Klíče, které chrání drahocenná data

Samotné technologie šifrování k tomu, aby ochránily firemní data, nestačí. Jejich spolehlivá funkce je zajištěna te...


Samotné technologie šifrování k tomu, aby ochránily firemní data, nestačí.
Jejich spolehlivá funkce je zajištěna teprve po dokonalém začlenění do
firemních aplikací, kde musejí fungovat pokud možno bez přispění uživatele.
Technologie PKI (Public Key Infrastructure, infrastruktura veřejných klíčů) je
základem pro bezpečnou komunikaci, zajištěnou kryptografickými metodami. Díky
ní mohou zaměstnanci firmy v případě potřeby svá data zašifrovat nebo opatřit
digitálním podpisem. Hlavní úloha tu však přísluší aplikacím, které umějí s PKI
pracovat.
Šifrování dat a digitální podpis jsou metody, které vedou ke zvýšení úrovně
zabezpečení teprve tehdy, jsou-li důsledně používány v rámci standardních
postupů. Vezměme si například oblast e-mailů. Jen taková řešení, která na
příkaz administrátora šifrují všechny zprávy (nebo všechny, které míří určitým
směrem), mohou zajistit skutečné prosazování bezpečnostních pravidel firmy.
Jedině tehdy, vynutí-li si platforma zajišťující oběh dokumentů elektronický
podpis příslušného referenta, je zaručeno bezpečné prostředí pro výměnu těchto
dokumentů. Infrastruktura PKI je spojena se dvěma základními oblastmi použití:
Za prvé chrání servery a sítě před nevítanými hosty a špiony. Doplňuje přitom
například programy pro kontrolu přístupu a ověření autenticity. Za druhé
zabezpečuje koncovou komunikaci, a to jak mezi PC pracovišti navzájem, tak mezi
systémem klienta a serveru. V této oblasti slouží jako plug-in pro e-maily a
platformy zajišťující tok dokumentů (workflow).

Zabezpečení sítí
Elektronické certifikáty se výborně hodí k tomu, aby se ověřila identita IT
komponent uvnitř IP sítě. Nastupují na místo běžných prostředků pro ověření
autenticity, jako je heslo, token nebo číslo transakce. Nenahrazují přitom
ovšem lokální správu uživatelských účtů, a to ani tehdy, když obsahují pokyny k
udílení práv. Pomocí certifikátů však mohou firmy management uživatelů zlepšit.
Svou "nadsystémovou" klasifikací uživatelů například vytvářejí základ pro
systém single-sign--on, u něhož se každý pracovník musí přihlásit jen jednou a
poté už může používat své prostředky v síti.
V síti chráněné PKI jsou všechny komponenty jako routery, přepínače, můstky a
klienti vybaveny certifikáty, které spojují IP adresu síťového uzlu s dvojicí
klíče. V případě potřeby může příjemce dat zkontrolovat každý paket svým
digitálním podpisem a ověřit jeho zdroj. Tím se mohou vyloučit klasické metody
napadení jako man-in-the-middle nebo session-hijacking.
Jako standard pro komunikaci zabezpečenou certifikáty byl zaveden IPSec (IP
Security). SSL (Secure Sockets Layer, zabezpečená vrstva pro sokety) řídí
proces ověření autenticity jednotlivých síťových komponent na základě jejich
digitálního podpisu. Kromě toho dovoluje komunikačním partnerům šifrovat data.
Protože IPSec šifruje v režimu s podporou gatewayí interní IP pakety včetně
jejich adres a posílá je vyhrazeným tunelem od jednoho routeru k druhému,
ukrývá tato technologie interní strukturu sítě vůči potenciálnímu útočníkovi z
internetu.

IPSec a NAT
IPSec současně nahrazuje NAT gateway (Network Address Translation, překladač
síťových adres), která mapuje IP adresy firemní sítě na externí adresy, aby
zajistila správný routing. Pomocí IPSec přenášejí firmy svá data přes soukromé
a veřejné sítě důvěrně a s ochranou před manipulací. Firmy s velkým počtem
aktivních síťových komponent by měly registraci a udílení certifikátů
zautomatizovat tak dobře, jak je to jen možné. K tomu musejí vytvořit svou
interní PKI. Protože automatická registrace v sobě skrývá riziko zneužití, měly
by firmy zřídit dvě certifikační místa jedno pro zaměstnance a druhé pro
zařízení.

