Problémy a přínosy PKI

Otázka bezpečnosti dokumentů na internetu se dostává stále více do popředí. Když už alespoň část potenciálních...


Otázka bezpečnosti dokumentů na internetu se dostává stále více do popředí.
Když už alespoň část potenciálních uživatelů pochopila, k čemu jsou dobré
digitální podpisy a šifrování dokumentů, začínají první implementátoři narážet
na problémy s PKI a s nepružnými certifikačními autoritami.
Podívejme se společně pro inspiraci na situaci ve Švýcarsku. V této zemi byly
velmi záhy objeveny možnosti PKI (Public Key Infrastrukture). Avšak ani tady
neprobíhá její zavádění bez problémů. Tak například společnost Swisskey,
založená zhruba přede dvěma lety, zastavila přibližně před rokem udílení
certifikátů. Zároveň oznámila, že certifikáty udělené později než koncem června
2001, jsou neplatné. Jako zdůvodnění uvedla skutečnost, že v dohledné době
nevidí možnost dále nabízet tyto služby tak, aby se pokryly její náklady. V
této situaci se zákazníci tázali jiné švýcarské firmy, IT-Secure, která se
zabývá konzultační činností a integrací PKI, zda by současně nemohla pracovat
jako veřejná certifikační autorita. Pokud by tato společnost uvedené služby
nenabídla, zkomplikovala by svým zákazníkům život ale ani tak nestála před
snadným rozhodnutím.

Výměna
Nakonec vedení firmy dospělo k závěru, že novými metodami a koncepty je možno
vytvořit novou společnost, která bude na tomto poli úspěšná a to i ekonomicky.
Byla založena firma Swisscert, aby splnila úkol nové centrální švýcarské
certifikační autority.
"Především pro firmy, které nejsou součástí bankovního světa, je provoz vlastní
certifikační instance příliš nákladný, zatímco banky nás již uznávají jako
důležité partnery pro vybudování PKI," říká Daniel Büttiker, člen
představenstva firmy Swisscert. "Swisskey ztroskotal také proto, že z pohledu
zákazníků pracoval příliš nepružně a pomalu," poznamenává Büttiker. Basil
Gähwiler, který pracuje jako Channel Manager u firmy RSA Security, jejíž
software Keon Swisscert používá, doplňuje: "Swisskey tehdy vznikl a prostě
čekal, že se davy zákazníků budou ptát na certifikáty. Firma ale nemohla
vyhovět požadavkům zájemců, kteří certifikáty potřebovali skutečně rychle."
Swisscert má naopak podle jeho názoru daleko větší šanci, protože může stavět
na zákaznících, kteří již zaintegrovali PKI do svých obchodních procesů.
"Pracovat jako oprávněný poskytovatel certifikátů, certifikační autorita
(Certificate Authority, CA) pro nás zatím neznamená žádný velký byznys,"
vysvětluje Daniel Büttiker. Swisscert se zavázal, že vytvoří veřejnou CA podle
mezinárodních směrnic a norem a podřídí se švýcarskému zákonu o elektronických
podpisech.

Různé zájmy
"Abychom vyhověli zákazníkům, musí CA existovat trvale a plnit různé
požadavky," říká Büttiker. Zatímco například banky požadují vysoce zabezpečené
a důvěryhodné certifikáty, vystačí webové obchody a podobné firmy s certifikáty
nižší úrovně, avšak zároveň požadují, aby byly levnější. Koncoví uživatelé zase
upřednostňují maximální jednoduchost procesu vydávání certifikátů.
Kromě toho dochází ke střetu zájmů mezi zákazníky, kteří dávají přednost
otevřené nebo uzavřené PKI infrastruktuře. Zejména státní instituce například
požadují certifikáty, které může získat a používat kdokoliv. Naproti tomu banky
dnes upřednostňují uzavřenou PKI. Chtějí mít možnost omezit okruh uživatelů a
požadují především to, aby investice do drahého udělení certifikátu, kterou
učinily pro své zákazníky, zůstala zabezpečená. V otevřené PKI by mohla jiná
banka dále užívat již udělené certifikáty konkurence, a ušetřit si tak náklady.
Výhody a nevýhody otevřené a uzavřené PKI firma Swisscert vyrovnává tím, že
pomocí EA (Extended Attributes) zařazuje do certifikátů navzájem zabezpečené
přídavné informace. V kódovaných atributech pak mohou být umístěny například
informace o roli zákazníka v určité bance, ve veřejně přístupných atributech
adresa nebo jiné vlastnosti majitele, občana Švýcarska.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.