Раскрытие ключей
Раскрытие ключей
Независимо от типа используемой системы шифрования на каком-то этапе ключи должны быть раскрыты. Если организация подключена к виртуальной частной сети, то с помощью сетевых устройств, на которых осуществляется шифрование, ключи генерируются для тех, кто начинает работу, либо заменяются, если истек срок их действия. Это будет происходить независимо от того, будет ли организация сама поддерживать среду или среду поддерживает провайдер услуг.
Ключи могут быть раскрыты по постановлению правоохранительных органов. Правоохранительные органы могут получить приказ контролировать пересылки данных в сети вашей организации. Если они зашифрованы, то суд может затребовать предоставление всех особенностей используемого алгоритма шифрования, а также ключи, с помощью которых шифруются данные. Несмотря на то, что это может смутить кого угодно, приходится с этим мириться.
Если организация пользуется внешними услугами, в которых используется система шифрования, то часто провайдеры управляют ключами с помощью систем изъятия ключей. Провайдеры будут утверждать, что это упрощает процесс замены ключей. Но это также упрощает раскрытие ключей, причем в организации будет неизвестно, кем это было сделано. Если речь идет об уголовном расследовании, касающемся каким-то образом организации, то правоохранительные органы могут представить ордер провайдеру услуг, а организация даже не будет знать об этом деле. Несмотря на то, что эти фразы могут расцениваться так, как будто автор выступает в защиту сокрытия незаконной деятельности, автор считает, что в данном случае соблюдение организацией законов, а тем более содействие правоприменению будет затруднено.
Обеспечение управления ключами очень важно для обеспечения конфиденциальности зашифрованных данных. Несмотря на то, что правила выглядят весьма проработанными, для избежания путаницы необходимо добавить некоторые предписания. Формулировка правил управления ключами может выглядеть следующим образом.
Криптографические ключи могут быть раскрыты только по требованию правовых органов.
Данная формулировка не затрагивает изъятие ключей, управление ключами сторонними организациями или раскрытие ключей служащих при их увольнении. Это реальные аспекты правил, которые нельзя рассматривать в общем виде. При работе с провайдером услуг организация должна получить от провайдера формулировку правил, разъясняющую его подход к правилам раскрытия ключей.