Telefon: 375-1564, 375-3591 E-mail: info@computerbooks.hu Nagy Sándor: Útlevél a digitális világhoz Nyilvános kulcsú tanúsítványok a gyakorlatban Kriptográfia * Digitális aláírások * Hitelesítési szolgáltatás * Webáruházak biztonsága * Elektronikus bankok biztonsága * Tanúsítványok használata Megjelenés: 2005 január 260 oldal, 2.680 Ft helyett 1.500 Ft ISBN: 963 618 328 7

A könyv előszava

A nyilvános kulcsú infrastruktúra fogalma valószínűleg meglehetősen idegenül hangzik az Internet felhasználók többsége számára. Már pusztán hangzás alapján is valami bonyolult, szakemberek által szakemberek számára kitalált konstrukciónak gondoljuk, melytől legjobb, ha távol tartjuk magunkat. Pedig sokunknak minden bizonnyal már volt is dolga vele. Aki vásárolt valaha a Hálózaton keresztül, vagy banki ügyeit az Internet segítségével intézi, az igénybe veszi, még ha nincs is tudatában ennek, a nyilvános kulcsú infrastruktúra szolgáltatásait.

Az elmúlt két évtizedben az Internetnek nevezett világméretű számítógépes hálózat hihetetlenül bonyolult virtuális világgá vált, melynek lakói (szerverek, munkaállomások, hálózati eszközök, számítógépes alkalmazások, s a felsoroltak közvetítésével valóságos személyek is) elektronikus jelsorozatok segítségével érintkeznek egymással. Az ilyen típusú kommunikáció esetén személyes találkozásra nincs lehetőség, számos alkalommal azonban mégis szükséges, hogy hitelt érdemlően megbizonyosodjuk "beszélgető partnerünk" személyazonosságáról, és gyakran felmerülő igény az is, hogy titkosított adatcserét folytathassunk vele, még abban az esetben is, ha most "találkozunk" vele először. Egyszerű példa erre az elektronikus bevásárlás folyamata. A hálózaton keresztül hozzá kapcsolódunk az Internetes áruház webszerveréhez, kiválasztjuk az árucikkeket, majd végül fizetésre kerül a sor. Az áruház bankkártyánk adatait kéri, de vajon átadhatjuk-e neki rossz érzések nélkül ezeket az információkat? Mi a biztosíték arra, hogy a kapcsolat túlsó oldalán valóban a bevásárló hely szervere található, s nem egy másik eszköz, mely úgy tesz, mintha az áruház szervere volna, s közben egyetlen célja bankkártya adatok begyűjtése későbbi visszaélések előkészítése céljából. De ha a szerver kilétében nem is kételkedünk, útjára bocsáthatjuk-e bizalmas adatainkat annak veszélye nélkül, hogy útközben valaki lehallgatja, és másolatot készít róla?

Ugyanez a probléma merül fel elektronikus levelezés esetében. Igen könnyű elektronikus levelet hamisítani, így sohasem lehetünk teljesen bizonyosak abban, hogy a kapott üzenet csakugyan a feladóként feltüntetett személytől származik. A rosszindulatú felhasználók számára a hálózati forgalom lehallgatása sem jelent különösebb nehézséget, így leveleink tartalma illetéktelen kívülállók számára sem feltétlenül titok.

Ma már a szerződések, és egyéb hivatalos dokumentumok többsége is számítógéppel készül, s egyre inkább megnyílik az elektronikus ügyintézés lehetősége. Számlákat kapunk email-ben, s rövidesen adóbevallásunkat is benyújthatjuk elektronikus formában. Mindez elképzelhetetlen a dokumentum pontos forrásának megbízható azonosítása és a dokumentum változatlanságának szavatolása nélkül.

A felsorolt problémák megoldása a digitális világ szereplőinek hitelt érdemlő azonosítását, a fellépő adatcsere esetleges titkosítását, s az átadott információk változatlanságának védelmét igényli. A megoldást a nyilvános kulcsú infrastruktúra (eredeti, angol elnevezésének elterjedten használt rövidítésével PKI) jelenti.

