Strona główna
Projekt
Harmonogram
Przebieg pracy
Raporty
Referaty
Dokumentacja
Linki


PKI
Projekt aplikacji
Instrukcja aplikacji
Regulamin użytkownika
Import cert. do IE
Import cert. do NN
Bezp. poczta w IE
Bezp. poczta w NN
Ośw. użytkownika
Ośw. administratora
Wniosek o odwołanie



  wersja drukowalna

Regulamin użytkownika systemu PKI

Daniel Rychcik
20-03-2000

0. Wstęp

Dokument ten zawiera zbiór procedur według których powinno odbywać się zarządzanie i używanie elementów infrastruktury kluczy publicznych (dalej określanej jako PKI) jak i szczegółowe instrukcje postępowania w przypadku najbardziej popularnych programów.

1. Podstawowe definicje

certyfikat - zawiera dokładne dane o użytkowniku, wraz z jego kluczem publicznym, potwierdzone przez zaufaną instytucję zwaną urzędem certyfikacyjnym.

klucz publiczny - powszechnie dostępna część tożsamości użytkownika pozwalająca na deszyfrowanie i jednoznaczne identyfikowanie dokumentów podpisanych jego kluczem prywatnym.

klucz prywatny - tajna część tożsamości użytkownika - pozwala w jednoznaczny sposób szyfrować i podpisywać dokumenty. Powinna podlegać szczególnej ochronie.

urząd certyfikacyjny - (1) Instytucja zajmująca się poświadczaniem tożsamości użytkowników, przechowująca i udostępniająca ich certyfikaty, wystawiająca im klucze prywatne. (2) Oprogramowanie umożliwiające realizację zadań tej instytucji.

2. Procedura włączania użytkownika w system PKI

Użytkownik chcący włączyć się w infrastrukturę kluczy publicznych powinien:

  • Zgłosić się do właściwego dla swojej organizacji urzędu certyfikacyjnego (CA)
  • Wylegitymować się odpowiednim dowodem potwierdzającym jego tożsamość
  • CA wygeneruje dla niego parę kluczy ( prywatny + publiczny ). Klucz publiczny zostanie obudowany danymi osobowymi użytkownika i umieszczony w bazie danych, do której dostęp będzie bądź otwarty, bądź uregulowany dodatkowymi ograniczeniami.
  • Uzytkownik otrzyma klucz prywatny na dyskietce wraz z certyfikatami urzędów certyfikacyjnych niezbędnymi do prawidłowego funkcjonowania systemu
  • Użytkownik zainstaluje otrzymany klucz w swoim programie pocztowym i/lub przeglądarce WWW - od tej pory będzie mógł używać go do bezpiecznej wymiany danych (szczegóły techniczne opisane są w dalszej części dokumentu).

3. Podstawowe zasady bezpiecznego używania kluczy

3.1. Kwestie poufności kluczy prywatnych

Klucz prywatny jest podstawowym i jedynym elementem pozwalającym na identyfikację osoby. Z tego względu powinien być szczególnie uważnie chroniony przed osobami niepowołanymi. Wprawdzie istnieje możliwośc unieważnienia klucza i powiązanego z nim certyfikatu, jednak niebezpieczeństwa związane z podszyciem się pod uprawnione osoby są na tyle duże, że zaleca się stosowanie następujących zasad w celu uniknięcia kompromitacji klucza:

  • Po zainstalowaniu klucza w przeglądarce otrzymaną dyskietkę umieszczamy w bezpiecznym miejscu, chronionym przed osobami niepowołanymi.
  • Zaleca się oznaczanie w programie klucza jako "nie do eksportu" - w przypadku aktualnych wersji oprogramowania w zasadzie zabezpiecza to przed możliwością "wykradzenia" klucza na inną maszynę.
  • Hasło chroniące klucz w programie klienckim powinno być odpowiednio długie i skomplikowane - zaleca się używanie kombinacji dużych/małych liter, cyfr i znaków interpunkcyjnych.
  • W przypadku, gdyby jednak klucz dostał się w niepowołane ręce, należy ten fakt jak najszybciej zgłosić do właściwego urzędu certyfikacyjnego celem unieważnienia odpowiedniego certyfikatu i zaznaczenia tego w bazie danych.

