Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Infrastruktura kluczy publicznych

Infrastruktura kluczy publicznych

Infrastruktura kluczy publicznych

Chociaż technologia ta ma ponad dwadzieścia lat, to rozpowszechnienie jej nie jest chyba takie, jakiego można by się spodziewać. Problem leży nie w samej technologii, ale w trudnościach związanych z radzeniem sobie z jedną z najbardziej nieuchwytnych stron natury ludzkiej - zaufaniem. Załóżmy, że A posiadał dokument cyfrowo podpisany przez B i używa klucza publicznego B do weryfikacji autentyczności tego podpisu. Powstaje pytanie: na jakiej podstawie A może być pewnym, że ma klucz publiczny B, a nie klucz publiczny kogoś, kto podszywa się pod B? Aby rozwiązać problem bezpiecznej dystrybucji kluczy publicznych, wprowadzono pojęcie certyfikatu cyfrowego (Digital Certificate).

Certyfikat taki jest strukturalnym dokumentem kojarzącym z kluczem publicznym pewien zbiór informacji i zaopatrzonym w podpis cyfrowy zaufanej strony trzeciej, nazywanej Instytucją Certyfikującą - CA (Certification Authority). Aby zweryfikować certyfikat, użytkownik klucza publicznego musi wpierw uzyskać klucz publiczny CA za pośrednictwem innych kanałów zaufanych.

Chociaż wygląda to na powrót do punktu wyjścia, to jednak w tej metodzie konieczne jest uzyskanie tylko jednego klucza poza procedurą, umożliwiającego za to bezpieczne komunikowanie się z dowolną jednostką, posiadającą certyfikat wydany przez CA. Ponadto jeżeli wybrana CA ma możliwość certyfikowania kluczy publicznych innych CA, które mogą z kolei certyfikować kolejne CA, to uzyskujemy możliwość komunikowania się z dowolną jednostką, zakładając, że istnieje łańcuch certyfikatów pomiędzy wybraną na wstępie CA a CA certyfikującą klucze jednostek, z którymi zamierzamy nawiązać komunikację. Przy podejmowaniu decyzji o wyborze zaufanej CA jest istotna wiedza o szczegółach polityki uwierzytelniania stosowanej przez tę CA w ustalaniu tożsamości subskrybentów. Dla niektórych zastosowań można zaakceptować metody identyfikacji polegające na wykorzystaniu potwierdzenia zwrotnego na zapytanie wysłane pod wskazany adres poczty elektronicznej, jednak w wielu przypadkach niezbędna jest gwarancja poparta bardziej ścisłymi metodami, takimi jak kontrola dokumentów identyfikacyjnych - w rodzaju paszportów - przedstawianych CA lub inne, bardziej precyzyjne, metody identyfikacji.

Zarządzanie certyfikatami kluczy publicznych na skalę globalną jest przedsięwzięciem trudnym i skomplikowanym. Trzeba gwarantować nie tylko wystarczającą liczbę wzajemnie połączonych sieci CA, zapewniających każdemu zainteresowanemu weryfikowanie dowolnego certyfikatu, ale także system do wydawania i przechowywania certyfikatów, określania ich autentyczności i unieważniania certyfikatów w razie potrzeby. Ponadto w celu efektywnego użytkowania kryptografii kluczy publicznych i podpisów cyfrowych, potrzebne są również inne usługi, takie jak usługa niezaprzeczalności, cyfrowy notariat lub usługi cyfrowych datowników. Zespół takich usług tworzy infrastrukturę kluczy publicznych - PKI (Public Key Infrastructure).

Jak stworzyć infrastrukturę kluczy publicznych na własny użytek?

Koncepcja infrastruktury kluczy publicznych jest relatywnie prosta, ale stworzenie takiej infrastruktury we własnej sieci może być przedsięwzięciem złożonym i uciążliwym.

Punktem wyjścia jest stwierdzenie potrzeby ochrony (metodą szyfrowania) danych istotnych z punktu widzenia działalności organizacji. Każdy użytkownik końcowy takiej sieci ma dysponować oprogramowaniem kryptograficznym i dwoma kluczami: publicznym do rozpowszechniania wśród innych użytkowników i prywatnym, dostępnym tylko właścicielowi.

Użytkownik źródłowy szyfruje informację, używając klucza publicznego odbiorcy. Informacja przyjmowana przez odbiorcę jest deszyfrowana kluczem prywatnym. Użytkownicy mogą dysponować szeregiem par kluczy prywatnych i publicznych w celu uzyskania możliwości utrzymywania poufnej komunikacji z rozłącznymi grupami innych użytkowników systemu informatycznego.

Przy takim sposobie rozprzestrzeniania par kluczy zasadnicze znaczenie ma metoda administrowania tymi kluczami i sposób ich używania. Jest to moment, w którym do gry wchodzi PKI - infrastruktura kluczy publicznych umożliwiająca centralne tworzenie, dystrybucję, śledzenie i odwoływanie kluczy.

W wielu przypadkach dzisiejszy biznes elektroniczny, nie czekając na nowe techniki kryptograficzne, może skupić się właśnie na tworzeniu dobrej infrastruktury kluczy publicznych, obejmującej zarówno usługi katalogowe, jak i istniejące aplikacje. Najlepszą strategią jest rozpoczynanie budowania PKI od usług katalogowych przedsiębiorstwa, tworzących podstawy zarządzania tożsamością, regułami i elastyczną kontrolą dostępu.

Równolegle należy definiować architekturę ochrony i strategię migracji, zapewniającą bezpieczeństwo również w odniesieniu do przeglądarek (SSL i hasła na krótką metę), i rozpocząć wdrażanie PKI przez wprowadzenie takiej technologii jak IP Security w wirtualnych sieciach prywatnych i S/MIME.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas