Embed Size (px)
Citation preview
STUDIJSKI PROGRAM: TEHNIKA I INFORMATIKAPREDMET: ZAŠTITA RAČUNARSKIH SISTEMA
PROJEKAT
TEMA: DIGITALNI SERTIFIKATI
Student: Profesor:Dejan Rendulić 538/2010 Dr. Borislav Đorđević
UNIVERSITY OF KRAGUJEVACTECHNICAL FACULTY - ČAČAK
УНИВЕРЗИТЕТ У КРАГУЈЕВЦУТЕХНИЧКИ ФАКУЛТЕТ-ЧАЧАК
Sadržaj
1. Uvod ....................................................................................................... 2
2. Elektronsko poslovanje........................................................................... 3
3. Infrastruktura javnih ključeva (PKI)....................................................... 4
4. Asimetrična kriptografija........................................................................ 5
5. Tehnologija digitalnog potpisa................................................................ 6
6. Digitalni sertifikati....... .......................................................................... 6
7. Mediji za čuvanje digitalnih sertifikata................................................... 10
8. Zaključak..................................................................................................11
9. Literatura..................................................................................................11
1
1. Uvod
Tehnologija koja se opisuje je izuzetno obimna. To ne iznenađuje ako se prisetimo da je teorijski razvoj njenih osnova počeo još sedamdesetih godina prošlog veka i da intenzivno traje i danas. Njena namena je maksimalno obezbeđivanje identifikacije osoba ili sistema i privatnosti podataka. Mnoge procedure su u čitavom svetu još u razradi, a mogu se i razlikovati u različitim državama.
Digitalni sertifikat je struktura podataka koja za cilj ima pouzdano povezivanje javnog ključa sa podacima o njegovom nosiocu, obezbeđujući na taj način proveru identiteta pri, na primer, digitalnom potpisivanju. Sertifikat može biti samopotpisani ili kvalifikovani. Samopotpisani su u tehničkom pogledu jednaki, ali samopotpisani može da izda bilo ko, a to može korisnik uraditi i sasvim sam. Uglavnom se koriste interno, ili se pravna snaga dobija potpisivanjem posebnog obavezujućeg ugovora sa korisnikom (kao u e-banking sistemima).
Daleko značajniji je kvalifikovani digitalni sertifikat, koji po Zakonu o digitalnom potpisu i pripadajućim podzakonskim aktima može da izda samo sertifikaciono telo koje ispunjava određene zakonske uslove i ima dozvolu za rad. Kvalifikovani digitalni sertifikat sa odgovarajućim parom ključeva se može upotrebiti za kreiranje „kvalifikovanog digitalnog potpisa“ elektronskog dokumenta, koji je po pravnoj snazi ekvivalentan papirnom dokumentu potpisanom na klasičan način – olovkom i pečatom.
Čak i prema pomenutom zakonu, postoji nekoliko izuzetaka od ovog pravila – recimo, prenos prava svojine na nepokretnosti, uređenje imovinskih odnosa između bračnih drugova, ugovori o poklonu, ugovori o doživotnom izdržavanju, sporazumi u vezi sa nasleđem za sada će se potpisivati na klasični način.
2
2. Elektronsko poslovanje
Elektronsko poslovanje predstavlja skup poslovnih aktivnosti koje se odvijaju posredstvom informaciono-komunikacionih tehnologija, a posebno Interneta.
Modeli e – poslovanja:
B2B (Business to Business). B2C (Business to Customer). C2C (Customer to Customer). B2E (Business to Employee). B2G (Business to Government). G2C (Government to Customer).
Zloupotreba u e-poslovanju:
On-line aukcije. Investicione prevare. Prevare sa kreditnim karticama. Krađe identiteta. Krađe podataka.
Uspeh elektronskog poslovanja (e-business) zavisi od zaštite Internet komunikacija, odnosno, od mogućnosti zaštite on-line transakcija.
Internet
loša stranadobra strana
pruža velike mogućnosti u oblasti elektronskog poslovanja
donosi problem zaštite podataka i mrežnih resursa
3
Bezbednosne mere mogu biti:
Fizičke Kriptografske
o Šifra o Digitalni potpis
Osnovne funkcije zaštite:
o Tajnost (Confidentiality) - garantuje se da sadržaj poruke može da sazna jedino korisnik kome je poruka namenjena.
o Autentifikacija (Authentication) - verifikuje se identitet korisnika koji komuniciraju preko mreže.
o Integritet (Integrity) - garantuje se da poruka nije promenjena prilikom prenosa.
o Neporecivost (Nonrepudiation) - onemogućava se poricanje izvršene transakcije.
3. Infrastruktura javnih ključeva (PKI - Public Key Infrastructure)
PKI sistem je informacioni sistem. PKI predstavlja kombinaciju softvera, hardvera, tehnologije šifrovanja podataka i usluga koje su namenjene da zaštite bezbednost komunikacija i poslovnih transakcija koje se obavljaju preko računarske mreže. Zadatak PKI je zaštita podataka i mrežnih resursa. Baza PKI predstavlja tehnologija javnih kriptografskih ključeva. Osnovni koncept na kome se zasniva PKI sistem je asimetrična kriptografija.
Komponente PKI sistema:o Sertifikaciono telo - CA (Certification Authority).o Registraciono telo - RA (Registration Authority).o Javni imenik ili direktorijum (Public Directory).o Klijentske ili korisničke aplikacije.
Sertifikaciono telo:
o Izdaje, obnavlja, suspenduje i opoziva digitalne sertifikate.o Konfiguriše različite vrste životnih ciklusa i drugih parametara sertifikata.o Objavljuje registre opozvanih sertifikata.o Vrši uzajamnu sertifikaciju sa drugim sertifikacionim telima.
Registraciono telo:
o Predstavlja sponu između korisnika koji postavlja zahteve za izdavanjem sertifikata i sertifikacionog tela.
o Prihvata zahteve korisnika za izdavanjem sertifikata.o Proverava identitet korisnika i prikuplja potrebne podatke o korisnicima.o Prosleđuje zahteve korisnika za izdavanje sertifikata ka sertifikacionom telu i dr.
Javni imenik ili direktorijum:
4
Javni imenik je lokacija na kojoj sertifikaciono telo objavljuje i čuva sledeće javne podatke:o javne podatke o korisnicima,o digitalne sertifikate,o registre opozvanih sertifikata.
Klijentske aplikacije:
Omogućavaju korisniku da upotrebom digitalnih sertifikata postignu određene ciljeve.Zadatak klijentske aplikacije:
o potpisivanje i šifrovanje elektronskih transakcija.o potpisivanje i šifrovanje datoteka.o prijavljivanje (logovanje) na računar, računarsku mrežu ili aplikaciju...o zaštićena e-mail komunikacija.o zaštićena web komunikacija.
4. Asimetrična kriptografija (kriptografija javnih kriptografskih ključeva)
Bazira se na korišćenju dva kriptografska ključa. Kriptografski ključ može biti:
o javni ključ (Public Key) – koristi se za šifrovanje podataka.o tajni ili privatni ključ (Private Key) – koristi se za dešifrovanje podataka.
Na sledećoj slici je prikazana implementacija asimetrične kriptografije.
o Korisnik B koji želi da prima šifrovana elektronska dokumenta poseduje par ključeva, javni i tajni.
o Javni ključ javno objavljuje tako da je on dostupan drugim korisnicima, dok tajni ključ čuva u tajnosti.
o Ukoliko korisnik A želi da pošalje šifrovan dokument korisniku B, on korišćenjem dostupnog javnog ključa korisnika B vrši šifrovanje dokumenta, a zatim tako šifrovan dokument prosleđuje korisniku B.
o Korisnik B posle preuzimanja šifrovanog dokumenta vrši njegovo dešifrovanje korišćenjem svog tajnog ključa koji je par javnom ključu kojim je taj dokument šifrovan.
5
5. Tehnologija digitalnog potpisa
Bazira se na rešenjima asimetrične kriptografije i na korišćenju dva kriptografska ključa. Digitalni potpis sprečava napadača da modifikuje sertifikat bez obavestenja CA o toj akciji, zato što digitalni sertifikat poseduje šifrovani sadržaj (hash) koji se nalazi unutar sertifikata. Ako je sadržaj sertifikata modifikovan, digitalno potpisani šifrovani sadržaj (hash) ce postati nevažeci i proces provere će propasti. Napadač nece moći da simulira identitet korisnika ili kompjutera koji se nalazi u listi sertifikata ako nema pristup privatnom kljucu koji je deo sertifikata.
Kriptografski ključevi:
o tajni ili privatni ključ - koristi se za potpisivanje podataka.o javni ključ – koristi se za verifikovanje potpisa.
