Agora
Media
Libraria Byblos



AgoraNews  





PC Magazine Ro  




NET Report   




Ginfo   




agora ON line   





PC Concrete   





Liste de discuții   




Cartea de oaspeți   




Mesaje   





Agora   








Clic aici
PC Report - ultimul numar aparut


Cover Story - PC Magazine Romania, Aprilie  2002

Asigurarea confidențialității mesajelor

Securitatea ca mod de viață
Piața securității TI: prezent și perspective
Soluții de securitate
Sunteți în siguranță? Cum puteți afla?
Panaceum universal sau soluții de securitate personalizate?
Siguranța afacerilor online
Asigurarea confidențialității mesajelor
Symantec & Cypherix
Familia de produse BitDefender

Securizarea comunicațiilor în internet poate fi asimilată cu semnarea unei scrisori și trimiterea acesteia într-un plic sigilat. Semnătura dă autenticitatea scrisorii, iar plicul sigilat îi conferă acesteia confidențialitatea necesară.

Electronic, confidențialitatea se asigură prin criptarea mesajului cu o cheie secretă și un algoritm asociat. Versiunea criptată a mesajului poate fi citită de destinatar numai dacă acesta posedă cheia secretă și algoritmul de criptare.

Problema esențială a majorității aplicațiilor de criptografie este păstrarea secretului acestor chei. Criptografia bazată pe chei publice rezolvă această problemă înlocuind cheia secretă cu o pereche de chei - una privată iar cealaltă publică.

Mesajul criptat prin folosirea cheii publice se poate decripta cu cheia privată pereche. Cheile publice pot fi publicate în directoare care facilitează comunicația între oricare individualitate din internet. În plus față de criptare, cheile publice și private pot fi folosite la crearea și verificarea semnăturilor digitale. Aceste semnături se pot adăuga mesajelor, ele autentificând astfel mesajul dar și expeditorul acestuia.

INFRASTRUCTURA PKI
Criptografia bazată pe chei publice trebuie însoțită de un set de politici de definire a regulilor sub care sistemele de criptografie pot opera și de un set de proceduri prin care se specifică modalităție de generare, distribuție și utilizare a cheilor. Pe scurt, este nevoie de o infrastructură denumită Public Key Infrastructure (PKI), care stabilește cadrul funcțional, bazat pe standarde, pentru o mare varietate de componente, aplicații, politici și practici al căror scop este atingerea celor patru funcționalități principale ale unei tranzacții comerciale:

  • Confidențialitatea - secretizarea informației
  • Integritatea - asigurarea împotriva manipulării frauduloase a informației
  • Autentificarea - verificarea identității unui individ sau a unei aplicații
  • Non-repudierea - asigurarea paternității mesajului

PKI este o combinație de produse harware și software, politici și proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranță. La baza PKI se află certificatele digitale, un fel de pașapoarte electronice ce mapează semnătura digitală a utilizatorului la cheia publică a acestuia.

PKI are în componență politici de securitate, practici de utilizare a certificatelor, autorități de certificare, autorități de înregistrare, un sistem de distribuție a certificatelor și aplicații.

Politicile de securitate definesc, la nivel de organizație, direcțiile generale privind securitatea informației, procesele și pricipiile de utilizare a criptografiei și conțin directive despre modul de manipulare a cheilor și a informațiilor importante.

Practicile de utilizare a certificatelor (Certificate Practice Statement) se materializează într-un document detaliat care conține procedurile operaționale de implementare în practică a politicilor de securitate. De regulă, acest document include definiții despre modalitățile de construire și operare a autorităților de certificare (CA), modalitățile de emitere, acceptare și revocare a certificatelor digitale și modalitățile de generare și stocare a cheilor.

Autoritatea de certificare (Certificate Authority), responsabilă de emiterea de certificate, mapează identitatea utilizatorului/sistemului la o cheie publică cu semnătură digitală, stabilește ciclul de viață al certificatelor emise, asigură revocarea certificatelor dacă este necesar (publicând lista de certificate revocate - Certificate Revocation List).

