PC Press
O nama
O nama
Pretplata
O nama
Postanite saradnik PC-ja
Kontakt sa redakcijom
PC Press
Novi broj
Novi broj   
Pretrazivanje
Arhiva
Arhiva   
PC Online
PC Plus   
Specijalna izdanja
Softver Softver
PC #129 : Januar 2007 TehnoGuru

 Naslovna  Sadržaj 
Branko Nikitović  

Digitalni sertifikati

U prošlom broju smo "načeli" priču o tehnologiji digitalnog potpisivanja datoteka. Sada prelazimo na ključni deo - digitalne sertifikate.

(kliknite za veću sliku)

Tehnologija koju opisujemo je izuzetno obimna. To ne iznenađuje ako se prisetimo da je teorijski razvoj njenih osnova počeo još sedamdesetih godina prošlog veka i da intenzivno traje i danas. Njena namena je maksimalno obezbeđivanje identifikacije osoba ili sistema i privatnosti podataka. Mnoge procedure su u čitavom svetu još u razradi, a mogu se i razlikovati u različitim državama.

Digitalni sertifikati

Digitalni sertifikat je struktura podataka koja za cilj ima pouzdano povezivanje javnog ključa sa podacima o njegovom nosiocu, obezbeđujući na taj način proveru identiteta pri, na primer, digitalnom potpisivanju, o čemu je više reči bilo u prošlom broju „PC“-ja. Sertifikat može biti samopotpisani ili kvalifikovani – oni su u tehničkom pogledu jednaki, ali samopotpisani može da vam izda bilo ko, a to možete uraditi i sasvim sami. Uglavnom se koriste interno, ili se pravna snaga dobija potpisivanjem posebnog obavezujućeg ugovora sa korisnikom (kao u e-banking sistemima).

Daleko značajniji je kvalifikovani digitalni sertifikat, koji po Zakonu o digitalnom potpisu i pripadajućim podzakonskim aktima može da izda samo sertifikaciono telo koje ispunjava određene zakonske uslove i ima dozvolu za rad. Kvalifikovani digitalni sertifikat sa odgovarajućim parom ključeva se može upotrebiti za kreiranje „kvalifikovanog digitalnog potpisa“ elektronskog dokumenta, koji je po pravnoj snazi ekvivalentan papirnom dokumentu potpisanom na klasičan način – olovkom i pečatom. U daljem tekstu ćemo se baviti upravo kvalifikovanim digitalnim sertifikatima.

Čak i prema pomenutom zakonu, postoji nekoliko izuzetaka od ovog pravila – recimo, prenos prava svojine na nepokretnosti, uređenje imovinskih odnosa između bračnih drugova, ugovori o poklonu, ugovori o doživotnom izdržavanju, sporazumi u vezi sa nasleđem za sada će se potpisivati na klasični način.

Interna struktura

Jedno od najčešćih pitanja u vezi digitalnih sertifikata je „Šta je u njima zapisano?“. Opšteprihvaćeni standard unutrašnje strukture i podataka je X.509, koji je od 1988. godine do danas imao tri verzije. Aktuelna varijanta obuhvata verziju, jedinstveni serijski broj (jedan od najvažnijih podataka), ID algoritma za hešovanje, vreme važenja od-do, ID algoritma javnog ključa, sam javni ključ, ID algoritma digitalnog potpisa, digitalni potpis. Opciona su polja: identifikator izdavača, identifikator nosioca i ekstenzije. Primer sadržaja jednog sertifikata je dat na slici, ali treba imati u vidu da je on realno nečitljiv, jer se ne čuva kao tekst već u binarnom formatu po standardu ASN.1.

Glavno unapređenje u verziji 2 je uvođenje jedinstvenih identifikatora izdavača i nosioca, a u verziji 3 uvođenje tzv. „ekstenzija“. Ekstenzije su važne, jer u suštini omogućavaju da u sam digitalni sertifikat unesete bilo kakve potrebne podatke. Recimo, tu može stajati informacija o dozvoli za obavljanje nekih poslova ili o pravu potpisa neke vrste ugovora koje ima zaposleni. Sistem koji implementirate ih može prepoznati i reagovati na odgovarajući način. Međutim, ako se prava upisana u ekstenziju izmene, recimo zbog promene radnog mesta, sertifikat mora biti opozvan i nosiocu treba izdati novi, a kvalifikovani sertifikati nisu besplatni – očekujte cenu 20 do 30 evra.

Zakon jasno propisuje kakve uslove mora da zadovolji uređaj koji se koristi za pravljenje kvalifikovanog digitalnog potpisa. Da ne ulazimo u detalje, mora imati mogućnost generisanja tajnog ključa u sebi (što zahteva poseban hardver) i taj ključ nikad ne sme napustiti sam uređaj. Dakle, postupak digitalnog potpisivanja, tj. enkripcije heša (pogledajte prethodni nastavak) se mora obaviti u samom uređaju. Takođe mora da ispunjava stroge uslove zaštite podataka, koji garantuju neuspeh svakog neovlašćenog pokušaja da se iz njega „izvuku“ smešteni podaci i to na bilo koji način (uključujući i hardverske zahvate). Uređaj mora poštovati CC EAL4+, FIPS 140-1 i FIPS 140-2 sigurnosne standarde. Uslove zadovoljavaju PKI smart kartice i posebni HSM (Hardware Security Module) uređaji koji su neuporedivo brži od kartica, pa se koriste na serverskoj strani.

