Certyfikaty – Uwierzytelnianie i niezaprzeczalność w sieci

Opublikowane przez admin w dniu

Nie sposób tematu certyfikatów ograniczyć jedynie do sieci Internet. Gdyby chodziło tylko o sieć, można by założyć, że certyfikaty są niepotrzebne. Jednakże certyfikaty to element łączący nas z życiem w „realu”. Wiadomo, że treści w Internecie są ściśle wirtualne, jednakże ich wpływ na życie codzienne wynika z przyjętej umowy pomiędzy użytkownikami Internetu, a co za tym idzie korzystającymi z publikowanych treści, a oferentami publikującymi treści uznawane za… prawdziwe. Sytuacja tutaj może być po części analogiczna jak z pieniądzem. Swego czasu emitentem pieniądza było Państwo, które winno mieć zabezpieczenie w postaci zdeponowanego kruszcu minerałów/materiałów uznawanych za wartościowe o ich właśnie wartości odpowiadającej wydanym biletom płatniczym, czyli w skrócie banknotom i bilonie, a więc pieniądzom.

Certyfikaty stanowiąc pomost pomiędzy światem wirtualnym, a realnym mają zabezpieczać fakt rzeczywistej wartości nierzeczywistego dobra. W tym celu zostały wprowadzone, a generalnie rzecz ujmując musimy tutaj określić, że certyfikat wystawia zaufana instytucja, a legitymujący się takim certyfikatem może być uznawany za wiarygodnego dzięki prestiżowi tej instytucji. W skrócie można określić, że Jan Kowalski może wystawić Tomaszowi Nowakowi certyfikat bycia dobrym sąsiadem. Wiarygodność tego certyfikatu jest jednak co najwyżej wiarygodnością Jana Kowalskiego w oczach tych, którzy go znają. Dla tych, którzy nie znają Kowalskiego, wystawiony przez niego certyfikat jest wart dokładnie tyle na ile cenią oni osobę, której nigdy nie widzieli, nie poznali i nic o niej nie wiedzą. Podobną sytuację mamy wtedy, gdy w ramach transmisji elektronicznych będziemy się chcieli uwierzytelnić za pomocą tzw. samo-podpisanych certyfikatów (SSC – ang: self-signed certificate)1 o tym będzie jeszcze później.

W systemach elektronicznych istnieje wiele różnych systemów certyfikatów, jednakże najbardziej powszechnymi są systemy oparte na tzw. certyfikacie klucza publicznego, np:

  • PGP (Pretty Good Privacy),
  • SPKI/SDSI (Simple Public Key Infrastructure / Simple Distributed Security Infrastructure)
  • X.509 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List [CRL] Profile)

W naszych rozważaniach oprzemy się o ostatni z nich X.509, który zakłada istnienie instytucji certyfikacji tzw. CA weryfikujących, autoryzujących, wydających oraz walidujących wydane przez siebie certyfikaty wnioskującym o nie podmiotom.

Dla rozszerzenia wiedzy przedstawiam słownik podstawowych pojęć z zakresu certyfikatów.

Jak wyrobić podpis elektroniczny? - Bluserwer.pl

Z uwagi na kwalifikację certyfikatów według uregulowań prawnych można wyróżnić:

Certyfikaty kwalifikowane

Certyfikaty kwalifikowane cechują się istnieniem instytucji pełniącej rolę centrum certyfikacji (CA) zajmującej się wystawianiem i dostarczaniem certyfikatów zgodnych z wymogami ustawy o Podpisie Elektronicznym. Wynika z tego, że owe instytucje dopuszcza i nadzór nad takimi centrami piastuje Minister Gospodarki, prowadząc listę podmiotów, które są uprawnione do wystawiania certyfikatów kwalifikowanych. Wystawione przez te centra certyfikaty umożliwiają nadanie dokumentowi statusu prawnego równoważnego np. z własnoręcznym podpisaniem.

