ДСТУ ISO/IEC 11770-6:2018 Информационные технологии. Методы защиты. Управление ключами. Часть 6. Создание ключей (ISO/IEC 11770-6:2016, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
МЕТОДИ ЗАХИСТУ КЕРУВАННЯ КЛЮЧАМИ
Частина 6. Утворення ключів

ДСТУ ISO/IEC 11770-6:2018
(ISO/IEC 11770-6:2016, IDT)

 
 
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Технічний комітет стандартизації «Інформаційні технології» (ТК 20), Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України (Міжнародний Центр)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково- дослідний і навчальний центр з проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») від 04 грудня 2018 р. № 462 з 2020-01-01

3 Національний стандарт відповідає ISO/IEC 11770-6:2016 Information technology — Security techniques — Key management — Part 6: Key derivation і внесений з дозволу CENELEC, Avenue Marnix 17, B-1000 Brussels, Belgium. Усі права щодо використання європейських стандартів у будь-якій формі й будь-яким способом залишаються за CENELEC

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 11770-6:2018 (ISO/IEC 11770-6:2016, IDT), прийнятого методом підтвердження

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 11770-6:2016

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Познаки та скорочення

4.1 Познаки

4.2 Скорочення

4.3 Умовні познаки

5 Методи утворення ключів

5.1 Модель

5.2 Типи функції утворення ключів

5.3 Зв'язок із життєвим циклом керування ключами

5.4 Застосування функції утворення ключів

6 Однокрокові функції утворення ключів

6.1 Загальні положення

6.2 Однокрокова функція утворення ключів 1 (OKDF1)

6.3 Однокрокова функція утворення ключів 2 (OKDF2)

6.4 Однокрокова функція утворення ключів З (OKDF3)

6.5 Однокрокова функція утворення ключів 4 (OKDF4)

6.6 Однокрокова функція утворення ключів 5 (OKDF5)

6.7 Однокрокова функція утворення ключів 6 (OKDF6)

7 Двокрокові функції утворення ключів

7.1 Загальні положення

7.2 Функція витягнення ключа

7.3 Функції розширення ключа

7.4 Двокрокові KDFs

Додаток А (обов’язковий) Об’єктні ідентифікатори

Додаток В (довідковий) Настанова щодо застосування

Бібліографія

Додаток НА (довідковий) Перелік національних стандартів України, ідентичних міжнародним нормативним документам, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 11770-6:2018 (ISO/IEC 11770-6:2016, IDT) «Інформаційні технології. Методи захисту. Керування ключами. Частина 6. Утворення ключів», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 11770-6:2016 (версія en) «Information technology — Security techniques — Key management — Part 6: Key derivation».

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 20 «Інформаційні технології».

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

Розроблюваний стандарт є однією з частин багаточастинного стандарту, об’єднаних спільною назвою «Інформаційні технології. Методи захисту. Керування ключами», а саме:

Частина 1. Основні положення.

Частина 2. Механізми з використанням симетричних методів.

Частина 3. Механізми з використанням асиметричних методів.

Частина 4. Механізми, що ґрунтуються на нестійких секретах.

Частина 5. Керування груповими ключами.

Частина 6. Утворення ключів.

До стандарту внесено такі редакційні зміни:

— слова «цей документ», «ця частина ISO/IEC 11770», замінено на «цей стандарт»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— у розділі «Нормативні посилання» наведено «Національне пояснення», виділене рамкою;

— вилучено «Передмову» до ISO/IEC 11770-6:2016 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних міжнародним нормативним документам, посилання на які є в цьому стандарті).

ВСТУП до ISO/IEC 11770-6:2016

Установлення спільних секретних криптографічних ключів є фундаментальною послугою керування ключами. Воно є передумовою для застосування низки симетричних криптографічних методів, зокрема симетричного шифрування для захисту конфіденційності та кодів автентифікації повідомлень (MACs) для захисту цілісності й автентифікації джерела даних. Методи утворення ключів надають можливість згенерувати такі ключі з попередньо наявних секретів і мають низку можливих застосовань. Два особливо важливі застосовання наведено нижче.

