Pc Magazine Romania - Securitatea ca mod de viaţă

AgoraNews

PC Magazine Ro

NET Report

Ginfo

agora ON line

PC Concrete

Liste de discuţii

Cartea de oaspeţi

Mesaje

Agora

Clic aici

Cover Story - PC Magazine Romania, Aprilie 2002

Asigurarea confidenţialităţii mesajelor

Securitatea ca mod de viaţă
Piaţa securităţii TI: prezent şi perspective
Soluţii de securitate
Sunteţi în siguranţă? Cum puteţi afla?
Panaceum universal sau soluţii de securitate personalizate?
Siguranţa afacerilor online
Asigurarea confidenţialităţii mesajelor
Symantec & Cypherix
Familia de produse BitDefender

Securizarea comunicaţiilor în internet poate fi asimilată cu semnarea unei scrisori şi trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea scrisorii, iar plicul sigilat îi conferă acesteia confidenţialitatea necesară.

Electronic, confidenţialitatea se asigură prin criptarea mesajului cu o cheie secretă şi un algoritm asociat. Versiunea criptată a mesajului poate fi citită de destinatar numai dacă acesta posedă cheia secretă şi algoritmul de criptare.

Problema esenţială a majorităţii aplicaţiilor de criptografie este păstrarea secretului acestor chei. Criptografia bazată pe chei publice rezolvă această problemă înlocuind cheia secretă cu o pereche de chei - una privată iar cealaltă publică.

Mesajul criptat prin folosirea cheii publice se poate decripta cu cheia privată pereche. Cheile publice pot fi publicate în directoare care facilitează comunicaţia între oricare individualitate din internet. În plus faţă de criptare, cheile publice şi private pot fi folosite la crearea şi verificarea semnăturilor digitale. Aceste semnături se pot adăuga mesajelor, ele autentificând astfel mesajul dar şi expeditorul acestuia.

INFRASTRUCTURA PKI
Criptografia bazată pe chei publice trebuie însoţită de un set de politici de definire a regulilor sub care sistemele de criptografie pot opera şi de un set de proceduri prin care se specifică modalităţie de generare, distribuţie şi utilizare a cheilor. Pe scurt, este nevoie de o infrastructură denumită Public Key Infrastructure (PKI), care stabileşte cadrul funcţional, bazat pe standarde, pentru o mare varietate de componente, aplicaţii, politici şi practici al căror scop este atingerea celor patru funcţionalităţi principale ale unei tranzacţii comerciale:

Confidenţialitatea - secretizarea informaţiei
Integritatea - asigurarea împotriva manipulării frauduloase a informaţiei
Autentificarea - verificarea identităţii unui individ sau a unei aplicaţii
Non-repudierea - asigurarea paternităţii mesajului

PKI este o combinaţie de produse harware şi software, politici şi proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranţă. La baza PKI se află certificatele digitale, un fel de paşapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia.

PKI are în componenţă politici de securitate, practici de utilizare a certificatelor, autorităţi de certificare, autorităţi de înregistrare, un sistem de distribuţie a certificatelor şi aplicaţii.

Politicile de securitate definesc, la nivel de organizaţie, direcţiile generale privind securitatea informaţiei, procesele şi pricipiile de utilizare a criptografiei şi conţin directive despre modul de manipulare a cheilor şi a informaţiilor importante.

Practicile de utilizare a certificatelor (Certificate Practice Statement) se materializează într-un document detaliat care conţine procedurile operaţionale de implementare în practică a politicilor de securitate. De regulă, acest document include definiţii despre modalităţile de construire şi operare a autorităţilor de certificare (CA), modalităţile de emitere, acceptare şi revocare a certificatelor digitale şi modalităţile de generare şi stocare a cheilor.

Autoritatea de certificare (Certificate Authority), responsabilă de emiterea de certificate, mapează identitatea utilizatorului/sistemului la o cheie publică cu semnătură digitală, stabileşte ciclul de viaţă al certificatelor emise, asigură revocarea certificatelor dacă este necesar (publicând lista de certificate revocate - Certificate Revocation List).

