Wiarygodny komplet kluczy

Aby było możliwe elektroniczne prowadzenie biznesu, konieczne jest wdrożenie w sieciach komputerowych mechanizmów uwierzytelniających tożsamość partnerów biznesowych i pozwalających prowadzić z nimi bezpieczną, w pełni poufną komunikację. Osiągniecie takiego poziomu bezpieczeństwa umożliwia infrastruktura klucza publicznego PKI (Public Key Infrastructure).

Aby było możliwe elektroniczne prowadzenie biznesu, konieczne jest wdrożenie w sieciach komputerowych mechanizmów uwierzytelniających tożsamość partnerów biznesowych i pozwalających prowadzić z nimi bezpieczną, w pełni poufną komunikację. Osiągniecie takiego poziomu bezpieczeństwa umożliwia infrastruktura klucza publicznego PKI (Public Key Infrastructure).

Jeszcze do niedawna jedyną metodą identyfikacji tożsamości użytkowników było potwierdzenie jej hasłem - czy to podczas logowania, czy w komunikacji w ramach sieci rozległych, np. przesyłania zaszyfrowanych przesyłek. Chociaż hasła są nadal stosowane jako podstawowe zabezpieczenie, to nie można traktować ich jako w pełni wiarygodną metodę weryfikacji tożsamości użytkowników. Zbyt wiele okazji, takich jak przesyłanie w nie zabezpieczony sposób w sieci (co umożliwia ich "podsłuchanie") lub wielokrotne używanie w takiej samej postaci (użytkownicy zmuszeni do pamiętania wielu haseł często wykorzystują to samo hasło jako sposób dostępu do wielu systemów), powoduje, że nie można ich uznać za w pełni bezpieczne. Jednocześnie włamywacze niejednokrotnie wchodzą w posiadanie haseł użytkowników nie tylko w wyniku ich nieuwagi lub zaniedbania, ale również włamując się na serwery korporacyjne, które przechowują ich replikę w zaszyfrowanej, ale możliwej do pokonania formie.

Problemy te rozwiązuje technologia PKI, umożliwiająca nie tylko weryfikowanie tożsamości użytkownika, lecz także nawiązywanie bezpiecznych sesji komunikacyjnych - w trybie online czy offline (np. przekazywanie zaszyfrowanych komunikatów pocztą elektroniczną). W technologii klucza publicznego i związanych z nią technologiach kryptograficznych są wykorzystywane dwie, bardzo długie liczby (ich długość jest określana w bitach) nazywane kluczami oraz złożone algorytmy szyfrowania. Jeden z kluczy służy do szyfrowania informacji, drugi - do ich odszyfrowywania. Jeden z kluczy jest udostępniany jako tzw. klucz publiczny, drugi, nazywany kluczem prywatnym, nigdy nie jest ujawniany, zna go tylko jego użytkownik. Jeśli ktoś chce bezpiecznie przesłać wiadomość pocztową, szyfruje ją za pomocą klucza publicznego odbiorcy, a ten może ją odszyfrować wyłącznie z wykorzystaniem odpowiadającego kluczowi publicznemu klucza prywatnego. Jednocześnie nadawca może podpisać elektronicznie list unikalnym certyfikatem wystawionym z wykorzystaniem swojego klucza prywatnego (ale swojego klucza nie wysyła!).

Chociaż metody kryptograficzne oparte na idei pary kluczy elektronicznych doskonale nadają się do zabezpieczania komunikacji, to klucze nie informują, kim w rzeczywistości jest ich użytkownik i czy jest tym, za kogo się podaje. Takie potwierdzenie zapewnia certyfikat elektroniczny (podpis elektroniczny) - plik zawierający klucz publiczny danej osoby oraz podstawowe informacje o niej, takie jak imię i nazwisko, nazwę firmy, w której pracuje, jej adres e-mail oraz numer certyfikatu, datę ważności itp. Ponadto certyfikat zawiera nazwę i podpis elektroniczny instytucji wystawiającej certyfikat i będącej instytucją powszechnego zaufania, np. instytucją rządową, bankiem czy pracodawcą.

Większość obecnie stosowanych podpisów elektronicznych spełnia normy międzynarodowego standardu X.509 (obecnie trzecia wersja). Określa on zasady konstrukcji certyfikatu, co zapewnia ich zgodność bez względu na instytucję wystawiającą certyfikat, oprogramowanie bądź sprzęt. Definiuje również zasady jego wykorzystania przez aplikacje.

Instytucja wystawiająca certyfikaty utrzymuje również centrum certyfikacyjne, w ramach którego przechowuje i udostępnia klucze publiczne użytkowników (np. niezbędne do zaszyfrowania przeznaczonych dla nich wiadomości) i zarządza kluczami (w szczególności ich wydawaniem, przedłużaniem ich ważności i anulowaniem). Centrum certyfikacyjne może zbudować każda firma, która na własne potrzeby chciałaby weryfikować wiarygodność bądź szyfrować korespondencję przesyłaną zarówno między pracownikami, jak i partnerami. Technologia PKI może być też wykorzystywana do identyfikowania użytkowników przy dostępie do poufnych zasobów korporacyjnych - stacji roboczych, serwerów i aplikacji.

