Bezpečnost především

Když si Ruven Schwartz uvědomil, že jeho firma potřebuje na své internetové stránky pro elektronický obchod solidní b...


Když si Ruven Schwartz uvědomil, že jeho firma potřebuje na své internetové
stránky pro elektronický obchod solidní bezpečnostní rámec, začal rychle
jednat. Loni Schwartz pro svého zaměstnavatele, právnické vydavatelství The
West Group, zajistil systém PKI (Public Key Infrastructure) pro on-line seznam.
Zjistil ale, že tato technologie je příliš nezralá a příliš náročná na to, aby
právníci, kteří tvořili klientelu firmy, mohli přiměřeně využívat jejích
vydavatelských služeb.
"Věděli jsme, že jsme mezi prvními, nevěděli jsme ale, jak jsme daleko," říká
Schwartz, projektový manažer pro rozvoj technologie minnesotské The West Group.
Investice firmy do PKI byla vedena cílem poskytnout právníkům bezpečný způsob,
jak předávat právnické informace a zpracovávat formuláře s využitím digitálních
certifikátů nabízených prostřednictvím internetových stránek firmy. Digitální
certifikáty požadované na stránkách The West Group jsou vydány třetí stranou,
jíž je certifikační orgán (CA, Certificate Authority). Tyto certifikáty
obsahují digitální podpisy a páry veřejných a soukromých klíčů, které se
používají k ověřování (autentizaci) totožnosti uživatele a k potvrzení
platnosti zaslaných údajů.
Obvyklý binec s interoperabilitou způsobovaný e-mailovými klienty, kteří
nepodporují certifikáty, a celková nezralost technologie digitálního zpracování
formulářů podle Schwartze způsobily, že The West Group získala řešení, kterým
si ale zároveň koleduje o problémy.
Schwartz není sám. V dnešním rychle se měnícím světě Internetu má hodně IT
manažerů problém, kterým ze vznikajících bezpečnostních technologií svěřit svůj
elektronický obchod nebo extranet.
S tím, jak se zvětšila míra vystavení firemních dat vlivu vnějšího světa ať již
prostřednictvím elektronického obchodu nebo extranetu cítí IT manažeři plíživý
tlak na zajištění bezpečnosti informačních klenotů svých firem.
Změny vyvolané vlivem Internetu, které obrátily podnikání naruby, také
způsobily, že dřívější koncepce bezpečnosti dat zastaraly. Hesla a firewally
ustupují alfabetické kaši zkratek, které popisují nové způsoby ověřování
uživatelů, potvrzování jejich totožnosti a údajů, a na základě toho poskytování
odstupňovaných přístupů k síťovým aplikacím.
"Segmentační způsob, kdy někde postavíte zeď vůči vnějšímu světu, už prostě
nebude fungovat," říká Ted Julian, analytik Forrester Research, poradenské
společnosti v oblasti IT z Cambridge v Massachusetts. "V budoucnosti nebude
existovat rozdíl mezi přístupem k Internetu, intranetu a extranetu dostanou se
tam všichni. Všichni budou mít nějaký druh přístupu."
Vybrat rozumnou cestu
Základem tohoto nového věku bezpečnosti je ověřování. Informační manažeři,
kteří hledají spolehlivější a bezpečnější metody ověřování totožnosti uživatelů
a ochrany dat, než jaké skýtají dnes široce používané, avšak nepostačující
systémy uživatelských jmen a hesel, se nyní musejí snažit vyznat v rostoucím
seznamu technologií.
K technologiím určeným speciálně pro ověřování patří symboly namátkových čísel
(random--number tokens), jako je SecurID od Secure Dynamics a RB-1 od
CryptoCard, biometrické systémy, které jsou založeny na otiscích prstů nebo
identifikaci podle oční sítnice, a smart cards.
Značná část pozornosti je však v posledních letech zaměřena na PKI, která
používá systém digitálních certifikátů a certifikačních orgánů (CA) k ověřování
uživatelů a zajištění integrity dat prostřednictvím zašifrování veřejnými a
soukromými klíči. Ačkoliv produkty firem jako Entrust, VeriSign a GTE
CyberTrust jsou k dispozici již několik let, potenciál PKI teprve čeká na své
plné využití.
