Revista si suplimente
MarketWatch
Inapoi Inainte

Tehnologia PKI - „cheia“ integrităţii informaţiei

16 Noiembrie 2007



Revoluţia comunicaţiilor la care asistăm cu toţii în acest început de mileniu a luat o adevărată amploare în ultimul timp, dar (din nefericire) fără a acorda prea mare importanţă necesităţii tot mai mari de protecţie a informaţiei, care este vehiculată prin aceste canale de comunicaţie. Protocolul TCP/IP, ce stă la baza acestei revoluţii, a facilitat dezvoltarea rapidă a multor aplicaţii din domeniu, însă ideea de securitate a avut, de cele mai multe ori, de suferit, fiind câteodată un obstacol în realizarea unor noi metode de comunicaţie. Totuşi, ameninţările din Internet, în creştere la adresa securităţii informaţiilor, au „forţat“ cele două direcţii (comunicaţiile şi securitatea informaţiei) să găsească un numitor comun. Acesta s-a numit tehnolgia PKI.


Un pic de istorie
Securizarea comunicaţiilor în Internet poate fi asemănată cu semnarea unei scrisori şi trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea scrisorii, iar plicul sigilat îi conferă acesteia confidenţialitatea necesară. Aceasta a fost ideea care a stat la baza creării tehnologiei PKI. Prima invenţie în domeniul criptografiei asimetrice (algoritmilor cheilor asimetrice) au făcut-o James H. Ellis, Clifford Cocks şi Malcolm Williamson la Government Communications Headquarters (GCHQ), în UK, pe la începutul anilor ’70. Criptografii GCHQ se refereau la tehnica aceasta ca la o „encriptare nesecretă“. Aceste invenţii nu au fost dezvăluite public la vremea aceea, iar dezvoltarea lor ulterioară a fost ţinută secretă până în anul 1997. Un criptosistem bazat pe chei asimetrice a fost publicat în 1976 de către Whitfield Diffie şi Martin Hellman care, influenţaţi de munca lui Ralph Merkle asupra distribuirii cheilor publice, au făcut cunoscută o metodă de schimbare a cheilor publice. Această metodă, care a ajuns să fie cunoscută ca „Diffie-Hellman key exchange“, a fost prima metodă practică publicată de stabilire a unei chei secrete care putea să fie share-uită de-a lungul unui canal neprotejat de comunicaţii, fără folosirea apriori a unui cod secret. O generalizare a metodei Cocks a fost reinventată în anul 1977 de către Ron Rivest, Adi Shamir şi Leonard Adleman, care lucrau pe atunci la Massachusetts Institute of Technology (MIT). Aceştia şi-au publicat lucrarea în anul 1978, iar algoritmul a devenit cunoscut ca RSA. Era începutul dezvoltării tehnologiei PKI. Odată cu dezvoltarea tot mai rapidă a comunicaţiilor electronice digitale de mare viteză (Internetul şi predecesorii săi), o altă necesitate a devenit evidentă; aceasta ţinea de modurile de comunicare sigură între utilizatori şi, mai ales, de cele cu privire la felul în care utilizatorii să poată fi siguri de cei cu care interacţionau. Astfel a fost dezvoltată în domeniul criptografiei cheilor publice o largă varietate de encriptări, semnături digitale şi alte tehnici.


