iBiz - PC Magazine Romania, Mai  2001

Public Key Infrastructure (PKI) - cheia pentru un comerţ electronic sigur

E-business este deja o realitate care impune organizaţiilor revizuirea modului de lucru şi implementarea unor sisteme care să permită abordarea în siguranţă a comerţului electronic.

S&T România, în calitatea sa de integrator de sisteme, este preocupată să ofere beneficiarilor săi soluţiile optime pentru asigurarea securităţii informaţiilor, prin care oportunităţile de e-business să poată fi folosite la maxim.

Securizarea comunicaţiilor în internet poate fi asimilată cu semnarea unei scrisori şi trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea scrisorii, iar plicul sigilat îi conferă acesteia confidenţialitatea necesară.

Electronic, confidenţialitatea se asigură prin criptarea mesajului cu o cheie secretă şi un algoritm asociat. Versiunea criptată a mesajului poate fi citită de destinatar numai dacă acesta posedă cheia secretă şi algoritmul de criptare.

Problema esenţială a majorităţii aplicaţiilor de criptografie este păstrarea secretului acestor chei. Criptografia bazată pe chei publice rezolvă această problemă înlocuind cheia secretă cu o pereche de chei - una privată iar cealaltă publică.

Mesajul criptat prin folosirea cheii publice se poate decripta numai cu cheia privată pereche. Cheile publice pot fi publicate în directoare care facilitează comunicaţia între oricare individualitate din internet. În plus faţă de criptare, cheile publice si private pot fi folosite la crearea şi verificarea semnăturilor digitale. Aceste semnături se pot adăuga mesajelor, ele autentificând astfel mesajul dar şi pe expeditorul său.
Criptografia bazată pe chei publice trebuie însoţită de un set de politici de definire a regulilor sub care sistemele de criptografie pot opera şi de un set de proceduri care specifică modalităţile de generare, distribuţie şi utilizare a cheilor. Pe scurt, este nevoie de o infrastructură, denumită Public Key Infrastructure (PKI), care stabileşte cadrul funcţional, bazat pe standarde, pentru o mare varietate de componente, aplicaţii, politici şi practici al căror scop este atingerea celor patru funcţionalităţi principale ale unei tranzacţii comerciale:

• Confidenţialitatea - secretizarea informaţiei
  
• Integritatea - asigurarea împotriva manipulării frauduloase a informaţiei
  
• Autentificarea - verificarea identităţii unui individ sau a unei aplicaţii
  
• Non-repudierea - asigurarea paternităţii mesajului
  

PKI este o combinaţie de produse hardware şi software, politici şi proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranţă La baza PKI se află certificatele digitale, un fel de paşapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia.

PKI are în componenţă politici de securitate, practici de utilizare a certificatelor, autorităţi de certificare, autorităţi de înregistrare, un sistem de distribuţie a certificatelor şi aplicaţii.

Politicile de securitate definesc, la nivel de organizaţie, direcţiile generale privind securitatea informaţiei, procesele şi principiile de utilizare a criptografiei şi conţin directive despre modul de manipulare a cheilor şi a informaţiilor importante.

Practicile de utilizare a certificatelor (Certificate Practice Statement) se materializează într-un document detaliat care conţine procedurile operaţionale de implementare în practică a politicilor de securitate. De regulă, acest document include definiţii despre modalităţile de construire şi operare a autorităţilor de certificare (CA), modalităţile de emitere, acceptare şi revocare a certificatelor digitale şi modalităţile de generare şi stocare a cheilor.

Autoritatea de certificare (Certificate Authority), responsabilă de emiterea de certificate, mapează identitatea utilizatorului/sistemului la o cheie publică cu semnătură digitală, stabileşte ciclul de viaţă al certificatelor emise, asigură revocarea certificatelor dacă este necesar (publicând lista certificatelor revocate - Certificate Revocation List).

Prin implementarea unei infrastructuri PKI, o organizaţie poate opera cu propria autoritate de certificare sau, după caz, poate apela la serviciile unei autorităţi de certificare comercială.

Autoritatea de înregistrare (Registration Authority) asigură interfaţarea între autoritatea de certificare şi utilizator. Ea verifică identitatea utilizatorilor şi trimite o cerere de certificare autorizată către CA, pe un canal de comunicaţie puternic securizat. Calitatea acestei autentificări determină nivelul de încredere care poate fi acordat certificatelor.

Sistemul de distribuţie a certificatelor În funcţie de structura PKI, certificatele pot fi distribuite de înşişi destinatarii acestora sau folosind un serviciu director.
Aplicaţiile sunt, în fapt, beneficiarul infrastructurii PKI. Exemple de aplicaţii bazate pe infrastructura PKI sunt comunicaţia între browsere si servere web, poşta electronică, tranzacţiile prin carduri de credit în internet, reţelele virtuale private (Virtual Private Networks).

