Έμπιστη Τρίτη Οντότητα

Διομήδης Σπινέλλης
Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας
Οικονομικό Πανεπιστήμιο Αθηνών
dds@aueb.gr

Ο ρόλος της ΕΤΟ

Μια Έμπιστη Τρίτη Οντότητα (Trusted Third Party) (ΕΤΟ (TTP)) αποτελεί την απαραίτητη υποδομή προκειμένου να διασφαλιστεί η αυθεντικότητα, ακεραιότητα και εμπιστευτικότητα των ηλεκτρονικών συναλλαγών που πραγματοποιούνται καθώς και οποιονδήποτε πληροφοριών διακινούνται μεταξύ των οντοτήτων που έχουν πιστοποιηθεί από την ΕΤΟ.

Οντότητες οι οποίες είναι δυνατόν να πιστοποιηθούν από μια ΕΤΟ είναι:

οι χρήστες των υπηρεσιών ενός οργανισμού και
οι υπηρέτες του οργανισμού που παρέχουν τις υπηρεσίες αυτές.

Ο σκοπός μιας ΕΤΟ είναι η υποστήριξη διενέργειας ασφαλών συναλλαγών, μέσω της πιστοποίησης των προαναφερθέντων οντοτήτων. Για την επίτευξη αυτού του σκοπού, η ΕΤΟ ενσωματώνει ειδικές λειτουργίες και υπηρεσίες (πχ. Κατάλογος LDAP) για τη διάθεση και εκμετάλλευση των πληροφοριών πιστοποίησης προς τις ενδιαφερόμενες οντότητες.

Το σχήμα απεικονίζει την υποδομή μιας ΕΤΟ. Ο τελικός χρήστης, μέσω ενός Πελάτη Ιστού (Web client), είναι σε θέση να επικοινωνήσει άμεσα με την Αρχή Πιστοποίησης (certificate authority) (ΑΠ (CA)) προκειμένου να κάνει αίτηση ή να παραλάβει ένα νέο πιστοποιητικό. Αυτό είναι σε θέση να αυθεντικοποιεί το χρήστη σε υπηρέτες Ασφαλούς Ιστού της ΕΤΟ ή άλλων οργανισμών.

Κάθε φορά που ο χρήστης προσπαθεί να επικοινωνήσει με υπηρέτες Ασφαλούς Ιστού προκειμένου να πραγματοποιήσει μια οποιαδήποτε συναλλαγή ή απλώς να λάβει ορισμένες πληροφορίες, το πιστοποιητικό του παρουσιάζεται στους υπηρέτες. Αυτοί είναι σε θέση να εξακριβώσουν την ορθότητα του πιστοποιητικού, να αναγνωρίσουν το χρήστη και να παραχωρήσουν στο χρήστη τα ανάλογα δικαιώματα επί των υπηρεσιών που προσφέρει ο υπηρέτης.

Η εξακρίβωση της ορθότητας του πιστοποιητικού του χρήστη πραγματοποιείται με τον έλεγχο της ψηφιακής υπογραφής που φέρει το πιστοποιητικό, η οποία ανήκει στην Αρχή Πιστοποίησης (CA).

Η παραχώρηση συγκεκριμένων δικαιωμάτων στο χρήστη από τον υπηρέτη Ασφαλούς Ιστού, επί των υπηρεσιών που προσφέρει ο τελευταίος, πραγματοποιείται ύστερα από έλεγχο της ομάδας στην οποία ανήκει ο χρήστης, μέσω των Υπηρεσιών Καταλόγου (Directory Services). Οι υπηρεσίες αυτές μπορούν να χρησιμοποιηθούν και από τον τελικό χρήστη, προκειμένου να εντοπίσει άλλους χρήστες που έχουν πιστοποιηθεί από τη συγκεκριμένη ΕΤΟ, και να επικοινωνήσει μαζί τους.

Λειτουργία της ΕΤΟ

Αρχιτεκτονική της ΕΤΟ

Βασικές υπηρεσίες

Υπηρεσίες Καταλόγου (directory services)
Υπηρέτης Πιστοποιητικών (certificate server)
Υπηρέτες Περιεχομένου.

