Pedagogická fakulta Jihočeské univerzity České Budějovice katedra informatiky Certifikáty a certifikační autority autor: vedoucí práce: Bc. Stanislav Čeleda PhDr. Milan Novák, Ph.D. rok zadání práce: 2010 datum: 28. 2. 2011
Abstrakt: Práce mapuje a analyzuje současné možnosti a problematiku digitálních certifikátů, jejich druhy, metody, principy a kvality z hlediska zabezpečení. Práce porovná služby významných českých certifikačních autorit, dále jejich činnosti a možnosti v procesu vydávání a používání digitálních certifikátů. Na základě získaných informací navrhuje nejvhodnější řešení podle požadavků na implementaci v různých internetových aplikacích bankovnictví, elektronické obchody, elektronické komunikace apod. Práce bude obsahovat praktické ukázky a postupy při implementaci a používání v různých internetových aplikacích nebo často využívaných redakčních systémech. Součástí práce bude zprovoznění funkčního webu vystavěného na redakčním systému s možností přihlášení pomocí digitálního certifikátu. Na tomto webu budou prakticky odzkoušeny získané poznatky a znalosti.
Abstract: Diploma Thesis is mapping and analysing current options and issues of digital certificates, their types, used methods, principles and quality abilities in terms of security. The work compares services of leading Czech CAs, as well as their activities and possibilities in the process of issuing and using digital certificates. Based on the obtained information suggests the most appropriate solution, as is required for implementation of various Internet applications - banking, e-commerce, electronic communication, etc. The work will include practical examples and procedures from the implementation and using of various Internet applications / frequently used content management systems. The work will include a functional web content management system with the ability of login using a digital certificate. On this site will be tested all the acquired knowledge and skills.
Zadání práce: Analýza problematiky certifikátů a certifikačních autorit se zaměřením na jejich implementaci do internetových systémů pro bezpečnou komunikaci. Student provede zmapování možností certifikačních autorit a jejich služeb. Na základě komparačního průzkumu zvolí nejvhodnější řešení pro praktickou implementaci bezpečné komunikace v rámci internetového prostředí. Pro praktické ukázky si student zvolí některou z dynamických technologií (PHP, ASP), ve které provede odzkoušení analyticky získaných poznatků z problematiky certifikačních autorit. Doporučená literatura: ANDREW, L. Bezpečnost sítí na maximum. Praha : Computer Press, 2006. 280 s. ISBN 80-251-0805-8. DOSTÁLEK, L., VOHNOUTOVÁ, M. Velký průvodce infrastrukturou PKI a technologií elektronického podpisu. Praha : Computer Press, 2006. 56 s. ISBN 80-251-0828-7.
Východiska práce: Slovo komunikace pochází s latinského communicare znamenající sdílet, radit se. První komunikace mezi lidmi vznikla pravděpodobně u našich prapředků, kteří měli potřebu spolu sdílet a radit se o způsobu lovu, výměny potravin, obrany apod. Od té doby lidstvo ušlo velký kus cesty a od jednoduchých posunků se dostalo k řeči, k písmu a samozřejmě také k digitální komunikaci. Během několika okamžiků dokážeme přenést obsah celých knihoven z jednoho konce světa na druhý. Odeslána byla radiová zpráva do vesmíru o existenci naší civilizace. Očekáváme, že jiné inteligentní bytosti naši zprávu zachytí a třeba nám i odpoví. I když vzdálenost, kterou musí naše zpráva urazit, je za hranicemi toho, že někdo z dnes žijících se dočká této odpovědi. Další potřebou bylo zabezpečit, aby odeslaná zpráva byla doručena správnému adresátovi a adresát měl jistotu, že pochází od skutečného odesílatele a že zpráva nemohla být zneužita další stranou. Znamená to, že zpráva nebyla čitelná jiným osobám a nebyla změněna. Tak vznikly první šifry, šifrovací tabulky nebo šifrovací stroje. Každý určitě zná šifrovací stroj Enigma, používaný za 2. sv. války k šifrování tajných vojenských údajů. V dnešním objemu přenášených dat si těžko vystačíme s šifrovací tabulkou nebo mechanickým šifrovacím strojem. Proto museli přijít další moderní metody zabezpečení digitální komunikace. Před praktickou ukázkou nasazení digitálního certifikátu, se s těmito metodami seznámíme a provedeme jejich analýzu a srovnání. Cíl práce: V teoretické části práci