مديريت كليد
مديريت كليد شامل توليد، توزيع و نگهداري مطمئن كليدهاي مورد استفاده در رمزنگاري است. روش‎هاي مطمئن مديريت كليد بسيار با اهميت هستند. در سيستم‎هاي كليد ـ عمومي ‎(نامتقارن) اغلب مديريت كليد مورد حمله قرار مي‎گيرد تا الگوريتم رمزنگاري.
كاربران بايد بتوانند زوج كليد مناسب براي نيازهاي خود را از راه مطمئني به دست آورند. همچنين بايد روشي براي جستجوي كليد عمومي‎ ديگران و منتشركردن كليد عمومي‎ يك كاربر وجود داشته باشد. علاوه بر اين بايد روش ضابطه‎مندي براي به‏دست‎آوردن كليد عمومي‎ افراد موجود باشد در غير اين صورت يك شخص متقلب مي‎تواند فهرست كليدهاي عمومي ‎را تغيير دهد يا هويت شخص ديگري را جعل كند. براي اين منظور از گواهي‎نامه استفاده مي‎شود. گواهي‎نامه‎ها بايد غير قابل جعل بوده و صدور آنها از راه‎هاي مطمئن و غير‏قابل نفوذ انجام گيرد. به ويژه صادركننده گواهي‎نامه بايد قبل از صدور گواهي براي اشخاص، هويت آنها را احراز كند.
اگر كليد اختصاصي كسي گم شود يا آسيب ببيند ديگران بايد از اين موضوع آگاه شوند تا از آن به بعد متن‏ها را با كليد عمومي ‎نامعتبر امضا نكنند و نامه‎هاي امضاء شده با كليد اختصاصي نامعتبر را نپذيرند. كاربران بايد كليدهاي اختصاصي را در جاي امني نگهداري كنند به‎طوري كه هيچ نفوذگري نتواند آنها را به دست آورد و در عين حال براي استفاده مجاز بايد به آساني در دسترس باشند.
مدت زمان اعتبار كليدها بايد محدود باشد ولي تاريخ انقضاء بايد مناسب بوده و از كانال معتبري اعلام شود.


دريافت و استفاده از زوج كليد
هر شخصي كه بخواهد نامه‎هاي امضا شده بفرستند يا پيام‎هاي رمزشده دريافت كند بايد يك زوج كليد داشته باشد. هر شخص مي‎تواند بيش از يك زوج كليد داشته باشد.
در عمل توصيه مي‎شود كه از زوج كليدهاي جداگانه‎اي براي امضاكردن و دريافت پيام‏هاي رمزشده استفاده شود. به عنوان مثال شخصي ممكن است يك زوج كليد براي كارهاي مربوط به شغلش داشته باشد و از زوج كليد ديگري براي كارهاي شخصي استفاده كند.
هويت‎هاي ديگر (به جز اشخاص حقيقي) نيز مي‎توانند زوج كليد داشته باشند. هويت‎هاي الكترونيكي مانند مودم‏ها، ايستگاه‎هاي كاري، كارگزارهاي وب، چاپگرها و هويت‎هاي اداري از قبيل شركت‏ها، ميز پذيرش هتل و دفتر ثبت نام دانشگاه از اين قبيل هستند.
هر كاربر يا شخصاً مي‏تواند زوج كليد خودش را ايجاد كند يا مطابق سياست محلي، يك مسئول امنيتي زوج كليد را براي همه كاربران ايجاد مي‏كند.
هنگامي‎كه يك زوج كليد ايجاد شد، كاربر بايد آن را در يك سازمان مركزي كه متصدي صدور گواهي (CA) ناميده مي‏شود، ثبت كند. CA گواهي‎نامه‎اي به كاربر مي‎دهد كه اعتبار كليد عمومي‎ و ديگر اطلاعات همراه آنرا تأييد مي‎كند.

