Klucze publiczne przysparzają kłopotów

Kamil Kosiński
30-10-2002, 00:00

Na razie, aby weryfikować poprawność e-podpisu, klucze publiczne większości lokalnych centrów certyfikacji trzeba samodzielnie wpisywać do odczytującego te wiadomości oprogramowania. Polscy wystawcy certyfikatów coraz większy nacisk kładą jednak na to, aby ich główny certyfikat był tam wpisany fabrycznie.

Choć z technicznego punktu widzenia jest to możliwe, ze względów bezpieczeństwa certyfikatów i kluczy prywatnych nie wydaje się na innych niż karty mikroprocesorowe nośnikach. Jakie jest bowiem bezpieczeństwo klucza prywatnego przechowywanego w komputerze? W czasie gdy maszyna podłączona jest do Internetu może przejąć go jakiś haker. Z dyskietki klucze można dowolnie kopiować. Karta mikroprocesorowa eliminuje te problemy. Jest bowiem nieczuła na ataki z sieci, a dodatkowe zabezpieczenie PIN-em praktycznie wyklucza jej wykorzystanie przez osobę niepowołaną.

— Klucz prywatny nigdy nie opuszcza karty. Podpis elektroniczny generowany jest w mikroprocesorze karty i dopiero wynik tej operacji dołączany jest do podpisywanego pliku. Komputer tylko inicjuje ten proces i dostarcza prądu — wyjaśnia Franciszek Wołowski, kierownik projektu Sigillum w Polskiej Wytwórni Papierów Wartościowych.

Instalację, otrzymanego od firmy wydającej certyfikaty, pakietu do podpisu elektronicznego należy rozpocząć więc od podłączenia czytnika kart mikroprocesorowych do komputera. W praktyce oznacza to połączenie dwóch komputerów. Karta ma bowiem własny procesor z zakodowanym oprogramowaniem kryptograficznym i tak naprawdę ją samą można uznać za miniaturowy komputer. Po połączeniu obu komputerów trzeba jeszcze zarejestrować certyfikat samego urzędu certyfikacji w programie, który ma z niego korzystać (np. edytor tekstu lub klient poczty elektronicznej). W tym celu trzeba go ściągnąć ze strony internetowej wystawcy certyfikatów.

— Jeśli nie wgra się klucza publicznego centrum certyfikacji do aplikacji, która ma korzystać z dokumentów sygnowanych podpisem elektronicznym, to nie będzie ona w stanie ustalić, czy można zaufać podpisom wydanym klientom tego centrum — informuje Wiesław Paluszyński, dyrektor pionu technologii i bezpieczeństwa TP Internet, nadzorujący pracę centrum certyfikacji Signet.

Szczegóły rejestracji różnią się w zależności od tego, jaka firma jest producentem aplikacji. W większości przypadków nie powinna ona jednak przysporzyć kłopotów nawet mało obytym użytkownikom komputerów. Jest jednak o tyle kłopotliwa, że wymaga rejestracji kluczy publicznych tych centrów certyfikacji, z których usług korzystają osoby, od których otrzymujemy korespondencję opatrzoną e-podpisem. Aby wyeliminować ten problem, część krajowych centrów certyfikacji podjęła działania zmierzające do fabrycznego wpisywania ich własnych kluczy publicznych do aplikacji internetowych i biurowych Microsoftu i jego największych konkurentów. Hierarchiczna struktura wydawania certyfikatów pozwoliłaby w takim przypadku na niewymagające specjalnej rejestracji odczytywanie certyfikatów każdego z ich klientów.

Z dobrodziejstwa tego mogą już korzystać osoby otrzymujące korespondencję z e-podpisem od klientów E-Telbanku. Jego certyfikaty weryfikowane są jednak jako certyfikaty GlobalSign. To zresztą również jest przejawem hierarchicznej struktury certyfikacyjnej.

— Od lipca 2002 r. jesteśmy strategicznym partnerem GlobalSign w Polsce. Wydajemy certyfikaty według własnej struktury certyfikacyjnej. Tyle tylko, że certyfikat dla naszego głównego certyfikatu został wydany przez GlobalSign — tłumaczy Elżbieta Andrukiewicz, członek zarządu spółki E-Telbank.

Inną drogę na fabryczne wpisywanie swoich certyfikatów do najpopularniejszego oprogramowania wybrały szczecińskie Unizeto i TP Internet, spółka córka naszego telekomunikacyjnego giganta. Obie firmy postanowiły przejść audyt zgodny z wymaganiami organizacji WebTrust, stworzonej przez stowarzyszenia biegłych rewidentów ze Stanów Zjednoczonych i Kanady w związku z rozwojem e-biznesu. Jego pozytywne zaliczenie jest podstawowym warunkiem do fabrycznego zaistnienia pod własną nazwą certyfikatów rodzimych wystawców w produktach Microsoftu. Z naszych informacji wynika, że TP Internet jest w trakcie audytu, a Unizeto już go przeszło i po uzyskaniu odpowiedniego zaświadczenia, będzie mogło zwrócić się już do giganta software’owego o wpisanie na listę zaufanych centrów certyfikacji. Jeśli tak się stanie, to już od następnych wersji Internet Explorera, Outlooka i pakietu Office certyfikaty wydawane przez polskie firmy będą przez Microsoft traktowane na równi z wystawianymi przez American Express, Deutsche Telekom, GlobalSign, Verisign czy Visa International.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Kamil Kosiński

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Innowacji / Technologie / Klucze publiczne przysparzają kłopotów