3.2. Kwestie bezpieczeństwa kluczy prywatnych

Podstawowe założenie przyjęte w systemie, to fakt, że klucze prywatne nie są przechowywane przez urząd certyfikacyjny!. Ma to bardzo poważne konsekwencje, jeśli chodzi o dokumenty zaszyfrowane przy pomocy odpowiednich kluczy publicznych - po zagubieniu klucza prywatnego dokumenty stają się bowiem niemożliwe do odczytania! W związku z tym, jeżeli szyfrujemy ważną dokumentację przy pomocy naszego klucza publicznego, należy szczególną wagę przywiązywać do fizycznego zabezpieczenia klucza prywatnego na wypadek awarii.

3.3. Szczegółowe instrukcje importu certyfikatów

Szczegółowe procedury importu certyfikatów do przeglądarek i programów pocztowych są ujęte w osobnych dokumentach:

  • Instrukcja importu certyfikatów do Netscape Communicatora 4.x
  • Instrukcja importu certyfikatów do Internet Explorera 5.x

4. Bezpieczna poczta elektroniczna

W przypadku poczty elektronicznej mamy zasadniczo dwa rodzaje zabezpieczeń: po pierwsze możemy list podpisać swoim kluczem prywatnym, aby zabezpieczyć się przed nieautoryzowanymi modyfikacjami, a jednocześnie aby odbiorca miał pewność, że przesyłka pochodzi od nas.

Czym innym jest natomiast zaszyfrowanie listu kluczem publicznym odbiorcy - w ten sposób upewniamy się co do poufności korespondencji - tylko odbiorca będzie w stanie odszyfrowac list.

Szczegółowe instrukcje używania certyfikatów w celu utrzymywania bezpiecznej korespondencji są zawarte w odrębnych dokumentach:

  • Instrukcja stosowania certyfikatów e-mail w Netscape Communicator 4.x
  • Instrukcja stosowania certyfikatów e-mail w Internet Explorerze 5.x

5. Uwierzytelnianie klienta WWW

Certyfikaty użytkownika mogą być używane nie tylko do bezpiecznej poczty elektronicznej, jednym z ich głównych zastosowań jest też uwierzytelnianie klientów WWW. Szczegółowe instrukcje importu i używania certyfikatów to umożliwiających można znaleźć tutaj:

6. Dodatkowe zalecenia dotyczące bezpiecznego używania przeglądarki WWW

Przedstawionych zostanie tu kilka luźnych uwag, do których dostosowanie się pozwala zwiększyć bezpieczeństwo korzystania z przeglądarki i uniknąć wielu przykrych niespodzianek.

6.1. Cache przeglądarki

Wszystkie przeglądarki WWW używają mechanizmu pamięci podręcznej cache, aby przyspieszyć przeglądanie ostatnio odwiedzanych stron. Jest to rozwiązanie bardzo wygodne, ale niesie za sobą pewne zagrożenia w kwestiach bezpieczeństwa.

Pierwszy problem dotyczy stron przechowywanych w buforze w pamięci (memory cache). Jeżeli użytkownik przegląda poufne strony w bezpiecznym połączeniu to może zdarzyć się następująca sytuacja:

  • Użytkownik łączy się z serwerem przy pomocy SSL, przegląda zaufane strony.
  • Przeglądarka zachowuje najczęściej używane strony w pamięci.
  • Użytkownik kończy sesję z programem, system zwalnia pamięć, ale jej   nie czyści.
  • Kolejny program uruchamiany przez innego użytkownika alokuje obszar pamięci używany poprzednio przez przeglądarkę - jest w stanie odczytać jej poprzednią zawartość!

