De fleste av oss har hørt om digitale signaturer, digitale sertifikater, public keys og PKI, men hva er alt dette? I denne fyldige guiden får du full kontroll på akkurat denne teknologien.
Hva, Hvilke og Hvordan i PKI
- Hvilke sikkerhetstjenester tilbyr PKI?
- Hva er en Digital Signatur?
- Hva er et Digitalt Sertifikat?
- Hva er Public Key kryptering?
- Hvordan er gangen i en valideringsprosess?
Dette er altså hovedpunktene for hva som blir gått gjennom i denne guiden.
Hvilke sikkerhetstjenester tilbyr PKI?
Generelt: PKI Sikkerhetstjenester
Dette er tjenester som skal verne om dine verdier – innen en IT-verden
Tradisjonelt kan slike tjenester inndeles noen hovedgrupper, der hver gjenspeiler motstandsdyktighet mot aktuelle trusler.
- Motstandsdyktighet mot at informasjon kommer på avveie. Denne tjenesten kalles ‘Konfidensialitet’
- Motstandsdyktighet mot at informasjon blir endret utilsiktet, enten ved fabrikasjon, modifikasjon eller sletting. Denne tjenesten kalles ‘Integritet’
- Motstandsdyktighet mot forfalskning av påståtte identiteter. Denne tjenesten kalles ‘Autentisitet’.
- Signaturtjenester, som lager bevis i tilfelle senere disputt om hvem som har skrevet, sendt eller mottatt noe.
Ofte brukes dette begrepet synonymt med ‘Krypto’.
Når en melding blir kryptert, vil den bli overført til en form som gjør innholdet komplett uleselig for andre enn den som har den hemmelige koden som kan dekryptere den. Koder som brukes for å kryptere eller dekryptere kalles ‘nøkler’. Dermed beskytter kryptering mot at noe skulle komme på avveie. Det er imidlertid viktig at nøklene ikke kommer på avveie!
Kryptering brukes til to formål:
- til å beskytte lagret informasjon, og
- til å beskytte informasjon under forsendelse.
Hvis nøkkelen som beskytter kryptert informasjon blir ødelagt, vil det også være umulig for den som ‘eier’ informasjonen å lese den i all ettertid. Dette representerer i seg selv en trussel mot tilgjengeligheten til data. For å bøte på dette tilbyr PKI systemet til ZebSign på sentral backup av krypto-nøkkelen. Denne blir lagret under svært beskyttede forhold og omstendigheter. Eieren kan hente ut en kopi, noe det er lagt opp spesielle rutiner for, samt at systemet er laget slik at minst to spesielle sikkerhetsoperatør må delta i prosessen.
Med integritet menes at meldinger eller filer ikke kan endres av uvedkommende uten at det blir oppdaget, og endringen evt. forkastet eller korrigert. Feil kan oppstå også uten menneskelig innblanding. Integritet inngår derfor på mange nivåer i data-verdenen. I PKI sammenheng brukes integritet i sammenheng med autentisering og signering (nedenfor) på en transparent måte. Automatikken vil kontrollere og eventuelt forkaste dersom informasjon kommer ukorrekt fram.
Denne tjenesten skal verifisere at en påstått identitet er korrekt , og benyttes ofte ved innlogging. Generelt kan autentisering brukes på alt fra personlige navn til nettverksaddresser i en internettverden. I PKI sammenheng brukes det til å verifisere sanne registrerte brukere som er etablert med egne sertifikater, enten det er fysiske personer eller tjenesteservere. De underliggende mekanismene er kryptografiske, og bruker egne nøkler forskjellig fra nøklene til vanlig kryptering som skal bare skjule innholdet av en fil.
I forbindelse med Autentisering benyttes begrepet Single Sign-ON, som innebærer at en bruker ikke blir bedt om passordet flere ganger enn ved selve innloggingen. Dette gjelder hvis portalen er en inngang mot ulike underadresser innen samme nettverksdoméne. Dette får konsekvenser for hvordan en portal bør organiseres.
Signering knytter en identitet til en melding eller dokument på samme måte som i papirverdenen slik at den som signerer i ettertid ikke kan benekte hva han har signert på. Tjenesten inngår i den mer omfattende ‘ikke-benektning’ (non-repudiation) tjenesten, som også kan omfatte tidsstempling og bevis på om en melding er mottatt eller ikke. De underliggende mekanismene er kryptografiske, og bruker egne nøkler forskjellig fra nøklene til vanlig kryptering som skal bare skjule innholdet av en fil.
Merk at Digital Signatur inngår som en mekanisme i denne sammenheng og er ikke helt det samme som selve signeringstjenesten.
Kilde: Telenor