Firmy
Notowania

Lek na zło

W 1962 roku Amerykańskie Siły Powietrzne zwróciły się do Paula Barana z rządowej agencji Rand o sporządzenie raportu na temat rozwiązań technicznych, które umożliwiłyby utrzymanie systemów dowodzenia i zachowanie kontroli nad dowodzonymi jednostkami wojskowymi po ataku nuklearnym. Tak narodził się pomysł zdecentralizowanej sieci, w której nawet zniszczenie wielu jej węzłów umożliwiłoby przeprowadzenie ataku odwetowego.

Publikacja: 28.03.2003 15:25

Maciej Wardaszko

W roku 1992 narodziły się strony internetowe www. Od tej pory liczba serwerów Internetowych włączonych do sieci zaczęła zwiększać się w postępie geometrycznym. Efektywność nowego medium elektronicznej komunikacji została szybko zauważona przez biznes. Jednak naukowe korzenie Internetu, który na poziomie protokołu TCP/IP nie oferuje żadnych mechanizmów bezpieczeństwa, mocno ograniczały zastosowania komercyjne. Szczególnie dokuczliwa okazała się łatwość "podsłuchania" komunikacji w sieci oraz brak pewności co do autentyczności komunikujących się stron - podszywanie się pod innego użytkownika Internetu jest jedną z pierwszych liter abecadła hakerskiego podręcznika.

Ratunek w kryptografii

Równolegle z rozwojem Internetu, szybki postęp notowała gałąź matematyki zwana kryptografią. Efektem tego postępu były narodziny kryptografii asymetrycznej i systemu, który wykorzystywał osiągnięcia tej dziedziny nauki - infrastruktury klucza publicznego (PKI). Początkowo, we wczesnych latach osiemdziesiątych, możliwości PKI wykorzystywały głównie instytucje finansowe, w których zabezpieczano sieci służące do transferu kapitału, oraz administracja. W latach dziewięćdziesiątych - kojarzonych z eksplozją aplikacji www - PKI zaczęło być wykorzystywane w aplikacjach internetowych, zabezpieczając m.in. pocztę elektroniczną oraz witryny internetowe. Dziś wielu użytkowników Internetu, posiadających komputery PC, notebooki, urządzenia klasy cyfrowy asystent oraz telefony komórkowe, korzysta - nie wiedząc o tym - z usług PKI, które zabezpieczają komunikację internetową.

Internet w biznesie

Wykorzystanie mediów elektronicznych do prowadzenia działalności gospodarczej wprowadza istotne zmiany w wielu modelach biznesowych. Właściwe wykorzystanie sieci połączeń między producentami, dostawcami, klientami i pracownikami wpływa na uzyskanie przewagi konkurencyjnej nad innymi graczami na rynku. Szczególną wagę przywiązuje się do informacji, a jej ochrona staje się czynnikiem kluczowym dla istnienia firmy. Wiele zasobów informacyjnych, szczególnie w USA i krajach Europy Zachodniej, podlega również ochronie z mocy prawa. Wymusza to na firmach działających np. w branży finansowej, służbie zdrowia, administracji, stosowanie rozwiązań technicznych zgodnych z wytycznymi.

Wykorzystanie elektronicznych kanałów wymiany informacji wiąże się nie tylko ze wzrostem efektywności organizacji, lecz również ze wzrostem zagrożeń. Największe obawy, dotyczące zarówno biznesu, jak i klientów, wiążą się ze stratami, które zazwyczaj są następstwem naruszenia bezpieczeństwa transakcji lub włamania do systemu informatycznego firmy. Takie zdarzenia nie tylko nadszarpują zaufanie do firmy, lecz wpływają również na zmniejszenie jej obrotów. W interesie firmy jest zatem zastosowanie takich rozwiązań technicznych i organizacyjnych, które zminimalizują ryzyko związane z wykorzystaniem mediów elektronicznych w działalności.

Na kłopoty - PKI

Większość wykorzystywanych na co dzień mediów elektronicznych może być traktowana jako publiczne, dopóki nie będą w nich zastosowane rozwiązania zapewniające bezpieczeństwo komunikacji. Media cyfrowe są podatne na podsłuchanie, fałszowanie i kopiowanie. Zabezpieczanie zasobów informacyjnych firmy wiąże się z zapewnieniem poufności i integralności danych przesyłanych w sieciach cyfrowych i składowanych w systemach informatycznych firmy.

