PKI og ikke-fornekting

Kryptografi MSc in Information Security PKI og ikke-fornekting Mats Byfuglien, mats@byfuglien.net Norwegian Information Security Laboratory NISlab Department of Computer Science and Media Technology Gjøvik University College P.O. Box 191, 2802 Gjøvik, Norway

1 INNLEDNING 1 2 KRYPTOGRAFI 1 2.1 SYMMETRISK KRYPTOGRAFI 2 2.2 OFFENTLIG NØKKEL KRYPTOGRAFI 2 3 PKI 3 3.1 LOVLIGE ASPEKTER VED PKI 4 3.2 KOMPONENTER I PKI 5 3.2.1 OFFENTLIGE OG PRIVATE NØKLER 5 3.2.2 DIGITALE SIGNATURER 5 3.2.3 DIGITALE SERTIFIKATER 7 3.2.4 CERTIFICATION AUTHORITY (SERTIFISERINGSMYNDIGHET) 8 3.2.5 REGISTRATION AUTHORITY (REGISTRERINGSMYNDIGHET) 8 3.2.6 CRL CERTIFICATE REVOCATION LISTS (TILBAKEKALLINGSLISTER) 9 4 PKI ANVENDELSER 9 5 IKKE-FORNEKTING 10 5.1 DIGITALE SIGNATURER TIL IKKE-FORNEKTING 11 5.1.1 PÅLITELIGE TIDSSTEMPLER 12 5.1.2 LOGGING 12 5.1.3 ENVEIS SEKVENSIELLE LINKER 13 5.1.4 MIDLERTIDIGE SERTIFIKATER 13 6 HVORFOR HAR IKKE PKI TATT AV? 14 7 RISIKO RUNDT PKI 16 8 KONKLUSJON 17 LITTERATURLISTE 18

1 Innledning Den elektroniske verden er kanskje den største muliggjører noensinne. Oppfinnelser som internett, e-handel, e-post og lignende har vært med på å gjøre oss svært effektive. Samtidig har det gitt oss tilnærmet ubegrenset tilgang på informasjon. Med disse fordelene dukker også temaer som sikkerhet og tillitt opp. Trusler som bedrageri, tyvlytting av data osv har forhindret mange i å stole hundre prosent på nettet, og dermed har de ikke turt å ta sjansen på å utnytte alle mulighetene tilgjengelig. Samtidig har autentiseringsmekanismer som brukernavn og passord langt ifra god nok sikkerhet. Brukere har generelt veldig mange ulike passord å huske på. Dette fører til at det velges passord som lett kan gjettes, eller at passordene skrives ned. En angriper vet å utnytte seg av denne svakheten. Etter hvert som tjenester på internett blir mer og mer utbredt, øker også behovet for bedre sikkerhets- og autentiseringsmekanismer. I denne rapporten vil jeg ta for meg PKI og hva slags fordeler og ulemper dette gir med hensyn på sikkerhet og autentisering på internett. Jeg vil også ta for meg hvordan man kan sikre digitale signaturer i en ikke-fornektkingssammenheng. 2 Kryptografi Kryptografi er en vitenskap som går ut på å kommunisere og dekryptere hemmelige meldinger uten at uvedkommende kan lese eller endre dem. Julius Cæsar var en av de første som tok i bruk krypto-systemer allerede i år 58 f.kr. Ved bruk av et enkelt system, som forskjøv hver enkelt bokstav en gitt lenge utover i alfabetet, klarte han å overføre meldinger til sine generaler på en sikker måte. Dette førte til svært suksessfulle kamper, og sikret ham en fremtid som keiser i Roma. Under 2. verdenskrig var kryptering av meldinger hyppig brukt for å kommunisere mellom tropper uten at fienden kunne avlytte dem. På denne tiden ble all kryptering og dekryptering gjort for hånd ved hjelp av bestemte regler og nøkler. Rundt 1945 begynte NSA og CIA og bruke elektroniske former for kryptert kommunikasjon. Alle krypteringssystemer har visse fundamentale krav som må oppfylles. Disse inkluderer: Konfidensialitet Informasjon må holdes hemmelig slik at kun de meldingen er intendert til kan lese den. Autentifisering Man skal entydig kunne bestemme hvem som har sendt meldingen, og at denne personen er den han/hun utgir seg for å være. Integritet Går ut på at man skal være sikker på at meldingen ikke har blitt endret under overføring. Ikke fornekting Sender skal ikke kunne nekte på å ha generert/sendt meldingen, og mottaker skal ikke kunne nekte på å ha mottatt meldingen. - 1 -

2.1 Symmetrisk kryptografi Prosessen med å kryptere og dekryptere meldinger ved hjelp av en enkel nøkkel, kalles symmetrisk kryptografi. Alle manuelle krypto-systemer som for eksempel one-time pad (brukt under 2. verdenskrig) er symmetriske. Følgende kan være et eksempel på bruk av symmetrisk kryptografi: Alice vil sende en melding til Bob, og hun vil være sikker på at Bob er den eneste som kan lese den. For å få til dette generer Alice en hemmelig nøkkel, krypterer meldingen med denne, og sender den til Bob. Når Bob mottar meldingen, vil han trenge nøkkelen, som Alice genererte, for å dekryptere meldingen. For å få til dette kan Alice gi nøkkelen til Bob personlig, ellers må hun finne en annen sikker måte å overføre nøkkelen på. Det er flere problemer med symmetrisk kryptografi. Noe av det som er mest problematisk, er nøkkeldistribusjon. Hvis Alice og Bob stoler på hverandre og samtidig holder til i nærheten av hverandre, er det ikke noe problem å overføre nøkkelen personlig. Dette er derimot sjelden tilfellet. I dag går mye kommunikasjon over internett mellom store fysiske avstander, og mellom parter som knapt nok kjenner hverandre. Her blir naturlig nok nøkkeldistribusjon et problem, men allikevel brukes symmetrisk kryptografi en del i PKI løsninger. DES, Triple DES (3DES), RC4, CAST-128 og AES er eksempler på krypteringsalgoritmer basert på symmetrisk kryptografi. 2.2 Offentlig nøkkel kryptografi I 1976 kom doktorgrad student Whitfield Diffie og Standford professor Martin Hellman med en teoretisk løsning på problemet med nøkkeldistribusjon. I stedet for å ha en hemmelig nøkkel som må overføres til partene via en sikker kanal, foreslo de å generere et nøkkelpar som er matematisk avhengige av hverandre. Den ene delen av nøkkelparet er privat, og må holdes hemmelig, mens den andre delen er offentlig. På den måten kan man bruke en den offentlige nøkkelen til å kryptere meldingen og den mottakeren kan så anvende sin private nøkkel til å dekryptere meldingen. Den private nøkkelen vil derfor ikke forlate mottakerens maskin, og man unngår problemet med å distribuere nøkler på en sikker måte. Et annet krav er at begge nøklene må benyttes for suksessfull kryptering og dekryptering. Det er altså ikke mulig å bruke samme nøkkel til både kryptering og dekryptering. Diffie og Hellman presenterte det teoretiske grunnlaget for denne teknikken, men kom ikke med noe forslag til hvordan dette kunne gjøres i praksis. Ikke lenge etter at denne artikkelen ble publisert, kom det en ny artikkel fra tre forskere ved MIT. Ron Rivest, Afi Shamir og Le Adleman presenterte den første praktiske løsningen på offentlig nøkkel kryptografi (RSA). Grunnlaget for offentlig nøkkel kryptografi er at nøkkelparet tar kort tid å generere, men at det praktisk talt umulig å beregne en del av nøkkelen ut i fra den andre delen (såkalt smekkdør funksjoner). RSA benytter seg av at primtallfaktorisering fremdeles er veldig tidkrevende. Den offentlige nøkkelen blir altså generert ved å multiplisere to store primtall (disse må holdes hemmelig eller ødelegges etter at nøkkelen er generert). Dette er trivielt, og tar relativt kort tid. Men den motsatte operasjonen, altså å faktorisere dette tallet, er tilnærmet umulig med dagens teknologi. Det vil si at selv om en angriper har ubegrenset mengde med kryptert tekst (chiffertekst) og den offentlige nøkkelen, vil han allikevel ikke klare å utlede den private nøkkelen. - 2 -

