ISO 11568-2:1994
(Main)Banking — Key management (retail) — Part 2: Key management techniques for symmetric ciphers
Banking — Key management (retail) — Part 2: Key management techniques for symmetric ciphers
Specifies techniques for the protection of the cryptographic keys for symmetric siphers used in a retail banking environment. Applicable to any organisation which is responsible for implementing procedures for the protection of keys during the life cycle. Gives in annex B algorithms approved for use with the techniques described herein.
Banque — Gestion de clés (services aux particuliers) — Partie 2: Techniques de gestion de clés pour les algorithmes cryptographiques symétriques
La présente partie de l'ISO 11568 prescrit les techniques de protection de clés pour les algorithmes cryptographiques symétriques dans le cadre des services bancaires aux particuliers. Elle est applicable à toutes les entités chargées de la mise en place de procédures de protection aux différentes étapes du cycle de vie des clés. Les techniques décrites ci-après sont conformes aux principes exposés dans l'ISO 11568-1. Ces techniques s'appliquent à tous les algorithmes cryptographiques symétriques par blocs de n bits. Les notations employées dans la présente partie de l'ISO 11568 sont répertoriées dans l'annexe A. L'annexe B fournit la liste des algorithmes approuvés compatibles avec les techniques décrites dans la présente partie de l'ISO 11568.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL
ISO
STANDARD
11568-2
First edition
1994-12-01
Banking - Key management (retail) -
Part 2:
Key management techniques for symmetric
ciphers
Banque - Gestion de CES (Services aux particuliers) -
Partie 2: Techniques de gestion de cl& pour /es algorithmes
cryptographiques symetriques
Reference number
ISO 11568-2:1994(E)
---------------------- Page: 1 ----------------------
ISO 11568=2:1994(E)
Contents
Page
1 Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~. 1
2 Normative references . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “. 1
3 Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “. 1
4 General environment for key management techniques . 2
............................................................................. 2
4.1 Functionality of a secure cryptographic device
........................................................................................................................... 3
4.2 Double length keys
................................................................................................................................. 4
4.3 Key generation
................................................................................................................................. 4
4.4 Key calculation
4.5 Key hierarchies . 4
........................................................... 4
5 Techniques for the Provision of key management Services
5.1 Key encipherment . 5
5.2 Key variants . 5
................................................................................................................................... 5
5.3 Key derivation
5.4 Key transformation . 6
5.5 Key offsetting . 6
6
5.6 Key notarization .
7
5.7 Key tagging .
7
5.8 Key verification .
.............................................................................................................................. 8
5.9 Key identification
........................................................................................................................... 8
5.10 Controls and audit
8
6 Key management Services Cross reference . . . . .~.Y.~.~. ““.
Annexes
10
...........................................................................................
A Notation used in this patt of ISO 11568
10
.....................................................................................................................................
A.1 Operators
10
..................................................................................................................
A.2 Suffix Ietters for keys
10
.........................................................................................................
A.3 Specific keys and key pairs
11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
B Approved algorithms for symmetric key management
12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.~.~. “.
C Abbreviations
13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.~.
D Symmetrie tipher examples
15
......................................................................................................
E Key variants and control vectors
15
..................................................................................................................................
E.1 Key variants
15
.............................................................................................................................
E.2 Control vectors
16
F Bibliography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.~.
0 ISO 1994
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced
or utilized in any form or by any means, electronie or mechanical, rncluding photocopying and
microfilm, wrthout permission In writing from the publisher.
International Organrzation for Standardization
Case Postale 56 l CH-l 211 Geneve 20 l Switzerland
Printed in Switzerland
ii
---------------------- Page: 2 ----------------------
0 ISO
ISO 11568=2:1994(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide
federation of national Standards bodies (ISO member bodies). The work of
preparing International Standards is normally carried out through ISO technical
committees. Esch member body interested in a subject for which a technical
committee has been established has the right to be represented on that
committee. International organizations, governmental and non-governmental, in
liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
Draft International Standards adopted by the technical committees are circulated
to the member bodies for approval before their acceptance as International
Standards by the ISO Council. They are approved in accordance with ISO
procedures requiring at least 75 % approval by the member bodies voting.
International Standard ISO 11568-2 was prepared by Technical Committee
lSO/TC 68, Banking and related financial Services. Subcommittee SC 6, FinanciaI
transaction cards, related media and operations.
ISO 11568 consists of the following Parts, under the general title Banking - Key
managemen t (retail) :
- Part ? : Introduction to key management
- Part 2 : Key management techniques for symmetric ciphers
- Part 3 : Key life cycle for symmetric ciphers
- Part 4 : Key management techniques for asymmetric ciphers
- Part 5 : Key life cycle for asymmetric ciphers
- Part 6 : Key management schemes
Annexes A, B and C form an integral part of this part of ISO 11568. Annexes D, E
and F are for information only.
---------------------- Page: 3 ----------------------
ISO 11568-2:1994(E)
@ISO
Introduction
ISO 11568 is one of a series of Standards describing procedures for the secure
management of cryptographic keys used to protect messages in a retail banking
environment, for instance, messages between an acquirer and a card acceptor,
or an acquirer and a card issuer. Key management of keys used in an Integrated
Circuit Card (ICC) environment is not covered by ISO 11568 but will be
addressed in another ISO Standard.
Whereas key management in a wholesale banking environment is characterized
by the exchange of keys in a relatively high-security environment, this Standard
addresses the key management requirements that are applicable in the
accessible domain of retail banking Services. Typical of such Services are
Point-of-sale/point-of-Service (POS) debit and credit authorizations and
automated teller machines (ATM) transactions.
ISO 11568-2 describes key management techniques which, when used in
combination, provide the key management Services identified in ISO 11568-1.
These Services are :
- key Separation
- key Substitution prevention
- key identification
- key synchronization
- key integrity
- key confidentiality
- key compromise detection
key managem ent Services and the corresponding key management
The
tech niques are Cross referenced in clause 6.
iv
---------------------- Page: 4 ----------------------
INTERNATIONAL STANDARD 0 ISO ISO 11568-2:1994( E)
Key management (retail) -
Banking -
Part 2:
Key management techniques for symmetric ciphers
ISO 11568-3:1994, Banking - Key management
1 Scope
(re taii) - Part 3: Key life cycle for symmetric
ciphers.
This part of ISO 11568 specifies techniques for the
protection of the cryptographic keys for symmetric
ANSI X3.92, Data Encryption Algorithm.
ciphers used in a retail banking environment.
lt is applicable to any organization which is
responsible for implementing procedures for the
of keys during the life cycle. The
protection
techniques described in this part enable compliance
with the principles described in ISO 11568-1.
3 Definitions
The techniques described are applicable to any
For the purposes of this part of ISO 11568, the
symmetric n-bit block tipher algorithm.
definitions given in ISO 8908 and the following
definitions apply.
The notation used in this part of ISO 11568 is given in
annex A.
3.1 tipher : A pair of operations which effect
Algorithms approved for use with the techniques
transformations between plaintext and ciphertext
described in this patt of ISO 11568 are given in
under the control of a Parameter called a key. The
annex B.
encipherment Operation transforms data (plaintext)
into an unintelligible form (ciphertext). The
decipherment Operation restores the original text.
2 Normative references
3.2 counter : An incrementing count used between
The following Standards contain provisions which,
two Parties, for example, to control successive key
through referenced in this text, constitute provisions distributions under a particular key encipherment
of this part of ISO 11568. At the time of publication,
key.
the conditions indicated were valid. All Standards are
subject to revision, and Parties to agreements based
3.3 data integrity : The property that data has not
upon this patt of ISO 11568 are encouraged to
been altered or destroyed in an unauthorized
investigate the possibility of applying the most recent
manner.
edition of the Standards indicated below. Members of
IEC and ISO maintain registers of currently valid
3.4 data key : A cryptographic key used for the
International Standards.
encipherment, decipherment or authentication of
ISO 8908:1993, Banking and related fiancial Services data.
- Vocabulary and data elements.
3.5 exclusive-or : see modulo-2 addition.
lSO/IEC 10116: 1991, Information processing - Modes
of Operation for an n-bit block tipher algorithm.
3.6 hexadecimal digit : A Single Character in the
ISO 11568-1:1994, Banking - Key management range O-9, A-F (upper case), representing a four bit
(retail) - Part 1: Introduction to key management. string.
1
---------------------- Page: 5 ----------------------
ISO 11568~2:1994(E)
0 ISO
3.7 key component : One of at least two randomly
4 General environment for key
l
generated Parameters having
or pseudo-randomly
management techniques
the characteristics (e.g. format, randomness) of a
cryptographic key that is combined with one or more
The techniques which may be used to provide the key
like Parameters, e.g. by means of modulo-2 addition,
management Services are described in clause 5. This
to form a cryptographic key.
clause describes the environment within which those
techniques operate and introduces some fundamental
3.8 key offset; offset : The result of adding a counter
concepts and operations which are common to
to a cryptographic key using modulo-2 addition.
several techniques.
3.9 key space :
The set of all possible keys used
within a tipher.