Modelul PKI
În acest model, confidenţialitatea informaţiilor este asigurată prin criptarea mesajului cu o cheie secretă şi un algoritm asociat. Versiunea criptată a mesajului poate fi citită de destinatar numai dacă acesta posedă cheia secretă şi algoritmul de criptare. Problema esenţială a majorităţii aplicaţiilor de criptografie a fost păstrarea secretului acestor chei. Modelul PKI, care utilizează criptografia asimetrică bazată pe chei publice, rezolvă această problemă, înlocuind cheia secretă cu o pereche de chei - una privată, iar cealaltă publică. Modelul PKI este o combinaţie de produse hardware şi software, politici şi proceduri, care asigură securitatea necesară, astfel încât doi utilizatori care nu se cunosc sau se află în puncte diferite de pe glob să poată comunica în siguranţă. Un sistem PKI se constituie, de obicei, din una sau mai multe autorităţi de certificare (CA), un „container“ cu certificate şi documentaţia ce include politica de certificare, la bază aflându-se certificatele digitale, un fel de paşapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia. Într-un sens mai larg, se poate spune că PKI integrează certificatele digitale, criptografia cu cheie publică şi noţiunea de autoritate de certificare într-o arhitectură de securitate a reţelei. Majoritatea sistemelor PKI de nivel corporativ se bazează pe lanţuri de certificate pentru a stabili identitatea unei părţi, deoarece este posibil ca un certificat să fi fost emis de către o autoritate de certificare, iar „legitimitatea“ sa să fi fost stabilită în aceste scopuri printr-un certificat emis de către o altă autoritate de certificare de nivel mai înalt, şi aşa mai departe. Acest lucru are ca rezultat o ierarhie de certificare. De asemenea, standardele sunt critice pentru sistemele PKI, iar standardele publice sunt critice pentru PKI-urile destinate unor operaţii vaste. Cea mai mare parte a standardizării în acest domeniu este făcută de către grupul Internet Engineering Task Force (IETF). Sistemele PKI de nivel corporativ sunt de cele mai multe ori încadrate într-un registru al organizaţiei, în care cheia publică a fiecărui angajat este stocată (într-un certificat) împreună cu alte detalii personale despre acesta (număr de telefon, adresă de email, locaţie, departament, etc). Tehnologia actuală lideră de piaţă este Lightweight Directory Access Protocol (LDAP) şi formatul de certificat cel mai des întâlnit este X.509.


PKI - funcţionare
Din punct de vedere funcţional, PKI stabileşte cadrul funcţional bazat pe standarde pentru o mare varietate de componente, aplicaţii, politici şi practici, al căror scop este atingerea celor patru funcţionalităţi principale ale unei tranzacţii comerciale:
• Confidenţialitatea - menţinerea caracterului privat al informaţiei (secretizarea informaţiei) este realizată cu ajutorul procesului de criptare. Folosirea cheii publice dintr-un certificat pentru stabilirea unui canal de comunicaţie criptat are ca rezultat faptul că doar entitatea menţionată în certificat (cea care este şi deţinătoarea cheii private) va fi capabilă să decripteze mesajele criptate.
• Autentificarea - dovada identităţii celui ce transmite mesajul (verificarea identităţii unui individ sau a unei aplicaţii) este realizată cu ajutorul semnăturilor digitale.
• Integritatea - dovada că respectiva informaţie nu a fost modificată (asigurarea împotriva manipulării frauduloase a informaţiei) este obţinută tot prin intermediul semnăturilor digitale. Verificarea cu succes a semnăturii (operaţie efectuată cu ajutorul cheii publice), duce la concluzia că datele nu au fost modificate ulterior procesului de semnare.
• Non-repudierea datelor - siguranţa că cel ce generează mesajul nu poate să-l denigreze mai târziu (asigurarea paternităţii mesajului) - este asigurată prin intermediul semnăturilor digitale, presupunând că posesorul certificatului este singura entitate care cunoaşte cheia privată.


