Come interpretare il consiglio specifico del NIST 800-57 per il criptoperiodo?

Siamo incerti su come interpretare una parte specifica di NIST 800-57 - to wit, quanto a lungo dovrebbe essere una chiave simmetrica cryptoperiod quando l'utilizzo dell'originator e l'utilizzo del destinatario iniziano contemporaneamente. La versione breve è , non è chiaro se il cryptoperiod può estendersi tre anni dopo la cessazione dell'utilizzo originator indipendentemente dall'avvio dell'utilizzo del destinatario, o se il massimo cryptoperiod è uguale al massimo utilizzo del destinatario periodo se l'uso del mittente e l'uso del destinatario iniziano contemporaneamente.

Il programma di installazione

I dati sensibili vengono crittografati utilizzando le chiavi simmetriche. I dati sono in uso attivo, quindi non appena inizia l'uso della chiave originator, anche l'utilizzo del destinatario deve necessariamente iniziare.

Il problema

La chiave di crittografia simmetrica viene ruotata regolarmente, in modo tale che una chiave sia nell'uso originatore (ad es., crittografia di nuovi dati) e più chiavi siano nell'uso del destinatario (ad es., decrittografia di dati esistenti) in qualsiasi momento. Tuttavia, come da NIST 800-57, le chiavi non possono rimanere indefinitamente nell'uso del destinatario. Il nostro problema, quindi, è determinante quando dobbiamo terminare l'uso del destinatario di una chiave ed eseguire una ri-crittografia alquanto costosa di tutti i dati usando la chiave obsoleta (come descritto in NIST 800-57 5.3.5, "Se la vita di sicurezza richiesta supera il cryptoperiod, quindi la protezione dovrà essere riapplicata usando una nuova chiave. ")

NIST 800-57 è un labirinto di Twisty Little Cryptoperiods, All Different

Ci sono un certo numero di affermazioni nel NIST 800-57 che toccano questo argomento, e lascia abbastanza ambiguità su cui abbiamo discusso per un po ':). Consentitemi di esporre le varie affermazioni e le interpretazioni che le stiamo assegnando. Se, dopo, puoi aiutarmi a capire quando dobbiamo estrarre le nostre chiavi da questa grotta.

5.3.5, pagina 48 - "Il (totale)" cryptoperiod "di una chiave simmetrica è il periodo di tempo dall'inizio del periodo di utilizzo del creatore fino alla fine di il periodo di utilizzo del destinatario , sebbene il periodo di utilizzo dell'originatore sia stato storicamente utilizzato come cryptoperiod per la chiave. " (sottolineatura mia)

5.3.5.b, pagina 49 - "Quando una chiave simmetrica viene utilizzata per proteggere le informazioni memorizzate, il periodo di utilizzo del mittente (quando il cedente applica la protezione crittografica alle informazioni memorizzate) può finire molto prima del periodo di utilizzo del destinatario (quando vengono elaborate le informazioni memorizzate). In questo caso, il cryptoperiod inizia al momento iniziale autorizzato per l'applicazione della protezione con la chiave e termina con l'ora più recente autorizzata per l'elaborazione utilizzando quella chiave. "(enfasi mia)

5.3.6.6.b, pagina 52 - "Una chiave di crittografia utilizzata per crittografare piccoli volumi di le informazioni potrebbero avere un periodo di utilizzo dell'originator fino a un mese. "C'è un'ambiguità minore qui introdotta in quanto 5.3.6.6.b afferma che il massimo OUP (periodo di utilizzo dell'originatore) per le chiavi di crittografia dei dati simmetriche è 1 mese, ma la tabella 1 su 56 che riassume questa sezione dice che il massimo OUP per le chiavi di crittografia dei dati simmetrici è di 2 anni. Stiamo semplicemente assumendo che la tabella sia autorevole sul testo in questo caso, poiché crediamo che corrisponda meglio all'utilizzo del mondo reale.

5.3.6.6.b, pagina 52 - "Si consiglia un periodo di utilizzo massimo del destinatario di 3 anni oltre la fine del periodo di utilizzo del mittente ." (sottolineatura mia) Ecco l'ambiguità cruciale: questa sezione implica che il massimo criptoperiode viene raggiunto estendendo il RUP (Recipient Usage Period) un tempo fisso oltre la fine della OUP, invece di fare in modo che il RUP estenda un tempo fisso oltre l'inizio del RUP, indipendentemente da quanta sovrapposizione ci sia con l'OUP. Il conto alla rovescia è iniziato all'inizio del RUP o alla fine della OUP?

Le scelte

Quindi,presumendoche,perlechiavidicrittografiadeidatisimmetriche,usiamounOUPdi6mesi(cheèconsentitocomedaTabella1)-leduesceltesono:

1. Iltotaledicryptoperiodèdi3anni(<=6monthOUP,<=3yearRUPchesisovrapponecompletamenteaOUP)
2. Ilcriptopodiodototaleèdi3,5anni(<=6monthOUP,"< = OUP + 3 anni" RUP, coerente con la frase "periodo massimo di utilizzo del destinatario di 3 anni oltre la fine del periodo di utilizzo del mittente")

La risposta

È gradita qualsiasi luce che puoi versare. Ci manca una definizione che risolva se il RUP massimo è assoluto o se è relativo alla terminazione della OUP?