PKI rendszerekhez kapcsolódó megoldások

Napjaink informatikai kulcskérdése az adatbiztonság és a hitelesség megvalósítása, amely az elektronikus ügyintézés térhódításával egyre nagyobb jelentőséggel bír. A törvényi szabályozásoknak és a technika fejlődésének köszönhetően az elektronikus dokumentumok biztonságos cseréje elérhető céllá vált. Az ilyen bizalmas adattovábbításhoz nyilvános kulcsú eljárás szükséges.

Az elektronikus aláírás szabályozásáról szóló törvények

Az elektronikus aláírás hasonlóan, mint a papír alapú kommunikációban a saját kezű aláírás az adattartalomért vállalt felelősség bizonyítéka. A gyakorlatban ez egy olyan elektronikus aláírás használatával biztosítható, ahol az aláíró személy és az általa használt aláírás összetartozását egy hitelesítés szolgáltató által kiadott tanúsítvány igazolja.

Ahhoz, hogy az elektronikus aláírás felhasználói megbízhassanak az elektronikus aláírás hitelességében, meg kell, hogy bízzanak a hitelesítés szolgáltató megfelelően kiépített, a kockázatokat minimalizáló eljárásaiban és megelőző intézkedéseiben. Hazánkban a felhasználói bizalom megalapozása, továbbá a kockázatok minimalizálása céljából az Európai Parlament és a Bizottság 1999/93/EC jelű, elektronikus aláírási irányelvével összhangban a 2001. évi XXXV. törvényben fektették le az elektronikus aláírás alapelveit, melyet a 2004. évi LV. törvény rendelkezéseivel egészítettek ki.

Az elektronikus aláírási törvény kiterjed a minősített tanúsítványok kiadásához kapcsolódó alapelvekre, követelményekre, a hitelesítés szolgáltatók működésére, eljárásaira, felelősségvállalási kötelezettségeire, valamint a fizikai és informatikai biztonsági követelményekre.

Nyilvános kulcsú infrastruktúra – a PKI

A PKI (Public Key Infrastucture) egy globálisan elfogadott rendszer, amely nyilvános (más néven asszimetrikus) titkosítást és digitális tanúsítványt alkalmaz a biztonságos elektronikus tranzakciók hitelesítése érdekében. Ezzel lehetővé teszi a törvények által elfogadott kétkulcsú, harmadik személyes hitelesítési és adatbiztosítási eljárások használatát.

A PKI legfőbb feladatai:

• Tanúsítványok kibocsátása - nyilvános kulcsok adott entitáshoz való kapcsolása
• Érvényesség ellenőrzés - ellenőrzési technikák nyújtása, melyekkel adott tanúsítvány érvényessége ellenőrizhető

A PKI két fő modul: a CA (Certication Authority – Hitelesítő vagy Tanúsító Szervezet) és az RA (Registration Authority – Regisztrációs Szervezet) segítségével nyújtott szolgáltatás, amely a következőket tartalmazhatja:

• Felhasználó regisztráció - új felhasználói tanúsítványok kibocsátása
• Tanúsítvány visszavonás - korábban kibocsátott tanúsítványok visszavonása
• Kulcs közzététele - LDAP segítségével a nyilvános kulcsok közzététele
• Bizalmi viszonyok meghatározása - tanúsítványok érvényességének és felhasználási területének ellenőrzése

PKI rendszer kialakítása során megjelenő további alkotóelemek és modulok:

• Certificate Revocation List (CRL) a visszavonásra került tanúsítványok listája. A visszavonásra került tanúsítványok nem használhatóak tovább.
• Lightweight Directory Access Protocol (LDAP) olyan névtárelérési protokoll, amely z X.500 szabvány szerinti szerviz rutinok egy részét kezeli, valamint a bejegyzések elérését és bevitelét teszi lehetővé.
• Web RA a nevéből is adódóan egy web felületen végezhetők el a tanúsítvány kiadással kapcsolatos feladatok.
• Batch RA a csoportos, nagyszámú tanúsítvány kibocsátást biztosítja. Csak bizonyos PKI rendszerek esetében érhető el.
• OCSP a tanúsítványok online ellenőrzésére szolgáló protokoll, modul. A visszavonási listás ellenőrzést egészíti ki az aktuális időpontban történő állapotlekéréssel.

