Technologie

Szyfrowanie należy rozpocząć już od własnego stanowiska pracy, a dokładniej niektórych bądź wszystkich przechowywanych plików. Istnieje wiele programów, które wykonują takie operacje, ale najważniejsze, by operacje szyfrowania i deszyfrowania były "przezroczyste" dla użytkowników. Najbardziej przydatny jest więc szyfrowany system plików - jednokrotne podanie hasła otwiera do niego drogę, a wylogowanie się z systemu automatycznie czyni jego zawartość niedostępną dla osób postronnych.

Tego rodzaju systemy są szczególnie przydatne w przypadku komputerów przenośnych. Z racji swej natury i ceny są one często obiektem szczególnego zainteresowania złodziei.

Kolejną sprawą jest możliwość utajniania poczty elektronicznej. Panują tu dwa standardy. Pierwszy z nich to standard de facto z uwagi na jego powszechność - PGP (Pretty Good Privacy). Nie ma tu odgórnie określonych ośrodków certyfikujących ani reguł certyfikacji, jest natomiast możliwość certyfikowania kluczy publicznych przez dowolne osoby. Dzięki temu, jeśli wierzymy jednej z podpisanych pod kluczem osób, wówczas możemy wierzyć zawartości klucza. Istotną zaletą PGP jest jego popularność, zgodność różnych wersji, dostępność na różnorodne platformy sprzętowe oraz gigantyczna objętość już funkcjonujących serwerów kluczy publicznych.

Konkurentem PGP jest standard S/MIME, który wkomponowuje w istniejące reguły przesyłania poczty w Internecie dodatkowe informacje o zaszyfrowanej wiadomości. Do przenoszenia kluczy publicznych wykorzystuje on standardowe certyfikaty X.509. Jeszcze nie jest on tak popularny, jak PGP, ale można mu wróżyć dobrą przyszłość - głównie z uwagi na zgodność z innymi standardami, a także jego implementację w coraz większej liczbie nowych produktów.

Sieci wirtualne

Niemniej zabezpieczanie pojedynczych aplikacji to zbyt mało. Do pełnego bezpieczeństwa konieczna jest jeszcze ochrona kryptograficzna wszystkich połączeń realizowanych za pośrednictwem sieci korporacyjnej. Jest to szczególnie atrakcyjna opcja dla organizacji mających rozrzucone geograficznie jednostki i chcących w bezpieczny sposób wymieniać między nimi informacje. Możliwe jest wówczas tworzenie tzw. VPN, czyli wirtualnych sieci prywatnych (nie należy ich mylić z wirtualnymi obwodami w sieciach Frame Relay). Są to szyfrowane kanały komunikacyjne realizowane na podstawie publicznych lub quasi-publicznych łączy telekomunikacyjnych.

Budując sieć rozległą (WAN) lub rozproszoną warto więc rozpatrzyć możliwość zastosowania VPN. Stosowane tu technologie to przede wszystkim IPsec (część IPv6, czyli nowego standardu Internetu), SSL (Secure Sockets Layer) i SSH. Wybór technologii zależy od planowanego rozwoju firmy. Zdecydowanie najlepiej zapowiada się IPsec, gdyż obsługuje go coraz więcej producentów.

Dla użytkownika końcowego VPN jest rozwiązaniem całkowicie przezroczystym. Całość wykonuje firewall lub router szyfrujący. Urządzenie przechwytuje wszystkie połączenia skierowane do oddziałów firmy, szyfruje je z użyciem odpowiednich algorytmów i kluczy oraz "opakowuje" w odpowiednie pakiety transportowe. Po drugiej stronie jest wykonywana operacja odwrotna.

Komputery pracujące w sieci mogą korzystać ze standardowego oprogramowania TCP/IP. Jeśli jednak zastosuje się zmodyfikowane stosy TCP/IP, wówczas będzie możliwe tworzenie małych VPN-ów nawet z pojedynczymi zdalnymi pracownikami (co jest szczególnie przydatne w przypadku np. sprzedawców polis ubezpieczeniowych zdalnie łączących się z korporacyjnymi bazami danych).

Poprawna identyfikacja

Ostatnim istotnym zastosowaniem kryptografii jest kryptograficzna identyfikacja użytkowników. Najpopularniejsze obecnie serwery identyfikacyjne wykorzystują techniki szyfrowania do tworzenia haseł jednorazowych, czyli aktualnych tylko przy jednej próbie wejścia do systemu. Nawet podsłuchane stają się natychmiast bezużyteczne.

Nic też nie stoi na przeszkodzie współpracy systemów kontroli dostępu z usługami katalogowymi. Możliwe jest zapisywanie informacji identyfikacyjnej na kartach elektronicznych (smart cards), np. z wykorzystaniem standardu X.509. Tego rodzaju weryfikacje uprawnień użytkowników już wkrótce będą dostępne nawet w najpopularniejszych systemach sieciowych, takich jak NetWare i Windows NT.