Αντιμετώπιση απειλών

Παρακολούθηση καναλιών επικοινωνίας
Κλοπή / εικασία διαμοιραζόμενου κλειδιού
Μη εξουσιοδοτημένη τροποποίηση της μεταδιδόμενης πληροφορίας
Προβολή πλαστής ηλεκτρονικής διεύθυνσης
Κλοπή συνθηματικών
Μη εξουσιοδοτημένη πρόσβαση
Παραβίαση του ιδιωτικού κλειδιού

Παρακολούθηση των καναλιών επικοινωνίας

Η επικοινωνία μεταξύ δύο οντοτήτων είναι κρυπτογραφημένη με τη χρήση ενός διαμοιραζόμενου κλειδιού που δημιουργείται με αλγόριθμους οι οποίοι παράγουν κλειδιά με ικανοποιητική τυχαιότητα. Το κλειδί αυτό είναι έγκυρο μόνο για μία περίοδο επικοινωνίας.

Εικασία/Υποκλοπή διαμοιραζόμενου κλειδιού

Η εικασία του διαμοιραζόμενου κλειδιού δεν είναι δυνατή διότι ο αλγόριθμος παραγωγής του είναι ένας κρυπτολογικά ασφαλής αλγόριθμος παραγωγής τυχαίων κλειδιών. Η υποκλοπή του διαμοιραζόμενου κλειδιού δεν είναι δυνατή γιατί αυτό μεταφέρεται από την μία οντότητα στην άλλη, όντας κρυπτογραφημένο με το ιδιωτικό κλειδί της αποστέλουσας οντότητας.

Τροποποίηση της πληροφορίας κατά την μετάδοσή της, χωρίς την αντίστοιχη άδεια

Οι οντότητες που επικοινωνούν χρησιμοποιούν ασφαλείς αλγορίθμους κατακερματισμού για την δημιουργία Κωδικών Αυθεντικοποίησης Μυνήματος (Message Authentication Codes).

"Μεταμφίεση" - Προβολή πλαστής ηλεκτρονικής διεύθυνσης

Το DNS δεν αποτελεί ασφαλές κριτήριο για τον έλεγχο της πηγής μετάδοσης της πληροφορίας. Συμπληρωματικά ως προς αυτό είναι δυνατόν να χρησιμοποιηθούν τα πιστοποιητικά, τα οποία αποτελούν ένα έμπιστο μέσο για τον έλεγχο της πηγής της μετάδοσης της πληροφορίας και για την αυθεντικοποίηση μίας οντότητας σε μία άλλη.

Υποκλοπή συνθηματικού

Συνθηματικά δεν μεταδίδονται ποτέ στο κανάλι επικοινωνίας. Η μόνη περίπτωση στην οποία χρησιμοποιείται συνθηματικό (το οποίο όμως δεν μεταδίδεται στο κανάλι επικοινωνίας) είναι όταν η οντότητα κρυπτογραφήσει το ίδιο το ιδιωτικό της κλειδί (το οποίο βρίσκεται μόνο στο τοπικό υπολογιστικό σύστημα) με την βοήθεια κάποιου αλγορίθμου ιδιωτικού κλειδιού.

Πρόσβαση χωρίς άδεια

Η χορήγηση άδειας πρόσβασης δίδεται σε μία οντότητα αφού αυθεντικοποιηθεί, με βάση το πιστοποιητικό που διαθέτει. Ο έλεγχος για την εγκυρότητα του πιστοποιητικού πραγματοποιείται με τη χρήση των Υπηρεσιών Καταλόγου της Αρχής Πιστοποίησης. Αφού αυθεντικοποιηθεί η οντότητα, της εκχωρούνται τα ανάλογα δικαιώματα, σύμφωνα με μια τοπική Λίστα Ελέγχου Πρόσβασης. Η ΛΕΠ είναι δυνατόν να αποθηκευθεί και στον Κατάλογο, προσφέροντας έτσι κατανεμημένο έλεγχο των χρηστών σε ένα διεσπαρμένο Πληροφοριακό Σύστημα.

