Jump to content
Sign in to follow this  
  • entries
    6
  • comments
    8
  • views
    2283

PKI - Αρχές έκδοσης πιστοποιητικών (Certification authorities)

Sign in to follow this  
dimitris

364 views

Συνεχίζοντας τη θεωρία από το προηγούμενο post (κλαψ...) και πριν πάμε στο ζουμί της εγκατάστασης μιας Αρχής έκδοσης πιστοποιητικών (Certification Authority - CA) σε Windows Server και την τελική έκδοση ενός ή περισσότερων ψηφιακών πιστοποιητικών, οφείλουμε να πούμε δυο λόγια για τις βασικές αρχές μιας δομής έκδοσης ψηφιακών πιστοποιητικών. Πάμε λοιπόν, κι ο Θεός βοηθός...

Bb821287.im_io2_fig11_pki_architecture(en-us,TechNet.10).gif


Οι Αρχές έκδοσης πιστοποιητικών (Certification Authorities - CAs) είναι ο εκδότης των πιστοποιητικών - σκεφτείτε κάτι ανάλογο με την Aστυνομία. Όταν θέλουμε να εκδόσουμε μια ταυτότητα ή ένα διαβατήριο, πρέπει να πάμε στην Αστυνομία, αφού αυτή την Αρχή (οφείλουμε να) θεωρούμε αξιωματικά ως την υπεύθυνη γι΄αυτές τις δουλειές του σατανά, 666, φτού κακά κλπ. Η Αρχή αυτή, αφού εξετάσει όλα τα χαρτιά που της έχουμε πάει με περίσσεια χαρά για να μάς εκδόσει ταυτότητα, τελικά μάς κάνει τη χάρη και μας δίνει το μαγικό πλαστικοποιημένο χαρτί που τόσο λαχταράμε. Σκεφτείτε την ταυτότητα ως κάτι αντίστοιχο με ένα ψηφιακό πιστοποιητικό στο θαυμαστό κόσμο της τεχνολογίας. Κατ' επέκταση, σκεφτείτε επίσης ότι μια Αρχή έκδοσης ψηφιακών πιστοποιητικών πρέπει να είναι ιδιαίτερα προσεκτική όσο και αξιόπιστη στον σκοτεινό κόσμο του internet (μην ξεχνάμε και τις ατάκες των δημοσιογράφων που ξέρουν από ασφάλεια στο internet όσα εγώ από τη χρήση του γουοκ στη μαγειρική).
Ποιές είναι αυτές οι αξιόπιστες; Που θα τις βρούμε; Ποιός μας προφυλάσσει; Τα παιδιά του Ζεβεδαίου ποιόν είχαν πατέρα; Βρε κουτά, δε χρειάζεται να κάνετε την έρευνά σας, φροντίζουν άλλοι για εσάς: αξιόπιστες θεωρούνται μια σειρά από Αρχές που υποστηρίζουν τα Windows και μπορείτε να τις βρείτε εύκολα αν πάτε στον Internet Explorer -> Tools -> Internet Options -> Content -> Certificates -> Trusted Root Certification Authorities. Γιατί αυτές; Μη ρωτάτε πολλά, η μαμά Microsoft ξέρει καλύτερα (για το καλό μας)...
Αξίζει να αναφέρουμε ότι αξιόπιστες Αρχές κρίνονται επίσης και όσες έχουν πιστοποιηθεί από τις Trusted Root Certification Authorities για να εκδίδουν με τη σειρά τους πιστοποιητικά για εμάς - πολύ μπλέξιμο, αλλά μην ανησυχείτε: αν στα Windows βρωμάν τα χνώτα κάποιας Αρχής που έχει εκδόσει πιστοποιητικό, τότε: α) ή δεν θα γίνει η δουλειά σας ή βου) ο Internet Explorer θα σάς βαρέσει ένα