Teodor Niţu


Funcţiile realizate cu ajutorul PKI
Înregistrarea: este un proces în care cel ce doreşte să obţină un certificat de la CA îşi prezintă atributele sale. Acestea sunt verificate, după care se eliberează certificatul.
Certificarea: este procesul în care CA eliberează subiectului certificatul ce conţine cheia publică, iar apoi îl depune într-un depozit public.
Generarea Cheilor: în multe cazuri, subiectul generează o pereche de chei în mediul său, înainte de a transmite cheia publică la CA pentru certificare. Dacă CA răspunde pentru generarea cheilor, acestea sunt oferite subiectului ca un fişier criptat sau token fizic, asemeni unui smartcard.
Recuperarea Cheilor: în unele implementări, PKI necesită ca toate cheile schimbate şi/sau criptate să fie depuse într-un depozit securizat. Ele sunt recuperabile dacă subiectul pierde cheia, acest lucru revenind lui CA sau sistemului de recuperare.
Actualizarea Cheilor: toate cheile perechi şi certificatele lor asociate trebuie actualizate la un interval regulat.
Certificarea încrucişată: permite utilizatorilor dintr-un domeniu administrativ să utilizeze certificate generate de un CA operaţional în alt domeniu.
Revocarea: apare în momentul expirării perioadei de validitate, care poate apărea când: subiectul îşi schimbă numele, angajatul părăseşte compania, cheia privată este compromisă.


Avantajele PKI
Iată câteva dintre avantajele imediate pe care le aduce o implementare a unei infrastructuri PKI la nivel organizaţional:
Securitatea e-mail-ului
Prin folosirea unui PKI, expunerea unor informaţii confidenţiale şi posibilitatea substituirii autorului unui mesaj sau chiar alterarea voită a conţinutului mesajului este înlăturată.
Sistem de administrare a documentelor şi semnătură digitală
Se vor diminua dificultăţile în prelucrarea şi arhivarea unui volum mare de documente, cât şi non-repudierea acestora.
Securitatea aplicaţiilor Intranet şi Extranet
Indiferent dacă modul de comunicaţie se referă la relaţia cu proprii angajaţi şi procesele interne ale organizaţiei (aplicaţii Intranet), sau sprijină interacţiunea cu partenerii şi clienţii (aplicaţii Extranet), folosirea unui sistem PKI în aceste interacţiuni creşte semnificativ securitatea informaţiilor vehiculate.
Criptarea datelor şi a documentelor
Păstrarea confidenţialităţii şi integrităţii acestora îmbracă numeroase aspecte, care se referă atât la autentificarea accesului, cât şi la criptarea lor, astfel încât să nu poată fi utilizate în cazul unui acces neautorizat.
Autentificare la nivelul sistemului de operare şi al aplicaţiilor
Folosirea certificatului digital stocat pe smartcard contribuie nu numai la creşterea gradului de siguranţă, dar şi la o utilizare mai facilă, prin folosirea unui mijloc unic de autentificare pentru toate aplicaţiile folosite.


PKI Software
Microsoft: Windows 2000 Server şi Server 2003 conţin un software CA care este integrat în Active Directory. Nu se percep costuri adiţionale pentru licenţă.
CoSign – Semnătură digitală împreună cu un software CA. Soluţia generează automat certificate digitale pentru utilizatorii din „user directory“.
Linux: Linux suportă OpenSSL şi OpenCA, care sunt două soluţii CA open source. NEWPKI: Software gratis care generează şi controlează Users Public Keys.
Novell: Oferă Novell Certificate Server, care este integrat în eDirectory.
Entrust: Entrust Authority este cel mai popular produs dintre soluţiile CA care nu sunt „free“. Entrust oferă software PKI şi o opţiune de service managerizată.
CyberTrust: Numele produsului este TrustedCA.
RSA Security: Soluţia CA Keon este, de asemenea, foarte populară.
OpenWebPKI: Proiect open source PKI Web GUI.
Red Hat Certificate System: Cândva Netscape Certificate Server, în prezent (nu încă Open Source) software de la Red Hat.
ChosenSecurity: Oferă un PKI managerizat pentru organizaţie, utilizând tehnologie TC TrustCenter.
IdenTrust: Oferă un PKI managerizat pentru comunitatea bancară.



Parerea ta conteaza:

(0/5, 0 voturi)

Lasa un comentariu



trimite