Od lat specjaliści ds. bezpieczeństwa, analitycy biznesowi oraz informatycy są gorącymi orędownikami stosowania PKI w infrastrukturze informatycznej firm. Przyczynia się do tego wyjątkowość rozwiązania, gdyż jako jedyne realizuje ono wszystkie postulaty, których domaga się e-biznes. Zapewnia zarówno uwierzytelnienie komunikujących się stron, poufność przesyłanych informacji, kontrolę ich integralności, jak i niezaprzeczalność faktu wysłania wiadomości oraz - jako wykorzystanie możliwości jednoznacznego uwierzytelniania osób - centralne zarządzanie dostępem do firmowych zasobów informacyjnych. Specjaliści podkreślają również możliwość rozwoju PKI. Infrastrukturę klucza publicznego można rozwijać bez konieczności wprowadzania istotnych zmian w jej podstawie, dostosowując ją do usług wymaganych przez konkretne zastosowania lub segment rynku.

Podpis z cyfrowego świata

Powstanie infrastruktury klucza publicznego, wykorzystującej osiągnięcia kryptografii asymetrycznej (z parą kluczy: prywatnym i publicznym), umożliwiło przeniesienie podpisu odręcznego do cyfrowego świata. Użytkownicy elektronicznych mediów, w tym biznes, zyskali możliwość jednoznacznej identyfikacji osób, które sygnowały elektronicznie dokument.

Złożenie podpisu pod dokumentem, do czego wymagany jest klucz prywatny osoby podpisującej, odbywa się przez dokonanie operacji matematycznych z wykorzystaniem cyfrowej zawartości dokumentu oraz klucza prywatnego osoby składającej podpis. Drugi klucz z pary, udostępniony publicznie (klucz publiczny) wraz z certyfikatem zawierającym dane identyfikujące w instytucji pełniącej rolę zaufanej trzeciej strony, pozwala sprawdzić tożsamość osoby, która złożyła podpis pod dokumentem. Zastosowany do podpisu elektronicznego aparat matematyczny pozwala wykryć jakiekolwiek modyfikacje w dokumencie, które mogły być dokonane w trakcie jego przesyłania.

Możliwości zapewniane przez podpis elektroniczny to główne wykorzystanie PKI. W połączeniu z technikami kryptografii symetrycznej, PKI służy również do zapewniania poufności informacji. Usługi infrastruktury klucza publicznego mają kilka cech, które są szczególnie przydatne w warunkach działalności gospodarczej:

- UWIERZYTELNIANIE STRON

W środowisku biznesowym, podstawą do prowadzenia działalności jest znajomość komunikujących się stron: osób, firm, serwerów aplikacyjnych, klientów, dostawców i partnerów firmy. Służy temu usługa bezpieczeństwa nosząca nazwę uwierzytelnienia stron.

Przykładem takiego uwierzytelnienia może być transakcja przeprowadzana z bankiem przez stronę Internetową zabezpieczoną protokołem SSL lub TLS. Użytkownik może stwierdzić, czy strona internetowa, na której się znajduje, należy do banku, np. klikając na symbol kłódeczki na dolnym pasku przeglądarki Internet Explorer. Protokół SSL może być wykorzystany również do potwierdzenia tożsamości użytkownika w firmie świadczącej usługi, w tym przypadku w banku.

W aplikacjach typu poczta elektroniczna, komunikatory, zdalny dostęp pracowników do sieci korporacyjnej, dostawców i klientów do fragmentu bazy danych i innych zastosowaniach, w których identyfikacja użytkownika ma krytyczne znaczenie, wykorzystanie funkcji podpisu elektronicznego jest jak najbardziej na miejscu. Uwierzytelnianie nadawcy wiadomości ma ogromne znaczenie w zastosowaniach wewnątrzfirmowych, gdzie większość własności intelektualnej przesyłana jest za pomocą poczty elektronicznej.

