Kryptografia - nie tylko szyfrowanie danych (cz. 2)

Większość przypadków złamania systemu zabezpieczającego spowodowana była błędami człowieka, dlatego istotne znaczenia ma właściwa implementacja takich systemów - zwłaszcza w zakresie zarządzania kluczami - oraz świadomość słabych stron systemów kryptograficznych.

Weryfikacja kluczy i ich właścicieli - Infrastruktura Klucza Publicznego

Gdy używane jest szyfrowanie asymetryczne z kluczem publicznym, niezmiernie ważne jest, aby wszystkie uczestniczące strony (mające własne pary kluczy) ufały sobie. W niektórych systemach szyfrowania do identyfikowania tożsamości uczestnika i powiązanej z nim pary kluczy, używane są zaufane kanały komunikacyjne - bezpośrednie lub zdecentralizowane. Systemy te, znane jako web of trust, tworzą sieć zaufania, gdzie indywidualni uczestnicy mogą wzajemnie potwierdzać tożsamość innych.

Inne systemy asymetryczne korzystają ze scentralizowanych usług weryfikacji uczestników i ich kluczy. Rozwiązania do centralnego zarządzania kluczami publicznymi użytkowników nazywają się Infrastruktura Klucza Publicznego (PKI - Public Key Infrastructure). W systemie tym korzysta się z usług centrów certyfikacji CA (Certification Authorities). Kiedy CA zweryfikuje publiczny klucz uczestnika, jako ważny i godny zaufania, to podpisuje go swoim kluczem prywatnym i uzupełnia dodatkową informacją, tworząc certyfikat cyfrowy.

Centrum CA zapewnia różny poziom zabezpieczania, zależny od używanego systemu szyfrowania i przyjętej polityki. Wyższy poziom zabezpieczenia oznacza, że CA stosuje specjalne procedury przy weryfikowaniu tożsamości poszczególnych użytkowników.

Na przykład centrum certyfikacji, które wymaga od użytkowników, aby pojawili się osobiście ze stosownymi dokumentami identyfikacyjnymi przed wydaniem inteligentnej karty certyfikatu cyfrowego z kluczem 4096-bitowym, będzie uważane za bezpieczniejsze, niż CA dopuszczające pocztę elektroniczną w procesie weryfikacji i wydające certyfikat z kluczem 1024-bitowym. Użytkownicy, którzy chcą korzystać z usług CA, powinni wiedzieć, jaki poziom zabezpieczeń zapewnia jego system, jak jest weryfikowana tożsamość użytkowników oraz jaki poziom bezpieczeństwa jest im zapewniany.

Istotne kwestie przy zarządzaniu kluczem:


TOP 200