Nøkkelens sikkerhet er avhengig av den lengde. Jo lenger den offentlige nøkkelen er jo lenger tid vil det ta for en angriper å utlede den private nøkkelen. Den vanligste nøkkellengden i dag er 128 bit, dette gir 680 565 000 000 000 000 000 000 000 000 000 000 000 mulige nøkler. Etter hvert som regnekraften i datamaskinene øker, vil også kravet til nøkkellengden øke. Eksperter regner med at 2048 bits nøkler snart vil bli standard. Hvis Alice vil sende en kryptert melding til Bob ved hjelp av symmetrisk kryptografi, må Bob ha generert et nøkkelpar og den offentlige nøkkelen må være publisert (for eksempel i en katalog på internett) slik at Alice kan få tak i den. Hun bruker da den offentlige nøkkelen for å kryptere meldingen og sender den til Bob. Når Bob mottar meldingen, bruker han sin private nøkkel til å dekryptere meldingen. Det er kun Bob sin private nøkkel som kan gjøre dette. Så lenge Bob holder sin private nøkkel hemmelig er det ingen som kan lese meldingene hans. Fordelen med en slik metode er at partene ikke trenger å stole på hverandre. De trenger ikke engang å ha kommunisert med hverandre før. Ulempen med offentlig nøkkel kryptografi, er at det er tidkrevende når det er mye kryptert kommunikasjon som skal gå frem og tilbake. De fleste PKI løsninger benytter i dag en kombinasjon av symmetrisk- og offentlig nøkkel kryptografi. 3 PKI PKI står for Public Key Infrastructure, og ble introdusert tidlig på 80 tallet. Mange finansielle institusjoner tok da i bruk offentlig nøkkelteknologi for å sikre transaksjoner over nettverk. Etter hvert fulgte også statlige institusjoner etter. Midt på 90 tallet begynte internett å vise kommersielt potensiale, dermed kom det også et stort antall løsninger som benyttet seg av offentlig nøkkel kryptografi. For mange er PKI et veldig uklart begrep. De som tilbyr PKI løsninger, fremhever PKI som den absolutt beste løsningen innen sikkerhet. Hvis man benytter PKI i sin bedrift vil nesten alle problemer forsvinne. I denne voldsomme markedsføringen blir det neste bare satt fokus på hvor bra PKI er, det blir sjelden forklart hva PKI faktisk er, hva det gjør og hvilke ulemper det har. De fleste som blir introdusert til PKI ser for seg at dette er en alminnelig applikasjon som kan kjøpes for en hvis sum med penger og installeres på alle maskiner i en bedrift, og dermed er de sikret. Dette er en stor misforståelse. PKI er ikke et enkelt produkt, men består av en komplisert infrastruktur av hardware, software, databaser, nettverk, institusjoner, tillitt, sikkerhetsprosedyrer og juridisk ansvar. I tillegg er det inkludert et sett av protokoller og systemer som benyttes for å administrere og distribuere nøkler og sertifikater. Dette er det PKI offisielt består av, men begrepet brukes også i sammenhenger hvor offentlig nøkkel kryptering benyttes til autentisering. Denne tvetydigheten i begrepet er også med å skape forvirringer. Hovedtanken er at PKI rammeverket skal danne et juridisk grunnlag for elektroniske transaksjoner mellom parter som nødvendigvis ikke stoler på hverandre. Det vil si at et elektronisk signert dokument skal ha samme juridiske verdi som et papirdokument med en håndskrift. Et eksempel på dette, er fysiske kontra elektroniske betalingsformer. I den fysiske verden har et viktig dokument flere sikkerhetsmekanismer innebygd. En sjekk har en fysisk underskrift fra kontohaveren. Denne er unik og som oftest vanskelig å forfalske. I tillegg har selve - 3 -

papiret innebygd mekanismer som vannmerker, mikroprint og kjemisk følsomhet som gjør sjekken vanskelig å kopiere. Når sjekken sendes, legges den i en forseglet konvolutt. I elektroniske betalingssystemer blir alle disse mekanismene borte. En alminnelig signatur vil ikke være sikker i et digitalt medium siden det er trivielt å lage en eksakt kopi av denne. Ved å ta i bruk rammeverket som PKI tilbyr, er det mulig å tilby mye av den samme juridiske sikkerheten i elektroniske medier. Man da, med en rimelig stor sannsynlighet, bekrefte at forfatteren av dokumentet er den han utgir seg for å være og at dataene ikke har blitt endret etter at de ble sendt. I tillegg må det forhindres at uvedkommende leser informasjonen. PKI har et stort potensiale når det gjelder sikker kommunikasjon. Under følger noen eksempler på bruksområder for PKI: E-post kommunikasjon med kunder, ansatter og partnere Fjernaksess til databaser og intranett Elektroniske skjemaer som bestillingsskjemaer i nettbutikker Elektronisk dataoverføing og finansielle transaksjoner Sikring av filer og mapper på arbeidsstasjonen Elektroniske sjekker Digitale juridiske dokumenter som kontrakter og låneformularer Elektroniske stemplingskort Elektronisk selvangivelse 3.1 Lovlige aspekter ved PKI Når viktige dokumenter som betalingskontrakter og lignende skal overføres elektronisk, dukker det opp en del grunnleggende juridiske krav som må oppfylles. Er ikke disse kravene oppfylt, vil det ikke være mulig å bruke dokumentene som bevismateriale i en eventuell rettssak. For at elektronisk kommunikasjon skal være juridisk gyldig, må hver transaksjon være: Autentisert Senderen av meldingen må kunne bevise at han er den han utgir seg for å være. Sikker Når en melding overføres, må det finnes metoder som enkelt kan detektere om meldingen er blitt endret under overføringen. Altså at integriteten til meldingen beholdes. Privat Dokumentet må beskyttes mot uautorisert tilgang. Håndhevbar Meldingen må være et permanent dokument signert av alle involverte parter. Ikke fornekting Ingen av partene skal være i stand til å nekte på deltakelse i transaksjonen. Et PKI rammeverk oppfyller alle disse lovlige aspektene for sikker elektronisk kommunikasjon. - 4 -

