Tematski broj - Računalna sigurnost
Hrvatska akademska i istraživačka mreža
Naslovnica
Sigurnosni problemi
Sigurnosni alati
Nadležne službe
CERT
Abuse
PKI
Korisni linkovi
Pojmovnik
Pitanja i odgovori
Tema mjeseca
Arhiva
PKI

PKI (Public Key Infrastructure), poznat i kao X.509, je sustav koji se temelji na strogoj hijerarhijskoj organizaciji izdavanja korisničkih certifikata.

PKI sustav čini kombinacija tehnologije enkripcije i servisa koji organizacijama omogućavaju sigurnu međusobnu komunikaciju i poslovne transakcije.

Dijelovi PKI (X.509) sustava

PKI se sastoji od više međusobno povezanih objekata, aplikacija i servisa (slika 1):

  • alata za upravljanje i nadgledanje sustava ,
  • CA (Certification Authority) koji se brine za izdavanje i valjanost certifikata ,
  • distribucije izdanih certifikata (najčešće se koristi LDAP imenički servis)
  • distribucije CRL liste (Certification Revocation List)
  • korisničkog certifikata 
  • korisničkih aplikacija, servera itd., koji koriste PKI autorizaciju.

s

PKI komponente rade zajedno i omogućavaju sigurnu distribuciju i pravovaljanost izdanih certifikata.

Kriptografija kao sastavni dio PKI-a

Sigurnost elektroničkih komunikacija analogna je primjeru slanja pisma u kojem se potpisom ovjerava sadržaj i autorstvo pisma, a zatvorenom omotnicom jamči sigurnost i privatnost sadržaja pisma spram pogleda neovlaštenih osoba.

U PKI sustavu povjerljivost podataka se osigurava enkripcijom poruka odnosno korištenjem tajnog (private key) i javnog (public key) ključa u asocijaciji s kompleksnim matematičkim algoritmom (tzv. asimetrična enkripcija).

Svaka osoba u PKI sustavu ima vlastiti javni i tajni ključ, nadopunjen certifikatom. Osnovni princip sustava je sigurno pohranjivanje tajnog ključa koji mora biti dostupan i poznat samo korisniku. Korisnički certifakat, u kojem se nalazi javni ključ, je dostupan svima i najčešće se pohranjuje pomoću LDAP imeničkog servisa. Korištenjem kombinacije tajnog i javnog ključa prilikom slanja poruke, sadržaj poruke se kriptira čime poruka postaje nečitljiva. Primjenom pripadajućeg tajnog ključa, koji svaka osoba u PKI sustavu čuva za sebe, poruka se dekriptira te nanovo postaje čitljiva.

Dodatna sigurnost se postiže upotrebom višenamjenske pametne kartice (smartcard) za pohranu korisničkih ključeva i certifikata.

Tajni ključ se koristi i kod digitalnog potpisivanja poruka pa primatelj pomoću pošiljateljevog javnog ključa može provjeriti je li sadržaj poruke prilikom dostave mijenjan, odnosno je li dobio originalni HASH zapis.  

t

Certifikat ili digitalni potpis (digital ID) je dodatak koji se dodaje digitalnom dokumentu i služi kao autentifikacija osobe ili računala koje koristi neku uslugu, aplikaciju ili komunicira s drugim korisnicima putem Interneta ili drugačije. Sam certifikat u sebi sadrži korisnički javni ključ koji, korištenje HASH algoritma, mora biti potpisan, odnosno odobren od organizacije koja garantira da je certifikat izdan po pravilima.

Ispravnost certifikata se garantira certifikatom višeg nivoa hijerarhije, tzv. root certifikatom odnosno certifikatom potpisanim od nekog sub CA (Certification Authority) operatera koji je potpisan od root CA (Certification Authority).

Na slici 3 je prikazan certifikacijski put korisničkog digitalnog potpisa potpisanog od CARNet PKI servera. U digitalnom se potpisu nalazi certifikat organizacije koja je izradila i potpisala odnosno potvrdila korisnički certifikat.

ceritificate_m.jpg

Korisničkim se certifikatom identificira korisnika pomoću nekoliko elemenata:

  • vrijeme trajanja («vjerovanja») certifikata
  • ekstenzije korisničkog certifikata koijma se definiraju usluge za koje korisnik može koristiti svoj certifikat
  • uloga koju korisnik ima u organizaciji na temelju koje dobiva autentifikaciju za usluge koje može koristiti
  • link na listu na kojoj se provjerava je li certifikat izgubio na valjanosti
  • polje u kojem je zapisan korisnikov javni ključ

Udruživanje certifikata sa standardnim aplikacijama

Nakon izdavanja certifikata, uz standardne kriptografske funkcije, postoje i različite upotrebe u aplikacijama za autorizacijske i autentifikacijske potrebe kao što su na primjer: S/MIME (Secure Multi-purpose Internet Mail Extensions), web autentifikacija, prijava na računalo, login na Win domenu, login za ostvarivanje VPN konekcije.

Više o PKI možete naći među korisnim linkovima.