"Tohle je třetí rok, co se říká, že právě teď nastal ten velký rok pro PKI,"
žertuje Diana Kelleyová, bezpečnostní analytička poradenské firmy Hurwitz Group
z Massachusetts. "Ale nějaký vývoj přece jen nastal. Tohle je první rok, kdy
instalace PKI znatelně pokročily."
Nedávná studie provedená firmou Forrester zjistila, že 98 procent z 2 500
dotázaných společností stále používá k ověřování systémů uživatelských jmen a
hesel. Asi polovina těchto společností má v úmyslu během příštích dvou let
přejít na digitální certifikáty.
Přijetí digitálních certifikátů až dostud bránilo několik faktorů, a hlavním z
nich zůstává interoperabilita, říká Julian z Forresteru. Zatímco navrhované
standardy jako X.509 se zabývají digitálními certifikáty samotnými, standardy
zpracování certifikátů a jejich správy zůstávají nevyřešeny. Může se stát, že
budete mít dva certifikáty, které budou kompatibilní s X.509, ale nebudou
spolupracovat se všemi CA," uvádí Julian.
Kromě vydávání certifikátů které obsahují veřejný klíč a identitu uživatele,
spolu s digitální signaturou CA systémy PKI také udržují klíče a certifikáty,
odvolávají certifikáty, pokud se změní status uživatele, a spravují seznamy
odvolaných certifikátů.
Propočítávání nákladů
Také ekonomická stránka certifikátů bránila až dosud jejich běžnějšímu
rozšíření. I v nejlevnějším případě, kdy se cena s využitím externích CA
pohybuje od 5 do 10 dolarů za jeden, mohou být tyto certifikáty příliš drahé
pro typickou transakci on-line, kdy nákupy zákazníků jsou relativně malé a
marže prodejce slabé.
Proto také první z těch, kteří PKI začali využívat, zjistili, že se spíše
vyplatí v konstelaci business-to-business než při transakcích elektronického
obchodu zaměřených na spotřebitele.
"Mít identifikaci a heslo pro přístup k síti pro nás není dost bezpečné," říká
James Eaton, specialista na bezpečnost sítí u společnosti Chevron Canada z
Vancouveru. "Potřebujeme něco solidnějšího."
Nezávislí agenti, kteří prodávají ropu Chevron Canada velkoobchodníkům i
maloobchodu, dodávali společnosti denní a týdenní zprávy o prodeji a inventáři
tradičním způsobem na klasických formulářích, které do centrály zasílali
kurýrem nebo faxem. Když se firma rozhodla tyto procesy elektronizovat, ukázala
se právě PKI být nejschůdnější alternativou ověřování odesílatelů těchto
citlivých dat.
V porovnání s náklady na doručení prostřednictvím kurýrní služby pomineme-li
náklady související s nutností dalšího ukládání dat a potenciální náklady
způsobené lidskou chybou digitální certifikáty mohou být odůvodněně zařazeny do
rozpočtu IT.
Chevron Canada také zvažovala karty na základě symbolů, ale usoudila, že PKI
nabízí silnější zašifrování parametrů totožnosti. Tím, že ke generování
certifikátů používá vlastní CA, firma rovněž dosáhla větší celkové kontroly,
než kdyby zavedla token cards. Svoji roli při rozhodování podle Eatona také
sehrálo riziko časového skluzu při nahrazování ztracených token cards.
S certifikáty ověřujícími jejich totožnost a s virtuální soukromou sítí
(Virtual Private Network, VPN) chránící jejich data se nyní agenti Chevron
Canada mohou napojovat do sítě společnosti, aby se dostali k inventárním
aplikacím, které přímo zaznamenají jejich informace.
Chevron Canada plánuje, že příští rok, až pominou starosti s přechodem na rok
2000, tento systém digitálních certifikátů rozšíří na dodavatele, a bude také
integrovat své PKI se svou americkou mateřskou společností tak, aby si obě
společnosti mohly data bezpečně předávat.