Kwalifikowany certyfikat podpisu elektronicznego

Kwalifikowany podpis elektroniczny służy do cyfrowego podpisywania dokumentów. Wywołuje takie same skutki prawne jak tradycyjny, odręczny podpis.

Certum mini- zestaw

Kwalifikowany certyfikat pieczęci firmowej

Pieczęć Certum to usługa zaufania służąca do pieczętowania dokumentów elektronicznych. Rozwiązanie wykorzystuje kwalifikowany certyfikat pieczęci elektronicznej, który w odróżnieniu od podpisu elektronicznego, nie zawiera danych osoby fizycznej a jedynie dane podmiotu posiadającego osobowość prawną (tj. firmy, organizacji, podmiotu administracji publicznej). Usługa jest zgoda z europejskim rozporządzeniem eIDAS, dzięki czemu dokumenty opieczętowane pieczęcią elektroniczną zachowują pełną moc prawną oraz dowodową, a dzięki rozmiarowi czytnika jest wprost idealny dla osób ceniących korzyści idące z miniaturyzacji urządzeń.

Rozwiązanie wykorzystuje kwalifikowany certyfikat pieczęci elektronicznej, dzięki czemu dokumenty opieczętowane pieczęcią elektroniczną zachowują pełną moc prawną oraz dowodową.

Kwalifikowany certyfikat znacznika czasu

Znacznik czasu, to pewnego rodzaju „etykieta” przypięta do dokumentu elektronicznego lub aplikacji, na podstawie której można bez problemu określić dokładną, wiarygodną datę jego powstania lub sygnowania. Usługa „Znacznik Czasu” jest przydatna w sytuacjach, gdy data odgrywa ważną rolę przy weryfikacji i uwiarygodnianiu różnego rodzaju dokumentów, umów czy certyfikatów.

Kwalifikowany znacznik czasu

Znacznik Czasu znajduje zastosowanie szczególnie w przypadku umów i rozliczeń z partnerami biznesowymi, klientami i instytucjami publicznymi. Czas, którym znakowany jest dokument, nie wynika z czasu systemowego (stacji roboczej lub serwera), lecz pochodzi z niezależnego źródła, jakim jest Zaufana Trzecia Strona.

Dokumenty ze Znacznikiem Czasu (np. faktury czy wnioski) są zabezpieczone przed sfałszowaniem i antydatowaniem. Dzięki temu są w pełni wiarygodne dla wszystkich firm, instytucji, urzędów i klientów indywidualnych.

Kwalifikowany certyfikat PSD2

Zestaw certyfikatów PSD2 umożliwiający dostawcom usług płatniczych spełnienie wymagań i związanego z nimi standardu technicznego wynikającego z dyrektywy PSD2.

Zaufane kwalifikowane certyfikaty PSD2

Certyfikaty zapewniają autentyczność, poufność i integralność komunikacji, a także dostarczają prawnie wiążących dowodów dotyczących transakcji i treści.

W Polsce jedynym dostawcą kwalifikowanego, zaufanego certyfikatu EV QWAC wystawianego przez firmę Microsec (przeglądarka nie będzie wyświetlała błędów w trakcie wyświetlania certyfikatów) jest firma Certum.

Wydawane certyfikaty są zgodne ze standardami PolishAPI.

Co zawiera zestaw certyfikatów zgodnych z PSD2

  • Certyfikat EV QWAC PSD2,
  • kwalifikowany certyfikat zabezpieczenia strony www.
  • Certyfikat kwalifikowanej pieczęci elektronicznej QSEAL PSD2
  • Certyfikaty testowe

Oferowane certyfikaty zawierają dodatkowe, odmienne od standardowych, wpisy w certyfikacie. W certyfikatach możliwe jest wskazanie od 1 do 4 ról posiadacza certyfikatu.

Certyfikat może uzyskać każdy podmiot który otrzymał pozwolenie na świadczenie usług w ramach PSD2.

Czas wydania certyfikatu zależny jest od procesu weryfikacji numeru nadanego przez KNF.

Certyfikaty niekwalifikowane

Upraszczając sprawę, rzec można, że wszystkie poświadczenia certyfikacyjne, które są wystawione przez podmioty nie będące na liście Ministra Gospodarki są certyfikatami niekwalifikowanymi. To samo dotyczy wszystkich wystawianych przez kwalifikowane centra certyfikacji certyfikatów, a nie wymienionych na liście Ministra Gospodarki.

Certyfikaty SSL

Certyfikat SSL (TLS) to protokół bezpieczeństwa poświadczający autentyczność domeny i jej właściciela. Szyfruje i zabezpiecza ruch na stronach internetowych, w tym transmisję poufnych danych, które klienci wprowadzają w serwisie Internetowym. Dzięki certyfikatowi SSL dane osobowe, loginy i hasła, numery kart kredytowych i inne dane klientów są zabezpieczone. Zwiększa to wiarygodność firmy posługującej się certyfikatem i eliminuje zagrożenia związane z wyciekiem chronionych danych.

Certyfikat SSL zabezpiecza dobra osobiste zarówno właściciela serwisu, jak i jego użytkowników. Potwierdza wiarygodność strony WWW oraz domeny, co symbolizowane jest kłódką w oknie przeglądarki oraz prefiksem https poprzedzającym adres internetowy serwisu. Chroni przesyłane drogą elektroniczną dane szyfrując połączenia pomiędzy serwerem i połączonym z nim komputerem (dowolna przeglądarka internetowa). Certyfikaty SSL CERTUM wydawane są zgodnie ze światowymi standardami WebTrust co czyni je zaufanymi w skali globalnej we wszystkich uznanych przeglądarkach internetowych.

Odnosząc się do rodzajów certyfikatów SSL oferowanych poprzez jednego z polskich dostawców można wymienić ich charakterystyczne cechy:

Commercial SSL

CERTUM Commercial SSL to podstawowy certyfikat SSL typu DV (Domain Validation) wydawany przez CERTUM zapewniający weryfikację domeny oraz szyfrowane połączenia do 256 bitów.

CERTUM Commercial SSL jest uznawany przez popularne przeglądarki internetowe a uproszczona procedura zakupu umożliwia instalowanie certyfikatu po dokonaniu płatności i weryfikacji prawa do domeny.

Certum Commercial SSL sprawdzi się, gdy chcesz zabezpieczyć:

  • strony internetowe – portal społecznościowy, blog, mały sklep lub forum internetowe
  • serwer pocztowy lub serwer baz danych
  • serwer SFTP
  • aplikacje typu klient-serwer
  • wymianę danych w sieci Intranet
  • komunikację z Facebook Apps

Korzyści:

  • Możliwość udostępnienia szyfrowanego połączenia i bezpiecznego logowania – ochrona danych
  • Uznanie domeny jako zaufanej w sieci globalnej – Certyfikatu Commercial SSL wydawany jest zgodnie ze kryteriami WebTrustSM/TM
  • Autoryzacje i potwierdzenie przynależności domeny – ochrona dóbr i dbałość o wizerunek
  • Zaufanie klientów, których świadomość w dziedzinie bezpieczeństwa danych osobowych jest coraz większa

Trusted SSL

CERTUM Trusted SSL to certyfikat typu OV (Organization Validation), którego wydanie poprzedzone jest wnikliwą weryfikacją danych zamawiającego. Przeznaczony jest dla instytucji finansowych dbających o reputację, których klienci oczekują najlepszych zabezpieczeń potwierdzonych wysokością gwarancji finansowych.

Dane klienta zawarte w certyfikacie:

  • Nazwa domeny,
  • Nazwa organizacji.