3.2 Komponenter i PKI 3.2.1 Offentlige og private nøkler En viktig komponent i PKI rammeverket, er bruken av offentlige og private nøkler. Som beskrevet i kapittel 2.2 er disse nøklene matematisk avhengig av hverandre, og har motsatte funksjoner. Det den ene nøkkelen låser, kan den andre låse opp. Et viktig forutseting for at bruken av slike nøkkelsett skal være sikre, er at den private nøkkelen holdes hemmelig. Hvis denne nøkkelen kommer på avveie, vil ikke sikkerheten kunne garanteres lenger. Hvem som helst kan da dekryptere meldingen, endre den, kryptere den på nytt og sende den videre. Hvis det kan bevises at uvedkommende at fått tilgang til den private nøkkelen, vil ikke dokumenter kryptert med den lenger være juridisk bindende. Vanligvis lagres den private nøkkelen på brukeren maskin. Dette kan være en sikkerhetsrisiko. Hvis maskinen som nøkkelen ligger på ikke er skikkelig sikret, kan en angriper utnytte et sikkerhetshull som gir han tilgang til maskinen og hente ut nøkkelen. Den enkleste mekanismen som beskytter mot dette er passord, men dette har som kjent sine svakheter. En annen måte å sikre mot dette, er ved at nøkkelen fjernes fra maskinen og legges på en fysisk gjenstand som brukeren alltid har med seg. Eksempler på en slik gjenstand kan være smartkort. Når brukeren mottar en kryptert melding, må han sette dette kortet i en smartkortleser som leser den private nøkkelen. Deretter kan meldingen dekrypteres. Problemet med denne løsningen er at det må finnes en smartkort leser ved den maskinen som skal dekryptere meldingen. Hvis en slik løsning skal implementeres i en stor bedrift, vil det bli dyrt å investere i en smartkort leser til hver maskin. Derfor har det dukket opp løsninger som baserer seg på USB grensesnittet i stedet. Hver bruker som har en privat nøkkel vil da få utdelt en liten USB enhet hvor nøkkelen er lagret. Siden USB finnes på så å si alle maskiner i dag, er denne løsningen mye mer fleksibel enn smartkort. Den offentlige nøkkelen publiseres slik at alle kan få tak i den. En måte å gjøre dette på er å opprette en elektronisk katalog som legges ut på internett. Denne katalogen har samme oppbygning som en telefonkatalog; den inneholder navnet til brukeren og den tilhørende offentlige nøkkelen. 3.2.2 Digitale Signaturer Når man mottar en kryptert melding er det viktig å kunne verifisere at senderen er den han utgir seg for å være. Kryptering av en melding med en offentlig nøkkel, vil forsikre senderen om at kun mottakeren kan lese meldingen. Men mottaker vil ikke kunne verifisere hvem senderen er. Offentlig nøkkel kryptografi tilbyr også en løsning på dette problemet, nemlig digitale signaturer. Dette er en unik meldings signeringsprosess som gjør det mulig å entydig identifisere senderen av meldingen. Digitale signaturer gjør det også mulig å sjekke integriteten til meldingen. Det vil si at det er mulig å finne ut om meldingen har blitt endret mellom sending og mottak. Alt som overføres elektronisk kan konverteres til binære tall, og enkelt manipuleres. En konsekvens av dette er at det kan lages eksakte kopier av all data som eksisterer i elektronisk form. Dette fører til at digitale signaturer må være fundamentalt forskjellig fra vanlige signaturer. En digital signatur er unik for hver enkelt transaksjon, og reflekterer innholdet i - 5 -

meldingen. Det vil si at en signatur kun kan brukes en gang og kun på et dokument. Etter at dokumentet er signert vil det ikke være mulig å gjøre endringer på det uten å signere på nytt. Disse egenskapene gjør digitale signaturer nærmest umulig å kopiere eller forfalske. Digitale signaturer er i dag juridisk likestilt med håndskrevne signaturer. Den digitale signaturen er en matematisk funksjon som benytter seg av selve meldingen og senderens private nøkkel. Det første som skjer når en signatur skal genereres er at det kjøres en hash funksjon. Funksjonen tar meldingen og reduserer den til et bitmønster på 160 bit. Dette mønsteret er et slags sammendrag av meldingen. Hvis så mye som et enkelt tegn i melding endres, vil resultatet av hash funksjonen endres. Dermed kan det enkelt oppdages om meldingen har blitt endret fra den ble sendt. Når hash funksjonen har kjørt, vil resultatet krypteres med senderens private nøkkel. Resultatet av krypteringen, er den digitale signaturen som så legges til meldingen. Figur 3.1 viser hvordan digital signering foregår. Melding Hash funksjon Melding Digital Signatur Privat Nøkkel Digital Signatur Figur 3.1 Etter at signaturen har blitt lagt til meldingen, vil det hele bli kryptert. I dagens PKI systemer er det vanlig at meldingen krypteres ved hjelp av symmetrisk kryptografi. Det vil si at den samme nøkkelen brukes til både kryptering og dekryptering, men det genereres en ny nøkkel for hver melding som skal sendes. For å få til dette må man finne en sikker måte å overføre nøkkelen på. PKI løser dette ved å kryptere den symmetriske nøkkelen med mottakerens offentlige nøkkel og sende den sammen med meldingen. På den måten er det bare den rettmessige mottakeren som kan dekryptere nøkkelen som brukes for å dekryptere resten av meldingen. Figur 3.2 illustrer denne prosessen. - 6 -

Melding Digital Signatur Engangs symmetrisk nøkkel Kryptert melding og signatur Mottagers offentlige nøkkel krypterer den symmetriske nøkkelen Kryptert melding og signatur Kryptert symmetrisk nøkkel Figur 3.2 Når meldingen er sendt og mottatt, må signaturen og dataene verifiseres. Først dekrypteres den symmetriske nøkkelen med mottakerens private nøkkel. Den symmetriske nøkkelen brukes så til å dekryptere resten av meldingen. Videre benyttes senderens offentlige nøkkel til å dekryptere signaturen. Meldingen som ble dekryptert kjøres gjennom den samme hash funksjonen som ved kryptering, resultatet fra hash funksjonen blir sammenlignet med den dekrypterte digitale signaturen. Hvis meldingen ikke har blitt endret under overføring, vil disse to verdiene være identiske. Den digitale signaturen kan altså både brukes til autentisering og dataverifisering. 3.2.3 Digitale Sertifikater Digitale sertifikater er den elektroniske verdens svar på fødselsattester, pass og lignende. På samme måte som et pass verifiserer din virkelige identitet, vil et digitalt sertifikat verifisere din elektroniske identitet. For at et pass skal gjelde som gyldig identifikasjon, må det være autentifisert av en tredje part alle stoler på. I Norge blir pass godkjent av politiet hvis du har en gyldig fødselsattest. Når passet et utstedt, er dette et gyldig legitimasjonsbevis i alle land som stoler på utstederlandet. Digitale sertifikater fungerer på akkurat samme måte. De er en elektronisk form for identifikasjon som kan valideres av en pålitelig myndighet. Alle brukere av et PKI basert system må ha et slikt verifisert sertifikat. Som oftest inneholder disse sertifikatene informasjon som navnet til brukeren, brukerens offentlige nøkkel, krypteringsalgoritmen som benyttes og utløpsdato. I sertifikatet kan det også spesifiseres hvilke operasjoner det er godkjent for. For eksempel kan et sertifikat være autorisert for kryptering og dekryptering, men ikke for å verifisere digitale signaturer. Videre er det vanlig at sertifikatet inneholder den digitale signaturen til myndigheten som har utført verifiseringen. Dermed er man sikker på at sertifikatet er ekte. Digitale sertifikater brukes til å bestemme at brukeren er den han utgir seg for å være, og publiseres på nettet av sertifiseringsmyndigheten (certification authority). Det finnes ulike standarder for formatet til digitale sertifikater. Nåværende standard er x.509 v.3-7 -

