Infrastruktura klucza publicznego i podpisy elektroniczne

Wraz ze wzrostem znaczenia Internetu w przeprowadzaniu transakcji biznesowych rośnie potrzeba zapewnienia ochrony informacji i właściwej identyfikacji wszystkich stron uczestniczących w takich transakcjach. Wiele protokołów zapewniających poufność, integralność danych, uwierzytelnianie źródła danych oraz niezaprzeczalność wykorzystuje kryptografię z kluczem publicznym. Zarządzanie kluczami oraz certyfikatami niezbędnymi dla tych protokółów zapewnia infrastruktura klucza publicznego - PKI (Public Key Infrastructure).

Wraz ze wzrostem znaczenia Internetu w przeprowadzaniu transakcji biznesowych rośnie potrzeba zapewnienia ochrony informacji i właściwej identyfikacji wszystkich stron uczestniczących w takich transakcjach. Wiele protokołów zapewniających poufność, integralność danych, uwierzytelnianie źródła danych oraz niezaprzeczalność wykorzystuje kryptografię z kluczem publicznym. Zarządzanie kluczami oraz certyfikatami niezbędnymi dla tych protokółów zapewnia infrastruktura klucza publicznego - PKI (Public Key Infrastructure).

Jeszcze nie tak dawno wystarczającą kontrolę dostępu, uniemożliwiającą nieupoważnionym pracownikom wgląd do poufnych danych firmy, zapewniał system operacyjny. Akceptowane było przy tym prawo do takiego dostępu praktycznie wszystkich pracowników działu informatycznego - jedynym zabezpieczeniem było poleganie na ich lojalności. Stosując metody kryptograficzne każda organizacja może obecnie zapewnić sobie całkowitą poufność danych przechowywanych w sieci, to znaczy możliwość ich przeglądania tylko przez osoby upoważnione. Do tego celu najlepiej nadaje się kryptografia klucza publicznego. Jest ona niezastąpiona zwłaszcza dla systemów implementowanych jako rozwiązania e-commerce, w których organizacje angażują się w transakcje z osobami dotychczas jej nie znanymi i z którymi mogą już nie mieć żadnego kontaktu w przyszłości. Koszty zastosowania dla takich transakcji kluczy tajnych są niewyobrażalnie wysokie - zarówno w kategoriach czysto finansowych, jak i potencjalnej utraty dużej liczby klientów z powodu braku efektywnej metody dystrybucji kluczy tajnych.

Kryptografia klucza publicznego

Rys.1 Szyfrowanie kluczem publicznym

Rys.1 Szyfrowanie kluczem publicznym

Systemy klucza publicznego umożliwiają bezpieczną komunikację z daną organizacją wielu osobom - przy użyciu kluczy, które mogą być swobodnie rozpowszechniane i publikowane. Idea ta może być rozszerzona o certyfikaty cyfrowe, wiążące klucze publiczne z osobą lub organizacją i potwierdzane podpisem zaufanych wydawców certyfikatów (CA - Certification Authority) i tym samym potwierdzające tożsamość tej osoby czy organizacji.

System kryptografii klucza publicznego (PKC - Public Key Cryptography) zakłada użycie dwóch asymetrycznych kluczy do szyfrowania i deszyfrowania informacji: jednego o statusie prywatnym (deszyfrowanie informacji) i drugiego dostępnego publicznie (szyfrowanie informacji). Wymieniając między sobą klucze publiczne i kojarząc je z kluczami prywatnymi, obie strony mogą wymieniać informacje poufne bez konieczności przekazywania klucza do deszyfrowania informacji, co eliminuje możliwości przechwycenia tego klucza drogą podsłuchu kanału komunikacyjnego. Mechanizm ten pozwala stronom na dynamiczne ustanawianie bezpiecznej komunikacji bez potrzeby wcześniejszych kontaktów. Rozwój kryptografii kluczy publicznych doprowadził do możliwości używania samej idei kluczy publicznych i prywatnych w innych obszarach ochrony informacji. Jedną z pierwszych takich implementacji jest system RSA (od nazwisk twórców: Rivest, Shamir i Adelman), pozwalający nie tylko na wymianę informacji tajnych, ale również na tworzenie podpisów cyfrowych, czyli metody uwierzytelniania nadawcy informacji, czy też samej informacji.

Klucze publiczne są stosowane w szeroko rozpowszechnionych protokołach: SSL (Secure Socket Layer), S/MIME (Secure MIME), SET (Secure Electronic Transaction), i w podpisywaniu apletów Javy czy ActiveX, co stawia na pierwszym planie problem zarządzania zarówno tymi kluczami, jak i ich certyfikatami. Zarządzanie kluczami oraz certyfikatami niezbędnymi dla tych protokołów zapewnia infrastruktura klucza publicznego - PKI (Public Key Infrastructure).

Podpisy cyfrowe

Rys.2 Tworzenie podpisu cyfrowego

Rys.2 Tworzenie podpisu cyfrowego

W świecie biznesu jednym z ważniejszych elementów transakcji jest podpis klienta. Podpisy cyfrowe to nazwa technologii zapewniającej elektroniczny ekwiwalent tradycyjnego podpisu na papierze.

Technologia ta zapewnia również niezaprzeczalność wystawienia takiego podpisu. To znaczy, że oprócz jednoznacznej identyfikacji źródła transakcji zapewnia również możliwość kontroli jej nienaruszalności podczas transmisji. Podpis cyfrowy jest mechanizmem pozwalającym na dodawania unikatowych danych do dokumentu w taki sposób, że generować je może jedynie właściciel klucza prywatnego, ale każdy, kto posiada odpowiedni klucz publiczny, może weryfikować autentyczność takiego podpisu. Podpisy cyfrowe są szczególnie ważne w handlu elektronicznym, ponieważ umożliwiają ustanowienie prawnie uznawanej praktyki podpisywania kontraktów i innych porozumień w formie elektronicznych dokumentów. To właśnie technologia podpisów cyfrowych, bardziej niż jakakolwiek inna, przyczyniła się do urzeczywistnienia wizji bezpiecznego globalnego biznesu elektronicznego.


TOP 200