PKI – din sikkerhet i cyberspace

Mange systemer

Det hadde vært fint med ett universalt PKI-system, men som alltid; verden er ikke enkel. Det finnes en lang rekke systemer som konkurrerer og som retter seg inn mot ulike brukergrupper. Noen er innrettet mot privatpersoner og noen mot virksomheter. Noen er tilrettelagt for nettbankbrukere som f. eks BankID, noen benyttes til spill på internett som f. eks. løsningen fra Buypass.

Bl.a. for å sikre samtrafikk mellom forskjellige PKI-løsninger og for å forenkle bruk av tjenestene har staten etablert en sikkerhetsportal. Brukerstedene forholder seg da kun til denne sikkerhetsportalen og slipper å forholde seg til den enkelte PKI-leverandøren. Sikkerhetsportalen vil være vesentlig for innlogging på MinSide når Fornyingsdepartementet åpner denne tjenesten som skal være den enkeltes portal mot det offentlige.

Militær opprinnelse

PKI har sin opprinnelse i militære problemstillinger. Tradisjonell kryptering bruker lik nøkkel til å kryptere melding og til å dekryptere den. Da må man etablere et komplekst system for sikker distribusjon av denne nøkkelen. Løsningen med et nøkkelpar (en privat og en offentlig) gjør at det er bare den private nøkkelen som må holdes hemmelig. Denne løsningen som ble utviklet av tre berømte forskere (Rivest, Shamir og Adelman) gjorde at det ikke lenger var nødvendig å sende over nøkler for å dekryptere informasjonen. De tre startet senere sikkerhetsselskapet RSA Security for å utbre PKI.

Fremtid

Japanske forsker har klart å lagre data i en negl, og her kan man legge PKI-data og nøkler. Et digitalt fingeravtrykk på den motsatte siden altså. Slike digitale ID-er må fornyes med et halvt års mellomrom og det passer godt med veksttakten på neglene.

Hvem er du? Det har du vel et godt svar på, men når du er på nettet, er det ikke like enkelt.

Hvordan skal andre vite at du er nettopp den du gir deg ut for?

Det holder jo ikke bare med ditt gode navn og rykte i en tekstboks. Du trenger en elektronisk legitimasjon. Å skrive under en kontrakt med musa holder ikke.

Du trenger også en form for digitalt bumerke når du skal utføre transaksjoner på nettet; en digital signatur.

Nye muligheter

Når motparten kan være sikker på at du er den du utgir deg for å være og kan stole på din underskrift, åpner det seg et vell av nye muligheter.

Du trenger ikke lenger møte opp på et kontor i egen person for å få tilgang til konfidensielle papirer og for å inngå avtaler.

Når du skal logge deg inn på den kommende MinSide, kan du gjøre det over nettet selv og få tilgang til opplysninger som det offentlige har om deg.

Det ville vært katastrofalt om andre kunne snoke i slike opplysninger.





To nøkler

På samme måte som personer har behov for å få innsyn og gjøre avtaler på nettet, har også virksomheter de samme behovene for å drive effektiv forretningsdrift.

Løsningen er PKI – Public Key Infrastructure. PKI er et system basert på to digitale nøkler (et nøkkelpar). Den ene nøkkelen er bare din og skal aldri sendes noe sted.

Den andre distribueres til dem du samhandler med i såkalte digitale sertifikater. Når disse to stemmer overens, er alt i orden.

Når du skal handle på internett, er PKI en god løsning. Da kan den som handler være sikker på at man er i kontakt med den riktige butikken, og butikken kan være sikker på at man er i kontakt med den riktige kunden.

Kunden kan ha bevis på at informasjonen er riktig og butikken kan ha bevis på at kunden har foretatt bestilling etc. Ved betaling kan kunden være sikker på at kreditkortnummer holdes hemmelig (krypteres). Når det er snakk om nettbank, er slik sikkerhet selve fundamentet for tilgang over nettet.