3.2.4 Certification Authority (sertifiseringsmyndighet) En sertifiseringsmyndighet er en pålitelig tredjepart, og er likestilt med passkontorer og liknende etater. Sertifiseringsmyndigheten har som oppgave å bekrefte sammenhengen mellom en offentlig nøkkel og eieren av nøkkelparet. Hovedhensikten til en sertifiseringsmyndighet er å utstede digitale sertifikater og verifisere identiteten til personen assosiert med det. Når en sertifiseringsmyndighet går god for et digitalt sertifikat, vet alle involverte parter at personen er den han utgir seg for å være. En sertifiseringsprosess består av seks steg illustrert i figur 3.3 Sertifiseringsmyndighet 3 Sertifikat lager 1 2 5 6 Bruker 4 Mottagende part Figur 3.3 1. Brukeren henveder seg til sertifiseringsmyndigheten for å få et digitalt sertifikat. 2. Sertifiseringsmyndigheten verifiserer brukerens identitet og utsteder det digitale sertifikatet. Enten generer brukeren selv sitt nøkkelpar og sender inn den offentlige nøkkelen sammen med et kryptografisk bevis, eller så genererer sertifiseringsmyndigheten nøkkelparet og sender dette til brukeren. Den siste metoden er litt mer usikker, siden det da kan eksistere kopier av den private nøkkelen. 3. Sertifiseringsmyndigheten publiserer sertifikatet i et lager på en server eller et system. 4. Brukeren signerer meldingen med sin private nøkkel og sender det til mottakeren. 5. Mottakeren verifiserer den digitale signaturen med senderens offentlige nøkkel. Videre henvender han seg til det online sertifikatlageret for å verifisere senderens sertifikat. 6. Signaturlageret rapporterer status på det digitale sertifikatet. Det finnes i dag flere sertifiseringsmyndigheter. En sertifiseringsmyndighet har ikke offisiell anerkjennelse, slik som passmyndigheter, førerkortutstedere og lignende har. De fleste slike myndigheter er kommersielle selskaper som driver med utstedelse av digitale sertifikater for å tjene penger. Et av de store selskapene i denne bransjen er Verisign (www.verisign.com). 3.2.5 Registration Authority (Registreringsmyndighet) En registreringsmyndighet (RA) er ansvarlig interaksjonen mellom klientene og sertifiseringsmyndighetene. Ofte er del slik at sertifiseringsmyndighetene mottar så mange henvendelser at de ikke har kapasitet til å validere alle henvendelsene og samtidig utstede - 8 -

sertifikater. Det er her registreringsmyndighetene komme inn i bildet. En RA s oppgaver er delt inn i fire deler: Motta henvendelser fra brukere og valider dem Send henvendelsen videre til sertifiseringsmyndigheten Motta det utstedte sertifikatet fra sertifiseringsmyndigheten Send sertifikatet tilbake til den korrekte brukeren For brukeren, vil en RA virke som en sertifiseringsmyndighet, men det er altså ikke tilfellet. RAen bare verifiserer brukerens identitet. Det er sertifiseringsmyndigheten som signerer sertifikatet, og dermed er det de som står ansvarlig ved en eventuell juridisk konflikt. Registreringsmyndigheter er spesielt nyttig når det gjelder skalering av PKI applikasjoner over geografiske områder. En sertifiseringsmyndighet samarbeider ofte med flere registreringsmyndigheter. Disse kan få hvert sitt geografiske ansvarsområde. For eksempel kan en RA kan få ansvar for region nord, mens en annen får ansvar for region sør osv. 3.2.6 CRL Certificate Revocation Lists (Tilbakekallingslister) Alle digitale signaturer har en utløpsdato. I tillegg kan det hende at noen sertifikater av en eller annen grunn må erklæres ugyldige før de har gått ut, for eksempel ved misbruk eller ved at den private har kommet på avveie. PKI må derfor tilby en mekanisme for dette. Løsningen ble Certificate Revocation Lists (CRL) eller tilbakekallingslister på norsk. Dette er lister som inneholder alle ugyldige sertifikater. Når det skal sjekkes status på et sertifikat, er det ikke nok å verifisere at sertifikatet er signert av en sertifiseringsmyndighet, gyldigheten må også sjekkes mot disse listene. Det er per i dag ikke noen standard mekanisme for hvordan disse listene skal kunne være offentlig tilgjengelig i PKI rammeverket. De to vanligste metodene er bruk av databaser eller distribuering av listene til involverte parter. 4 PKI anvendelser De som i størst grad har begynt å satse på PKI i dag er bankene. For enhver bank er det viktig å vise at de setter fokus på sikkerhet. Dette kan gi dem et konkurransefortrinn som gjør at de beholder sine eksisterende kunder samtidig som de kanskje kan tiltrekke seg nye kunder. En nettbankløsning basert på PKI vil gjøre online transaksjoner sikre og pålitelige. Den vanligste måten å implementere PKI i nettbanker er ved at hver bruker for utdelt en enhet som inneholder hans digitale sertifikat. Denne enheten må kobles til en port på den aktuelle maskinen (som regel USB porten) og aktiveres med en PIN kode. USB-enheten vil dermed erstatte brukernavn, mens PIN koden vil erstatte passord. I et PKI system vil alle transaksjoner bli digitalt signert og lagret av banken. På den måten kan en brukes enkelt identifiseres (ved hjelp av det digitale sertifikatet) og gamle transaksjoner kan også spores. Dette er nyttig hvis det skulle komme opp noen juridiske konflikter. Dermed vil kravet til ikke-fornekting være oppfylt. En slik løsning er også med på å gi brukeren en økt sikkerhetsfølelse. Så lenge brukeren er i besittelse av enheten som inneholder det digitale sertifikatet, kan han være sikker på at ingen andre kan gjennomføre transaksjoner i hans navn. Hvis enheten skulle bli borte, kan brukeren enkelt få utstedt en ny enhet, på samme måte som med bankkort, og det eksisterende sertifikatet vil bli lagt til i tilbakekallingslistene. - 9 -

