El dominio de interpretación de grupo o GDOI es un protocolo criptográfico para la gestión de claves de grupo . El protocolo GDOI se especifica en un estándar IETF , RFC 6407, y se basa en el Protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP), RFC 2408 e Intercambio de claves de Internet versión 1 (IKE). Mientras que IKE se ejecuta entre dos pares para establecer una "asociación de seguridad por pares", el protocolo GDOI se ejecuta entre un miembro del grupo y un "controlador de grupo / servidor de claves" (controlador) y establece una asociación de seguridad entre dos o más miembros del grupo.
Descripción funcional
GDOI "interpreta" IKE o ISAKMP para el dominio de seguridad del grupo además de las asociaciones de seguridad por pares. GDOI utiliza una asociación de seguridad IKE v1 Phase 1 para autenticar a un miembro de GDOI en un controlador de GDOI. El intercambio de protocolo criptográfico de fase 1 IKE / GDOI protege un nuevo tipo de intercambio de fase 2 en el que el miembro solicita ("extrae") el estado del grupo del controlador. La "clave de grupo" es el estado más importante en un miembro de GDOI. La clave de grupo cifra las claves que descifran los datos de la aplicación. Por lo tanto, la clave de grupo también se denomina "clave de cifrado de clave" en GDOI. La clave de cifrado de claves de un grupo se utiliza para "Rekey Security Association". Una vez que se establece "Rekey-SA", el controlador GDOI puede enviar ("empujar") actualizaciones no solicitadas a la asociación de seguridad del grupo a los miembros a través de canales de multidifusión, difusión o unidifusión. Esta es la razón por la que GDOI se denomina "sistema de gestión de claves de multidifusión", ya que utiliza y admite mensajes de multidifusión para grupos muy grandes. Estos mensajes de multidifusión son mensajes no solicitados y, por lo tanto, se denominan mensajes "push", que son mensajes no solicitados enviados desde el controlador a los miembros; las solicitudes explícitas de un miembro a un controlador se denominan mensajes "pull" en GDOI. Por lo tanto, las actualizaciones de claves de grupo GDOI se envían y pueden llegar a cualquier número de miembros del grupo con una única transmisión eficiente desde el controlador.
Las actualizaciones de claves de grupo de GDOI también sirven para eliminar miembros de los grupos. RFC 2627 describe un protocolo de administración de membresía de grupo que permite actualizaciones de claves selectivas a los miembros para eliminar de manera eficiente a un miembro del grupo. La "eficiencia" se evalúa en términos de espacio, tiempo y complejidad del mensaje . RFC 2627 y otros algoritmos como "subconjunto-diferencia" son logarítmicos en el espacio, el tiempo y la complejidad del mensaje. Por lo tanto, RFC 2627 admite una "gestión de membresía" de grupo eficiente para GDOI. En una implementación práctica, la gestión de pertenencia al grupo GDOI es una función separada que el controlador o una función AAA invoca para eliminar a un miembro del grupo desautorizado. "AAA" es autorización, autenticación y contabilidad, que puede ejecutar algún tipo de protocolo AAA . Pero la función AAA también podría ser una función de "atención al cliente" para un proveedor de servicios o un "sistema de gestión de abonados" para un proveedor de servicios de medios. El proveedor o la función AAA debe tener una infraestructura de credenciales, como una infraestructura de clave pública, que utilice certificados digitales X.509 , SPKI o alguna otra credencial. En un entorno X.509 , el proveedor o la función AAA instalarán un certificado para permitir que un miembro se una a un grupo cuando el controlador de grupo consulta la PKI durante un intercambio de registro GDOI cuando un miembro intenta unirse a un grupo y "bajar" el estado del grupo.
Escalera de llaves
El estado del grupo que se almacena en el miembro del grupo son claves y metadatos clave. Conceptualmente, las claves de los miembros del grupo se estructuran en un conjunto de relaciones 1: N y, a menudo, se denominan "escalera clave". El miembro tiene una credencial, como un certificado X.509, que prueba que está autorizado para unirse a uno o más grupos. La política de grupo predeterminada para la "Clave de autenticación privada" es una clave RSA de 2048 bits, pero son posibles otras políticas. De manera similar, la "clave de grupo" predeterminada o la "clave de cifrado de clave" es una clave AES de 128 bits, pero son posibles otras políticas. Por último, la clave de cifrado de datos depende de la aplicación, pero normalmente es una clave AES de 128 bits. En algunos grupos, un miembro puede ser un remitente que genera una clave de cifrado de datos y la cifra con la clave de cifrado de claves. Siempre que los dos compartan la clave de grupo para el mismo grupo, el remitente puede usar esa "clave de cifrado de clave" para cifrar la (s) clave (s) de los archivos multimedia o transmisiones a las que sirve.
Sin embargo, no todos los grupos GDOI hacen una distinción entre remitente y receptor, y si los miembros del grupo pueden enviarse entre sí o no es una cuestión de política del grupo. El tipo de claves en la escalera de claves también está determinado por la política de grupo. Cada grupo puede tener su propia política de criptografía, duración de la clave y comportamiento de los miembros.
Política de grupo
Implementaciones y productos
enlaces externos
- RFC 6407