Certifikáty veejných klí, PKI Základní pojmy: Certifikaní autorita - dvryhodná tetí strana, proces, který zajišuje vydávání a zneplatování certifikát veejných klí, pípadn poskytuje nkteré další služby. Jádro PKI. Certifikát veejného klíe - datová struktura, která svazuje veejný klí se subjektem, který disponuje odpovídajícím soukromým klíem. CRL, Certificate Revocation List, Seznam zneplatnných certifikát - Seznam certifikát, které bylo z njakých dvod nutné zneplatnit a zabránit tak jejich dalšímu používání. Seznam je digitáln podepsán Certifikaní autoritou. Koncový uživatel - držitel certifikátu, který není certifikaní autoritou. OCSP, Online Certificate Status Protocol - Protokol sloužící ke získávání informací o stavu certifikát. PKI, Public Key Infrastructure, Infrastruktura veejných klí - souhrn technických prostedk, organizaních opatení a lidských zdroj, které umožují vytváet, spravovat, ukládat, distribuovat a revokovat certifikáty veejných klí. Poskytovatel certifikaních služeb - Subjekt, který vydává certifikáty veejných klí, vede jejich evidenci a pípadn poskytuje další související služby. Identifikace - tvrzení uživatele o své totožnosti. Autentizace - Dkaz identifikace. Uživatel prokáže (znalostí hesla, vlastnictvím soukromého klíe odpovídajícího veejnému klíi, kterým se identifikuje), že je tím, kým tvrdí, že je. Autorizace - piazení pístupových práv uživateli na základ úspšné autentizace. Nepopiratelnost - [ISO 13888] Cílem služby nepopiratelnosti je vytváet, shromažovat, udržovat, zajistit dostupnost a ovovat dkazy týkající se údajné události nebo innosti, aby bylo možné ešit spory o tom, zda se událost nebo innost vyskytla i nikoliv. Asymetrické šifrovací techniky a podmínky jejich použití S rozšiováním kapacity poítaových sítí, zvyšováním potu uživatel sítí a masovým využíváním Internetu se dostává do popedí otázka bezpenosti dat penášených pes nezabezpeené datové sít. Vyvstává nutnost spolehlivé identifikace a autentizace uživatel a zajištní dvrnosti penášených dat. K tmto úelm se stále více využívají asymetrické šifrovací techniky. Každý subjekt, který využívá asymetrické šifrovací techniky, má k dispozici dvojici šifrovacích klí: klí soukromý, který je teba peliv stežit, aby nedošlo k jeho prozrazení a zneužití, klí veejný, který je teba dát k dispozici ostatním úastníkm komunikace. Neodvoditelnost soukromého klíe z klíe veejného je vždy založena na nkterém výpoetn složitém matematickém problému (RSA, DSA, Eliptické kivky). Veejný klí je tedy možné publikovat bez nebezpeí prozrazení soukromého klíe. Asymetrické šifrovací techniky se využívají k následujícím úelm: k ovení pvodu dat a jejich integrity ( tedy k autentizaci a k vytváení digitálního podpisu, v kombinaci s hashovacími funkcemi), k zajištní neodmítnutelnosti odpovdnosti za vykonanou akci, 1
k zajištní dvrnosti dat, zejména k výmn symetrických šifrovacích klí (tajných klí), kterými se vlastní data šifrují (Digitální obálka, šifrování pi on-line komunikaci) Pi použití asymetrických šifrovacích technik je zapotebí ešit dva zásadní problémy: jak spolehliv zjistit, že daný veejný klí patí danému subjektu, jak bezpen uschovat soukromý klí, aby nedošlo k jeho prozrazení a zneužití. Pokud není vazba mezi subjektem a veejným klíem dostaten provena, mže se stát, že dojde k prozrazení dvrných dat, nebo že není možné se spolehnout na pvod dat. Proto se veejné klíe nedistribuují samy o sob, ale úastnící komunikace pracují s takzvanými certifikáty veejných klí. Certifikát veejného klíe je digitální potvrzení o tom, že daný veejný klí patí danému subjektu. Krom veejného klíe a jména subjektu obsahuje certifikát i