Totalt sett kan benyttelse av PKI i banker være med på å signifikant redusere svindel. Autentisering, autorisering, og ikke-fornekting er blant de store styrkene PKI tilbyr. Det største PKI prosjektet i Norge i dag er BankID (www.bankid.no). Dette er en elektronisk legitimasjon og signaturtjeneste som tilbys av bankene i Norge, og består av ca 1.5 millioner brukere. Et annet PKI prosjekt i Norge er Altinn (www.altinn.no). Dette er en felles portal for innlevering av offentlige skjemaer, og er et samarbeid mellom flere offentlige etater. Initiativtakerne bak Altinn er Skatteetaten, Statistisk Sentralbyrå og Brønnysundsregistrene. I det siste har også Statens lånekasse og Konkurransetilsynet blitt med. Altinn har nå kommet med en løsning som gjør det mulig for studenter å ta opp studielån uten å benytte seg av papirløsninger. Lånekassen er den første offentlige etaten som prøver ut en fullelektronisk løsning med bruk av PKI. Zebsign (www.zebsign.no) er en annen stor aktør innen PKI løsninger. De eies av posten og Telenor og har angivelig den beste teknologien tilgjengelig i dag. Zebsigns hovedfokus er på å utstede elektroniske IDer. TPM (Trusted Platform Modules) er en teknologi som er i utvikling. Denne teknologien inkluderer en del hardware spesifikasjoner. Blant annet har de utviklet en chip som kan lagre private nøkler. Chipen er konstruert på en slik måte at det er umulig å hente ut nøkkelen derfra. Når denne chipen blir billig nok, vil den kunne implementeres i alt fra store servere til smart kort. Denne teknologien vil sannsynligvis spille en stor rolle i PKI løsninger i fremtiden. Per i dag er det få privatpersoner som kjøper digitale sertifikater. Det vil heller ikke være aktuelt å gjøre det før det kommer flere applikasjoner som benytter seg av PKI på markedet. Det er stort sett store nettsteder som kjøper sertifikater som de bruker for å tilby en sikker tilkobling til deres sider, ved hjelp av SSL. I tillegg er det en del programutviklere som legger digitale signaturer ved sine produkter for forsikre brukeren om at programmet er autentisk og ikke har blitt tuklet med. 5 Ikke-fornekting Fornekting (repudation) er definert som: Denial by one of the entities involved in a communication of having of having participated in all or part of the communication (Jianying Zhou-Non repudation in electronic commerce). Alle elektroniske systemer som gjennomfører en eller annen form for transaksjon, er utsatt for bedrageri, feil eller misbruk. Dette medfører en risiko for den aktuelle bedriften. Hvis noen av disse riskene faktisk inntreffer, kan det få konsekvenser: Direkte økonomisk tap på grunn av bedrageri Tilgang til konfidensiell informasjon Uautorisert bruk av ressurser Tap av penger ved at oppetiden reduseres, for eksempel ved DOS angrep Tap av goodwill og tillitt hos kunder for eksempel ved negativ publisitet Fornekting er et fundamentalt begrep innen sikkerhetstrusler, både i papirbaserte og elektroniske transaksjoner. Typiske fornektingssaker oppstår hvis en av de involverte partene - 10 -

nekter for å ha: generert dokumentet, sendt dokumentet, mottatt dokumentet eller sendt/mottatt dokumentet innen i hvis tid. For å sikre seg at slike problemer ikke oppstår er det viktig at involverte parter samler opp nok bevis til å vinne enhver konflikt, enten privat eller ved en rettssak. Når det gjelder elektroniske transaksjoner er det stort sett digitale signaturer som benyttes til dette formålet. Hvis bevisene som samles inn skal kunne brukes i en ikke-fornektingssammenheng, må de oppfylle følgende krav: opphavet til beviset kan verifiseres av en tredjepart integriteten til beviset kan verifiseres av en tredjepart gyldigheten til beviset må kunne verifiseres av en tredjepart Er ikke disse kravene oppfylt, kan ikke bevisene brukes i en eventuell konflikt. Fordi det da ikke er noen garanti for at bevisene er i den tilstand de var når transaksjonen fant sted. En ting det er viktig å være klar over, er at ikke-fornektingsmekanismer, som digitale signaturer, kun fungerer som en teknisk løsning. Det er vel så viktig at et juridisk rammeverk er på plass. Innsamlede bevis vil være verdiløse hvis det ikke ligger et lovverk rundt som legger ned en dom ut i fra de presenterte bevisene. I tillegg til de overnevnte kravene til selve beviset, er det også viktig at det fastsettes hvilke forhold beviset skal gjelde for. Under følger en oversikt over elementer som et bevis bør kunne bekrefte: Type ikke fornekting som finner sted Hvem som genererte meldingen Hvem som mottok meldingen Hvem som er den pålitelige tredjeparten At meldingen ble overført uendret Et pålitelig tidsstempel som viser når transaksjonen fant sted Et pålitelig tidsstempel som viser når beviset ble generert Utløpsdato av beviset Det er ikke nødvendig å ha med alle elementene i ethvert bevis. Hvilke elementer man velger å inkludere er avhengig av anvendelsene og sikkerhetskravene til applikasjonen. 5.1 Digitale signaturer til ikke-fornekting Digitale signaturer er den mest vanlige formen for ikke-fornektingsbevis. For at en digital signatur skal være et juridisk godkjent bevis, er det er krav at signaturen er gyldig helt frem til en fastsatt utløpsdato. Tiden det kreves at signaturen skal være gyldig er som regel fastsatt i en ikke-fornektingspolicy. Digitale signaturer benytter seg som kjent av et sett av offentlige og private nøkler. Disse nøkkelparene kan bli ugyldige før datoen på signaturen går ut. Dette kan skje ved at nøklenes gyldighetsdato går ut, at den fratas sin gyldighet på grunn av misbruk, eller at den kommer på avveie (dette kan for eksempel gjøres ved at sjekkes mot CRL listene). Hvis dette skjer, vil ikke signaturen være gyldig lenger. I de neste kapitlene vil jeg ta for meg noen mekanismer som kan brukes for sikre digitale signaturer. - 11 -

5.1.1 Pålitelige Tidsstempler Tidsstempler brukes i elektroniske transaksjoner for å gi en indikasjon på når en bestemt hendelse fant sted. Når en melding har et slikt stempel, vil det være mulig å bevise for en motpart når transaksjonen fant sted og at den faktisk fant sted. Betalingssystemer på internett er et eksempel på hvor tidsstempler har en viktig rolle. Regninger har som oftest en fastsatt forfallsdato. Hvis betalingen ikke er gjennomført innen denne datoen, vil det bli lagt til et gebyr på neste regning. Skulle det oppstå en konflikt vedrørende når betalingen ble gjennomført, vil tidsstemplene entydig kunne avgjøre dette. Pålitelige tidsstempler kan også brukes til å sjekke om en transaksjon signert med en utgått nøkkel faktisk er gyldig allikevel. Det kan nemlig tenkes at meldingen ble signert mens nøkkelen fremdeles var gyldig, men at den ikke er gyldig på det tidspunkt når sjekken foretas. Hvis meldingen inneholder et pålitelig digitalt tidsstempel, kan det enkelt bestemmes om transaksjonen skal godtas eller ikke. Uansett hvordan men benytter seg av tidsstempler, er det viktig at de er pålitelige for begge parter. For å garantere en slik pålitelighet han man innført tidsstempelmyndigheter (timestamping authority eller TSA). Disse garanterer at tidsstemplene er gyldige på samme måte som at sertifiseringsmyndighetene garanterer at digitale sertifikater er gyldige. Fordelen med å bruke tidsstemplingsmyndigheter er at de er nøytrale. For de involverte partene føles dette tryggere enn at en av dem skal legge ved stempelet. En melding kan få et pålitelig digitalt tidsstempel ved at den sendes til TSA som legger til en tidsverdi og signerer meldingen med sin private nøkkel. TSA en gjør ingen form validering eller verifisering, den legger kun til tidsstempelet og signerer. Når meldingen kommer frem til mottakeren, blir den dekryptert. Siden stempelet ble kryptert TSA ens private nøkkel, er det kun TSA ens offentlige nøkkel som kan gjøre dette. Dermed kan mottakeren være sikker på at tidsstempelet er gyldig og uendret. For at denne metoden skal være sikker er det viktig at den private nøkkelen til TSA en er sikker. Hvis denne skulle komme på avveie har integriteten til en pålitelig tredjepart blitt brutt. Dermed er det ikke lenger garantert at tredjeparten er pålitelig, og man kan ikke vite om tidsstemplene er satt av tredjeparten eller av med uærlige hensikter. Pålitelige tidsstempler er et slagkraftig verktøy som kan brukes til å løse konflikter om gyldigheten til digitale signaturer. Denne metoden er sikker nok til å benyttes i store forretningstransaksjoner med høy verdi, og det er også stort sett her metoden har størst utbredelse. Dette er fordi metoden forutsetter at TSA en må være online for å kunne tidsstemple alle transaksjonene. Mange bedriften gjennomfører fryktelig mange transaksjoner med lav risiko daglig. For dem vil denne ikke-fornektingsmetoden bli altfor kostbar. 5.1.2 Logging En annen metode for å sikre digitale signaturer er ved å bruke logging. Ved å se på når en transaksjon ble loggført, kan man finne når den digitale signaturen ble generert. Dette systemet har blitt brukt en del i banker. Banken vil da lagre alle gjennomførte transaksjoner samt brukerens digitale signaturer i en logg. Hvis det skulle oppstå uenighet om gyldigheten til en digital signatur for eksempel ved at en signatur har blitt tilbakekalt kan banken allikevel velge å godta transaksjonen. Ved å gå inn i loggen kan banken sjekke om - 12 -