گواهي‏نامه چيست و چگونه مورد استفاده قرار مي‏گيرد
گواهي‎نامه يك سند ديجيتالي است كه تعلق يك كليد عمومي ‎را به يك شخص يا موجوديت ديگر، تأييد مي‏كند. صحت اين ادعا كه يك كليد عمومي‎ معين به شخص خاصي تعلق دارد، از اين روش ثابت مي‏شود. گواهي‎نامه‎ها اجازه نمي‎دهند كه كسي با استفاده از يك كليد جعلي، خود را به جاي شخص ديگري جا بزند.
در بعضي موارد لازم است زنجيره‏اي از گواهي‏نامه‎ها تشكيل شود كه هر يك قبلي را تأييد مي‏كند تا جايي كه طرفين از هويت مورد نظر اطمينان حاصل كنند.
در ساده‎ترين حالت گواهي‎نامه‎ها شامل يك كليد عمومي ‎و نام كسي كه آن كليد به او تعلق دارد، هستند. تاريخ انقضا، نام متصدي صدور گواهي و شماره سريال نيز در گواهي‎نامه ذكر مي‎شود. رايج‎ترين قالب براي گواهي‎نامه‎ها توسط استاندارد بين المللي ITU-TX.509 تعريف شده است.
مهمترين قسمت گواهي‎نامه امضاي ديجيتالِ متصدي صدور گواهي است. اطلاعات ديگري نيز ممكن است در آن موجود باشد.
گواهي‎نامه‎ها براي حصول اطمينان از صحت كليد عمومي‎ مربوط به آن را كنترل كرد. مطمئن‎ترين راه براي احراز هويت، همراه‎كردن يك يا چند گواهي‎نامه‎ها با هر پيام امضا شده، مي‏باشد. گيرنده پيام گواهي‏ها را با استفاده از كليد عمومي‎CA تأييد مي‎كند و پس از اطمينان از صحت كليد عمومي‎ فرستنده، امضاي پيام را وارسي مي‏كند. ممكن است دو گواهي‎نامه يا بيشتر همراه پيام باشد كه زنجيره‎اي را تشكيل مي‎دهند كه در آن هر گواهي‎نامه، گواهي قبلي را تأييد مي‎كند. در انتهاي سلسله گواهي‎ها يك CA سطح بالا وجود دارد كه بدون نياز به گواهي از جانب CA ديگر مورد اعتماد است . كليد عمومي ‎CA سطح بالا بايد در دسترس عموم قرار داشته باشد . به عنوان يك قاعده كلي، زنجيره گواهي‎نامه‎ها بايد تاجايي ادامه پيدا كند كه آخرين حلقه زنجيره گواهي‎ها براي گيرنده شناخته شده و قابل اعتماد باشد.

مرجع صدور و روش صدور گواهي‎نامه‎ها
گواهي‎نامه‎ها توسط متصدي صدور گواهي‎نامه (CA) صادر مي‎شوند . (CA) يك اداره مركزي قابل اعتماد است كه هويت اشخاصي كه براي آنها گواهي‎نامه صادر مي‎كند و كليد مربوط به آنها را ضمانت مي‏كند.
صدور گواهي‎نامه مي‎تواند به صورت زير باشد. شخص B زوج كليد خودش را ايجاد مي‎كند و كليد عمومي‎ را به همراه مدارك اثبات هويت براي CA مي‎فرستد. CA هويت B را كنترل مي‎كند و براي اطمينان از اينكه اين درخواست واقعاً از طرف B آمده و كليد عمومي‎ هنگام ارسال تغيير نكرده است اقدامات لازم را انجام مي‎دهد، سپس گواهي‎نامه‎اي صادر مي‎كند كه ارتباط بين B و كليد عمومي‎اش را تأييد مي‏كند.
همچنين ممكن است زنجيره‏اي از گواهي‎نامه‎ها ضميمه شوند كه كليد عمومي‎ CA را تأييد مي‎كنند. B مي‎تواند در صورت لزوم براي اثبات درستي كليد عمومي‎اش دنباله گواهي‎نامه‎ها را ارائه كند.
از آنجا كه CA بايد هويت افراد را كنترل كند، بيشتر سازمان‎ها براي كاركنانشان به عنوان CA عمل مي‏كنند. همچنين متصدياني وجود دارند كه براي اشخاص حقيقي مستقل گواهي‎نامه صادر مي‎كنند.

زيرساخت كليد عمومي (PKI)
يك PKI شامل پروتكل‎ها، سرويس‎ها و استانداردهايي است كه از كاربرد رمزنگاري كليد عمومي ‎(نامتقارن) پشتيباني مي‎كنند. اين اقدامات از طريق متصدي صدور گواهي (CA) و متصدي ثبت (RA) براي مديريت كليدهاي عمومي‎ انجام مي‎گيرد اما فقط به عمليات رمزنگاري توسط كليدها محدود نمي‏شود.
از جمله سرويس‎هايي كه در يك PKI ارائه مي‎شوند موارد زير است :
- ثبت كليد : صدور گواهي‎نامه جديد براي يك كليد عمومي‎
- ابطال گواهي‎نامه : حذف گواهي‎نامه‎اي كه قبلاً صادر شده
- انتخاب كليد : به‏دست‎آوردن كليد عمومي‎ مورد نياز
- ارزيابي قابليت اعتماد: تعيين اينكه آيا يك گواهي‎نامه معتبر است و مجاز به انجام چه عملياتي است .
بازيابي كليدها نيز به عنوان يكي از خدمات PKI پيشنهاد شده است .
در حال حاضر هيچ PKI سراسري منحصر به فردي وجود ندارد. چند PKI مختلف با درجات مختلفي از سازگاري در حال تكامل هستند. روش‎ها و سازوكارهاي به‎كاررفته در PKI، باز و قابل ارتقاء هستند و در عين حال نيازهاي خاص كاربران را نيز برآورده مي‎كنند. به عنوان مثال اين موضوع كه در PKI جهاني چندين CA «سطح بالا» يا «ريشه» وجود خواهند داشت مورد پذيرش عمومي است، هر چند كه در يك PKI محلي شايد فقط يك CA سطح بالا وجود داشته باشد. بنابراين، پروتكل‎ها با توجه به تعيين ريشه‎هاي مورد اعتماد براي يك كاربر، تعريف مي‎شوند. تلاش براي تعريف PKI در دولت‎ها و سازمان‎هاي استاندارد جهاني در جريان است.

پاكت ديجيتال
پاكت ديجيتال شامل يك پيام رمز شده با رمزنگاري كليد سري و يك كليد محرمانه رمز شده مي‎باشد. فرض كنيد A مي‎خواهد پيامي‎ براي B ارسال كند. A مي‎تواند از رمزنگاري كليد ـ سر‏ّي (متقارن) براي رمزنگاري پيام استفاده كند و از رمزنگاري كليد ـ عمومي ‎براي ارسال كليد استفاده كند. A يك كليد سري را انتخاب كرده و با استفاده از آن متن پيام را رمزنگاري مي‎كند و سپس كليد سري را با استفاده از كليد عمومي‎B رمزنگاري مي‎كند. سپس A پيام رمزنگاري شده و كليد سري رمزنگاري شده را ارسال مي‎كند.
هنگامي‎كه B مي‎خواهد پيام را بخواند ابتدا با استفاده از كليد اختصاصي خودش, كليد سري را رمز‏گشايي كرده و سپس با استفاده از كليد سري متن پيام را رمزگشايي مي‎كند.(شكل 5)

(شکلها در فایل ضمیمه در انتهای مقاله)

يكي از ويژگي‎هاي جالب اين روش آن است كه طرفين مي‎توانند به دلخواه كليد سري را تغيير دهند. حسن اين كار آن است كه پيدا كردن كليدهايي كه براي مدت زمان كمي‎استفاده شده‎اند مشكل‎تر است .
در عمل، اغلب سيستم كليد عمومي‎ RSA به همراه يك سيستم كليد سري مانند DES براي رمزنگاري پيام‎ها توسط پاكت ديجيتال به كار مي‎روند.