4.1 Functionality of secure cryptographic
device
3.10 Message Authentication Code (MAC) : A code
in a message between a originator and recipient
The most fundamental cryptographic operations for a
used to validate the Source and part or all of the text
symmetric block tipher are to encipher and decipher a
of a message. The code is the result of an agreed
block of data using a supplied secret key. For multiple
calculation.
blocks of data, these operations might use a mode of
Operation of the tipher as described in ISO/IEC 10116.
At this level, no meaning is given to the data, and no
3.11 modulo-2 addition : exclusive-or; XOR : A
particular significance is given to the keys.
binary addition with no carry, giving the following
values :
Typically, in Order to provide the required protection
o+o=o for keys and other sensitive information, a secure
cryptographic device must provide a higher level
O+l=l
functional interface, whereby each Operation includes
l+O=l
several of the fundamental cryptographic operations
l+l=O
using some combination of keys and data obtained
from the interface or from an intermediate result.
3.12 n-bit block tipher : A block tipher algorithm
These complex cryptographic operations are known
with the property that plaintext blocks and ciphertext
as functions, and each one operates only on data and
blocks are n-bits in length.
keys of the appropriate type.
4.1.1 Data types
3.13 notarization : A method of modifying a key
Order to authenticate the
encipherment key in
Application level cryptography assigns meaning to
identities ofthe originator and the ultimate recipient.
data, and data with differing meanings need to be
manipulated and protected in different ways by the
3.14 originator : The Party that is responsible for secure cryptographic device. Data with a specific
originating a cryptographic message. meaning constitutes a data type. The secure
cryptographic device ensures that it is not possible
to manipulate a data type in an inappropriate
3.15 pseudo-random : A process that is statistically
manner.
random and essentially unpredictable although
generated by an algorithmic process.
For example, a PIN is a data type which must remain
secret, whereas other transaction data may constitute
3.16 recipient : The Party that is responsible for
a data type which requires authentication but not
receiving a cryptographic message.
secrecy.
A cryptographic key may be regarded as a special
3.17 secure cryptographic device : A device that
data type. A secure cryptographic device ensures
provides security storage for secret information such
that a key tan exist only in the forms permitted by
as keys and provides security Services based on this
ISO 1 1568-3.
secret information.
---------------------- Page: 6 ----------------------
0 ISO
ISO ‘l1568=2:1994(E)
4.1.2 Key types The average time required to discover a key by
exhaustive search is directly proportional to the size
A key is categorized according to the type of data on
of the key space of the tipher.
which it operates and the manner in which it
operates. The secure cryptographic device ensures
An effective measure against this form of attack is the
that key Separation is maintained, so that a key
use of cryptographic operations which utilize a
cannot be used with an inappropriate data type or in
double length key. A double length key is denoted by
an inappropriate manner.
an asterisk preceding the alphabetic characters of the
key name, e.g. *K. A double length key may also be
For example, a PIN encipherment key is a key type
referred to as a key pair as it is formed by the
which is used only to encipher PINS, whereas a key
concatenation of two Single length keys, the left key
encipherment key (KEK) is a key type which is used only
and the right key, which are denoted using the
to encipher other keys. Also a KEK may require typing
suffixes ‘1’ and ‘r’ respectively. Hence ;
such that it operates only on one type of key. For
example, one type of KEK may encipher a PIN
*K = Kl 11 Kr
encipherment key, while another enciphers a MAC key.
The notation (*)K may be used where the context
4.1.3 Cryptographic functions allows a Single or double length key. Abbreviations
used in this patt of this ISO 11568 are described in
The set of functions supported by the secure
annex C.
cryptographic device directly reflects the
cryptographic requirements of the application. lt
The e nci pherme nt and decipherment ofasi ngle block
might include such functions as : encipher a PIN,
using a double length key are defin ed as shown in
verify an enciphered PIN, generate a MAC, or
tigure 1.
generate an enciphered random key.
The design of the secure cryptographic device is such
Plaintext block Ciphertext block
that no individual function may be used to obtain
unauthorized sensitive information. Additionally, no
combination of functions exists which may result in
such data being obtained. Such a design is referred to
as being logically secure.
Kr e
A secure cryptographic device may be required to
manage keys of several types. Cryptographic keys
-Q
used in such a System may be held securely outside
of the cryptographic device by being stored in an
enciphered formby using KEKS which either exist
only within the cryptographic device, or are
I
( w
enciphered under a higher level KEK.
Ciphertext block Plaintext block
One technique of providing key Separation is to use a
Figure 1 - Use of double length keys
different KEK type for the encipherment of each type
of key. When this technique is used, and an
This ‘triple encipherment’ Operation is often written
enciphered key is passed to the secure cryptographic
as ‘ede’ and the inverse Operation of ‘triple
device, the key is deciphered using the KEK type
decipherment’ is written as ‘ded ’, that is;
appropriate for the expected key type. If this key is an
incorrect type, and thus is enciphered under some
ede*K(D) = eKl(dKr(eKI(D)))
other KEK type associated with some other key type,
ded*K(D) = dKl(eKr(dKI(D)))
the decipherment produces a meaningless key value.
Alternatively, the Operators ‘er and ‘d’ may implicitly
4.2 Double length keys denote multiple encipherment and decipherment respec-
tively when used with a double length key, that is;
The secret key used with a symmetric block tipher may
at some future time be subjected to an exhaustive key
e*K(D) = ede*K(D)
search attack, whereby each key in the key space is
d*K(D) = ded*K(D)
tested in turn until the correct key is discovered. The
attack requires knowledge of an amount of ciphertext These definitions for the encipherment and
and the corresponding (known or suspected) plaintext. decipherment operations using a double length key
Esch test involves deciphering the ciphertext using a
have the characteristic that a double length key
test key value and comparing the result with the comprising a left (1) and right (r) key with equal values
corresponding plaintext.
is equivalent to a Single length key with that value.
3
---------------------- Page: 7 ----------------------
ISO 11568=2:1994(E)
0 ISO
4.3 Key generation 4.4 Key calculation
The key management principles in ISO 11568-1 lt is possible to obtain a number of keys from a Single
require that keys shall be generated using a process key using a reversible process. An example of such a
which ensures that it is not possible to predict any process is the modulo-2 addition of the key and a non
key or determine that certain keys within the key secret value.
space are more probable than others.
Key calculation has the qualities of Speed and
In Order to conform with this principle, keys and key simplicity, but disclosure of one key calculated in this
manner discloses the original key and all other keys
components shall be generated using a random or
pseudo-random process. calculated from it.
The pseudo-random key
generation process may be either non repeatable or
repeatable.
4.5 Key hierarchies
A key hierarchy is a conceptual structure in which the
confidentiality of certain keys is dependent upon the
4.3.1 Non repeatable key generation
confidentiality of other keys. By definition, disclosure
of a key at one level of the key hierarchy shall not
This process may involve a non deterministic value
disclose any key at a higher level.
such as the output of a random number generator, or
may be a pseudo-random process.
Key encipherment introduces a key hierarchy
whereby a key encipherment key (KEK) is considered
An example of a pseudo-random process for
to be at a higher level than a key which it enciphers.
generating a key, “Kx ”, is as follows, where K is a
The most simple is a two level hierarchy, whereby
secret cryptographic key reserved for key generation,
the working keys are enciphered by KEKS which are
V is a secret seed value and DT is a date-time vector
themselves stored in a cryptographic device. In a
updated on each key generation :
three level hierarchy, these KEKS are also managed in
an enciphered form using a higher level KEK. The
Kx = eK (eK (DT) 0 V)
concept may be extended to four or more layers.
and generate a new V as follows :
Similarly, when an initial key or key generating key
(KGK) participates in the generation of other keys
V = eK (Kx 0 eK (DT))
using a deterministic process, a hierarchy may result
whereby the KGK is considered to be at a higher level
than the generated keys.
4.3.2 Repeatable key generation
Keys at the higher levels of the key hierarchy tend to
be long-term keys and may protect a large number of
lt is sometimes convenient to generate one or more
keys, perhaps thousands, from a Single key using a other keys from disclosure, therefore they should be
repeatable process. Such a process allows for any of double length keys.
the resultant keys to be regenerated, as required, in
any location which possesses the seed key and
appropriate faci litates
generation data, and
5 Techniques for the Provision of key
significant reductions in the number of keys which
management Services
require manual management, storage or distribution.
This clause describes the techniques which may be
The generation process shall be such that if the initial
used, individually or in combination, to provide the
key is unpredictable within the key space (as required
key management Services introduced in ISO 11568-1.
by the key management principles), then so is each
Some techniques provide multiple key management
resultant key.
Services. A Cross reference between the key
management Services and the techniques is given in
The procedure may be used iteratively, as a key
table 1, and an example of a typical symmetric tipher
generated from one initial key may subsequently be
key management scheme is shown in annex D.
used as a initial key to generate others.
The selected techniques shall be implemented in a
The generation process shall be non reversible, such
secure cryptographic device. The functionality of the
that disclosure of a generated key discloses neither
cryptographic device ensures that the
the initial key nor any other generated key. An
implementation of a technique is such that the
example of such a process is the encipherment of a
intended purpose of the technique is achieved.
non secret value using the initial key.
---------------------- Page: 8 ----------------------
0 ISO ISO 11568=2:1994(E)
5.1 Key encipherment
(CO Cl C* . .Ci.Cn)
Key encipherment is a technique whereby one key is
enciphered using another key. The resulting enciphered
key may then be managed securely outside of the
r’
protected environment of a cryptographic device. A
key used to perform such encipherment is called a
key encipherment key (KEK).