Din nøkkel

Den private nøkkelen er din alene, og det er bare du som skal kunne bruke den. I praksis er nøkkelen et slags passord i form av en lang streng med enere og nuller.

Det er flere måter å oppbevare private nøkler på. Den kan ligge på et smartkort, i en sikker USB-pinne, på et sikkert nettsted, i operativsystemet eller i nettleseren. Når en tjeneste låses opp, eller et dokument genereres med nøkkelen, har andre en garanti for at det er du og ingen andre som gjør det.

I Norge bruker Buypass, som er et samarbeid mellom Posten og Norsk Tipping, et Smartkort, mens noen banker, i BankID-samarbeidet, bruker et sikkert nettsted. Skandiabanken og en tjeneste i den offentlige Sikkerhetsportalen oppbevarer din private nøkkel i ditt lokale operativsystem eller i nettleseren. Teoretisk er dette en litt dårligere løsning, og vil f. eks. ikke være like bindende som en håndskrevet underskrift.

En annen variant for den private nøkkelen er å ha den på SIM-kortet i mobiltelefonen. Dette kortet er et mini-smartkort og vil være en meget god løsning. Hittil har ingen lansert dette i stor skala.





Den offentlige nøkkelen

I et PKI-system er det behov for en offentlig nøkkel i tillegg til den private, altså et tiltrodd tredjepart begge parter stoler på. Poenget med denne tredjeparten er at nettbutikken, banken eller andre kan verifisere at den signaturen din private nøkkel har laget, er gyldig. Derfor er det ikke så farlig om den offentlige nøkkelen kommer på avveie. Det er den private som må voktes.

Den offentlige nøkkelen pakkes inn i et filformat og kalles ofte et digitalt sertifikat. Den offentlige nøkkelen håndteres av forskjellige institusjoner som har ansvar for å utstede slike nøkler.





Legitimasjon

Det er selvfølgelig ikke hvem som helst som kan utstede elektronisk legitimasjon slik som PKI. Akkurat som politiet kan utstede pass og banken bankkort, må en autorisert myndighet gi deg en elektronisk legitimasjon. Det er regulert i lov om elektronisk signatur hvordan slik legitimasjon skal utleveres, og Post- og teletilsynet er satt til å styre godkjenning og ha tilsyn med dette regelverket. For å ha høy sikkerhet må du møte opp selv hos utsteder, men utsteder kan ha delegert dette til andre slik at f. eks. Norsk Tipping kan utstede PKI.





Signatur

Når du skal inngå en kontrakt, har motparten behov for at du signerer avtalen og at denne signaturen er juridisk bindende for deg som person, eller for virksomheten du representerer. I dag blir en signatur ofte fakset over hvis du ikke kan møte opp eller sende den i posten. En digital signatur fyller det samme behovet som en skriftlig, og du slipper alt ekstraarbeidet forbundet med papirforsendelser og lagring. Den digitale signaturen er et helt unikt digitalt merke som knytter deg til informasjonen. Omtrent som en signatur eller et fingeravtrykk.

Når f. eks. et Word-dokument skal signeres digitalt og sendes over nettet, brukes PKI. Et spesielt program lager et sammendrag av dokumentet og sender det til PKI-programmet som kan ligge i et smartkort. Prosessoren på smartkortet lager en kryptert versjon av sammendraget, og det er dette, sammen med selve Word-dokumentet, som er det signerte dokumentet. Mottakeren kan verifisere signaturen med den offentlige nøkkelen og vet da at det er bare den som har den private nøkkelen som kan ha laget signaturen.





Kryptering

En stor fordel med elektroniske dokumenter er at de lett kan krypteres. Problemet med kryptering er at nøklene som brukes til krypteringen må distribueres på en sikker måte. PKI er et rammeverk for slik nøkkeldistribusjon og det betyr at dokumentene bare kan leses av dem som har de riktige nøklene. Slik kryptering brukes når f.eks en nettleser skal ha sikker forbindelse med en webapplikasjon, eller når avdelingskontorer skal kommunisere sikkert over internett.





Kilde: iFront.no