Certifikáty ve ejných klí
, PKI
Základní pojmy: Certifika ní autorita - d v ryhodná t etí strana, proces, který zajiš uje vydávání a zneplat ování certifikát ve ejných klí , p ípadn poskytuje n které další služby. Jádro PKI. Certifikát ve ejného klí e - datová struktura, která svazuje ve ejný klí se subjektem, který disponuje odpovídajícím soukromým klí em. CRL, Certificate Revocation List, Seznam zneplatn ných certifikát - Seznam certifikát , které bylo z n jakých d vod nutné zneplatnit a zabránit tak jejich dalšímu používání. Seznam je digitáln podepsán Certifika ní autoritou. Koncový uživatel - držitel certifikátu, který není certifika ní autoritou. OCSP, Online Certificate Status Protocol - Protokol sloužící ke získávání informací o stavu certifikát . PKI, Public Key Infrastructure, Infrastruktura ve ejných klí - souhrn technických prost edk , organiza ních opat ení a lidských zdroj , které umož ují vytvá et, spravovat, ukládat, distribuovat a revokovat certifikáty ve ejných klí . Poskytovatel certifika ních služeb - Subjekt, který vydává certifikáty ve ejných klí , vede jejich evidenci a p ípadn poskytuje další související služby. Identifikace - tvrzení uživatele o své totožnosti. Autentizace - D kaz identifikace. Uživatel prokáže (znalostí hesla, vlastnictvím soukromého klí e odpovídajícího ve ejnému klí i, kterým se identifikuje), že je tím, kým tvrdí, že je. Autorizace - p i azení p ístupových práv uživateli na základ úsp šné autentizace. Nepopiratelnost - [ISO 13888] Cílem služby nepopiratelnosti je vytvá et, shromaž ovat, udržovat, zajistit dostupnost a ov ovat d kazy týkající se údajné události nebo innosti, aby bylo možné ešit spory o tom, zda se událost nebo innost vyskytla i nikoliv. Asymetrické šifrovací techniky a podmínky jejich použití
S rozši ováním kapacity po íta ových sítí, zvyšováním po tu uživatel sítí a masovým využíváním Internetu se dostává do pop edí otázka bezpe nosti dat p enášených p es nezabezpe ené datové sít . Vyvstává nutnost spolehlivé identifikace a autentizace uživatel a zajišt ní d v rnosti p enášených dat. K t mto ú el m se stále více využívají asymetrické šifrovací techniky. Každý subjekt, který využívá asymetrické šifrovací techniky, má k dispozici dvojici šifrovacích klí : klí soukromý, který je t eba pe liv st ežit, aby nedošlo k jeho prozrazení a zneužití, klí ve ejný, který je t eba dát k dispozici ostatním ú astník m komunikace.
Neodvoditelnost soukromého klí e z klí e ve ejného je vždy založena na n kterém výpo etn složitém matematickém problému (RSA, DSA, Eliptické k ivky). Ve ejný klí je tedy možné publikovat bez nebezpe í prozrazení soukromého klí e. Asymetrické šifrovací techniky se využívají k následujícím ú el m: k ov ení p vodu dat a jejich integrity ( tedy k autentizaci a k vytvá ení digitálního podpisu, v kombinaci s hashovacími funkcemi), k zajišt ní neodmítnutelnosti odpov dnosti za vykonanou akci,
1
k zajišt ní d v rnosti dat, zejména k vým n symetrických šifrovacích klí (tajných klí ), kterými se vlastní data šifrují (Digitální obálka, šifrování p i on-line komunikaci)
P i použití asymetrických šifrovacích technik je zapot ebí ešit dva zásadní problémy: jak spolehliv zjistit, že daný ve ejný klí pat í danému subjektu, jak bezpe n uschovat soukromý klí , aby nedošlo k jeho prozrazení a zneužití.
