Uporaba osebnih digitalnih potrdil (fwd)

Andra` Tori andraz.tori1 at guest.arnes.si
Thu Mar 22 14:59:35 CET 2001 

torej, s CVIja so odgovorili in to zelo nadrobno (pohvalno),
kakor razumem stvari ni nobenih ovir (patenti, zaprti standardi), da bi
pod Linuxom ne bi bila mozna operativnost v njihovih sistemih in z njimi.
a, da za enkrat stvari preprosto se ni?
A PGP ne podpira RSA?
ali sem pravilno razumel vse skupaj? 



morda jim lahko sporocimo kako SSL deluje pod Konquerorjem, Mozillo,
Netscape 6.0 itd, ... imamo natancnejse podatke?

---------- Forwarded message ----------
From: Marjan Blatnik <marjan.blatnik at gov.si>
To: andraz.tori1 at guest.arnes.si
Subject: Re: Uporaba osebnih digitalnih potrdil
Date: Thu, 22 Mar 2001 15:42:01 +0100

Se opravičujem za pozen odgovor.

Odgovor:
Obstaja več različnih sistemov zagotavljanja verodostojnosti imetnika javnega ključa: PKI, PGP, SPKI, ...
Za držžavne ustanove je najprimernejši sistem PKI s skupnim  overiteljem, ki se lahko povezuje z overitelji drugih
področij oziroma držav. Take overitelje omenjajo tudi zakoni o elektronskem poslovanju, ki so bili sprejeti do sedaj
(nemški, avstrijski, italijanski, slovenski, ...). PGP uporablja sistem mreže zaupanja (web of trust), kjer ni nekega
skupnega overitelja in gre za samopodpisana (self-signed) digitalna potrdila, ki si jih med seboj izmenjujejo
uporabniki.

SIGOV-CA kot overitelj za javno upravo izdaja digitalna potrdila po priporočilih PKI. Jamči za verodostojnost digitalnih
potrdil, ki povezujejo imetnikov javni ključ in njegove podatke, in izda digitalno potrdilo v obliki X509V3. Potrdila in
seznami preklicanih potrdil se hranijo v imeniku po standardu X.500, ki je dosegljiv po protokolu ldap v2 in ldap v3.

SIGOV-CA podeljuje dve vrsti kvalificiranih digitalnih potrdil (http://www.sigov-ca.gov.si/predstavitev-SIGOV-CA.htm):

"spletna"  so namenjena za uporabo v spletu po protokolih SSL oziroma TLS ter S/MIME. Programska oprema za ta potrdila
mora znati tvoriti par 1024-bitnih ključev po algoritmu RSA ,  zahtevek za digitalno potrdilo po priporočilu PKCS#10 ter
vključiti potrdilo, ki ga dobi podpisano od SIGOV-CA v formatu PKCS#7. To pa so priporočila, ki jih podpira večina
brskalnikov in spletnih strežnikov.

"osebna" so namenjena predvsem uslužžencem oziroma aplikacijam v državni upravi. TUporabna so tudi za S/MIME. Ta oprema
mora podpirati ločena para ključev za podpisovanje in šifriranje. Omogočati mora tudi, da se da zasebni ključ za
išifriranje restavrirati, če postane neuporaben. To je potrebno zato, da ne bi izgubili pomembnih službenih
zaššfriranih podatkov. Uporabniki na svojih delovnih postajah zaenkrat uporabljajo programsko opremo
Entrust/Entelligence, ki deluje na Oknih (95, 98, 2000, NT), poleg tega šše na Macintosh Power PC od 7.5 navzgor.
Starejšša različica te opreme Entrust/Client deluje tudi na unix sistemih (HP-UX, Solaris, AIX).

Programska oprema PGP ali GNU Privacy Guard ni kompatibilna s standardi PKI, lahko pa, da bo v prihodnosti. Nekaj
poskusov v tej smeri je žže bilo..

Sporočila v S/MIME obliki so standardna, ne glede ali se uporabi "spletno" ali "osebno" digitalno potrdilo. Tako lahko
S/MIME sporočilo podpisani in/ali šifrirano z spletnim digitalnim potrdilom preveri podpis in/ali odšifrira odjemalec
ki uporablja osebno digitalno potrdilo.





Spletna digitalna potrdila znajo uporabljati:
 - Netscape Communicator v 4.x (Linux, različne verzije unix-ov, windovsi, ...)
 - Internet Explorer v 5.x     (samo windowsi)
 - vsi produkti ki uporabljajo openssl:
    - apache web strežnik  SSL seja  (sem stestiral)
    - sendmail             SSL seja  (sem stestiral verzije 11.0, 11.1, v verziji 12.0 obljubljajo še bolj prilagodljiv
ssl
                                      ki ne bo potreboval zoprnih sfio knjižnic za povezavo z openssl knjižnicami)
    - openldap             SSL seja  (sem stestiral 2.0.7)
    - posfix               SSL seja   nisem testiral
 - freeswan                IPSEC/VPN  se pripravljam na testiranje, z dodatnim patchom zna uporabljati tudi spletna
potrdila
 - cyrus imap4 deamon      SSL seja   iščem čas za testiranje
 - verjetno obstaja tudi podpora za pop3 deamon
 - in še mnogo drugih produktov
Če ste testirali kakšne druge pakete mi prosim sporočite.
(Za testiranje se da z openssl generirati svoj CA certifikat, s katerim se nato podpisuje spletna potrdila, ki se jih
da nato uvoziti v Netscape v 4.x)
Razlika med navadnim spletnim digitalnim potrdilom in strežniškim spletnim digitalnim potrdilom je v vrednosti nekega  
atributa v samem digitalnem potrdilu.





Osebno digitalno potrdilo je tehnično gledano sestavljeno iz dveh X.509 potrdil.  
 - Eno X.509 digitalno potrdilo se uporablja za šifriranje  
     zasebni ključ je shranjen:   pri uporabniku, SIGOV-CA
     javni ključ je shranjen pri: pri uporabniku v obliki digitalnega potrdila, pri SIGOV-CA, v X.500 imeniku v obliki
digitalnega potrdila
 - Drugo X.509 digitalno potrdilo se uporablja za podpisovanje:
     zasebni ključ je shranjen:   pri uporabniku in nikjer drugje
     javni ključ je shranjen:     pri uporabniku v obliki digitalnega potrdila, pri SIGOV-CA, pri vsakem podpisanem
dokumentu ali S/MIME sporočilu

V primeru, da se privatni ključi izgubijo/uničijo, se preko posebnega postopka, ki je podoben prevzemu digitalnega
potrdila,
"obnovi" osebno digitalno potrdilo:
 - X.509 digitalno potrdilo za šifriranje:
   zgenerira se nov par ključev
     zasebni ključ je shranjen:   pri uporabniku, SIGOV-CA
     javni ključ je shranjen pri: pri uporabniku v obliki digitalnega potrdila, pri SIGOV-CA, v X.500 imeniku v obliki
digitalnega potrdila
   Iz SIGOV-CA baze se k uporabniku prenese zgodovina starih zsebnih in privatnih ključev. Tako so dokumenti zašifrirani
z starimi digitalnimi
   potrdili zopet dostopni.
 - X.509 digitalno potrdilo za podpisovanje:
   zgenerira se nov par ključev
   Iz SIGOV-CA baze se k uporabniku prenese zgodovina starih javnih ključev. STARIH ZASEBNIH KLJUČEV SE NE DA OBNOVITI,
tudi ni potrebe za to.

V primeru da se bliža konec veljavnosti digitalnega potrdila, se osebno digitalno potrdilo samo obnovi
(generirajo se novi ključi, zgodovina starih se ohrani).

Teh lastnosti spletno digitalno potrdilo nima, tudi jih nima noben "free" produkt, zato je potrebno imeti poseben
odjemalec.

Nekaj produktov ki jih izdeluje Entrust:
Platforma             NT       HP-UX/Solaris/AIX       Linux
-----------------------------------------------------------------------------
 - CA                 DA       DA                      NE*   
 - Timestamp          DA       v razvoju               NE*
 - web connector      DA       DA                      NE*
 - Entrust Desktop    DA       (v 3.0)                 NE
 - Toolkiti:
      File toolkit    DA       DA                      NE*
      IPSEC toolkit   DA       DA                      DA
      Java            DA       DA*                     DA*
      Visual Basic    DA       NE                      NE

DA* - java naj bi bila neodvisna od platforme
NE* - V entrustu je ločena razvojna skupina za vsako platformo posebej. Linux skupina naj bi začela delati šele pred
kratkim. Edino orodje na Linux-u do sedaj je IPSEC toolkit. Pričakuje se, da bodo na Linux-u podprti isti produkti
kot na ostalih UNIX platformah.
Do verzije v3.x je entrust proizvajal tudi unix odjemalce. Verzija 4.x je orientirana čisto v Windowse in integracijo z
Microsoft produkti.
V verziji 5.x je to še bolj očitno. Ali bodo zopet proizvajali unix odjemalce ne vemo.


Lep pozdrav,
Marjan Blatnik

More information about the lugos-org mailing list