سرور کلید
دربحث امنیت کامپیوتر، سرور کلید، کامپیوتری میباشد که کلیدهای رمزنگارانهٔ موجود را دریافت و برای کاربران یا دیگر برنامهها فراهم میکند. برنامههای کاربران میتوانند بر روی همان شبکه یا دیگر کامپیوترهای شبکه به عنوان سرور کلید کار کنند.
کلیدهایی که به وسیلهٔ سرور کلید توزیع میشوند، قسمتی از اطلاعات گواهی شناسایی ای که علاوه بر کلید شامل اطلاعات مالک کلید میباشد و با رمزنگاری محافظت شده، را فراهم کردهاند. این گواهی معمولاً دارای یک قالب استاندارد میباشد مانند فرمت کلید عمومی OpenPGP، فرمت گواهی X.509 یا فرمت PKCS.
تاریخچه
دیگر اینکه، این کلید تقریباً کلید عمومی برای استفاده در الگوریتم رمزگذاری کلید نامتقارن
میباشد. ساخت سرورهای کلید با اختراع رمزنویسی کلید عمومی، ممکن شدهاند. در رمزنویسی کلید
عمومی یک فرد قادر به تولید جفت کلید، که یکی از کلیدها محرمانه نگه داشته میشود و دیگری
آشکارا توزیع میشود. دانش و علم کلید عمومی، امنیت رمزنویسی کلید عمومی را برآورده میکند.
با در اختیار داشتن کلید عمومی در یک جفت کلید میتوانیم از آن برای انجام عملیات رمزگذاری برای برقراری ارتباط محرمانه یا احراز اصالت دارندهٔ کلید خصوصی مطابق با این کلید، استفاده کرد.
نیاز به داشتن کلید عمومی در یک جفت کلید به منظور شروع ارتباط یا تصدیق امضا یک مسئلهٔ خود
راه انداز میباشد. قرار گرفتن کلیدها بر روی وب یا نوشتن درخواست تبادل کلیدهای عمومی
میتواند زمان بر و ناامن باشد. سرورهای کلید به عنوان مخزنهای مرکزی برای کاهش نیاز به تبادل انفرادی کلیدهای عمومی، عمل میکند و همچنین میتواند به عنوان ریشهٔ زنجیرهٔ اعتماد عمل میکند.
اولین سرور کلید PGP مبتنی بر وب، پایان نامهٔ فردی به نام Marc Horowitz دانشجوی دانشگاه MIT بود. سرور کلید Horowitz، بعد از به کار بردن (OpenPGP HTTP Keyserver Protocol(HKP مبتنی بر
وب و امکان برقراری تعامل کابران با سرور کلید، KeyserverHKP نامیده شد. کاربران قادر به آپلود، دانلود و جستجوی کلیدها از طریق HKP بر روی پورت ۱۱۳۷۱ یا از طریق صفحات وبی که اسکریپت CGI را اجرا میکرد، شدند.
قبل از ساختن سرور کلید HKP، سرورهای کلید وابسته به اسکریپتهای پردازش ایمیل برای تراکنشها بودند.
یک سرور کلید جداگانه معروف به PGP Certificate Server، توسط PGP Inc (به عنوان نسخهٔ 2.5x) ساخته شد و به عنوان نرمافزاری (در نسخهٔ 2.5x سرور) برای سرور کلید پیش فرض در نسخهٔ هشت keyserver.pgp.com ,PGP (برای نرمافزار مشتری) مورد استفاده قرار گرفت. به Network Associates و Jon Callas ثبت اختراعی ایدهٔ سرور کلید (ثبت اختراع ایالات متحده آمریکا به شمارهٔ ۶۳۳۶۱۸۶) اعطا شدهاست.
برای تعویض کردن سرور قدیمی تصدیق، یک سرور مبتنی بر LDAP در Network Associates به وسیلهٔ Randy Harmon و Len Sassaman به نام PGP Keyserver 7.0 مجدداً طراحی شد. با ورود PGP 6.0 ،LDAP یک واسط برتر سرور کلید نسبت به نسخههای PGPی Network Associates بود. سرور کلید LDAP و LDAPS با هم
به عنوان پایهای برای ابزارهای PGP Administration برای سرورهای کلید خصوصی و در کنار شمایی
برای Netscape Directory Server قرار گرفتند؛ که این بعداً با PGP Corporation Global Directory جایگزین شد.
