Глава 21. Практические аспекты PKI
ленник все-таки узнает ключ. Это нарушит безопасность системы и приведет
к нанесению некоторого ущерба. (Отзыв сертификата эффективен только
в том случае, если вы узнаете, что злоумышленник взломал ключ. Умный
злоумышленник никогда не даст себя обнаружить.) Нанесение ущерба будет
продолжаться до тех пор, пока вы не смените ключ. Ограничивая время жиз-
ни одного ключа, мы ограничиваем время воздействия злоумышленника на
систему в случае его успешных действий.
Как видите, короткое время жизни ключа имеет два преимущества. Оно
снижает вероятность того, что злоумышленник узнает ключ, и ограничивает
объем ущерба, который будет нанесен системе, если злоумышленник все же
добьется успеха.
Каким же должно быть разумное время жизни ключа? Все зависит от си-
туации. Изменение ключей влечет за собой дополнительные расходы, поэтому
менять их слишком часто тоже не нужно. С другой стороны, если вы меняе-
те ключи только раз в 10 лет, можете не сомневаться: когда через 10 лет вы
запустите функцию обновления ключей, она не сработает. Как показывает
практика, функция или процедура, которая редко используется или тести-
руется, на деле оказывается неисправной
2
. Пожалуй, наибольшая опасность
применения “долгоживущих” ключей состоит в том, что функция обновления
ключей никогда не используется, а следовательно, в случае необходимости
вряд ли сработает так, как нужно.
Процедуры изменения ключей, требующие участия пользователя, относи-
тельно дороги, а потому должны выполняться нечасто. Рекомендуемый срок
жизни таких ключей составляет от одного месяца и выше. Управление клю-
чами с меньшим временем жизни должно осуществляться автоматически.
21.4
Так что же нам делать?
К сожалению, мы не можем ответить на этот вопрос, ничего не зная о при-
ложении, с которым вы работаете, и об окружении, в котором оно будет
функционировать. Мы можем дать массу подробных советов относительно
функций шифрования и даже протоколов согласования ключей, но управ-
ление ключами — проблема не столько криптографическая, сколько касаю-
щаяся взаимодействия с реальным миром. В этой и предыдущих главах вы
познакомились с общими принципами, которых, конечно же, недостаточно
для разработки системы управления ключами. Тем не менее, на наш взгляд,
невозможно дать хороший совет, ничего не зная о конкретной ситуации. Впро-
чем, давать личные советы в книге вряд ли уместно.
2
Данный стереотип применим ко всем сферам нашей жизни и является главной при-
чиной того, почему мы должны всегда проверять процедуры экстренного реагирования
(например, проводить пожарные учения).