další dležité informace jako dobu platnosti certifikátu, kdo certifikát vydal, k jakému úelu mže být certifikát použit a podobn. Certifikáty vydávají instituce zvané certifikaní autority. Certifikaní autority mohou být ureny pro uzavenou komunitu - zamstnance uritého podniku, klienty banky, studenty university a podobn. Existují také veejné certifikaní autority, které vydávání certifikát poskytují jako službu. Vydávají certifikáty každému, kdo splní urité pedem definované podmínky. Dležitým úkolem Certifikaní autority je krom vydávání certifikát uchovávání a zveejování seznamu certifikát, které bylo z njakých dvod nutné zneplatnit. Tento seznam mže být zveejnn ve form Seznamu zneplatnných certifikát (Certificate Revocation List - CRL) nebo uložen v databázi Certifikaní autority a pístupný uživatelm protokolem OCSP. Pokud je certifikát uveden v CRL nebo se prostednictvím OCSP ukáže jako zneplatnný, znamená to, že mu nelze nadále dvovat. Certifikát je zapotebí zneplatnit napíklad tehdy, když byl ztracen nebo prozrazen soukromý klí držitele certifikátu, nebo když se zmnily údaje, které jsou v certifikátu uvedeny. Problém bezpené úschovy soukromého klíe se obvykle eší tak, že klí není na disku nebo jiném médiu uložen v otevené itelné podob, ale je zašifrován pomocí hesla nebo takzvané passphrase. Pokud má být soukromý klí použit, je nejprve zapotebí zadat heslo nebo passphrase, kterým se klí dešifruje, uloží v operaní pamti poítae a potom používá k operacím, které soukromý klí vyžadují. Soukromý klí v otevené podob tedy existuje v pamti poítae, což v nkterých pípadech mže vést k jeho prozrazení. Jistjší je uložit soukromý klí do njakého bezpeného hardware - kryptografického tokenu. Tokenem mže být napíklad ipová karta nebo kryptografický akcelerátor. Soukromý klí neopouští token a veškeré operace se soukromým klíem se provádjí v tokenu. Manipulace s rznými typy asymetrických klíových pár je do jisté míry odlišná. Klíe urené pro šifrování mohou být sdíleny vtším potem uživatel a je teba je archivovat,aby v pípad ztráty nebo poškození klíe nedošlo ke ztrát šifrovaných dat. Klíe používané pro autentizaci a elektronický podpis musí mít uživatel pod svou výhradní kontrolou. Protože autentizaní mechanizmy využívají technologii digitálního podpisu, je pi požadavku na nepopiratelnost elektronického podpisu poteba oddlit i klíové páry používané pro autentizaci a pro elektronický podpis - bhem autentizaního dialogu uživatel neví, co je obsahem etzc, které podepisuje, a mohl by tedy vytvoit podpis podvržených dat. 2
Standardizace Širokému využití asymetrických šifrovacích technik napomáhají zavedené standardy, které kodifikují, jak se mají asymetrické šifrovací techniky v aplikacích používat. Základním standardem v této oblasti je ITU-T standard X.509 (ITU-T Recommendation X.509 - Information Technology - Open Systems Interconnection - The Directory: Authentication Framework). Certifikáty a CRL vydané podle tohoto standardu se užívají v mnoha aplikacích. Protokoly jako SSL (TLS), S/MIME, IPsec poítají s takovými certifikáty jako s prostedkem autentizace uživatel a výmny šifrovacích klí. V souasné dob se certifikáty veejných klí nejastji vydávají podle verze 3 standardu X.509. CRL odpovídají verzi 2 standardu. Formát certifikátu veejných klí a CRL odpovídajících standardu X.509 a sémantiku jednotlivých položek certifikát a CRL v rámci internetové komunity upesuje standard RFC 3280. Tento standard také udává seznam doporuených a povinných rozšíení certifikát a CRL pro použití v Internetu a budeme se mu podrobnji vnovat v nkteré další pednášce. Certifikát veejného klíe Jak bylo eeno, certifikát veejného klíe jednoznan svazuje veejný klí se subjektem, který disponuje odpovídajícím soukromým klíem (osoba, server, proces). V každém certifikátu veejného klíe odpovídajícím standardu X.509 musí být minimáln uvedeno: Veejný klí Identifikace vlastníka veejného klíe Identifikace vydávající Certifikaní autority Jedinené íslo certifikátu v rámci vydávající CA Doba platnosti certifikátu Podpis certifikaní autority Verze standardu X.509 Struktura X.509 v3 certifikátu veejného klíe: 3
Verze standardu X.509 Sériové íslo Podpisový algoritmus Vystavitel Doba platnosti Subjekt V3 Jednoznané v rámci vystavitele certifikátu Identifikátor algoritmu, který byl použit pro podpis certifikátu a identifikátor hashovací funkce Musí obsahovat neprázdné rozlišovací jméno (DN, Distinguished Name) ve formátu definovaném standardem X.501 resp. X.520. Definováno i kódování polí Od - do Identifikace vlastníka veejného klíe. Nepovinná položka, pokud se nejedná o certifikát Certifikaní autority. Identifikace koncového uživatele mže být uvedena i v rozšíení certifikátu Subject Alternative Name. Veejný klí Rozšíení certifikátu Jednoznaný identifikátor vystavitele a subjektu certifikátu Použití veejného klíe Identifikace certifikaních politik Alternativní název subjektu (Subject Alternative Name) Distribuní místo seznamu zneplatnných certifikát Pokud je položka neprázdná, musí obsahovat rozlišovací jméno (DN) ve formátu X.501 a toto jméno musí být jedinené pro každý subjekt v rámci jedné Certifikaní autority. etzec klíe a identifikátor algoritmu. Slouží k piazení dalších atribut k subjektu nebo veejnému klíi. Subjekt Hashová hodnota veejného klíe subjektu vetn identifikátoru hashovací funkce Vystavitel DN CA, která vystavila certifikát vystaviteli + sériové íslo certifikátu vystavitele hashová hodnota veejného klíe vystavitele vetn identifikátoru hashovací funkce. Omezení pro použití veejného klíe Informace o certifikaní politice, podle které byl vydán certifikát koncového uživatele. V pípad CA výet aplikovatelných certifikaních politik v certifikaním etzci, který obsahuje certifikát dané CA. Piazení další identity držiteli certifikátu. Typickým píkladem je RFC822 emailová adresa nebo IP adrese serveru. Odkaz na distribuní místo CRL (URI, LDAP, ) Seznam položek certifikátu uvedený v tabulce není v žádném pípad kompletní, jsou zde uvedeny pouze nejastji používané položky a nkteré možnosti jejich naplnní. Žádné z rozšíení certifikátu není povinnou souástí certifikátu. Každé rozšíení v certifikátu lze oznait jako kritické nebo jako nekritické. Podle této kategorizace pak k položkám rozšíení certifikátu pistupují uživatelé a aplikace. 4
CRL, Seznam zneplatnných certifikát Bhem života certifikátu veejného klíe mže nastat situace, kdy je tento nutné zneplatnit (podezení na kompromitaci odpovídajícího soukromého klíe, zmna údaj v certifikátu) a dát uživatelm certifikátu na vdomí, že certifikát byl zneplatnn a není možné mu nadále dvovat. Certifikát zneplatní na žádost jeho držitele nebo, za speciáln definovaných podmínek na žádost nkoho jiného nebo dokonce z vlastní vle, Certifikaní autorita a zveejní ho na seznamu zneplatnných certifikát (CRL) nebo zpístupní informaci o zneplatnní certifikátu protokolem OCSP. V dnešní dob stále pevažuje zveejování zneplatnných certifikát formou CRL. V každém CRL odpovídajícím standardu X.509 musí být minimáln uvedeno: Identifikace vydávající Certifikaní autority as vydání Seznam zneplatnných certifikát (sériové íslo, as zneplatnní) Podpis vydávající CA as, kdy bude nejpozdji vydán další CRL Verze standardu X.509 Struktura X.509 v2 CRL: Verze standardu X.509 Podpisový algoritmus Vystavitel as vystavení CRL Píští CRL V2 Identifikátor algoritmu, který byl použit pro podpis CRL a identifikátor hashovací funkce Musí obsahovat neprázdné rozlišovací jméno (DN, Distinguished Name) ve formátu definovaném standardem X.501 resp. X.520. Povinný asový údaj as, kdy bude nejpozdji vydán další CRL. Omezuje platnost CRL 5