Παραβίαση του ιδιωτικού κλειδιού

Μόλις ένα ιδιωτικό κλειδί παραβιασθεί, τα πιστοποιητικά που έχον εκδοθεί και τα οποία περιέχουν το κλειδί αυτό πρέπει να ανακληθούν. Η ανάκληση περιλαμβάνει τον χαρακτηρισμό τους ως "ανακληθέντα" στην περιοχή αποθήκευσης της Αρχής Πιστοποίησης και την διαγραφή τους από την Υπηρεσία Καταλόγου.

Υπηρέτης καταλόγου

Αναζήτηση
Εγγραφή

Υπηρέτης πιστοποιητικών

Αίτηση για:
- Προσωπικό πιστοποιητικό
- Πιστοποιητικό εξυπηρετητή
Αναζήτηση πιστοποιητικού
Αποδοχή της αρχής πιστοποίησης
Παράθεση ανακληθέντων πιστοποιητικών (revoced certificates)

Υπηρέτης ιστού

Παρέχει με ασφάλεια πληροφορίες που σχετίζονται με την ΕΤΟ
Αίτηση ψηφιακού πιστοποιητικού
Συμφωνία συνδρομητή

Λειτουργίες ΕΤΟ

Εγγραφή οντότητας στον Κατάλογο
Επεξεργασία κλειδιών και πιστοποιητικών
- έκδοση/διάθεση
- αποθήκευση/ανάκτηση
Λίστα Ανάκλησης Πιστοποιητικών
Ασφαλής διάθεση πληροφοριών

Κατηγορίες πιστοποιητικών

Σύμφωνα με τη λειτουργικότητα

Τα πιστοποιητικά που εκδίδει μια ΕΤΟ μπορούν να λειτουργήσουν προκειμένου να διασφαλίσουν:

σύναψη ασφαλούς επικοινωνίας και συναλλαγών στον Παγκόσμιο Ιστό
ασφαλή ανταλλαγή ηλεκτρονικού ταχυδρομείου
ασφαλή σύνδεση και αυθεντικοποίηση Εξυπηρετητών Ιστού

Σύμφωνα με τις διαδικασίες έκδοσης

Σύμφωνα με τις διαδικασίες έκδοσης, τα πιστοιποιητικά μπορούν να κατηγοριοποιούνται ως εξής:

Πιστοποιητικά κατηγορίας 1.: Η έκδοση αυτών πραγματοποιείται κατόπιν απλής αίτησης ενός χρήστη μέσω ηλεκτρονικού ταχυδρομείου. Δεν πραγματοποιείται έλεγχος για την επαλήθευση των προσωπικών στοιχείων του χρήστη και για αυτό το λόγο η ΕΤΟ δεν αναλαμβάνει καμία ευθύνη όσον αφορά στην πιστοποίηση της ταυτότητας του χρήστη.
Πιστοποιητικά κατηγορίας 2.: Η αίτηση για αυτά εξυπηρετείται μόνο κατόπιν ελέγχου των προσωπικών στοιχείων του χρήστη. Ο έλεγχος αυτός πραγματοποιείται παρουσία του χρήστη στο χώρο που υποδεικνύει η ΕΤΟ προκειμένου να πιστοποιηθεί η ταυτότητά του με βάση έγκυρα νομικά έγγραφα (π.χ. ταυτότητα).
Πιστοποιητικά κατηγορίας 3.: Τα πιστοποιητικά αυτά απευθύνονται κυρίως σε οργανισμούς, είτε πρόκειται για φυσικά πρόσωπα του οργανισμού είτε για Εξυπηρετητές του οργανισμού για τους οποίους έχει ζητηθεί πιστοποίηση. Η διαδικασία ελέγχου των στοιχείων του προσώπου προς πιστοποίηση είναι αυστηρή και περιλαμβάνει τη φυσική παρουσία ενός (νομικά αποδεδειγμένα) αντιπροσώπου του οργανισμού που αιτεί πιστοποίηση, προκειμένου να προσκομίσει προς εξακρίβωση τα νομικά έγγραφα που πιστοποιούν τα στοιχεία του οργανισμού, τα οποία και θα περιλαμβάνονται στο αιτηθέν πιστοποιητικό.

