políticas registradas. Las políticas pueden existir para muchos diversos propósitos, extendiéndose de anonimato a la clasificación militar.
Relación a los acontecimientos del mundo real
Una llave pública será sabida a un sistema grande y, en la práctica, el desconocido de usuarios. Todos los acontecimientos que requieren la revocación o el reemplazo de una llave pública pueden tardar un tiempo largo para tomar efecto completo con todos que deban ser informados (es decir todos esos usuarios que poseen esa llave). Por esta razón, los sistemas que deben reaccionar a los acontecimientos en el tiempo real (e. los sistemas seguridad-críticos o sistemas de seguridad nacionales) no deben utilizar la encripción de la público-llave sin tomar gran cuidado. Hay cuatro aplicaciones interés:
Privilegio de la revocación dominante
Una revocación malévola (o errónea) de alguno, o todas las, llaves en el sistema es probables, en el segundo caso, seguro, causar una falta completa del sistema. Si las llaves públicas se pueden revocar individualmente, esto es una posibilidad. Sin embargo, hay los acercamientos del diseño que pueden reducir la ocasión práctica de esta ocurrencia. Por ejemplo, por medio de certificados podemos crear qué se llama un " principal" compuesto; ; un tal principal podía ser " Alicia y Bob tienen revocar Authority". Ahora solamente Alicia y Bob (en concierto) pueden revocar una llave, y ni Alicia ni Bob pueden revocar llaves solamente. Sin embargo, revocar una llave ahora requiere a Alicia y a Bob estar disponible, y éste crea un problema de la confiabilidad. En términos concretos, desde un punto de vista de la seguridad, hay un monopunto ahora de la falta en el sistema de la revocación de la llave pública. Una negación acertada del ataque del servicio contra Alicia o Bob (o ambos) bloqueará una revocación required. De hecho, cualquier partición de la autoridad entre Alicia y Bob tendrán este efecto, sin importar cómo ocurre.Porque el principal teniendo autoridad de la revocación para las llaves es muy de gran alcance, los mecanismos usados para controlarla deben implicar a ambos tantos participantes tan posibles (guardar contra ataques malévolos de este tipo), mientras que al mismo tiempo que pocos como sea posible (asegurarse de que una llave se pueda revocar sin retardo peligroso). Los certificados de llave pública que incluyen una fecha de vencimiento son insatisfactorios en que la fecha de vencimiento puede no corresponder con una necesidad de la revocación del mundo real, pero por lo menos tales certificados no necesitan todos se sigan abajo de sistema de par en par, ni deben todos los usuarios estar en contacto constante con el sistema siempre.
Distribución de una nueva llave
Después de que se haya revocado una llave, o cuando agregan a un nuevo usuario a un sistema, una nueva llave se debe distribuir de una cierta manera predeterminada. Asumir que la llave del villancico ha sido revocado (e. automáticamente por excederse su utilizar-antes de fecha, o menos así pues, debido a un compromiso de la llave privada que empareja del villancico). Hasta que se haya distribuido una nueva llave, el villancico está con eficacia fuera de contacto. Nadie podrán enviarle mensajes sin la violación de protocolos del sistema (es decir sin una llave pública válida, nadie pueden cifrar mensajes a ella), y los mensajes de ella no se pueden firmar por la misma razón. O, es decir el " parte del system" es controlado por Carol esencialmente inasequible. Los requisitos de seguridad se han alineado más arriba que disponibilidad de sistema en tales diseños. Uno podría salir de la energía de crear (y certificar) llaves tan bien como las revoca en las manos de cada usuario, y el diseño original del PGP hizo así pues, pero éste suscita problemas de la comprensión y de la operación del usuario. Por motivos de seguridad, este acercamiento tiene considerables dificultades; si nada, algunos usuarios es olvidadizo o desatento o confuso. Por un lado, un mensaje que revoca un certificado de llave pública se debe separar tan rápidamente como sea posible mientras que, por una parte, (las partes de) el sistema pudo ser hecho inoperable antes de que una nueva llave pueda ser instalada. La ventana del tiempo se puede reducir obviamente a cero siempre publicando la nueva llave junto con el certificado que revoca el viejo, pero éste requiere la co-localización de la autoridad revocar y generar nuevas llaves. Es más probable system-wide una falta si el principal (posiblemente combinado) que publica nuevas llaves falla publicando llaves incorrectamente. Es un caso de una exclusión mutua común; un diseño puede hacer la confiabilidad de un sistema alta, pero solamente en el coste de disponibilidad de sistema, y viceversa.
Extensión de la revocación
La notificación de una revocación dominante del certificado se debe separar a todos los las que pudieron potencialmente llevarla a cabo, y lo más rápido posible.Hay dos medios de separar la información (e., una revocación dominante aquí) en un sistema distribuido: o la información se empuja a los usuarios de un punto central, o se tira de un punto central a los usuarios finales.