Seznam zneplatnných certifikát Rozšíení CRL Identifikátor certifikaní autority Alternativní název autority Sériové íslo Issuing Distribution Point Dvod zneplatnní certifikátu Invalidity date U každého uvedeno sériové íslo a as zneplatnní Slouží k piazení dalších atribut k CRL Viz. identické rozšíení certifikátu veejného klíe Piazení další identity vystaviteli CRL (RFC822 email, IP adresa) Jedinené v rámci vystavující CA Odkaz na distribuní místo CRL, úel a typ CRL Uveden u sériového ísla certifikátu asový údaj, který udává, od kdy je dvod se domnívat, že certifikátu není možné dvovat. Ani seznam položek CRL v tabulce není kompletní a jsou uvedeny pouze nejastji používané položky a nkteré možnosti jejich naplnní. Žádné z rozšíení CRL není jeho povinnou souástí. Každé rozšíení v CRL (krom Issuing Distribution Point, které pokud je v CRL uvedeno, musí být kritické) lze oznait jako kritické nebo jako nekritické. Podle této kategorizace pak k položkám rozšíení CRL pistupují uživatelé a aplikace. PKI - Infrastruktura veejných klí Certifikaní autorita vydávající certifikáty a CRL podle standardu X.509 se stává jádrem infrastruktury veejných klí (Public Key Infrastructure - PKI). PKI je souhrn technických prostedk, organizaních opatení a lidských zdroj, které umožují vytváet, spravovat, ukládat, distribuovat a revokovat certifikáty veejných klí. Úkolem PKI je zajistit správu veejných klí a certifikát veejných klí tak, aby pomocí asymetrických šifrovacích technik bylo možné poskytovat bezpenostní služby jako jsou autentizace, zajištní nepopíratelnosti pvodu a dvrnosti. Historie PKI, modely PKI Pojem PKI se objevuje v polovin 80 let minulého století. První PKI se objevily v podob monolitického systému sestávajícího z jedné koenové Certifikaní autority. Nebyly standardy ani aplikace, které by certifikáty využívaly. Rizika vyplývající z provozu PKI nebyla popsána a mnohdy ani známa, chyblo vymezení povinností a odpovdností. Rzné modely PKI, které vznikaly tak, jak se PKI postupn rozvíjela se do velké míry shodují s tím, jaká PKI jsou implementována v dnešní dob. 6
Monolitický systém Face to face registrace Certifikaní autorita, není v tomto modelu navázána na žádné další systémy a procesy. Uživatelm jsou certifikáty vydávány pímo na pracovišti certifikaní autority, mohou být zveejovány nap. prostednictvím adresáových služeb. Rzné stupn zabezpeení pracovišt Certifikaní autority i CA samotné. o CA provozována v off-line režimu o Klíe CA uloženy v hardwarovém modulu o Klíe CA uloženy v chránné form na disku Toto ešení je i v souasné dob vhodné pro malé organizace s definovaným a omezeným potem koncových uživatel. Bude jednat se o tzv. uzavenou PKI, kde poskytovatel certifikaních služeb a všichni uživatelé mají definovaný vztah (daný smlouvou). Povinnosti uživatel jsou popsány v dokumentech PKI, smlouva se na n mže odvolávat. Hierarchie Certifikaních autorit Face to face registrace V tomto modelu se objevuje koenová Certifikaní autorita (Root CA) jako spolený koen dvry hierarchie podízených Certifikaních autorit. Tyto podízené certifikaní autority mohou být distribuovány (rzná oddlení jedné organizace, rzné 7
