Aktualności
2010-05-13
Serwery z atestem
Usługa SCS w sieci PIONIER.
Usługa SCS została powołana i uruchomiona z inicjatywy konsorcjum PIONIER wramach europejskiej organizacji sieci akademickich TERENA. Usługa skierowana jest do środowiska naukowego i pracuje w wielu europejskich sieciach naukowych. WPolsce koordynowana jest przez Poznańskie Centrum Superkomputerowo-Sieciowe. Usługa ta została uruchomiona w końcu października 2008 roku.

Do czego służy usługa SCS ?
Usługa SCS (ang. Server Certificate Service) umożliwia podpisanie przez urząd certyfikujący, uznany jako zaufany w całej sieci Internet, elektronicznego certyfikatu wygenerowanego przez jednostkę korzystającą z sieci PIONIER. Pozwala to na podniesienie bezpieczeństwa oferowanych usług dotyczących stron WWW oraz dostępu do usługi elektronicznej poczty. Korzystając z usługi nie można pozyskać certyfikatu, można natomiast uczynić go zaufanym w sieci Internet. W jaki sposób się to odbywa ? Może trochę teorii.

Protokół SSL

Do wyjaśnienia istoty usługi SCS niezbędne jest przedstawienie krótkiego rysu historycznego przedstawiającego genezę elektronicznych certyfikatów [1]. Wszystko zaczęło się w roku 1994, kiedy firma Netscape Communications Corporation, aby zapewnić bezpieczny sposób przesyłania informacji, opracowała protokół sieciowy o nazwie SSL (ang. Secure Socket Layer). Motywacją do stworzenia takiej technologii było przede wszystkim dokonywanie elektronicznych transakcji finansowych z wykorzystaniem sieci komputerowej. Szybko powstała druga wersja protokołu SSL ze względu na poważne luki w bezpieczeństwie pierwszej wersji. W tym samym czasie firma Microsoft opracowała standard PCT (ang. Private Communicating Technology) jako konkurencję dla SSL. W odpowiedzi na to, powstała trzecia wersja protokołu SSL w 1995, która stała się podstawą obecnie używanych protokołów. W1996 roku organizacja IETF (ang. Internet Engineering Task Force) powołała grupę roboczą pod nazwą TLS (ang. Transport Layer Security), której zadaniem jest rozwijanie protokołu SSL. W1999 roku powstała pierwsza wersja protokołu pod nową nazwą TLS. Aktualnie wszystkie popularne przeglądarki internetowe mają zaimplementowany protokół SSL v3.0 oraz TLS [2,3], który jest z powodzeniem używany. Jednak sam protokół nie wystarcza do stworzenia bezpiecznego połączenia, wymagane są jeszcze algorytmy szyfrujące [4]. Protokół nie ogranicza jakie algorytmy mogą być używane, jest jedynie dla nich kontenerem.  W praktycznym zastosowaniu używana jest grupa sprawdzonych algorytmów. Do szyfrowania wykorzystywane są dwa typy algorytmów: symetryczny i asymetryczny. W przypadku symetrycznego, do szyfrowania i deszyfrowania używa się tego samego klucza. Wprzypadku asymetrycznego, występują dwa klucze: prywatny oraz publiczny. Do szyfrowania i deszyfrowania używane są różne klucze. Siła algorytmu opiera się na tezie, iż z klucza szyfrującego nie ma możliwości wyznaczenia klucza deszyfrującego.  Klucz służący do szyfrowania udostępnia się publicznie (klucz publiczny); informację zakodowaną tym kluczem można odczytać jedynie z użyciem klucza deszyfrującego (klucza prywatnego), który nie jest nikomu ujawniany. Najważniejszą cechą klucza jest jego długość w bitach. Jest ona krytyczna dla określenia odporności na złamanie algorytmu.

Elektroniczne certyfikaty

Wprocesie uwierzytelniania bardzo dużym problemem jest upewnienie się, iż klucz publiczny jaki otrzymaliśmy, pochodzi od właściwego źródła. Odpowiedzią na ten problem jest elektroniczny certyfikat. Zawiera on zbiór danych jednoznacznie identyfikujący daną jednostkę czy osobę i dodatkowo musi być podpisany przez zaufaną organizację (ang. Certificate Authority – CA). Podpisywanie certyfikatu polega na zaszyfrowaniu skrótu danego certyfikatu idokonuje się tego z użyciem klucza prywatnego CA. Pozwala to każdemu posiadaczowi klucza publicznego na odszyf- rowanie skrótu i sprawdzeniu, czy zgadza się to ze skrótem wygenerowanym zotrzymanego certyfikatu. Jeżeli tak jest, oznacza to poprawność certyfikatu. Jest to odwrotny przypadek, niż wtedy, gdy istnieje konieczność przesłania poufnej informacji - klucz publiczny służy wtedy do szyfrowania. Dodatkowo możliwe jest tworzenie struktury drzewa zaufania podpisujących się certyfikatów (nie każdy certyfikat ma możliwość podpisywania kolejnych). Każda przeglądarka posiada zbiór głównych instytucji certyfikujących uznanych jako zaufane (ang. CA roots). Istnieją trzy podstawowe typy certyfikatów: CA, serwera i osobisty (musi być podpisany przez CA).

Do kogo skierowana jest SCS?
Usługa pozyskiwania elektronicznych certyfikatów dotyczy tylko i wyłącznie instytucji uprawnionych. Należą do nich  jednostki wiodące MAN i KDM oraz jednostki przyłączone do sieci PIONIER  pośrednio poprzez sieci jednostek wiodą- cych. Główna działalność instytucji uprawnionej musi być związana z badaniami lub edukacją, bądź polegać na współpracy lub działaniu na rzecz środowiska naukowo-badawczego. Jednostki wykorzystują elektroniczne certyfikaty przy świadczeniu usług w sieci Internet. Wymaganiem formalnym jest podpisanie umowy z PCSS. W pierwszej kolejności umowy podpisywane są z członkami konsorcjum PIONIER, a następnie z instytucjami pośrednio podłączonymi do sieci.

Zasady korzystania z usługi
Usługa świadczona jest na podstawie umowy pomiędzy TERENA a PCSS, która została podpisana na początku 2008 roku. PCSS występuje w tej umowie jako przedstawiciel regionalny (NREN) i działa w imieniu całego konsorcjum. Opłata wynikająca z tej umowy jest ryczałtowa inie ogranicza ilości podpisanych certyfikatów. Pozwala także na dostosowanie procedur pozyskiwania podpisu do specyfiki danego kraju. Ze względu na to, iż TERENA nie jest organizacją CA, podpisała ona umowę w imieniu NRENów z całej Europy z belgijską firmą GlobalSign działającą jako CA i podpisującą certyfikaty. Do obowiązków PCSS należy podpisanie umowy z każdą uprawnioną instytucją, umieszczenie elektronicznego formularza umożliwiającego składanie wniosków (znajduje się on pod adresem https://scs.pionier.gov.pl), weryfikacja wniosków, wyznaczenie RA administratorów (ang. Registration Authority) odpowiedzialnych za cały proces, oraz prowadzenie i przechowywanie dokumentacji dotyczącej wniosków. Weryfikacja wniosków jest konieczna, aby można było je uznać za wiarygodne. Proces polega na formalnym sprawdzeniu wniosku opodpisanie certyfikatu.

Podpisywanie certyfikatu
Pierwszym krokiem jaki należy wykonać jest przygotowanie klucza elektronicznego oraz jego „odcisku palca” wraz zkompletem informacji dotyczących certyfikatu.  Kolejnym krokiem jest wypełnienie elektronicznego formularza zawierającego wniosek o pozyskanie certyfikatu, w którym umieszczany jest przygotowany wcześniej certyfikat oraz wprowadzane są dane osoby zgłaszającej oraz administratora. W przypadku pozytywnego rozpatrzenia wniosku administrator otrzyma podpisany certyfikat. Potwierdzeniem złożenia wniosku jest zwrotny email generowany automatycznie.

Następnym etapem jest wydrukowanie otrzymanego elektronicznego listu, podpisanie przez osobę wnioskującą oraz wysłanie go faksem do PCSS. Następnie PCSS weryfikuje dane z otrzymanego faksu oraz elektronicznego formularza iw przypadku spełnienia wszystkich wymagań formalnych zatwierdza certyfikat do podpisania przez GlobalSign. Podpisany certyfikat przez urząd certyfikujący jest automatycznie wysyłany do administratora zgłoszonego na formularzu.

Podsumowanie
Usługa SCS cieszy się coraz większym zainteresowaniem zarówno członków konsorcjum PIONIER jak i instytucji podłączonych pośrednio do sieci. Zaufane certyfikaty stają się obecnie koniecznością, na który decyduje się coraz więcej instytucji. Utrzymująca się wysoka cena komercyjnych odpowiedników certyfikatów zwiększa atrakcyjność tej usługi. Jej rosnąca popularność w środowisku naukowym pozwala ocenić wprowadzenie SCS do palety usług PIONIERa jako trafną decyzję.

Piotr Grzybowski, PCSS