σωρό μηνύματα πυρηνικής καταστροφής και χρωματιστές ξεκλείδωτες και ξεχαρβαλωμένες κλειδαρές σεντουκιού. Α, και το καλύτερο: καμιά τέτοια Αρχή δεν θα σάς βγάλει τζάμπα πιστοποιητικό: εκτός του ότι θα σάς γδύσει, θα σάς ξετινάξει και θα σάς ταπεινώσει για να αποδείξετε ότι είστε αυτός που λέτε ότι είστε (ούτε η Αστυνομία δεν τα κάνει αυτά!) θα πάρει και κάτιτις για τον κόπο της. Μην ξεχνάτε, έχει έξοδα κι αυτή, οικογένεια να ζήσει κλπ. Η Αστυνομία τα παίρνει από τους φόρους, οι άλλες οι κακόμοιρες Αρχές του internet δεν πρέπει να ζήσουν κι αυτές; Ο τζάμπας απέθανε, ζήτω οι τράπεζες (αλλιώς τι διάλο καπιταλισμό έχουμε;)
Και εδώ έρχεται κάτι πολύ σημαντικό: άμα είμαστε λίγο τζαμπατζήδες και δε γουστάρουμε να πληρώνουμε την πάσα μία Αρχή που δεν την ξέρει ούτε ο CEO της, προκειμένου να μας εκδίδει πιστοποιητικά μόλοις μερικών kilobytes, τι κάνουμε; Η, αν είμαστε μια μεγάλη εταιρεία και θέλουμε να εκδώσουμε εκατοντάδες πιστοποιητικά, θα κάνουμε πλούσια μια Αρχή από το πουθενά; Βρε ουστ... Μην πανικοβάλλεστε: η Microsoft πάλι φροντίζει για εμάς: στα Windows Server υπάρχει μια υπηρεσία με την εύγλωττη ονομασία "Active Directory Certificate Services" η οποία σηκώνει τα βάρη του να γίνουμε εμείς μια τέτοια Αρχή και να εκδίδουμε τα δικά μας πιστοποιητικά. Πόσα; Όσα θέλουμε, δώσε και σε μένα μπάρμπα! Χλιδή; Σιγουρα.
Σκεφτείτε ότι γινόμαστε η Αστυνομία του domain μας. Λύνει όμως όλα μας τα προβλήματα; Η απάντηση είναι ότι αν τα προβλήματα απαντώνται απλά στη χρησιμοποίηση πιστοποιητικών εντός της εταιρείας μας, είμαστε άρχοντες. Αν όμως θέλουμε, πχ, να στείλουμε ένα κρυπτογραφημένο e-mail σε ένα άσχετο χρήστη στο διαδίκτυο; Εδώ έχουμε ένα πρόβλημα, το εξής απλό: το σύστημα (e-mail client, λειτουργικό κλπ) του άσχετου χρήστη δεν αναγνωρίζει την Αρχή μας ως αξιόπιστη (trusted) οπότε ενδέχεται (στην καλύτερη περίπτωση) να του χτυπήσει το γνωστό μήνυμα πυρηνικού ολέθρου ή (στη χειρότερη) να μην γίνει η επικοινωνία καθόλου. Ήθελές τα και παθές τα, απαίσιε φτωχομπ... ΙΤ admin. Αλλά μην πανικοβάλλεστε, είπαμε: υπάρχει πάντα λύση και σε αυτό, αρκεί οι χρήστες να έχουν λίγο υπομονή για φροντίδα και προδέρμ από τον εκάστοτε IT admin. Αυτά θα τα συζητήσουμε εν καιρώ - όπως και τις διάφορες μορφές των CAs. Μην βιάζεστε, μην σπρώχνεστε, όλοι θα πάρετεεεεε.

Sign in to follow this  


1 Comment


Recommended Comments

Εντυπωσιασμένος από αυτά που μάθαμε στο SecurityForum που μόλις τελείωσε (δυστυχώς), παρατηρούσα εμείς

Share this comment


Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...