No estamos seguros de cómo interpretar una pieza específica de NIST 800-57 - a saber, cuánto tiempo debe durar un criptoperiodo de clave simétrica cuando el uso del originador y el uso del destinatario se inician simultáneamente. La versión corta es , no está claro si el criptoperiodo puede extenderse tres años después de la finalización del uso del originador, independientemente de cuándo comenzó el uso del destinatario, o si el criptoperiodo máximo es el mismo que el uso máximo del destinatario período si el uso del originador y el uso del destinatario comienzan simultáneamente.
La configuración
Los datos confidenciales se cifran mediante claves simétricas. Los datos están en uso activo, por lo que tan pronto como comience el uso originador de la clave, el uso del destinatario también deberá comenzar necesariamente.
El problema
La clave de cifrado simétrico se rota regularmente, de modo que una clave está en uso originador (por ejemplo, cifrando nuevos datos) y múltiples claves están en uso del destinatario (por ejemplo, descifrando datos existentes) en un momento dado. Sin embargo, según NIST 800-57, las claves no pueden permanecer en el uso del destinatario por tiempo indefinido. Nuestro problema, entonces, es determinar cuándo debemos terminar el uso de una clave por parte del destinatario y realizar un recifrado de todos los datos de forma costosa utilizando la clave obsoleta (como se describe en NIST 800-57 5.3.5, "Si la vida de seguridad requerida excede el criptoperiodo, entonces la protección deberá volver a aplicarse utilizando una nueva clave. ")
NIST 800-57 es un laberinto de Twisty Little Cryptoperiods, todos diferentes
Hay una serie de afirmaciones en NIST 800-57 que se refieren a este problema, y deja bastante ambigüedad que hemos estado discutiendo sobre esto por un tiempo :). Permítame presentar las diferentes declaraciones y las interpretaciones que les estamos asignando. Si, después de eso, puedes ayudarme a entender cuándo tenemos que sacar nuestras llaves de esta cueva.
5.3.5, página 48 - "El (total)" cryptoperiod "de una clave simétrica es el período de tiempo desde el comienzo del período de uso del originador hasta el final de el período de uso del destinatario , aunque el período de uso del originador se ha usado históricamente como el criptoperiodo para la clave ". (énfasis mío)
5.3.5.b, página 49 - "Cuando se usa una clave simétrica para proteger la información almacenada, el período de uso del originador (cuando el originador aplica protección criptográfica a la información almacenada) puede terminar mucho antes del período de uso del destinatario (cuando se procesa la información almacenada). En este caso, el criptoperiodo comienza en el momento inicial autorizado para la aplicación de la protección con la clave, y finaliza con el último tiempo autorizado para el procesamiento utilizando esa clave. "(énfasis mío)
5.3.6.6.b, página 52 - "Una clave de cifrado utilizada para cifrar volúmenes más pequeños de la información puede tener un período de uso de originador de hasta un mes. "Hay una pequeña ambigüedad introducida aquí en que 5.3.6.6.b dice que el OUP máximo (período de uso de originador) para claves de cifrado de datos simétricos es 1 mes, pero la tabla 1 El 56 que resume esta sección dice que el OUP máximo para las claves de cifrado de datos simétricos es de 2 años. Simplemente asumimos que la tabla tiene autoridad sobre el texto en este caso, ya que creemos que coincide mejor con el uso en el mundo real.
5.3.6.6.b, página 52 - "Se recomienda un período máximo de uso del destinatario de 3 años más allá del final del período de uso del originador ." (énfasis mío) Aquí está la ambigüedad crucial: esta sección implica que se alcanza el máximo criptoperiodo extendiendo el RUP (Período de uso del destinatario) un tiempo fijo más allá del final de la OUP, en lugar de hacer que el RUP extienda un tiempo fijo más allá del comienzo del RUP, independientemente de cuánta superposición haya con el OUP. ¿Comenzó la cuenta regresiva al comienzo del RUP o al final de la OUP?
Las opciones
Entonces,suponiendoque,paralasclavesdecifradodedatossimétricas,usemosunaOUPde6meses(quesepermitesegúnlaTabla1),lasdosopcionesson:
- Elcriptoperiodototalesde3años(<=6mesesOUP,<=3añosdeRUPquesesuperponecompletamenteconOUP)
- Elcriptoperiodototalesde3.5años(<=6mesesOUP,"< = OUP + 3 años" RUP, consistente con la frase "período máximo de uso del destinatario de 3 años después del final del período de uso del originador")
La respuesta
Cualquier luz que puedas arrojar es apreciada. ¿Nos falta alguna definición que resuelva si el RUP máximo es un absoluto o si es relativo a la terminación de la OUP?