Prin implementarea unei infrastructuri PKI, o organizaţie poate opera cu propria autoritate de certificare sau, după caz, poate apela la serviciile unei autorităţi de certificare comercială.

Autoritatea de înregistrare (Registration Authority) asigură interfaţarea între autoritatea de certificare şi utilizator. Ea verifică identitatea utilizatorilor şi trimite o cerere de certificare autorizată către CA, pe un canal puternic securizat. Calitatea acestei autentificări determină nivelul de încredere care poate fi acordat certificatelor.

Sistemul de distribuţie a certificatelor. În funcţie de structura PKI, certificatele pot fi distribuite de înşişi deţinătorii acestora sau folosind un serviciu director.

Aplicaţiile sunt, în fapt, beneficiarul infrastructurii PKI. Exemple de aplicaţii bazate pe infrastructura PKI sunt: comunicaţia între browsere şi servere web, poşta electronică, tranzacţiile prin carduri de credit în internet, reţele virtuale private (Virtual Private Networks)
Este esenţial ca toate componentele unei infrastructuri PKI să se poată interfaţa uşor. De exemplu, autoritatea de certificare trebuie să se interfaţeze cu servicii director deja instalate în organizaţie, în acest scop folosindu-se interfeţe de comunicare standard, cum ar fi LDAP sau X.500 (DAP). În multe infrastructuri PKI, înregistrarea "face-to-face" se cere pentru asigurarea nivelului de încredere corespunzător. Acest lucru nefiind totdeauna posibil, este necesară emiterea de certificate remote via e-mail sau web. Pentru unele implementări la scară mare, certificatele se vor emite automat în "batch"-uri - cazul cardurilor de bancă sau a celor de identitate naţională. În asemenea condiţii, PKI necesită flexibilitatea procesului automatizat de înregistrare conectat la baza de date pentru carduri.

FURNIZORI PKI
Securitatea autorităţii de certificare este de importanţă maximă. Dacă ea este compromisă, atunci întreaga soluţie PKI este pusă în pericol. Cererile de certificate emise de autorităţile de înregistrare (RA) trebuie semnate digital folosind algoritmi şi chei de criptare foarte puternici care să facă imposibilă generarea de certificate neautorizate. Toate acţiunile întreprinse de CA sau RA trebuie înregistrate într-o coadă securizată de mesaje, în care fiecare intrare se datează şi se semnează pentru a nu putea fi falsificată.

Baltimore UniCERT este unul dintre cele mai puternice sisteme de management al certificatelor digitale. El este utilizat în infrastructurile PKI din întreaga lume pentru securizarea serviciilor, cum ar fi web-banking, tranzacţionarea online, poşta electronică etc.
Diferitele procese de business necesită şi nivele de securitate diferite. O tranzacţie între două bănci, de exemplu, necesită un nivel de securizare mult mai ridicat decât un simplu mesaj transmis prin poşta electronică. UniCERT ca element principal al PKI permite emiterea de certificate în concordanţă cu regulile definite de politicile la nivel de organizatie, departament sau subdepartament.

Componentele UniCERT sunt :

Autoritatea de certificare (CA) care semnează şi publică certificate şi liste de certificate revocate (CRL). CA operează conform unor politici flexibile controlate de operatorul autorităţii de certificare (CAO). Acesta controlează toate funcţiile de administrare şi acordă privilegii altor module UniCERT şi altor operatori. Operatorul autorităţii de înregistrare (RAO) aprobă cererile de certificare şi le trimite către CA. Diferiţi RAO primesc drepturi de aprobare a cererilor de certificate în concordanţă cu politicile repartizate de CAO.

Gateway este un modul a cărui funcţionalitate este de a primi cereri de certificate de la dispozitive "remote" (E-mail Gateway, Web Gateway, VPN Gateway) şi distribuirea certificatelor emise de CA către acestea.

Autoritatea de înregistrare (RA) acţionează ca un router între RAO, Gateway şi autoritatea de certificare.