Kontrola přístupu
Protože certifikáty potvrzují identitu svého uživatele, fungují jako digitální
průkazy při přihlašování v síti. Ti, kdo surfují po internetu, používají
nejčastěji své certifikáty při vytváření SSL spojení mezi svým webovým
browserem a serverem. Přihlášení přes tyto digitální průkazy ovšem provádějí
uživatelé pouze tehdy, je-li to pro ně jednoduché. To je podmínka, která je
zpravidla splněna.
Běžně dostupné browsery ale zacházejí se svojí velkorysou základní konfigurací
trochu moc daleko. Opírají se o velký počet předem nastavených certifikačních
míst (autorit), která jsou považována za důvěryhodná. Kromě toho přenechávají
integraci nových, nedůvěryhodných certifikátů surfaři. Jedině centrální správa
certifikátů však může zajistit posouzení úrovně zabezpečení externích
certifikačních míst v souladu se zavedenou firemní politikou.
Certifikáty SSL dosud používají pouze webové servery, ale přesto by firmy měly
své zaměstnance vybavit klientskými certifikáty SSL. Někteří poskytovatelé
internetových služeb (ISP, Internet Service Provider) nebo freemailů již
zásobují své zákazníky digitálními průkazy. Z důvodu nákladů se přenášejí spolu
s privátními klíči většinou v šifrovaných souborech nebo jsou dostupné přímo z
běžného webového browseru.
Certifikáty SSL umožňují ověřit autenticitu nejen serveru, ale i uživatele.
Servisní služby tak mohou přizpůsobit svoji nabídku profilu zákazníka a
poskytnout uživateli privátní služby.

E-mail
Zatímco standard Pretty Good Privacy (PGP) dovoluje uživateli, aby si sám
vystavoval certifikáty a vytvářel vztahy důvěry ke komunikačním partnerům,
pracuje Secure Multipurpose Internet Mail Extensions (S/Mime) s hierarchicky
vybudovanými strukturami veřejných klíčů. To, pro jakou techniku se rozhodnete,
záleží na tom, jakou volbu již učinili vaši komunikační partneři. V
profesionální oblasti se prosadil S/Mime.
Zabezpečené e-maily umožňují uživateli přenášet důvěrné zprávy šifrovaně a v
případě potřeby dokázat autorství informací digitálním podpisem. Protože jsou
e-maily standardním médiem pro výměnu dat, dovolují mnohé firmy výměnu
důvěrných informací přes internet pouze v šifrovaném tvaru.
To, zda zaměstnanci skutečně dodržují politiku šifrování danou jejich firmou,
by mělo být kontrolováno pomocí alespoň náhodných zkoušek na gatewayi pro
e-maily (mail gateway). Ty se však mohou provádět pouze anonymně a se souhlasem
vedení podniku. Jako pomocný prostředek slouží obsahové filtry, které skenují
datový provoz podle hesel. Firmy současně musejí svým pracovníkům zajistit
možnost jednoduchého šifrování dat.
Digitální podpis zatím hraje u e-mailů podřadnou roli, protože koncoví
uživatelé často neznají právní průkaznost tohoto prostředku. Protože je úroveň
zabezpečení většinou dostačující, aby se e-maily mohly posílat přes interní síť
ve formě nešifrovaném textu, používá se bezpečný e-mail výhradně ke komunikaci
s externími partnery.