A PKI működése

A rendszer kétkulcsúsága azt jelenti, hogy egy privát (amit csak az adott fél birtokol), valamint egy publikus (amit mindenki elérhet, s amelyet jól hozzáférhető helyen tárolnak) kulcs kombinációjával képezhető digitális aláírás, és kódolható, titkosítható adattartalom. Mindez úgy történik, hogy a másik félnek a hitelesség ellenőrzésére, valamint az adattartalom dekódolására csak a küldő fél nyilvános kulcsára van szüksége. Elengedhetetlen ugyanott, hogy mindkét kulcs hiteles legyen, vagyis valódiságuk igazolódjon. Ezt a feladatot a CA, vagyis a „megbízható harmadik fél” végzi: aláírja a kulcsokat és tanúsítványokat bocsát ki hozzájuk. A tanúsítvány felfogható elektronikus személyi igazolványként, hiszen szerepel benne többek között az entitás neve, megkülönböztetett neve, e-mail címe és a nyilvános kulcsa. Az RA feladata az entitások regisztrálása és a CA által kiosztott tanúsítványok eljuttatása az entitásokhoz.

A PKI rendszerek által kibocsátott aláíró kulcsok és tanúsítványok az elektronikus aláírás és titkosítás mellett az alábbi feladatokra használhatók:

• Alkalmazásba ágyazható PKI modulok (tool kit-ek)
• Számítógépekbe, rendszerekbe való belépés hitelesítése, adatok kódolása
• Helyi hálózatok adatbiztosítása
• VPN hálózatokon való hitelesítés és adatbiztosítás
• WEB hozzáférés hitelesítése
• Single-sign on megoldás

PKI rendszerek és a platformok

Az informatikai piacon számos platformon működő PKI rendszer érhető el. Ezek főbb jellemzői a következők:

Linux alapú PKI rendszerek

Bizonyos disztribúciók már tartalmaznak PKI rendszereket, melyek külön liszence megvásárlása nélkül telepíthetők és üzemeltethetők.

A linux alapú PKI rendszerek, mint például a Red Hat linux-ban is megtalálható komponens inkább stand-alone rendszerként üzemelnek. Microsoft AD-s környezetbe történő illesztésük csak fejlesztésekkel valósítható meg, így a rendszer bevezetési költségei elérhetik más Microsoft rendszereket jobban támogató rendszerek bevezetési költségeit.

Kinek ajánljuk?

A linux alapú PKI rendszereket olyan kis szervezetek számára javasoljuk, ahol linux környezetet használnak és néhány felhasználó számára szeretnék biztosítani a tanúsítvány alapú azonosítást és a levelek digitális aláírását.

Microsoft CA PKI rendszerek

A Microsoft CA a Microsoft szerveres operációs rendszereiben elérhető PKI rendszer, amely külön liszence megvásárlása nélkül vezethető be és üzemeltethető. Web alapú és egy központi felületen keresztül biztosítja a tanúsítványok kiadását.

Kinek ajánljuk?

Olyan szervezeteknek, akiknél nem jelentkezik igény minősített tanúsítványok kiadására, rendelkeznek Active Directory-val és egy könnyen integrálható megoldást keresnek.

Brand PKI rendszerek

Fejlesztett, gyártói termékek lévén megfelelnek mind a nemzetközi, mind az üzletági hazai szabványoknak, elvárásoknak, ajánlásoknak és törvényeknek, ezért a Nádor Rendszerház elsősorban ezen rendszerek bevezetését javasolja.

A gyártói fejlesztőcsapat biztosítja a rendszerek arculatának átformálását, az AD illesztések és a rendszerekkel szemben támasztott igények gyors és rugalmas fejlesztését is. A megfelelőségnek és a rugalmasságnak köszönhetően széles körű nemzetközi és hazai referenciákkal rendelkeznek.

Kinek ajánljuk?

Olyan szervezeteknek, akik minősített digitális aláírás kiadására alkalmas, a magyar törvényi elvárásoknak megfelelő, és fejlesztői csapattal, támogatással rendelkező megoldást keresnek nagyszámú minősített vagy fokozott biztonságú tanúsítvány kibocsátásra, mivel egy brand PKI rendszer bevezetése megfelelő alternatívaként szolgálhat a hitelesítés szolgáltatóktól éves díj ellenében vásárolható tanúsítványok használatával szemben.

A brand PKI rendszerek főbb jellemzői:

• Root CA és Sub CA struktúrák alakíthatók ki
• Rendelkeznek RA, RO, Batch RA, Web RA komponensekkel
• Biztonságos CA-RA kommunikáció
• Minősített PKI rendszerek, így alkalmasak minősített és fokozott biztonságú tanúsítványok kiállítására is
• Széleskörű smart kártya, eToken és HSM támogatás (minősített BALE eszközök is támogatottak)
• Monitorozó, naplózó funkciók a rendszerek problémamentes működése és a rendszerekben végzett tevékenységek folyamatos nyomon követése érdekében
• Szerepkör szétválasztás és PKI alapú hitelesítés
• OCSP, TimeStamp

PKI rendszerek összehasonlítása