*
Keys may need to exist outs ide of a cry raphic
Pt og
= key type i
( )K
i
device, for the fo Ilowing reaso ns :
Figure 2 - Variant key calculation
a) where a key is required to be transported
securely to a remote cryptographic device using a
A variant key calculated using a reversible process
non secure channel ;
shall exist only in the cryptographic device which
contains the original key.
b) where the key storage requirement of the node
exceeds the facilities provided by the cryptographic
The key variants technique is applicable at all levels
device.
of a key hierarchy. A Single key may be used to
calculate a set of KEKS of different types, i.e. each
KEKS tend to be long term keys and may protect a
KEK is to be used to encipher a different key type.
Iarge number of other keys from disclosure.
Alternatively, a Single key may generate a set of
Therefore the KEKS should be double length keys.
working keys of different types.
NOTE 1 For additiona I explanation on key variants and
Encipherment of a Single key using a double length
control vectors, refer to annex E.
key is as described in 4.2 with the Single key being the
plaintext data block.
5.3 Key derivation
Encipherment of a double length key using a double
performed by independently Key derivation is a technique by which a (potentially
length key is
enciphering the left and right keys, i.e. large) number of keys are generated ( “derived ”) from a
Single initial key and non secret variable data, with
*KEK(*K) = e*KEK(KI) I/ e*KEK(Kr) each resulting key being the initial key for a different
secure cryptographic device - typically the PIN pad of
No key should be enciphered using a key of a lesser
an EFTPOS terminal. The initial key is called a
length. This implies that a double length key used
“derivation key” and each key generated from it is
with a particular tipher should not be enciphered
called a “derived key ”. Key derivation provides key
using a Single length key of that tipher.
Separation by generating a (statistically) unique key for
each cryptographic device, without the need to
encipherment ensures
Although
key
keY manage a large number of separate, unrelated keys.
confidentiality is maintained, other techniques may
This eliminates the need to store each initial key
need to be employed in association with the key
(presumably in enciphered form) at the acquirer or
encipherment in Order to ensure adequate key
receiving node, as when a key is needed for
Separation and to prevent key Substitution.
subsequent use it is derived again from the derivation
key and appropriate derivation data.
5.2 Key variants
The derived key generation procedure utilizes a non
reversible process, as illustrated in figure 3, using the
Key variants is a technique for obtaining a set of keys
derivation key and data which uniquely identifies the
from a Single key, with each resulting key having a
target cryptographic device.
different key type.
KeY
This technique provides key Separation while
identification
eliminating the need to manage a separate, unrelated
data
key of each required type. Esch variant key is
calculated from the original key and one constant
from a set of non secret constants, as illustrated in
Derivation
figure 2, using a repeatable process (f). The process
key ,j nonrw23le /
of repeatable key calculation is described in 4.4.
A constant having a unique value in the set of
constants shall be allocated to each key type to be
Derived
calculated from the original key using the key
keY
variants technique.
Figure 3 - Generation of a derived key
5
---------------------- Page: 9 ----------------------
ISO 11568=2:1994(E)
0 ISO
The use of a non reversible process ensures that the
transaction data transmitted from the device, and
compromise of a derived key does not disclose the generating the current key from the counter and the
derivation key or any other derived keys. However, initial key. This procedure involves performing all
compromise of a derivation key discloses all keys those key transformations which lead directly from
derived from it. the initial key to the current key. Typically, the
number of transformations required is small (e.g. IO),
NOTE 2 The procedure of key derivation as defined above
even though the key
replacement counter
excludes a key variant (see 5.2) from being considered as a
increments to a large (e.g. 1 million) value.
derived key.
5.4 Key transformation
5.5 Key offsetting
Key tran sform ation is a technique whereby a secure Key offsetting is a technique for calculating a new
cryptogr aphic device typically the PIN pad of an KEK from an initial key each time a new enciphered
EFTPOS terminal - effects key replacement by key is to be transmitted to a receiving node.
ts current
generati ne or more future keys from i
ng 0
The technique prevents the Substitution of a previous
key and then erasing all t rate of the c ‘urrent key.
(but replaced) key for the current key exchanged
Key transformation lessens the impact of key between communicating Parties.
compromise by enabling the cryptographic device to
A counter, which is incremented each time
...
ISO
NORME
INTERNATIONALE 11568-2
Première édition
1994-I 2-01
Banque - Gestion de clés (services aux
particuliers) -
Partie 2:
Techniques de gestion de clés pour les
algorithmes cryptographiques symétriques
- Key management (retail) -
Bankng
Part 2: Key management techniques for symmetric ciphers
Numéro de référence
ISO 11568-2:1994(F)
---------------------- Page: 1 ----------------------
ISO 11568=2:1994(F)
Sommaire
Page
1
1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 Références normatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1
3 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 Environnement général pour les techniques de gestion de clés
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Fonctionnalités d’un dispositif cryptographique sûr
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Clé double
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
4.3 Génération de clé
4.4 Calcul de clé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
4.5 Hiérarchie de clés
.................................................................... 4
5 Techniques associées aux services de gestion de clés
5
5.1 Chiffrement de clé .
................................................................................................................................. 5
5.2 Variantes de clé
5
5.3 Dérivation de clé .
....................................................................................................................... 6
5.4 Transformation de clé
.................................................................................................................................. 6
5.5 Décalage de clé
............................................................................................................................ 7
5.6 Notarisation de clé
............................................................................................................................... 7
5.7 Étiquetage de clé
.............................................................................................................................. 8
5.8 Vérification de clé
........................................................................................................................... 8
5.9 Identification de clé
8
............................................................................................................................
5.10 Contrôles et audit
9
6 Tableau des correspondances entre les techniques et les services de gestion de clés . . . . . . . . . . . . . . . .
Annexes
10
.............................................................
A Notations utilisées dans la présente partie de I’ISO 11568
10
A.1 Opérateurs .
10
A.2 Suffixes des clés .
10
A.3 Clés simples et doubles .
B Algorithmes approuvés pour le gestion de clés dans les algorithmes cryptographiques symé-
11
triques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
C Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
D Exemples d’algorithmes cryptographiques symétriques
15
...........................................................................................
E Variantes de clé et vecteurs de contrôle
............................................................................................................................. 15
E.l Variantes de clé
15
E.2 Vecteurs de contrôle .
17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
F Bibliographie
0 ISO 1994
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord
écrit de l’éditeur.
Organisation internationale de normalisation
Case Postale 56 l CH-l 211 Genève 20 l Suisse
Imprimé en Suisse
---------------------- Page: 2 ----------------------
ISO 11568-2:1994(F)
0 ISO
Avant-propos
L’ISO (Organisation Internationale de Normalisation) est une fédération mon-
diale d’organismes nationaux de normalisation (comités membres de I’ISO).
L’élaboration des Normes internationales est en général confiée aux comités
techniques de I’ISO. Chaque comité membre intéressé par une étude a le droit
de faire partie du comité technique créé à cet effet. Les Organisations internatio-
nales, gouvernementales et non gouvernementales, en liaison avec I’ISO partici-
pent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation élec-
trotechnique.
Les projets de Normes internationales adoptés par les comités techniques sont
soumis aux comités membres pour vote. Leur publication comme Normes inter-
nationales requiert l’approbation de 75 % au moins des comités membres
votants.
La Norme internationale ISO 115682 a été élaborée par le comité technique
lSO/TC 68, Banque et services financiers liés aux opérations bancaires, sous-co-
mité SC 6, Cartes de transactions financières, supports et opérations relatifs à
celles-ci.
L’ISO 11568 comprend les parties suivantes, présentées sous le titre général
Banque - Gestion de clés (services aux particuliers)
- Partie 7 : Introduction à la gestion de clés
-Partie 2 : Techniques de gestion de clés pour les algorithmes
cryptographiques symétriques
-Partie 3 : Cycle de vie des clés pour les algorithmes cryptographiques
symétriques
- Partie 4 : Techniques de gestion de clés pour les algorithmes
cryptographiques asymétriques
- Partie 5 : Cycle de vie des clés pour les algorithmes cryptographiques
asymétriques
- Partie 6 : Schémas de gestion de clés
Les annexes A, B et C font partie intégrante de la présente partie de I’ISO 11568.
Les annexes D, E et F sont données uniquement à titre d’information.
. . .
III
---------------------- Page: 3 ----------------------
ISO 11568-2:1994(F)
0 ISO
Introduction
L’ ISO 11568 fait partie d’un ensemble de normes décrivant des procédures des-
tinées à sécuriser la gestion des clés cryptographiques secrètes qui protègent
les messages dans un environnement de services bancaires aux particuliers, par
exemple les messages échangés entre un acquéreur et un accepteur de cartes
ou entre un acquéreur et un émetteur de cartes. La gestion de clés employées
dans le cadre des cartes à circuit intégré n’est pas traitée dans I’ISO 11568, mais
fera l’objet d’une autre norme internationale.