transaksjonen ble gjennomført før sertifikatet ble tilbakekalt. Dermed kan signaturen allikevel aksepteres som ikke-fornektingsbevis. For at et slikt system skal fungere må alle involverte parter kunne stole på loggingssystemet. Dette systemet vil erstatte en pålitelig tredjepart, slik som TSA. Loggingssystemet må derfor oppfylle noen krav for at integriteten skal kunne godkjennes av en tredjepart ved en eventuell konflikt. For det første skal det ikke være mulig for noen å sette tilbake datoen på noen av oppføringene i loggen. Hvis ikke dette kravet oppfylles, vil det være mulig å sette tilbake datoen på en transaksjon gjennomført med et utgått sertifikat. Dermed vil en ugyldig signatur aksepteres. Et annet krav er at innholdet i loggen ikke kan endres etter at det har blitt generert. Dette er viktig for å forhindre at forfalskede signaturer ikke kan legges til å loggen i etterkant og bli sett på som gyldige. Disse kravene kan være både vanskelige å kostbare å oppfylle. Metoden er allikevel veldig effektiv for bedrifter som gjennomfører et stort antall online transaksjoner hver dag. Spesielt hvis man ser dette i forhold til å involvere pålitelige tredjeparter. Ulempen med denne metoden er at det kreves en god del lagringsplass, og dermed er dette lite aktuelt for vanlige brukere med begrenset plass. 5.1.3 Enveis sekvensielle linker Denne metoden går ut på å linke sammen alle digitale signaturer generert av en bruker. Signaturene er linket sammen på en slik måte at enhver endring i rekkefølgen eller tilegg av nye signaturer, vil detekteres med en gang. Alle signaturer som ligger i denne rekkefølgen, vil bli sett på som gyldige. Det er også mulig å gjøre denne metoden en del sikrere. Gitt at en digital signatur er beregnet for transaksjoner med en spesifikk motpart. Videre kan brukeren gjøre en nøkkel ugyldig ved å sende den første og den siste signaturen i rekkefølgen til motparten som også signerer rekkefølgen. Dermed kan brukeren nekte å godta signaturer som ikke eksisterer i rekkefølgen signert av parter. Heller ikke ved å bruke denne metoden trenger man å involvere en tredjepart for å validere signaturene. Det er allikevel verdt å merke seg denne metoden krever en del beregningskraft. Dette gjelder spesielt hvis det oppstår uenigheter, da må man traversere hele lenken av signaturer for å kunne godkjenne/avvise påstanden. Enveis sekvensielle linker er en god løsning hvis man har to parter som gjennomfører transaksjoner med hverandre regelmessig. Det er også viktig at partene stoler såpass på hverandre at man vet at motparten ikke vil nekte på å ha signert rekkefølgen. Hvis dette ikke er tilfellet, må denne metoden brukes sammen med tidsstempler for å være sikker. 5.1.4 Midlertidige sertifikater Midlertidige sertifikater kan brukes som ikke-fornektingsbevis i transaksjoner med lav risiko, og som har en begrenset gyldighetsperiode. Metoden går ut at sertifiseringsmyndigheten delegerer sitt ansvar til brukeren, slik at brukeren selv kan generere midlertidige sertifikater med begrenset gyldighet basert på et sertifikat utstedt av sertifiseringsmyndigheten. Effektiviteten til et slikt system kan økes betraktelig hvis signaturene garantert vil være gyldige i hele perioden. Det vil si at det ikke er mulig å tilbakekalle nøkkelen. Grunnen til effektivitetsøkningen er at man ikke behøver å tidsstemple hver transaksjon. Man - 13 -

tidsstempler kun det midlertidige sertifikatet ved generering. Siden man slipper å gå gjennom TSA en for hver transaksjon, er det heller ikke noe krav til at den trenger å være online. Midlertidige sertifikater benytter to typer nøkler. Først genereres det en nøkkel på vanlige måte som det er mulig å tilbakekalle. Ut i fra denne nøkkelen blir det generert et digitalt sertifikat, utstedt av en sertifiseringsmyndighet. Videre genereres det en nøkkel som ikke kan tilbakekalles i gyldighetsperioden. Med denne nøkkelen kan brukeren generere et digitalt sertifikat som han signerer selv og som tidsstemples av en TSA. Den første nøkkelen fungerer som en master nøkkel. Denne nøkkelen brukes for å utstede midlertidige sertifikater som det ikke er mulig å tilbakekalle. Den andre nøkkelen brukes til å signere alle dokumenter som skal være gyldige under det midlertidige sertifikatet. Alt som er signert med et slikt midlertidig sertifikat vil være gyldig helt til datoen på sertifikatet utløper. En viktig forutsetning for at denne metoden skal være sikker er at en eventuell konflikt må løses før gyldigheten til sertifikatet utløper. Etter at datoen til sertifikatet har utløpt, vil det være ugyldig, og kan ikke lenger brukes som ikke-fornektingsbevis. Det er også viktig å merke seg at det er den som har generert det midlertidige sertifikatet som står ansvarlig hvis den midlertidige nøkkelen kommer på avveie eller misbrukes i gyldighetsperioden. Denne metoden er effektivitetsbesparende for bedrifter som gjennomfører et stort antall transaksjoner hver dag ved at man ikke trenger å involvere en tredjepart. Ulempen er at genereringen av midlertidige signaturer krever en god del ekstra regnekraft. Hvis sertifikatene har kort gyldighetstid, vil ikke denne løsningen fungere i miljøer med begrenset prosesseringskapasitet siden det da blir generert store mengder sertifikater. Så fort sertifikatet er generert derimot, vil det ikke kreves noe ekstra regnekraft. 6 Hvorfor har ikke PKI tatt av? I mesteparten av dagens PKI litteratur påstås det at PKI er viktig for at e-handel skal ta av. Dette stemmer ikke, e-handel er allerede veldig utbredt og populært uten at PKI har vært innblandet. De fleste nettbutikker tar gladelig imot ordren din selv om du ikke har et digitalt sertifikat til å autentifisere deg med. Dermed blir det mer riktig å snu påstanden, nemlig at e- handel er viktig for at PKI skal kunne ta av. Et av problemene som har vært med å begrense populariteten til PKI er strukturen. I dag er PKI systemet hierarkisk oppbygd. Det vil si at det må være noen som sertifiserer de som sertifiserer osv. Problemet blir da å bestemme hvem som skal være på toppen. Det finnes altså ikke en generell struktur som omfatter hele PKI systemet globalt enda. Måten dette problemet er løst på i dag, er at det ligger installert såkalte rot-sertifikater signert av en sertifiseringsmyndighet i hver nettleser. Dette rot-sertifikatet er selv signert. Det vil si at siden det ikke er noen sertifiseringsmyndighet over dette, må sertifikatet signere seg selv. Metoden med å installere rot-sertifikater i hver enkelt nettleser fungerer for så vidt greit, men det byr på noen problemer. For eksempel blir aldri gyldigheten eller statusen til rotsertifikater sjekket mot en sertifiseringsmyndighet. Dermed blir egentlig mye av poenget med disse sertifikatene borte. Hadde det eksistert en global infrastruktur ville det ikke vært nødvendig med rot-sertifikater installert lokalt i hver nettleser. Så lenge det ikke finnes en god løsning på dette problemet vil bruken av digitale sertifikater i elektroniske transaksjoner være begrenset. Løsningene som foreligger i dag er rett og slett ikke sikre nok. Dette er nok en viktig grunn til at det er få e-handels systemer som bruker PKI i dag. - 14 -