Certyfikat w breloczku

Podstawowym problemem związanym z wykorzystaniem cyfrowych certyfikatów jest konieczność zachowania całkowitej poufności klucza prywatnego użytkownika. A nie jest to zadanie łatwe. Klucz ten najczęściej jest przechowywany w formie pliku na dysku twardym komputera użytkownika, co oznacza, że każdy, kto ma fizyczny dostęp do komputera, może go sobie przywłaszczyć. Jest on zazwyczaj zabezpieczony hasłem, ale obecnie nie jest ono już uważane za w pełni bezpieczną ochronę (istnieją metody rozpoznawania haseł przy użyciu specjalnych programów).

Najprostszym sposobem rozwiązania tego problemu, aczkolwiek powodującym dodatkowe koszty, jest przeniesienie całego certyfikatu (w tym klucza publicznego) na bezpieczny nośnik, który użytkownik będzie mógł zawsze mieć przy sobie. Takim nośnikiem są np. karty procesorowe (Smart Card), które po włożeniu do specjalnego czytnika podłączonego do komputera i podaniu dodatkowego kodu PIN umożliwiają zarówno identyfikację użytkownika, jak i korzystanie przez niego z innych dobrodziejstw technologii PKI. Zaletą takiego rozwiązania jest to, że klucz prywatny nigdy nie opuszcza certyfikatu i jest całkowicie niedostępny bez karty. Wszystkie funkcje kryptograficzne są wykonywane bezpośrednio przez mikroprocesor znajdujący się na karcie. Do komputera jest przekazywany tylko wynik operacji szyfrowania lub deszyfrowania.

Karty procesorowe mają jednak inną wadę, szczególnie istotną w przypadku użytkowników mobilnych. Ze względu na małą popularyzację czytników kart procesorowych nie umożliwiają swobodnego przemieszczania się między komputerami i bezpiecznego korzystania np. ze stacji w kawiarniach internetowych. Wady tej nie mają nowego rodzaju urządzenia dostępne w formie wtyczek podłączanych do portów USB (rozwiązania takie oferuje firma Alladin), w które jest wyposażony już niemal każdy komputer. Wielkością są zbliżone do małego klucza, co ułatwia ich przenoszenie. Mają 8-32 KB pamięci, w której można przechowywać certyfikaty i dodatkowe informacje.

Kryptografia na poważnie

Technologia PKI może być stosowana nie tylko w relacji użytkownik-użytkownik bądź użytkownik-serwer, ale również do realizacji bezpiecznej komunikacji w ramach sieci rozległych i szyfrowania transmisji między oddziałami firmy (np. w technologii VPN). We wszystkich tych wariantach system kryptografii może być wykonany w sposób programowy bądź sprzętowy. Rozwiązanie programowe ma tę zaletę, że jest tańsze do wykonania i uzasadnione tam, gdzie nie są istotne opóźnienia transmisji, a ilość szyfrowanych danych jest relatywnie mała.

W przypadku szyfrowania strumienia danych przesyłanych stale, np. siecią WAN, konieczne jest zastosowanie rozwiązania sprzętowego, które charakteryzuje się znacznie większą wydajnością, a także większym stopniem komplikacji (bezpieczne algorytmy szyfrowe implementowane są w odpornych na penetrację modułach elektronicznych), co znacznie zwiększa poziom bezpieczeństwa rozwiązania.

Pełną gamę rozwiązań kryptograficznych produkcji krajowej dostarcza np. firma Comp, której urządzenia z serii CompCrypt mogą zabezpieczać zarówno komunikację realizowaną w trybie offline (szyfrowanie poczty elektronicznej bądź plików przeznaczonych do transmisji przez FTP), jak i online. Analogiczne rozwiązania przeznaczone do realizacji połączeń VPN z wykorzystaniem wewnętrznego (wbudowanego w urządzenie) bądź zewnętrznego centrum certyfikacyjnego oferuje m.in. Nokia (seria Nokia VPN Gateway). Produkty obu tych firm posługują się protokołem IPSec.

Serwer certyfikacyjny

Niezbędnym elementem kompleksowej infrastruktury PKI jest oprogramowanie serwera centrum certyfikacji, na które składają się oprogramowanie głównego urzędu certyfikacji, oprogramowanie urzędów rejestracji użytkowników oraz oprogramowanie usług katalogowych LDAP, w ramach których są przechowywane certyfikaty i informacje o ich użytkownikach.

Przykładowymi, kompleksowymi rozwiązaniami ośrodków certyfikacji podpisu elektronicznego są pakiety Entrust/PKI firmy Entrust, Netscape Certificate Management System firmy Netscape oraz UniCERT PKI firmy Baltimore Technologies.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200