Prin implementarea unei infrastructuri PKI, o organizație poate opera cu propria autoritate de certificare sau, după caz, poate apela la serviciile unei autorități de certificare comercială.

Autoritatea de înregistrare (Registration Authority) asigură interfațarea între autoritatea de certificare și utilizator. Ea verifică identitatea utilizatorilor și trimite o cerere de certificare autorizată către CA, pe un canal puternic securizat. Calitatea acestei autentificări determină nivelul de încredere care poate fi acordat certificatelor.

Sistemul de distribuție a certificatelor. În funcție de structura PKI, certificatele pot fi distribuite de înșiși deținătorii acestora sau folosind un serviciu director.

Aplicațiile sunt, în fapt, beneficiarul infrastructurii PKI. Exemple de aplicații bazate pe infrastructura PKI sunt: comunicația între browsere și servere web, poșta electronică, tranzacțiile prin carduri de credit în internet, rețele virtuale private (Virtual Private Networks)
Este esențial ca toate componentele unei infrastructuri PKI să se poată interfața ușor. De exemplu, autoritatea de certificare trebuie să se interfațeze cu servicii director deja instalate în organizație, în acest scop folosindu-se interfețe de comunicare standard, cum ar fi LDAP sau X.500 (DAP). În multe infrastructuri PKI, înregistrarea "face-to-face" se cere pentru asigurarea nivelului de încredere corespunzător. Acest lucru nefiind totdeauna posibil, este necesară emiterea de certificate remote via e-mail sau web. Pentru unele implementări la scară mare, certificatele se vor emite automat în "batch"-uri - cazul cardurilor de bancă sau a celor de identitate națională. În asemenea condiții, PKI necesită flexibilitatea procesului automatizat de înregistrare conectat la baza de date pentru carduri.

FURNIZORI PKI
Securitatea autorității de certificare este de importanță maximă. Dacă ea este compromisă, atunci întreaga soluție PKI este pusă în pericol. Cererile de certificate emise de autoritățile de înregistrare (RA) trebuie semnate digital folosind algoritmi și chei de criptare foarte puternici care să facă imposibilă generarea de certificate neautorizate. Toate acțiunile întreprinse de CA sau RA trebuie înregistrate într-o coadă securizată de mesaje, în care fiecare intrare se datează și se semnează pentru a nu putea fi falsificată.

Baltimore UniCERT este unul dintre cele mai puternice sisteme de management al certificatelor digitale. El este utilizat în infrastructurile PKI din întreaga lume pentru securizarea serviciilor, cum ar fi web-banking, tranzacționarea online, poșta electronică etc.
Diferitele procese de business necesită și nivele de securitate diferite. O tranzacție între două bănci, de exemplu, necesită un nivel de securizare mult mai ridicat decât un simplu mesaj transmis prin poșta electronică. UniCERT ca element principal al PKI permite emiterea de certificate în concordanță cu regulile definite de politicile la nivel de organizatie, departament sau subdepartament.

Componentele UniCERT sunt :

Autoritatea de certificare (CA) care semnează și publică certificate și liste de certificate revocate (CRL). CA operează conform unor politici flexibile controlate de operatorul autorității de certificare (CAO). Acesta controlează toate funcțiile de administrare și acordă privilegii altor module UniCERT și altor operatori. Operatorul autorității de înregistrare (RAO) aprobă cererile de certificare și le trimite către CA. Diferiți RAO primesc drepturi de aprobare a cererilor de certificate în concordanță cu politicile repartizate de CAO.

Gateway este un modul a cărui funcționalitate este de a primi cereri de certificate de la dispozitive "remote" (E-mail Gateway, Web Gateway, VPN Gateway) și distribuirea certificatelor emise de CA către acestea.

Autoritatea de înregistrare (RA) acționează ca un router între RAO, Gateway și autoritatea de certificare.

Key Archive Server stochează în siguranță cheile private ale utilizatorilor.