Standarder i PKI har også vært et tema for hvorfor PKI ikke har blitt så populært som først antatt. Problemet er at standarden som finnes ikke dekker alle områder. Derfor blir hver enkelt leverandør nødt til å improvisere under implementeringen. Dermed blir det små variasjoner mellom de ulike PKI produktene, noe som igjen fører til at produktene får problemer med å kommunisere med hverandre. Et eksempel på slik inkompatibilitet er bruken av utvidelsesfelter i digitale sertifikater. Det finnes ingen standard for navn på disse feltene eller hvordan de skal håndteres. Ulike PKI produkter vil da tolke disse på forskjellige måter og feil vil oppstå. I tillegg er det flere ulike organisasjoner som arbeider hver for seg meg å utvikle PKI standarder. I dag arbeider IEFT (Internet Engineering Task Force), The Open Group og NIST (National Institute of Standards and Technology) med hver sine standarder. Dette er også med på å skape mer forvirring i markedet. Flere bedrifter har kjøpt PKI produkter for å få en løsning på single sign on problemet. Dette har ført til at mange blir skuffet. En bedrift kjøper en PKI løsning, installerer den og utseder digitale sertifikater til alle ansatte. Når dette er gjort tror bedriftene at single sign on er et faktum. Så enkelt er det dessverre ikke. For at single sign on skal fungere må det i tillegg gjøres en del endringer i bedriftens eksisterende programvare. Et annet problem er at mange har misforstått hva PKI egentlig er. I de fleste firmaer har itansvarlige svært mye å gjøre. De har derfor ikke tid til å holde seg oppdatert på alle mulige tekniske løsninger. Stort sett begrenser de seg til informasjonen tilgjengelig i ulike tidsskrifter. Mange av tidsskriftene eies og publiseres av PKI leverandører, dermed er naturlig nok disse krydret av lovord om PKI. Administratorene får ofte det inntrykket at PKI er et program man kjøper, installerer også er man sikker. Dette er jo langt fra sannheten, dermed vil mange føle seg lurt og PKI får en negativ omtale i offentlig presse. Noe som igjen er med på å begrense utbredelsen. Mangelen på skikkelig administreringsprogramvare har også vært med å bremse utviklingen. Uten slike verktøy vil PKI løsninger bli kostbare og svært komplekse å vedlikeholde. En stor feil som ble gjort når PKI ble lansert var at det prøvde å fundamentalt endre måten man gjør forretninger på. De fleste bedrifter likte ikke tanken på at en ekstern tredjepart (sertifiseringsmyndigheten) skulle være med å bestemme hvordan det gjør forretninger. Bedrifter som har et system for å gjøre forretninger som har fungert bra i lang tid, vil sjelden være villig til å endre dette. For at PKI skal fungere på en global skala forutsetter det at alle bedrifter har en del felles forretningsmetoder, praksiser og sikkerhetsløsninger. Uten denne felles plattformen vil det være svært vanskelig å linke sammen alle sertifiseringsmyndighetene. Den største feilen som ble begått i denne sammenhengen, var at hele systemet ble lansert med en gang, og krevde store strukturelle omveltninger i bedriften. I tillegg hadde leverandørene en altfor bred tankegang. De så for seg at systemet skulle få global utspredelse med en gang. Hadde PKI blitt lansert mer forsiktig, for eksempel ved å prøve å tilpasse løsningene til eksisterende forretningsmodeller, ville det vært mye lettere og mindre kostbart for bedriftene. Noe som igjen kunne ført til at flere var villige til å prøve. Etter at løsningen har vært i drift en stund, kan man gradvis sette i gang prosesser for å endre forretningssystemene gradvis. Hadde altså PKI begynt å det små og jobbet seg utover etter hvert som populariteten økte, ville nok PKI løsninger vært mer utbredt i dag. - 15 -

