Hlavní téma: Public Key Infrastructure (PKI) - Infrastruktura veřejných klíčů.
VYŠLO: 08.06.2000
Interview
S Ing. Ivou Steinerovou, Ing. Ondřejem Steinerem a Ing. Jiřím Novákem z České pošty jsme si povídali o projektu certifikačních autorit.
Je PKI na prodej?
RNDr. Ivo Kněžek, MBA
PKI (Public Key Infrastructure) je infrastruktura. Jinými slovy sama o sobě žádné peníze nevydělá. Přesto řada organizací strukturu PKI vybudovala nebo o ní uvažuje. Článek se stručně zabývá rozborem základních bodů, které byste měli analyzovat, než se rozhodnete pro zahájení projektu PKI.
Jaké si pořídit PKI
Ing. Jiří Mrnuštík
Článek upozorňuje na komplikovanost pojmu PKI, uvádí společné rysy všech PKI a předkládá vhodnou definici PKI v širším pojetí. Poskytuje přehled základních vlastností, kterými musí disponovat dobře navržené PKI, a uvádí příklad přídavné vlastnosti, zvyšující užitnou hodnotu PKI. V další části článek vysvětluje podstatu certifikátu a popisuje základní komponenty PKI, tj. certifikační autoritu, registrační autoritu, certifikační politiku a dokument obsahující souhrn praktických postupů při výdeji certifikátů certifikační autoritou (CPS). . . . je velmi obtížné ověřovat identitu vlastníka soukromého klíče, který patří k certifikátu (veřejnému klíči), kterým byl jeho podpis ověřen. Dva lidé spolu mohou komunikovat a nikdy v životě se nesetkat. Naráží se zde na problém důvěry a přichází potřeba pevně a nezpochybnitelně spojit identitu člověka s jeho digitálním reprezentantem - veřejným klíčem (ten opouští uživatelův počítač, je široce distribuován a doplňuje uživatelův soukromý klíč a současně reprezentuje i uživatele jako osobu).
Problematika implementace Infrastruktury veřejných klíčů
Ing. Pavel Marták
. . . řešení bezpečnosti prostřednictvím Infrastruktury veřejných klíčů je správná volba. Před přistoupením k takovému kroku je však nutné přikročit k podrobné analýze a funkční specifikaci požadavků na řešení. Dalším krokem je provést výběr vhodné platformy ve smyslu řešení. Je třeba brát na zřetel, že agresivní marketingová kampaň a počáteční propagace konkrétního řešení nemusí znamenat skutečnou funkčnost a stabilitu produktu. Nejvhodnějším přístupem k řešení je požadovat před výběrem dodavatele prokázání splnitelnosti kladených funkčních požadavků, schopnosti dodavatele provést případnou širokou systémovou integraci apod. Podobně zvolený přístup může zabránit zbytečným nákladům a prodražování řešení bez požadovaného výsledku.
Je PKI spásou?
RNDr. Eva Racková, ACCA, CISA
. . . revokace certifikátů je mechanismus, který chrání všechny zúčastněné strany před zneužitím privátního klíče, pokud byl nějakým způsobem prozrazen. Je však třeba zajistit, aby nemohl být zneužit sám mechanismus revokace. Je tedy třeba velmi přesně definovat kdo a jakým způsobem může o revokaci zažádat a čím je revokace vykonána. Je třeba také definovat (podobně jako to standardně funguje u platebních karet), kdo nese zodpovědnost za podpisy (a tudíž například na vzniklé závazky) provedené mezi zažádáním o revokaci a publikováním revokace na seznamu revokovaných certifikátů (CRL). Je zřejmé, že pro vysoce kritické aplikace je třeba (a je možné) těmto problémům zabránit on-line ověřováním certifikátů. V řadě případů však nelze toto řešení použít a je třeba se spoléhat na CRL.
Federální PKI v USA
Doc. Ing. Jaroslav Dočkal, CSc.
