Глава 22. Хранение секретов
22.9
Совместное владение секретом
Некоторые ключи должны содержаться в условиях повышенной безопас-
ности, например закрытый ключ корневого центра сертификации. Как уже
отмечалось, сохранение ключа в безопасности может оказаться весьма слож-
ной задачей. Еще труднее одновременно обеспечить его безопасность и на-
дежность.
Существует одно криптографическое решение, которое может применять-
ся для хранения секретных ключей. Оно называется
совместным владением
секретом (secret sharing)
, что не совсем корректно, поскольку означает, что
ваш секрет известен еще нескольким людям. Это не так. Идея состоит в том,
чтобы разбить секрет на несколько различных частей. Это можно сделать та-
ким образом, чтобы для восстановления секрета требовалось собрать вместе,
скажем, три из пяти частей. Затем каждая часть секрета передается одному
из руководителей компании. Вся хитрость такого приема заключается в том,
что любые вместе взятые два человека не знают о секретном ключе абсолют-
но ничего.
С академической точки зрения системы совместного владения секретом
выглядят крайне привлекательно. Каждую часть секрета можно хранить
с помощью описанных ранее методов. Правило “
k
из
n
” сочетает в себе высо-
кую безопасность (для восстановления ключа нужны, как минимум,
k
людей)
с высокой надежностью (
n
−
k
частей секрета могут быть утеряны без каких-
либо негативных последствий). Существуют и более изощренные схемы сов-
местного владения секретом, которые подчиняются более сложным правилам
доступа, например: “пользователь А и пользователь Б или пользователь А,
и пользователь В, и пользователь Г”.
В реальной жизни схемы совместного владения секретом применяются
крайне редко, потому что они слишком сложны. Их трудно реализовать, но,
что гораздо важнее, ими сложно руководить. В большинстве компаний нет
группы высокопоставленных сотрудников, которые бы не доверяли друг дру-
гу. Попытайтесь сказать членам правления, что каждому из них будет выдан
идентификатор безопасности с частью секретного ключа и что в случае необ-
ходимости они должны немедленно явиться в офис, даже если им позвонят
в три часа утра в воскресенье. Не забудьте подчеркнуть, что они должны
не только перестать доверять друг другу, но и сохранять собственные части
ключа в секрете даже от остальных членов правления. Им также придет-
ся спускаться в безопасную комнату управления ключами, чтобы получить
новую часть ключа, каждый раз, когда кто-нибудь уйдет из правления или
появится в нем. На практике это означает, что использование членов правле-
ния обречено на провал.
22.10. Уничтожение секретов
383
Директор компании также не слишком подходит для хранения части клю-
ча, поскольку, как правило, постоянно находится в отъезде. Когда вы это,
наконец, осознаете, круг подходящих лиц сузится до двух-трех старших IT-
менеджеров. Они могли бы использовать схему совместного владения секре-
том, но высокая стоимость и сложность этого решения делает его малопри-
влекательным.
Почему бы не воспользоваться чем-то попроще, например сейфом? Ис-
пользование сейфов или банковских хранилищ имеет ряд преимуществ. Все
знают, как они функционируют, поэтому вам не придется слишком долго
обучать своих сотрудников. Кроме того, сейфы и банковские хранилища уже
были тщательно протестированы, в то время как процесс воссоздания сек-
рета крайне сложно тестировать из-за огромного количества взаимодействий
с пользователями. Думаем, никому не хочется, чтобы какая-нибудь незна-
чительная ошибка в процессе воссоздания секрета привела к потере ключа
корневого центра сертификации.
Мы не будем рассматривать функционирование схем совместного владе-
ния секретом в деталях, поскольку, во-первых, для этого нужна довольно
серьезная математическая основа, а во-вторых, схемы совместного владения
секретом применяются крайне редко.
22.10
Уничтожение секретов
Любой, даже самый важный долгосрочный секрет в конце концов прихо-
дится уничтожать. Как только секрет перестает быть нужным, мы должны
очистить место его хранения, чтобы избежать последующего взлома инфор-
мации. Проблемы очистки памяти уже обсуждались в разделе 9.3. Удалить
же долгосрочные секреты из постоянного хранилища еще сложнее.
Схемы хранения долгосрочных секретов, рассмотренные в этой главе, ис-
пользуют целый ряд технологий хранения данных: жесткие диски, бумагу,
дискеты, пластиковые карты с магнитной полосой, память EPROM, EEP-
ROM, флэш-память или память RAM, работающую от батарейки. Ни одна
из этих технологий не обладает задокументированной функциональностью
удаления данных, которая бы гарантировала, что их восстановление невоз-
можно.
22.10.1
Бумага
Уничтожение пароля, записанного на клочке бумаги, обычно подразуме-
вает уничтожение самого клочка бумаги. Один из возможных методов уни-
чтожения — сжечь бумажку с паролем, после чего растереть оставшийся пе-
пел в мелкий порошок или перемешать его с небольшим количеством воды.
384
Достарыңызбен бөлісу: |