Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
Международный научно-исследовательский журнал публикации ВАК
Научные направления
Поделиться:
Статья опубликована в №4 (декабрь) 2013
Разделы: Информационные технологии
Размещена 09.12.2013. Последняя правка: 09.12.2013.

Перспективы внедрения KMIP (Key Management Interoperability Protocol) в существующие криптосистемы

Черемнов Денис Владиславович

NVision Group, НГТУ

Инженер-стажер

Любченко В.И. - руководитель направления информационной безопасности технического отдела Энвижн – Сибирь (Новосибирск)


Аннотация:
На сегодняшний день шифрование данных является одной из первостепенных задач для каждого предприятия. Решение для централизованного управления ключами на предприятии имеет решающее значение для обеспечения надлежащего уровня защиты корпоративных данных от случайного или преднамеренного доступа.


Abstract:
To date, data encryption is one of the main tasks for each enterprise. Solution for centralized key management in the enterprise is critical to ensure an adequate level of protection of corporate data from accidental or intentional access.


Ключевые слова:
криптография, управление ключами, криптосистема, протокол

Keywords:
cryptography, key management, cryptosystem, protocol



УДК:004.056.53


Значимость шифрования на предприятиях уже больше ни для кого не остается под вопросом. Однако, многие предприятия сталкиваются с серьёзной задачей: как преодолеть существенные временные и денежные затраты, необходимые для управления ключами шифрования?

Предприятия, которые серьезно относятся к защите и целостности своих данных, данных их клиентов и/или соблюдению правительственных постановлений, больше но воспринимают всерьез разговоры о значимости шифрования. Скорее, они признают, что шифрование данных имеет решающее значение для репутации предприятия, и даже его долгосрочной жизнеспособности. 

Хорошая и плохая новость заключается в том, что у предприятия есть возможность шифрования данных на нескольких уровнях в рамках своей инфраструктуры. Данные могут быть зашифрованы на уровне:
 
  • Приложения
  • Файловой системы
  • Сетевого оборудования
  • Устройств хранения данных
  • Другие. Например, на мобильных устройствах или в облаке.
        
         В большинстве своем, предприятия разделяют шифрование между разными уровнями и в конечном счете это приводит к:
 
  • Громоздким решениям. Нужно много усилий для того, чтобы создавать, распространять, хранить, менять ключи и организовать корректное взаимодействие между разрозненными (в т.ч. и географически) частями единой криптосистемы. Как результат, возникают проблемы с масштабируемостью инфраструктуры.
  • Повышению затрат на IT. Зачастую, это выражается в необходимости содержать в штате организации специалиста по информационной безопасности.
  • Проблемы с техническими требованиями, прохождением аудитов на предприятии.
  • Потеря данных, как результат недостаточного контроля за ключами шифрования.
 
Отсутствие эффективного решения и централизованного управления ключами, которое охватывало бы все уровни, на которых может возникнуть необходимость в шифровании, было и остается самым большим препятствием для всеобщего принятия шифрования.

Необходимо мощное решение, позволяющее безопасно, централизованно и эффективно управлять криптосистемами и криптоключами на протяжении соответствующих жизненных циклов. Потребность в решении данных проблем стимулировала создание протокола управления взаимодействием ключей (KMIP, Key Management Interoperability Protocol) в 2009 г. консорциумом OASIS (Advancing Open Standarts for the Information Society), который спонсируется такими компаниями как IBM, Oracle, Microsoft.

KMIP - низкоуровневый протокол используемый для осуществления запросов и доставки ключей между сервером по управлению ключами и системой шифрования, использующий стандартные форматы для именования ключей и выявления их атрибутов. Атрибутами ключа могут являться политики безопасности, определяющие каким образом могут использоваться ключи. 

Решение, поддерживающее KMIP, позволяет с легкостью контролировать криптосистемы и хранилища от различных производителей (использующих свои уникальный методологии по управлению ключами) при помощи централизованной системы управления жизненными циклами ключей. Также, протокол позволяет использовать решения с открытым исходным кодом, в которых не существует собственных механизмов по управлению ключами.

         Таким образом, организации получают, использующие решения, совместимые с KMIP, получают:

  • Гибкость в развертывании шифрования на любом уровне без значительного повышения затрат и увеличения сложности
  • Возможность администрировать криптографические политики, ключи где бы они не находились: в облачных средах, хранилищах или же на мобильных устройствах.
  • Высокие показатели доступности данных и масштабируемости инфраструктуры.
 
         KMIP по прежнему сталкивается с рядом проблем на пути своего массового распространения:
 
  • Во-первых, KMIP должен вытеснить существующие «традиционные» решения.
  • Во-вторых, необходимо, чтобы как можно больше вендоров в области ИБ поддерживали его и осуществляли техническую поддержку: необходимо сформировать полноценную поддержку, обучение и методологию по развертыванию KMIP на предприятии)
         Однако, некоторые факторы наоборот работают на пользу широкому распространению протокола:

  • Шифрование по-прежнему не так широко распространено на предприятиях.
  • Экономическая выгода. Решения, основанные на нынешних методологиях по управлению ключами, слишком затратные для предприятий. Руководству, в первую очередь, хотелось бы видеть снижение расходов.
Эти факторы в сочетании с тем фактом, что KMIP набирает обороты, как платформа с открытым исходным кодом, должны поспособствовать принятию KMIP в качестве общепризнанного стандарта среди поставщиков услуг в сфере шифрования. 

Библиографический список:

1. Cайт OpenStack-[Электронный ресурс]-Режим доступа: https://wiki.openstack.org/wiki/KMIPclient
2. Cайт CoverPages-[Электронный ресурс]-Режим доступа: http://xml.coverpages.org/KMIP/KMIP-FAQ.pdf
3. Официальный сайт консорциума OASIS-[Электронный ресурс]-Режим доступа: https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=kmip
4. Презентация консорциума OASIS-[Электронный ресурс]-Режим доступа: http://storageconference.org/2010/Presentations/KMS/3.Sankuratripati.pdf
5. Презентация фирмы Vormetric-[Электронный ресурс]-Режим доступа: http://www.slideboom.com/presentations/603416/Security-Policy-and--Key-Management-from-Vormetric




Рецензии:

9.12.2013, 20:50 Назарова Ольга Петровна
Рецензия: Кратко, но по делу. Рекомендуется к печати.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх