قائمة طعام
مجانا
تحقق في
الصفحة الرئيسية  /  البرامج / كيفية حماية مفتاح عمومي من الاستبدال. أدوات تدمير وسائل الإعلام

كيفية حماية مفتاح عمومي من الانتحال. أدوات تدمير وسائل الإعلام

مساوئ هذه الخصائص البيئية مثل رقم سري، تكوين الأجهزة ، ملف المفتاح ، المعلومات في القطاع السري للقرص ، هو أن المهاجم يمكنه بسهولة الكشف عنها واختراقها عن طريق تقليدها.

للقضاء على أوجه القصور هذه ، يجب وضع خصائص البيئة في أجهزة خارجية محمية إلى أقصى حد من NSD ، مما يعقد محاكاتها وتكرارها.

يتم توفير هذه الفرصة عن طريق المفاتيح الإلكترونية. إنهم يفرضون بيئة PA ، وخصائص بيئة مقاومة للمحاكاة والازدواجية.

المفاتيح هي تطوير شركة Aladdin الإسرائيلية ويتم استخدامها لـ ZPO من NS: فهي تمنع إطلاق البرامج في حالة عدم وجود مفاتيح إلكترونية ، وتحد من العدد الأقصى للنسخ ، والتشغيل المتزامن للبرامج على الشبكة ، وتحد من وقت البرنامج وتحد من الحد الأقصى لعدد بداياته.

أنواع المفاتيح الإلكترونية HASP.

  • 1. HASP4 قياسي
  • 2. مذكرة HASP4
  • 3. الوقت HASP4
  • 4. HASP4 نت

أبسط تعديل لمفاتيح HASP الإلكترونية. يشمل فقط وظيفة التشفير ووظيفة الاستجابة المرتبطة بها. التكلفة 13 دولارًا. يمكنه تنفيذ وظائف الحماية التالية:

  • 1. التحقق من وجود مفتاح إلكتروني
  • 2. تطبيق وظيفة استجابة للإدخال معان مختلفة وقارن الإجابة بالقيم المرجعية
  • 3. استخدم وظيفة التشفير لتشفير فك تشفير كود تنفيذ البرنامج أو البيانات المستخدمة.

العناصر الأساسية للحماية

ترتبط سلسلة معينة بكل مفتاح من المفاتيح الإلكترونية ، والتي تحدد تطورًا معينًا منتج البرنامج وهو ممكن تمامًا بناءً على طلب الشركة المصنعة لكل منتج برمجي ينتجه. ضمن سلسلة واحدة ، تحتوي المفاتيح الإلكترونية على وظيفة تشفير واحدة ووظيفة استجابة واحدة. للوصول إلى وظائف المفتاح الإلكتروني ، يلزم معرفة رمز الوصول (2 × 16 بت). ضمن نفس السلسلة ، رموز الوصول هي نفسها. لا يحتاج مستخدم البرنامج إلى معرفة هذه الرموز ، فهي معروفة فقط للشركة المصنعة.

تتضمن هذه المفاتيح جميع وظائف HASP Standart. بالإضافة إلى ذلك ، لديهم رقم تعريف فريد وحجم معين من الذاكرة غير المتطايرة.

  • نوعان من حيث حجم الذاكرة غير المتطايرة:
    • HASP4 M1 - 112 بايت
    • HASP4 М4 - 496 بايت

بالإضافة إلى تلك الوظائف التي يمكن تنفيذها باستخدام HASP4 Standart ، يمكن لهذه المفاتيح:

  • 4. تخزين في ذاكرة غير متطايرة العديد من المعلومات السرية المستخدمة لحماية البرامج (المفاتيح وعناوين الانتقال وما إلى ذلك)
  • 5- من الممكن تخزين معلومات الذاكرة غير المتطايرة حول وحدات البرامج المنفصلة والمتصلة والمتاحة للمستخدم
  • 6. من الممكن حماية البرامج من خلال عدد عمليات الإطلاق.

باستخدام هذا المفتاح ، من الممكن تحديد وقت تشغيل البرنامج ، وكقاعدة عامة ، يتم استخدامه لإنشاء إصدارات تجريبية من البرامج بتكلفة عالية ، أو عند تأجير البرامج.

يتضمن تقويمًا مدمجًا مع التاريخ والوقت. يتم استخدامه لحماية البرامج حسب شروط الاستخدام.

يُستخدم لتحديد الحد الأقصى لعدد نسخ البرامج التي تعمل في نفس الوقت على الشبكة.

طرق الحماية البرمجيات باستخدام مفاتيح HASP الإلكترونية

يمكن تنفيذه باستخدام آليات مدمجة ورسو السفن.

مدمج - HASP API.

لرسو السفن مغلف HASP.

تتضمن مفاتيح HASP Memo و Time و Net نظامًا فرعيًا سيطرة كاملة الوصول (FAS) ، والذي يسمح بحماية العديد من البرامج لنفس الشركة المصنعة في نفس الوقت ، والحد منها اعتمادًا على نوع المفاتيح بعدد عمليات التشغيل ، حسب فترة الصلاحية ، بعدد النسخ التي يتم إطلاقها في وقت واحد.

المفاتيح الإلكترونية تمتلك HASP Memo و Time و Net القدرة على إعادة برمجتها عن بُعد باستخدام نظام RUS الفرعي.

للتنفيذ جهاز التحكم يتم تشكيل 2 مرافق: البائع والمشتري. يتم تشكيلها لمفتاح إلكتروني محدد مرتبط برقم التعريف الخاص به.

أمان رمز النمط

تعتمد آلية PCS على إدخال القوالب في الكود المصدري للبرامج ، والتي تحدد وظائف معينة للوصول إلى المفتاح الإلكتروني. سيتم استدعاء هذه الوظائف المحددة في القوالب طريقة خفية من كود البرنامج القابل للتنفيذ. لن يتم استدعاء إجراء HASP صراحة بالنسبة لهم. عندما يتم إجراء مكالمة صريحة إلى HASP من قبل مطور الأمان لإنجاز مهامه ، يقوم البرنامج تلقائيًا بتنفيذ سلسلة من استدعاءات الوظائف المخفية المحددة في قوالب PCS. في المجموع ، يمكنك تحديد ما يصل إلى 25 نموذجًا من هذا القبيل. من خلال تقديم استدعاءات للإجراءات المخفية من خلال هذه القوالب ، يمكن لمطور الأمان أن يعقد بشكل كبير تتبع آليات الأمان ، مما يجعل من الصعب على التدخل الخارجي في عملهم.

المهاجم ، الذي يقوم بتعطيل مكالمة HASP صريحة ، في الواقع يعطل العديد من المكالمات المخفية ، والتي تؤثر نتيجة تنفيذها على تشغيل البرنامج ، على سبيل المثال ، يمكن للمكالمات فك تشفير الرمز ، وتلقي استجابات من المفتاح الإلكتروني ، والتي سيتم تنفيذها أثناء التشغيل الإضافي للبرنامج.

كيفية حماية مفتاح عمومي من الانتحال

في بيئة نظام تشفير المفتاح العام ، لا تحتاج إلى حماية المفاتيح العامة من الاختراق. على العكس من ذلك ، فهي أفضل بكثير عندما تكون منتشرة. ولكن من المهم جدًا حمايتها من التزوير ، بحيث تظل دائمًا واثقًا من أن مفتاحًا عامًا معينًا ينتمي حقًا إلى الشخص المذكور اسمه في معلومات الشهادة. هذه هي أضعف نقطة في أنظمة تشفير المفتاح العام وهذه نقطة ضعفها الرئيسية. دعونا نتخيل أولاً حادثة محتملة ، ثم نتعرف على كيفية منعها.

لنفترض أنك بحاجة إلى إرسال رسالة سرية إلى أليس. يمكنك تنزيل شهادته والمفتاح العام من خادم الإيداع ، ثم تشفير الحرف بهذا المفتاح وإرساله عبر البريد الإلكتروني.

لسوء الحظ بالنسبة لك ولأليس ، أنشأ مهاجم مالوري زوج المفاتيح الخاص به مع بيانات اعتماد أليس في الشهادة (الاسم والبريد الإلكتروني) ، واخترق الخادم ، وعبث بهدوء بمفتاح أليس العام الحقيقي باستخدام مزيفه. دون أدنى شك ، لقد استخدمت مفتاح مالوري المزيف بدلاً من مفتاح أليس العام ، لأنه بدا معقولًا تمامًا ، لأن المفتاح المزيف كان له هوية أليس. يمكن لمالوري الآن اعتراض وفك تشفير الرسالة المخصصة لأليس ، نظرًا لأنه يمتلك المفتاح الخاص المقابل في حوزته. يمكنه حتى إعادة تشفير الرسالة باستخدام مفتاح أليس الحقيقي وإرسالها إلى وجهتها ، حتى لا يلاحظ أحد أي شيء مريب. علاوة على ذلك ، يمكنه عمل توقيعات المفاتيح الخاصة به التي يُزعم أنها تنتمي إلى أليس ، حيث سيستخدم الجميع مفتاحه العام المزيف للتحقق منها.

الطريقة الوحيدة لتجنب هذه المشكلة هي تجنب الاحتيال على المفتاح العام. هذا ليس بالأمر الصعب إذا تلقيت مفتاح أليس العام مباشرةً منها شخصيًا ، ولكن يمكن أن يكون ذلك مشكلة كبيرة إذا كانت على بعد آلاف الأميال منك أو فقط هذه اللحظة غير متوفر.

يمكنك على الأرجح الحصول على مفتاح أليس من صديقك المشترك ديفيد ، الذي لديه نسخة أصلية من مفتاحها العام. يمكن لـ David توقيع مفتاح Alice العام بمفتاحه الخاص ، وبالتالي ضمان صلاحيته.

لذلك ، سيصادق ديفيد على شهادة المفتاح ، والتي ستشير إلى أن مفتاح أليس لم يتم تزويره. في الوقت نفسه ، يتطلب التحقق من توقيع الضامن على الشهادة أن يكون لديك نسخة أصلية من مفتاح ديفيد العام. ربما يستطيع ديفيد أيضًا تزويد أليس بنسخة آمنة من مفتاحك. وبالتالي ، سيصبح وسيطًا موثوقًا به بينك وبين أليس.

يمكن تحميل شهادة المفتاح العام الموقعة من Alice بنفسها أو بواسطة David إلى خادم الإيداع حتى تتمكن من استلامها في أي وقت. بعد تنزيل الشهادة ، تقوم بالتحقق من التوقيع باستخدام مفتاح David العام ويمكنك التأكد من أن هذا هو في الواقع مفتاح أليس العام الحقيقي. لا يمكن لأي محتال أن يخدعك لتمرير مفتاحه المزيف على أنه مفتاح أليس ، حيث لا يمكن لأحد تزوير توقيع ديفيد الذي يشهد على هذا المفتاح.

قد يتخصص شخص معروف ومحترم في خدمات الوساطة والتمثيل بينهما بواسطة مستخدمين مختلفينمن خلال التوقيع على شهادات المفاتيح العامة الخاصة بهم. يمكن تسمية هذا الشخص الموثوق به بالمرجع المصدق. يمكن اعتبار الشهادة الرقمية لأي مفتاح عمومي تحتوي على توقيع سلطة التصديق هذه على أنها أصلية ومملوكة فعليًا للمستخدم الذي تم تحديد هويته في معلومات الشهادة. سيحتاج أي مستخدم يرغب في المشاركة في شبكة الثقة هذه إلى نسخة موثوقة من المفتاح العام لـ CA للتحقق من التوقيعات. في بعض الحالات ، يمكن أن يعمل المرجع المصدق أيضًا كخادم إيداع ، مما يسمح لمستخدمي الشبكة بطلب مفاتيح عامة منه ؛ ولكن ليست هناك حاجة لخادم الحافظ للمصادقة على المفاتيح.

المرجع المصدق المركزي الموثوق به مناسب بشكل خاص للشركات الكبيرة و وكالات الحكومة من عند نظام موحد إدارة. تستخدم بعض المنظمات التسلسلات الهرمية للمرجع المصدق.

في بيئة أكثر لامركزية ، تكون قدرة جميع المستخدمين على العمل كممثلين وضامنين موثوقين لأصدقائهم وزملائهم أفضل من مصدر مركزي للشهادة الرئيسية.

تتمثل إحدى الميزات الجذابة لـ PGP في أنها تعمل بشكل جيد في بيئة مركزية مع سلطة تصديق وفي بيئة أكثر لامركزية حيث يتبادل المستخدمون مفاتيحهم الخاصة بأنفسهم.

أصعب مشكلة هي مجموعة من الإجراءات لحماية المفاتيح العامة من التزييف تطبيقات عملية أنظمة تشفير المفتاح العام. هذا هو كعب أخيل لجميع عمليات التشفير غير المتماثل ، والأهم من ذلك كله ، ترتبط آليات PGP بدقة بحل هذه المشكلة الرئيسية.

