Infrastruktura klucza publicznego
Infrastruktura klucza publicznego (ang. Public Key Infrastructure (PKI)) – szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA), urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt. Infrastruktura klucza publicznego tworzy hierarchiczną strukturę zaufania, której podstawowym dokumentem jest certyfikat klucza publicznego. Najpopularniejszym standardem certyfikatów PKI jest X.509 w wersji trzeciej.
Do podstawowych funkcji PKI należą:
- Weryfikacja tożsamości subskrybentów
- Wymiana kluczy kryptograficznych
- Wystawianie certyfikatów
- Weryfikacja certyfikatów
- Podpisywanie przekazu
- Szyfrowanie przekazu
- Potwierdzanie tożsamości
- Znakowanie czasem
Dodatkowo, w pewnych konfiguracjach, możliwe jest:
- Odzyskiwanie kluczy prywatnych.
Ważniejsze pojęcia:
- CA - Certification Authority - urząd certyfikacji - wystawia certyfikaty, listy CRL, certyfikuje inne CA.
- RA - Registration Authority - urząd rejestracji - zbiera wnioski o wydanie certyfikatu, weryfikuje tożsamość subskrybentów.
- Subskrybent - właściciel certyfikatu.
Rozwinięciem tradycyjnego modelu infrastruktury klucza publicznego może być zastosowanie podpisu elektronicznego z mediatorem, w którym podpis finalizowany jest online z udziałem mediatora, który przechowuje połówkę klucza prywatnego.
[edytuj] Skuteczny atak na PKI
W 2008 roku grupie naukowców udało się przeprowadzić udany atak na centrum certyfikacji (CA), używające w podpisie certyfikatu funkcji skrótu MD5. Efektem tego ataku było otrzymanie certyfikatu CA z poprawnym podpisem, pomimo złożenia wniosku o certyfikat kliencki. Certyfikat ten umożliwia podpisywanie certyfikatów klienckich, którym zaufa większość popularnych przeglądarek internetowych, a więc efektywne podszycie się pod dowolną stronę internetową używającą certyfikatów[1]. Praca opisująca ten atak została przedstawiona 30 grudnia 2008 roku na Chaos Communication Conference w Berlinie.
Przypisy
- ↑ Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger: Creating a rogue CA certificate. 2008.
