iBiz
- PC Magazine Romania, Mai 2001
Public Key Infrastructure (PKI) - cheia pentru un comerț electronic sigur
E-business este deja o realitate care impune organizațiilor revizuirea modului
de lucru și implementarea unor sisteme care să permită abordarea în siguranță
a comerțului electronic.
S&T România, în calitatea sa de integrator de sisteme, este preocupată
să ofere beneficiarilor săi soluțiile optime pentru asigurarea securității informațiilor,
prin care oportunitățile de e-business să poată fi folosite la maxim.
Securizarea comunicațiilor în internet poate fi asimilată cu semnarea unei
scrisori și trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea
scrisorii, iar plicul sigilat îi conferă acesteia confidențialitatea necesară.
Electronic, confidențialitatea se asigură prin criptarea mesajului cu o cheie
secretă și un algoritm asociat. Versiunea criptată a mesajului poate fi citită
de destinatar numai dacă acesta posedă cheia secretă și algoritmul de criptare.
Problema esențială a majorității aplicațiilor de criptografie este păstrarea
secretului acestor chei. Criptografia bazată pe chei publice rezolvă această
problemă înlocuind cheia secretă cu o pereche de chei - una privată iar cealaltă
publică.
Mesajul criptat prin folosirea cheii publice se poate decripta numai cu cheia
privată pereche. Cheile publice pot fi publicate în directoare care facilitează
comunicația între oricare individualitate din internet. În plus față de criptare,
cheile publice si private pot fi folosite la crearea și verificarea semnăturilor
digitale. Aceste semnături se pot adăuga mesajelor, ele autentificând astfel
mesajul dar și pe expeditorul său.
Criptografia bazată pe chei publice trebuie însoțită de un set de politici de
definire a regulilor sub care sistemele de criptografie pot opera și de un set
de proceduri care specifică modalitățile de generare, distribuție și utilizare
a cheilor. Pe scurt, este nevoie de o infrastructură, denumită Public Key Infrastructure
(PKI), care stabilește cadrul funcțional, bazat pe standarde, pentru o mare
varietate de componente, aplicații, politici și practici al căror scop este
atingerea celor patru funcționalități principale ale unei tranzacții comerciale:
- Confidențialitatea - secretizarea informației
- Integritatea - asigurarea împotriva manipulării frauduloase a informației
- Autentificarea - verificarea identității unui individ sau a unei aplicații
- Non-repudierea - asigurarea paternității mesajului
PKI este o combinație de produse hardware și software, politici și proceduri
care asigură securitatea de bază necesară astfel încât doi utilizatori, care
nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în
siguranță La baza PKI se află certificatele digitale, un fel de pașapoarte electronice
ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia.
PKI are în componență politici de securitate, practici de utilizare a certificatelor,
autorități de certificare, autorități de înregistrare, un sistem de distribuție
a certificatelor și aplicații.
Politicile de securitate definesc, la nivel de organizație, direcțiile generale
privind securitatea informației, procesele și principiile de utilizare a criptografiei
și conțin directive despre modul de manipulare a cheilor și a informațiilor
importante.
Practicile de utilizare a certificatelor (Certificate Practice Statement) se
materializează într-un document detaliat care conține procedurile operaționale
de implementare în practică a politicilor de securitate. De regulă, acest document
include definiții despre modalitățile de construire și operare a autorităților
de certificare (CA), modalitățile de emitere, acceptare și revocare a certificatelor
digitale și modalitățile de generare și stocare a cheilor.
Autoritatea de certificare (Certificate Authority), responsabilă de emiterea
de certificate, mapează identitatea utilizatorului/sistemului la o cheie publică
cu semnătură digitală, stabilește ciclul de viață al certificatelor emise, asigură
revocarea certificatelor dacă este necesar (publicând lista certificatelor revocate
- Certificate Revocation List).
Prin implementarea unei infrastructuri PKI, o organizație poate opera cu propria
autoritate de certificare sau, după caz, poate apela la serviciile unei autorități
de certificare comercială.
Autoritatea de înregistrare (Registration Authority) asigură interfațarea între
autoritatea de certificare și utilizator. Ea verifică identitatea utilizatorilor
și trimite o cerere de certificare autorizată către CA, pe un canal de comunicație
puternic securizat. Calitatea acestei autentificări determină nivelul de încredere
care poate fi acordat certificatelor.
Sistemul de distribuție a certificatelor În funcție de structura PKI, certificatele
pot fi distribuite de înșiși destinatarii acestora sau folosind un serviciu
director.
Aplicațiile sunt, în fapt, beneficiarul infrastructurii PKI. Exemple de aplicații
bazate pe infrastructura PKI sunt comunicația între browsere si servere web,
poșta electronică, tranzacțiile prin carduri de credit în internet, rețelele
virtuale private (Virtual Private Networks).
