╚ßst 59 - CW 36/98

D∙v∞°uj, ale prov∞°uj

V n∞kolika dφlech naÜeho serißlu jsme narazili na problΘmy, kdy jsme byli schopni nabφdnout °eÜenφ za p°edpokladu, ₧e znßme vlastnφka urΦitΘho kryptografickΘho klφΦe. Nebo spφÜe mßme k dispozici popisnΘ informace, kterΘ jej identifikujφ a d∙v∞°ujeme spojenφ t∞chto informacφ a danΘho klφΦe. Dnes se podφvßme podrobn∞ji na tento aspekt d∙v∞ry.

P°ipome≥me si, ₧e Üifrovacφ algoritmy lze mj. d∞lit na symetrickΘ (pro zaÜifrovßnφ i deÜifrovßnφ se pou₧φvß stejn² klφΦ) a asymetrickΘ, kterΘ pou₧φvajφ odliÜn² klφΦ pro zaÜifrovßnφ (ve°ejn² klφΦ) a pro deÜifrovßnφ (soukrom² klφΦ). Jak u₧ jsme uvßd∞li v minul²ch dφlech, symetrickΘ algoritmy jsou sice rychlejÜφ, ale musφte si se sv²mi partnery v₧dy dohodnout kryptografick² klφΦ a oba jej musφte peΦliv∞ opatrovat. Pro asymetrickΘ algoritmy obecn∞ platφ, ₧e rychlost Üifrovßnφ je v²razn∞ ni₧Üφ, ale jinak staΦφ spolehliv∞ publikovat sv∙j ve°ejn² klφΦ a chrßnit si jen sv∙j soukrom² klφΦ. K tomu vÜemu jeÜt∞ mßme mo₧nost vytvo°it a ov∞°it digitßlnφ podpis, probφran² v Φßsti 34.

Na prvnφ pohled se skuteΦn∞ zdß, ₧e sprßva klφΦ∙ u asymetrickΘ kryptografie je podstatn∞ jednoduÜÜφ ne₧ u symetrickΘ kryptografie. Pro malΘ systΘmy je to podle dosavadnφch zkuÜenostφ v∞tÜinou pravda, ale ukazuje se, ₧e ono spolehlivΘ publikovßnφ Φi oznßmenφ ve°ejnΘho klφΦe nenφ trivißlnφ zßle₧itostφ, zvlßÜt∞ pro velkΘ systΘmy. Zßsadnφm aspektem sprßvy ve°ejn²ch klφΦ∙ je jejich integrita a spojenφ s dalÜφmi informacemi o u₧ivateli. Pro malΘ skupiny u₧ivatel∙ vystaΦφme nap°. s osobnφm p°edßnφm klφΦ∙ na disket∞, pop°φpad∞ p°edßnφm otisku (haÜe) klφΦe a zaslßnφm vlastnφho klφΦe e-mailem nebo poÜtou, p°i nejhorÜφm i p°eΦtenφm haÜe po telefonu. Co ale pro velkΘ, snad i celosv∞tovΘ (asi ne rozsahem, jen dosahem) systΘmy?

UrΦit²m °eÜenφm jsou tzv. certifikßty ve°ejn²ch klφΦ∙, kde je spolehliv∞ spojen ve°ejn² klφΦ k pat°iΦn²m informacφm. SpolehlivΘ vßzßnφ je u certifikßt∙ °eÜeno digitßlnφm podpisem -- operacφ s privßtnφm klφΦem entity, kterß takto vlastn∞ "prohlaÜuje" vazbu za d∙v∞ryhodnou. V poslednφch letech sl²chßme stßle Φast∞ji o infrastrukturßch ve°ejn²ch klφΦ∙ (PKI -- Public Key Infrastructure) a o pot°eb∞ vyu₧itφ slu₧eb certifikaΦnφ autority (CA -- Certification Authority) nebo tzv. d∙v∞ryhodnΘ t°etφ strany (TTP -- Trusted Third Party). Pokud nßm n∞kdo zajistφ "jen" infrastrukturu -- spolehlivou v²m∞nu ve°ejn²ch klφΦ∙ u₧ivatel∙ a tφm nßm vlastn∞ umo₧nφ navßzat bezpeΦnou komunikaci, oznaΦujeme tuto stranu jako certifikaΦnφ autoritu. V podstat∞ se jednß o vystavenφ potvrzenφ ve smyslu "tento ve°ejn² klφΦ pat°φ u₧ivateli Bo°kovi èpatnΘmu", samoz°ejm∞ za vyu₧itφ digitßlnφho podpisu.