Implementarea soluţiilor PKI trebuie precedată de evaluarea mai multor aspecte:
Flexibilitatea - Este esenţial ca toate componentele unei infrastructuri PKI să se poată interfaţa uşor. De exemplu, autoritatea de certificare trebuie să se interfaţeze cu servicii director deja instalate în organizaţie, în acest scop utilizându-se interfeţe de comunicare standard, cum ar fi LDAP sau X.500 (DAP).

În multe infrastructuri PKI, înregistrarea ,,face-to-face" se cere pentru asigurarea nivelului de încredere corespunzător. Acest lucru nefiind totdeauna posibil, este necesară emiterea de certificate remote via e-mail sau web. Pentru unele implementări la scară mare, certificatele se vor emite automat în ,,batch"-uri - cazul cardurilor de bancă sau a celor de identitate naţională.

Susţinerea politicii de securitate Autoritatea de certificare trebuie să reflecte şi să implementeze politica de securitate a organizaţiei.

Uşurinţa în utilizare şi scalabilitatea Interfaţa trebuie să fie grafică şi intuitivă, uşurând managementul PKI, iar PKI trebuie să fie suficient de versatilă pentru a susţine noi aplicaţii.

Interoperabilitatea şi securitatea Cererile de certificate emise de autorităţile de înregistrare (RA) trebuie semnate digital folosind chei de criptare foarte puternice care să facă imposibilă generarea de certificate neautorizate. Toate acţiunile întreprinse de CA sau RA trebuie înregistrate într-o coadă securizată de mesaje, în care fiecare intrare se datează şi se semnează pentru a nu putea fi falsificată.
Baltimore UniCERT este cel mai puternic sistem de management al certificatelor digitale şi un instrument esenţial pentru comerţul electronic. El este utilizat în infrastructurile PKI din întreaga lume pentru securizarea deplină a serviciilor, cum ar fi web-banking, tranzacţionarea online, poşta electronică etc.

UniCERT, ca element principal al PKI, permite emiterea de certificate în concordanţă cu regulile definite de politicile la nivel de organizaţie, departament sau subdepartament şi dă posibilitatea integrării de noi aplicaţii, suplimentarea numărului de utilizatori, interoperabilitatea cu organizaţii partenere etc.

Componentele UniCERT sunt :
Autoritatea de certificare (CA), care semnează şi publică certificate şi liste de certificate revocate (CRL). CA operează conform unor politici flexibile controlate de operatorul autorităţii de certificare (CAO). Acesta controlează toate funcţiile de administrare şi acordă privilegii altor module UniCERT şi altor operatori. Operatorul autorităţii de înregistrare (RAO) aprobă cererile de certificare şi le trimite către CA. Diferiţi RAO primesc drepturi de aprobare a cererilor de certificate în concordanţă cu politicile repartizate de CAO.

Gateway este un modul a cărui funcţionalitate este primirea cererilor de certificate de la dispozitive ,,remote" (E-mail Gateway, Web Gateway, VPN Gateway) şi distribuirea certificatelor emise de CA către acestea.

Autoritatea de înregistrare (RA) acţionează ca un router între RAO, Gateway şi autoritatea de certificare.

Key Archive Server stochează în siguranţă cheile private ale utilizatorilor.
Advanced Registration Module (ARM) este un sistem automat de înregistrare ce permite soluţiilor PKI să fie integrate cu baze de date şi sisteme de workflow.

De ce este nevoie de PKI?
VPN (Virtual Private Network) şi accesul securizat pe web sunt doar câteva domenii unde nevoia de securizare a informaţiei este stringentă. În condiţiile unui număr foarte mare de utilizatori securizarea se bazează în întregime pe PKI.
VPN-urile sunt o modalitate ieftină şi sigură de asigurare a accesului la reţelele intranet folosind reţele publice, cum ar fi internetul.

Tehnologia VPN oferă securitate la nivel de reţea pentru comunicaţiile dintre locaţiile diferite ale unei organizaţii sau pentru comunicaţia între partenerii de afaceri.

Standardul acceptat pentru VPN este Internet Protocol Security (IPSec), autentificarea acestuia fiind posibilă fie cu certificate digitale, fie cu chei secrete statice. Dintre acestea, certificatele digitale permit scalarea reţelelor VPN incomparabil mai uşor. Adăugarea de utilizatori la VPN se face simplu, cu un certificat digital emis de o autoritate de certificare. Autoritatea de certificare poate fi una comercială, în care organizaţia dumneavoastră are stabilite relaţii de încredere, sau poate fi una locală şi emite certificatele pe baza unor politici definite în cadrul organizaţiei. Ştergerea unui utilizator se face prin simpla revocare a certificatului.
PKI se dovedeşte a fi cea mai puternică tehnologie de securizare a informaţiei la ora actuală, ea fiind eligibilă pentru aplicaţii financiar-bancare, guvernamentale, de comerţ electronic, servicii medicale etc.

Baltimore UniCERT, unul dintre produsele PKI de vârf, este la rândul său soluţia ideală, flexibilă, scalabilă şi robustă, pentru emiterea şi gestionarea certificatelor digitale.

Informaţii suplimentare : S&T România,
tel.: 20.40.300, e-mail: [email protected]; www.snt.ro

cuprins - Supliment Internet Business