Aby uniknąć takiej sytuacji najwygodniej jest, w zależności od typu przeglądarki, albo wyłączyć przechowywanie stron w pamięci, albo ograniczyć wielkość bufora do minimum.

Nieco inna sytuacja występuje w przpadku cache'a dyskowego - jest tu o tyle gorzej, że jego zawartość nie jest kasowana po wyłączeniu przeglądarki i może zostać przypadkowo podejrzana przez nieuprawnionego użytkownika. Również tutaj można problem ograniczyć redukując rozmiar cache'a dyskowego.

W przypadku Netscape Navigatora mamy możliwość nakazania przeglądarce, aby nie przechowywała w cache'u stron otrzymanych poprzez połączenia używające protokołu SSL. Dotyczy to co prawda tylko cache'a dyskowego, jednak w połączeniu z pozostałymi zaleceniami pozwala zmniejszyć ryzyko nieuprawnionego dostępu.

Projektujac strony WWW możemy wpływać na zachowanie przeglądarki ustawiając odpowiednio znaczniki protokołu HTTP. W tym przypadku interesuje nas jeden: jeżeli strona zawierała będzie w nagłówku następującą linię:

<meta http-equiv="pragma" content="no-cache">

to przeglądarka nie będzie jej przechowywała w pamięci podręcznej na dysku (może jednak używać cache'a w pamięci!).

6.2. Poczta elektroniczna

Pomijając (opisane wcześniej) oczywiste mechanizmy takie jak szyfrowanie i podpisywanie listów certyfikatem użytkownik powinien zapoznać się z kilkoma opcjami pozwalającymi na zwiększenie bezpieczeństwa.

Pierwszym z zaleceń jest wyłączenie w programie pocztowym opcji automatycznego zapamiętywania hasła użytkownika serwera poczty. Jest to oczywiście wygodna możliwość, jednak wprowadza zagrożenie, że przypadkowa osoba, która uzyska dostęp do komputera użytkownika, będzie mogła czytać jego pocztę.

Kolejną opcją jest częstość odpytywania o hasło klucza prywatnego użytkownika. Przeglądarka przy pierwszym użyciu klucza musi otrzymać hasło tego klucza, ale następnie hasło jest pamiętane i użytkownik nie jest ponownie pytany. Może to jednak prowadzić do niebezpieczeństw podobnych jak w poprzednim przypadku. Można zatem ustalić, że przykładowo po minucie nieaktywności przeglądarka "zapomina" o haśle i w przypadku konieczności ponownego użycia klucza odpytuje ponownie.

Bardzo ważną kwestią (zwłaszcza w przypadku programów działających w środowisku Windows) jest sprawa załączników dołączonych do poczty. Domyślna konfiguracja Outlook Expressa zakłada otwieranie takich załączników bez odpytywania użytkownika. Wprowadza to duże zagrożenie ze strony wirusów przenoszonych przy pomocy poczty elektronicznej. Zaleca się wyłączenie tej opcji i szczególną ostrożność przy otwieraniu załączników niewiadomego pochodzenia.

6.3. Inne

Dla wielu użytkowników ważną rolę pełni lista częściej odwiedzanych stron (zwana Bookmarks lub Ulubione). Zaleca się regularne tworzenie kopii zapasowej tej listy oraz chronienie jej przed osobami niepowołanymi.

Przeglądarkę WWW można ustawić tak, że w przypadku zmiany statusu połączenia szyfrowane/standardowe wyświetli stosowne okienko z informacją. Osobny alert można skonfigurować dla wysyłania danych przy użyciu obydwóch typów połączeń. Te opcje są z reguły włączone i zaleca się pozostawienie ich w tym stanie.

Należy zwracać uwagę na skrypty JavaScript, kontrolki ActiveX i aplety Javy występujące na stronach WWW. W miarę możliwości należy wyłączyć ich automatyczne uruchamianie i pozwalać im działać po uprzednim zweryfikowaniu pochodzenia i autentyczności kodu.

7. Dodatki


 
 
  


© zespół #1