Infrastruktura kluczy publicznych

Krok pierwszy: system uwierzytelniania

Infrastruktura kluczy publicznych

Schemat uwierzytelniania podpisem cyfrowym

Pierwszym krokiem w ustanawianiu PKI jest utworzenie systemu uwierzytelniania, tak aby można było identyfikować użytkowników, zanim otrzymają uprawnienia do korzystania z sieci.

Logowanie oparte na hasłach jest jedną z metod uwierzytelniania, ale metodą bardziej bezpieczną są certyfikaty cyfrowe (digital certificates). Każdy certyfikat zawiera specyficzną informację identyfikującą użytkownika, obejmującą nazwę, klucz publiczny i unikatowy podpis cyfrowy, wiążący użytkownika z certyfikatem.

Aby uzyskać certyfikat, użytkownik wysyła zlecenie do wyznaczonego punktu rejestracyjnego (RA - Registration Authority), który weryfikuje jego tożsamość i prosi punkt certyfikujący (CA - Certificate Authority) o wydanie certyfikatu. Sam certyfikat jest dokumentem cyfrowym, przechowywanym i administrowanym zazwyczaj w katalogu centralnym. W razie potrzeby certyfikat jest transmitowany automatycznie, a praca użytkownika nie jest przerywana.

Punkt wydawania certyfikatów (CA) weryfikuje autentyczność certyfikatu dla odbiorcy - to także jest proces transparentny dla użytkownika.

Oczywiście, certyfikaty nie powinny być wieczne. Każdy certyfikat jest wydawany z datą ważności, a czasami trzeba go unieważnić przed upływem tej daty. CA może unieważniać certyfikaty przed upływem daty ważności, publikując ich wykaz na liście certyfikatów unieważnionych.

Wydawanie i odwoływanie certyfikatów wymaga pełnej koordynacji. Jest to kolejna funkcja infrastruktury kluczy publicznych, działającej jako pełna architektura obejmująca: zarządzanie kluczami, ośrodek rejestracyjny, ośrodek wydawania certyfikatów i zestawy różnorodnych narzędzi administracyjnych.

Dostępne na rynku oprogramowanie PKI dostarczane jest w różnych odmianach - w zależności od dostawcy (oprogramowanie PKI oferują między innymi firmy Entrust Technologies, Baltimore Technologies, RSA Security i Verisign). W każdym jednak przypadku zapewniane są pewne formy ośrodka certyfikującego i rejestrującego, zarządzanie kluczami oraz narzędzia składowania i odtwarzania kluczy.

Główni dostawcy PKI (Baltimore Technologies, Entrust Technologies, IBM, Microsoft i RSA Security) utworzyli Forum PKI, którego zadaniem będzie doprowadzenie do przyspieszenia przyjęcia technologii PKI i rozwiązań opartych na idei PKI, tworzących bezpieczne podstawy dla aplikacji e-biznesu. Forum PKI ma zapewnić dostawcom sposobność zademonstrowania poparcia dla infrastruktury kluczy publicznych opierającej się na standardach, przez zaprojektowanie elementów umożliwiających współdziałanie w zakresie wydawania certyfikatów, współdziałanie w zakresie usług katalogowych wykorzystywanych przez PKI, współdziałanie aplikacji, sprawdzanie certyfikatów i innych usług. Forum ma sponsorować demonstrowanie współdziałania produktów i ściśle współpracować z organizacjami standaryzacyjnymi w tym zakresie. Chociaż forum jest tylko grupą dostawców, to jednak efekty jego działania powinny być widoczne niebawem - w postaci coraz to większej liczby aplikacji i usług katalogowych współpracujących w dziedzinie kluczy publicznych. W tym roku oczekuje się pierwszych standardów i procedur testowania oraz aplikacji wykorzystujących te mechanizmy.

Centralny katalog – niezbędny element PKI

Infrastruktura kluczy publicznych

Schemat zarządzania certyfikatami

Zazwyczaj jako część PKI implementowany jest także katalog centralny - miejsce przechowywania i wyszukiwania certyfikatów wraz z powiązaną z nimi informacją. Często jednak istnieje już struktura usług katalogowych wspierająca aplikacje w rodzaju poczt elektronicznych. Jeżeli istniejąca struktura usług katalogowych spełnia wymagania LDAP (Lightweight Directory Access Protocol) lub X.500, to zazwyczaj spełnia także wymagania PKI.