Pokud není vazba mezi subjektem a ve ejným klí em dostate n prov ena, m že se stát, že dojde k prozrazení d v rných dat, nebo že není možné se spolehnout na p vod dat. Proto se ve ejné klí e nedistribuují samy o sob , ale ú astnící komunikace pracují s takzvanými certifikáty ve ejných klí . Certifikát ve ejného klí e je digitální potvrzení o tom, že daný ve ejný klí pat í danému subjektu. Krom ve ejného klí e a jména subjektu obsahuje certifikát i další d ležité informace jako dobu platnosti certifikátu, kdo certifikát vydal, k jakému ú elu m že být certifikát použit a podobn . Certifikáty vydávají instituce zvané certifika ní autority. Certifika ní autority mohou být ur eny pro uzav enou komunitu - zam stnance ur itého podniku, klienty banky, studenty university a podobn . Existují také ve ejné certifika ní autority, které vydávání certifikát poskytují jako službu. Vydávají certifikáty každému, kdo splní ur ité p edem definované podmínky. D ležitým úkolem Certifika ní autority je krom vydávání certifikát uchovávání a zve ej ování seznamu certifikát , které bylo z n jakých d vod nutné zneplatnit. Tento seznam m že být zve ejn n ve form Seznamu zneplatn ných certifikát (Certificate Revocation List - CRL) nebo uložen v databázi Certifika ní autority a p ístupný uživatel m protokolem OCSP. Pokud je certifikát uveden v CRL nebo se prost ednictvím OCSP ukáže jako zneplatn ný, znamená to, že mu nelze nadále d v ovat. Certifikát je zapot ebí zneplatnit nap íklad tehdy, když byl ztracen nebo prozrazen soukromý klí držitele certifikátu, nebo když se zm nily údaje, které jsou v certifikátu uvedeny. Problém bezpe né úschovy soukromého klí e se obvykle eší tak, že klí není na disku nebo jiném médiu uložen v otev ené „ itelné“ podob , ale je zašifrován pomocí hesla nebo takzvané passphrase. Pokud má být soukromý klí použit, je nejprve zapot ebí zadat heslo nebo passphrase, kterým se klí dešifruje, uloží v opera ní pam ti po íta e a potom používá k operacím, které soukromý klí vyžadují. Soukromý klí v otev ené podob tedy existuje v pam ti po íta e, což v n kterých p ípadech m že vést k jeho prozrazení. Jist jší je uložit soukromý klí do n jakého bezpe ného hardware - kryptografického tokenu. Tokenem m že být nap íklad ipová karta nebo kryptografický akcelerátor. Soukromý klí neopouští token a veškeré operace se soukromým klí em se provád jí v tokenu. Manipulace s r znými typy asymetrických klí ových pár je do jisté míry odlišná. Klí e ur ené pro šifrování mohou být sdíleny v tším po tem uživatel a je t eba je archivovat,aby v p ípad ztráty nebo poškození klí e nedošlo ke ztrát šifrovaných dat. Klí e používané pro autentizaci a elektronický podpis musí mít uživatel pod svou výhradní kontrolou. Protože autentiza ní mechanizmy využívají technologii digitálního podpisu, je p i požadavku na nepopiratelnost elektronického podpisu pot eba odd lit i klí ové páry používané pro autentizaci a pro elektronický podpis b hem autentiza ního dialogu uživatel neví, co je obsahem et zc , které podepisuje, a mohl by tedy vytvo it podpis podvržených dat. 2
Standardizace
Širokému využití asymetrických šifrovacích technik napomáhají zavedené standardy, které kodifikují, jak se mají asymetrické šifrovací techniky v aplikacích používat. Základním standardem v této oblasti je ITU-T standard X.509 (ITU-T Recommendation X.509 - Information Technology - Open Systems Interconnection The Directory: Authentication Framework). Certifikáty a CRL vydané podle tohoto standardu se užívají v mnoha aplikacích. Protokoly jako SSL (TLS), S/MIME, IPsec po ítají s takovými certifikáty jako s prost edkem autentizace uživatel a vým ny šifrovacích klí . V sou asné dob se certifikáty ve ejných klí nej ast ji vydávají podle verze 3 standardu X.509. CRL odpovídají verzi 2 standardu. Formát certifikátu ve ejných klí a CRL odpovídajících standardu X.509 a sémantiku jednotlivých položek certifikát a CRL v rámci internetové komunity up es uje standard RFC 3280. Tento standard také udává seznam doporu ených a povinných rozší ení certifikát a CRL pro použití v Internetu a budeme se mu podrobn ji v novat v n které další p ednášce. Certifikát ve ejného klí e Jak bylo e eno, certifikát ve ejného klí e jednozna n svazuje ve ejný klí se subjektem, který disponuje odpovídajícím soukromým klí em (osoba, server, proces). V každém certifikátu ve ejného klí e odpovídajícím standardu X.509 musí být minimáln uvedeno:
