Bezpieczeństwo transakcji elektronicznych to ostatnio coraz częściej poruszany temat. Dyskusje nad projektem ustawy o podpisie elektronicznym jeszcze bardziej rozpowszechniły to zagadnienie. Firmy zajmujące się wydawaniem certyfikatów z kluczami szyfrującymi muszą sprostać wielu wymaganiom.
Przeglądając zasoby Internetu dotyczące bezpieczeństwa transakcji elektronicznych, bardzo często można natknąć się na skrót PKI. Mimo że łatwo odszukać rozwinięcie tego skrótu – Public Key Infrastructure (Infrastruktura Klucza Publicznego) – to już o wiele trudniej znaleźć jednoznaczną definicję, czym jest PKI. Najogólniej mówiąc, PKI to infrastruktura niezbędna do świadczenia usług związanych z zarządzaniem certyfikatami kluczy publicznych. Ale po co to wszystko?
Cała ta kryptografia
W CHIP-ie pisaliśmy już parokrotnie o certyfikatach cyfrowych, bezpiecznej wymianie danych przez Sieć, podpisach elektronicznych oraz o szyfrowaniu poczty internetowej (patrz: CHIP 11/2000, str. 212, CHIP 7/2001, str. 146, oraz CHIP 9/2001, str. 224). Wszystkie te zagadnienia mają wspólną cechę. Wiąże się z nimi zastosowanie kryptografii. Szyfrowanie danych oraz tworzenie podpisów cyfrowych w celu elektronicznej wymiany dokumentów stało się nieodzownym elementem prowadzenia nowoczesnego biznesu. Aby jednak móc zastosować w życiu techniki kryptograficzne, należy rozwiązać kilka problemów.
| Centrum Certyfikacji dla ZUS prowadzone przez Unizeto to przykład działającej już implementacji struktury PKI. |  |
Żeby mieć pewność
Przesyłanie papierowych dokumentów opatrzonych tradycyjnymi stemplami i podpisami można zastąpić wymianą elektroniczną. Nowe środki wymagają jednak zastosowania metod gwarantujących co najmniej taki sam stopień zaufania i bezpieczeństwa. Nie jest to już takie proste. Samo zaszyfrowanie dokumentu cyfrowego gwarantuje poufność korespondencji. Ale musimy mieć także pewność, że użyty przez nas do zaszyfrowania przesyłki klucz publiczny odbiorcy rzeczywiście do niego należy.
PGP pozwala na swobodną wymianę kluczy, które wszyscy mogą umieszczać na ogólnie dostępnym serwerze. Po pobraniu stamtąd naszego klucza publicznego każdy może wysłać nam tajną przesyłkę lub zweryfikować nasz podpis cyfrowy. Jednak co z tego, skoro nikt nie ma pewności, że znaleziony w Sieci klucz publiczny nie został tam umieszczony np. przez kogoś, kto próbuje się pod nas podszywać? Można przekazywać sobie klucze bezpośrednio lub polegać na kręgu zaufanych osób (tzw. ring of trust). Jeżeli mamy wzajemną pewność naszej tożsamości, to w porządku. Ale w świecie biznesu muszą komunikować się firmy i ludzie, którzy nigdy wcześniej się nie znali. Zatem nie ma tu miejsca ani czasu na zwykłe zaufanie i na wzajemne poświadczanie. Dlatego konieczne stało się wyłonienie trzeciej strony organizacji odpowiedzialnej za potwierdzanie, że dany klucz rzeczywiście należy do osoby, która się nim posługuje. Strony dokonujące transakcji elektronicznej powinny mieć zaufanie do certyfikatów wydawanych przez tę organizację. W tym celu konieczne stało się ujednolicenie wymagań i przepisów dotyczących certyfikatów, dostawców usług certyfikacyjnych oraz urządzeń służących do generowania i weryfikacji podpisu elektronicznego. Wszystko to składa się na strukturę PKI. Przykładowo: dyrektywa 99/93 Unii Europejskiej ustala minimalne wymagania, jakie muszą spełnić wymienione elementy.
Po nitce do kłębka
Certyfikat to ciąg danych zapisanych na odpowiednim nośniku (np. na dysku komputera w postaci pliku lub na karcie mikroprocesorowej). Istnieje kilka standardów certyfikatów (najpopularniejszy to X. 509), ale wszystkie zawierają takie pola, jak: wersja, numer seryjny, nazwa wydawcy certyfikatu, data ważności, nazwa podmiotu, dla którego certyfikat został wystawiony, jego klucz publiczny oraz podpis cyfrowy organu wydającego certyfikat (Certification Authority, CA). Prawdziwość podpisu można zweryfikować, mając klucz publiczny urzędu certyfikującego. Klucz ten znajduje się z kolei w certyfikacie wystawionym dla tego urzędu przez organ wyższej instancji. Weryfikacja certyfikatu polega zatem na prześledzeniu „ścieżki zaufania”, na której końcu znajduje się główny organ nadrzędny (Root CA). Certyfikat wystawia on sam dla siebie, a wszyscy powinni mieć swobodny dostęp do jego klucza publicznego. Certyfikat może stać się nieważny przed datą jego wygaśnięcia, np. z powodu zmiany nazwiska lub adresu poczty elektronicznej użytkownika bądź też ujawnienia klucza prywatnego.
Przykładem polskiego urzędu, który sam sobie wystawił certyfikat, jest szczecińskie Unizeto Certum. Z kolei warszawski PolCert otrzymał certyfikat od znanego w Europie urzędu nadrzędnego GlobalSign.
—
| Info Polskie urzędy certyfikacyjne http://www.certum.pl http://www.polcert.pl http://www.signet.pl |