Ferenc, Olívia
-2 °C
4 °C

Elektronikus aláírás a boncasztalon

2001.08.01. 11:02
Legutóbb galád módon meggyanúsítottam és megfeddtem a nemzetbiztonságunk fölé védőszárnyukat kiterjesztő szervezeteket, akik nemcsak óvnak minket, de szárnyukkal saját érdekünkben még meleg fenekük alá is betuszkolnak. Szerencsére nem vontam magamra nyugtalanító figyelmüket, azóta sem látok ballonkabátos - esernyős - napszemüveges alakot a cipőjét kötve várakozni rám reggelente a szemközti ház kapubeállójában, így bátran folytatom tovább felforgató tevékenységem. Miután volt olyan kolléga, aki megdöbbentő értetlenséggel fogadta az aláíró és titkosító kulcspárokról kifejtett teóriáimat (melyek bevallom, cseppet sem eredetiek vagy forradalmiak) úgy gondoltam, visszaveszek szellemem fennen reptéből, és a technika porszagú, olajfoltos részleteibe avatom be nagyérdemű olvasóimat.
Egy igazi újságírót meglehetős szégyenben hagyna a téma GYFK típusú vezetése, mely azt a bitang egyszerű módszert takarja, hogy "úgy csinálok, mintha sokan kérdeznék tőlem, és én megválaszolom", de talán nem csak tőlem nem idegen ez a végtelen debilitás, mely saját agysejtjeimen túl a véletlen soraimba botlók emésztőszerveit is kíméli, ami így nyáron szinte megfizethetetlen. Valójában a kutya se szokott ilyeneket kérdezni tőlem, pláne nem gyakran, de egy igazi hittérítő fanatizmusa cseppet sem rettenhet a nyáj félénksége láttán. A meggondolatlan őszinteségemben NRFK-nak (nagyon ritkán feltett kérdések) elnevezett kérdéscsokorból, így következzen az első alapozó adag:

Mi az a tanúsítvány?

A régi világban íródott Webster-szótár szerint a tanúsítvány, "olyan dokumentum, mely egy hiteles állítást tartalmaz valaminek az igazolására". A meghatározás alkotói előtt lebegő példák (diploma, útlevél, stb.) cseppet rontottak a definíció általános jellegén, azt egy az egyben elfogadhatjuk mai elektronikussá nemesedett világunkban is. Ha valamivel mégis specifikusabbak akarunk lenni, azt mondhatjuk: az (elektronikus) tanúsítvány információk meghatározott körének halmaza, amely információk valódiságát, helyességét, eredetiségét, sértetlenségét egy hozzá csatolt (elektronikus) aláírással igazolja egy szervezet, melyben a tanúsítványt felhasználók közössége megbízik.

Két kérdést is megspórolva gyorsan kijelenthetem, hogy ezt a szervezet szokták nevezni Hitelesítési Szolgáltatónak vagy Megbízható Harmadik Félnek is. (Egyéb szinonimák: Hitelesítő Hatóság, Hitelesítő Szervezet, stb.)

A nyilvános kulcsú aláírást alkalmazók esetében az információk titkosításához és a digitális aláírások ellenőrzéséhez szükség van a partner nyilvános kulcsára, méghozzá oly módon, hogy biztosak lehessünk abban, hogy az az ő, és csakis az ő nyilvános kulcsa. Ezeket a garanciákat nyújtja a tanúsítvány.

A publikus kulcs tanúsítvány tartalma a nyilvános kulcs tulajdonosának azonosítására szolgáló adatokból (név, országkód, város, stb.), a Hitelesítő Hatóság azonosítására szolgáló adatokból, és magából a nyilvános kulcsból áll. Biztonságát, hitelességét az adja, hogy a kibocsátó Hitelesítő Hatóság titkos kulcsával digitálisan alá van írva, s így ezek az adatok megbonthatatlanok és megváltoztathatatlanok.

A tanúsítvány a Hitelesítési Szabályzatban meghatározott elvek függvényében tartalmazhatja, és általában tartalmazza is a tanúsítvány érvényességi idejét, típusát (erősségi fokozatát), egyedi sorszámát, hivatkozást a Szolgáltatási Szabályzatra (pl. egy OID vagy egy webcím formájában, hiszen a dokumentum terjedelme nem teszi lehetővé, hogy belefoglalják a tanúsítványba), valamint egyéb megjegyzéseket, akár még a személy fotóját is. Ezeket az információkat tekintet nélkül azok fontosságára az egyéb adatok közé soroltam.

Mi az X.509?

Az X.509-ről mindig a Level 42 nevű kitűnő zenekar jut eszembe, amely a legendák szerint onnan kapta nevét, hogy a zenekar alapítója a névadás pillanatában épp az aktuálisan olvasott könyv negyvenkettedik oldalán tartott. Halott már valaki is az X.508-as vagy X.510-es szabványról? Na persze, azok is létező szabványok, de cseppet sem váltak oly nevessé és szívemnek oly kedvessé, mint X.509-es párjuk.
Ezek mind az ITU (International Telecommunication Union) szabványai, amelyek közül az X.509-es a tanúsítvány szerkezetére, felépítésére, tartalmára ad előírásokat. Szerencsére a Microsoft annak idején - még szopós csecsemőként - elaludt, és mire eljutott az 509-es oldalig, már évtizedek teltek el. Ez időszak alatt a szabvány használata annyira evidenssé vált, hogy már késő volt "jobbító" javaslataival előállnia.

A táblázat megtekintéséhez kattintson a képre!

A Verziótól a Publikus kulcsig terjedő mezők már az első verzióban jelen voltak és kötelezően kitöltendőek. Ezek a mezők különösebb magyarázatra - úgy érzem - nem szorulnak. A Kibocsátó és Tulajdonos ID-mezőket a második verzióban vezették be opcionális felhasználásra. Ezek a mezők azt a célt szolgálják, hogy a kötelező részbe foglalt neveket egyértelművé tegyék abban az esetben, ha ugyanaz az X.500-as név, az idő és sors folyományaként újra kiosztásra kerülne. A toldalék (kiterjesztés) mezők, melyekből több is követheti egymást, az alkotók óvatosságának és bölcsességének jele. Ahelyett hogy negyedévente egészítenék ki a szabványt, a toldalékokkal lehetőséget biztosítanak arra, hogy bármely kibocsátó olyan adatot foglaljon a tanúsítványba, amely neki tetszik. Ehhez csak arra van szüksége, hogy a toldalékot regisztrálja egy regisztrációs ügynökségnél. A leggyakrabban használt toldalékok külön szabványosítás áldozatai lehetnek, és ezeket a legtöbb alkalmazás kezelni képes.

Mi az a visszavonási lista?

Bár a tanúsítványoknak létezik érvényességi ideje, szükség lehet arra, hogy a lejárat előtt visszavonásra, felfüggesztésre kerüljenek a kibocsátó által, hasonlatos módon egy bankkártyához. A visszavonás okai közt megemlíthetjük a titkos kulcs kompromittálódását (a kompromittálódás gyanúját), vagy sokkal prózaibb és némi szomorúságra is okot adó eseményként a tulajdonos férjhez menetelét, mely hagyományos módon az azonosítás alapját jelentő névbe való durva beavatkozással jár együtt, nem is beszélve az egyetlen biztos dologról, mely mindannyiunkat utolér, s szintén a tanúsítvány visszavonását eredményezi.

A visszavont tanúsítványok egy ún. tanúsítvány visszavonási listára kerülnek (a bankkártyás hasonlatnál maradva egy tiltólistára), mely listát a kibocsátó a tanúsítványok esetében is alkalmazott módon publikál.

A táblázat megtekintéséhez kattintson a képre

A mezők kísértetiesen hasonlatosak a tanúsítványok esetében alkalmazottakra. Itt is megjelennek a toldalék mezők, melyek értelmezhetőek a lista egészére vonatkozóan is, valamint az egyes visszavonási bejegyzésekre is, melyeket a tanúsítvány sorozatszáma vezet be. A lista akármennyi ilyen visszavonási bejegyzést tartalmazhat.

Forrás: PriceWaterhouseCoopers