Put do sertifikata

Proces izdavanja digitalnog sertifikata počinje u tzv. registracionom autoritetu (registration authority, kratko RA). RA je „istureno odeljenje“ nekog sertifikacionog tela i obično ih ima više jer pokrivaju neku teritoriju, recimo državu. Tu se predaje zahtev za izdavanje koji sadrži lične podatke podnosioca. U RA se zatim vrši provera predatih podataka i, ako ona pokaže da je sve u redu, prelazi se na pripremu zahteva za izdavanje. Od ove tačke procedura može biti završena na više načina, a mi ćemo opisati samo jedan, koji je dovoljan da opišemo potrebne korake.

Nosilac na licu mesta dobija karticu koja je odštampana ali u sebi ne sadrži ni digitalni sertifikat niti ključeve. Kod kuće, uz priloženi softver, korisnik generiše par javni/tajni ključ na samoj kartici i pokreće proceduru kreiranja zahteva za izdavanje, koja će zahtev upotpuniti potrebnim podacima i napraviti skoro kompletan digitalni sertifikat. Ovako pripremljen dokument se prosleđuje sertifikacionom telu čiji je zadatak samo da ga digitalno potpiše koristeći svoj tajni ključ. Time je formiran kompletan digitalni sertifikat, koji se vraća nosiocu i koji ga, posredstvom posebnog softvera, smešta na svoju karticu. Primetimo da tajni ključ nikada ne napušta karticu, što je jedan od najbitnijih razloga pouzdanosti ovakvog sistema.

Sertifikaciona tela

Sertifikaciono telo (ili kratko CA) je entitet koji digitalno potpisuje primljene zahteve za digitalne sertifikate. Ono je neophodno u procesu izdavanja digitalnih sertifikata, jer predstavlja instituciju kojoj se veruje. Napravimo paralelu sa ličnim kartama – mi u stvari ne verujemo samoj ličnoj karti, kao komadu specijalnog papira, već telu (država/MUP) koje ju je izdalo i na osnovu tog poverenja smatramo da su podaci o nosiocu u njoj tačni. Zahvaljujući podatku u samom digitalnom sertifikatu o telu koje ga je izdalo, kreira se „lanac sertifikata“ koji (ako krenete u proveru) vodi do „glavnog“ tela kome se veruje.

Kako obezbediti poverenje u neko CA telo? Tako što se realizuje njihova „piramida“, na čijem je vrhu vrhovno državno sertifikaciono telo (Root CA – kao da je u korenu stabla). Ono je dobro čuvano, kako fizički tako i elektronski, i ima skup strogih pravila po kojima radi. Za razliku od ostalih, Root CA telo samo sebi potpisuje digitalni sertifikat. U našoj zemlji ono je pod upravom Ministarstva za nauku.

Međutim, od ovog tela se ne može kupiti digitalni sertifikat. Root CA ih izdaje samo tzv. među-CA telima (Intermediate CA, kratko ICA), koja komercijalno izdaju sertifikate. Dakle, korisnici mogu kupiti kvalifikovani digitalni sertifikat samo od ICA tela, kojih će u Srbiji biti nekoliko. Root CA nije univerzalno telo, već se koriste različita za elektronske pasoše, lične karte...

Za normalan rad javnog CA tela neophodan je i skup aplikacija koje omogućavaju upravljanje životnim vekom samog sertifikata. Pored navedenih, moraju da obezbede i različite evidencije i publikovanje informacija, zatim funkcije opoziva i pauziranja sertifikata, kao i obnavljanja – sertifikati obično važe samo jednu godinu (iz sigurnosnih i ekonomskih razloga).

Kada već nešto digitalno potpišete, potrebno je da se ispravnost originalne datoteke i njenog digitalnog potpisa može proveriti. Zato CA tela mogu objaviti podatke o izdatim digitalnim sertifikatima, mada to nije obavezno. Obavezno je objavljivanje informacija svih CA tela o svim njihovim izdatim sertifikatima koji su pauzirani ili opozvani, što se radi kroz liste opozvanih sertifikata – Certificate Revocation List, tj. CRL. U normalnim okolnostima, pri svakoj upotrebi digitalnog sertifikata vrši se provera njegove ispravnosti – prvo se proverava rok važnosti koji je upisan u sam sertifikat, zatim se provere podaci o CA koje je izdalo digitalni sertifikat potpisnika, a na kraju i da li se sertifikat nalazi na CRL-u. CRL je ekstremno važan sigurnosni mehanizam, koji omogućava da se neki sertifikat maltene trenutno opozove i time spreči njegov korisnik u vršenju nedozvoljenih operacija, bez obzira na to gde se na svetu nalazi.

Globalna scena

Već sad postoji realna potreba da se upotreba digitalnog sertifikata ne ograničava samo na pojedine zemlje. Nažalost, sistem koji bi to omogućio za sada ne postoji, pa kada se radi o kvalifikovanim digitalnim potpisima još uvek nema međudržavnog priznavanja.

Ovaj problem će se gotovo sigurno rešavati po vrstama primene. Na listi prioriteta se nalazi elektronski pasoš, koji je po prirodi stvari namenjen internacionalnoj upotrebi. Standarde za elektronske pasoše je izdala organizacija ISO, ali ih je u najvećoj meri u svojim preporukama definisala organizacija za civilnu avijaciju – ICAO (International Civil Aviation Organization). ICAO sada intenzivno radi na razvoju tzv. Public Key Directory-ja, koji će čuvati potrebne podatke svih država u sistemu.

Otkrili smo vam samo vrh ledenog brega, ali se nadamo da smo doprineli boljem razumevanju prilično kompleksnih mehanizama za rad sa kvalifikovanim i digitalnim sertifikatima uopšte. Za razliku od nekih drugih domena, pojedine strane države (uglavnom na Zapadu) koje su krenule u vode realne primene digitalnih sertifikata nisu daleko ispred nas u primeni ovih tehnologija.

Korisne adrese:

NetSeT
http://www.netset.co.yu