Tok dokumentů
Na rozdíl od elektronických systémů pro přenos zpráv je bezpečný přenos
dokumentů v rámci definovaného workflow odkázán na digitální podpis. Ten
zaručuje původ elektronicky posílaného dokumentu a slouží k potvrzení
jednotlivých fází procesu. Protože se programy pro tok dokumentů (workflow)
oslovují převážně prostřednictvím webového rozhraní a pouze zřídka přes e-mail,
zajišťují důvěrnost šifrováním na přenosové úrovni pomocí SSL.
Při běžné distribuci agendy e-mailem nahrazuje digitální podpis ruční podpisy
na oběžníku. Umožňuje realizovat smlouvy zcela digitálně přes internet. Aby
byly podpisy platné z právního hlediska, musejí být založeny na kvalifikovaných
certifikátech, které odpovídají zákonu o elektronickém podpisu, nebo je třeba
použít pokročilé certifikáty, které zohledňují bilaterální dohody mezi
účastnickými subjekty komunikace. Digitální podpisy lze používat jak interně ke
zjednodušení pracovních procesů, tak i v komunikaci s firemními partnery.
Firmy, které se procesů zúčastní, mohou přitom používat certifikáty různých
poskytovatelů.

Webový podpis
Při integraci digitálního podpisu do stávajících pracovních procesů je stále
významnější metoda "web signing". Uživatel přitom použije připojení SSL k
webovému serveru, které je zabezpečené proti odposlechu, a podepíše dokument
zobrazený v browseru svým soukromým klíčem. Poté, co surfař potvrdí extrahovaná
data elektronickým podpisem, pošle je zpět na webový server. Software potřebný
pro podpis je přitom k dispozici jako aktivní obsah s Java nebo ActiveX
šifrátorem, nebo je nainstalován jako část Smartcard-Middleware na PC. Aby se
mohl podepsaný dokument zase dostat do příslušného workflow, musí provozovatel
webového serveru nainstalovat vhodné rozhraní, které podpis ověří. Na trhu mají
být v blízké budoucnosti k dispozici vývojová prostředí pro různé programovací
jazyky.
Zvláštní formou podpisu je takzvaný "vložený podpis". Protože tato forma
umožňuje několikanásobný podpis, zvyšuje tím přijatelnost digitálních podpisů
ve firmách, které při schvalovacím řízení věří principu více očí. Metody
vkládání zaručují, že žádosti o úvěr bude vyhověno jen tehdy, když ji podepsali
žadatel, referent, schvalovatel a zástupce vrchního dozoru. Jako formát pro
výměnu dat se stále více prosazuje XML (Extended Markup Language), protože jde
o velmi flexibilní standard, poskytující velké možnosti rozšíření.
Aplikace schopné pracovat s PKI umějí zacházet s certifikáty různých
poskytovatelů za předpokladu, že jsou založeny na standardizované struktuře
certifikátu, která odpovídá například normě X.509v3. Kromě toho musejí
certifikáty obsahovat údaje potřebné k identifikaci svého majitele a mezi
uživatelem a poskytovatelem musí existovat důvěryhodné vztahy.

Interoperabilita
Vybudování vztahů založených na vzájemné důvěře lze provést dvěma způsoby.
První možnost je ta, že jedna aplikace naváže přímé kontakty s jedním nebo
několika certifikačními místy. Běžně dostupné browsery tak vedou seznam mnoha
poskytovatelů, kteří jsou zařazeni mezi důvěryhodné. Pokud je potřeba přidat
další, musí je uživatel postupně v jednotlivých aplikacích překonfigurovat.
Místo této varianty se může několik poskytovatelů certifikátu na nadřazené
úrovni dohodnout a sjednat určitá důvěryhodná spojení a potvrdit je pomocí tzv.
Cross certifikátů. Ty si vystaví poskytovatelé navzájem, a tím se zařadí do
hierarchie důvěryhodnosti příslušného partnera jako standardní certifikační
místo. Druhé řešení má tu výhodu, že uživatel může věřit certifikátům
obchodního partnera pouze tehdy, když je tento partner zaregistrován u jiného
certifikačního místa. Komfort jde samozřejmě na úkor svobody. Uživatel se už
totiž nemůže sám rozhodovat, kterému poskytovateli bude důvěřovat.
Cross certifikace mezi firmami jsou ovšem velmi nákladné, a to proto, že
požadují srovnání zabezpečovacích standardů zúčastněných certifikačních míst.
Tento proces zjednodušují tzv. Bridge CA (Certification Authority,
"přemosťující" certifikační autority), které pracují jako zprostředkovatelé a v
první fázi postupu nejprve pečlivě určují úroveň zabezpečení. Bridge CA na
uvedeném základě vytváří skupinu tím, že si vyměňuje Cross certifikáty s
různými důvěryhodnými poskytovateli. Jsou možné i jednostranné vztahy, kdy
jedna firma vysloví důvěru bezpečnému partnerovi. Tak mohou být ve skupině
zastoupeni beze ztrát také poskytovatelé s velmi vysokými nároky na zabezpečení.
Právo na existenci tedy propůjčují PKI teprve ty správné aplikace. Takové,
které uživateli co možná nejvíc zjednoduší šifrování dat a podepisování
dokumentů. Jedině pak lze nasadit technologii PKI v širším měřítku, zakotvit ji
v síti jako nadsystémovou metodu k ověření autenticity a využít ji jako právně
závazné zpečetění internetových obchodů.

Slovník pojmů
Certifikační místo (autorita)
Jde o poskytovatele služeb, který vytváří certifikát osobám, které o něj
požádají. Tímto certifikátem ony osoby následně potvrzují pravost svého
veřejného klíče a svého digitálního podpisu. Pravé veřejné klíče zaručují, že
je dešifrována šifrovaná zpráva správného odesílatele. Certifikační místo
potvrdí vlastním soukromým klíčem identitu svého zákazníka. Vysoce zabezpečeným
hardwarem ho musí chránit před zloději a špiony.

Certificate Practise Statement
Dokument popisuje způsob práce certifikačního místa. Obsahuje údaje o způsobu
vytváření, distribuci a uchovávání vystaveného certifikátu a definuje jeho
strukturu a účel použití. CPS je základem pro hodnocení důvěryhodnosti
zpracovatele certifikátu.

Certifikát
Digitální průkaz potvrzující vztah klíče a jeho majitele s digitálním podpisem
přidělovacího místa. Většina poskytovatelů certifikátu bere za základ formát
standardu mezinárodní telekomunikační unie ITU (International
Telecommunications Union). Ten však poskytuje určitý volný prostor, a tak různé
aplikace za určitých okolností vyžadují různé certifikáty.

Registrační místo
Poskytovatel služeb, který přijímá žádosti o certifikáty, ověřuje osobní průkaz
žadatele a přiřazuje jménu, které je v něm poznamenáno, virtuální identitu
uživatelského jména. Proces registrace firmy musí úzce spolupracovat s
příslušným oddělením v této firmě. Je třeba, aby noví zaměstnanci firmy dostali
své certifikáty rychle a aby je ti, kteří odcházejí, museli neprodleně vrátit
zpět.

Seznam zablokovaných certifikátů
Dokument vedený certifikační autoritou obsahuje sériová čísla všech blokovaných
certifikátů. PKI aplikace posílají dotaz na schvalovací server OCSP (Online
Certificate Status Protocol) poskytovatele služeb, aby ověřily, zda je
certifikát ještě platný.

Paměťová média pro privátní klíče
Ochraně přístupu k privátním klíčům přísluší zvláštní význam. Tajný klíč
koneckonců dovoluje uživateli dešifrovat jemu určená data a provést digitální
podpis dokumentů. Nejbezpečnějším místem pro jeho uchování jsou čipové karty. A
to za předpokladu, že disponují takovým čipem a softwarem, který umí provádět
kryptografické operace uvnitř karty, takže privátní číselné heslo zůstane
uvnitř a nemusí být použito externě k podpisu nebo dešifrování PKI aplikací.
Ukládání ve formě dat v takzvaném Soft Tokenu poskytuje ve srovnání s čipovými
kartami disponujícími kryptografickými funkcemi podstatně slabší ochranu. Data
se totiž mohou poměrně snadno dostat do rukou zlodějů. Protože je privátní klíč
v Soft Tokenu šifrován pouze metodou používanou pro běžnou ochranu hesla, mohou
špioni heslo pomocí vhodného softwaru rozluštit. Výhoda metody Soft Tokenu
spočívá v nízké ceně a v tom, že se dá jednoduše zaintegrovat do PC na
pracovišti. Soft Tokeny uložené na centrálním místě nabízejí úroveň
zabezpečení, která leží mezi vysokou úrovní Smartcard a mnohem nižší úrovní
lokálně archivovaného privátního klíče.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.