Asi si dovedete p°edstavit, ₧e uvedenφ e-mailovΘ adresy a dalÜφch informacφ nßm pak pom∙₧e zjistit jeÜt∞ p°esn∞ji, o kterΘho Bo°ka èpatnΘho se jednß. CA obvykle nezajiÜ¥uje jen vlastnφ certifikaci klφΦ∙, ale takΘ udr₧ovßnφ ·daj∙ o platnosti klφΦ∙ a to bu∩ odvolßnφm (revokacφ) klφΦ∙, nebo op∞tn²m potvrzenφm klφΦ∙ (rekonfirmace); co₧ souvisφ s nφ₧e probφran²m liberßlnφm nebo konzervativnφm p°φstupem k d∙v∞°e v∙Φi klφΦ∙m. Naproti tomu TTP poskytuje dalÜφ slu₧by, jako nap°. spolehlivΘ slu₧by elektronickΘho notß°e, nezvratnΘ oznaΦenφ Φasu u datov²ch polo₧ek (tzv. ΦasovΘ razφtka -- timestamp) a je takΘ mnoh²mi vlßdami zva₧ovßna pro podporu depozitovßnφ soukrom²ch klφΦ∙ (key escrow).

Zajφmav² je i pohled na d∙v∞ru jako takovou (samoz°ejm∞ v oboru bezpeΦnosti). V zßkladnφ rovin∞ lze snad °φct, ₧e se jednß o vφru, ₧e systΘm spl≥uje danΘ (bezpeΦnostnφ) po₧adavky a specifikace. Na v∞c se vÜak lze takΘ podφvat z ·pln∞ jinΘho ·hlu -- podle v²znamnΘho odbornφka National Security Agency se jednß o mo₧nost, ₧e dan² systΘm m∙₧e poruÜit bezpeΦnostnφ politiku bez zanechßnφ jak²chkoliv stop v podob∞ pr∙kaznΘ evidence. A pozor -- tyto dva pohledy nejsou nutn∞ v protikladu!

X.509 a PGP

PGP (Pretty Good Privacy) byl v∞novßn dφl 44 naÜeho serißlu, kde jsme problematiku spolehlivΘho Üφ°enφ klφΦ∙ diskutovali pom∞rn∞ rozsßhle. Konvencφ PGP p°i spojenφ klφΦ∙ s tzv. UserID, co₧ nenφ nic jinΘho ne₧ ona "dalÜφ informace" o u₧ivateli, je pou₧itφ jmΘna u₧ivatele a e-mailovΘ adresy. V²znamn²m rysem certifikace PGP klφΦ∙ je to, ₧e ji provßdφ ka₧d² u₧ivatel sßm, na zßklad∞ vlastnφch informacφ a podle vlastnφho rozhodnutφ (lze ovÜem umo₧nit i zprost°edkovanΘ "p°edstavenφ" neznßm²ch klφΦ∙ = Φinitel∙). Tak je vlastn∞ sprßva klφΦ∙ p°φmo pod kontrolou u₧ivatele. PGP klφΦe jsou pak vystavovßny p°es servery klφΦ∙ jako nap°. <http://www.pgp.cz>. Velkou nev²hodou obvyklΘho vyu₧itφ PGP klφΦ∙ je pak to, ₧e nenφ jasn∞ prosazovßna homogennφ bezpeΦnostnφ politika ani uvnit° jednΘ domΘny a a₧ p°φliÜ Φasto je pot°eba se spolehnout v mnoha kritick²ch funkcφch na korektnφ a zodpov∞dn² p°φstup sv²ch Φlen∙.

Naopak certifikßty podle standardu X.509 jsou v₧dy vytvß°eny certifikaΦnφ autoritou, kterß je takΘ revokuje. Podoba X.509 certifikßt∙ a s nimi souvisejφcφ vztahy certifikace a revokace pochßzejφ z nßvrh∙ pro globßlnφ databßzi podle X.500. Podle X.500 majφ vÜechny entity v celΘm sv∞t∞ odliÜnß jednoznaΦnß jmΘna (DN -- Distinguished Name). Zde se nabφzφ velmi jednoduchΘ °eÜenφ -- spojit s ka₧dou jednoznaΦn∞ identifikovatelnou entitou ve°ejn² klφΦ -- a mßme X.509. V²znamn²m rysem plynoucφm z X.509 je stromovß struktura, kdy dan² u₧ivatel a jeho klφΦ spadajφ pod jednu CA, ta pak m∙₧e spadat pod dalÜφ nad°azenou CA atd. -- a₧ se dostaneme ke ko°enovΘ CA.

ProblΘmem ale z∙stßvß skuteΦnost, ₧e jednoznaΦnΘ pojmenovßnφ existuje snad jen v urΦitΘ domΘn∞, nap°. malΘ firm∞. V tΘto domΘn∞ lze s urΦit²m ·silφm a v zßvislosti na jejφ velikosti takΘ prosadit jednoznaΦnou bezpeΦnostnφ politiku a zavΘst n∞jakΘ konvence. Daleko zßva₧n∞jÜφm problΘmem je, ₧e CA m∙₧e pom∞rn∞ jednoduÜe falzifikovat podstatnß data v neprosp∞ch strany, jejφ₧ pßr kryptografick²ch klφΦ∙ je p°edm∞tem sporu. Podle X.509 je toti₧ certifikaΦnφ autorita zßrove≥ i revokaΦnφ autoritou a navφc je struktura seznamu revokovan²ch certifikßt∙ (CRL -- Certificate Revocation List) certifikaΦnφ autoritou libovoln∞ modifikovatelnß, ani₧ by modifikace byla bezproblΘmov∞ a jednoznaΦn∞ prokazatelnß. Pro ov∞°enφ certifikßtu X.509 je pot°eba mφt k dispozici takΘ ve°ejnΘ klφΦe (certifikßty) vÜech nad°φzen²ch CA a₧ po tu CA, kterΘ lze bezmezn∞ d∙v∞°ovat a jejφ₧ klφΦ je "zaruΦen∞" bezpeΦn².

Toto obvykle znamenß potvrzenφ nebo dodßnφ certifikovanΘho klφΦe nezßvislou cestou (nejlΘpe zve°ejn∞nφm v tisku, osobnφm odb∞rem od d∙v∞ryhodnΘho zßstupce CA atd.). V ₧ßdnΘm p°φpad∞ nelze za spolehlivou metodu pova₧ovat zve°ejn∞nφ klφΦe na Internetu, jeho dodßnφ v rßmci aplikace (WWW prohlφ₧eΦ) ap. Jak²koliv podvod nebo selhßnφ certifikaΦnφ autority znamenß poruÜenφ d∙v∞ry ve vÜech v∞tvφch stromu certifikaΦnφch vztah∙ pod touto autoritou.

Co se ov∞°ovßnφ klφΦ∙ ve smyslu jejich aktußlnφ platnosti t²Φe, ji₧ jsme naznaΦili, ₧e p°φstup k d∙v∞°e prßv∞ pou₧φvan²m klφΦ∙m lze podle kontroly (Φi jejφ absence) d∞lit na:

1. Konzervativnφ, kdy ka₧d² klφΦ, resp. certifikßt pova₧ujeme za neplatn² a₧ do okam₧iku, kdy jsme spolehliv²m zp∙sobem zpraveni o opaku -- nap°. potvrzenφm vydan²m CA spolu se spolehliv²m oznaΦenφm Φasu.

2. Liberßlnφ, kdy klφΦe, resp. certifikßty pova₧ujeme za platnΘ a₧ do okam₧iku, kdy jsme informovßnφ o opaku -- nap°. prost°ednictvφm seznamu revokovan²ch certifikßt∙ (CRL).

CertifikaΦnφ autority v praxi

Asi nejznßm∞jÜφ certifikaΦnφ autoritou je VeriSign http://www.verisign.com, celkov² poΦet certifikaΦnφch autorit lze dnes odhadovat °ßdov∞ na desetitisφce, proto₧e ne vÜechny nabφzejφ slu₧by ve°ejnosti, v∞tÜinou se jednß o certifikaΦnφ autority tzv. uzav°en²ch skupin u₧ivatel∙ (Closed User Group). Seznam vetÜiny v²znamn²ch ve°ejn²ch CA je dostupn² nap°. p°es http://www.qmw.ac.uk/~tl6345/ca.htm. Ve°ejnΘ CA obvykle nabφzejφ certifikßty na r∙znΘ ·rovni podle zp∙sobu a d∙kladnosti prov∞°enφ u₧ivatele, pop°. provozovatele WWW serveru.