Advanced Registration Module (ARM) este un sistem automat de inregistrare ce permite soluțiilor PKI să fie integrate cu baze de date și sisteme de workflow.

Entrust, la fel ca Baltimore, este un furnizor de tehnologie PKI având o poziție puternică pe piața sistemelor de tip "enterprise", în special cu forumurile financiare. Infrastructura Entrust/PKI este dezvoltată în vederea utilizării standardelor X509, PKIX, S/MIME, LDAP, PKCS #7/10 și PKCS #11. Entrust/PKI este capabil să emită și să mapeze certificate web, certificate VPN, certificate SET, furnizând atât o administrare centralizată cât și caracteristici de securitate complet integrate în aplicații. Adițional, infrastructura promovează servicii de criptografie "day-to-day" la nivel de "end-user" prin aplicația Entrust/Entelligence. Combinația Entrust/PKI și Entrust/Entelligence furnizează o soluție de securitate clară, conținând un set complet al mecanismelor de management.

Pentru infrastructura Entrust/PKI se pot delimita următoarele noi servicii:

  • Entrust/Entelligence - furnizează operații de criptografie "day-to-day"
  • Flexible Certificates - extensie X 509 v3 ce permite customizarea certificatelor în vederea definirii de noi câmpuri pentru a păstra informație utilă
  • Centrally Managed Password Rules - facilitează servicii de configurare pentru definirea regulilor de parolare (pentru utilizatori).
  • Single Login - într-o infrastructură PKI este obligatorie și suficientă o singură operație de "login" pentru toate aplicațiile ce utilizeză infrastructura.
  • Anti-Virus Software Support
  • Enhanced Reporting Services - abilitate de design flexibil și customizabil de rapoarte pe activitatea cheilor și certificatelor din infrastructură.

Infrastructura Entrust/PKI permite unei companii să cripteze, să semneze digital și să autentifice electronic tranzacțiile din aplicații, într-un mediu heterogen.

DE CE ESTE NEVOIE DE PKI?
VPN și accesul securizat pe web sunt doar câteva domenii unde nevoia de securizare a informației este stringentă. În condițiile unui număr foarte mare de utilizatori, securizarea se bazează în întregime pe PKI.

VPN-urile sunt o modalitate ieftină și sigură de asigurare a accesului la rețelele intranet folosind rețele publice, cum ar fi internetul. Tehnologia VPN oferă securitate la nivel de rețea pentru comunicațiile dintre locațiile diferite ale unei organizații sau pentru comunicația între partenerii de afaceri. Standardul acceptat pentru VPN este Internet Protocol Security (IPSec). Autentificarea acestuia este posibilă fie cu certificate digitale, fie cu chei secrete statice. Este evident că autentificarea bazată pe chei secrete se pretează numai în cazurile în care comunicarea este limitată la un număr redus de utilizatori. Menținerea acestui tip de autentificare pentru mai multe dispozitive VPN se va dovedi a fi extrem de greoaie mai ales pentru simplul fapt că aceste chei trebuie distribuite manual. Certificatele digitale permit scalarea rețelelor VPN incomparabil mai ușor. Adăugarea de utilizatori la VPN se face simplu, cu un certificat digital emis de o autoritate de certificare. Autoritatea de certificare poate fi una comercială, în care organizația dumneavoastră are stabilite relații de încredere, sau poate fi una locală și emite certificatele pe baza unor politici definite în cadrul organizației. Ștergerea unui utilizator se face prin simpla revocare a certificatului.

PKI se dovedește a fi cea mai puternică tehnologie de securizare a informației la ora actuală, ea fiind eligibilă pentru aplicații financiar-bancare, guvernamentale, de comerț electronic, pentru securizarea celor mai importante tranzacții.

Detalii despre soluțiile prezentate pot fi obținute de la S&T România, www.snt.ro .



PC Magazine Ro | CD ROM | Redactia | Abonamente | CautareArhive

Copyright © 1999-2002 Agora Media.

[email protected]

LG - LifeŽs Good

www.agora.ro

deltafri

www.agora.ro

www.agora.ro

www.agora.ro