Alors que la gestion de clés dans le cadre des services bancaires aux entreprises
se caractérise par l’échange de clés dans un environnement relativement bien
sécurisé, la présente partie de I’ISO 11568 prescrit les besoins de gestion de clés
applicables dans des domaines ouverts qui sont ceux des services bancaires aux
particuliers. Les autorisations de crédit et de débit aux points de vente/points de
service (TPE) et les transactions aux guichets automatiques de banques (GAB)
en sont des services typiques.
La présente partie de I’ISO 11568 décrit des techniques de gestion de clés qui
peuvent être combinées pour fournir les services de gestion de clés présentées
dans I’ISO 11568-I. Ces services sont les suivants :
- séparation des clés
- prévention de la substitution
- identification
- synchronisation
- intégrité
- confidentialité
,
- détection de la compromission d’une clé
Les techniq U es associées aux d ifférents s ervices de gestion de clés sont réperto-
riées dans I tableau figurant à l’article 6.
e
---------------------- Page: 4 ----------------------
NORME INTERNATIONALE 0 ISO
ISO 11568-2:1994(F)
- Gestion de clés (services aux particuliers) -
Banque
Partie 2 :
Techniques de gestion de clés pour les algorithmes
cryptographiques symétriques
lSO/CEI 10116:1991, Technologies de l’information -
1 Domaine d’application
Modes opératoires d’un algorithme de chiffrement
par blocs de n-bits.
La présente partie de I’ISO 11568 prescrit les techni-
ques de protection de clés pour les algorithmes cryp-
ISO 11568-I: 1994, Banque - Gestion de clés (servi-
tographiques symétriques dans le cadre des services
ces aux particuliers) - Partie 7 : Introduction à la ges-
bancaires aux particuliers.
tion de clés.
Elle est applicable à toutes les entités chargées de la
ISO 11568-3:1994, Banque - Gestion de clés (servi-
mise en place de procédures de protection aux diffé-
ces aux particuliers) - Partie 3 : Cycle de vie des clés
rentes étapes du cycle de vie des clés. Les techniques
pour /es algorithmes cryptographiques symétriques.
décrites ci-après sont conformes aux principes expo-
sés dans I’ISO 11568-I.
ANSI X3.92, Data Encryption Algorithm.
Ces techniques s’appliquent à tous les algorithmes
cryptographiques symétriques par blocs de n bits.
3 Définitions
Les notations employées dans la présente partie de
I’ISO 11568 sont répertoriées dans l’annexe A.
Pour les besoins de la présente partie de I’ISO 11568,
L’annexe B fournit la liste des algorithmes approuvés
les définitions données dans I’ISO 8908 ainsi que les
compatibles avec les techniques décrites dans la pré-
définitions suivantes s’appliquent.
sente partie de I’ISO 11568.
3.1 algorithme cryptographique : Désigne I’ensem-
ble des deux opérations inverses de chiffrement et
2 Références normatives
de déchiffrement. Ces opérations utilisent un para-
mètre appelé «clé». La première transforme le texte
initial (texte en clair) de façon à le rendre inintelligible
Les normes suivantes contiennent des dispositions
(texte chiffré), et la seconde rétablit le texte initial.
qui, par suite de la référence qui en est faite, consti-
tuent des dispositions valables pour la présente par-
tie de I’ISO 11568. Au moment de la publication, les
3.2 compteur : Compteur incrémentiel, utilisé par
éditions indiquées étaient en vigueur. Toute norme
deux entités, pour contrôler les attributions successi-
est sujette à révision et les parties prenantes des
ves de clés à partir d’une clé particulière de chiffre-
accords fondés sur la présente partie de I’ISO 11568
ment de clé.
sont invitées à rechercher la possibilité d’appliquer
les éditions les plus récentes des normes indiquées
3.3 intégrité des données : Qualité des données qui
ci-après. Les membres de la CEI et de I’ISO possèdent
n’ont pas été altérées ou détruites d’une manière
le registre des Normes internationales en vigueur à
frauduleuse.
un moment donné.
ISO 8908:1993, Banque et services financiers liés aux
3.4 clé de données : Clé utilisée pour le chiffrement,
Vocabulaire et éléments de
opérations bancaires -
le déchiffrement ou l’authentification de données.
données.
1
---------------------- Page: 5 ----------------------
ISO 11568=2:1994(F) 0 ISO
3.5 OU exclusif : voir addition modulo-2.
4 Environnement général pour
les techniques de gestion de clés
3.6 chiffre hexadécimal : Caractère unique choisi
dans l’intervalle O-9, A-F (majuscules), représentant
Les techniques utilisables pour rendre les services de
une configuration de 4 bits.
gestion de ‘clés sont décrites à l’article 5. Cet article
décrit l’environnement dans lequel ces techniques
sont mises en œuvre et introduit des concepts fonda-
3.7 élément de clé : L’un des paramètres généré de
mentaux et des opérations qui sont communs aux
façon aléatoire ou pseudo-aléatoire qui a les caractéris-
différentes techniques.
tiques d’une clé de chiffrement (par exemple pour ce qui
concerne le format et la définition aléatoire) et qui est
ajouté modulo-2 à un ou plusieurs autres paramètres
4.1 Fonctionnalités d’un dispositif
semblables pour former une clé de chiffrement.
cryptographique sûr
Un algorithme cryptographique symétrique par blocs
3.8 décalage de clé : Résultat de l’addition modulo-2
repose sur les opérations élémentaires de chiffre-
d’une clé cryptographique et de la valeur d’un
ment et de déchiffrement d’un bloc de données au
compteur.
moyen d’une clé secrète déterminée. Lorsque le trai-
tement porte sur plusieurs blocs de données, ces
3.9 espace de clés : Ensemble de to utes les cl és pos- opérations pourraient utiliser un mode opératoire
sibles utilisées dans un algorithme c hique. conforme aux spécifications de la norme ISO 10116.
ryptograp
À ce niveau, les données et les clés n’ont aucune
signification particulière.
3.10 code d’authentification du message (MAC :
Message Authentication Code) : Code inclus dans un
Pour garantir la protection des clés et autres données
message transmis par un donneur d’ordre à un desti-
confidentielles, un dispositif cryptographique sûr doit
nataire, permettant de valider la source et tout ou
offrir une interface fonctionnelle de niveau supérieur,
partie du texte du message. Ce code résulte d’un
chaque opération étant constituée de plusieurs opé-
calcul convenu entre les parties concernées.
rations cryptographiques élémentaires utilisant une
combinaison de clés et de données fournies par I’in-
3.11 addition modulo-2 ; OU exclusif : Addition terface ou provenant d’un résultat intermédiaire. Ces
binaire sans retenue donnant les valeurs suivantes : opérations cryptographiques complexes sont appe-
lées fonctions, chacune ne s’appliquant qu’à un type
o+o=o
particulier de données et de clé.
O+l=l
4.1.1 Types de données
l+O=l
I+l=0
La cryptographie au niveau de l’application attribue
différentes significations aux données qui sont alors
3.12 algorithme cryptographique par blocs de n bits :
traitées et protégées de façon spécifique dans le dis-
Algorithme cryptographique par blocs s’appliquant à
positif cryptographique sûr. Les données dotées
des blocs de texte (en clair et chiffrés) de n bits.
d’une même signification constituent un type de données.
Le dispositif cryptographique sûr interdit de manipu-
ler un type de donnée de manière inappropriée.
3.13 notarisation : Modification d’une clé de chiffre-
ment de clé de façon à permettre l’authentification
Par exemple, un numéro personnel d’identification
du donneur d’ordre et du destinataire final.
(PIN) représente un type de données dont la confiden-
tialité doit être préservée, alors que d’autres données
3.14 donneur d’ordre : Partie qui est respo nsable de
de transaction peuvent appartenir à un type de don-
I’émi ssion d’un messa ge cryptograph rque.
nées pour lequel seule l’authentification est requise.
Une clé cryptographique peut être considérée comme
3.15 pseudo-aléatoire : Désigne un processus statis-
un type particulier de données. Un dispositif crypto-
tiquement aléatoire et non prévisible, bien qu’il soit
graphique sûr garantit qu’une clé ne peut exister que
généré par un processus algorithmique.
sous l’une des formes autorisées dans I’ISO 11568-3.
responsa ble de la
3.16 destinata ire : Partie qui est
4.1.2 Types de clés
phique.
réception d’un message cryptogra
Une clé est classée en fonction du type de données
sur laquelle elle s’applique et en fonction de son
3.17 dispositif cryptographique sûr : Appareil offrant
mode de fonctionnement. Le dispositif cryptographi-
des garanties de sécurité pour le stockage des don-
que sûr garantit la séparation des clés, de sorte
nées secrètes (telles que des clés) et fournissant des
qu’une clé ne puisse être utilisée que pour le type de
services de sécurité sur la base de ces informations
données approprié et de la façon requise.
secrètes.
2
---------------------- Page: 6 ----------------------
0 ISO
ISO 11568-2:1994(F)
Par exemple, une clé de chiffrement du PIN appar-
contre ce type d’attaque. Une clé double est désignée
tient à un type de clé réservé au chiffrement des
par un astérisque précédant le nom de la clé, *K, par
numéros personnels d’identification alors qu’une clé exemple. Elle peut également être désignée sous le
de chiffrement de clé (KEK) est destinée au chiffre-
nom de paire de clés car elle est formée de la conca-
ment d’autres clés. Différents types de clés de chiffre-
ténation de deux clés simples : une clé gauche et une
ment de clé peuvent également être définis, par
clé droite (désignées respectivement par les suffixes
exemple selon que le chiffrement s’applique aux clés 41) et w»). Ainsi :
de chiffrement du PIN ou aux clés de MAC.
