Next: A mod_SSL projekt Up: Az Apache és a titkosítás Previous: SSL-Szerver Tanúsítvány   Tartalomjegyzék


5.8.3        Néhány alapvető kérdés a biztonságról

·         Mi kell a biztonságos kommunikációhoz?

Egy hitelesített tanúsítvány, egy egyszerű böngésző és levelező program, szervereknél Web-szerver program.

·         Mi a kulcshitelesítési tanúsítvány?

A kulcshitelesítés hasonlóan az útlevél-kibocsátáshoz - ahol állami szervezetek - itt kulcshitelesítők ellenőrzik a kulcspár tulajdonosának valódiságát és kiadnak egy tanúsítványt, mely megbonthatatlanul tartalmazza a kulcspár tulajdonosának azonosítására szolgáló adatokat, s a tulajdonos nyilvános kulcsát. Ez a tanúsítvány a kulcshitelesítő titkos kulcsának használatával digitálisan aláírt elektronikus dokumentum, melyet nyilvánosan hozzáférhető kulcsadatbázisból tölthetnek le a biztonságos kommunikáció résztvevői. Ezek a tanúsítványok megfelelnek a CCITT X.509v3 szabványnak.

·         Milyen programok támogatják a tanúsítványokat?

Böngészők (pl. az összes Netscape Navigator, Internet Explorer verzió)

Levelezők (pl. Netscape Messenger, OutLook Express, MS OutLook 98, ...)

Web-szerverek (pl. Apache, Microsoft IIS, Netscape Enterprise, Lotus Domino, Stronghold, stb.)

·         Hogyan lehet tanúsítványt szerezni?

·                Thawte Consulting, at http://www.thawte.com/certs/server/request.html

·                CertiSign Certificadora Digital Ltda., at http://www.certisign.com.br

·                IKS GmbH, at http://www.iks-jena.de/produkte/ca/

·                BelSign NV/SA, at http://www.belsign.be

·                Verisign, Inc. at http://www.verisign.com/guide/apache

·                TC TrustCenter (Germany) at http://www.trustcenter.de/html/Produkte/TC_Server/855.htm

·                NLsign B.V. at http://www.nlsign.nl

·                Deutsches Forschungsnetz at http://www.pca.dfn.de/dfnpca/certify/ssl/

·                128i Ltd. (New Zealand) at http://www.128i.com

·                Entrust.net Ltd. at http://www.entrust.net/products/index.htm

·                Equifax Inc. at http://www.equifaxsecure.com/ebusinessid/

·                GlobalSign NV/SA at http://www.GlobalSign.net

·                NetLock Kft. (Hungary) at http://www.netlock.net

·                Természetesen készíthetsz magadnak is egyet.

Regisztráljuk magunkat egy tanúsítványt kiállító cégnél. A http://www.netlock.net/ címen található, a NetLock Hálózatbiztonsági Kft., mely Magyarországon az egyetlen nyilvános szolgáltatásokat végző tanúsítványkiadó. Természetesen lehetőség van bármely külföldi, hasonló szolgáltatásokat biztosító cégnél is tanúsítványt vásárolni. Érdemes végiggondolni, hogy melyik céget érdemes választani, mert felmerülhetnek olyan jogi kérdések is, mint a káresemény esetén fellépő anyagi felelősségvállalás, esetleg biztosító társaságok bevonása is.

Ha nem akarunk fizetni a tanúsítványért, akkor magunk is készíthetünk ilyet. Ennek a problémának a megoldását kínálja a www.openssl.org oldalon az OpenSSL project gárdája. Az ehhez szükséges fájlok megtalálhatók a http://www.openssl.org/contrib/ssl.ca-0.1.tar.gz tömörített állományban. Természetesen a magunk által készített tanúsítványnak megvan az a hátránya, hogy minden felelősség a miénk.

·         Milyen tanúsítványok léteznek?

Különböző biztonsági osztályú és típusú tanúsítványok léteznek.

·                    Expressz – „C” osztályú tanúsítványok:

Az Expressz – „C” osztályú - tanúsítványoknál a kibocsátó hatóság valószínűsíti a megfelelő ellenőrzési lépések után a kérelmező kilétét. Használata elektronikus levelezéshez, kisebb kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlott.

·                    Üzleti – „B” osztályú tanúsítványok:

Az Üzleti – „B” osztályú - tanúsítványoknál a kibocsátó hatóság meggyőződött a megfelelő ellenőrzési lépések után a kérelmező kilétéről. Használata elektronikus levelezéshez, közepes kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlott.

·                    Közjegyzői – „A” osztályú tanúsítványok:

A Közjegyzői – „A” osztályú - tanúsítványoknál a kibocsátó hatóság közjegyzői dokumentumokkal és nyilatkozatokkal alátámasztva meggyőződött a kérelmező kilétéről. Használata nagy értékű tranzakcióknál, pénzügyi utasítások és információk ellenőrzésénél, szerződéskötéseknél ajánlott.

A tanúsítványok típusai: személy, névjegykártya, szervezet vagy szerver

Tanúsítvány típusok

Jellemzője

Használati köre

Személyes

Személyes tanúsítvány természetes személy igényelhet a saját nevében.

Használati köre hasonlít a kézzel készített aláíráséra.

Névjegykártyás

Névjegykártya tanúsítványt természetes személy igényelhet egy adott szervezet tagjaként. A szervezet lehet munkahely, egyesület, alapítvány. A tanúsítványban szerepel a személy szervezetben ellátott funkciója is.

Használati köre hasonlít a névjegykártyáéra.

Szervezet

Szervezet tanúsítványt jogképes szervezet vagy annak szervezeti egysége igényelhet. A szervezet lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány.

Használati köre hasonlít a szervezet pecsétjére.

Szerver

Szerver tanúsítványt Internetes címmel (ún. domain névvel) rendelkező, szervert üzemeltető természetes személy vagy szervezet igényelhet.

Használati köre a Web-szerverekkel való biztonságos kommunikáció.

·         Mi az a digitális aláírás?

Digitális adatok hitelesítésére szolgáló kódsorozat, amely matematikai algoritmussal készített, s a titkos üzenetek végéhez van csatolva. Lehetővé teszi, hogy minden digitálisan aláírt üzenet olvasója ellenőrizni tudja az üzenetet küldő személyazonosságát, s az üzenet sértetlenségét. A küldő privát kulcsával készül és annak publikus párjával, nyilvános kulcsával lehet ellenőrizni eredetiségét. Dokumentumfüggő, azaz ha bármilyen változtatás történik az aláírt üzenetben, akkor a digitális aláírás nem fejthető vissza.

·         Mi az a visszavont kulcs?

Olyan kulcspár, melynél a privát kulcsot valamilyen negatív történés éri (pl. ellopják, elveszítik, vagy a felhasználó elfelejti a jelszavát). Ilyen esetben a kulcspár használatát a kulcspár kiadója letiltja, visszavonja.

·         Mi az ujjlenyomat?

Adott üzenetből matematikai algoritmus által előállított fix hosszúságú bitsorozat, mely jellemző az adott szövegre, tehát egyedi. Az algoritmus biztosítja, hogy gyakorlatilag lehetetlen két olyan üzenetet találni, melyeknek egyforma ujjlenyomata lenne. Digitális aláíráshoz használják fel.


Next: A mod_SSL projekt Up: Az Apache és a titkosítás Previous: SSL-Szerver Tanúsítvány   Tartalomjegyzék

 
Misóka Zoltán 2000. 10. 05.