Provjera X.509 certifikata u PKI sustavu

FER | Sigurnost@Zemris | Kontakt

Sadržaj

• Početna
• Uvod
• PKI sustav
  • Struktura PKI sustava
  • Primjer korištenja PKI sustava za autentifikaciju korisnika
  • Povijesni razvoj PKI-ja
  • Prednosti i ograničenja PKI sustava
  • PKI u Hrvatskoj
• X.509 certifikati
• Programsko ostvarenje
• Zaključak
• Literatura
• Dodatak A
• Source kod
• Pdf verzija

Povijesni razvoj PKI-ja

1976. Whitfield Diffie i Martin Hellman izdaju članak „New Directions in Cryprography“. U svom su članku predstavili, u tom trenutku revolucionarnu, metodu asimetrične kriptografije. U konceptu asimetričnh kriptografskih algoritama postoje dva ključa, za razliku od simetričnih u kojima postoji samo jedan. Algoritam DES je bio standard u to doba i osnovni algoritam temeljen na simetričnoj kriptografiji. Glavni problem simetrične kriptografije bio je sigurna razmjena tajnog ključa preko nesigurnog kanala. Diffie i Hellman su predložili da vrijednosti dvaju ključa budu povezani nekom matematičkom funkcijom, sporom za izračunavanje, i da se jedan vrijednost koristi za kriptiranje, a druga za dekriptiranje poruke. Budući da bi veza između dvije vrijednosti ključa bila netrivijalna za izračunati, jedan ključ bi bio javan, bez gubitka sigurnosti. Iako autori u tom trenutku nisu imali ideju praktične realizacije kriptografije javnim ključem, ona je pobudila prilično veliko zanimanje i intenzivirala aktivnost kriptografske zajednice. Autori predlažu i stvaranje bijelih stranica javnog ključa (Public Key White Pages), tako da svatko može doći do javnog ključa pojedine osobe. Jednim potezom, izumili su kriptografiju temeljenu na javnom ključu i PKI. Kriptografija javnog ključa oslanja se koncept da privatni ključ ostaje tajan. 1978. student Kohnfelder objavljuje ideju o offline certifikacijskom centru (CA) koji bi povezivao identitet i javni ključ pojedinca potpisujuću certifikat svojim privatnim ključem. Centar daje svoje povjerenje, preko svog potpisa kombinaciji identita i pripadnog javnog ključa. Online server može sada izdavati certifikate, i svatko može dohvatiti certifikate i provjeriti njihovu autentičnost koristeći javni ključ CA. Da je povijest bila malo drugačija, imali bismo danas pravi PKI. No dvije stvari su se umiješale. Prva je da je RSA dobio patente na prvoj radnoj implementaciji javnog ključa, i tehnologija javnog ključa se počela izbjegavati zbog problema s licencama – sve dok patenti nisu istekli. Phil Zimmerman je kreirao PGP, koji je zaobilazio RSA patente, ali je upotrijebio anarhični pristup distribuciji javnog ključa. Drugi veliki problem je posve nepovezan s prvim – X.500 direktoriji. X.500 direktoriji osmišljeni su da budu online globalna baza korištena za elektroničku poštu i ostale aplikacije korištene od strane OSI-ja (Open System Interconnections) u 1980-ima. X.500 se oslanja na na ASN.1 (Abstract Syntax Notation One) za definiciju sadržaja direktorija. ASN.1 je standard i fleksibilna notacija koja opisuje podatkovne strukutre za prikaz, kodiranje, prijenos i dekodiranje podataka, te će o njoj biti govora kasnije. X.509 certifikat je prvi put izdan 3. srpnja 1988. i bio je kreiran za autentifikaciju pristupa X.500 direktorijima. Verzije 1 i 2 X.509 certifikata su ispale iz široke upotrebe jer su im nedostajala ključna polja za upotrebu u Internet aplikacijama. Npr. niti jedna verzija nema polje za korisnikovu e-mail adresu. Struktura imena koju DN upotrebljava nije povezana s imenovanjem kakvo koristimo u stvarnom životu, i stoga je DN velikim dijelom zaslužan zašto PKI nije u širokoj upotrebi danas. Verzija 3 X.509 certifikata uvodi dovoljno fleksibilnosti za širu uporabu.