Ve ejný klí Identifikace vlastníka ve ejného klí e Identifikace vydávající Certifika ní autority Jedine né íslo certifikátu v rámci vydávající CA Doba platnosti certifikátu Podpis certifika ní autority Verze standardu X.509
Struktura X.509 v3 certifikátu ve ejného klí e: 3
Verze standardu X.509 Sériové íslo Podpisový algoritmus Vystavitel
Doba platnosti Subjekt
Ve ejný klí Rozší ení certifikátu Jednozna ný identifikátor vystavitele a subjektu certifikátu
V3 Jednozna né v rámci vystavitele certifikátu Identifikátor algoritmu, který byl použit pro podpis certifikátu a identifikátor hashovací funkce Musí obsahovat neprázdné rozlišovací jméno (DN, Distinguished Name) ve formátu definovaném standardem X.501 resp. X.520. Definováno i kódování polí Od - do Identifikace vlastníka ve ejného klí e. Nepovinná položka, pokud se nejedná o certifikát Certifika ní autority. Identifikace koncového uživatele m že být uvedena i v rozší ení certifikátu Subject Alternative Name. Pokud je položka neprázdná, musí obsahovat rozlišovací jméno (DN) ve formátu X.501 a toto jméno musí být jedine né pro každý subjekt v rámci jedné Certifika ní autority. et zec klí e a identifikátor algoritmu. Slouží k p i azení dalších atribut k subjektu nebo ve ejnému klí i. Subjekt…Hashová hodnota ve ejného klí e subjektu v etn identifikátoru hashovací funkce Vystavitel … DN CA, která vystavila certifikát vystaviteli + sériové íslo certifikátu vystavitele … hashová hodnota ve ejného klí e vystavitele v etn identifikátoru hashovací funkce. Omezení pro použití ve ejného klí e
Použití ve ejného klí e Identifikace Informace o certifika ní politice, podle které byl vydán certifika ních politik certifikát koncového uživatele. V p ípad CA vý et aplikovatelných certifika ních politik v certifika ním et zci, který obsahuje certifikát dané CA. Alternativní název P i azení další identity držiteli certifikátu. subjektu (Subject Typickým p íkladem je RFC822 emailová adresa nebo IP Alternative Name) adrese serveru. Distribu ní místo Odkaz na distribu ní místo CRL (URI, LDAP, …) seznamu zneplatn ných certifikát
Seznam položek certifikátu uvedený v tabulce není v žádném p ípad kompletní, jsou zde uvedeny pouze nej ast ji používané položky a n které možnosti jejich napln ní. Žádné z rozší ení certifikátu není povinnou sou ástí certifikátu. Každé rozší ení v certifikátu lze ozna it jako kritické nebo jako nekritické. Podle této kategorizace pak k položkám rozší ení certifikátu p istupují uživatelé a aplikace. 4
CRL, Seznam zneplatn ných certifikát B hem života certifikátu ve ejného klí e m že nastat situace, kdy je tento nutné zneplatnit (podez ení na kompromitaci odpovídajícího soukromého klí e, zm na údaj v certifikátu) a dát uživatel m certifikátu na v domí, že certifikát byl zneplatn n a není možné mu nadále d v ovat. Certifikát zneplatní na žádost jeho držitele nebo, za speciáln definovaných podmínek na žádost n koho jiného nebo dokonce z vlastní v le, Certifika ní autorita a zve ejní ho na seznamu zneplatn ných certifikát (CRL) nebo zp ístupní informaci o zneplatn ní certifikátu protokolem OCSP. V dnešní dob stále p evažuje zve ej ování zneplatn ných certifikát formou CRL. V každém CRL odpovídajícím standardu X.509 musí být minimáln uvedeno:
Identifikace vydávající Certifika ní autority as vydání Seznam zneplatn ných certifikát (sériové íslo, as zneplatn ní) Podpis vydávající CA
as, kdy bude nejpozd ji vydán další CRL Verze standardu X.509
Struktura X.509 v2 CRL: Verze standardu X.509 Podpisový algoritmus Vystavitel as vystavení CRL P íští CRL
V2 Identifikátor algoritmu, který byl použit pro podpis CRL a identifikátor hashovací funkce Musí obsahovat neprázdné rozlišovací jméno (DN, Distinguished Name) ve formátu definovaném standardem X.501 resp. X.520. Povinný asový údaj as, kdy bude nejpozd ji vydán další CRL. Omezuje platnost CRL 5
Seznam zneplatn ných certifikát Rozší ení CRL Identifikátor certifika ní autority Alternativní název autority Sériové íslo Issuing Distribution Point D vod zneplatn ní certifikátu Invalidity date
U každého uvedeno sériové íslo a as zneplatn ní Slouží k p i azení dalších atribut k CRL Viz. identické rozší ení certifikátu ve ejného klí e P i azení další identity vystaviteli CRL (RFC822 email, IP adresa) Jedine né v rámci vystavující CA Odkaz na distribu ní místo CRL, ú el a typ CRL Uveden u sériového ísla certifikátu asový údaj, který udává, od kdy je d vod se domnívat, že certifikátu není možné d v ovat.