. . . velké úsilí vyvinula pracovní skupina TWG. Schválila doporučení standardu pro rozšíření ve federálních certifikátech (Certificate Profile for Federal Certificates). Zpracování tohoto doporučení probíhalo ve spolupráci s obdobnou aktivitou v rámci Internetu - Multi-level Information Security Initiative (MISSI). Skupina TWG vyvinula pravidla pro kódování klíčů pro digitální podpisy dle algoritmu DSA (Digital Signature Algorithm) a jejich použití v certifikátech a na certifikační cestě. Inicializovala práce na PKIX, což je standard certifikační politiky a CPS. Zpracovala dokument Concept of Operations (CONOPS), který popisuje vizi integrovaného federálního PKI.
Je Java bezpečná?
Ing. Miroslav Hos
Přestože téměř všichni používají často a různou měrou Internet pro získání potřebných informací, málokdo se zamýšlí nad možnými potencionálními nebezpečími, která přináší napojení do počítačové sítě. Interaktivnost www stránek totiž bývá často podmíněna nutností spustit na svém počítači programový kód přenesený přes Internet od neznámého programátora. V příspěvku jsou vysvětlena hrozící rizika, možnosti a omezení spustitelných aplikací a naznačeno řešení, jakým způsobem eliminovat nebezpečí na minimum.
Business Continuity Planning - III.
Patrik Kuta
Obor havarijního plánování byl často vnímán jako ochrana před selháním průmyslových technologií, ekologickými haváriemi, povodněmi a podobně. Managementy organizací, závislých na informačních systémech, si však stále častěji uvědomují, že nemají-li své informace k dispozici, má to pro ně stejné následky jako, kdyby tyto informace neexistovaly. Proto s rozvojem informačních technologií a jejich nasazením do kritických aplikací vzrůstají požadavky zachování nebo rychlou obnovu jejich funkci v případě vzniku havárie. Potřeba havarijních plánů je také přímo zakotvena v normách řady ISO 9000, v metodikách přípravy na přechod do roku 2000 nebo v zákoně 148/1998 Sb. o utajovaných skutečnostech.
Bezporuchový provoz NT / W2000 aplikací
Ing. Milan Heidrich
Dosavadní možnosti zajištění vysoké dostupnosti chodu kritických aplikací běžících pod operačními systémy společnosti Microsoft hraničily s technickými možnostmi produktů MS Cluster. Tento produkt, zejména pak v provedení Windows 2000 se výrazně zaměřuje na rozložení výkonu mezi několik serverů. Pro některé typy aplikací je však dostupnost jejich chodu garantovaná MS Cluster technologií ( řádově výpadek několika hodin ročního provozu) nedostatečná, a proto zde bylo doposud nutno nasazovat jiné druhy řešení. Článek si klade za cíl informovat o nových revolučních technologiích, které posouvají aplikace napsané v prostředí Microsoft opět o řád dále.
Polemika s článkem Elektronické podpisy a EU
Doc. Ing. Vladimír Smejkal, Csc.
. . . ani další výklad není přesný. Uvádí-li se v textu "V praxi jednotlivé CA zatím řeší otázku důvěryhodnosti certifikátů, jejich roztříděním do několika tříd (obvykle čtyř až pěti). Přitom např. certifikáty třídy nula neposkytují žádné bezpečnostní garance, majitel certifikátu se nemusí prokazovat obvykle žádnými doklady, výchozím údajem je třeba e-mailová adresa.", pak tato část je zcela v rozporu se Směrnicí, neboť ta rozlišuje pouze dva stupně: kvalifikovaný a "obyčejný" certifikát. Tento text tedy vede ke zmatení čtenáře, protože směšuje stávající- a to nepříliš vhodnou - praxi různých CA s požadavky Směrnice.
Recenze produktu - Scytale Protector Suite 3.2
Tomáš Bouček
Protector Suite od firmy Scytale je balík programů pro zvýšení bezpečnosti Windows 9x a Windows NT.
PR – Konzultační služby při implementaci a rozšiřování infrastruktury veřejných klíčů
Logica – Roman Šufner
PR - ePortal
Lotus – Ing. Vojtěch Trš
PR – Crypto Safe – bezpečná komunikace na Internetu
Bull – Ing. Milan Brzoň
Tel: +420 737 215 220
E-mail: