Computer Press Agora
Votați pentru noi



AgoraNews  





PC Magazine Ro  




PC Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuții   




Cartea de oaspeți   




Mesaje   





Agora   





!Cariere: anunturi, locuri de munca, oportunitati!

Clic aici
PC Report - ultimul numar aparut


iBiz - PC Magazine Romania, Mai  2001

Public Key Infrastructure (PKI) - cheia pentru un comerț electronic sigur

E-business este deja o realitate care impune organizațiilor revizuirea modului de lucru și implementarea unor sisteme care să permită abordarea în siguranță a comerțului electronic.

S&T România, în calitatea sa de integrator de sisteme, este preocupată să ofere beneficiarilor săi soluțiile optime pentru asigurarea securității informațiilor, prin care oportunitățile de e-business să poată fi folosite la maxim.

Securizarea comunicațiilor în internet poate fi asimilată cu semnarea unei scrisori și trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea scrisorii, iar plicul sigilat îi conferă acesteia confidențialitatea necesară.

Electronic, confidențialitatea se asigură prin criptarea mesajului cu o cheie secretă și un algoritm asociat. Versiunea criptată a mesajului poate fi citită de destinatar numai dacă acesta posedă cheia secretă și algoritmul de criptare.

Problema esențială a majorității aplicațiilor de criptografie este păstrarea secretului acestor chei. Criptografia bazată pe chei publice rezolvă această problemă înlocuind cheia secretă cu o pereche de chei - una privată iar cealaltă publică.

Mesajul criptat prin folosirea cheii publice se poate decripta numai cu cheia privată pereche. Cheile publice pot fi publicate în directoare care facilitează comunicația între oricare individualitate din internet. În plus față de criptare, cheile publice si private pot fi folosite la crearea și verificarea semnăturilor digitale. Aceste semnături se pot adăuga mesajelor, ele autentificând astfel mesajul dar și pe expeditorul său.
Criptografia bazată pe chei publice trebuie însoțită de un set de politici de definire a regulilor sub care sistemele de criptografie pot opera și de un set de proceduri care specifică modalitățile de generare, distribuție și utilizare a cheilor. Pe scurt, este nevoie de o infrastructură, denumită Public Key Infrastructure (PKI), care stabilește cadrul funcțional, bazat pe standarde, pentru o mare varietate de componente, aplicații, politici și practici al căror scop este atingerea celor patru funcționalități principale ale unei tranzacții comerciale:

  • Confidențialitatea - secretizarea informației
  • Integritatea - asigurarea împotriva manipulării frauduloase a informației
  • Autentificarea - verificarea identității unui individ sau a unei aplicații
  • Non-repudierea - asigurarea paternității mesajului

PKI este o combinație de produse hardware și software, politici și proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranță La baza PKI se află certificatele digitale, un fel de pașapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia.

PKI are în componență politici de securitate, practici de utilizare a certificatelor, autorități de certificare, autorități de înregistrare, un sistem de distribuție a certificatelor și aplicații.

Politicile de securitate definesc, la nivel de organizație, direcțiile generale privind securitatea informației, procesele și principiile de utilizare a criptografiei și conțin directive despre modul de manipulare a cheilor și a informațiilor importante.

Practicile de utilizare a certificatelor (Certificate Practice Statement) se materializează într-un document detaliat care conține procedurile operaționale de implementare în practică a politicilor de securitate. De regulă, acest document include definiții despre modalitățile de construire și operare a autorităților de certificare (CA), modalitățile de emitere, acceptare și revocare a certificatelor digitale și modalitățile de generare și stocare a cheilor.

Autoritatea de certificare (Certificate Authority), responsabilă de emiterea de certificate, mapează identitatea utilizatorului/sistemului la o cheie publică cu semnătură digitală, stabilește ciclul de viață al certificatelor emise, asigură revocarea certificatelor dacă este necesar (publicând lista certificatelor revocate - Certificate Revocation List).

Prin implementarea unei infrastructuri PKI, o organizație poate opera cu propria autoritate de certificare sau, după caz, poate apela la serviciile unei autorități de certificare comercială.

Autoritatea de înregistrare (Registration Authority) asigură interfațarea între autoritatea de certificare și utilizator. Ea verifică identitatea utilizatorilor și trimite o cerere de certificare autorizată către CA, pe un canal de comunicație puternic securizat. Calitatea acestei autentificări determină nivelul de încredere care poate fi acordat certificatelor.

Sistemul de distribuție a certificatelor În funcție de structura PKI, certificatele pot fi distribuite de înșiși destinatarii acestora sau folosind un serviciu director.
Aplicațiile sunt, în fapt, beneficiarul infrastructurii PKI. Exemple de aplicații bazate pe infrastructura PKI sunt comunicația între browsere si servere web, poșta electronică, tranzacțiile prin carduri de credit în internet, rețelele virtuale private (Virtual Private Networks).