سرورهای کلید عمومی در مقابل خصوصی
اکثر سرورهای کلید در دسترس در سرتاسر دنیا، کامپیوترهایی هستند که به ذخیره و تولید کلیدهای OpenPGP بر روی اینترنت، برای کاربران سیستمهای رمز مشغولند. در این مورد، این کامپیوترها
میتوانند توسط افراد به عنوان سرویس probono کار کنند و کاربرد PGP مدل مبتنی بر وب مطمئن
را تسهیل بخشند.
چندین سرور کلید S/MIME عمومی در دسترسند تا گواهیهایی که در سیستمهای رمز S/MIME استفاده
میشوند، را منتشر و بازیابی کنند. همچنین سیستمهای زیربنای کلید عمومی اختصاصی ای وجود دارد که برای کاربرانش از سرورهای کلید پشتیبانی میکند؛ که ممکن است خصوصی یا عمومیباشند و تنها
کاربران شرکت کنندهاند که احتمالاً از وجود این سرورهای کلید آگاهند.
نگرانی در مورد حریم خصوصی
برای تعدادی از افراد، هدف از استفادهٔ رمزنویسی داشتن حریم خصوصی بیشتر در ارتباطات و تراکنشهای شخصی میباشد. این نکته برداشت میشود که با آپلود کردن کلید عمومی در یک سرور کلید هنگام استفاده از سیستمهای رمزنگاری غیرمتمرکز وبی مبتنی بر اعتماد، شبیه PGP، ممکن است مقدار زیادی از اطلاعات فاش شود که یک فرد قصد حفظ محرمانگی را دارد. ازآن جا که PGP برای تعیین محرمانگی کلید، وابسته به امضاهای کلید عمومی افراد میباشد، ارتباطات پنهانی با تحلیل امضای آن کلید، میتواند فاش شود. به این روش، شبکههای اجتماعی بی نقص میتوانند ساخته شوند.
مشکلات سرورهای کلید
سرورهای کلید OpenPGP ای که در دهه ۱۹۹۰ ساخته شدند از مسائلی زیان دیدند. وقتی کلید عمومی ای یک بار آپلود شده بود، حذف کردن آن سخت میباشد. کاربران کلیدهای عمومی خود را به دلایل متنوعی دیگر استفاده نمیکنند و کنار میگذارند؛ زمانی که گذر واژهٔ خود را فراموش کند یا خطر کشف کلید خصوصی وجود داشته باشد یا گمشده باشد. در این موارد، حذف کردن کلید عمومی از روی سرور کاری سخت میباشد و اگر هم حذف شود، شخص دیگری میتواند کپی جدیدی از همان کلید عمومی در سرور آپلود کند و به این ترتیب انباشتی از کلیدهای عمومی فسیل شدهٔ قدیمی که هرگز دور ریخته نمیشوند، نوعی از «پلاک سرور کلید» را به وجود میآورد. مسئلهٔ دیگر این است که هر کسی میتواند کلید عمومی جعلی ای در سرور کلید آپلود کند که نام فردی که در واقع مالک آن کلید نیست را دارا میباشد. سرور کلید هیچ راه و تدبیری برای بررسی قانونی بودن کلید ندارد.
برای حل این مسائل، PGP Corp نسل جدید سرور کلید به نام PGP Global Directory را تولید کرد. این سرور کلید درخواست تصدیق ایمیلی به مالک مفروض کلید میفرستاد تا از آن فرد سئوال کن آیا کلید مورد سئوال مال او است. اگر آنها آن کلید را تصدیق کردند، PGP Global Directory آن کلید را قبول میکند. این میتواند بهطور دورهای تکرار شود تا از انباشت پلاکهای سرور کلید جلوگیری شود. نتیجه مجموعهای با کیفیت از کلیدهای عمومی میباشد. هر کلید به وسیلهٔ مالک مسلم کلید به وسیلهٔ ایمیل بررسی میشود. هرچند این برداشت میشود که از آن جا که PGP Global Directory مجوز نگهداری حساب کلید را میدهد و تنها با ایمیل آن را تصدیق میکند، بدون رمزنگاری، پس هر کسی که به حساب ایمیل دسترسی دارد میتواند برای مثال یک کلید را حذف یا یک کلید جعلی را آپلود کند.
سرورهای کلید نمونه
- سرور کلید hkp://subkeys.pgp.net
- سرور کلید hkp://pgp.mit.edu
- سرور کلید hkp://pool.sks-keyservers.net بایگانیشده در ۱۶ دسامبر ۲۰۱۹ توسط Wayback Machine
- سرور کلید hkp://zimmermann.mayfirst.org
- سرور کلید hkp://pgp.mit.edu