Andrzej Majewski

Andrzej Majewski

Bezpieczeństwo Informacji w Internecie i Biznesie

Korzystanie z PKI za darmo!

Jak korzystać z kluczy publicznych - za darmo lub tanio? Jak szyfrować np. pocztę elektroniczną? Jakie są do tego darmowe/komercyjne narzędzia? Czy istnieją darmowe klucze?

Odpowiedź właściwie należałoby rozszerzyć tak, aby odpowiedzieć na pytanie: jak skorzystać z PKI nie ponosząc zbędnych kosztów?

Oczywiście należałoby precyzyjnie określić cel – po co używać PKI, a w konsekwencji - do czego posłużą nam klucze publiczne?

Załóżmy, że celem jest ochrona poczty elektronicznej. Załóżmy dalej jakąś platformę systemową, której używamy na naszym komputerze. Ponieważ MS Windows jest mocno rozpowszechniony, założę, że użyjemy tego systemu. Nie jest to jednak żadne ograniczenie, bo we wszystkich systemach współcześnie wykorzystywanych, mechanizmy o których piszę, są wbudowane. Znak czasów, po prostu inaczej się nie dałoby ich utrzymać na rynku! Nawet, jeżeli coś jest za darmo z Internetu, nie jest w tym względzie gorsze. Ale dosyć polityki.

System operacyjny ma wbudowane biblioteki funkcji kryptograficznych, które realizują zbiór wszystkich niezbędnych funkcji, począwszy od generowania kluczy (za darmo!) poprzez szyfrowanie różnymi algorytmami, składania podpisu elektronicznego po funkcje weryfikacji stanu certyfikatu i zarządzania magazynami certyfikatów. Magazyny te (przynajmniej w MS Win), są częścią rejestru systemowego i zwiane są z przeglądarkami internetowymi.

Z tych samych danych korzystają procesory poczty. Potrzebny jest nam klient pocztowy zgodny z S/MIME, taki jak Microsoft Outlook, Outlook Express, Mozilla Thunderbird lub Apple Safari. Nie jest to kompletna lista, ale na początek wystarczy.

Mamy więc gotowe środowisko aplikacyjne! A jest to, jak zapewne wiecie, albo wiedzieć możecie, warunek korzystania z PKI (odsyłam do treści e-booka „Identyfikacja Użytkowników w Sieci).

Klucze wygenerujemy sobie sami, za darmo, ale żeby nasza tożsamość była możliwa do zweryfikowania i potwierdzenia przez naszych korespondentów, potrzebujemy certyfikatu dla naszego klucza publicznego.

Kolejnym krokiem na drodze do bycia użytkownikiem PKI, to zdobycie certyfikatu, najlepiej takiego, który zaakceptuje jako zaufany nasza przeglądarka. Musimy poszukać i wybrać w Internecie Centrum Certyfikacji, którego procedurom sami zaufamy. Gdy już dokonamy wyboru „wnioskujemy” o certyfikat dla naszego klucza. Zależnie od tego, jakie CA wybraliśmy, będzie za darmo lub nie.

Możemy kupić certyfikat do poczty elektronicznej typu „Digital IDs for Secure Email” od VeriSign (www.verisign.com) za $19.95 na rok lub na 60 dni za darmo. Cała procedura uzyskania certyfikatu testowego na 60 dni trwa mniej niż pół godziny. Potem przez 2 miesiące można się uczyć i bawić. Jeżeli będzie odpowiedni dla Waszych potrzeb, Ok.! Kupcie roczny, jeżeli za drogi lub nieodpowiedni, możecie szukać dalej lub ponawiać certyfikat co dwa miesiące.

Certyfikat ten będzie miał wielką, „dodatkowa zaletę” – nasi korespondenci po otrzymaniu podpisanego listu od razu mają możliwość zweryfikowania poprawności podpisu, bo niezbędne certyfikaty główne macie wbudowane do Waszych przeglądarek. Ale tak naprawdę to tylko upraszcza sprawę, a nie podnosi w szczególny sposób poziomu zaufania.

Wykorzystano tutaj mechanizm opisany dosadnie przez dowcip „Ludzie żryjcie g…., bo przecież 20 miliardów much nie może się mylić”. A tak bardziej praktycznie, skoro ufacie nam, bo używacie naszego produktu (przeglądarki) – to ufajcie także naszym wyborom…

Podobną opcję uzyskania certyfikatu dla naszego klucza publicznego mamy w organizacji CAcert Inc. (www.cacert.org). Tutaj możemy uzyskać anonimowy certyfikat, związany z naszym adresem e-mail, opisany jako „CAcert WoT User”, lub jeżeli chcemy mieć w certyfikacie swoje imię i nazwisko, musimy skorzystać z pomocy notariuszy-wolontariuszy. Po uzyskaniu 50 punktów zaufania, przyznawanych w trakcie osobistego kontaktu z notariuszami, otrzymamy status – zweryfikowany. To jest podstawą do uzyskania certyfikatu osobistego, z naszym imieniem i nazwiskiem umieszczonym w odpowiednich polach. Jedyny problem to fakt, że certyfikat główny CAcert.org nie jest wbudowany do przeglądarek i nasi korespondenci po otrzymaniu pierwszego podpisanego listu zobaczą ostrzeżenie – alarm, ze certyfikat nie jest możliwy do zweryfikowania, bo nie ma do niego referencji w naszym magazynie certyfikatów. Ale jeżeli wejdziemy na stronę CAcert.org, zobaczymy i zaimportujemy tzw. Root Certyfikate, dalej wszystko będzie już ok.!

Pytanie: co dalej?

Mamy aplikację gotową na korzystanie z PKI (klient pocztowy), mamy darmowe klucze, mamy certyfikat anonimowy lub personalny. Poświęciliśmy głownie czas i niewiele pieniędzy lub prawie wcale nas to nie kosztował – a jesteśmy w ekskluzywnym klubie osób rozpoznawanych w sieci. Rozpoznawanych tylko na własne życzenie. Teraz powinniśmy rozpocząć budowanie listy zaufanych kontaktów osób, które tak jak my mogą uwiarygodnić swoja tożsamość, a tym samym zostać włączone do obszaru naszej bezpiecznej prywatność.

Mam nadzieję, że rozpoczęcie korzystania z PKI stało się prostsze.

Dodatkowo, wszystkie osoby, zapiszą lub zapisały się na mój newsletter na stronie www.dsc.com.pl  lub przez ten serwis,  otrzymają ode mnie podpisany cyfrowo list z dołączonym moim certyfikatem. Jeżeli dodacie do swojej książki adresowej adres nadawcy listu i certyfikat, będziecie mogi korespondować ze mną, szyfrując listy do mnie. W momencie, gdy staniecie się posiadaczami certyfikatów do swoich kluczy, możecie wysłąć do mnie podpisany i zaszyfrowany list. Zobaczycie, jakie to proste! Tak czy inaczej, możecie zacząć "przygodę" z bezpieczna pocztą, od kontaktu ze mną.

Szanuję Waszą prywatność; zapowiadany list dostaną tylko aktywni subskrybenci mojego newslettera!

Pozdrawiam moich Czytelników

Andrzej J. Majewski




 Blog  Memos



© 2007-2018 Ekademia.pl | Polityka Prywatności | Regulamin


Produkty i Szkolenia Online

Nie jesteś zalogowany(a) Zaloguj się Utwórz konto


forked from Moodle