Implementarea soluțiilor PKI trebuie precedată de evaluarea mai multor aspecte:
Flexibilitatea - Este esențial ca toate componentele unei infrastructuri PKI să se poată interfața ușor. De exemplu, autoritatea de certificare trebuie să se interfațeze cu servicii director deja instalate în organizație, în acest scop utilizându-se interfețe de comunicare standard, cum ar fi LDAP sau X.500 (DAP).

În multe infrastructuri PKI, înregistrarea ,,face-to-face" se cere pentru asigurarea nivelului de încredere corespunzător. Acest lucru nefiind totdeauna posibil, este necesară emiterea de certificate remote via e-mail sau web. Pentru unele implementări la scară mare, certificatele se vor emite automat în ,,batch"-uri - cazul cardurilor de bancă sau a celor de identitate națională.

Susținerea politicii de securitate Autoritatea de certificare trebuie să reflecte și să implementeze politica de securitate a organizației.

Ușurința în utilizare și scalabilitatea Interfața trebuie să fie grafică și intuitivă, ușurând managementul PKI, iar PKI trebuie să fie suficient de versatilă pentru a susține noi aplicații.

Interoperabilitatea și securitatea Cererile de certificate emise de autoritățile de înregistrare (RA) trebuie semnate digital folosind chei de criptare foarte puternice care să facă imposibilă generarea de certificate neautorizate. Toate acțiunile întreprinse de CA sau RA trebuie înregistrate într-o coadă securizată de mesaje, în care fiecare intrare se datează și se semnează pentru a nu putea fi falsificată.
Baltimore UniCERT este cel mai puternic sistem de management al certificatelor digitale și un instrument esențial pentru comerțul electronic. El este utilizat în infrastructurile PKI din întreaga lume pentru securizarea deplină a serviciilor, cum ar fi web-banking, tranzacționarea online, poșta electronică etc.

UniCERT, ca element principal al PKI, permite emiterea de certificate în concordanță cu regulile definite de politicile la nivel de organizație, departament sau subdepartament și dă posibilitatea integrării de noi aplicații, suplimentarea numărului de utilizatori, interoperabilitatea cu organizații partenere etc.

Componentele UniCERT sunt :
Autoritatea de certificare (CA), care semnează și publică certificate și liste de certificate revocate (CRL). CA operează conform unor politici flexibile controlate de operatorul autorității de certificare (CAO). Acesta controlează toate funcțiile de administrare și acordă privilegii altor module UniCERT și altor operatori. Operatorul autorității de înregistrare (RAO) aprobă cererile de certificare și le trimite către CA. Diferiți RAO primesc drepturi de aprobare a cererilor de certificate în concordanță cu politicile repartizate de CAO.

Gateway este un modul a cărui funcționalitate este primirea cererilor de certificate de la dispozitive ,,remote" (E-mail Gateway, Web Gateway, VPN Gateway) și distribuirea certificatelor emise de CA către acestea.

Autoritatea de înregistrare (RA) acționează ca un router între RAO, Gateway și autoritatea de certificare.

Key Archive Server stochează în siguranță cheile private ale utilizatorilor.
Advanced Registration Module (ARM) este un sistem automat de înregistrare ce permite soluțiilor PKI să fie integrate cu baze de date și sisteme de workflow.

De ce este nevoie de PKI?
VPN (Virtual Private Network) și accesul securizat pe web sunt doar câteva domenii unde nevoia de securizare a informației este stringentă. În condițiile unui număr foarte mare de utilizatori securizarea se bazează în întregime pe PKI.
VPN-urile sunt o modalitate ieftină și sigură de asigurare a accesului la rețelele intranet folosind rețele publice, cum ar fi internetul.

Tehnologia VPN oferă securitate la nivel de rețea pentru comunicațiile dintre locațiile diferite ale unei organizații sau pentru comunicația între partenerii de afaceri.

Standardul acceptat pentru VPN este Internet Protocol Security (IPSec), autentificarea acestuia fiind posibilă fie cu certificate digitale, fie cu chei secrete statice. Dintre acestea, certificatele digitale permit scalarea rețelelor VPN incomparabil mai ușor. Adăugarea de utilizatori la VPN se face simplu, cu un certificat digital emis de o autoritate de certificare. Autoritatea de certificare poate fi una comercială, în care organizația dumneavoastră are stabilite relații de încredere, sau poate fi una locală și emite certificatele pe baza unor politici definite în cadrul organizației. Ștergerea unui utilizator se face prin simpla revocare a certificatului.
PKI se dovedește a fi cea mai puternică tehnologie de securizare a informației la ora actuală, ea fiind eligibilă pentru aplicații financiar-bancare, guvernamentale, de comerț electronic, servicii medicale etc.

Baltimore UniCERT, unul dintre produsele PKI de vârf, este la rândul său soluția ideală, flexibilă, scalabilă și robustă, pentru emiterea și gestionarea certificatelor digitale.

Informații suplimentare : S&T România,
tel.: 20.40.300, e-mail: [email protected]; www.snt.ro

cuprins - Supliment Internet Business


PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2001 Computer Press Agora.

[email protected]; ISP: NetSoft Tg. Mures.

Libraria Byblos - cartea prin posta!