Aktualności
2011-03-20
Klucze do sieci
Wdrożenie infrastruktury klucza publicznego w sieci PIONIER.
Certyfikaty X.509 są często stosowaną metodą autoryzacji serwerów, usług oraz użytkowników. Najbardziej rozpowszechnione zastosowania to cyfrowe podpisywanie poczty elektronicznej, autoryzacja serwerów WWW, dostęp do usług uczelnianych i gridowych.

Do różnych zastosowań wykorzystywane są certyfikaty różnych wystawców inie ma między nimi relacji wzajemnego zaufania. W związku z coraz szerszym iczęstszym wykorzystywaniem certyfikatów do pracy wewnątrz sieci (autoryzacja, uwierzytelnianie, podpis elektroniczny), zasadnym stało się wdrożenie rozwiązania umożliwiającego wygodne korzystanie z mechanizmów, jakie dają certyfikaty, przez wszystkich użytkowników sieci PIONIER.

Infrastruktura Klucza Publicznego
Infrastruktura Klucza Publicznego (Public Key Infrastructure, PKI) jest jednym zrozwiązań organizacyjno-technicznych mających podwyższyć poziom bezpieczeństwa usług elektronicznych i zwiększyć zaufanie do operacji wykonywanych drogą elektroniczną.  Infrastrukturę Klucza Publicznego stanowi sieć zaufanych Urzędów Rejestracji, Urzędów Certyfikacji, opisane dokumentami Polityk Certyfikacji i Kodeksem Postępowania Certyfikacyjnego procedury oraz certyfikaty klucza publicznego, które stanowią istotę całego rozwiązania.

Certyfikaty X.509

X.509 to standard definiujący schemat dla certyfikatów kluczy publicznych, unieważnień certyfikatów oraz certyfikatów atrybutu służących do budowania hierarchicznej struktury PKI. Kluczowym elementem X.509 jest urząd certyfikacji, który pełni rolę zaufanej trzeciej strony w stosunku do podmiotów oraz użytkowników certyfikatów.

Struktura PKI
Mimo możliwości budowy różnych struktur organizacyjnych, najczęstszą spotykaną jest hierarchiczna struktura PKI. W rozwiązaniu takim na szczycie struktury posadowiony jest pojedynczy Urząd Certyfikacji o szczególnych uprawnieniach: Root-CA. Urząd ten wystawia tylko i wyłącznie certyfikaty dla innych Urzędów Certyfikacji. Urzędy te mają zorganizowaną sieć Urzędów Rejestracji. Certyfikat wystawiany jest w końcowym Urzędzie Certyfikacji. By jednak możliwa była wygodna weryfikacji użytkownika końcowego, korzysta on z usług Urzędu Rejestracji.

Root-CA jest najbardziej znaczącym CA w hierarchii zaufania całego PKI. Zadaniem Root-CA jest podpisanie certyfikatów Urzędów Certyfikacji niższego poziomu. Istnienie Root-CA wynika z konieczności budowy sieci Centrów Certyfikacji. By zbudować właściwe relacje zaufania, wszystkie CA danej sieci muszą być ze sobą powiązane. Zaufanie dla Root-CA skutkuje zaufaniem dla CA podległych pod dane Root-CA.

Bezpieczeństwo oraz wiarygodność całej infrastruktury PKI jest uzależniona od bezpieczeństwa używania i przechowywania klucza prywatnego Root-CA.

Urząd Certyfikacji – CA (ang. Certification Authority) jest to instytucja (jednostka organizacyjna), która wystawia certyfikaty, listy CRL, certyfikuje inne CA.

Urząd Rejestracji – RA (ang. Registration Authority) – instytucja (jednostka organizacyjna), która zbiera wnioski owydanie certyfikatu oraz weryfikuje tożsamość subskrybentów. RA odpowiada za przestrzeganie procedur związanych z weryfikacją wniosku.

Lista unieważnionych certyfikatów – CRL (ang. Certificate Revocation List) jest to podpisane przez Urząd Certyfikacji chronologiczne zestawienie wszystkich certyfikatów unieważnionych oraz  zawieszonych przez Urząd Certyfikacji.
OCSP (ang. Online Status Certificate Protocol) jest protokołem informowania ostatusie ważności certyfikatu w trybie połączeniowym.

Użytkownicy, bądź usługi, korzystający z infrastruktury PKI, powinni sprawdzać listy CRL lub status certyfikatu wOCSP, by mieć informację o ważności certyfikatu, którym posługuje  się strona procesu opartego o PKI. W zależności od rygoru polityki bezpieczeństwa sprawdzanie odbywa się okresowo (uaktualnianie lokalnej listy CRL raz dziennie), bądź przed każdym skorzystaniem z metody (np. autoryzacji) związanej z weryfikacją certyfikatu.