organizace) a fungují jako monolitické podsystémy se spoleným dvryhodným koenem. Distribuovaná architektura PKI RAO Face to face registrace V tomto modelu dochází k oddlení pravomocí a proces registrace žádosti o certifikát je fyzicky i technicky penesen na pracovišt registraní autority. Registraní autorita pípadn operátor registraní autority kontrolují žádost o certifikát i právo žadatele o certifikát žádat. Funkce certifikaní autority se redukuje na podepisování certifikát a CRL, jejich zveejování a udržování databáze vydaných certifikát. Tento model PKI bude implementován v organizaci, která požaduje vydávat vtší a pedem tžko odhadnutelné množství certifikát jak pro své zamstnance, tak pro externí uživatele, kteí mohou vydané certifikáty používat napíklad pro zabezpeení elektronické komunikace nebo pro autentizaci pi pístupu k extranetu organizace. Takto postavená PKI je snáze rozšiitelná a modifikovatelná v pípad zmny požadavk na její funkci, je však také mnohem více propojena s existující strukturou organizace a klade velké nároky na související organizaní a bezpenostní opatení. V tomto, tzv. síovém modelu PKI mají pedem definovaný a smluvn upravený vztah uživatelé certifikát a poskytovatel certifikaních služeb, tetí strany jsou zapojeny na základ dohodnutých pravidel daných zvláštními smlouvami. 8
Modulární PKI Kížové certifikace LDAP RAO LDAP VPN E-mail Browser OCSP o Gateways - registrace prostednictvím www rozhraní nebo VPN o ARM, advanced registration module - automatizované vydávání certifikát. o WebRAO server a klient - mobilní pracovišt RA o UPM, univerzální publikaní modul - publikace vydaných certifikát a CRL nap. do adresáových služeb nebo validaní autorit o VA validaní autorita (OCSP responder) o AS archivaní server o TSS timestamp server o Kížové certifikace Typicky se bude jednat PKI veejného poskytovatele certifikaních služeb. Takováto PKI je otevená veejnosti bez omezení, s poskytovatelem certifikaních služeb mají smlouvu pouze držitelé certifikát. Tetí strany, spoléhající se na vydané certifikáty s poskytovatelem žádnou smlouvy mít nemusí, dvra ve vydané certifikáty je založena na dvryhodnosti poskytovatele certifikaních služeb. Žádná smlouva také nedefinuje práva a povinnosti tetích stran, spoléhajících se na vydané certifikáty, právní prostor je zde vymezen exitujícími právními pedpisy (Zákon o el. podpisu, zákon o ochran osobních údaj, trestní ád, ) 9
Budování PKI Vlastní technologické ešení tvoí zhruba 20% ešení celého. Dobe navržená PKI vymezuje hranice odpovdnosti, takže je možné zjistit, že byla pravidla porušena a je možné rozhodnout, kdo pravidla porušil. o Model PKI o Plán implementace o Adresáové služby o Proces registrace o Soulad s právním prostedím o Soulad se standardy o Jmenné konvence o Ochrana osobních údaj o OID o Fyzická bezpenost o Bezpené uložení klí o Archivaní politika o Zálohovací a archivaní systémy o Audit o Zajištní podpory a servisu o Instalace a konfigurace systému o Testy systému o Školení obsluhy o Školení uživatel o Školení podpory o Sí, firewalls o Správa klí o Proces revokace o OCSP, CRL o Správa ipových karet o Certifikaní politiky o Bezpenostní politika o Provozní procedury o Proces obnovy certifikátu o CPS o Havarijní plánování o Strategie obnovy Úskalí Budování PKI je multidisciplinární záležitost, zasahuje mimo oblast IT a vyžaduje zalenní do existujících proces organizace a i zmny proces v celé organizaci. Vybudovat dvryhodnou PKI je dlouhodobá záležitost a i po uvedení PKI do provozu je teba soustavn sledovat vývoj nejen na poli technologickém, ale i legislativním a také soulad s platnými standardy. Dalším úskalím mže být i nepipravenost aplikací na práci s certifikáty veejných klí a asymetrickými šifrovacími technikami a díky tomu i malé využití draze vybudované struktury. 10