|
|
 |
|
|
SPLOŠNA VPRAŠANJA
| |
|
Vprašanje:
Skrbi nas navedba na strani http://www.sigov-ca.gov.si/programska-oprema.php,
kjer piše "Zahtevana programska oprema
za posebna digitalna potrdila: Posebna kvalificirana
digitalna potrdila SIGOV-CA lahko uporabljate
s pomočjo programske opreme Entrust Desktop Solutions".
- Ali programska oprema Entrust Desktop Solutions
deluje tudi pod drugimi operacijskimi sistemi
poleg Oken?
- Ali je možno uporabljati drugačno (kompatibilno)
programsko opremo za uporabo posebnih kvalificiranih
digitalnih potrdil, na primer Pretty Good Privacy
ali GNU Privacy Guard?
|
|
Odgovor: Obstaja
več različnih sistemov zagotavljanja verodostojnosti
imetnika javnega ključa: PKI, PGP, SPKI, ...
Za državne ustanove je najprimernejši
sistem PKI s skupnim overiteljem, ki se lahko
povezuje z overitelji drugih področij oziroma
držav. Take overitelje omenjajo tudi zakoni
o elektronskem poslovanju, ki so bili sprejeti
do sedaj (nemški, avstrijski, italijanski,
slovenski, ...). PGP uporablja sistem mreže
zaupanja (web of trust), kjer ni nekega skupnega
overitelja in gre za samopodpisana (self-signed)
digitalna potrdila, ki si jih med seboj izmenjujejo
uporabniki.
SIGOV-CA kot overitelj za
javno upravo izdaja digitalna potrdila po
priporočilih PKI. Jamči za verodostojnost
digitalnih potrdil, ki povezujejo imetnikov
javni ključ in njegove podatke, in izda digitalno
potrdilo v obliki X509V3. Potrdila in seznami
preklicanih potrdil se hranijo v imeniku po
standardu X.500, ki je dosegljiv po protokolu
ldapv2 in ldapv3.
SIGOV-CA podeljuje dve
skupini kvalificiranih digitalnih potrdil:
- "spletna" so namenjena za uporabo
v spletu po protokolih SSL oziroma TLS ter
S/MIME. Programska oprema za ta potrdila
mora znati tvoriti par 2048-bitnih ključev
po algoritmu RSA, zahtevek za digitalno
potrdilo po priporočilu PKCS#10 ter vključiti
potrdilo, ki ga dobi podpisano od SIGOV-CA
v formatu PKCS#7. To pa so priporočila,
ki jih podpira večina brskalnikov in spletnih
strežnikov.
- "posebna" so namenjena predvsem
uslužbencem oziroma aplikacijam v državni
upravi. Ta oprema mora podpirati ločena
para ključev za podpisovanje in šifriranje.
Omogočati mora tudi, da se da zasebni ključ
za šifriranje restavrirati, če postane
neuporaben. To je potrebno zato, da ne bi
izgubili pomembnih službenih zašifriranih
podatkov. Uporabniki na svojih delovnih
postajah zaenkrat uporabljajo programsko
opremo Entrust Desktop Solution, ki deluje na
Oknih (95, 98, 2000, NT, XP, Vista), poleg tega še
na Macintosh Power PC od 7.5 navzgor.
Vse o lastnostih digitalnih
potrdilih SIGOV-CA:
 profil
kvalificiranih digitalnih potrdil in registra
preklicanih potrdil
Sporočila v obliki S/MIME
so standardna, ne glede ali se uporabi "spletno"
ali "posebno" digitalno potrdilo.
Tako lahko sporočilo, podpisano in/ali šifrirano
s spletnim digitalnim potrdilom, odšifrira
oziroma preveri podpis odjemalec, ki uporablja
posebno digitalno potrdilo.
Programska oprema PGP ali
GNU Privacy Guard ni kompatibilna s standardi
PKI, lahko pa, da bo v prihodnosti. Nekaj
poskusov v tej smeri je že bilo.
|
|
|
|
|
Vprašanje: Kaj
pomenijo izrazi: ASN.1, DER, base64, PEM, PKCS#7, PKCS#10,
na katere naletimo ob opisih digitalnih potrdil oziroma
zahtevkov zanje?
|
Odgovor:
|
ASN.1
|
Abstract Syntax Notation One
je del sistema OSI (Open Systems Interconnection)
za komunikacijske standarde. ASN.1 je neke vrste
jezik za opis strukture podatkov. Možno je določiti
enostavne tipe podatkov (integer, bit string,
...) ter sestavljene (set, sequence, ...).
|
|
DER
|
Distinguished Encoding Rules
Ta pravila določajo, kako vsak objekt, predstavljen
v notaciji ASN.1, na en sam način predstavimo
kot zaporedje oktetov (8-bitov). Je podmnožica
pravil BER (Basic Encoding Rules), kjer pa za
isto vrednost ASN.1 lahko dobimo več rezultatov
in zato niso primerna za področje šifriranja podatkov.
|
|
base64
|
Da bi se izognili težavam pri prenosih prek
različnih naprav v internetu, se je uveljavil
način prekodiranja base64:
zaporedje 3 oktetov (24 bitov) razdelimo na
4 sklope po 6 bitov. Dobimo 4 števila v vrednostih
0 - 63, te pa pretvorimo v znake, ki jih vse
naprave interpretirajo enako in se jih da izpisati:
0 - 25 : A - Z (angleška abeceda)
26 - 51 : a - z
52 - 61 : 0 - 9
62 : +
63 : /
Nepopolne bloke zapolnimo z znaki =.
|
|
PEM
|
Privacy Enhanced Mail
V RFC 1421 - 1424 so določeni postopki za šifrirano
pošiljanje sporočil.
Če gledamo samo digitalna potrdila, pa PEM
pomeni DER, prekodiran na način base64, ki mu
dodamo začetno in končno oznako, n.pr.
-----BEGIN CERTIFICATE----- in -----END CERTIFICATE-----.
|
|
PKCS
|
Public Key Cryptography Standards (zdaj 1 - 15, se dopolnjuje)
je pripravilo podjetje RSA za razvijalce računalniških sistemov,
ki uporabljajo asimetrične kriptografske algoritme.
PKCS#7 določa sintakso za kriptografsko obdelane
podatke, kot so digitalni podpisi in digitalne
ovojnice. Uporablja se n.pr. za pošiljanje digitalnih
potrdil in seznamov preklicanih potrdil.
PKCS#10 določa sintakso za zahtevek za overitev
javnega ključa, imena in drugih atributov.
PKCS#12 določa sintakso
za prenos osebnih podatkov, ki vključujejo zasebni ključ in digitalno potrdilo. Tako lahko prenesemo (izvozimo) svoj zasebni in javni ključ ter
pripadajoče digitalno potrdilo na drug računalnik ali pa naredimo rezervno kopijo.
PKCS#11 in PKCS#15 določata standarde za uporabo pametnih kartic in podobnih naprav za hranjenje kriptografskih ključev in izvajanje kriptografskih operacij.
|
|
|
|
|
 |
|