A nyilvános kulcsú infrastruktúra, hasonlóan például az elektromos hálózathoz, háttér szolgáltatás. Ahogy az elektromos hálózat lehetővé teszi a legkülönfélébb villamos berendezések (hűtőszekrény, mosógép, televízió, számítógép stb.) működtetését szerte a világon, azáltal, hogy szabványos módon otthonainkba szállítja az elektromos energiát, úgy digitális környezetben a nyilvános kulcsú infrastruktúra szolgálja ki alkalmazásainkat, ha segítségükkel be szeretnénk mutatkozni valakinek, vagy éppen mások kilétét szeretnénk ellenőrizni, ha adatainkat titkosítani kívánjuk, esetleg digitális aláírással látni el. Kissé konkrétabban fogalmazva, a nyilvános kulcsú infrastruktúra az, amelyre (képletesen) rákapcsolódva böngésző programunk ellenőrizni tudja az elektronikus áruház vagy bank webszerverének kilétét pénzügyi tranzakciók lebonyolítását megelőzően, a nyilvános kulcsú infrastruktúra szolgáltatásaira támaszkodik levelező programunk, mikor elektronikus üzeneteink rejtjelezését és digitális aláírását végzi, és szövegszerkesztőnk előtt ülve is ugyanezt a lehetőséget használjuk ki, mikor az éppen elkészült dokumentumot jogilag is elismert elektronikus aláírással szignáljuk.

A nyilvános kulcsú infrastruktúra feladatát ügyfelei (hálózati eszközök, szerverek, valóságos személyek) azonosításán keresztül látja el. Ahogy egyes országok állami szervei hivatalos dokumentumokat (személyazonossági igazolvány, útlevél, jogosítvány stb.) bocsátanak ki polgáraik azonosítására, úgy a nyilvános kulcsú infrastruktúra (illetve az azt működtető hitelesítő szervezet) digitális tanúsítványok kiállításával igazolja a hozzá fordulók kilétét. A kiállított tanúsítvány szabványos elektronikus dokumentum, kezelésére a legkülönbözőbb gyártóktól származó legkülönfélébb eszközök és számítógépes alkalmazások is képesek.

A tanúsítvány alapján a kommunikáló partnerek, számítógépes alkalmazások, berendezések képesek egymás személyazonosságának megállapítására, egymás digitális aláírásának ellenőrzésére, valamint az átadott információk titkosítására és visszafejtésére.

A nyilvános kulcsú infrastruktúra tehát képessé teszi a különböző forrásokból származó számítógépes programokat, hogy együttműködjenek fejlett informatikai biztonsági funkciók ellátása során. A programokat természetesen fel kell készíteni az együttműködésre. Ahogy a mosógép is csak fogadja az áramot a villamos hálózatból, s a többi az ő dolga, úgy a PKI képes alkalmazás is csak fogadja a digitális tanúsítványokat, azok kezelése, felhasználása már az alkalmazás feladata.

Könyvünk célja bemutatni a nyilvános kulcsú infrastruktúra működését, megismertetni az Olvasót a digitális tanúsítvány fogalmával, kezelésével és beszerzésének módjával. Szót ejtünk a lehetséges alkalmazási területekről, a jogilag is elismert digitális aláírással kapcsolatos fontosabb tudnivalókról, saját hitelesítés szolgáltató kialakításáról, működtetéséről, s végül pedig - egyfajta bónuszként a kitartó Olvasóknak - részletesen megvizsgáljuk a nyilvános kulcsú infrastruktúra szolgáltatások alkalmazásában élen járó Internetes bevásárló helyek és elektronikus bankok működését és használatuk esetleges biztonsági kockázatait.

Az anyag elméleti és gyakorlati ismereteket egyaránt tartalmaz. Az elmélet során a szerző igyekezett a legbonyolultabb informatikai biztonsági fogalmakat is, egyszerűen, szemléletesen, közérthetően leírni, nem szakember számára is követhető módon. A gyakorlati modulok kidolgozásakor pedig realitásként fogadta el, hogy az Olvasók többsége Windows környezetben dolgozik, így a példák is erre a platformra vonatkoznak. De például a Windows tanúsítványtár használatának leírása - a megszerzett elméleti ismeretekkel kiegészülve - könnyen átvihető akár a Netscape/Mozilla csomag tanúsítványtárának kezelésére is.