- POUFNOŚĆ DANYCH

We wszelkich systemach transakcyjnych zachowanie poufności danych ma znaczenie krytyczne. Dane "wrażliwe", takie jak plany biznesowe, własność intelektualna, dane osobowe, informacje firm trzecich, oferty muszą być zabezpieczone przed obcymi oczami. System powinien zapewnić poufność zarówno danych przesyłanych przez sieć do klientów biznesowych, jak też danych będących "w spoczynku", np. na serwerze aplikacji. W praktyce do tego zadania wykorzystuje się usługi PKI w połączeniu z technikami kryptografii symetrycznej: dane są szyfrowane kluczem symetrycznym (służą do tego efektywne algorytmy). Sam klucz jest natomiast dostarczany z wykorzystaniem PKI (szyfrowany kluczem publicznym odbiorcy).Poufność zapewniana przez PKI może być wykorzystana nie tylko do szyfrowania komunikacji, ale też do ograniczania dostępu do danych. W połączeniu z uwierzytelnianiem możliwe jest stworzenie strategii bezpieczeństwa, które będą uwzględniać wymagania prawne, standardy przemysłowe oraz zapewnią prywatność użytkownikom systemu informatycznego.

- INTEGRALNOŚĆ DANYCH

Jest to usługa PKI, która umożliwia wykrycie, czy dokument został zmieniony od czasu złożenia pod nim podpisu, np. podczas przesyłania siecią lub na serwerze. Sprawdzanie integralności danych ma olbrzymie znaczenie w przypadku transakcji elektronicznych, w których np. zmiana numeru konta lub jednej cyfry w kwocie ma ogromne konsekwencje. W przypadku zmiany treści dokumentu, weryfikacja podpisu elektronicznego zakończy się wynikiem negatywnym.

- NIEZAPRZECZALNOŚĆ

Pod tą nazwą kryje się cecha PKI, wynikająca z matematycznych zależności, jaką jest niemożliwość wyparcia się faktu złożenia podpisu pod przesłanym dokumentem. Cecha ta ma kluczowe znaczenie w transakcjach finansowych, w których jedna ze stron mogłaby odmówić przyjęcia rachunku za usługę, twierdząc, że jej nie zamawiała. Jeśli zamówienie zostało elektronicznie podpisane, PKI pozwala udowodnić, że zostało ono złożone przez odbiorcę rachunku - jedynego właściciela klucza prywatnego wykorzystywanego do złożenia podpisu elektronicznego. Niezaprzeczalność to również cecha pożądana przez sygnatariuszy umów.

Specjaliści podkreślają, że niezaprzeczalność jest cechą, której uzyskanie zależy nie tylko od technologii, tu PKI, lecz również od właściwych procedur oraz organizacji. Podobnie, jak w przypadku podpisów odręcznych, może wystąpić konieczność wykonania dodatkowej pracy w celu osiągnięcia niezaprzeczalności faktu złożenia podpisu.

- ZARZĄDZANIE PRZYWILEJAMI

Cyfrowy certyfikat, stanowiący wiarygodny identyfikator w mediach elektronicznych, umożliwia administratorom systemów informatycznych kontrolę dostępu do danych przechowywanych w sieci. Informacje zawarte w certyfikacie mogą być wykorzystane do zapewnienia dostępu do zasobów firmy np. w zależności od pozycji zajmowanej w jej hierarchii lub funkcji, którą pełni pracownik.

PKI w firmie

Wdrożenie usług PKI stawia przed firmami pytania o organizację tego przedsięwzięcia. Do rozwiązania pozostaje kwestia sposobu i miejsca, w którym potwierdzana jest tożsamość osoby, której dane zostają umieszczone w certyfikacie. Rodzą się również pytania o sposób wystawiania cyfrowych certyfikatów. W praktyce ich wystawianiem zajmuje się centrum certyfikacji (ang. Certification Authority, CA). Potwierdzanie tożsamości użytkowników to rola tzw. punktów rejestracji (ang. Registration Authority, RA).

CA, będące głównym elementem infrastruktury klucza publicznego, odpowiada za wygenerowanie cyfrowych certyfikatów, wiążących dane osobowe użytkownika z kluczem publicznym z pary dla niego wygenerowanej. Bezpieczeństwo tego procesu, obok zastosowanych rozwiązań technicznych, zależy również od właściwej realizacji założeń polityki bezpieczeństwa, wynikającej z analizy ryzyka w firmie i uwarunkowań biznesowych. Na CA spoczywa również obowiązek świadczenia podstawowych usług PKI, takich jak odwoływanie certyfikatów, zawieszanie ich oraz publikacja informacji o certyfikatach odwołanych. Chociaż większość wystawionych certyfikatów jest wykorzystywanych przez cały okres ich ważności (np. rok), jednak czasem istnieje potrzeba wcześniejszego odwołania, np. w przypadku fizycznej utraty certyfikatu, ujawnienia klucza prywatnego skojarzonego z certyfikowanym kluczem publicznym. Mogą to być również przyczyny będące wynikiem naturalnej działalności firmy: zmiana stanowiska pracy (a więc zmiana przywilejów w systemie informatycznym, z którą wiąże się konieczność zmian treści certyfikatu), zmiana pracodawcy itp.