Certum Trusted SSL sprawdzi się, gdy chcesz zabezpieczyć:

  • strony instytucji finansowej lub ubezpieczeniowej
  • strony najwyższych urzędów administracji publicznej (BIP, elektroniczną skrzynkę podawczą, systemu obsługi interesantów)
  • strony przetwarzających dane dotyczące zdrowia pacjentów
  • strony dużego sklepu internetowego (e-commerce)
  • strony dużych korporacji
  • komunikację z usługami ePUAP
  • komunikację z Facebook Apps

Korzyści:

  • Możliwość udostępnienia szyfrowanego połączenia i bezpiecznego logowania – ochrona danych
  • Uznanie domeny jako zaufanej w sieci globalnej – Certyfikat Trusted SSL wydawany jest zgodnie ze kryteriami WebTrustSM/TM
  • Autoryzacje i potwierdzenie przynależności domeny – ochrona dóbr i dbałość o wizerunek
  • Zaufanie klientów, których świadomość w dziedzinie bezpieczeństwa danych osobowych jest coraz większa

Premium EV SSL

Certyfikat CERTUM Premium EV SSL to certyfikat typu EV (Extended Validation) gwarantujący twojej stronie najwyższy poziom zaufania i uwierzytelnienia.

W zależności od używanej przeglądarki internetowej Premium EV SSL charakteryzuje się zielonym paskiem adresu WWW, który w widoczny sposób pokazuje nazwę twojej firmy.

Certyfikat Premium EV SSL jest polecany w następujących obszarach biznesowych:

  • banki i instytucje finansowe
  • sklepy internetowe (e-commerce)
  • serwisy aukcyjne
  • serwisy przetwarzające dużą ilość danych osobowych
  • Serwisy przetwarzające bezpośrednio płatności od klientów
  • strony internetowe administracji publicznej (BIP, elektroniczne skrzynki podawcze, systemy obsługi interesantów)
  • e-zdrowie – serwisy internetowe przetwarzające i udostępniające dane na temat zdrowia pacjentów
  • biznesowe serwisy internetowe i portale korporacyjne
  • serwery pocztowe i serwery baz danych
  • aplikacje typu klient-serwer
  • komunikacja w ramach sieci intranet i ekstranet.

Certyfikaty Code Signing

Code Signing umożliwiają twórcom oprogramowania cyfrowe podpisanie oryginalnego kodu, a odbiorcom zweryfikowanie integralności danych na podstawie cyfrowego podpisu. Eliminują tym samym anonimowość aplikacji publikowanych w Internecie oraz zapewniają użytkownika końcowego, że program nie został zmodyfikowany od momentu jego podpisania przez wydawcę.

Open Source Code Signing

Certyfikat Open Source Code Signing jest przeznaczony dla programistów oraz producentów oprogramowania pracujących w ramach licencji Open Source.

Certyfikat Open Source Code Signing jest przeznaczony dla programistów oraz producentów oprogramowania pracujących w ramach licencji Open Source.

Certyfikat Open Source Code Signing zabezpiecza wiele formatów plików  m.in. o rozszerzeniach .exe, .docm, .pptm, .xpi, .jar, war, .ear, .dll, .ocx, .cab, .msi, .sys files, .cat, .msp, .xpi, ocx, ect.

Cyfrowe podpisywanie:

  • Oprogramowania UNIX/Linux
  • Adobe AIR
  • Rozszerzeń do Firefoxa i Netscape’a
  • Apletów Java
  • Aplikacji internetowych opartych o technologię JAVA
  • Komponentów i kontrolek ActiveX
  • Plików binarnych (.exe)

Standard Code Signing

Certyfikat Standard Code Signing jest zgodny z technologią Java Code Signing oraz Microsoft Authenticode. Jest przeznaczony do cyfrowego podpisywania kodu (w trybie użytkownika lub w trybie jądra oprogramowania /Kernel Mode).

Certyfikat Standard Code Signing  przeznaczony do cyfrowego podpisywania kodu (w trybie użytkownika lub w trybie jądra oprogramowania /Kernel Mode).

Dane podpisane certyfikatem zabezpieczają własność intelektualną twórcy.