7 Risiko rundt PKI Det første problemet tilknyttet PKI er bruken av ordet tillitt/pålitelig (trust på engelsk). At noen er pålitelig i en kryptografisk sammenheng betyr bare at de håndterer sine private nøkler på en god måte. Selv om en sertifiseringsmyndighet er pålitelig medfører ikke det at man automatisk kan stole på den, til for eksempel å signere millionkontrakter. En sertifiseringsmyndighet har sjelden blitt godkjent av noen. Det finnes ikke noe sentralt organ som autoriserer ulike sertifiseringsmyndigheter. Dermed kan enhver sertifiseringsmyndighet selv bestemme hvilke operasjoner den skal ha lov til å signere. Dette fører til at den parten som skal verifisere en signatur tar en risiko ved å stole på at transaksjonen er autorisert bare fordi sertifikatet er signert av en sertifiseringsmyndighet. Det er viktig å huske på at sertifiseringsmyndigheter egentlig ikke er noe annet enn en bedrift som tjener penger på å verifisere/utstede digitale signaturer. En bedre løsning ville være å la hver enkelt bruke bygge opp sine egne lister over hvem de stoler på. Dermed vil det være opp til brukeren å definere hvorfor hver enkelt av dem er pålitelige. Dette er bedre for brukeren og enklere å implementere, da man ikke trenger en stor automatisert administreringstjeneste sentralt. En av de største risikoene rundt PKI er sikkerheten til den private nøkkelen din. Det er meget viktig at denne er sikker. Dette er ikke alltid lett å få til. Som oftest lagres private nøkler på en datamaskin. Dermed er nøkkelen utsatt for virusangrep, ormer og andre programmer som kan få tilgang til nøkkelen. I tillegg kan du sjelden garantere at ingen andre får tilgang til din maskin. Hvis for eksempel maskinen din er beskyttet av et passord, vil sikkerheten til nøkkelen være avhengig av sikkerheten til passordet ditt. Det finnes også løsninger som lagrer nøkkel på eksterne enheter som Smart Kort og USB enheter. Dette øker sikkerheten noe, men det er ingen garanti for at enheten ikke kommer på avveie. Når enheten er koblet til en maskin, kan det også hende at det ligger programvare der som bruker den private nøkkelen til å signere ting du aldri mente å signere. Disse problemene spiller en viktig rolle i ikke-fornektingssammenheng. I flere land har digitale signaturer fått samme juridiske gyldighet som vanlige signaturer. Det vil si at hvis din nøkkel er autorisert av en sertifiseringsmyndighet er du ansvarlig for alt som er signert med den. Det er også viktig å merke seg at lange nøkler ikke kompenserer for usikre systemer. Sikkerhet må ses på som en lenke, og en lenke er aldri bedre enn sitt svakeste ledd. Sikkerheten til maskinen som verifiserer sertifikatet (mottakeren) er også sentral i en risiko sammenheng. Sertifikatverifisering benytter ingen private nøkler, kun offentlige. Siden det ikke er noen hemmeligheter å beskytte her, skulle man tro at sikkerheten ikke var så viktig. Problemet er at det ligger en del rot-sertifikater lokalt på maskinen. Digitale sertifikater er organisert i en trestruktur. Et sertifikat er signert av en sertifiseringsmyndighet. Sertifiseringsmyndighetens sertifikat kan igjen være signert av en annen sertifiseringsmyndighet osv. På toppen av denne strukturen ligger et rot sertifikat, som er signert av seg selv. Hvis verifiseringsmaskinen ikke er skikkelig sikret, kan en angriper legge inn rot sertifikater med en nøkkel han selv har generert. Dermed vil dette sertifikatet bli behandlet på lik linje med de andre sertifikatene. Dette kan føre til at ugyldige signaturer godkjennes. - 16 -

Det er viktig å huske på at sertifikater alene ikke er nok for å få et sikkert system. Rundt sertifikatene må det ligge veldefinerte praksiser. Disse praksisene må være designet på en gjennomtenkt måte. Dette er ikke alltid tilfellet. Ofte er de designet etter en generell mal, eller kopiert direkte fra noen andre. Dermed vil mange av disse praksisene inneholde tilfeldige bestemmelser gjort av personer som ikke hadde tid/kunnskaper til å finne fornuftige og gjennomtenkte løsninger. Levetiden til en nøkkel er for eksempel noe som er viktig å definere. Mange leverandører setter levetiden til 1 år, fordi det er mest vanlig. Dette kan være en stor risiko. En nøkkel har to levetider. En kryptografisk levetid, som er tiden det vil ta og knekke nøkkelen. Den andre tiden går på hvor lang tid man kan regne før uvedkommende får tak i nøkkelen. Denne tiden kan man estimere ut i fra sikkerheten til maskinen nøkkelen ligger på, sikker til nettverket, hvor attraktiv nøkkelen er for angriper osv. På bakgrunn av dette kan bergene sannsynligheten for tap av nøkkelen som en funksjon av tiden og bruken av den. I en god praksis bør denne beregningen være gjort, og samtidig må det spesifiseres ved hvilken sannsynlighetsgrense nøkkelen skal regnes som ugyldig. Praksisen rundt tilbakekalling av sertifikater er også ofte uklar, og kan medføre risiko. Vanligvis skal ugyldige sertifikater føres opp i tilbakekallingslister. Problemet er at mange leverandører ikke støtter dette. Det vil si at de ikke tar hensyn til disse når et sertifikat skal verifiseres. Grunnen til det er at slike lister fort blir store, og det finnes pr i dag ingen god måte å distribuere disse listene. Et annet problem er gyldigheten til listene. Det er ikke definert noen standard på når et ugyldig sertifikat blir lagt til i listene. Dermed kan det hende at et ugyldig sertifikat godkjennes fordi listene ikke er oppdatert enda, eller at det sjekkes mot feil versjon av listene. Det kan også hende at det ikke er mulig å sjekke mot listene fordi angripere kjører DOS angrep mot serveren hvor de ligger slik at serveren ikke klarere å håndtere innkommende forespørsler. Ved SSL tilkobling har vi også en risiko. Når en bruker er koblet til en motpart via SSL, vises det et ikon i nettleseren som visuelt forteller brukeren at kommunikasjonen nå er kryptert og sikker. Men brukeren blir ikke fortalt hvem han kommuniserer sikkert med. For å finne ut dette må brukeren inn å studere sertifikatene, noe svært få brukere gjør. Selv om man gjør dette er man ikke sikker, sertifikatet kan være lagt inn av en angriper som beskrevet tidligere. 8 Konklusjon PKI tilbyr et omfattende rammeverk for å gjøre digitale transaksjoner sikrere og enklere å gjennomføre. Bruken av PKI kombinert med smart kort er pr i dag den sikreste måten å gjøre forretninger på Internett. Dette gjelder spesielt i en ikke-fornektingssammenheng. Hvis en bruker har bestilt varer via en nettbutikk og digitalt signert ordren, er det ingen mulighet for brukeren å på et senere tidspunkt nekte å betale fordi han hevder han aldri bestilte varene. Digitale signaturer har i flere land blitt juridisk likestilt med konvensjonelle signaturer. Samtidig har de den fordelen at de er mye vanskeligere å forfalske. Dette konseptet høres veldig bra ut, og man kan undres hvorfor flere ikke har tatt i bruk PKI enda. Grunnen til dette er i hovedsak at selv om konseptet er problemfritt er implementasjonen problemfylt. Dagens implementasjoner er simpelthen for avanserte og ustandardiserte til at PKI kan lykkes helt ut. - 17 -

Det PKI kan tilby brukere i dag er signifikant bedre fokus på elektronisk sikkerhet enn de har fra før. Dette er viktig å få med seg, og det kan gjennomføres uten for store anstrengelser. Det er også viktig å merke seg at selv om PKI ikke fikk den eksplosive starten som først antatt, har det hele tiden vært jevn utvikling på området. Flere store selskaper inkludert banker har nå begynt å basere sine systemer på PKI. Etter hvert som tilbudet av elektroniske tjenester øker, vil faren for angrep og svindel øke tilsvarende. Dette er alene grunn nok til å forsikre at PKI vil fortsette utviklingen i lang tid fremover, og etter hvert kanskje bli den utbredte standarden for sikkerhet innen elektroniske standarder som først antatt. Litteraturliste Bøker: Non-repudation in electronic commerce ( Jianying Zhou ) Cryptography for Internet and Database applications (Galbreath ) PKI - A Wiley tech brief ( Tom Austin ) PLanning for PKI ( Housley, Polk ) Public Key Infrastructure, Implementation and Design ( Choudhury ) Internett ressurser: http://www.internetworld.com/magazine.php?inc=120101/12.01.01feature3.html http://security.ittoolbox.com/documents/document.asp?i=3035 http://security.ittoolbox.com/documents/document.asp?i=2538 http://security.ittoolbox.com/documents/document.asp?i=2730 http://security.ittoolbox.com/documents/document.asp?i=2658 http://security.ittoolbox.com/documents/document.asp?i=3034 http://security.ittoolbox.com/documents/document.asp?i=2729-18 -