Ani seznam položek CRL v tabulce není kompletní a jsou uvedeny pouze nej ast ji používané položky a n které možnosti jejich napln ní. Žádné z rozší ení CRL není jeho povinnou sou ástí. Každé rozší ení v CRL (krom Issuing Distribution Point, které pokud je v CRL uvedeno, musí být kritické) lze ozna it jako kritické nebo jako nekritické. Podle této kategorizace pak k položkám rozší ení CRL p istupují uživatelé a aplikace. PKI - Infrastruktura ve ejných klí Certifika ní autorita vydávající certifikáty a CRL podle standardu X.509 se stává jádrem infrastruktury ve ejných klí (Public Key Infrastructure - PKI). PKI je souhrn technických prost edk , organiza ních opat ení a lidských zdroj , které umož ují vytvá et, spravovat, ukládat, distribuovat a revokovat certifikáty ve ejných klí . Úkolem PKI je zajistit správu ve ejných klí a certifikát ve ejných klí tak, aby pomocí asymetrických šifrovacích technik bylo možné poskytovat bezpe nostní služby jako jsou autentizace, zajišt ní nepopíratelnosti p vodu a d v rnosti. Historie PKI, modely PKI Pojem PKI se objevuje v polovin 80 let minulého století. První PKI se objevily v podob monolitického systému sestávajícího z jedné „ko enové“ Certifika ní autority. Nebyly standardy ani aplikace, které by certifikáty využívaly. Rizika vyplývající z provozu PKI nebyla popsána a mnohdy ani známa, chyb lo vymezení povinností a odpov dností. R zné modely PKI, které vznikaly tak, jak se PKI postupn rozvíjela se do velké míry shodují s tím, jaká PKI jsou implementována v dnešní dob .
6
Monolitický systém
„Face to face“ registrace
Certifika ní autorita, není v tomto modelu navázána na žádné další systémy a procesy. Uživatel m jsou certifikáty vydávány p ímo na pracovišti certifika ní autority, mohou být zve ej ovány nap . prost ednictvím adresá ových služeb. R zné stupn zabezpe ení pracovišt Certifika ní autority i CA samotné. o CA provozována v off-line režimu o Klí e CA uloženy v hardwarovém modulu o Klí e CA uloženy v chrán né form na disku Toto ešení je i v sou asné dob vhodné pro malé organizace s definovaným a omezeným po tem koncových uživatel . Bude jednat se o tzv. uzav enou PKI, kde poskytovatel certifika ních služeb a všichni uživatelé mají definovaný vztah (daný smlouvou). Povinnosti uživatel jsou popsány v dokumentech PKI, smlouva se na n m že odvolávat. Hierarchie Certifika ních autorit
„Face to face“ registrace
V tomto modelu se objevuje ko enová Certifika ní autorita (Root CA) jako spole ný ko en d v ry hierarchie pod ízených Certifika ních autorit. Tyto pod ízené certifika ní autority mohou být distribuovány (r zná odd lení jedné organizace, r zné
7
organizace) a fungují jako monolitické podsystémy se spole ným d v ryhodným ko enem. Distribuovaná architektura PKI
RAO
Face to face registrace