Certyfikat Standard  Code Signing zabezpiecza wiele formatów plików  m.in. o rozszerzeniach .exe, .docm, .pptm, .xpi, .jar, war, .ear, .dll, .ocx, .cab, .msi, .sys files, .cat, .msp, .xpi, ocx, ect.

Certyfikat Code Signing Standard jest wspierany przez platformy: Microsoft, Office, Firefox, Adobe, Java ect.

Cyfrowe podpisywanie:

  • Oprogramowania UNIX/Linux
  • Adobe AIR
  • Rozszerzeń do Firefoxa i Netscape’a
  • Apletów Java
  • Aplikacji internetowych opartych o technologię JAVA
  • Komponentów i kontrolek ActiveX
  • Plików binarnych (.exe)
  • Bibliotek systemu operacyjnego Windows

EV Code Signing

Certyfikat EV Code Signing zabezpiecza oprogramowanie przed nieautoryzowaną zmianą lub naruszeniem przez osoby trzecie. Często może się zdarzyć, że software pobrany z sieci web będzie traktowany przez komputer jako złośliwe oprogramowanie. Wynika to z faktu, iż nie posiada on certyfikatu wydanego przez autoryzowany urząd certyfikacji jakim jest CERTUM.

Certyfikat Ev Code Signing spełnia wszystkie wymagania stawiane przez Microsoft

Zabezpieczając oprogramowanie certyfikatem Certum EV Code Signing można ochronić swoje oprogramowanie przed nieuprawnionym dostępem i kradzieżą oraz zminimalizować ryzyko występowania komunikatów ostrzegawczych z SmartScreen ® Application Reputation.

Oprogramowanie zabezpieczone certyfikatem EV Code Signing spowoduje wzrost bezpieczeństwa oraz zaufania klientów a co za tym idzie większą liczbę pobrań oprogramowania.

Certyfikat Ev Code Signing spełnia wszystkie wymagania stawiane przez Microsoft, w tym natychmiastowo eliminuje komunikat ostrzegawczy Microsoft SmartScreen Filter.

Certyfikaty ID

Certyfikat E-mail ID – jest elektronicznym dokumentem tożsamości uwierzytelniającym danego użytkownika w sieci Internet, zawierającym zbiór określonych danych identyfikacyjnych, poświadczonych przez Zaufaną Trzecią Stronę i powiązany z określoną parą kluczy kryptograficznych.

Certyfikat E-mail ID Individual do potwierdzenia autentyczności Twojej tożsamości w sieci

Prowadzenie prywatnej i biznesowej korespondencji elektronicznej jeszcze nigdy nie było tak bezpieczne. Za pomocą E-mail ID potwierdzasz swoją tożsamość w sieci, szyfrujesz wiadomości, zapobiegasz fałszowaniu treści. Jednym słowem – komunikujesz się bezpiecznie i jesteś wiarygodny! Zmień spojrzenie na wirtualną rzeczywistość, zadbaj o swoją prywatność bądź wizerunek firmy.

Certyfikaty samo-podpisane (SSC)

Algorytm kluczy RSA i szyfrowania SSL są kodami otwartymi – dzięki temu każdy może sprawdzić ich działanie, ale także wykorzystać je do stworzenia własnego certyfikatu z pominięciem centrów autoryzacyjnych.

Teoretycznie to niezłe rozwiązanie, ponieważ można skorzystać z szyfrowania w domenie, nie płacąc ani złotówki za certyfikat. Są jednak poważne wady tego rozwiązania.

Wszystkie problemy z certyfikatami samopodpisanymi wynikają z jednej zasadniczej różnicy między nimi, a certyfikatami wydanymi przez CA (centra autoryzacyjne). Nie istnieje bowiem mechanizm pozwalający na automatyczne zweryfikowanie certyfikatu.