Na sledećoj slici, prikazana je implementacija tehnologije digitalnog potpisa.
Korisnik A koji želi da potpisuje elektronska dokumenta poseduje par ključeva, javni i tajni. Ukoliko korisnik A želi da pošalje potpisan dokument korisniku B, on vrši potpisivanje
dokumenta svojim tajnim ključem, a zatim tako potpisan dokument prosleđuje korisniku B. Korisnik B posle preuzimanja potpisanog dokumenta vrši verifikovanje potpisa korišćenjem
javnog ključa korisnika A, koji je par tajnom ključu kojim je taj dokument potpisan.
6. Digitalni sertifikat
Digitalni sertifikat je elektronski dokument kojim se digitalni potpis povezuje sa identitetom korisnika i izdaje od strane sertifikaciono telo. Digitalni sertifikat može da se shvati kao digitalna lična karta. Digitalni sertifikat je elektronski podatak o identitetu sigurnosnog subjekta koji poseduje sertifikat. Sastoji se od javnih kljuceva koji nude informacije o subjektu sertifikata, validnost sertifikata, i aplikacije i servise koji mogu da koriste sertifikat. Takođe nudi nacin za identifikaciju subjekta koji je vlasnik sertifikata. Digitalni Sertifikati donose POVERENJE i BEZBEDNOST prilikom komunikacije ili obavljanja posla putem Interneta.
Digitalni sertifikati mogu da se nalaze na hard disku, smart kartici, ili na uredaju koji ima mogucnost da smesti elektronske podatke o identitetu (credentials) u formi sertifikata. Sertifikati su kriptografske tehnike koje identifikuju dva entiteta koja nameravaju da odrade transakciju. Iz tog razloga, aplikacija ili sen/is proverava svakog vlasnika sertifikata proveravanjem sertifikata koji poseduje svaki od entiteta.
6
Sertifikati
validni (valjani) nevalidni (opozvani)
Digitalni sertifikat sadrži:
podatke o identitetu korisnika kome je izdat sertifikat (ime i prezime, e-mail adresa,...). podatke o sertifikacionom telu. javni kriptografski ključ korisnika sertifikata.
Digitalni sertifikat je elektronski dokumenat koji je javno dostupan na Internetu. Distribucijom sertifikata se distribuiraju i javni ključevi vlasnika sertifikata (parovi njihovih tajnih kriptografskih ključeva).
Digitalni sertifikat je nemoguće falsifikovati jer je potpisan tajnim kriptografskim ključem sertifikacionog tela. Komunikacioni programi (na primer: Microsoft Internet Explorer) raspolažu sa digitalnim sertifikatima sertifikacionih tela kojima se veruje, pa samim tim i sa njihovim javnim ključevima.
Gde se koriste digitalni sertifikati ?Svuda gde je neophodno dokazati identitet učesnika u komunikaciji:
individualni korisnici ih koriste pri digitalnom potpisivanju email poruka i elektronskih dokumenata.
prilikom pristupanja računarskim resursima umesto korisničkog imena i lozinke. organizacije kojima je potreban pouzdan dokaz identiteta. serveri koji moraju da dokažu da se baš na njima nalazi sadržaj koji korisnik zahteva. softver za koji mora da se dokaže poreklo, tj. da nije lažan. za online bezbedne poslovne transakcije između kompanija. za sigurnost organizacija u privatnom, javnom i državnom sektoru.
Status sertifikata može biti promenljiv tokom vremena.
Zavisnoj strani je od interesa da zna da li je ponuđeni sertifikat validan ili nevalidan.Sa porastom novčanih on line transakcija raste interes za sticanjem vrhunskih garancija između
aktera transakcija. Faktori koji dovode do narušavanja validnosti digitalnih sertifikata:
1. gubitak sertifikata.2. kompromitovanja privatnog ključa.3. promene imena subjekta sertifikata.4. oštećenje sertifikata.5. .....
Procedura opoziva sertifikata:
1. Subjekti sertifikata se obraćaju sertifikacionom telu sa zahtevom za opoziv.2. Sertifikaciono telo proglašava sertifikat opozvanim.3. Sertifikat se smešta u listu opozvanih sertifikata.4. Lista se digitalno potpisuje od strane sertifikacionog tela i time štiti od neovlašćenog
rukovanja.Problem – veličina liste (opozvani sertifikati ostaju na listi sve dok im ne istekne rok važnosti).
