certifikace klicu SSL
Alena Kabelova
kabelova at pvt.cz
Sun Jul 13 16:02:19 CEST 1997
Dan Lukes wrote:
> Teprve certifikaty Class 3 jsou z hlediska "te prave bezpecnosti" zajimave.
Ne zcela s autorem muzeme souhlasit. Certifikaty tridy 3 jsou urceny
pouze pro konkretni aplikaci, pro kterou jsou vydany, tj. nejsou urceny
pro obecne pouziti v Internetu. Ucel pro ktery je certifikat tridy 3
vydan je uveden v certifikatu (to lze u certifikatu X.509 v3).
V Ceske republice vydava certifikaty tridy 3 napr. PVT. Jedna se vzdy o
dohodu mezi spravcem aplikace a CA tridy 3. Takoveto certifikaty jsou
vydavany pro velice dulezite aplikace.
> Ty ovsem nedostanete (a jinak to ani nejde) bez osobni pritomnosti v sidle
> vydavajici autority, nebo (v americe) u notare. Teprve takovy certifikat
> zarucuje s prijatelnou pravdepodobnosti, nejen ze osoba se kterou jednate
> existuje, ale ze to je prave ta osoba, za kterou se vydava.
Bez osobni pritomnosti se vydavaji certifikaty tridy 1. Avsak i za tyto
certifikaty CA ruci. CA totiz ruci za jednoznacnost certifikatu. Je
totiz vseobecne vzitym omylem, ze hlavnim cilem CA je rucit za totoznost
subektu pro ktery byl certifikat vydan.
Certifikat tridy 1 je presne to co potrebuji napr. pro soukromou
korespondenci. Lze to snadno vysvetlit na prikladu. Necham si vystavit
certifikat na CA-PVT1 (https://ca.pvt.cz:4433), ktera je tridy 1
(neustale si zde mohu zadarmo znovu a znovu vystavovat nove
certifikaty). Poslu dopis (prvni dopis je pouze elektronicky podepsan)
nejakemu adresatovi. Ten v pripade pochybnosti si muze zpetne overit,
zda-li certifikat obsazeny v dopise je opravdu muj. K overeni mu staci
napr. telefonem mi zavolat zda-li jsem si opravdu nechal vystavit
certifiat daneho cilsa (nebo prerecituje cely subject - nikoliv klic).
Cili vyuziva se zakladni vlastnosti certifikatu - tj. ze je jednoznacny.
> A to, ze osoba mava certifikatem vsak jeste neznamena, ze mame vyhrano. Je
> potreba zjistit, co vlastne tato osoba slibila respektovat ve smlouve, kterou
> ma z CA uzavrenou a dale je velmi vhodne vedet, jak vam prislusna CA pomuze
> v pripade problemu. To se samozrejme, u seriozni CA, tyka certifikatu vsech
> trid.
Certifikacni autorita tridy 1 nebo 2 neuzavira s nikym zadnou smlouvu.
CA pouze vyhlasuje svou "Bezpecnostni politiku". (Podobne jako zeleznice
neuzaviraji smlouvu s kazdym cestujicim).
Smlouva by mohla byt uzavirana s CA tridy 3 a spravcem aplikace, pro
kterou (a nikoho jineho) se certifikaty vydavaji.
> V nasich podminkach je prinejmensim potreba, aby prislusna osoba uznala
> elektronicky podpis za zavazny a prislusna CA prislibila veskerou pomoc a
> spolupraci a poskytnuti prislusnych podkladu vcetne aktivni pomoci pri jejich
> ziskavani pri pripadnych soudnich sporech. Tuto cast problemu vsak
> embrionalni ceske CA prakticky zcela zanedbavaji.
Nechapu o jake soudni spory by melo jit. Soudit se s certifikacni
autoritou lze v podstate jen tehdy, kdyby vydala 2 ruzne certifikaty
stejne identifikace.
V pripade CA tridy 2 pak snad jeste v pripade, kdyby vydala certifikat
jine osobe nez te, ktera se ji identifikuje.
Avsak musim se ohradit proti tomu, ze CA-PVT (tj. CA tridy 3), by
zanedbava tyto problemy. Myslim si, ze venuje temto problemum az prilis
mnoho energie.
>
> Vetsina v Cechach se vyskytujicich certifikatu je C-1 (a casto jeste mene)
> s tim, ze kdyby doslo na lamani chleba, ma vetsina vydanych certifikatu
> nizkou uzitnou hodnotu i v pripade, ze jsou vystaveny na zaklade pravdivych
> udaju. C-2 se (jak rikal nektery z predchozich dopisu) teprve pripravuji.
O nizke uzitne hodnote certifikatu tridy 1 lze hovorit jen v pripade, ze
by nebyla garantovana jejich jednoznacnost. Poruseni jednoznacnosti
vydavanych certifikatu by ohrozilo existenci kazde CA, proto se mi
predeslemu tvrzeni nechce verit.
> zadatele netrivialnim problemem (pokud nebude vyzadovana osobni navsteva).
> Na ty "doopravdy zajimave" certifikaty, tedy C-3, si ale budeme muset jeste
> dlouho nechat zajit chut (i kdyz vim o jedne firme, ktera vazne zvazovala
> moznost jejich vydavani) - zejmena proto, ze proto neni vytvoren alespon
> zakladni legislativni ramec - at uz se na to divame z hlediska pripadnych
> soudnich sporu nebo z hlediska samotneho vydavani (jestli si myslite, ze vam
> notar nejak pomuze pri vydavani klicu jako je to v Americe, zapomente na to.
Na to aby certifikat plne nahradil obcansky prukaz, tak na to je to
pravda. Avsak pro drtivou vetsinu komercnich aplikaci neni treba zadny
specialni zakon (ne v kazdem obchode po mne chteji obcansky prukaz).
Napr. i u nas se pouzivaji kreditni karty a lze se inspirovat situaci u
nich - problemy s jejich zneuzitim byly presunuty na drzitele karty.
Vseobecne se precenuje vztah uzivatele (zadatele o certifikat) a CA
(vydavatele certifikatu). Jadro probelmu je ale v praxi mezi zakaznikem
a provozovatelem komercni aplikace. Tam je mozny zdroj problemu.
Provozovatel komercni aplikace zvoli konkretni CA podle svych
subjektivnich kriterii a je pak ke skode CA, kdyby zklamala. Je to
obdobne jako s temi obcanskymi prukazy: resite nekdy problem jestli
obcansky prukaz vydava Policie nebo mestsky urad? Mne osobne je to
celkem jedno.
> Mel jsem vsak z doslych prispevku pocit, ze dochazi k
> jistemu preceneni realneho vyznamu certifikatu.
Ja mam naopak pocit, ze se jejich vyznam silne nedocenuje. Vzdy, kdyz
vidime na Internetu komercni aplikace ve FoxPro (to jsme opravdu
videli), MS SQL, HTTP atd., kdy se zakaznik prokazuje jmenem a heslem,
tak nas z toho jima bes. Nekdy i s autory techto aplikaci mluvime a oni
nam rikaji, ze nemaji jine reseni. Prave S/MIME, HTTPS a SET jsou jednim
z takovychto reseni a vse vyuziva certifikatu, avsak pro jejich
funkcnost je treba prave CA. Nechame se vsak radi poucit o jinych
efektivnejisich resenich, ktere certifikaty nepotrebuji.
Libor Dostalek a Alena Kabelova
More information about the net
mailing list