NeÜvarem mnoha certifikaΦnφch autorit je bohu₧el jednßnφ hraniΦφcφ Φasto a₧ s nekompetencφ. A to jak v zahraniΦφ, tak i u nßs. D∙v∞°uj, ale prov∞°uj -- tak znφ dßvnß moudrost, kterß je u nßs na DivokΘm V²chod∞ platnß dvojnßsobn∞. P°i prßci na Global Trust Register (viz nφ₧e) jsme se nap°. setkali s Φeskou CA, jejφ₧ zßstupci nebyli schopni aplikovat digitßlnφ podpis u vlastnφch e-mail∙ a k dovrÜenφ vÜeho e-maily opat°ovali elektronick²mi podpisy (°et∞zec znak∙ na konci e-mailu) jin²ch osob, ne₧ byli sami odesilatelΘ v zßhlavφ e-mailu.

DalÜφm problΘmem je nespolehlivost cesty, kterß je pou₧ita k distribuci a ov∞°enφ ve°ejnΘho klφΦe vrcholnΘ (ko°enovΘ) CA. Zahrnutφ certifikßt∙ do nov∞ distribuovanΘ kopie WWW prohlφ₧eΦe nenφ p°φliÜ spolehlivou metodou, i kdy₧ je samoz°ejm∞ spolehliv∞jÜφ ne₧ sta₧enφ certifikßtu po Internetu. V²zkumn² t²m odd∞lenφ poΦφtaΦovΘ bezpeΦnosti na univerzit∞ v anglickΘ Cambridge navrhl °eÜenφ, kterΘ spojuje prvky tradiΦnφ d∙v∞ry (je nesrovnateln∞ t∞₧Üφ zm∞nit vÜechny kopie urΦitΘ knihy na vÜech kontinentech sv∞ta, ne₧ nabourat WWW server sebelΘpe chrßn∞nΘ certifikaΦnφ autority) s d∙v∞rou pot°ebnou pro elektronickΘ obchodovßnφ.

Jednß se o tzv. Global Trust Register, urΦitou obdobu telefonnφho seznamu -- seznam v²znamn²ch certifikaΦnφch autorit, anonymnφch remailer∙, bezpeΦnostnφch t²m∙ CERT, obchodnφch konsorciφ, ale i jednotlivc∙, kte°φ slu₧eb asymetrickΘ kryptografie vyu₧φvajφ. Existuje samoz°ejm∞ primßrn∞ v podob∞ knihy, ale lze jej zφskat i v elektronickΘ podob∞ na http://www.cl.cam.ac.uk/Research/Security/Trust-Register/.

Nezßle₧φ na tom, jestli jsou klφΦe ve formßtu pou₧φvanΘm v EDI, PGP, X.509, resp. Entrust. KlφΦe nejsou samoz°ejm∞ vypisovßny celΘ (s v²jimkou EDI), pro jejich jednoznaΦnΘ urΦenφ staΦφ tzv. otisk, jak jsme ostatn∞ ji₧ zmφnili v ·vodu Φlßnku. Otisk se vßm takΘ u klφΦ∙ zobrazuje i u WWW prohlφ₧eΦ∙ a PGP softwaru nebo e-mailov²ch program∙.

V∞°φm, ₧e v∞°φÜ

Pro prßci s kryptografick²mi aplikacemi platφ dvojnßsobn∞ to, ₧e bezhlavΘ klikßnφ myÜφ na °adu tlaΦφtek OK nebo maΦkßnφ Enter se jednou vymstφ. Na akceptovßnφ prßv∞ jen dobr²ch a pot°ebn²ch klφΦ∙ je zalo₧eno vybudovßnφ systΘmu, kterΘmu m∙₧ete d∙v∞°ovat. Akceptovßnφm jednoho klφΦe nespolehlivΘ CA m∙₧ete p°ijφt k mnoha dalÜφm klφΦ∙m, kterΘ zp∙sobφ vφce Ükody ne₧ u₧itku. P°edtφm ne₧ m∙₧ete d∙v∞°ovat, musφte prov∞°ovat!