7
Bilo koji sistem zasnovan na digitalnim sertifikatima bez provere valjanosi (validacije) u osnovi je nekompletan.
Cilj: jačanje poverenja kod zavisne strane na bazi validacije statusa sartifikata. Rešenje: u infrastrukturi javnog ključa ugraditi još jednu komponentu - Validaciono telo - VA
(Validation Authority)Validaciono telo je formirano u cilju potvrđivanja validnosti digitalnih sertifikata.
Osnovni zadaci validacionog tela:
provera roka trajanja sertifikata. provera procesa sertifikacionog tela i održavanje registra sertifikacionog tela koji
korisnici mogu da konsultuju prilikom odlučivanja o nivou poverenja u određeno sertifikaciono telo.
provera svrhe sertifikata.(npr. da li je sertifikat validan za transakciju plaćanja).
Na sledećoj slici je prikazana pozicija validacionog tela u sastavu infrastrukture javnog ključa.
Na sledećoj slici je dat prikaz digitalnog potpisivanja bankarskih transakcija:
banka zahteva potpis za transakciju.
8
klijent bira sertifikat i koristi ga za potpisivanje. transakcija se potvrđuje i digitalno potpisuje. banka verifikuje i skladišti sertifikat. banka kompletira transakciju i šalje potvrdu klijentu.
Prednosti ovakvog sistema:
identifikacija klijenta. digitalno potpisivanje transakcija. prijem rezultata verifikacije digitalnog potpisa od servera.
Možemo navesti neke vrste elektronskih sertifikata:
Kvalifikovani sertifikat. WEB sertifikat. SER sertifikat za Web server. Unified Communications sertifikat. TSA sertifikat za Timestamp server. VPN sertifikat za VPN server. Code Signing sertifikat.
Kvalifikovani sertifikati su standardni X.509 verzija 3 sertifikati koji mogu da se koriste za kreiranje i verifikovanje kvalifikovanog elektronskog potpisa, koji ima isto pravno dejstvo kao svojeručni potpis, u skladu sa Zakonom o elektronskom potpisu ("Službeni glasnik Republike Srbije", br. 135/2004) i Evropskom Direktivom 1999/93/EC o elektronskom potpisu (DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures).
WEB sertifikati su standardni X.509 verzija 3 sertifikati koji mogu da se koriste u okviru Microsoft aplikacija (Internet Explorer, Outlook, Outlook Express, Word, Excel, PowerPoint i drugih) i aplikacija drugih proizvođača (Mozilla Firefox i Thunderbird, Adobe Acrobat i Reader, OpenOffice Writer i drugih), za autentifikaciju, šifrovanje/dešifrovanje i potpisivanje/verifikovanje potpisanih datoteka, elektronskih pisama i transakcija.
SER sertifikati za Web servere su standardni X.509 verzija 3 sertifikati koji se koriste za konfigurisanje SSL (Secure Sockets Layer) i/ili TLS (Transport Layer Security) protokola na Web serverima (Microsoft IIS, Apache, Sun-Netscape iPlanet, Red Hat Stronghold, Sun ONE, IBM HTTP Server,...). Namena SSL i TLS protokola je uspostavljanje zaštićenog komunikacionog kanala između Web servera i Web klijenata.
Unified Communications sertifikati ili SAN sertifikati su standardni X.509 verzija 3 sertifikati za SSL/TLS komunikaciju između Web servera i Web klijenata, kao i za komunikaciju između servera. Unified Communications sertifikat može da sadrži više imena servera u polju sertifikata "Subject Alternative Name".
TSA sertifikati za Timestamp servere su standardni X.509 verzija 3 sertifikati koji mogu da se koriste za kreiranje i verifikovanje elektronskog potpisa vremenskih žigova.
VPN sertifikati za VPN servere su standardni X.509 verzija 3 sertifikati za VPN komunikaciju između VPN servera (na primer: Cisco PIX 525) i VPN klijenata (na primer: Cisco VPN Client).
Code Signing sertifikati su standardni X.509 verzija 3 sertifikati koji mogu da se koriste za kreiranje i verifikovanje elektronskog potpisa softverskog koda (.exe, .ocx, .dll i .cab datoteka).
7. Mediji za čuvanje digitalnih sertifikata
9
Hard disk, disketa ili CD, PKI smart kartica, PKI USB smart token.
