DPPK-ID je jedinečný identifikátor konkrétního klíče pro ochranu datové části MCData (MCData Payload Protection Key), který umožňuje komunikujícím klientům identifikovat správný kryptografický klíč pro dešifrování a ověření chráněné datové části.

Popis

Identifikátor klíče pro ochranu datové části MCData (DPPK-ID) je klíčovou součástí protokolu pro správu klíčů a zabezpečení pro služby 3GPP Mission Critical Data. Jedná se o jedinečnou značku nebo odkaz, který je jednoznačně spojen s konkrétní instancí klíče DPPK. Když klient MCData odešle chráněnou datovou část (zašifrovanou a chráněnou integritu pomocí klíče DPPK), zahrne do zprávy nebo přidružené signalizace odpovídající DPPK-ID. To umožňuje přijímajícímu klientovi MCData identifikovat, který klíč z jeho lokálního zabezpečeného úložiště má být použit ke zpracování příchozích dat.

Provozně je DPPK-ID generován nebo přidělen během procesu odvození a poskytování klíče DPPK. Typicky jej spravuje funkce pro správu klíčů (KMF) nebo server MCData zodpovědný za distribuci klíčů. Identifikátor je následně bezpečně předán autorizovaným klientským aplikacím spolu s vlastním klíčem DPPK. Formát a struktura DPPK-ID jsou definovány ve specifikacích 3GPP, aby byla zajištěna interoperabilita. Může se jednat o jednoduchý index, hodnotu založenou na hashi nebo strukturovaný identifikátor, který přenáší metadata o kontextu klíče, jako je skupinová relace, do které patří.

V síťové architektuře DPPK-ID umožňuje efektivní a bezpečné používání klíčů bez nutnosti přenášet samotný klíč v nezašifrované podobě. Funguje jako bezpečný ukazatel. Když klient přijme data, extrahuje DPPK-ID, vyhledá jej ve svém chráněném úložišti klíčů a načte odpovídající klíč DPPK pro dešifrování a ověření integrity. Tento mechanismus je nezbytný pro scénáře zahrnující více souběžných relací nebo skupinovou komunikaci, kde může klient vlastnit několik aktivních klíčů DPPK. Zajišťuje, že je použit správný klíč, čímž udržuje bezpečnostní asociaci a předchází chybám zpracování nebo narušení zabezpečení. DPPK-ID je proto nedílnou součástí škálovatelného a spravovatelného nasazení end-to-end zabezpečení ve velkých systémech MCData.

K čemu slouží

DPPK-ID byl vytvořen k řešení problému identifikace klíčů v zabezpečené skupinové a relací založené komunikaci pro MCData. Ve složitých scénářích pro kritické mise se jediné uživatelské zařízení může účastnit více simultánních datových relací (např. samostatné konverzace s různými záchrannými týmy) nebo být součástí rozsáhlé skupinové komunikace. Každá relace nebo skupina typicky používá pro bezpečnostní izolaci a dopřednou utajenost (forward secrecy) odlišný klíč DPPK. Bez jasného identifikátoru by přijímající klient neměl možnost určit, který z jeho mnoha klíčů má být použit k dešifrování příchozí zprávy, což by vedlo k selháním zpracování nebo bezpečnostním slabinám.

Před jeho standardizací mohly ad-hoc metody identifikace klíčů vést k problémům s interoperabilitou a zvýšené složitosti klientského softwaru. DPPK-ID poskytuje standardizovaný, lehký mechanismus pro propojení chráněné datové části s jejím konkrétním šifrovacím klíčem. To umožňuje efektivní a jednoznačné vyhledání klíče, což je klíčové pro požadavky na nízkou latenci v komunikaci pro kritické mise. Jeho zavedení ve verzi 15 spolu s klíčem DPPK bylo motivováno potřebou robustního, škálovatelného rámce pro správu klíčů, který podporuje dynamické členství ve skupinách a více paralelních zabezpečených kontextů v rámci služby 3GPP MCData, a zajišťuje tak spolehlivý a bezpečný provoz pro záchranáře.

Klíčové vlastnosti

• Jednoznačně identifikuje konkrétní instanci klíče DPPK
• Umožňuje správný výběr klíče pro dešifrování datové části
• Přenášen společně s chráněnou datovou částí nebo signalizací (in-band)
• Formátován dle specifikací 3GPP pro interoperabilitu
• Podporuje správu více souběžných bezpečnostních kontextů
• Nezbytný pro škálovatelnou správu klíčů ve skupinové komunikaci

Definující specifikace

• TS 33.180 (Rel-20) — Security of Mission Critical (MC) Service

📖 Anglický originál a plná specifikace: DPPK-ID na 3GPP Explorer