По-перше, тоді як дві (чи більше) сторони могли поділити між собою секретну інформацію, ця секретна інформація не може бути зручною для безпосереднього застосування як входу до алгоритму шифрування чи до схеми коду автентифікації повідомлення. Наприклад, початкову секретну інформацію не може бути розподілено у випадковий спосіб уздовж усього простору можливих значень, чи коли невповноважена третя сторона може мати часткову інформацію щодо неї. Функцію утворення ключів (чи функцію витягнення ключів) може бути використано для вирішення цієї проблеми, беручи цю інформацію як вхідну, можливо, разом з іншим несекретним матеріалом, і надаючи на виході придатний секретний ключ.

По-друге, може знадобитись кілька ключів для різних цілей, наприклад, для різних застосовань, чи для входів до різних криптографічних функцій. Знову ж таки функцію утворення ключів (або функцію розширення ключів) може бути використано для задоволення цієї потреби, беручи секретну інформацію, можливо, разом з іншим несекретним матеріалом як вхідну і надаючи на виході ключ чи ключі. Секретну інформацію, наприклад, може бути поділено між двома чи більше сторонами, а згенеровані секретні ключі може потім бути використано для захисту даних, якими обмінюються ці сторони через ненадійні канали; альтернативно секретна інформація може бути відомою лише одній стороні, і згенеровані ключі можуть бути потім використані для захисту даних, які зберігаються цією стороною в ненадійних місцях розташування.

Цей стандарт поширюється на такі методи утворення ключів. Визначено два загальні класи методів утворення ключів, а саме: однокрокові та двокрокові функції, обидві з яких може бути використано для генерування або одного, або багатьох ключів. Однокрокові функції перетворюють вхідну інформацію на один чи більше ключів за одну операцію. Двокрокові функції спочатку перетворюють вхідну інформацію на секретний МАС-ключ, який потім використовують на другому кроці (який може бути використано кілька разів) для генерування одного чи більше ключів для використання в застосунках.

Вибір між однокроковими та двокроковими функціями залежить від двох основних речей: характеру доступного секретного входу до функції утворення ключів і способу, в який використовують секретний вхід. Наприклад, якщо доступний секретний вхід уже перебуває у вигляді секретного ключа, то однокрокова функція зазвичай буде доречною. До того ж незалежно від характеру секретного входу, якщо функцію використовують лише один раз з конкретним набором секретних входів, то знову однокрокова функція зазвичай буде доречною. Проте якщо секретний вхід не має вигляду секретного ключа й один і той самий секретний вхід призначено для багаторазового використання в генеруванні одного чи більше ключів, то, ймовірно, доречнішою є двокрокова функція, для якої перший крок виконують один раз для генерування МАС-ключа, а другий крок виконують, як тільки новий ключ чи нові ключі має бути згенеровано з МАС-ключа.

Цей стандарт визначає низку однокрокових функцій утворення ключів. Він також визначає приклади як функцій витягнення ключів, так і функцій розширення ключів, у яких функцію витягнення ключів може бути поєднано з функцією розширення ключів для визначення двокрокової функції утворення ключів.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
КЕРУВАННЯ КЛЮЧАМИ
Частина 6. Утворення ключів

INFORMATION TECHNOLOGY
SECURITY TECHNIQUES
KEY MANAGEMENT
Part 6. Key derivation

Чинний від 2020-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт визначає функції утворення ключів, тобто функції, які приймають секретну інформацію й інші (відкриті) параметри на вході та видають один чи більше «утворених» секретних ключів. Цей стандарт визначає функції утворення ключів, що ґрунтуються на МАС-алгоритмах і на геш-функціях.

2 НОРМАТИВНІ ПОСИЛАННЯ

У наведених нижче нормативних документах зазначено положення, які через посилання в цьому тексті становлять положення цього стандарту. У разі датованих посилань застосовують тільки наведені видання. У разі недатованих посилань треба користуватись останнім виданням нормативних документів (разом зі змінами).

ISO/IEC 9797 (all parts) Information technology — Security techniques — Message Authentication Codes (MACs)

ISO/IEC 10118 (all parts) Information technology — Security techniques — Hash-functions.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC 9797 (усі частини) Інформаційні технології. Методи захисту. Коди автентифікації повідомлень (MACs)

ISO/IEC 10118 (усі частини) Інформаційні технології. Методи захисту. Геш-функції.