Tech notes: Create a Self Signed Certificate in IIS 7

Nawet jeśli jest on prawidłowy i bezbłędnie wdrożony, to użytkownik, który zostanie skierowany na szyfrowaną stronę, zostanie poproszony o ręczne zatwierdzenie certyfikatu.

Część użytkowników od razu opuści stronę (poniekąd to dobre działanie – w razie problemów z certyfikatem w banku zrobiliby to samo, więc jest to tylko reakcja obronna, najskuteczniejsza zresztą z możliwych), a część zostanie zmuszona do ręcznej weryfikacji certyfikatu.

Nie jest to duży problem, ponieważ ilość danych do sprawdzenia jest niewielka, ale i tak jest to duże utrudnienie, co w bardzo istotny sposób obniża komfort użytkownika i użyteczność strony. W dodatku wiele osób zaznaczy akceptację certyfikatu bez jego analizy, co wprawdzie pozwoli na zaszyfrowanie danych, ale z punktu widzenia bezpieczeństwa w sieci wcale zalecane nie jest.

Profil Zaufany (PZ)

Sensu stricte nie jest on certyfikatem, ale jednak znalazł się na tej stronie z uwagi na funkcje jaką pełni. Zgodnie z definicją na gov.pl profil zaufany to:

Profil zaufany to potwierdzony zestaw danych, które jednoznacznie identyfikują jego posiadacza w usługach podmiotów publicznych w internecie. Te dane to imię (imiona), nazwisko, data urodzenia oraz numer PESEL. Profil zaufany jest tak zabezpieczony, aby nikt — poza jego właścicielem — nie mógł go użyć.

Reasumując jest to coś „w rodzaju certyfikatu” umożliwiające obywatelowi kontaktowanie się z organami administracji państwowej tak jakby on sam stanął przy okienku celem załatwienia sprawy. Systemem, który to umożliwia jest Elektroniczna Platforma Usług Administracji Publicznej (ePUAP)

Literatura:

  • Encyclopedia of Cryptography and Security, Editors: van Tilborg, Henk C.A., Jajodia, Sushil (Eds.), 2011, Springer
  • Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, https://tools.ietf.org/html/rfc5280, dostęp 13.01.2021
  • Prawne i praktyczne aspekty podpisu elektronicznego, Holik I., Promotor, Kraków, 2007
  • Podpis elektroniczny w obrocie prawnym, Janowski J., Wolters Kluwer Polska Sp. z o. o., Warszawa, 2009
  • https://www.gov.pl/web/gov/podpisz-dokument-elektronicznie-wykorzystaj-podpis-zaufany, dostęp 13.01.2021
  • Rozporządzenie Ministra Cyfryzacji z dnia 29 czerwca 2020 r. w sprawie profilu zaufanego i podpisu zaufanego, https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20050640565, dostęp 13.01.2021
  • PN-I-02000. Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia. Polski Komitet Normalizacyjny, 2002., 3.3.017.
  • Certum, Certyfikaty bezpieczeństwa, https://www.certum.pl/pl/repozytorium/, dostęp 13.01.2021
  • Typy certyfikatów cyfrowych, IBM, Program Digital Certificate Manager, https://www.ibm.com/support/knowledgecenter/pl/ssw_ibm_i_72/rzahu/rzahutypesofcerts.htm, dostęp 13.01.2021
  • Encyklopedia zarządzania, https://mfiles.pl/, dostęp 13.01.2021
Kategorie: DydaktykaTransakcje Elektroniczne

Podobne wpisy

C#

Zabezpieczone: Polimorfizm

Brak zajawki, ponieważ wpis jest zabezpieczony hasłem.

C#

Zabezpieczone: Klasy i metody abstrakcyjne, interfejsy… i użyteczny mechanizm dziedziczenia

Brak zajawki, ponieważ wpis jest zabezpieczony hasłem.

C#

Zabezpieczone: Podejście obiektowe – Klasy, Obiekty, metody.

Brak zajawki, ponieważ wpis jest zabezpieczony hasłem.