Infrastruktura kluczy publicznych
- Józef Muszyński,
- 01.04.2000
Krok pierwszy: system uwierzytelniania
Pierwszym krokiem w ustanawianiu PKI jest utworzenie systemu uwierzytelniania, tak aby można było identyfikować użytkowników, zanim otrzymają uprawnienia do korzystania z sieci.
Logowanie oparte na hasłach jest jedną z metod uwierzytelniania, ale metodą bardziej bezpieczną są certyfikaty cyfrowe (digital certificates). Każdy certyfikat zawiera specyficzną informację identyfikującą użytkownika, obejmującą nazwę, klucz publiczny i unikatowy podpis cyfrowy, wiążący użytkownika z certyfikatem.
Aby uzyskać certyfikat, użytkownik wysyła zlecenie do wyznaczonego punktu rejestracyjnego (RA - Registration Authority), który weryfikuje jego tożsamość i prosi punkt certyfikujący (CA - Certificate Authority) o wydanie certyfikatu. Sam certyfikat jest dokumentem cyfrowym, przechowywanym i administrowanym zazwyczaj w katalogu centralnym. W razie potrzeby certyfikat jest transmitowany automatycznie, a praca użytkownika nie jest przerywana.
Punkt wydawania certyfikatów (CA) weryfikuje autentyczność certyfikatu dla odbiorcy - to także jest proces transparentny dla użytkownika.
Oczywiście, certyfikaty nie powinny być wieczne. Każdy certyfikat jest wydawany z datą ważności, a czasami trzeba go unieważnić przed upływem tej daty. CA może unieważniać certyfikaty przed upływem daty ważności, publikując ich wykaz na liście certyfikatów unieważnionych.
Wydawanie i odwoływanie certyfikatów wymaga pełnej koordynacji. Jest to kolejna funkcja infrastruktury kluczy publicznych, działającej jako pełna architektura obejmująca: zarządzanie kluczami, ośrodek rejestracyjny, ośrodek wydawania certyfikatów i zestawy różnorodnych narzędzi administracyjnych.
Dostępne na rynku oprogramowanie PKI dostarczane jest w różnych odmianach - w zależności od dostawcy (oprogramowanie PKI oferują między innymi firmy Entrust Technologies, Baltimore Technologies, RSA Security i Verisign). W każdym jednak przypadku zapewniane są pewne formy ośrodka certyfikującego i rejestrującego, zarządzanie kluczami oraz narzędzia składowania i odtwarzania kluczy.
Główni dostawcy PKI (Baltimore Technologies, Entrust Technologies, IBM, Microsoft i RSA Security) utworzyli Forum PKI, którego zadaniem będzie doprowadzenie do przyspieszenia przyjęcia technologii PKI i rozwiązań opartych na idei PKI, tworzących bezpieczne podstawy dla aplikacji e-biznesu. Forum PKI ma zapewnić dostawcom sposobność zademonstrowania poparcia dla infrastruktury kluczy publicznych opierającej się na standardach, przez zaprojektowanie elementów umożliwiających współdziałanie w zakresie wydawania certyfikatów, współdziałanie w zakresie usług katalogowych wykorzystywanych przez PKI, współdziałanie aplikacji, sprawdzanie certyfikatów i innych usług. Forum ma sponsorować demonstrowanie współdziałania produktów i ściśle współpracować z organizacjami standaryzacyjnymi w tym zakresie. Chociaż forum jest tylko grupą dostawców, to jednak efekty jego działania powinny być widoczne niebawem - w postaci coraz to większej liczby aplikacji i usług katalogowych współpracujących w dziedzinie kluczy publicznych. W tym roku oczekuje się pierwszych standardów i procedur testowania oraz aplikacji wykorzystujących te mechanizmy.
Centralny katalog – niezbędny element PKI
Zazwyczaj jako część PKI implementowany jest także katalog centralny - miejsce przechowywania i wyszukiwania certyfikatów wraz z powiązaną z nimi informacją. Często jednak istnieje już struktura usług katalogowych wspierająca aplikacje w rodzaju poczt elektronicznych. Jeżeli istniejąca struktura usług katalogowych spełnia wymagania LDAP (Lightweight Directory Access Protocol) lub X.500, to zazwyczaj spełnia także wymagania PKI.
Jednak systemy usług katalogowych nie zawsze współpracują bezproblemowo z PKI i często są przyczyną frustracji przy tworzeniu infrastruktury kluczy publicznych, zwłaszcza jeżeli z katalogiem wiąże się oczekiwania obsługi - oprócz PKI - innych aplikacji klienckich (brak współdziałania usług katalogowych skłonił dostawców do utworzenia Directory Interoperability Forum, które próbuje rozwiązać te problemy).