je cílem analyzovat v současné době používané metody (ve smyslu způsoby) autentizace. Budou popsány základní metody pro zjištění identity: metoda založená na uživatelském jménu a heslu, metoda za využití hardwarové pomůcky, tzn. hardwarového klíče, autentizačního tokenu, systému veřejných a soukromých klíčů v asymetrické kryptografii, metoda založena na porovnání otisků prstů, oční duhovky nebo dalších biometrických vlastností. Tyto metody budou analyzovány a porovnány především z hlediska zneužití a náročnosti překonání, dále z hlediska technické náročnosti a spolehlivosti a z hlediska nákladů na implementaci. Také budou zohledněny možnosti případné kombinace těchto metod pro zvýšení bezpečnosti. Na základě těchto analýz budou jednotlivé metody rozděleny podle vhodnosti použití v typických aplikacích. Hlavní část práce bude analyzovat digitální certifikáty a certifikační autority. Bude popsána činnost certifikační autority od vydání certifikátu, přes proces použití v různých aplikacích. Také bude popsán proces revokace certifikátu v případě kompromitace
soukromého klíče nebo jiného závažného důvodu, který ukončuje předčasně platnost vydaného certifikátu. Budou zmíněny právní normy, které definují různé druhy certifikátů. V neposlední řadě budou porovnány české certifikační autority, které získaly akreditaci Ministerstva vnitra České republiky. Komparace bude provedena z hlediska nabízených služeb a produktů, možností nastavení, rychlostí reakce na požadavky (např. na revokaci certifikátu) a cen. Pro srovnání bude do analýzy zařazena i některá certifikační autorita, která poskytuje služby zdarma. V další části budou analyzované samotné digitální certifikáty. Nejdříve však budou vysvětleny jednotlivé položky certifikátu, jejich obsah a typické využití, dále třídy a druhy certifikátů. Zvláštní pozornost bude věnována kryptografickým algoritmům, protože především na jejich kvalitě závisí spolehlivost celého procesu. Bude vysvětlen průběh tvorby digitálního podpisu a jeho princip, který musí splňovat základní požadavky na autenticitu, integritu a nepopiratelnost, případně časové razítko. V praktické části práce bude zprovozněn funkční webový server, vystavěny na redakčním systému, s možností autentizace prostřednictvím digitálního certifikátu v kombinaci s další jinou metodou. Pro nalezení vhodného modulu redakčního systému, bude vyzkoušeno více volně dostupných modulů, u kterých bude provedeno srovnání jejich možností instalace, nastavení parametrů, začlenění do systému a především spolehlivosti. Budou zdůrazněny řešené problémy, které vzniknou při implementaci příslušných modulů do systému. Metoda práce: Po shromáždění potřebných dat a jejich analýze bude provedena jejich komparace a přehledné zobrazení výsledků v tabulce. Certifikační autority budou porovnány z hlediska nabízených služeb a produktů, dostupnosti podpory (helpdesku), cenové náročnosti, dostupnosti jejich pracovišť apod. Hashovací funkce budou porovnány především z hlediska hlavního požadavku na nemožnost nalezení zprávy, která koresponduje se svým otiskem (hashem), případně doby, nutné pro prolomení této šifry tzv, hrubou silou. V praktické části bude porovnáno několik modulů, které zajišťují implementaci digitálního certifikátu do redakčního systému. Srovnávací parametry budou průběh instalace, parametrizace modulu,
začlenění do systému a stupeň spolehlivosti. Stav rozpracovanosti práce: V současné době jsem se sestavil pouze jednotlivé kapitoly: Digitální certifikáty Obsah certifikátu Princip certifikace Třídy certifikátů Druhy certifikátů (komerční, kvalifikovaný) Kvalita certifikátů Šifrovací algoritmy (RSA, DSA, ECDSA a další) Postup ověření a platnost certifikátů Revokace certifikátu Certifikační autority Činnost certifikační autority Důvěryhodnost certifikátu a certifikační autority Proces vydání a použití certifikátu Významné české certifikační autority, srovnání jejich služeb Implementace Instalace webového serveru (Požadavky na provoz serveru, instalace redakčního systému.) Instalace modulů (Výběr vhodných modulů do redakčního systému.) Testování (Průběh testování a typické problémy a jejich řešení.) Přečtená literatura: Dostálek, L., Vohnoutová, M., Knotek, M. Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, 2.akualizované vydání, Praha : Computer Press, 2009. 542 s. ISBN 978-80-251-2619-6.