Rolą punktów rejestracji jest natomiast potwierdzenie tożsamości użytkowników, wymagającej często osobistego ich stawiennictwa, oraz wysłanie wniosków o wystawienie certyfikatu do CA. RA mogą być rozmieszczone w różnych lokalizacjach, np. odpowiadających geograficznemu położeniu oddziałów firmy - PKI jest pod tym względem bardzo elastyczne.

Dopełnieniem infrastruktury technicznej PKI są dokumenty noszące nazwy Polityki Certyfikacji (Certificate Policy) oraz Kodeksu Postępowania Certyfikacyjnego (Certification Practice Statement). Kodeks Postępowania Certyfikacyjnego opisuje sposób wystawiania i zarządzania cyfrowymi certyfikatami, określając możliwości i ograniczenia CA, będące m.in. wynikiem przyjętych rozwiązań technicznych. Może zawierać ponadto opis usług, zarządzanie cyklem życia certyfikatu itp. Polityka Certyfikacji jest dokumentem odnoszącym się do poszczególnej grupy certyfikatów, ich odbiorców oraz zastosowań.

PKI własne czy zewnętrzne?

Firmy zamierzające korzystać z dobrodziejstw PKI stają przed dylematem: czy budować własne centrum certyfikacji, czy skorzystać z usług istniejących na rynku centrów certyfikacji. Za pierwszym rozwiązaniem przemawia możliwość całkowitej kontroli nad posiadanym centrum. Przeciw - koszt. Zapewnienie wysokiej niezawodności i bezpieczeństwa centrum certyfikacji, któremu będzie można zaufać, wiąże się z wydatkami rzędu setek tysięcy dolarów. Ze względu na specyfikę zadań CA, konieczne jest zapewnienie ciągłości działania centrum, co wiąże się m.in. z budową lokalizacji zapasowej, wdrożeniem rozwiązań uniemożliwiających włamanie, podsłuch elektromagnetyczny i rozwiązania wielu innych kwestii bezpieczeństwa. Wymaga to wyspecjalizowanego personelu, wiedzy oraz czasu.

W praktyce często korzysta się z usług działającego na rynku centrum certyfikacji. W przypadku gdy firma chce mieć większą kontrolę nad procesem rejestracji i wystawiania certyfikatów, stosuje się tzw. outsourcing usług PKI: firma wdraża rozwiązania umożliwiające rejestrację zarządzania cyfrowymi certyfikatami. Natomiast ich wystawianiem, przetrzymywaniem w repozytorium oraz publikacją informacji o certyfikatach odwołanych zajmuje się komercyjne, wiarygodne centrum certyfikacji.

Profesjonalne centra certyfikacji starają się również o spełnienie wymogów ustawy o podpisie elektronicznym, obowiązujących na terenie danego kraju. W Polsce centra certyfikacji, o ile spełnią wymogi określone w ustawie o podpisie elektronicznym i rozporządzeniach wykonawczych (koszty!), zostają wpisane do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. Mogą wówczas wystawiać certyfikaty kwalifikowane. Certyfikaty te umożliwiają składanie bezpiecznego podpisu elektronicznego, który jest tożsamy pod względem prawnym z podpisem odręcznym. Dla biznesu, który wcześniej musiał zawierać umowy z partnerami o uznawaniu certyfikatów wystawionych przez określone CA, otwiera to drogę do elektronicznej wymiany dokumentów, m.in. z administracją. A ta, zgodnie z zapisami ustawy, w ciągu czterech lat od wejścia w życie ustawy o podpisie elektronicznym ma umożliwić obywatelom składanie wniosków i pism w formie elektronicznej.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET.COM

IT
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Technologie
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Materiał Partnera
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Creotech dzieli biznes. Kwanty wejdą na giełdę
Technologie
Creotech dzieli biznes. Kwanty wejdą na giełdę
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Technologie
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Miliardy na cyberochronę
Technologie
Miliardy na cyberochronę
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
Liudmila Climoc, prezeska Orange Polska.
Technologie
Co daje siłę walorom Orange Polska
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
Technologie
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
e-Wydanie