لا تستخدم المفتاح العام لشخص آخر حتى تكون مقتنعًا تمامًا أنه ليس مزيفًا ، ولكنه المفتاح الحقيقي للشخص الذي يشار إلى هويته في معلومات الشهادة. يمكنك التأكد من صحة المفتاح إذا تلقيته مباشرة من المالك أثناء اجتماع شخصي ، أو إذا تم توقيع شهادته من قبل شخص تثق به ، بشرط أن يكون لديك نسخة موثوقة من مفتاح الضامن. بالإضافة إلى ذلك ، يجب أن تعكس معلومات الشهادة كلاً من الاسم الأول والأخير للمستخدم ، وليس الاسم الأول فقط.

مهما كانت خبرتك ، احرص على عدم الاعتماد على أصالة المفتاح العام الذي تم تنزيله من خادم الإيداع أو موقع الويب ما لم يتم المصادقة عليه من قبل شخص تثق به. مثل هذا المفتاح العمومي غير المعتمد كان يمكن العبث به أو استبداله من قبل أي شخص ، ربما حتى مدير النظام الخادم أو الموقع.

إذا طُلب منك التوقيع على مفتاح شخص ما ، فتأكد أولاً من أنه ينتمي حقًا إلى الشخص المحدد في تعريف الشهادة ، لأن التوقيع على شهادة المفتاح العام هو ضمانك لأصالتها وانتمائها إلى الشخص المحدد. كل من يثق بك سيأخذ هذا المفتاح العام على أنه صالح لأنه يحمل توقيعك المعتمد. لا تعتمد على المضاربة ورأي شخص آخر: قم بالتوقيع على المفتاح العام فقط عندما تكون مقتنعًا شخصيًا ومباشرًا بانتمائه للمالك المعلن. يفضل التوقيع فقط على تلك المفاتيح التي تم استلامها مباشرة من أصحابها الحقيقيين.

لتوقيع شهادة مفتاح ، يجب أن تكون أكثر ثقة في مصداقيتها أكثر من ثقتك في استخدامك الشخصي لتشفير الرسائل. للمصادقة على المفتاح للاستخدام الشخصي فقط ، يكفي توقيع الضامن الموثوق به. ولكن من أجل التوقيع على المفتاح بنفسك ، فأنت بحاجة إلى اقتناعك المباشر والمستقل بمن يمتلك المفتاح بالفعل. قد ترغب في الاتصال بالمالك (تأكد من التحدث إلى الشخص المناسب) واطلب منه قراءة المفتاح المطبوع للتأكد من أن المفتاح الذي لديك هو نسخة طبق الأصل من الأصل.

انتبه: توقيعك على شهادة المفتاح لا يضمن الثقة صاحب؛ إنها تضمن فقط موثوقية (أصالة) هذا المفتاح العمومي... لا تخاطر بسمعتك بالتوقيع على مفتاح معتل اجتماعيًا إذا كنت مقتنعًا تمامًا أن المفتاح ملكه حقًا. سيعتقد الأشخاص الآخرون أن المفتاح أصلي لأنه تم توقيعه بواسطتك (على افتراض أنهم يثقون بك) ، لكنهم لن يثقوا في مالكه كشخص. الثقة في نزاهة المفتاح والثقة بمالكه ليسا نفس الشيء.

من المفيد الاحتفاظ بالمفتاح العام الخاص بك جنبًا إلى جنب مع مجموعة من التوقيعات المعتمدة من عدد من الرعاة على أمل أن يثق معظم الناس في التوقيع المعتمد لواحد منهم على الأقل. يمكنك وضع مفتاحك مع مجموعة من التوقيعات في مستودعات مختلفة. إذا وقعت على المفتاح العمومي لشخص آخر ، فأعد نسخته مع توقيعك مرة أخرى إلى المالك ؛ بهذه الطريقة يمكنك التصرف كممثل لها.

تأكد من عدم تمكن أي شخص من العبث بملف حلقة المفاتيح العامة الخاص بك. يعتمد التحقق من التواقيع على شهادة المفتاح الجديدة كليًا على سلامة المفاتيح العامة الموثوقة الموجودة بالفعل في حلقة المفاتيح. إبقاء الرباط تحت السيطرة الجسدية ؛ يُنصح بتخزينه ، بالإضافة إلى المفتاح الخاص ، على جهاز الكمبيوتر الشخصي الخاص بك ، بدلاً من تخزينه في نظام متعدد المستخدمين مع وصول مجاني أو كمبيوتر شخصي للخدمة ؛ هذا ضروري لحماية الحزمة من التزييف ، وليس من التنازل. مواكبة موثوقة دعم مجموعات من المفاتيح العامة والخاصة على وسيط خارجي محمي ضد الكتابة ، على سبيل المثال ، على قرص مضغوط.

نظرًا لأن المفتاح العام الخاص بك هو المصدر الأخير للمصادقة المباشرة أو غير المباشرة لجميع المفاتيح الأخرى على حلقة المفاتيح ، فإن هذا المفتاح هو الأكثر أهمية للحماية من التزوير. من الأفضل أن تقوم بنسخه احتياطيًا ووضعه على وسيط آمن.

يفترض PGP منطقياً أنك تحتفظ بسلاسل المفاتيح الخاصة بك ، و PGP نفسه ، والنظام ككل ، في أمان مادي كامل. إذا تمكن المهاجم من الوصول إلى جهاز كمبيوتر ، فيمكنه من الناحية النظرية تغيير البرنامج ، مما يجعل جميع آلياته للكشف عن المفاتيح غير الصالحة غير فعالة.

هناك طريقة معقدة إلى حد ما لحماية سلسلة المفاتيح العامة بالكامل من التزوير وهي توقيع ملفها بمفتاح خاص. يمكنك القيام بذلك عن طريق إنشاء ملفات التوقيع القابل للإزالة(توقيع منفصل) والتحقق منه بانتظام.

من كتاب البرمجيات والأنظمة التطبيقية المجانية في المدرسة مؤلف مكسيم متقاعد

من كتاب البرمجيات والأنظمة الحرة في المدرسة مؤلف مكسيم متقاعد

الفصل الرابع "المكتب المفتوح" على الرغم من أن برامج "المكتب" مع انتشار الشبكات وبرامج الاتصال لم تعد هي التطبيق الرئيسي حواسيب شخصية، لا يزالون يتمتعون بشعبية كبيرة ، وفي المناهج الدراسية يتم تعيين أهمية لهم (ربما حتى

من دليل مستخدم Fedora 8 مؤلف

6.1.1. المكتب المفتوح: ما هو؟ ليس سرا أن الشيء الرئيسي جناح المكتب في العالم هو MS Office. نعم ، لا تعمل جميع أجهزة الكمبيوتر الموجودة في ظل إدارة النوافذ، ولكن لا أحد يجادل في أن معظم أجهزة الكمبيوتر المكتبية والمنزلية * تستخدم بالضبط

من كتاب Internet Intelligence [A Guide to Action] مؤلف يوشوك يفجيني ليونيدوفيتش

كيفية حماية جهاز الكمبيوتر الخاص بك من القرصنة الوسائل التقنية يجب أن أقول إن المتسللين أنفسهم يعترفون بأن القرصنة بالوسائل التقنية غالبًا ما تكون صعبة. هذا يرجع إلى حقيقة أن الشركات المصنعة للبرامج والأجهزة تراقب باستمرار

مؤلف ريموند إريك ستيفن

من كتاب مجلة ديجيتال "كمبيوتررا" رقم 86 مؤلف مجلة كمبيوتررا

من كتاب The Art of Unix Programming مؤلف ريموند إريك ستيفن

DLP: How to Protect Secrets from Leakage Viktor Ivanovsky نُشر في 15 سبتمبر 2011 تقدم لنا ويكيبيديا ما يصل إلى أربعة خيارات لفك التشفير ، اثنان منها - معالجة الضوء الرقمي وديزني لاند باريس - يتم تجاهلها لأسباب تتعلق بالمنطق الأولي ، والاثنان الآخران - منع فقدان البيانات و

من كتاب PGP: ترميز معلومات المفتاح العام وتشفيرها. المؤلف ليفين مكسيم

16.7.1. ما يُعرَّف بأنه مفتوح المصدر قد يقيد الترخيص أو يشترط أيًا من الحقوق التالية: الحق في النسخ والنسخ ، والحق في الاستخدام ، والحق في التعديل للاستخدام الشخصي ، والحق في إعادة الإنتاج

من كتاب Home Computer المؤلف كرافتسوف رومان

19.1. يستفيد تطوير المصادر المفتوحة المصدر مفتوح المصدر و Unix من حقيقة أن العثور على الأخطاء وإصلاحها ، على عكس ، على سبيل المثال ، تنفيذ خوارزمية معينة ، هي مهمة يمكن تقسيمها إلى عدة موازية

من الكتاب لينكس من خلال العيون هاكر مؤلف فلينوف ميخائيل إيفجينيفيتش

كيفية حماية المفاتيح الخاصة من الكشف. حماية مفتاحك الخاص وعبارة المرور بعناية. دقيق حقا. إذا حدث تعرض مفتاحك الخاص للاختراق ، فأخبر جميع الأطراف المهتمة به على وجه السرعة قبل أن يكون لديك

من كتاب المجلة الرقمية "Computerra" 217 مؤلف مجلة كمبيوتررا

كيفية حماية جهاز الكمبيوتر الخاص بك على الإنترنت لقد بدا لي دائمًا أنه من المستحيل تقريبًا أن يتمكن شخص ما من اقتحام جهاز الكمبيوتر الخاص بي أثناء تواجدي على الإنترنت! أولاً ، من يحتاج إليها ، وثانيًا ، للقيام بذلك ، يجب أن يكون لديك مؤهل عالٍ بدرجة كافية. وثالثا

من كتاب إخفاء الهوية وأمن الإنترنت. من "إبريق الشاي" للمستخدم مؤلف Kolisnichenko دينيس نيكولايفيتش

1.3 هل المصدر المفتوح آمن؟ ويعتقد أن البرمجيات مفتوحة المصدر مصدر الرمز أكثر موثوقية وأمانًا من الأنظمة التجارية. يعتقد مؤيدو هذا الادعاء أن العديد من الأشخاص يبحثون عن مثل هذا النظام طرق مختلفة وبالتالي تكشف كل ما هو ممكن

من الكتاب كمبيوتر مكتبي للنساء مؤلف باسترناك يفغينيا

كيفية حماية متصفحك من التغييرات غير المرغوب فيها على الإعدادات Oleg Nechay تم النشر في 21 مارس 2014 من السهل فقدان إعدادات المتصفح المعتادة: ما عليك سوى الانتقال إلى بعض المواقع المخادعة أو التنزيل تطبيق مجاني,

من كتاب Notebook [Secrets استخدام فعال] مؤلف بتاشينسكي فلاديمير

الفصل 9. كلمة مرور جيدة... كيف تحمي صفحتك بتنسيق شبكة اجتماعية من السرقة؟ 9.1 اختيار كلمة مرور جيدة يستخدم العديد من المستخدمين كلمات مرور مثل 1 ، 1234 ، qwerty ، ثم يتساءلون لماذا صندوق بريد أو تم اختراق صفحة على إحدى الشبكات الاجتماعية. الجواب بسيط - لها

من كتاب المؤلف

حماية هذه الميزة لمن لا يريدون تصحيح نصه. إذا نقرت على زر حماية المستند واخترت أمر تقييد التنسيق والتحرير ، ستظهر لوحة إضافية (الشكل 1.115) وكما ترى من الشكل ، يمكنك

من كتاب المؤلف

كيفية حماية الكمبيوتر المحمول الخاص بك الكمبيوتر المحمول متين بدرجة كافية. ومع ذلك ، هناك العديد من المواقف في العالم من حولنا التي يمكن أن تدمر جهاز كمبيوتر محمول. قد يبدو الأمر غريبًا ، لكن معظم أجهزة الكمبيوتر المحمولة تموت في ظل ظروف تافهة للغاية. لا

- (خزانة واقية من التخريب) (خزانة الحماية الإنجليزية) خزانة الاتصالات السلكية واللاسلكية لوضع وحماية معدات الاتصالات السلكية واللاسلكية (الخوادم ، أجهزة التوجيه ، المفاتيح ، المودم ، بدالات الهاتف، عناصر التقاطع الضوئية ... ... ويكيبيديا

مفتاح الكتروني - هذا المصطلح له معاني أخرى ، انظر المفتاح الإلكتروني (المعاني). مفتاح إلكتروني (أيضًا مفتاح جهاز ، وأحيانًا يكون دونجل من دونجل إنجليزي) المعدات، مصمم لحماية البرامج (البرامج) والبيانات من ... ... ويكيبيديا

PGP - خصوصية جيدة جدًا بقلم Philip Zimmermann المطور Philip Zimmermann مكتوب بلغات متعددة نظام لينكس، Mac OS X ، الإصدار الأول من Windows 1991 موقع ... ويكيبيديا

تشفير Vernam - (اسم آخر: مخطط لوحة زمنية واحدة باللغة الإنجليزية للوسادات التي يمكن التخلص منها) في التشفير ، وهو نظام تشفير متماثل اخترعه في عام 1917 موظفو AT T الرائد جوزيف موبورن وجيلبرت فيرنام. تشفير Vernam ... ... ويكيبيديا

دونجل - المفتاح الإلكتروني (أيضًا مفتاح الأجهزة ، وأحيانًا دونجل من الدونجل الإنجليزي) هو أداة أجهزة مصممة لحماية البرامج (البرامج) والبيانات من النسخ والاستخدام غير القانوني والتوزيع غير المصرح به. ... ... ويكيبيديا

خوارزمية Diffie - خوارزمية Diffie Hellman (الإنجليزية Diffie Hellman ، DH) وهي خوارزمية تسمح لطرفين بالحصول على مفتاح سري مشترك باستخدام قناة اتصال غير محمية ، ولكنها محمية من الانتحال. يمكن استخدام هذا المفتاح ... ويكيبيديا

تشفير غير قابل للكسر - (Vernam cipher) - في التشفير ، فئة كاملة من الأنظمة ذات قوة تشفير مطلقة ، والمعروفة على نطاق واسع باسم "منصات / إدخالات يمكن التخلص منها" .. المحتويات 1 تاريخ الإنشاء 2 الوصف ... ويكيبيديا

خوارزمية Diffie-Hellman - (English Diffie Hellman، DH) خوارزمية تسمح لطرفين بالحصول على مفتاح سري مشترك باستخدام قناة اتصال غير محمية من التنصت ، ولكنها محمية من الانتحال. يمكن استخدام هذا المفتاح لتشفير المزيد من التبادل باستخدام ... ... ويكيبيديا

WPA - و WPA2 (الوصول المحمي بتقنية Wi Fi) هو برنامج مُحدَّث لإصدار الشهادات للجهاز لاسلكي... يحل WPA محل تقنية الأمان الشبكات اللاسلكية WEP. فوائد WPA هي تحسين أمان البيانات ... ويكيبيديا

وسادة يمكن التخلص منها

لوحة التشفير - تشفير Vernam (اسم آخر: مخطط لوحة زمنية واحدة للوسادات التي تستخدم لمرة واحدة) في التشفير ، وهو نظام تشفير متماثل اخترعه في عام 1917 موظفو AT T الرائد جوزيف موبورن وجيلبرت فيرنام. تشفير Vernam هو ... ... ويكيبيديا

تستمر الحلول القائمة على البنية التحتية للمفاتيح العمومية (PKI) في الازدياد في شعبيتها - حيث تنتقل المزيد من المواقع إلى HTTPS ، وتتبنى الشركات شهادات رقمية لمصادقة المستخدم والكمبيوتر ، وتثبت S / MIME قيمتها في التشفير. البريد الإلكتروني، وكوسيلة للتحقق من مصدر الرسائل لمواجهة التصيد الاحتيالي. لكن التشفير والمصادقة في هذه التطبيقات لا معنى له عمليا بدون إدارة المفاتيح المناسبة.

في كل مرة تقوم فيها بإصدار شهادة رقمية من مرجع مصدق (CA) أو شهادة موقعة ذاتيًا ، يجب عليك إنشاء زوج مفاتيح خاص وعام. أفضل الممارسات هي أن تكون مفاتيحك الخاصة آمنة وسرية! إذا استلمها شخص ما ، فسيكون قادرًا ، اعتمادًا على نوع الشهادة ، على إنشاء مواقع تصيد باستخدام شهادة مؤسستك في شريط العناوين ، للمصادقة في شبكات الشركاتعن طريق انتحال هويتك أو توقيع المرفقات أو المستندات نيابة عنك أو قراءة رسائل البريد الإلكتروني المشفرة.

في كثير من الحالات ، تكون المفاتيح السرية هي الهوية الشخصية لموظفيك (وبالتالي فهي جزء من البيانات الشخصية للمؤسسة) ، لذا فإن أمانهم يعادل أمان بصمات الأصابع عند استخدام بيانات الاعتماد البيومترية. لن تسمح للقراصنة بالحصول على بصمتك ، أليس كذلك؟ نفس الشيء مع المفاتيح الخاصة.

في هذه المقالة ، سنناقش خيارات تأمين وتخزين المفاتيح الخاصة. كما سترى ، قد تختلف هذه الخيارات قليلاً اعتمادًا على نوع الشهادة (الشهادات) وكيفية استخدامها (على سبيل المثال ، تختلف التوصيات الخاصة بشهادات SSL / TLS عن التوصيات الخاصة بشهادات المستخدم النهائي).

مخازن الشهادات / المفاتيح في نظام التشغيل والمتصفحات

أمثلة: Windows Certificate Store و Mac OS Keychain

في بعض أنظمة التشغيل والمتصفحات لها مخازن الشهادات أو المفاتيح. هذه هي قواعد بيانات البرامج التي تخزن زوجًا من المفاتيح الخاصة / العامة محليًا على جهاز الكمبيوتر الخاص بك كجزء من الشهادة. تخزين المفاتيح هذا شائع جدًا: العديد من التطبيقات تبحث تلقائيًا عن المفاتيح هنا على الفور ، ولا تحتاج إلى تحديد ملف الشهادة يدويًا في كل مرة ، لذلك يعد هذا خيارًا مناسبًا إلى حد ما.

ميزة أخرى لهذا الخيار هي أنه من السهل التخصيص. يمكنك تمكين / تعطيل تصدير المفتاح الخاص ، وتمكينه حماية موثوقة (إدخال كلمة مرور في كل مرة يتم فيها استخدام الشهادة) ويمكن نسخها احتياطيًا إذا تم تصدير المفتاح الخاص. بالإضافة إلى ذلك ، عند تمكين تجوال ملف التعريف في Windows ، تكون الشهادة مرتبطة بملف التعريف وتصبح متاحة عند تسجيل الدخول إلى كمبيوتر آخر باستخدام ملف التعريف هذا.

إذا قررت اختيار هذا الخيار ، فهناك عدة جوانب يجب وضعها في الاعتبار. أولاً ، حتى إذا قمت بتمييز المفتاح الخاص على أنه غير قابل للتصدير ، يمكن لبعض الأدوات المساعدة تجاوز هذه الحماية (أي عدم القدرة على التصدير غير مضمونة). أيضًا ، إذا عمل شخص ما تحت الحسابولم تقم بتمكين الحماية القوية للمفتاح الخاص (كلمة المرور عند استخدام شهادة) ، فيمكنهم حينئذٍ استخدام شهادتك. أخيرًا ، إذا تم وضع علامة على مفتاحك الخاص على أنه قابل للتصدير ، فيمكن لأي شخص على جهاز الكمبيوتر الخاص بك تصديره. حتى إذا تم تمكين حماية المفتاح الخاص ، فلن تتم مطالبتك بكلمة مرور أثناء التصدير.

أخيرًا وليس آخرًا ، يستخدم Chrome و IE متجر شهادات Windows ، بينما يمتلك Firefox متجر الشهادات الخاص به (من Mozilla). هذا يعني أنه إذا قمت باستيراد الشهادة إلى متجر Windows ، فسيجدها Chrome و IE تلقائيًا ، لكن Firefox لن يجدها.

تطبيقات نموذجية:

  • تطبيقات التوقيع الرقمي (على سبيل المثال أدوبي أكروبات، سيقوم Microsoft Outlook و Office بالوصول إلى مخزن شهادات Windows [المخصص]).
  • يبحث Microsoft IIS أيضًا عن شهادات SSL في مخزن شهادات Windows [على مستوى الكمبيوتر].
  • غالبًا ما تصل مصادقة العميل (المستخدم أو الكمبيوتر) ، بناءً على الإعدادات ، إلى مخزن شهادات Windows.
  • توقيع كود Windows (التطبيقات وبرامج التشغيل).

ملفات .Pfx و. jks (ملفات تخزين المفاتيح)

تحتوي ملفات PKCS # 12 (.pfx أو .p12) و .jks * (التي تم إنشاؤها بواسطة Java Keytool) على مفاتيحك الخاصة والعامة. على عكس التخزين المحلي لنظام التشغيل والمتصفحات ، يمكن أن توجد هذه الملفات في أي مكان تقريبًا ، بما في ذلك الخوادم البعيدة ، وتكون دائمًا محمية بكلمة مرور (أي ، في كل مرة تستخدم فيها مفتاحك السري ، يجب عليك إدخال كلمة مرور). ميزة أخرى جذابة: نظرًا لأن هذه مجرد ملفات ، فمن السهل إرسال نسخ إلى عدة أشخاص يحتاجون إلى استخدام الشهادة.

إذا قررت حفظ الملف على خادم بعيد ، فيجب أن تنتبه بشكل خاص لتقييد الوصول إليه. إذا حصل شخص ما على حق الوصول ، يمكنه استخدام شهادتك. وبالمثل ، يجب أن تكون حريصًا بشكل خاص بشأن نسخ هذه الملفات وتوزيعها بسهولة. على الرغم من أن هذا يعد وسيلة راحة كبيرة بالنسبة لك ، إلا أنه من السهل أيضًا على المهاجم عمل نسخة إذا تمكن من الوصول إلى ملف تخزين المفاتيح الخاص بك. لا تزال كلمة مرور المفتاح الخاص مطلوبة لاستخدام الملف المنسوخ بكفاءة. هذا سبب آخر للاستخدام كلمات مرور قوية من 15 حرفًا أو أكثر تحتوي على أحرف كبيرة وأرقام و الرموز الخاصة... هناك شيء آخر يجب مراعاته مع خيار التخزين هذا: يتحمل المستخدم النهائي مسؤولية أكبر فيما يتعلق بمكان وجود الملف وما إذا كان قد تم تخزينه بشكل صحيح.

إذا لم تتمكن من استخدام أجهزة التشفير أو التخزين مفاتيح الويندوز (كما هو موضح أعلاه) ، ولكنك لا تزال ترغب في تحسين الأمان (بدلاً من مجرد وضع ملف keystore على الكمبيوتر) ، يمكنك حينئذٍ كتابة هذا الملف على محرك أقراص محمول ، والذي سيكون في مكان آمن. بالطبع ، يتم فقدان بعض الراحة هنا ، لذلك إذا كنت بحاجة إلى استخدام التوقيع بشكل متكرر ، فإنك تفضل تخزين الملف محليًا لتسهيل الوصول إليه.

تطبيقات نموذجية:

  • توقيع رمز جافا أو Windows.
  • تستخدم FDA ESG و IRS IDES .pfx للاتصالات الآمنة مع الوكالات الحكومية الأمريكية.
  • بعض خوادم الويب (مثل Apache Tomcat أو Jboss).
* ملاحظة: تم ترحيل Java مؤخرًا من JKS إلى PKCS # 12 كنوع مخزن المفاتيح الافتراضي.

رموز التشفير والبطاقات الذكية


كما هو مذكور أعلاه ، يمكنك تحسين الأمان عن طريق تخزين المفتاح الخاص على جهاز منفصل. لكن هناك فرق كبير بين استخدام رموز التشفير أو البطاقات الذكية ومحركات الأقراص المحمولة القياسية. باستخدام أجهزة التشفير ، يتم إنشاء المفتاح على الجهاز نفسه ولا يتم تصديره. لا يترك المفتاح الخاص الجهاز أبدًا ، مما يجعل من الصعب جدًا على شخص خارجي الوصول والتنازل.

ملاحظة: إذا كنت تريد أيضًا تأمين مفتاح خاص تم إنشاؤه مسبقًا مسبقًا (أي ليس على الرمز المميز نفسه) ، فيمكنك استيراد ملف .pfx إلى الرمز المميز ثم حذف ملف .pfx الأصلي.

باستخدام رمز مميز ، في كل مرة تستخدم فيها شهادة ، تحتاج إلى إدخال كلمة مرور. هذا يعني أنه حتى إذا حصل شخص ما على رمزك المميز ، فسيظل بحاجة إلى كلمة مرورك. يعني تخزين المفتاح في رمز مميز أنه يمكنك استخدام نفس الشهادة بأمان على أجهزة كمبيوتر متعددة دون الحاجة إلى إنشاء نسخ متعددة والمضي في عملية التصدير / الاستيراد. أجهزة التشفير متوافقة مع FIPS ، والتي تتطلبها بعض اللوائح الصناعية والحكومية.

بالطبع ، هناك بعض الاعتبارات الأخرى التي يجب وضعها في الاعتبار إذا قررت اختيار هذا الخيار. بالإضافة إلى التعقيدات الإضافية لإدارة الرموز المميزة ، قد لا يعمل هذا الخيار مع الإنشاءات التلقائية نظرًا لضرورة إدخال كلمة مرور في كل مرة يتم فيها استخدام الشهادة. لا توجد أيضًا طريقة لعمل نسخة احتياطية من الشهادة حيث لم يتم تصدير المفتاح الخاص (نقص الأمان الإضافي). أخيرًا ، في بعض السيناريوهات ، يكون خيار التخزين هذا ببساطة غير ممكن. على سبيل المثال ، إذا كانت الأجهزة المتخصصة لا تدعم الرموز المميزة أو البطاقات الذكية. أو في المواقف التي لا يملك فيها الموظفون وصولاً فعليًا إلى جهاز كمبيوتر ، ولكنهم يعملون من محطات بعيدة.

تطبيقات نموذجية:

عادةً ما تدعم جميع حالات الاستخدام المدرجة لتخزين نظام التشغيل / المستعرض (توقيع المستند والرمز ، ومصادقة العميل ، و Windows IIS) الرموز المميزة أو البطاقات الذكية - إذا كانت برامج التشغيل المناسبة متوفرة. ومع ذلك ، هذا ليس عمليًا دائمًا (على سبيل المثال ، في خوادم الويب أو أنظمة مؤتمتة تجميعات توقيع التعليمات البرمجية التي ستتطلب منك إدخال كلمة مرور في كل مرة يتم فيها تطبيق التوقيع).

يعد الامتثال التنظيمي أحد الأسباب الرئيسية لاستخدام الرموز المميزة للتشفير.

  • إلزامي للتوقيع على رمز المصادقة الموسعة (EV) على النحو الموصى به من قبل CA / Browser Forum.
  • يوصى به لتوقيع الكود القياسي وفقًا لمتطلبات الحد الأدنى من مجلس الأمن في CA. مطلوب مراجع التصديق للتوصية بأجهزة التشفير كخيار أساسي لإصدار الشهادات. إذا لم يتم إصدار جهاز تشفير ، فيجب على العميل توقيع اتفاقية من شأنها تخزين المفتاح الخاص على بعض الأجهزة القابلة للإزالة (والتي تتم إزالتها بعد التوقيع).
  • مطلوب للتوقيع الرقمي والحصول على حالة موثوق بها في برامج Adobe، وفقًا لمتطلبات قائمة Adobe المعتمدة من Adobe (AATL).
  • غالبًا ما تشير لوائح الصناعة مثل CFR 21 الجزء 11 من FDA ومتطلبات التوقيع الرقمي الخاصة بكل بلد إلى مفتاح سري مملوك للمالك وحده. يفي التخزين على أجهزة التشفير بهذه المتطلبات.

وحدات تشفير الأجهزة (HSM)


HSM هو حل آخر للأجهزة لتخزين المفاتيح ، خاصة إذا كنت لا ترغب في الاعتماد على الرموز الفردية أو تبدو مرهقة للغاية. في حين أن الرموز المميزة تركز بشكل أكبر على الإدخال اليدوي أو التطبيقات الفردية (على سبيل المثال ، توقيع كمية صغيرة من المستندات أو التعليمات البرمجية ، والمصادقة على VPN أو شبكات أخرى) ، توفر HSMs واجهات برمجة التطبيقات ، وتدعم سير العمل الآلي ، والتجميع الآلي. كما أنها متوافقة مع FIPS وتوفر عمومًا تصنيفًا أعلى من الرموز المميزة.

تقليديا ، HSM هي أجهزة مادية محلية تتطلب موارد ماهرة لإدارة وإنفاذ متطلبات خط الأساس واتفاقيات مستوى الخدمة. قد يكون الحفاظ على نظام HSM مكلفًا ومكثفًا للموارد ، مما أعاق انتشار هذه التكنولوجيا في الماضي. لحسن الحظ ، ظهرت أنظمة HSM المستندة إلى مجموعة النظراء في السنوات الأخيرة والتي توفر العديد من مزايا أنظمة HSM المحلية دون الحاجة إلى الصيانة في أماكن العمل.

ومن الأمثلة على ذلك خدمة Key Vault المعروفة في سحابة Microsoft Azure ، والتي تخزن مفاتيح التشفير في HSM السحابي من Microsoft. اذا كنت تمتلك منظمة صغيرةلا تسمح لنفسها بشراء وإدارة HSM الخاصة بها ، فهذا حل رائع يتكامل مع CAs العامة ، بما في ذلك GlobalSign.

إذا كنت تفكر في توقيع المستندات ، فقد أطلقنا مؤخرًا خدمة توقيع رقمي جديدة تستخدم أيضًا سحابة التخزين HSM للمفاتيح الخاصة. وتجدر الإشارة إلى أن الخدمة الجديدة تدعم التوقيعات الفردية لجميع الموظفين. في الماضي ، كانت معظم حلول توقيع HSM تدعم فقط المعرفات على مستوى الإدارات أو المنظمات (مثل المحاسبة ، والتسويق ، والتمويل) ، وليس الأفراد (على سبيل المثال ، John Doe). وبالتالي ، للعمل على مستوى الموظف الفردي ، كان على المؤسسات نشر بنية تحتية رمزية ، والتي ، كما أشرنا أعلاه ، يمكن أن تكون مرهقة. باستخدام هذه الخدمة الجديدة ، يتم تنفيذ التوقيعات الرقمية للموظفين الفرديين دون الحاجة إلى إدارة HSM بأنفسهم (ودون المخاطرة بخسارة الرموز المميزة للموظفين).

تطبيقات نموذجية:

  • توقيع المستندات أو التعليمات البرمجية بكميات كبيرة.
  • SSL (حسب تكوين الخادم).
  • البنية الأساسية لـ CA لتشغيل المرجع المصدق (CA) الخاص بك (المرجع المصدق الجذر ، المرجع المصدق الثانوي ، خادم الطابع الزمني RFC 3161) غير متصل أو متصل بالإنترنت (عادةً ما يعمل المرجع المصدق الجذر دون اتصال).

الطرق المستقبلية لتخزين المفاتيح

لقد نظرنا في الخيارات الرئيسية التي تم استخدامها على مر السنين. لكن يبدو أنه لا شيء في العالم أمن المعلومات، بما في ذلك تخزين المفاتيح ، ليس محصنًا من تأثير إنترنت الأشياء ، لذلك يتم تطوير خيارات جديدة.

مع اتصال المزيد والمزيد من الأجهزة بالشبكة مع الحاجة إلى المصادقة والاتصال الآمن ، يلجأ العديد من المطورين والمصنعين إلى الحلول القائمة على PKI. وهذا بدوره يؤدي إلى اعتبارات ومتطلبات وتقنيات جديدة لحماية المفاتيح الخاصة. فيما يلي اتجاهان نراهما في هذا المجال.

وحدة النظام الأساسي الموثوقة (TPM)

لا تعد أجهزة TPM جديدة في حد ذاتها ، ولكن يتم استخدامها بشكل متزايد لحماية المفاتيح الخاصة. يمكن استخدام TPM لتخزين (أو حمل) مفتاح الجذر وحماية المفاتيح الإضافية التي تم إنشاؤها بواسطة التطبيق. لا يمكن استخدام مفاتيح التطبيق بدون TPM ، مما يجعلها طريقة مصادقة مفيدة جدًا لنقاط النهاية مثل أجهزة الكمبيوتر المحمولة والخوادم ومصنعي أجهزة إنترنت الأشياء. في حين أن العديد من أجهزة الكمبيوتر المحمولة يتم شحنها بالفعل مع TPM ، إلا أن هذه التكنولوجيا لا تستخدم على نطاق واسع في قطاع الشركات. ومع ذلك ، في عالم إنترنت الأشياء ، غالبًا ما يتم استخدامها لتحديد الأجهزة بشكل آمن باعتبارها جذرًا للثقة في الأجهزة.

خلقت إنترنت الأشياء مشكلة حيث تسهل العديد من الأجهزة المتفاعلة بشكل مجهول على المتسللين اعتراض الرسائل أو انتحال هوية الأجهزة. يتم نشر TPM أثناء الإنتاج للحماية مفتاح التشفير وبالتالي تحديد الجهاز بشكل موثوق.

أثناء الإنتاج ، يتم إنشاء زوج من المفاتيح الخاصة والعامة. يتم إرسال المفتاح العام إلى مرجع مصدق لتوقيع وإصدار شهادة رقمية. لا يترك المفتاح الخاص الجهاز أبدًا. يتم تخزينها على الشريحة ولا يمكن تصديرها / نسخها / إتلافها. أصبحت الشهادة الآن هي جواز سفر الجهاز ، ويشكل المفتاح الخاص الآمن جذر الثقة في الجهاز.

الوظائف غير القابلة للاستنساخ ماديًا (PUF)

تعد تقنية الوظيفة غير القابلة للاستنساخ (PUF) نقلة نوعية في حماية المفاتيح. بدلاً من تخزين المفاتيح (مع احتمال حدوث هجوم مادي) ، يتم إنشاؤها من الخصائص الفيزيائية الفريدة للذاكرة SRAM الثابتة لشريحة معينة ولا توجد إلا عند التشغيل. أي ، بدلاً من تخزين المفتاح الخاص بأمان ، تتم استعادة نفس المفتاح مرارًا وتكرارًا عند الطلب (حتى فشل الجهاز). هذا المفتاح مضمون ليكون فريدًا لأن الليزر يستغل الاضطراب المتأصل الذي لا يمكن السيطرة عليه في بنية رقاقة السيليكون.

تعد تقنية PUF جنبًا إلى جنب مع بيئة التنفيذ الموثوقة (TEE) حلاً جذابًا عند الحاجة إلى حماية مفتاح منخفضة التكلفة وسهلة الدمج وآمنة للغاية. تشكل PUF مع PKI حلاً كاملاً لتحديد الهوية.

طور شريكنا Intrinsic ID نظامًا لإعداد المفاتيح يعتمد على SRAM PUF ينتج معرفات فريدة ومزيفة ومضادة للنسخ على مستوى الأجهزة. باستخدام المراجع المصدقة لدينا ، نترجم هذه المعرفات إلى هويات رقمية ، مضيفًا إمكانيات PKI. وبالتالي ، يتم تعيين زوج مفاتيح فريد ومحمي للاستنساخ لكل جهاز ولا يتم تخزينه على الجهاز عند إيقاف تشغيله ، ولكن الجهاز قادر على إعادة إنشاء هذا المفتاح عند الطلب. هذا يحمي من هجوم على جهاز مغلق.

شهادة المفتاح

إذا تم نقل المفاتيح بطريقة ما إلى موقع بعيد ، فيجب فحصها عند الاستلام لمعرفة ما إذا كان قد تم العبث بها أثناء النقل. يمكن القيام بذلك يدويًا أو باستخدام شكل من أشكال التوقيع الرقمي.

تهدف المفاتيح العامة إلى نشرها أو مشاركتها مع مستخدمين آخرين ويجب اعتمادها على أنها تنتمي إلى مالك زوج المفاتيح. يتم إجراء التصديق باستخدام مرجع مصدق مركزي (CA). في هذه الحالة ، يوفر المرجع المصدق توقيعًا رقميًا على المفتاح العام ، مما يسمح لـ CA بالثقة بثقة في أن المفتاح العمومي ينتمي إلى مالك زوج المفاتيح (انظر الشكل 5).

الشكل: 5. تصديق المفتاح العام في مكتب الشهادات

بدون الشهادة الصحيحة للمفتاح ومالكه ، يمكن للمهاجم حقن مفاتيحه الخاصة ، وبالتالي التغلب على حماية جميع المعلومات المنقولة والمصدق عليها.

لا تتطلب المفاتيح العامة لزوج المفاتيح العمومية حماية الخصوصية. لا تتطلب سوى حماية السلامة من خلال استخدام الشهادات. يجب أن يظل المفتاح الخاص لزوج المفاتيح العامة سراً في جميع الأوقات.

إذا حصل المهاجم على نسخة من المفتاح الخاص ، فيمكنه قراءة جميع حركة المرور السرية الموجهة إلى مالك زوج المفاتيح ، بالإضافة إلى توقيع المعلومات رقميًا بصفته مالك زوج المفاتيح. يجب أن تمتد حماية المفتاح الخاص إلى جميع نسخه. لذلك ، يجب حماية الملف الذي يحتوي على المفتاح ، وكذلك أي وسائط أرشيفية يمكن كتابة هذا الملف عليها. في معظم الأنظمة ، يتم تنفيذ حماية المفاتيح من خلال استخدام كلمات المرور. تساعد هذه الحماية في حماية المفاتيح من برامج التجسس العرضية ، ولكن ليس من هجوم مستهدف مشترك. يجب اختيار كلمة المرور المستخدمة لتأمين المفتاح بعناية لمقاومة هجمات القوة الغاشمة. ومع ذلك أفضل طريقة حماية المفاتيح هي في المقام الأول لمنع المهاجم من الوصول إلى ملف المفتاح.

من الضروري حماية جميع مفاتيح النظام باستخدام المفاتيح السرية. إذا كان المفتاح موجودًا في ملف ، فيجب حماية هذا الملف أينما كان (بما في ذلك الوسائط المؤرشفة). إذا كان المفتاح في الذاكرة ، فيجب توخي الحذر لحماية مساحة الذاكرة من استكشاف المستخدمين أو العمليات. وبالمثل ، في حالة التفريغ (إعادة تعيين البيانات إلى hDD) kernel ، يجب حماية ملف kernel لأنه قد يحتوي على مفتاح.