Key Archive Server stochează în siguranţă cheile private ale utilizatorilor.

Advanced Registration Module (ARM) este un sistem automat de inregistrare ce permite soluţiilor PKI să fie integrate cu baze de date şi sisteme de workflow.

Entrust, la fel ca Baltimore, este un furnizor de tehnologie PKI având o poziţie puternică pe piaţa sistemelor de tip "enterprise", în special cu forumurile financiare. Infrastructura Entrust/PKI este dezvoltată în vederea utilizării standardelor X509, PKIX, S/MIME, LDAP, PKCS #7/10 şi PKCS #11. Entrust/PKI este capabil să emită şi să mapeze certificate web, certificate VPN, certificate SET, furnizând atât o administrare centralizată cât şi caracteristici de securitate complet integrate în aplicaţii. Adiţional, infrastructura promovează servicii de criptografie "day-to-day" la nivel de "end-user" prin aplicaţia Entrust/Entelligence. Combinaţia Entrust/PKI şi Entrust/Entelligence furnizează o soluţie de securitate clară, conţinând un set complet al mecanismelor de management.

Pentru infrastructura Entrust/PKI se pot delimita următoarele noi servicii:

Entrust/Entelligence - furnizează operaţii de criptografie "day-to-day"
Flexible Certificates - extensie X 509 v3 ce permite customizarea certificatelor în vederea definirii de noi câmpuri pentru a păstra informaţie utilă
Centrally Managed Password Rules - facilitează servicii de configurare pentru definirea regulilor de parolare (pentru utilizatori).
Single Login - într-o infrastructură PKI este obligatorie şi suficientă o singură operaţie de "login" pentru toate aplicaţiile ce utilizeză infrastructura.
Anti-Virus Software Support
Enhanced Reporting Services - abilitate de design flexibil şi customizabil de rapoarte pe activitatea cheilor şi certificatelor din infrastructură.

Infrastructura Entrust/PKI permite unei companii să cripteze, să semneze digital şi să autentifice electronic tranzacţiile din aplicaţii, într-un mediu heterogen.

DE CE ESTE NEVOIE DE PKI?
VPN şi accesul securizat pe web sunt doar câteva domenii unde nevoia de securizare a informaţiei este stringentă. În condiţiile unui număr foarte mare de utilizatori, securizarea se bazează în întregime pe PKI.

VPN-urile sunt o modalitate ieftină şi sigură de asigurare a accesului la reţelele intranet folosind reţele publice, cum ar fi internetul. Tehnologia VPN oferă securitate la nivel de reţea pentru comunicaţiile dintre locaţiile diferite ale unei organizaţii sau pentru comunicaţia între partenerii de afaceri. Standardul acceptat pentru VPN este Internet Protocol Security (IPSec). Autentificarea acestuia este posibilă fie cu certificate digitale, fie cu chei secrete statice. Este evident că autentificarea bazată pe chei secrete se pretează numai în cazurile în care comunicarea este limitată la un număr redus de utilizatori. Menţinerea acestui tip de autentificare pentru mai multe dispozitive VPN se va dovedi a fi extrem de greoaie mai ales pentru simplul fapt că aceste chei trebuie distribuite manual. Certificatele digitale permit scalarea reţelelor VPN incomparabil mai uşor. Adăugarea de utilizatori la VPN se face simplu, cu un certificat digital emis de o autoritate de certificare. Autoritatea de certificare poate fi una comercială, în care organizaţia dumneavoastră are stabilite relaţii de încredere, sau poate fi una locală şi emite certificatele pe baza unor politici definite în cadrul organizaţiei. Ştergerea unui utilizator se face prin simpla revocare a certificatului.

PKI se dovedeşte a fi cea mai puternică tehnologie de securizare a informaţiei la ora actuală, ea fiind eligibilă pentru aplicaţii financiar-bancare, guvernamentale, de comerţ electronic, pentru securizarea celor mai importante tranzacţii.

Detalii despre soluţiile prezentate pot fi obţinute de la S&T România, www.snt.ro .