*K = KI 11 Kr
4.1.3 Fonctions cryptographiques
Lorsque le contexte permet d’utiliser indifféremment
une clé simple ou double, la notation (*)K est utilisée.
Le jeu de fonctions supporté par le dispositif crypto-
Les abréviations utilisées dans la présente partie de
graphique sûr reflète directement les exigences cryp-
I’ISO 11568 sont décrites dans l’annexe C.
tographiques de l’application telles que chiffrement
du PIN, vérification d’un PIN chiffré, génération d’un
Le chiffrement et
le déchiffreme nt d’un bloc si mple
code d’authentification du message, génération
au moyen d’une c
lé double sont définis comme indi-
d’une clé aléatoire chiffrée.
qué à la figure 1 :
Un dispositif cryptographique sûr est conçu de telle
I%X-~JFFR~=~NT
manière qu’aucune fonction individuelle ou combi-
naison de fonctions ne puisse permettre l’obtention
Bloc en texte clair Bloc en texte chiffré
illicite d’information sensible. Une conception de ce
( )
I
3
type est réputée logiquement sûre.
lu’ e KI d
Un dispositif cryptographique sûr peut nécessiter
l’usage de différents types de clés. Les clés cryptogra-
phiques peuvent être stockées en toute sûreté en 0
I
dehors du dispositif cryptographique, à condition
d
Kr e
d’être chiffrées par des clés de chiffrement de clé
stockées uniquement à l’intérieur du dispositif, ou
b .
elles-mêmes chiffrées au moyen de clés de chiffre-
ment de clé de niveau supérieur.
, \
/
e KI d
Une technique pour assurer la séparation des clés
peut être l’utilisation d’un type de clé de chiffrement
, \
de clé, spécifique pour chaque type de clé. Dans ce
cas, lorsqu’une clé chiffrée est transmise au dispositif
0
cryptographique, elle est déchiffrée au moyen du
Bloc en texte chiffré Bloc en texte clair
type de clé de chiffrement de clé correspondant au
type de clé attendu. Si elle n’appartient pas au type
de clé approprié, c’est-à-dire si elle a été chiffrée au
Figure 1 - Utilisation des clés doubles
moyen d’un autre type de clé de chiffrement de clé, le
déchiffrement donne une valeur de clé incorrecte.
Cette opération de «triple chiffrement» est souvent
désignée par la notation (tede» alors que l’opération
inverse de «triple déchiffrement)) est désignée par
4.2 Clé double
«ded» :
La clé secrète utilisée pour un algorithme cryptographi-
que symétrique par blocs peut faire l’objet dans un
ede*K(D) = eKl(dKr(eKI(D)))
temps futur d’une attaque par recherche exhaustive,
ded*K(D) = dKl(eKr(dKI(D)))
consistant à tester successivement chacune des clés de
l’espace de clés jusqu’à trouver la bonne. Pour cela,
Les opérateurs «e» et «d» peuvent aussi désigner
l’auteur de l’attaque doit connaître un texte chiffré et le
implicitement des opérations de chiffrement et de
texte en clair correspondant (connu ou supposé tel). II
déchiffrement multiples, lorsqu’ils sont appliqués à
applique alors chaque clé au texte chiffré, et il com-
des clés doubles. Ainsi :
pare le résultat obtenu avec le texte en clair connu.
e*K(D) = ede*K(D)
Le temps moyen nécessaire à la découverte d’une clé
par cette méthode est proportionnel à la taille de I’es- d*K(D) = ded*K(D)
pace de clés.
Selon les définitions ci-dessus, une clé double dont
Les opé rations cry ptograph iques utili sant une clé les clés gauche (1) et droite (r) ont la même valeur est
dou ble permettent de se prém unir efficacement équivalente à une clé simple ayant cette valeur.
3
---------------------- Page: 7 ----------------------
ISO 11568=2:1994(F)
0 ISO
4.3 Génération de clé 4.4 Calcul de clé
Les principes de gestion de clés exposés dans
II est possible d’obtenir plusieurs clés à partir d’une
I’ISO 11568-I prescrivent que les clés soient générées
clé unique au moyen d’un processus réversible, par
selon un processus ne permettant pas de prévoir exemple par l’addition modulo-2 de cette clé et d’une
la valeur de la clé ni d’isoler des valeurs de plus valeur non secrète.
grande probabilité dans l’espace de clés.
Le calcul de clé est à la fois simple et rapide, mais la
À cet effet, les clés et les éléments de clé doivent découverte d’une clé ainsi calculée entraîne celle de
être générés selon un processus aléatoire ou pseudo- la clé initiale et de toutes les autres clés calculées à
aléatoire, ce dernier pouvant éventuellement être partir de celle-ci.
renouvelable.
4.5 Hiérarchie de clés
4.3.1
Génération de clé non renouvelable
Dans une structure hiérarchique de clés, la confiden-
tialité de certaines clés dépend de celle d’autres clés.
La génération de clé non renouvelable peut utiliser
une valeur stochastique, telle que produite par un Par définition, la découverte d’une clé à un niveau
générateur de nombre aléatoire, ou peut résulter d’un donné de la hiérarchie ne doit pas permettre celle des
processus pseudo-aléatoire. clés d’un niveau supérieur.
L’équation ci-dessous illustre la génération d’une clé Le chiffrement de clé présente une hiérarchie dans
((Kx» au moyen d’un processus pseudo-aléatoire, où laquelle une clé de chiffrement de clé (KEK) est consi-
K désigne une clé cryptographique secrète réservée à dérée comme étant d’un niveau supérieur à celui de
la génération de clé, V une valeur secrète de diversifi- la clé qu’elle chiffre. La structure hiérarchique de
cation et DT un vecteur date-heure mis à jour à cha- base comporte deux niveaux : les clés de travail sont
que génération : chiffrées par des clés de chiffrement de clé qui sont
stockées dans un dispositif cryptographique. On peut
Kx = eK (eK(DT) 0 V)
ensuite ajouter un troisième niveau pour le chiffre-
ment des clés de chiffrement de clé par d’autres clés
Une nouvelle valeur V est générée :
de chiffrement de clé de niveau supérieur, puis un
quatrième, etc.
V = eK (Kx 0 eK (DT))
De même, dans le cas d’une clé initiale ou d’une clé
de génération de clé (KGK) permettant de produire
4.3.2 Génération de clé renouvelable
d’autres clés via un processus déterministe, la clé de
génération de clé se trouve à un niveau supérieur à
Dans certains cas, il peut être utile de générer une ou
celui des clés qu’elle génère.
plusieurs clés, jusqu’à plusieurs milliers dans certains
cas, à partir d’une clé initiale unique, au moyen d’un
En général, les clés qui se trouvent au sommet de la
processus renouvelable. Celui-ci permet de recréer à
hiérarchie ont une durée de vie longue et assurent la
volonté une clé générée précédemment, et il peut
protection d’un grand nombre de clés, pour cela il
être mis en œuvre à n’importe quel emplacement
convient qu’elles soient des clés doubles.
disposant de la clé de diversification et des données
de génération appropriées. II réduit de manière
significative le nombre des opérations manuelles de
gestion, de stockage et de distribution de clés. 5 Techniques associées aux services
de gestion de clés
Le processus de génération de clé doit être conçu de
telle sorte que si la clé initiale est imprévisible dans
Les techniques présentées dans cet article peuvent
l’espace de clés (conformément aux principes de ges-
être utilisées seules ou combinées pour permettre la
tion de clés), il en est de même pour toutes les clés
mise en œuvre des services de gestion de clés pré-
résultantes.
sentées dans I’ISO 11568-I. Certaines techniques
sont employées pour plusieurs fonctions. Le tableau 1
La procédure peut être utilisée de façon itérative
indique quelles sont les techniques associées à chaque
toute clé générée à partir d’une clé initiale pouvant
service de gestion de clés. Par ailleurs un exemple de
elle-même servir de clé initiale pour la génération
schéma de gestion de clés pour un algorithme crypto-
d’autres clés.
graphique symétrique est présenté dans l’annexe D.
Le processus de génération doit être irréversible, de
Les techniques retenues doivent être mises en œuvre
sorte que la découverte d’une clé générée ne per-
dans un dispositif cryptographique sûr. Les fonction-
mette pas, celle de la clé initiale ni de toute autre clé
nalités du dispositif cryptographique garantissent
générée. Le chiffrement d’une valeur non secrète au
que la mise en œuvre d’une technique est conforme
moyen de la clé initiale est un exemple de génération
aux buts recherchés.
de clé.
4
---------------------- Page: 8 ----------------------
0 ISO
ISO 11568-2:1994(F)
5.1 Chiffrement de clé
À chaque type de clé correspond une constante ayant
une valeur spécifique à l’intérieur du jeu de
Le chiffrement de clé est une technique dans laquelle
constantes.
une clé est chiffrée par une autre clé. La clé chiffrée
résultante peut alors être gérée de façon sûre à I’exté-
rieur de l’environnement protégé du dispositif crypto- (‘0 ‘, ‘,.‘.Ci.C,)
graphique. La clé utilisée pour chiffrer est appelée clé
de chiffrement de clé (KEK).