Implementarea soluțiilor PKI trebuie precedată de evaluarea mai multor aspecte:
Flexibilitatea - Este esențial ca toate componentele unei infrastructuri PKI
să se poată interfața ușor. De exemplu, autoritatea de certificare trebuie să
se interfațeze cu servicii director deja instalate în organizație, în acest
scop utilizându-se interfețe de comunicare standard, cum ar fi LDAP sau X.500
(DAP).
În multe infrastructuri PKI, înregistrarea ,,face-to-face" se cere pentru asigurarea
nivelului de încredere corespunzător. Acest lucru nefiind totdeauna posibil,
este necesară emiterea de certificate remote via e-mail sau web. Pentru unele
implementări la scară mare, certificatele se vor emite automat în ,,batch"-uri
- cazul cardurilor de bancă sau a celor de identitate națională.
Susținerea politicii de securitate Autoritatea de certificare trebuie să reflecte
și să implementeze politica de securitate a organizației.
Ușurința în utilizare și scalabilitatea Interfața trebuie să fie grafică și
intuitivă, ușurând managementul PKI, iar PKI trebuie să fie suficient de versatilă
pentru a susține noi aplicații.
Interoperabilitatea și securitatea Cererile de certificate emise de autoritățile
de înregistrare (RA) trebuie semnate digital folosind chei de criptare foarte
puternice care să facă imposibilă generarea de certificate neautorizate. Toate
acțiunile întreprinse de CA sau RA trebuie înregistrate într-o coadă securizată
de mesaje, în care fiecare intrare se datează și se semnează pentru a nu putea
fi falsificată.
Baltimore UniCERT este cel mai puternic sistem de management al certificatelor
digitale și un instrument esențial pentru comerțul electronic. El este utilizat
în infrastructurile PKI din întreaga lume pentru securizarea deplină a serviciilor,
cum ar fi web-banking, tranzacționarea online, poșta electronică etc.
UniCERT, ca element principal al PKI, permite emiterea de certificate în concordanță
cu regulile definite de politicile la nivel de organizație, departament sau
subdepartament și dă posibilitatea integrării de noi aplicații, suplimentarea
numărului de utilizatori, interoperabilitatea cu organizații partenere etc.
Componentele UniCERT sunt :
Autoritatea de certificare (CA), care semnează și publică certificate și liste
de certificate revocate (CRL). CA operează conform unor politici flexibile controlate
de operatorul autorității de certificare (CAO). Acesta controlează toate funcțiile
de administrare și acordă privilegii altor module UniCERT și altor operatori.
Operatorul autorității de înregistrare (RAO) aprobă cererile de certificare
și le trimite către CA. Diferiți RAO primesc drepturi de aprobare a cererilor
de certificate în concordanță cu politicile repartizate de CAO.
Gateway este un modul a cărui funcționalitate este primirea cererilor de certificate
de la dispozitive ,,remote" (E-mail Gateway, Web Gateway, VPN Gateway) și distribuirea
certificatelor emise de CA către acestea.
Autoritatea de înregistrare (RA) acționează ca un router între RAO, Gateway
și autoritatea de certificare.
Key Archive Server stochează în siguranță cheile private ale utilizatorilor.
Advanced Registration Module (ARM) este un sistem automat de înregistrare ce
permite soluțiilor PKI să fie integrate cu baze de date și sisteme de workflow.
De ce este nevoie de PKI?
VPN (Virtual Private Network) și accesul securizat pe web sunt doar câteva domenii
unde nevoia de securizare a informației este stringentă. În condițiile unui
număr foarte mare de utilizatori securizarea se bazează în întregime pe PKI.
VPN-urile sunt o modalitate ieftină și sigură de asigurare a accesului la rețelele
intranet folosind rețele publice, cum ar fi internetul.
Tehnologia VPN oferă securitate la nivel de rețea pentru comunicațiile dintre
locațiile diferite ale unei organizații sau pentru comunicația între partenerii
de afaceri.
Standardul acceptat pentru VPN este Internet Protocol Security (IPSec), autentificarea
acestuia fiind posibilă fie cu certificate digitale, fie cu chei secrete statice.
Dintre acestea, certificatele digitale permit scalarea rețelelor VPN incomparabil
mai ușor. Adăugarea de utilizatori la VPN se face simplu, cu un certificat digital
emis de o autoritate de certificare. Autoritatea de certificare poate fi una
comercială, în care organizația dumneavoastră are stabilite relații de încredere,
sau poate fi una locală și emite certificatele pe baza unor politici definite
în cadrul organizației. Ștergerea unui utilizator se face prin simpla revocare
a certificatului.
PKI se dovedește a fi cea mai puternică tehnologie de securizare a informației
la ora actuală, ea fiind eligibilă pentru aplicații financiar-bancare, guvernamentale,
de comerț electronic, servicii medicale etc.
Baltimore UniCERT, unul dintre produsele PKI de vârf, este la rândul său soluția
ideală, flexibilă, scalabilă și robustă, pentru emiterea și gestionarea certificatelor
digitale.
Informații suplimentare : S&T România,
tel.: 20.40.300, e-mail: [email protected]; www.snt.ro
cuprins
- Supliment Internet Business
|