V tomto modelu dochází k odd lení pravomocí a proces registrace žádosti o certifikát je fyzicky i technicky p enesen na pracovišt registra ní autority. Registra ní autorita p ípadn operátor registra ní autority kontrolují žádost o certifikát i právo žadatele o certifikát žádat. Funkce certifika ní autority se redukuje na podepisování certifikát a CRL, jejich zve ej ování a udržování databáze vydaných certifikát . Tento model PKI bude implementován v organizaci, která požaduje vydávat v tší a p edem t žko odhadnutelné množství certifikát jak pro své zam stnance, tak pro externí uživatele, kte í mohou vydané certifikáty používat nap íklad pro zabezpe ení elektronické komunikace nebo pro autentizaci p i p ístupu k extranetu organizace. Takto postavená PKI je snáze rozši itelná a modifikovatelná v p ípad zm ny požadavk na její funkci, je však také mnohem více propojena s existující strukturou organizace a klade velké nároky na související organiza ní a bezpe nostní opat ení. V tomto, tzv. sí ovém modelu PKI mají p edem definovaný a smluvn upravený vztah uživatelé certifikát a poskytovatel certifika ních služeb, t etí strany jsou zapojeny na základ dohodnutých pravidel daných zvláštními smlouvami.
8
Modulární PKI K íž ové certifik ace
LDAP
RA O
LDAP VPN E-mail Browser
OCSP
Gateways - registrace prost ednictvím www rozhraní nebo VPN ARM, advanced registration module - automatizované vydávání certifikát . WebRAO server a klient - mobilní pracovišt RA UPM, univerzální publika ní modul - publikace vydaných certifikát a CRL nap . do adresá ových služeb nebo valida ní autorit o VA – valida ní autorita (OCSP responder) o AS – archiva ní server o TSS – timestamp server o K ížové certifikace o o o o
Typicky se bude jednat PKI ve ejného poskytovatele certifika ních služeb. Takováto PKI je otev ená ve ejnosti bez omezení, s poskytovatelem certifika ních služeb mají smlouvu pouze držitelé certifikát . T etí strany, spoléhající se na vydané certifikáty s poskytovatelem žádnou smlouvy mít nemusí, d v ra ve vydané certifikáty je založena na d v ryhodnosti poskytovatele certifika ních služeb. Žádná smlouva také nedefinuje práva a povinnosti t etích stran, spoléhajících se na vydané certifikáty, právní prostor je zde vymezen exitujícími právními p edpisy (Zákon o el. podpisu, zákon o ochran osobních údaj , trestní ád, …) 9
Budování PKI Vlastní technologické ešení tvo í zhruba 20% ešení celého. Dob e navržená PKI vymezuje hranice odpov dnosti, takže je možné zjistit, že byla pravidla porušena a je možné rozhodnout, kdo pravidla porušil. o o o o o o o o o o o o o o o o o o o o o
Model PKI Plán implementace Adresá ové služby Proces registrace Soulad s právním prost edím Soulad se standardy Jmenné konvence Ochrana osobních údaj OID Fyzická bezpe nost Bezpe né uložení klí Archiva ní politika Zálohovací a archiva ní systémy Audit Zajišt ní podpory a servisu Instalace a konfigurace systému Testy systému Školení obsluhy Školení uživatel Školení podpory Sí , firewalls
o o o o o o o o o o o
Správa klí Proces revokace OCSP, CRL Správa ipových karet Certifika ní politiky Bezpe nostní politika Provozní procedury Proces obnovy certifikátu CPS Havarijní plánování Strategie obnovy
Úskalí Budování PKI je multidisciplinární záležitost, zasahuje mimo oblast IT a vyžaduje za len ní do existujících proces organizace a i zm ny proces v celé organizaci. Vybudovat d v ryhodnou PKI je dlouhodobá záležitost a i po uvedení PKI do provozu je t eba soustavn sledovat vývoj nejen na poli technologickém, ale i legislativním a také soulad s platnými standardy. Dalším úskalím m že být i nep ipravenost aplikací na práci s certifikáty ve ejných klí a asymetrickými šifrovacími technikami a díky tomu i malé využití draze vybudované struktury.
10