Relacje zaufania

Podstawą działania mechanizmów PKI są zaakceptowane przez wszystkie strony relacje zaufania. Relacje zaufania są związane z istnieniem Zaufanej Strony Trzeciej – jest nią pojedyncze CA lub sieć CA. Każdy podmiot korzystający zfunkcjonalności PKI uznaje wszystkie certyfikaty wystawione przez zaufane CA. Poziom zaufania związany jest z przestrzeganiem ogłoszonych reguł i procedur związanych z procesem wydawania certyfikatów (podpisywania). Na CA leży obowiązek zachowania szczególnej staranności w procesie wydawania oraz przechowywania certyfikatów, gdyż od tego zależy uznanie przez użytkowników końcowych działań CA za wiarygodne. Na przykład, obowiązkiem RA może być weryfikacja tożsamości podmiotu ubiegającego się o certyfikację. Po dokonaniu takiej weryfikacji i wystawieniu certyfikatu, każdy użytkownik otrzymujący dokument podpisany takim certyfikatem uznaje go za wiarygodny oraz uznaje informacje zawarte w certyfikacie za prawdziwe. Na stronie zaufanej, wuzasadnionych przypadkach (opisanych Polityką Certyfikacji),  ciąży również obowiązek odwoływania certyfikatów oraz publikacji informacji.

Na podstawie informacji zawartych wdokumentach CP/CPS określa się zaufanie do danego CA (w szerszym ujęciu do całej infrastruktury PKI). Dokumenty te mają na celu potwierdzenie wiarygodności poszczególnych CA.

Struktura PIONIER PKI
Na podstawie analiz oraz dotychczasowych doświadczeń wybrano strukturę hierarchiczną dla PIONIER PKI. Na szczycie hierarchii znajduje się Root-CA. Na pośrednim poziomie znajduje się niewielka liczba Sub-Root-CA (początkowo 3 instancje). Na dolnym poziomie znajduje się sieć CA. Trzypoziomowa struktura CA pozwala na budowanie różnych ścieżek zaufania w systemach korzystających zPIONIER PKI. Sub-Root-CA różnią się między procedurami otrzymywania certyfikatów w podległych mu CA: procedura zpełną weryfikacją tożsamości subskrybenta, procedura automatycznego pozyskiwania certyfikatu z wykorzystaniem ELS (Elektroniczna Legitymacja Studencka), procedury dla certyfikatów tymczasowych z potwierdzaniem jedynie adresu e-mail.

Użytkownik (bądź usługa) końcowy nie musi ufać wszystkim certyfikatom wystawionym w ramach infrastruktury, może wybrać sobie ścieżkę weryfikacji, akceptując procedury (poziom wiarygodności) związane z konkretnym Sub-Root-CA.

Tworzenie sieci CA (rozproszenie infrastruktury) służy usprawnieniu działania CA oraz dywersyfikacji usługi zpunktu widzenia użytkownika. Dzięki uwspólnionym interfejsom, każdy użytkownik będzie uzyskiwał certyfikat w tej samej procedurze bez względu na obsługujące go CA. Wybór CA będzie zależny od kilku czynników, tj.: zastosowanie certyfikatu, poziom wiarygodności procedury pozyskania certyfikatu, jednostki organizacyjnej, lokalizacji fizycznej.

Bezpieczeństwo rozwiązania zostało podniesione przez zastosowanie kart kryptograficznych do przechowywania kluczy prywatnych CA.

Wnioski
Projekt „Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER” został zrealizowany wwyniku zapotrzebowania na podniesienie bezpieczeństwa użytkowników sieci. Jest to etap pilotażowo-badawczy budowy infrastruktury PKI.

Utworzenie relacji zaufania względem wszystkich użytkowników sieci PIONIER oraz zastosowanie jednolitej, spójnej i przyjaznej dla użytkownika infrastruktury klucza publicznego (PKI) wznaczny sposób ułatwi korzystanie zcertyfikatów. Samo ich użytkowanie (autoryzacja, podpis elektroniczny, uwierzytelnianie) w znaczny sposób zwiększy bezpieczeństwo pracy użytkowników sieci PIONIER.

Należy zwrócić uwagę, iż PIONIER PKI jest infrastrukturą zbudowaną i nadzorowaną  przez Konsorcjum PIONIER. Wzwiązku z tym daje pełną elastyczność kreowania rozwiązań opartych o PKI irozbudowywania infrastruktury zgodnie z pojawiającym się zapotrzebowaniem.

Ireneusz Tarnowski, WCSS