L’utilisation d’une clé en dehors d’un dispositif cryp-
tographique peut avoir lieu dans les cas suivants :
a) lorsqu’une clé doit être transmise de façon sûre
vers un dispositif cryptographique via un canal non
protégé ;
-T-
b) lorsque les conditions requises pour le stockage
(*)Ki = type de cl6 i
de clés d’un nœud dépassent les possibilités du dis-
positif cryptographique.
Figure 2 - Calcul d’une variante d’une clé
En général, les clés de chiffrement de clé ont une
Une variante calculée au moyen d’un processus
durée de vie longue et assurent la protection d’un
réversible doit être conservée exclusivement à I’inté-
grand nombre de clés pour cela elles devraient être
rieur du dispositif cryptographique contenant la clé
des clés doubles.
initiale. ’
Le chiffrement d’une clé simple par une clé double
La technique des variantes de clé peut être utilisée à
s’effectue comme indiqué en 4.2, où la clé simple
tous les niveaux d’une hiérarchie de clés. Ainsi, une
remplace le bloc de texte en clair.
clé ((de longueur» simple peut être utilisée pour cal-
culer un ensemble de clés de chiffrement de clé, cha-
Le chiffrement d’une clé double par une autre clé
cune étant destinée au chiffrement d’un type de clé
double requiert le chiffrement séparé des clés gauche
particulier. De même, une clé de longueur simple
et droite, c’est-à-dire
peut générer un ensemble de clés de travail de diffé-
rents types.
*KEK(*K) = e*KEK(KI) 11 e*KEK(Kr)
NOTE 1 Pour plus de précisions sur les variantes de clé et
Une clé ne devrait jamais être chiffrée par une clé de
les vecteurs de contrôle, se reporter à l’annexe E.
longueur inférieure. Ainsi, une clé double utilisée
avec un algorithme cryptographique donné ne peut
5.3 Dérivation de clé
être chiffrée par une clé simple de ce même algo-
rithme.
La technique de dérivation permet de gén
...
ISO
NORME
INTERNATIONALE 11568-2
Première édition
1994-I 2-01
Banque - Gestion de clés (services aux
particuliers) -
Partie 2:
Techniques de gestion de clés pour les
algorithmes cryptographiques symétriques
- Key management (retail) -
Bankng
Part 2: Key management techniques for symmetric ciphers
Numéro de référence
ISO 11568-2:1994(F)
---------------------- Page: 1 ----------------------
ISO 11568=2:1994(F)
Sommaire
Page
1
1 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 Références normatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1
3 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 Environnement général pour les techniques de gestion de clés
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1 Fonctionnalités d’un dispositif cryptographique sûr
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Clé double
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~.
4.3 Génération de clé
4.4 Calcul de clé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
4.5 Hiérarchie de clés
.................................................................... 4
5 Techniques associées aux services de gestion de clés
5
5.1 Chiffrement de clé .
................................................................................................................................. 5
5.2 Variantes de clé
5
5.3 Dérivation de clé .
....................................................................................................................... 6
5.4 Transformation de clé
.................................................................................................................................. 6
5.5 Décalage de clé
............................................................................................................................ 7
5.6 Notarisation de clé
............................................................................................................................... 7
5.7 Étiquetage de clé
.............................................................................................................................. 8
5.8 Vérification de clé
........................................................................................................................... 8
5.9 Identification de clé
8
............................................................................................................................
5.10 Contrôles et audit
9
6 Tableau des correspondances entre les techniques et les services de gestion de clés . . . . . . . . . . . . . . . .
Annexes
10
.............................................................
A Notations utilisées dans la présente partie de I’ISO 11568
10
A.1 Opérateurs .
10
A.2 Suffixes des clés .
10
A.3 Clés simples et doubles .
B Algorithmes approuvés pour le gestion de clés dans les algorithmes cryptographiques symé-
11
triques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
C Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
D Exemples d’algorithmes cryptographiques symétriques
15
...........................................................................................
E Variantes de clé et vecteurs de contrôle
............................................................................................................................. 15
E.l Variantes de clé
15
E.2 Vecteurs de contrôle .
17
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*.
F Bibliographie
0 ISO 1994
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publi-
cation ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun pro-
cédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord
écrit de l’éditeur.
Organisation internationale de normalisation
Case Postale 56 l CH-l 211 Genève 20 l Suisse
Imprimé en Suisse
---------------------- Page: 2 ----------------------
ISO 11568-2:1994(F)
0 ISO
Avant-propos
L’ISO (Organisation Internationale de Normalisation) est une fédération mon-
diale d’organismes nationaux de normalisation (comités membres de I’ISO).
L’élaboration des Normes internationales est en général confiée aux comités
techniques de I’ISO. Chaque comité membre intéressé par une étude a le droit
de faire partie du comité technique créé à cet effet. Les Organisations internatio-
nales, gouvernementales et non gouvernementales, en liaison avec I’ISO partici-
pent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation élec-
trotechnique.
Les projets de Normes internationales adoptés par les comités techniques sont
soumis aux comités membres pour vote. Leur publication comme Normes inter-
nationales requiert l’approbation de 75 % au moins des comités membres
votants.
La Norme internationale ISO 115682 a été élaborée par le comité technique
lSO/TC 68, Banque et services financiers liés aux opérations bancaires, sous-co-
mité SC 6, Cartes de transactions financières, supports et opérations relatifs à
celles-ci.
L’ISO 11568 comprend les parties suivantes, présentées sous le titre général
Banque - Gestion de clés (services aux particuliers)
- Partie 7 : Introduction à la gestion de clés
-Partie 2 : Techniques de gestion de clés pour les algorithmes
cryptographiques symétriques
-Partie 3 : Cycle de vie des clés pour les algorithmes cryptographiques
symétriques
- Partie 4 : Techniques de gestion de clés pour les algorithmes
cryptographiques asymétriques
- Partie 5 : Cycle de vie des clés pour les algorithmes cryptographiques
asymétriques
- Partie 6 : Schémas de gestion de clés
Les annexes A, B et C font partie intégrante de la présente partie de I’ISO 11568.
Les annexes D, E et F sont données uniquement à titre d’information.
. . .
III
---------------------- Page: 3 ----------------------
ISO 11568-2:1994(F)
0 ISO
Introduction
L’ ISO 11568 fait partie d’un ensemble de normes décrivant des procédures des-
tinées à sécuriser la gestion des clés cryptographiques secrètes qui protègent
les messages dans un environnement de services bancaires aux particuliers, par
exemple les messages échangés entre un acquéreur et un accepteur de cartes
ou entre un acquéreur et un émetteur de cartes. La gestion de clés employées
dans le cadre des cartes à circuit intégré n’est pas traitée dans I’ISO 11568, mais
fera l’objet d’une autre norme internationale.
Alors que la gestion de clés dans le cadre des services bancaires aux entreprises
se caractérise par l’échange de clés dans un environnement relativement bien
sécurisé, la présente partie de I’ISO 11568 prescrit les besoins de gestion de clés
applicables dans des domaines ouverts qui sont ceux des services bancaires aux
particuliers. Les autorisations de crédit et de débit aux points de vente/points de
service (TPE) et les transactions aux guichets automatiques de banques (GAB)
en sont des services typiques.
La présente partie de I’ISO 11568 décrit des techniques de gestion de clés qui
peuvent être combinées pour fournir les services de gestion de clés présentées
dans I’ISO 11568-I. Ces services sont les suivants :
- séparation des clés
- prévention de la substitution
- identification
- synchronisation
- intégrité
- confidentialité
,
- détection de la compromission d’une clé
Les techniq U es associées aux d ifférents s ervices de gestion de clés sont réperto-
riées dans I tableau figurant à l’article 6.
e
---------------------- Page: 4 ----------------------
NORME INTERNATIONALE 0 ISO
ISO 11568-2:1994(F)
- Gestion de clés (services aux particuliers) -
Banque
Partie 2 :
Techniques de gestion de clés pour les algorithmes
cryptographiques symétriques
lSO/CEI 10116:1991, Technologies de l’information -
1 Domaine d’application
Modes opératoires d’un algorithme de chiffrement
par blocs de n-bits.
La présente partie de I’ISO 11568 prescrit les techni-
ques de protection de clés pour les algorithmes cryp-
ISO 11568-I: 1994, Banque - Gestion de clés (servi-
tographiques symétriques dans le cadre des services
ces aux particuliers) - Partie 7 : Introduction à la ges-
bancaires aux particuliers.
tion de clés.
Elle est applicable à toutes les entités chargées de la
ISO 11568-3:1994, Banque - Gestion de clés (servi-
mise en place de procédures de protection aux diffé-
ces aux particuliers) - Partie 3 : Cycle de vie des clés
rentes étapes du cycle de vie des clés. Les techniques
pour /es algorithmes cryptographiques symétriques.
décrites ci-après sont conformes aux principes expo-
sés dans I’ISO 11568-I.
ANSI X3.92, Data Encryption Algorithm.
Ces techniques s’appliquent à tous les algorithmes
cryptographiques symétriques par blocs de n bits.
