Elektronikus aláírás a boncasztalon

Egy igazi újságírót meglehetős szégyenben hagyna a téma GYFK típusú vezetése, mely azt a bitang egyszerű módszert takarja, hogy "úgy csinálok, mintha sokan kérdeznék tőlem, és én megválaszolom", de talán nem csak tőlem nem idegen ez a végtelen debilitás, mely saját agysejtjeimen túl a véletlen soraimba botlók emésztőszerveit is kíméli, ami így nyáron szinte megfizethetetlen. Valójában a kutya se szokott ilyeneket kérdezni tőlem, pláne nem gyakran, de egy igazi hittérítő fanatizmusa cseppet sem rettenhet a nyáj félénksége láttán. A meggondolatlan őszinteségemben NRFK-nak (nagyon ritkán feltett kérdések) elnevezett kérdéscsokorból, így következzen az első alapozó adag:

Mi az a tanúsítvány?

A régi világban íródott Webster-szótár szerint a tanúsítvány, "olyan dokumentum, mely egy hiteles állítást tartalmaz valaminek az igazolására". A meghatározás alkotói előtt lebegő példák (diploma, útlevél, stb.) cseppet rontottak a definíció általános jellegén, azt egy az egyben elfogadhatjuk mai elektronikussá nemesedett világunkban is. Ha valamivel mégis specifikusabbak akarunk lenni, azt mondhatjuk: az (elektronikus) tanúsítvány információk meghatározott körének halmaza, amely információk valódiságát, helyességét, eredetiségét, sértetlenségét egy hozzá csatolt (elektronikus) aláírással igazolja egy szervezet, melyben a tanúsítványt felhasználók közössége megbízik.

Két kérdést is megspórolva gyorsan kijelenthetem, hogy ezt a szervezet szokták nevezni Hitelesítési Szolgáltatónak vagy Megbízható Harmadik Félnek is. (Egyéb szinonimák: Hitelesítő Hatóság, Hitelesítő Szervezet, stb.)

A nyilvános kulcsú aláírást alkalmazók esetében az információk titkosításához és a digitális aláírások ellenőrzéséhez szükség van a partner nyilvános kulcsára, méghozzá oly módon, hogy biztosak lehessünk abban, hogy az az ő, és csakis az ő nyilvános kulcsa. Ezeket a garanciákat nyújtja a tanúsítvány.

A publikus kulcs tanúsítvány tartalma a nyilvános kulcs tulajdonosának azonosítására szolgáló adatokból (név, országkód, város, stb.), a Hitelesítő Hatóság azonosítására szolgáló adatokból, és magából a nyilvános kulcsból áll. Biztonságát, hitelességét az adja, hogy a kibocsátó Hitelesítő Hatóság titkos kulcsával digitálisan alá van írva, s így ezek az adatok megbonthatatlanok és megváltoztathatatlanok.

A tanúsítvány a Hitelesítési Szabályzatban meghatározott elvek függvényében tartalmazhatja, és általában tartalmazza is a tanúsítvány érvényességi idejét, típusát (erősségi fokozatát), egyedi sorszámát, hivatkozást a Szolgáltatási Szabályzatra (pl. egy OID vagy egy webcím formájában, hiszen a dokumentum terjedelme nem teszi lehetővé, hogy belefoglalják a tanúsítványba), valamint egyéb megjegyzéseket, akár még a személy fotóját is. Ezeket az információkat tekintet nélkül azok fontosságára az egyéb adatok közé soroltam.

Mi az X.509?

Az X.509-ről mindig a Level 42 nevű kitűnő zenekar jut eszembe, amely a legendák szerint onnan kapta nevét, hogy a zenekar alapítója a névadás pillanatában épp az aktuálisan olvasott könyv negyvenkettedik oldalán tartott. Halott már valaki is az X.508-as vagy X.510-es szabványról? Na persze, azok is létező szabványok, de cseppet sem váltak oly nevessé és szívemnek oly kedvessé, mint X.509-es párjuk.
Ezek mind az ITU (International Telecommunication Union) szabványai, amelyek közül az X.509-es a tanúsítvány szerkezetére, felépítésére, tartalmára ad előírásokat. Szerencsére a Microsoft annak idején - még szopós csecsemőként - elaludt, és mire eljutott az 509-es oldalig, már évtizedek teltek el. Ez időszak alatt a szabvány használata annyira evidenssé vált, hogy már késő volt "jobbító" javaslataival előállnia.

A táblázat megtekintéséhez kattintson a képre!

A Verziótól a Publikus kulcsig terjedő mezők már az első verzióban jelen voltak és kötelezően kitöltendőek. Ezek a mezők különösebb magyarázatra - úgy érzem - nem szorulnak. A Kibocsátó és Tulajdonos ID-mezőket a második verzióban vezették be opcionális felhasználásra. Ezek a mezők azt a célt szolgálják, hogy a kötelező részbe foglalt neveket egyértelművé tegyék abban az esetben, ha ugyanaz az X.500-as név, az idő és sors folyományaként újra kiosztásra kerülne. A toldalék (kiterjesztés) mezők, melyekből több is követheti egymást, az alkotók óvatosságának és bölcsességének jele. Ahelyett hogy negyedévente egészítenék ki a szabványt, a toldalékokkal lehetőséget biztosítanak arra, hogy bármely kibocsátó olyan adatot foglaljon a tanúsítványba, amely neki tetszik. Ehhez csak arra van szüksége, hogy a toldalékot regisztrálja egy regisztrációs ügynökségnél. A leggyakrabban használt toldalékok külön szabványosítás áldozatai lehetnek, és ezeket a legtöbb alkalmazás kezelni képes.

Mi az a visszavonási lista?

Bár a tanúsítványoknak létezik érvényességi ideje, szükség lehet arra, hogy a lejárat előtt visszavonásra, felfüggesztésre kerüljenek a kibocsátó által, hasonlatos módon egy bankkártyához. A visszavonás okai közt megemlíthetjük a titkos kulcs kompromittálódását (a kompromittálódás gyanúját), vagy sokkal prózaibb és némi szomorúságra is okot adó eseményként a tulajdonos férjhez menetelét, mely hagyományos módon az azonosítás alapját jelentő névbe való durva beavatkozással jár együtt, nem is beszélve az egyetlen biztos dologról, mely mindannyiunkat utolér, s szintén a tanúsítvány visszavonását eredményezi.

A visszavont tanúsítványok egy ún. tanúsítvány visszavonási listára kerülnek (a bankkártyás hasonlatnál maradva egy tiltólistára), mely listát a kibocsátó a tanúsítványok esetében is alkalmazott módon publikál.

A táblázat megtekintéséhez kattintson a képre

A mezők kísértetiesen hasonlatosak a tanúsítványok esetében alkalmazottakra. Itt is megjelennek a toldalék mezők, melyek értelmezhetőek a lista egészére vonatkozóan is, valamint az egyes visszavonási bejegyzésekre is, melyeket a tanúsítvány sorozatszáma vezet be. A lista akármennyi ilyen visszavonási bejegyzést tartalmazhat.

Forrás: PriceWaterhouseCoopers