Jump to content
  • entries
    6
  • comments
    8
  • views
    2954

PKI - Εισαγωγή


dimitris

1220 views

 Share

Με το post αυτό ξεκινά μια σειρά από άρθρα που έχουν σκοπό την εισαγωγή και τη βήμα-βήμα ξενάγηση ημών και υμών στο θαυμαστό (λέμε τώρα) κόσμο του ΡΚΙ - τα αρχικά του άκρως εύγλωττου όρου "Public Key Infrastructure". Θα επικεντρωθούμε στο implementation του PKI σε Microsoft Windows clients & servers (αλλιώς τι διάλο Microsoft MVP σε Enterprise Security είμαστε, άλλωστε).
Από αρχαιοτάτων χρόνων, οι άνθρωποι επιθυμούσαν να κρύψουν κάποια μηνύματα από τους εχθρούς τους - ειδικά σε περίοδο πολέμων (για φανταστείτε να είχαν ΡΚΙ οι τριακόσιοι του Λεωνίδα... άνεργος και άφραγκος θα είχε μείνει ο κατηραμένος Εφιάλτης). Η θεωρία και η διαδικασία της απόκρυψης αυτής (και της μετέπειτα εμφάνισης, στον κατάλληλο παραλήπτη) μπορεί να ονομαστεί κρυπτογραφία (χάλια ορισμός, το ξέρω, αλλά αρκετός προς το παρόν). Δεν υπάρχει λόγος να αναλωνόμαστε σε λεπτομέρειες για την κρυπτογραφία, πολλά ενδιαφέροντα μπορείτε να διαβάσετε στο αντίστοιχο λήμμα της Βικιπαίδειας στα Ελληνικά εδώ - κοινώς, είμαι σκράπας στα μαθηματικά οπότε δείτε καλύτερα τι γράφουν οι μάστορες.
Aa480610.ch7_x509techsupp_f01%28en-us,MSDN.10%29.gif Ας αναφέρουμε, ωστόσο, ότι το ΡΚΙ βασίζεται στην ιδέα της ασύμμετρης κρυπτογράφησης (και ουχί της ασύμμετρης απειλής): δηλαδή, χρησιμοποιούνται δυο διαφορετικά κλειδιά (keys), το δημόσιο κλειδί (public key) και το ιδιωτικό (private) για την κρυπτογράφηση/αποκρυπτογράφηση ενός κειμένου. Αυτά τα δύο δημιουργούνται από το κρυπτογραφικό σύστημα των Windows (ορίστε;) την ώρα που ζητείται να εκδοθεί ένα ψηφιακό πιστοποιητικό από το χρήστη και είναι μαθηματικά συνδεδεμένα μεταξύ τους (δηλαδή, μετά από κατάλληλα μαθηματικά μαγικά για τα οποία φροντίζουν σχετικοί αλγόριθμοι, από το ένα προκύπτει πάντα το άλλο). Κι όμως αγαπητοί συναγωνιστές, τα Windows εκτός από μπλε οθόνες, βγάζουν και ζευγάρια ιδιωτικών/δημόσιων κλειδιών! Ποιός να το πίστευε... (Λαμπρόπουλε!)
Η συμμετρική κρυπτογράφηση, από την άλλη, βασίζεται στην ιδέα ενός μόνο κλειδιού για την κρυπτογράφηση και την αποκρυπτογράφηση, πράγμα που σημαίνει πως και οι δύο περίεργοι και σκοτεινοί τύποι που θέλουν να ασφαλίσουν την επικοινωνία τους οφείλουν να γνωρίζουν ήδη το κλειδί ή να το επικοινωνήσουν εκ των υστέρων μεταξύ τους. Το τεράστιο μειονέκτημα της συγκεκριμένης μεθόδου είναι ο τρόπος με τον οποίο το κλειδί θα γίνει γνωστό και στους δυο (μέθοδοι όπως αποστολή με email ή SMS, αναφορά με τρανταχτή φωνή σε συζήτηση στην ταβέρνα μεταξύ ούζου και μπύρας κλπ αποκλείονται εκ των προτέρων ως απαράδεκτοι).
Στην πράξη βέβαια, χρησιμοποιείται ένας συνδυασμός ασύμμετρης και συμμετρικής κρυπτογράφησης, αλλά επειδή κοντεύω ήδη να σας χάσω από τα θέλγητρα άλλων blogs, δεν επεκτείνομαι περαιτέρω.
67396-click-recycle-bin.gif Στο θέμα μας πάλι, καθ' οτι εξοκείλαμε: το ιδιωτικό κλειδί φυλάσσεται στο certificate store (ορίστε; γκουλπ!) του υπολογιστή του χρήστη που το εξέδωσε, ενώ το δημόσιο είναι διαθέσιμο σε οποιονδήποτε (αλλιώς τι διάλο δημόσιο θα ήταν, άλλωστε;) Το certificate store είναι ένα ασφαλές κομμάτι του προφίλ του χρήστη, πράγμα που σημαίνει ότι οποιουδήποτε είδους μαϊμουδιές με το προφίλ (delete, format κλπ) συνεπάγονται αυτομάτως και σε κρύο ιδρώτα για την τύχη του ψηφιακού πιστοποιητικού που έχει εκδοθεί, άρα και των κρυπτογραφημένων αρχείων ή/και e-mails που υπάρχουν. Επειδή κατάλαβα ότι ζαλιστήκατε ήδη και ότι τα πολλά λόγια είναι φτώχεια (καταραμένη φτώχεια, γι' αυτό δεν πρόκοψα ποτέ με το μπλα-μπλα μου) σταματώ την απαράδεκτη ως παιδική θεωρητική μου προσέγγιση στο ΡΚΙ και προετοιμάζω ήδη με φρενήρεις ρυθμούς το επόμενο post μου με πιο πρακτικά θέματα αυτή τη φορά. Ως το επόμενο post (που θα έρθει ΠΟΛΥ σύντομα, γιατί ο συνάδελφος akladakis είναι στρατιωτικός και τα λέει τσεκουράτα αν επαναπαυθούμε καμία μέρα)... καλές κρυπτογραφήσεις.

 Share

5 Comments


Recommended Comments

Δημήτρη πολύ καλό...

Τουλάχιστον να καταλάβει ο κόσμος τι κάνει αυτό το ριμάδι το PKI...

Αν θές στο επόμενο που ετοιμάζεις δια ροπάλου κλαδάκη πές και λίγο για το ριμάδι το "mark key as exportable" για να κάνουμε κανά Publish απο τον ISA και όπως και για την διαφορά Standard και Enterprise CA Authotiry. Και άλλα όμορφα πραγματάκια......που ξέρεις, γιατι τα documentation σε μπερδευουν αντι να σου εξηγούν...

Link to comment

Ψήνονται, ψήνονται... Έχω πολλά υπ'όψη μου - μόνο τα μισά να bloggάρω από αυτά που σκέφτομαι, θα με κρατήσουν σε blogging mode ως το 2012, μετά ούτως ή άλλως δεν γίνεται τίποτα (ξέρετε, τέλος του κόσμου, Μάγιας, Μάγια η μέλισσα κλπ)

Link to comment

Εντυπωσιασμένος από αυτά που μάθαμε στο SecurityForum που μόλις τελείωσε (δυστυχώς), παρατηρούσα εμείς

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...