Innym, niezmiernie ważnym, elementem PKI jest polityka (reguły) certyfikacji, określająca zasady używania PKI i usług certyfikacji. Na przykład: jeżeli użytkownik przez pomyłkę udostępni osobie niepowołanej swój klucz prywatny, to można oczekiwać od niego powiadomienia zespołu do spraw ochrony lub ośrodka certyfikującego.
Wcześniejsze określenie, jak postępować w takich przypadkach, jest niezwykle istotne dla prawidłowego działania PKI i jest zawarte w CPS (Certificate Practice Statement) - pewnego rodzaju instrukcji postępowania z certyfikatami. Polityka certyfikacji i CPS powinna być uzgodniona pomiędzy służbami informatycznymi, różnymi grupami użytkowników a obsługą prawną przedsiębiorstwa.
CPS zawiera szczegółowe określenie sposobu postępowania ośrodka certyfikacji z wydawanymi certyfikatami oraz powiązania z takimi usługami, jak zarządzanie kluczami. CPS funkcjonuje także jako kontrakt zawarty pomiędzy ośrodkiem wydawania certyfikatów i użytkownikami, opisując zobowiązania i ograniczenia prawne oraz ustanawiając podstawy ewentualnych działań kontrolnych. Dostawcy PKI często dostarczają gotowe wzorce CPS do wykorzystania.
Tak jak w każdej innej infrastrukturze informatycznej do jej ustanowienia, administrowania, utrzymywania i zarządzania potrzebny jest odpowiedni zespół. Na samym początku trzeba wyznaczyć funkcjonariusza ochrony, który będzie odpowiedzialny za ustanowienie i administrowanie regułami ochrony w obrębie instytucji. Osoba taka nie musi być członkiem zespołu informatyków, ale musi rozumieć sprawy związane z systemem informatycznym.
W kolejnym kroku trzeba wyznaczyć architekta PKI, który na podstawie wymagań sytemu ochrony zaprojektuje PKI. Osoba ta może także wspierać implementację PKI w roli menadżera projektu.
Niezwykle istotnym jest stanowisko administratora PKI, który używając narzędzi zarządzania ośrodkiem certyfikacji, będzie dodawał, uaktywniał i odwoływał zarówno użytkowników, jak i ich certyfikaty.
Potrzebny będzie także administrator katalogu i osoba funkcjonująca w charakterze punktu rejestracji, chociaż jest możliwe ustanowienie automatycznego ośrodka rejestracji, obsługującego zlecenia użytkowników składane za pośrednictwem przeglądarek webowych. W takim przypadku do ustanowienia i utrzymywania automatycznych usług rejestracji można używać istniejącego już zespołu, na przykład administratorów baz danych.
Czy warto "jeść tę żabę"?
Większość użytkowników systemu informatycznego nie ma zazwyczaj sprecyzowanych opinii w tym względzie, ale opinię taką może mieć zarząd przedsiębiorstwa, zwłaszcza jeżeli jest on świadom tego, że wyłom w systemie ochrony może zaszkodzić opinii firmy i skutkować utratą klientów. Przekonanie zarządu dla idei PKI jest więc sprawą kluczową, a członków zarządu trzeba uczyć dostatecznie wcześnie: już w fazie procesu tworzenia infrastruktury. Niektóre usługi z góry kwalifikują się do bezpośredniego wsparcia przez PKI: poczta elektroniczna, bezpieczny transfer plików, usługi zarządzania dokumentami, zdalny dostęp, handel elektroniczny i usługi transakcji webowych. Obsługa niezaprzeczalności transakcji, uniemożliwiająca wyparcie się jej autorstwa, jest także często konieczna, a zapewnić ją może stosowanie podpisów cyfrowych.
Natomiast sieci bezprzewodowe i wirtualne sieci prywatne trudno sobie wyobrazić bez szyfrowania gwarantującego poufność komunikacji.
Ośrodki korporacyjne i handlu elektronicznego to kolejne podmioty, dla których rozwiązania PKI są niezbędne, zwłaszcza w kontekście potrzeby zapewnienia pojedynczego punktu logowania.
Ciągle jednak nie wiadomo, co należy zrobić, aby uczynić podpisy cyfrowe tak bezpiecznymi jak podpisy ręczne. Nadal nie ma pewności, czy dobrym pomysłem jest zawarcie w oprogramowaniu techniki kluczy prywatnych, czy też dostatecznie bezpieczne i wygodne są na przykład karty chipowe lub nowe urządzenia, choćby telefony komórkowe, działające jak karty inteligentne. Nic więc dziwnego, że przy takiej stopniu niepewności klienci często pozostają przy zwykłym haśle. Momentem przełomowym może okazać się rozpowszechnienie Windows 2000, które obsługują większość znanych algorytmów i protokołów kryptograficznych.