Empujar la información es la solución más simple en que un mensaje está enviado a todos los participantes. Sin embargo, no hay manera de saber que todos los participantes recibirán realmente el mensaje, y si el número de participantes es grande y alguno de su distancia de la comprobación o de la red grande, la probabilidad del éxito completo (que, se requiere ideal para la seguridad de sistema) será algo baja. En un estado parcialmente actualizado, el sistema es particularmente vulnerable a la negación de los ataques del servicio pues se ha practicado una abertura la seguridad, y una ventana de la vulnerabilidad continuará existiendo mientras algunos usuarios “no hayan conseguido la palabra”. Es decir empujar mensajes de la revocación del certificado es ni fácil asegurar ni muy confiable.
La alternativa a empujar está tirando. En el extremo, todos los certificados contienen todas las llaves necesarias para verificar que la llave pública del interés (es decir el que está que pertenece al usuario a quien uno desea enviar un mensaje, o a cuya firma debe ser comprobada) sea todavía válida. En este caso, por lo menos un cierto uso del sistema será bloqueado si un usuario no puede alcanzar el servicio de la verificación (es decir uno de esos sistemas que pueden establecer la validez actual de la llave de otro usuario). Una vez más tal diseño de sistema se puede hacer tan confiable como uno desea, en el coste de bajar la seguridad (más servidores a comprobar para saber si hay la posibilidad de una revocación dominante, más larga es la ventana de la vulnerabilidad).
Otra compensación es utilizar algo un menos confiable, pero más seguro, servicio de la verificación pero incluir una fecha de vencimiento para cada uno de las fuentes de la verificación. Cuánto tiempo este descanso debe ser es una decisión que incorpora una compensación entre la disponibilidad y la seguridad que tendrán que ser decididas por adelantado, en el tiempo del diseño de sistema.
Recuperación de una llave escapada
Asumir que el director autorizado a revocar una llave ha decidido que cierta llave debe ser revocada. En la mayoría de los casos esto sucede después del hecho; por ejemplo, se sabe que en algún momento en el pasado un acontecimiento ocurrió que puesto en peligro una llave privada. Denotemos el tiempo en el cual se decide que el compromiso ocurrió con el T.Tal compromiso tiene dos implicaciones. Los mensajes cifrados con la llave pública que empareja (ahora o en el pasado) se pueden asumir no más para ser secretos. En segundo lugar, las firmas hechas con el confiaban en no más para ser la llave realmente privada después del tiempo T, se pueden asumir no más para ser auténticas sin la información adicional sobre quién, donde, cuando, etc de los acontecimientos que conducen a la firma digital. Éstos no estarán siempre disponibles, y así que todas tales firmas digitales serán menos que creíbles.
La pérdida de secreto y/o de autenticidad, incluso para un solo usuario, tiene system-wide implicaciones de la seguridad, y una estrategia para la recuperación debe ser establecida así. Tal estrategia determinará quién tiene autoridad y bajo qué condiciones para revocar un certificado de llave pública, cómo separar la revocación, pero también, ideal, cómo ocuparse de todos los mensajes firmados con la llave desde el tiempo T (que será sabido raramente exacto). Los mensajes enviados a ese usuario (que requieren la llave apropiada, ahora comprometida, privada a descifrar) se deben considerar comprometidos también, no importa cuándo fueron enviados.
Tal procedimiento de recuperación puede ser absolutamente complejo, y mientras que está en curso el sistema será probablemente vulnerable contra la negación de los ataques del servicio, entre otras cosas.
Ejemplos
Los ejemplos del de las técnicas dominantes asimétricas well-regarded para los propósitos variados incluyen: Protocolo del intercambio de la llave de Diffie-HellmanDSS (estándar de la firma de Digitaces), que incorpora el algoritmo de la firma de Digitaces
ElGamal
Técnicas elípticas de la curva del vario
Técnicas dominantes Contraseña-authenticadas vario del acuerdo
Sistema criptográfico de Paillier
Algoritmo de encripción del RSA ( PKCS )
Encripción de Cramer-Shoup
Los ejemplos del de la persona notable con todo los algoritmos dominantes asimétricos inseguros incluyen: Merkle-Hellman los algoritmos de la “mochila”
Los ejemplos del de protocolos usar algoritmos dominantes asimétricos incluyen: GPG, una puesta en práctica OpenPGP
IKE
Lavabit, servicio de correo electrónico
PGP
El asegura la capa de zócalo, ahora ejecutada como estándar TLS del IETF
SILC
ssh
.
| Random links: | PC GamePad de Gravis | Newcastle, Tejas | Ángel de Saavedra, duque de Rivas | Resurrección (álbum del vice pelotón) | Andrés Houts |