3 Définitions
Les notations employées dans la présente partie de
I’ISO 11568 sont répertoriées dans l’annexe A.
Pour les besoins de la présente partie de I’ISO 11568,
L’annexe B fournit la liste des algorithmes approuvés
les définitions données dans I’ISO 8908 ainsi que les
compatibles avec les techniques décrites dans la pré-
définitions suivantes s’appliquent.
sente partie de I’ISO 11568.
3.1 algorithme cryptographique : Désigne I’ensem-
ble des deux opérations inverses de chiffrement et
2 Références normatives
de déchiffrement. Ces opérations utilisent un para-
mètre appelé «clé». La première transforme le texte
initial (texte en clair) de façon à le rendre inintelligible
Les normes suivantes contiennent des dispositions
(texte chiffré), et la seconde rétablit le texte initial.
qui, par suite de la référence qui en est faite, consti-
tuent des dispositions valables pour la présente par-
tie de I’ISO 11568. Au moment de la publication, les
3.2 compteur : Compteur incrémentiel, utilisé par
éditions indiquées étaient en vigueur. Toute norme
deux entités, pour contrôler les attributions successi-
est sujette à révision et les parties prenantes des
ves de clés à partir d’une clé particulière de chiffre-
accords fondés sur la présente partie de I’ISO 11568
ment de clé.
sont invitées à rechercher la possibilité d’appliquer
les éditions les plus récentes des normes indiquées
3.3 intégrité des données : Qualité des données qui
ci-après. Les membres de la CEI et de I’ISO possèdent
n’ont pas été altérées ou détruites d’une manière
le registre des Normes internationales en vigueur à
frauduleuse.
un moment donné.
ISO 8908:1993, Banque et services financiers liés aux
3.4 clé de données : Clé utilisée pour le chiffrement,
Vocabulaire et éléments de
opérations bancaires -
le déchiffrement ou l’authentification de données.
données.
1
---------------------- Page: 5 ----------------------
ISO 11568=2:1994(F) 0 ISO
3.5 OU exclusif : voir addition modulo-2.
4 Environnement général pour
les techniques de gestion de clés
3.6 chiffre hexadécimal : Caractère unique choisi
dans l’intervalle O-9, A-F (majuscules), représentant
Les techniques utilisables pour rendre les services de
une configuration de 4 bits.
gestion de ‘clés sont décrites à l’article 5. Cet article
décrit l’environnement dans lequel ces techniques
sont mises en œuvre et introduit des concepts fonda-
3.7 élément de clé : L’un des paramètres généré de
mentaux et des opérations qui sont communs aux
façon aléatoire ou pseudo-aléatoire qui a les caractéris-
différentes techniques.
tiques d’une clé de chiffrement (par exemple pour ce qui
concerne le format et la définition aléatoire) et qui est
ajouté modulo-2 à un ou plusieurs autres paramètres
4.1 Fonctionnalités d’un dispositif
semblables pour former une clé de chiffrement.
cryptographique sûr
Un algorithme cryptographique symétrique par blocs
3.8 décalage de clé : Résultat de l’addition modulo-2
repose sur les opérations élémentaires de chiffre-
d’une clé cryptographique et de la valeur d’un
ment et de déchiffrement d’un bloc de données au
compteur.
moyen d’une clé secrète déterminée. Lorsque le trai-
tement porte sur plusieurs blocs de données, ces
3.9 espace de clés : Ensemble de to utes les cl és pos- opérations pourraient utiliser un mode opératoire
sibles utilisées dans un algorithme c hique. conforme aux spécifications de la norme ISO 10116.
ryptograp
À ce niveau, les données et les clés n’ont aucune
signification particulière.
3.10 code d’authentification du message (MAC :
Message Authentication Code) : Code inclus dans un
Pour garantir la protection des clés et autres données
message transmis par un donneur d’ordre à un desti-
confidentielles, un dispositif cryptographique sûr doit
nataire, permettant de valider la source et tout ou
offrir une interface fonctionnelle de niveau supérieur,
partie du texte du message. Ce code résulte d’un
chaque opération étant constituée de plusieurs opé-
calcul convenu entre les parties concernées.
rations cryptographiques élémentaires utilisant une
combinaison de clés et de données fournies par I’in-
3.11 addition modulo-2 ; OU exclusif : Addition terface ou provenant d’un résultat intermédiaire. Ces
binaire sans retenue donnant les valeurs suivantes : opérations cryptographiques complexes sont appe-
lées fonctions, chacune ne s’appliquant qu’à un type
o+o=o
particulier de données et de clé.
O+l=l
4.1.1 Types de données
l+O=l
I+l=0
La cryptographie au niveau de l’application attribue
différentes significations aux données qui sont alors
3.12 algorithme cryptographique par blocs de n bits :
traitées et protégées de façon spécifique dans le dis-
Algorithme cryptographique par blocs s’appliquant à
positif cryptographique sûr. Les données dotées
des blocs de texte (en clair et chiffrés) de n bits.
d’une même signification constituent un type de données.
Le dispositif cryptographique sûr interdit de manipu-
ler un type de donnée de manière inappropriée.
3.13 notarisation : Modification d’une clé de chiffre-
ment de clé de façon à permettre l’authentification
Par exemple, un numéro personnel d’identification
du donneur d’ordre et du destinataire final.
(PIN) représente un type de données dont la confiden-
tialité doit être préservée, alors que d’autres données
3.14 donneur d’ordre : Partie qui est respo nsable de
de transaction peuvent appartenir à un type de don-
I’émi ssion d’un messa ge cryptograph rque.
nées pour lequel seule l’authentification est requise.
Une clé cryptographique peut être considérée comme
3.15 pseudo-aléatoire : Désigne un processus statis-
un type particulier de données. Un dispositif crypto-
tiquement aléatoire et non prévisible, bien qu’il soit
graphique sûr garantit qu’une clé ne peut exister que
généré par un processus algorithmique.
sous l’une des formes autorisées dans I’ISO 11568-3.
responsa ble de la
3.16 destinata ire : Partie qui est
4.1.2 Types de clés
phique.
réception d’un message cryptogra
Une clé est classée en fonction du type de données
sur laquelle elle s’applique et en fonction de son
3.17 dispositif cryptographique sûr : Appareil offrant
mode de fonctionnement. Le dispositif cryptographi-
des garanties de sécurité pour le stockage des don-
que sûr garantit la séparation des clés, de sorte
nées secrètes (telles que des clés) et fournissant des
qu’une clé ne puisse être utilisée que pour le type de
services de sécurité sur la base de ces informations
données approprié et de la façon requise.
secrètes.
2
---------------------- Page: 6 ----------------------
0 ISO
ISO 11568-2:1994(F)
Par exemple, une clé de chiffrement du PIN appar-
contre ce type d’attaque. Une clé double est désignée
tient à un type de clé réservé au chiffrement des
par un astérisque précédant le nom de la clé, *K, par
numéros personnels d’identification alors qu’une clé exemple. Elle peut également être désignée sous le
de chiffrement de clé (KEK) est destinée au chiffre-
nom de paire de clés car elle est formée de la conca-
ment d’autres clés. Différents types de clés de chiffre-
ténation de deux clés simples : une clé gauche et une
ment de clé peuvent également être définis, par
clé droite (désignées respectivement par les suffixes
exemple selon que le chiffrement s’applique aux clés 41) et w»). Ainsi :
de chiffrement du PIN ou aux clés de MAC.
*K = KI 11 Kr
4.1.3 Fonctions cryptographiques
Lorsque le contexte permet d’utiliser indifféremment
une clé simple ou double, la notation (*)K est utilisée.
Le jeu de fonctions supporté par le dispositif crypto-
Les abréviations utilisées dans la présente partie de
graphique sûr reflète directement les exigences cryp-
I’ISO 11568 sont décrites dans l’annexe C.
tographiques de l’application telles que chiffrement
du PIN, vérification d’un PIN chiffré, génération d’un
Le chiffrement et
le déchiffreme nt d’un bloc si mple
code d’authentification du message, génération
au moyen d’une c
lé double sont définis comme indi-
d’une clé aléatoire chiffrée.
qué à la figure 1 :
Un dispositif cryptographique sûr est conçu de telle
I%X-~JFFR~=~NT
manière qu’aucune fonction individuelle ou combi-
naison de fonctions ne puisse permettre l’obtention
Bloc en texte clair Bloc en texte chiffré
illicite d’information sensible. Une conception de ce
( )
I
3
type est réputée logiquement sûre.
lu’ e KI d
Un dispositif cryptographique sûr peut nécessiter
l’usage de différents types de clés. Les clés cryptogra-
phiques peuvent être stockées en toute sûreté en 0
I
dehors du dispositif cryptographique, à condition
d
Kr e
d’être chiffrées par des clés de chiffrement de clé
stockées uniquement à l’intérieur du dispositif, ou
b .
elles-mêmes chiffrées au moyen de clés de chiffre-
ment de clé de niveau supérieur.