A fentieknek megfelelően a további fejezetekben a következő kérdések vizsgálatát, tudnivalók kifejtését találjuk:

Kriptográfiai alapfogalmak:

A nyilvános kulcsú infrastruktúra és a hozzá kapcsolódó, digitális tanúsítványok használatán alapuló szolgáltatások magas szintű kriptográfiai eszköztárat igényelnek. A fejezet célja ezek bemutatása. Részletesebben:

" A titkosító és visszafejtő algoritmusok, valamint a rejtjelkulcs fogalma.
" Titkosító eljárások elleni támadás fogalma, rejtjelezés feltörése, algoritmikus és nyers erőn alapuló támadások (példán keresztül), szótár alapú támadások, titkosító eljárások "minőségbiztosítása", gyakorlati tanácsok rejtjelező algoritmus választásához.
" A szimmetrikus kulcsú (hagyományos) titkosítás elve és használata, a fontosabb szimmetrikus kulcsú algoritmusok felsorolása és jellemzői, ellenálló képességük algoritmikus és nyers erőn alapuló támadásokkal szemben, biztonságos kulcsméret, a szimmetrikus kulcsú algoritmusok előnyei és hátrányai.
" A nyilvános kulcsú titkosítás fogalma és használata, fontosabb algoritmusok, biztonságos kulcsméret, a módszer előnyei és hátrányai.
" Kombinált kriptográfiai rendszerek fogalma, a hagyományos és nyilvános kulcsú titkosítás előnyeinek egyesítése, azok hátrányai nélkül. A módszer működése rejtjelezés és visszafejtés során.
" Digitális aláírás készítésének elve, aláírás előállítása és ellenőrzése.
" A kulcsterjesztés problémája nyilvános kulcsú rendszerekben, elektronikus közjegyzők, nyilvános kulcsú tanúsítványok, közjegyzők közötti kereszthitelesítés, különböző tanúsítványkészítési megközelítések.
" Implementációs problémák, a kriptográfiai rendszerek gyakorlati megvalósításával összefüggő nehézségek, támadási lehetőségek, lehetséges biztonsági rések. Például hibás programok, gyenge véletlen szám generátorok stb.
" A kriptográfiai szabványok jelentősége, a szabványokhoz illeszkedő alkalmazások előnyei.
" Kulcsok védelme, operációs rendszer szintű védelem, rejtjelezett lemezes fájlok, intelligens kártyák, az egyes megoldások működése, kulcsfájlok archiválása floppy lemezre, pen drive-ra.
" Jelszavak ellopásának módjai, keylogger eszközök.

A nyilvános kulcsú infrastruktúra:

A nyilvános kulcsú kriptográfia az informatika számos, igen különböző területén alkalmazható sikerrel, célszerű tehát, ha a kulcsok hitelesítésével kapcsolatos teendőket közös, háttér infrastruktúrára bízzuk. A fejezet célja ennek a szolgáltatásnak a bemutatása elméleti és gyakorlati szempontból egyaránt:

" A nyilvános kulcsú infrastruktúra (PKI) fogalma, szükségessége, előnyei.
" A nyilvános kulcsú infrastruktúra feladatai, komponensei, működése, használata, különböző PKI változatok.
" Az X.509 típusú tanúsítványok szerepe, szerkezete.
" A jogilag is elismert elektronikus aláírás fogalma, a szabályozás Európai Uniós irányelvei, különböző hitelesítés szolgáltatók, tanúsítványok és aláírás típusok.
" Nyilvános kulcsú infrastruktúra a valóságban, ügyfél és szolgáltató oldali követelmények.
" Ügyféloldali tanúsítványtárak, PKI képes alkalmazások.
" Kibocsátói tanúsítványok terjesztése, magyar és külföldi hitelesítés szolgáltatók, az általuk kínált tanúsítványok típusai.
" A tanúsítvány alapú rendszerek előnyei és hátrányai.
" Hamisítható-e a digitális aláírás?
" A Windows tanúsítványtárának használata, hitelesítés szolgáltató kibocsátói tanúsítványának letöltése és csatolása a helyi tanúsítványtárhoz.
" Ingyenes tanúsítvány beszerzése levelezési célokra, telepítése a tanúsítványtárba.
" A tanúsítványtár karbantartása, kulcspárok és tanúsítványok mentése, visszatöltése, törlése.

Saját hitelesítés szolgáltató kialakítása, működtetése és használata:

Nyilvános kulcsú tanúsítványokat alapvetően hitelesítés szolgáltató cégektől szerezhetünk, ingyenesen vagy térítés ellenében. Számos esetben hasznos lehet azonban, ha mi magunk is generálhatunk kulcsokat, bocsáthatunk ki tanúsítványokat. A fejezet ennek mikéntjét ismerteti:

" Saját hitelesítés szolgáltató használatának előnyei és hátrányai, korlátai és alkalmazási területei.
" Az OpenSSL rendszer, a nyílt forráskódú programok jellemzői, az OpenSSL csomag beszerzése.
" Az OpenSSL alapú tanúsító eszköz létrehozása, a kibocsátói tanúsítvány szerkezete és közzétételének módjai, a tanúsító eszköz konfigurálása.
" Ügyfél kulcspár generálás, tanúsítványigénylés.
" A tanúsítvány kibocsátás folyamata és a művelet végrehajtása, a fontosabb tanúsítvány paraméterek beállítása.
" Kulcsok és tanúsítványok importálása az ügyfél tanúsítványtárába.

Kereskedelmi és banki szolgáltatások biztonsága az Interneten:

Bevásárlásaink egy részét vagy banki ügyeinket ma már kényelmesen intézhetjük akár a Hálózaton keresztül is. Kérdés, mennyire biztonságos a bizalmas adatainkat, bankszámláinkat védő technológia. A fejezet ennek megítélésében lesz segítségünkre:

" Hálózati összeköttetés létesítése az Interneten, URL-ek szerkezete, hálózati eszközök doménneves azonosítása, az IP cím fogalma, doménnév szerverek, protokollok, portok, jól ismert portok.
" Weblapok szerkezete, az interaktív, Web alapú kommunikáció fogalma, űrlapok feldolgozása, űrlap információk továbbítása, "sütik" szerepe a Web alapú adatcserében, statikus és dinamikus weblapok.
" A kereskedelmi és banki szolgáltatások működése, lehetséges biztonsági kockázatai, a védekezés elvei.
" Az SSL protokoll célja, működése, fajtái.
" Biztonságos Web alapú kommunikáció, SSL és HTTP alapon (HTTPS).
" HTTPS kommunikáció a gyakorlatban, fontosabb beállítások, az aktív kapcsolat védelmi paraméterinek ellenőrzése.
" A HTTPS alapú védelme hatékonyságának elemzése átlagos banki és kereskedelmi szolgáltatás esetén, egy lehetséges támadás forgatókönyve, nagy biztonságú banki és kereskedelmi szolgáltatások a hagyományos megoldások módosításával.
" Szempontok banki és kereskedelmi szolgáltatók választásához, javaslatok a szolgáltatás biztonságos igénybevétele érdekében.
" Rendkívüli helyzetek felismerése a gyakorlatban.

Digitális tanúsítványok használata

" Néhány - egyéni felhasználók számára fontos - alkalmazási terület áttekintése (levelezés, digitális aláírás).
" Digitális aláírás funkció használata a gyakorlatban Microsoft Word környezetben.

Vissza a lap tetejére

A könyv tartalomjegyzéke

Kriptográfiai alapfogalmak
A kriptográfia fogalma
Szimmetrikus kulcsú titkosítás
Nyilvános kulcsú titkosítás
Kombinált kriptográfiai rendszerek
Digitális aláírások

Nyilvános kulcsú tanúsítványok
Implementációs problémák
Nyilvános kulcsú infrastruktúra
A nyilvános kulcsú infrastruktúra fogalma
Jogilag elismert elektronikus aláírás
Nyilvános kulcsú infrastruktúra a gyakorlatban
Ingyenes tanúsítvány levelezési célokra
A tanúsítványtár karbantartása

Saját hitelesítés szolgáltató kialakítása és működtetése
Parancssor programok
Az OpenSSL rendszer
A hitelesítés szolgáltatás kialakítása
Ügyfél tanúsítványok igénylése
Tanúsítványok kibocsátása
Kulcsok és tanúsítványok importálása a tanúsítványtárba

Kereskedelmi és banki szolgáltatások biztonsága az Interneten
Hálózati összeköttetés létesítése az Interneten
Weblapok szerkezete és az interaktív, Web alapú kommunikáció fogalma
Kereskedelmi és banki szolgáltatások biztonsági kockázatai
Az SSL protokoll működése
Biztonságos, Web alapú kommunikáció
HTTPS alapú kommunikáció a gyakorlatban
A HTTPS alapú védelem megbízhatósága

Digitális tanúsítványok használata

Függelék
Az OpenSSL csomag telepítése
Parancssor programok
Ajánlott irodalom
Tárgymutató

Vissza a lap tetejére