Najviši nivo sigurnosti se postiže ako se kao mediji za elektronske sertifikate i tajne (privatne) kriptografske ključeve koriste PKI smart kartice i PKI USB smart tokeni.
Kvalifikovani elektronski sertifikati i tajni (privatni) kriptografski ključevi mogu da se čuvaju isključivo na PKI smart karticama i PKI USB smart tokenima koji su sredstvo za formiranje kvalifikovanog elektronskog potpisa (Secure Signature Creation Device - SSCD), u skladu sa Pravilnikom o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa ("Službeni glasnik Republike Srbije", br. 13/2010).
8. Zaključak
Čitač smart kartica i smart kartica USB smart token
10
Sve brži razvoj informacionih sistema i promet elektronskih dokumenata u državnoj administraciji, bankarstvu, pravosuđu i ostalim sferama društva, kao i komuniciranje u otvorenim mrežama bez direktnog ličnog kontakta, zahteva nove oblike utvrđivanja identiteta i zaštite sadržaja koji se razmjenjuje.
Plaćanje proizvoda i usluga u trgovini je staro koliko i ljudska civilizacija. Napredak ljudskog društva je uvek bio direktno vezan za razvoj sistema plaćanja u trgovini, od lokalne pijace do Wall Street-a. Sa pojavom Interneta odmah se uvideo njegov komercijalni potencijal, ali je trebalo da prođe dosta vremena i pokušaja dok se nije uspostavio system koji je funkcionisao onako kako se želelo.
Uvođenjem elektronskog poslovanja, (e-business) ili poslovanja posredstvom interneta, omogućeno je brže, efikasnije i ekonomičnije poslovanje u odnosu na poslovanje bez korišćenja interneta. Pri tome, uspeh elektronskog poslovanja (e-business) zavisi od zaštite internet komunikacija. Naime, internet pruža velike mogućnosti u oblasti elektronskog poslovanja, ali sa druge strane donosi problem zaštite identiteta korisnika, podataka i mrežnih resursa.
Dok se funkcije zaštite tajnosti i integriteta podataka mogu realizovati i primenom tradicionalnih simetričnih tehnika, funkcije autentičnosti i neporecivosti transakcija zahtevaju primenu asimetričnih kriptografskih sistema. Najbolje karakteristike pokazuju sistemi u kojima su realizovane sve pomenute metode ( infrastruktura javnih ključeva, digitalni potpis i digitalni sertifikat ).
Infrastruktura javnih ključeva (PKI) obezbeđuje pouzdan metod za realizaciju svih osnovnih bezbednosnih zahteva (servisa), koji su bazirani na precizno utvrđenoj politici rada. Ona će brzo postati ključna karika svih sistema elektronske trgovine i korporacijske bezbednosti i sigurno će dominirati u bezbednosnim sistemima budućnosti.
9. Literatura
[1] "Zakon o elektronskom potpisu", "Službeni glasnik Republike Srbije", broj 135/2004.
[2] "PKI sistem i Sertifikaciono telo Pošte", preuzeto sa internet strane http://www.ca.posta.rs/, posećene dana 31.01.2011. god.
[3] "Elektronsko potpisivanje korišćenjem digitalnih sertifikata sertifikacionog tela pošte", Mr. Dragan Spasić dipl. Inž. , Javno preduzeće PTT saobraćaja, "Srbija", Beograd.
[4] "Problemi razvoja elektronske trgovine – E – poslovanje", preuzeto sa internet adrese http://www.poslovnaznanja.com/objavljeni-autorski-tekstovi/com-magazin/9-problemi_razvoja_elektronske_trgovine.htm, posećene dana 31.01.2011 god.
[5] "Digitalni sertifikati", Branko Nikitović, preuzeto sa internet adrese http://www.pcpress.rs/arhiva/tekst.asp?broj=129&tekstID=7088, posećene dana 31.01.2011.god.
[6] "Predstavljanje digitalnih sertifikata", preuzeto sa internet adrese http://www.link-elearning.com/dlmaterijali/materijali//DL2823_novo/SadrzajNJpdf/2823n_10.pdf, posećene dana 31.01.2011. god.
[7] "Digitalni potpis i digitalni sertifikat", Dejan Đorđević, preuzeto sa internet adrese http://2007.telfor.rs/files/radovi/01_15.pdf, posećene dana 31.03.2011. god.
11