, \
/
e KI d
Une technique pour assurer la séparation des clés
peut être l’utilisation d’un type de clé de chiffrement
, \
de clé, spécifique pour chaque type de clé. Dans ce
cas, lorsqu’une clé chiffrée est transmise au dispositif
0
cryptographique, elle est déchiffrée au moyen du
Bloc en texte chiffré Bloc en texte clair
type de clé de chiffrement de clé correspondant au
type de clé attendu. Si elle n’appartient pas au type
de clé approprié, c’est-à-dire si elle a été chiffrée au
Figure 1 - Utilisation des clés doubles
moyen d’un autre type de clé de chiffrement de clé, le
déchiffrement donne une valeur de clé incorrecte.
Cette opération de «triple chiffrement» est souvent
désignée par la notation (tede» alors que l’opération
inverse de «triple déchiffrement)) est désignée par
4.2 Clé double
«ded» :
La clé secrète utilisée pour un algorithme cryptographi-
que symétrique par blocs peut faire l’objet dans un
ede*K(D) = eKl(dKr(eKI(D)))
temps futur d’une attaque par recherche exhaustive,
ded*K(D) = dKl(eKr(dKI(D)))
consistant à tester successivement chacune des clés de
l’espace de clés jusqu’à trouver la bonne. Pour cela,
Les opérateurs «e» et «d» peuvent aussi désigner
l’auteur de l’attaque doit connaître un texte chiffré et le
implicitement des opérations de chiffrement et de
texte en clair correspondant (connu ou supposé tel). II
déchiffrement multiples, lorsqu’ils sont appliqués à
applique alors chaque clé au texte chiffré, et il com-
des clés doubles. Ainsi :
pare le résultat obtenu avec le texte en clair connu.
e*K(D) = ede*K(D)
Le temps moyen nécessaire à la découverte d’une clé
par cette méthode est proportionnel à la taille de I’es- d*K(D) = ded*K(D)
pace de clés.
Selon les définitions ci-dessus, une clé double dont
Les opé rations cry ptograph iques utili sant une clé les clés gauche (1) et droite (r) ont la même valeur est
dou ble permettent de se prém unir efficacement équivalente à une clé simple ayant cette valeur.
3
---------------------- Page: 7 ----------------------
ISO 11568=2:1994(F)
0 ISO
4.3 Génération de clé 4.4 Calcul de clé
Les principes de gestion de clés exposés dans
II est possible d’obtenir plusieurs clés à partir d’une
I’ISO 11568-I prescrivent que les clés soient générées
clé unique au moyen d’un processus réversible, par
selon un processus ne permettant pas de prévoir exemple par l’addition modulo-2 de cette clé et d’une
la valeur de la clé ni d’isoler des valeurs de plus valeur non secrète.
grande probabilité dans l’espace de clés.
Le calcul de clé est à la fois simple et rapide, mais la
À cet effet, les clés et les éléments de clé doivent découverte d’une clé ainsi calculée entraîne celle de
être générés selon un processus aléatoire ou pseudo- la clé initiale et de toutes les autres clés calculées à
aléatoire, ce dernier pouvant éventuellement être partir de celle-ci.
renouvelable.
4.5 Hiérarchie de clés
4.3.1
Génération de clé non renouvelable
Dans une structure hiérarchique de clés, la confiden-
tialité de certaines clés dépend de celle d’autres clés.
La génération de clé non renouvelable peut utiliser
une valeur stochastique, telle que produite par un Par définition, la découverte d’une clé à un niveau
générateur de nombre aléatoire, ou peut résulter d’un donné de la hiérarchie ne doit pas permettre celle des
processus pseudo-aléatoire. clés d’un niveau supérieur.
L’équation ci-dessous illustre la génération d’une clé Le chiffrement de clé présente une hiérarchie dans
((Kx» au moyen d’un processus pseudo-aléatoire, où laquelle une clé de chiffrement de clé (KEK) est consi-
K désigne une clé cryptographique secrète réservée à dérée comme étant d’un niveau supérieur à celui de
la génération de clé, V une valeur secrète de diversifi- la clé qu’elle chiffre. La structure hiérarchique de
cation et DT un vecteur date-heure mis à jour à cha- base comporte deux niveaux : les clés de travail sont
que génération : chiffrées par des clés de chiffrement de clé qui sont
stockées dans un dispositif cryptographique. On peut
Kx = eK (eK(DT) 0 V)
ensuite ajouter un troisième niveau pour le chiffre-
ment des clés de chiffrement de clé par d’autres clés
Une nouvelle valeur V est générée :
de chiffrement de clé de niveau supérieur, puis un
quatrième, etc.
V = eK (Kx 0 eK (DT))
De même, dans le cas d’une clé initiale ou d’une clé
de génération de clé (KGK) permettant de produire
4.3.2 Génération de clé renouvelable
d’autres clés via un processus déterministe, la clé de
génération de clé se trouve à un niveau supérieur à
Dans certains cas, il peut être utile de générer une ou
celui des clés qu’elle génère.
plusieurs clés, jusqu’à plusieurs milliers dans certains
cas, à partir d’une clé initiale unique, au moyen d’un
En général, les clés qui se trouvent au sommet de la
processus renouvelable. Celui-ci permet de recréer à
hiérarchie ont une durée de vie longue et assurent la
volonté une clé générée précédemment, et il peut
protection d’un grand nombre de clés, pour cela il
être mis en œuvre à n’importe quel emplacement
convient qu’elles soient des clés doubles.
disposant de la clé de diversification et des données
de génération appropriées. II réduit de manière
significative le nombre des opérations manuelles de
gestion, de stockage et de distribution de clés. 5 Techniques associées aux services
de gestion de clés
Le processus de génération de clé doit être conçu de
telle sorte que si la clé initiale est imprévisible dans
Les techniques présentées dans cet article peuvent
l’espace de clés (conformément aux principes de ges-
être utilisées seules ou combinées pour permettre la
tion de clés), il en est de même pour toutes les clés
mise en œuvre des services de gestion de clés pré-
résultantes.
sentées dans I’ISO 11568-I. Certaines techniques
sont employées pour plusieurs fonctions. Le tableau 1
La procédure peut être utilisée de façon itérative
indique quelles sont les techniques associées à chaque
toute clé générée à partir d’une clé initiale pouvant
service de gestion de clés. Par ailleurs un exemple de
elle-même servir de clé initiale pour la génération
schéma de gestion de clés pour un algorithme crypto-
d’autres clés.
graphique symétrique est présenté dans l’annexe D.
Le processus de génération doit être irréversible, de
Les techniques retenues doivent être mises en œuvre
sorte que la découverte d’une clé générée ne per-
dans un dispositif cryptographique sûr. Les fonction-
mette pas, celle de la clé initiale ni de toute autre clé
nalités du dispositif cryptographique garantissent
générée. Le chiffrement d’une valeur non secrète au
que la mise en œuvre d’une technique est conforme
moyen de la clé initiale est un exemple de génération
aux buts recherchés.
de clé.
4
---------------------- Page: 8 ----------------------
0 ISO
ISO 11568-2:1994(F)
5.1 Chiffrement de clé
À chaque type de clé correspond une constante ayant
une valeur spécifique à l’intérieur du jeu de
Le chiffrement de clé est une technique dans laquelle
constantes.
une clé est chiffrée par une autre clé. La clé chiffrée
résultante peut alors être gérée de façon sûre à I’exté-
rieur de l’environnement protégé du dispositif crypto- (‘0 ‘, ‘,.‘.Ci.C,)
graphique. La clé utilisée pour chiffrer est appelée clé
de chiffrement de clé (KEK).
L’utilisation d’une clé en dehors d’un dispositif cryp-
tographique peut avoir lieu dans les cas suivants :
a) lorsqu’une clé doit être transmise de façon sûre
vers un dispositif cryptographique via un canal non
protégé ;
-T-
b) lorsque les conditions requises pour le stockage
(*)Ki = type de cl6 i
de clés d’un nœud dépassent les possibilités du dis-
positif cryptographique.
Figure 2 - Calcul d’une variante d’une clé
En général, les clés de chiffrement de clé ont une
Une variante calculée au moyen d’un processus
durée de vie longue et assurent la protection d’un
réversible doit être conservée exclusivement à I’inté-
grand nombre de clés pour cela elles devraient être
rieur du dispositif cryptographique contenant la clé
des clés doubles.
initiale. ’
Le chiffrement d’une clé simple par une clé double
La technique des variantes de clé peut être utilisée à
s’effectue comme indiqué en 4.2, où la clé simple
tous les niveaux d’une hiérarchie de clés. Ainsi, une
remplace le bloc de texte en clair.
clé ((de longueur» simple peut être utilisée pour cal-
culer un ensemble de clés de chiffrement de clé, cha-
Le chiffrement d’une clé double par une autre clé
cune étant destinée au chiffrement d’un type de clé
double requiert le chiffrement séparé des clés gauche
particulier. De même, une clé de longueur simple
et droite, c’est-à-dire
peut générer un ensemble de clés de travail de diffé-
rents types.
*KEK(*K) = e*KEK(KI) 11 e*KEK(Kr)
NOTE 1 Pour plus de précisions sur les variantes de clé et
Une clé ne devrait jamais être chiffrée par une clé de
les vecteurs de contrôle, se reporter à l’annexe E.
longueur inférieure. Ainsi, une clé double utilisée
avec un algorithme cryptographique donné ne peut
5.3 Dérivation de clé
être chiffrée par une clé simple de ce même algo-
rithme.
La technique de dérivation permet de gén
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.