Digitální certifikáty pro zaměstnance jsou však na seznamu priorit PKI až o
něco dále, částečně z důvodu rozsahu. Pokud certifikáty používá méně než 1 000
agentů, systém přetížen není, zatímco při několika tisících zaměstnanců by
zcela jistě byl, zvláště když se stále ještě vychytávají chyby v oblasti
softwarové podpory VPN pro certifikační orgány.
Pozorovatelé z branže doporučují právě tento typ opatrného, rozfázovaného
přístupu k zavádění PKI, neboť tato technologie bude teprve dozrávat.
"Společnosti se někdy vrhají na digitální certifikáty poněkud slepě,"
upozorňuje Julian.
Julian radí firmám, aby uživatele rozdělily do tří kategorií na partnery,
zaměstnance a zákazníky a aby je vybavovaly certifikáty v tomto pořadí. Takto
se IT manažeři budou moci zabývat nejprve uživateli, jejichž potřeby jsou z
bezpečnostního hlediska důležitější, zatímco certifikáty budou v nejbližších
letech postupně dozrávat.
Certifikovaní klienti
Zatímco většina podniků vyčkává, než technologie dozraje, a teprve pak hodlají
ze svých internetových surfařů udělat certifikované klienty, jiné společnosti
se rozhodly razit cestu.
ScotiaBank, jedna z pěti největších kanadských bank, nyní vydává digitální
certifikáty svým zákazníkům on-line jako součást běžné rutiny.
"Když jsme se zaměřovali na skupiny, naši zákazníci nám řekli, že chtějí
používat Internet, ale největší starosti jim dělá bezpečnost," vysvětluje
Albert Wahbe, výkonný viceprezident pro elektronické bankovnictví z torontského
ústředí ScotiaBank. "Šíleli strachy o své účty."
Zákazníci nejprve použijí software banky a zvolí si heslo pro login, které
zůstane na domácím PC zákazníka a nebude putovat po Internetu. Pak je
generováno náhodné číslo a to je spojeno s heslem a připojeno k digitálnímu
certifikátu. Chráněný certifikát je zaslán do ScotiaBank a interpretován na
serveru.
"Pokud by se někdo chtěl napíchnout na telefonní linku," říká Wahbe, "dostal by
se jenom k těm náhodným číslům, která nic neznamenají."
Následná připojení probíhají stejným způsobem, přičemž certifikáty jsou
uživatelům zasílány transparentně. Za 13 měsíců od spuštění systému stránku s
certifikáty použilo přes 100 000 klientů ScotiaBank.
Vydávání certifikátů v tomto rozsahu je však v elektronickém obchodě, kdy firmy
často jednají s neznámými zákazníky, atypické. Natahování softwaru a
certifikátů do počítačů konečných uživatelů je však nepraktické v případě
rozsáhlých veřejných instalací.
Pro společnosti, které se zabývají čistě transakcemi e-commerce, je oblíbenou
metodou zajištění bezpečnosti Secure Sockets Layer (SSL) Netscape. Tento
protokol také používá digitální certifikáty a šifrování k ochraně dat a
poskytuje mechanismy pro ověřování.
Nedávno vyvinutý standard Secure Electronic Transaction (SET) je rovněž zaměřen
na zabezpečení transakcí elektronického obchodu, ale nějak se mu nepodařilo
strhnout zájemce.
"SET je mrtev," říká Jim Hurley, ředitel pro bezpečnost informací společnosti
Aberdeen Group z Bostonu. "Je příliš velký, složitý a těžkopádný. Visa a její
vývojoví partneři do něj investovali spoustu peněz, takže ti vám neřeknou, že
je mrtvý, ale je, přes veškeré záměry a snahy."
A také přišel pozdě. SSL už se etabloval de facto jako protokol pro
zabezpečování internetových transakcí.
PKI jej možná nenahradí jako nejběžněji používaná metoda on--line, ale pro
podniky, které hledají škálovatelný rámec pro ověřování a bezpečnost, stojí za
podrobnější prozkoumání.
9 2250 / jaf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.