Bezpieczeństwo Internetu
-
- Józef Muszyński,
-
- Piotr Kociatkiewicz,
- 01.02.2001
Protokół Open PGP
Specyfikacja OpenPGP (Open Pretty Good Privacy) stanowi alternatywę dla firmowych algorytmów szyfrowania, takich jak RSA, które są używane przez S/MIME podczas przesyłania poczty elektronicznej i innych komunikatów używających protokołu MIME (Multipurpose Internet Mail Extensions). Aby zapewnić usługi zabezpieczenia komunikatów poczty elektronicznej i zbiorów danych, specyfikacja PGP używa kombinacji konwencjonalnego szyfrowania i publicznego klucza. Usługi te obejmują poufność i podpis elektroniczny.
Specyfikacja OpenPGP (RFC 2440) rozszerza pierwotną specyfikację (RFC 1991 i 2015) w celu dostarczenia metod zabezpieczenia komunikatów elektronicznych. IETF i inne zespoły pracują nad rozszerzeniem własności protokołu PGP o:
- dodatkowe rodzaje certyfikatów dla różnych infrastruktur kluczy publicznych (X.509v3, SPKI-SDSI)
- nowe zestawy szyfrów i nowe identyfikatory szyfrów
- ulepszone metody dla publicznego klucza PGP i wymiany certyfikatów - wyszukiwania, przeglądania, unieważniania.
Protokół S/MIME
Standard S/MIME (Secure/Multipurpose Internet Mail Extensions) zapewnia jednolity sposób wysyłania i odbioru chronionych danych MIME. Opierając się na popularnym internetowym standardzie MIME, S/MIME zapewnia następujące usługi zabezpieczeń kryptograficznych aplikacji związanych z komunikatami elektronicznymi: uwierzytelnienie, integralność komunikatu i honorowanie pochodzenia, przy użyciu podpisów cyfrowych, oraz zabezpieczenia danych i prywatności przy użyciu kryptografii. Protokół S/MIME może być używany na poziomie agentów MAU (mail user agent) w celu dodania usług kryptograficznych do wysyłanej poczty i interpretacji usług zabezpieczenia kryptograficznego w przyjmowanej poczcie. Jednak protokół S/MIME nie ogranicza się do poczty, może być również użyty z jakimkolwiek mechanizmem, który przesyła dane MIME, np. protokołem HTTP.
Rozszerzone usługi zabezpieczeń (Enhanced Security Services) dla protokołu S/MIME są określone w dokumencie RFC 2634. Usługi ESS rozszerzają własności zabezpieczeń dla wersji 3.0 S/MIME. Specyfikacja opisuje protokół dodawania podpisu kryptograficznego i usług szyfrowania do komunikatów internetowych MIME w oparciu o PKCS7 algorytmu RSA, który definiuje ogólną składnię komunikatów, włączając w to udoskonalenia kryptograficzne, takie jak podpis cyfrowy i szyfrowanie, tudzież składnię komunikatu kryptograficznego (Cryptographic Message Syntax).
Infrastruktury kluczy publicznych i ośrodki certyfikacyjne
Niemal wszystkie protokoły zabezpieczające wykorzystują - do zapewnienia poufności, integralności danych, uwierzytelniania źródła danych oraz zapobiegania możliwości wycofania się z zawartej transakcji - techniki kryptograficzne z kluczami publicznymi. Do zapewnienia zaufanego i wydajnego zarządzania kluczami publicznymi służy infrastruktura kluczy publicznych PKI (Public Key Infrastructure).
Infrastruktura kluczy publicznych PKI składa się z protokołów, usług i standardów wspierających aplikacje kryptograficzne kluczy publicznych. Infrastruktury PKI, chociaż zdefiniowane na różne sposoby, mają wspólne funkcje zarządzania kluczami publicznymi, często za pomocą ośrodka certyfikującego CA (Certification Authority) i ośrodka rejestrującego RA (Registration Authority). Typowe usługi obejmują rejestrację klucza, odwołanie certyfikatu, selekcję klucza i ocenę zaufania, czyli sprawdzenie, czy certyfikat jest ważny i jakie prawa są uwierzytelniane.
Działająca w ramach IETF grupa robocza Internet Public Key Infrastructure Working Group ukończyła specyfikację PKIX (opartą na X.509 v.3), która wyszczególnia format i semantykę certyfikatów X.509 oraz listy odwołań certyfikatów. Dla popularnych algorytmów kryptograficznych są podane zasady szyfrowania, dla wszystkich zaś zdefiniowanych lub zalecanych struktur danych - pełne moduły ASN.1. Na certyfikatach PKIX są oparte internetowe protokoły SSL, SET, IPsec i S/MIME.