Jednak systemy usług katalogowych nie zawsze współpracują bezproblemowo z PKI i często są przyczyną frustracji przy tworzeniu infrastruktury kluczy publicznych, zwłaszcza jeżeli z katalogiem wiąże się oczekiwania obsługi - oprócz PKI - innych aplikacji klienckich (brak współdziałania usług katalogowych skłonił dostawców do utworzenia Directory Interoperability Forum, które próbuje rozwiązać te problemy).

Innym, niezmiernie ważnym, elementem PKI jest polityka (reguły) certyfikacji, określająca zasady używania PKI i usług certyfikacji. Na przykład: jeżeli użytkownik przez pomyłkę udostępni osobie niepowołanej swój klucz prywatny, to można oczekiwać od niego powiadomienia zespołu do spraw ochrony lub ośrodka certyfikującego.

Wcześniejsze określenie, jak postępować w takich przypadkach, jest niezwykle istotne dla prawidłowego działania PKI i jest zawarte w CPS (Certificate Practice Statement) - pewnego rodzaju instrukcji postępowania z certyfikatami. Polityka certyfikacji i CPS powinna być uzgodniona pomiędzy służbami informatycznymi, różnymi grupami użytkowników a obsługą prawną przedsiębiorstwa.

CPS zawiera szczegółowe określenie sposobu postępowania ośrodka certyfikacji z wydawanymi certyfikatami oraz powiązania z takimi usługami, jak zarządzanie kluczami. CPS funkcjonuje także jako kontrakt zawarty pomiędzy ośrodkiem wydawania certyfikatów i użytkownikami, opisując zobowiązania i ograniczenia prawne oraz ustanawiając podstawy ewentualnych działań kontrolnych. Dostawcy PKI często dostarczają gotowe wzorce CPS do wykorzystania.

Tak jak w każdej innej infrastrukturze informatycznej do jej ustanowienia, administrowania, utrzymywania i zarządzania potrzebny jest odpowiedni zespół. Na samym początku trzeba wyznaczyć funkcjonariusza ochrony, który będzie odpowiedzialny za ustanowienie i administrowanie regułami ochrony w obrębie instytucji. Osoba taka nie musi być członkiem zespołu informatyków, ale musi rozumieć sprawy związane z systemem informatycznym.

Infrastruktura kluczy publicznych

Uzyskanie certyfikatu

W kolejnym kroku trzeba wyznaczyć architekta PKI, który na podstawie wymagań sytemu ochrony zaprojektuje PKI. Osoba ta może także wspierać implementację PKI w roli menadżera projektu.

Niezwykle istotnym jest stanowisko administratora PKI, który używając narzędzi zarządzania ośrodkiem certyfikacji, będzie dodawał, uaktywniał i odwoływał zarówno użytkowników, jak i ich certyfikaty.

Potrzebny będzie także administrator katalogu i osoba funkcjonująca w charakterze punktu rejestracji, chociaż jest możliwe ustanowienie automatycznego ośrodka rejestracji, obsługującego zlecenia użytkowników składane za pośrednictwem przeglądarek webowych. W takim przypadku do ustanowienia i utrzymywania automatycznych usług rejestracji można używać istniejącego już zespołu, na przykład administratorów baz danych.

Czy warto "jeść tę żabę"?

Plan roboczy implementacji PKI
  • Zorganizowanie zespołu, w skład którego wejdą reprezentanci całej społeczności użytkowników.
  • Ocena środowiska informatycznego. Określenie, co już istnieje przydatnego w tworzeniu PKI: zespół, usługi katalogowe, sprzęt.
  • Określenie wymagań. Sprecyzowanie wymagań strategicznych, biznesowych i technicznych dla PKI. Wszystkie zainteresowane strony powinny być konsultowane na bieżąco w tym względzie.
  • Wykonanie przeglądu i porównanie opcji rozwiązań. Zapoznanie się z różnymi modelami PKI i rozważenie różnorodnych opcji oferowanych przez dostawców.
  • Propozycja planu. Opierając się na tym, co jest znane do tej pory, zbudowanie zarysu planu dopuszczającego wszystkie niezbędne zasoby. Następnie zrewidowanie planu (z marginesem co najmniej 50% dla nieprzewidywalnych kosztów i opóźnień harmonogramu).
  • Zaprojektowanie architektury PKI. Zaprojektowanie ogólnej architektury PKI, obejmującej system wspierający i łącza do zewnętrznych klientów.
  • Ocena, przetestowanie i wybranie. Ustalenie zestawu kryteriów dla wstępnej oceny produktów i usług. Ustalenie kryteriów testowania i wypróbowania produktu na miejscu.
  • Instalacja pilotowa. Na tym etapie instaluje się wybrany produkt i uruchamia pilotowe PKI, będące pewnym wariantem tego, co ma zawierać docelowe PKI - zgodne z wymaganiami. Wyjaśnienie, jak nowe usługi PKI przynoszą korzyści użytkownikom. Zapewnienie szkolenia technicznego obsługi.
  • Implementacja, testowanie i oddanie do użytku. Na tym etapie powinno się przechodzić z instalacji pilotowej do pełnej implementacji PKI.
  • Trzeba jasno powiedzieć, że wdrożenie PKI jest przedsięwzięciem dość złożonym i kosztownym. Należy więc dobrze rozważyć potrzebę zakładania takiej infrastruktury. Czy rzeczywiście jest to inwestycja niezbędna, warta wysiłku i pieniędzy w nią włożonych? Podstawową kwestią przy rozstrzyganiu celowości ustanowienia PKI jest pytanie, czy rozwój biznesu wymaga coraz większego otwarcia i jednocześnie zapewnienia poufności w wymianie informacji, i czy PKI może w tym pomóc i w jakim zakresie?

    Większość użytkowników systemu informatycznego nie ma zazwyczaj sprecyzowanych opinii w tym względzie, ale opinię taką może mieć zarząd przedsiębiorstwa, zwłaszcza jeżeli jest on świadom tego, że wyłom w systemie ochrony może zaszkodzić opinii firmy i skutkować utratą klientów. Przekonanie zarządu dla idei PKI jest więc sprawą kluczową, a członków zarządu trzeba uczyć dostatecznie wcześnie: już w fazie procesu tworzenia infrastruktury. Niektóre usługi z góry kwalifikują się do bezpośredniego wsparcia przez PKI: poczta elektroniczna, bezpieczny transfer plików, usługi zarządzania dokumentami, zdalny dostęp, handel elektroniczny i usługi transakcji webowych. Obsługa niezaprzeczalności transakcji, uniemożliwiająca wyparcie się jej autorstwa, jest także często konieczna, a zapewnić ją może stosowanie podpisów cyfrowych.

    Natomiast sieci bezprzewodowe i wirtualne sieci prywatne trudno sobie wyobrazić bez szyfrowania gwarantującego poufność komunikacji.

    Ośrodki korporacyjne i handlu elektronicznego to kolejne podmioty, dla których rozwiązania PKI są niezbędne, zwłaszcza w kontekście potrzeby zapewnienia pojedynczego punktu logowania.

    Infrastruktura kluczy publicznych

    Posługiwanie się certyfikatem

    Wydaje się, że zbliżają się czasy, kiedy elitarna proweniencja z dziedziny matematyki lub kryptografii nie będzie już dawać gwarancji znalezienia się na pierwszych miejscach w listach rankingowych poszukiwanych specjalistów. Według najnowszych badań już dzisiaj na rynku można znaleźć ponad półtora tysiąca produktów z dziedziny kryptografii, a ograniczenia eksportowe są powoli znoszone. Ale zanim kryptografia stanie się powszechna, trzeba jeszcze będzie pokonać kilka przeszkód. Według niektórych specjalistów boom kryptograficzny pojawi się wtedy, gdy PKI w końcu opanuje masową dystrybucję kluczy i podpisów cyfrowych. Można jednak spotkać się także z poglądem, że technika PKI jest jeszcze ryzykowna, trudna w implementacji i ma jeszcze daleką drogę przed sobą. Jak zwykle prawda leży po środku. Pojawiają się odpowiednie standardy, a użytkownicy maja już teraz wybór mechanizmów do wdrożenia PKI w wielu zastosowaniach. Mogą także wybierać dostawców.

    Ciągle jednak nie wiadomo, co należy zrobić, aby uczynić podpisy cyfrowe tak bezpiecznymi jak podpisy ręczne. Nadal nie ma pewności, czy dobrym pomysłem jest zawarcie w oprogramowaniu techniki kluczy prywatnych, czy też dostatecznie bezpieczne i wygodne są na przykład karty chipowe lub nowe urządzenia, choćby telefony komórkowe, działające jak karty inteligentne. Nic więc dziwnego, że przy takiej stopniu niepewności klienci często pozostają przy zwykłym haśle. Momentem przełomowym może okazać się rozpowszechnienie Windows 2000, które obsługują większość znanych algorytmów i protokołów kryptograficznych.


    TOP 200