Εγγραφή οντότητας στον Κατάλογο

Κάθε οντότητα που επιθυμεί να πιστοποιηθεί πρέπει να επικοινωνήσει με την Αρχή Πιστοποίησης (Certification Authority) και να καταθέσει τα στοιχεία της.

Η αίτηση για πιστοποίηση μεταφέρεται στην Αρχή Εγγραφής (Registration Authoriy) η οποία πιστοποιεί το αληθές των στοιχείων της και ειδοποιεί την Αρχή Πιστοποίησης να προχωρήσει στην έκδοση του πιστοποιητικού. Αφού η οντότητα λάβει το πιστοποιητικό, αυτό αποθηκεύεται στην υπηρεσία Καταλόγου που διαθέτει η Αρχή Εγγραφής, μαζί με τα υπόλοιπα στοιχεία της οντότητας.

Εκδοση/Διάθεση πιστοποιητικών

Η ανάθεση κλειδιού σε μία οντότητα είναι η διαδικασία εκείνη μέσω της οποίας ένα ζεύγος δημόσιου/ιδιωτικού κλειδιού συσχετίζεται με μία και μόνο οντότητα. Ο έλεγχος για την μοναδικότητα του κλειδιού πραγματοποιείται με τη χρήση της βάσης δημόσιων κλειδιών, της Αρχής Πιστοποίησης. Η οντότητα φέρει την ευθύνη της δημιουργίας του ζεύγους κλειδιών που θα χρησιμοποιήσει.

Μετά την δημιουργία, το δημόσιο τμήμα του κλειδιού αποστέλλεται στην Αρχή Πιστοποίησης για να ενσωματωθεί σε πιστοποιητικό και έτσι να πιστοποιηθεί η εγκυρότητα αυτού και η συσχέτισή του με τα στοιχεία της οντότητας που υπάρχουν στο πιστοποιητικό. Το ιδιωτικό κλειδί δεν γνωστοποιείται στην Αρχή Πιστοποίησης ή σε οποιαδήποτε άλλη οντότητα, σε καμία περίπτωση.

Η παραπάνω διαδικασία μπορεί να μεταβληθεί και η παραγωγή των κλειδιών να γίνει από την Αρχή Πιστοποίησης. Στην περίπτωση αυτή η αρχή πιστοποίησης αναλαμβάνει συχνά και το ρόλο της διαφύλαξης των κλειδιών (key escrow) για νομικούς, πρακτικούς ή επιχειρηματικούς λόγους.

Τα πιστοποιητικά παράγονται από τις ΕΤΟ και αποθηκεύονται σε μια τοπική βάση δεδομένων. Επίσης, αποστέλλονται στον Εξυπηρετητή Καταλόγου προκειμένου να καταχωρηθούν στην εγγραφή της οντότητας την οποία πιστοποιούν.

Αποθήκευση και ανάκτηση πιστοποιητικών

Μόλις ένα πιστοποιητικό δημιουργηθεί, αποστέλλεται στον νόμιμο κάτοχό του. Η ανάκτηση των πιστοποιητικών, από την Α.Π. ή από τρίτους φορείς που επιθυμούν να ελέγξουν την εγκυρότητα ορισμένων πιστοποιητικών, είναι δυνατή μέσω του Εξυπηρετητή Καταλόγου.

Λίστα ανάκλησης πιστοποιητικών

Η λίστα ανάκλησης πιστοποιητικών (certificate revocation list) ΛΑΠ (CRL) περιέχει πιστοποιητικά τα οποία δεν ισχύουν αν και δεν έχουν λήξει. Στη λίστα περιέχονται πιστοποιητικά τα οποία έχουν ανακληθεί σύμφωνα με κάποια συγκεκριμένη διαδικασία της Αρχής Πιστοποίησης (π.χ. από τον κάτοχό τους ή από την Αρχή Πιστοποίησης).

Τυπικές λειτουργίες της ΛΑΠ είναι οι παρακάτω:

έλεγχος πιστοποιητικού
παράθεση των πιστοποιητικών που περιέχονται
παραλαβή της ΛΑΠ
εισαγωγή νέου πιστοποιητικού στην ΛΑΠ

Δήλωση πρακτικών πιστοποίησης

Η Δήλωση Πρακτικών Πιστοποίησης (Certificate Practice Statement) (ΔΠΠ (CPS)) της ΕΤΟ αναφέρεται σε όλες εκείνες τις διαδικασίες που απαιτούνται για την ασφαλή και αποδοτική έκδοση και διαχείριση πιστοποιητικών που εκδίδονται για όλους τους χρήστες που επιθυμούν υψηλών προδιαγραφών εξασφάλιση των πληροφοριών τους, όταν αυτές μεταδίδονται μέσω δικτύου μετάδοσης δεδομένων.

Επίσης περιγράφει λεπτομερώς την διαδικασία πιστοποίησης ξεκινώντας από την δημιουργία και έναρξη λειτουργίας Αρχής Πιστοποιητικών, τις λειτουργίες που σχετίζονται με τη συντήρηση της αποθήκης εγγραφών της ΑΠ και καταλήγοντας στην υποβολή αίτησης απόκτησης πιστοποιητικού από τους συνδρομητές. Παράλληλα, συχνά περιγράφονται και οι διαδικασίες που απαιτούνται και εφαρμόζονται από την ΕΤΟ για τη διαχείριση και διατήρηση της υποδομής δημοσίου κλειδιού (public key infrastructure) για την υποστήριξη των υπηρεσιών δημόσιας πιστοποίησης.

Οι υπηρεσίες δημόσιας πιστοποίησης εμπερικλείουν την έκδοση, διαχείριση, χρήση, προσωρινή και μόνιμη ακύρωση και επανενεργοποίηση πιστοποιητικών. Η ΔΠΠ της ΕΤΟ είναι ο κεντρικός συντονιστής μιας σειράς από επί μέρους οντότητες που παρουσιάζονται στο παρακάτω σχήμα.

Οι επόμενες παράγραφοι περιγράφουν συνοπτικά τα ενδεικτικά στοιχεία του κάθε τμήματος της ΔΠΠ.

Σχέσεις με άλλες οντότητες και καταλληλότητα αποδοχής

Η λειτουργία 1.1 σχέσεις με άλλες οντότητες και καταλληλότητα αποδοχής αφορά στις σχέσεις με τις άλλες οντότητες και την καταλληλότητα αποδοχής. Στη λειτουργία αυτή περιγράφονται εξής:

Οι τύποι των υποκείμενων Αρχών Πιστοποίησης που μπορούν να ενσωματωθούν στη ν υποδομή δημοσίου κλειδιού της ΕΤΟ καθώς και η σειρά τους στην ιεραρχική δομή της υποδομής.
Οι τύποι των Αρχών Καταχώρησης που πιστοποιούνται από την ΕΤΟ καθώς και η σειρά τους στην ιεραρχική δομή της υποδομής δημοσίου κλειδιού της ΕΤΟ.
Οι τύποι των οντοτήτων που πιστοποιούνται από την ΕΤΟ. Οι οντότητες αυτές αντιστοιχούν στους συνδρομητές ή χρήστες της ΕΤΟ.
Εφαρμογές για τις οποίες είναι κατάλληλη η πολιτική πιστοποιητικών. Επίσης περιγράφονται τυχόν εφαρμογές σε συνδυασμό με τις οποίες δεν πρέπει να εφαρμόζεται η πολιτική πιστοποιητικών.
Πρότυπα τα οποία ακολουθούνται για την λειτουργία της υποδομής, οι διεπαφές που χρησιμοποιούνται για την επικοινωνία χρήστη και υποδομής. Επίσης περιγράφονται τα πρότυπα που εμπεριέχονται στα δεδομένα που δημιουργούνται και διανέμονται μέσω της υποδομής (π.χ. πιστοποιητικά, Λίστες Ακυρωμένων Πιστοποιητικών, προσδιοριστές πολιτικών πιστοποιητικών κ.λ.π).

Μέθοδοι ταυτοποίησης και αυθεντικοποίησης

Η λειτουργία 1.2 μέθοδοι ταυτοποίησης και αυθεντικοποίησης περιγράφει τις διαδικασίες που απαιτούνται για την ακεραιότητα της αντιστοίχησης μεταξύ μιας οντότητας που χρησιμοποιεί το πιστοποιητικό και του ίδιου του πιστοποιητικού.

Διαχείριση κλειδιών

Η λειτουργία 1.3 διαχείριση κλειδιών παρουσιάζει τα μέτρα που λαμβάνονται από την ΕΤΟ για την προστασία των κλειδιών κρυπτογράφησης και άλλων κρίσιμων παραμέτρων ασφαλείας (πχ. η φύλαξη των συνθηματικών που χρησιμοποιούνται για την αυθεντικοποίηση των διαχειριστών της υποδομής με τις λειτουργικές μονάδες που περιέχονται στην υποδομή. Η ασφαλής διαχείριση κλειδιών είναι κριτικής σημασίας για την λειτουργία της ΕΤΟ και εξασφαλίζει ότι τα ιδιωτικά κλειδιά και οι κρίσιμες παράμετροι ασφάλειας προστατεύονται και χρησιμοποιούνται μόνο από εξουσιοδοτημένους χρήστες.

Τα δημόσια κλειδιά των οντοτήτων (ανθρώπων και οργανισμών) οι οποίοι πιστοποιούνται από την ΕΤΟ φυλάσσονται σε κατάλληλα διαμορφωμένη βάση δεδομένων, στους χώρους της ΕΤΟ. Τα κλειδιά αποθηκεύονται στην ενσωματωμένη μορφή τους, μέσα στα Χ.509 πιστοποιητικά.

Τα εκδοθέντα πιστοποιητικά φυλάσσονται επίσης στον Κατάλογο, ο οποίος είναι προσβάσιμος από το κοινό. Η πρόσβαση αυτή παρέχει τη δυνατότητα στις οντότητες που κατέχουν πιστοποιητικά να ελέγξουν την εγκυρότητα του πιστοποιητικού της οντότητας με την οποία συναλλάσσονται.

Συνήθως τα ιδιωτικά κλειδιά των πιστοποιούμεων οντοτήτων δεν γνωστοποιούνται στην ΕΤΟ. Το ζεύγος ιδιωτικού και δημόσιου κλειδιού παράγεται από τον εξοπλισμό Η/Υ της προς πιστοποίηση οντότητας, κατά την πρώτη επικοινωνία της προαναφερθείσας με την υπηρεσία αίτησης πιστοποιητικών της ΕΤΟ. Μετά την παραγωγή του ζεύγους κλειδιών, το δημόσιο κλειδί αποστέλλεται στην ΕΤΟ για να ενσωματωθεί στο αιτηθέν πιστοποιητικό.

Το ιδιωτικό κλειδί παραμένει μόνο στο μέσο δευτερεύουσας αποθήκευσης της οντότητας που πραγματοποίησε την αίτηση πιστοποίησης και δεν γνωστοποιείται ποτέ στην ΕΤΟ ή σε οποιαδήποτε άλλη οντότητα. Αποτελεί ευθύνη της οντότητας που αιτεί πιστοποίηση, η φύλαξη του ιδιωτικού κλειδιού και η διασφάλιση της τήρησης του απορρήτου του. Συνήθως, αν το ιδιωτικό κλειδί αποκαλυφθεί σε οποιαδήποτε άλλη οντότητα, αν απολεσθεί ή αν οι πράξεις του κατόχου του κλειδιού οδηγήσουν με οποιοδήποτε τρόπο στην παραβίαση του κλειδιού από τρίτους, η ΕΤΟ δεν φέρει καμία ευθύνη για τις συνέπειες στις συναλλαγές της πιστοποιηθείσας οντότητας με οποιαδήποτε άλλη οντότητα.

Πολιτική ασφάλειας της υποδομής δημόσιου κλειδιού της ΕΤΟ

Η λειτουργία 1.4 πολιτική ασφάλειας της υποδομής δημόσιου κλειδιού της ΕΤΟ περιγράφει τις διαδικασίες, νόμους και ρυθμίσεις που έχουν τεθεί σε λειτουργία για τη δημιουργία ενός ασφαλούς περιβάλλοντος μέσα στο οποίο λειτουργεί η ΕΤΟ. Παράλληλα περιγράφονται τυχόν πολιτικές ασφάλειας που θα πρέπει να εφαρμόζουν οι υποκείμενες ΑΠ και ΑΚ και οι οντότητες που χρησιμοποιούν τα πιστοποιητικά. Η λειτουργία αυτή είναι πολύ σημαντική να εφαρμόζεται από όλες τις οντότητες που συμμετέχουν στην υποδομή δημοσίου κλειδιού της ΕΤΟ, διότι απουσία ελέγχων ασφάλειας σε οποιαδήποτε οντότητα μπορεί να θέσει σε κίνδυνο όλη την υποδομή.

Πολιτκή ασφάλειας πιστοποιητικών

Η λειτουργία 1.5 πολιτκή ασφάλειας πιστοποιητικών περιγράφει όλους τους ελέγχους ασφάλειας που χρησιμοποιούνται από την ΕΤΟ, έτσι ώστε όλες οι λειτουργίες της ΕΤΟ να διεκπεραιώνονται με ασφαλή τρόπο. Οι λειτουργίες της ΕΤΟ περιλαμβάνουν τη δημιουργία κλειδιών, την αυθεντικοποίηση χρηστών, την καταχώρηση πιστοποιητικών, την ακύρωση πιστοποιητικών, τις διαδικασίες ελέγχου (audit) και αρχειοθέτησης (archive).

Πολιτική λειτουργιών

Η λειτουργία 1.6 Πολιτική λειτουργιών περιγράφει τη συχνότητα με την οποία διενεργούνται διάφοροι έλεγχοι που σχετίζονται με τη σωστή λειτουργία της ΕΤΟ όπως η έκδοση της Λίστας Ακυρωμένων Πιστοποιητικών, ο χρόνος διάρκειας του πιστοποιητικού της ίδιας της ΕΤΟ, τους περιοδικούς ελέγχους ασφάλειας που διενεργούνται για τον έλεγχο ασφάλειας της ΕΤΟ, τους υπεύθυνους για την κατάργηση ενός πιστοποιητικού και κάτω από ποιες προϋποθέσεις μπορεί να γίνει αυτό και άλλα επιπλέον στοιχεία.

Νομικές ρυθμίσεις και προβλέψεις

Η λειτουργία 1.7 νομικές ρυθμίσεις και προβλέψεις περιγράφει την πολιτική αξιοπιστίας και εγγύησης και της προϋποθέσεις ισχύος της εγγύησης. Επιπλέον περιγράφονται οι υποχρεώσεις όλων των οντοτήτων (της ΕΤΟ, άλλων Αρχών Πιστοποίησης, των ΑΚ και των οντοτήτων που χρησιμοποιούν τα πιστοποιητικά). Τέλος, περιγράφεται το θεσμικό πλαίσιο στο οποίο έχει ισχύ το έγγραφο καθώς και οι διαδικασίες επίλυσης τυχόν διαφορών μεταξύ των οντοτήτων που συμμετέχουν στη δημιουργία της υποδομής δημοσίου κλειδιού της ΕΤΟ.

Προφίλ πιστοποιητικών και ΛΑΠ

Η λειτουργία 1.8 προφίλ πιστοποιητικών και ΛΑΠ περιγράφει τις εκδόσεις των πιστοποιητικών και των ΛΑΠ που υποστηρίζονται από την υποδομή της ΕΤΟ. Στην διαδικασία αυτή περιγράφονται οι τιμές των προεκτάσεων των πιστοποιητικών.

Τα πιστοποιητικά που εκδίδονται από την ΕΤΟ ακολουθούν συχνά το πρότυπο Χ509.

Οι Λίστες Ανακληθέντων Πιστοποιητικών που εκδίδονται από την ΕΤΟ είναι συχνά διαθέσιμες τόσο διαμέσου του Καταλόγου όσο και μέσω της γραφικής διεπαφής Ιστού των υπηρεσιών της Αρχής Πιστοποίησης. Οι υπηρεσίες της Αρχής Πιστοποίησης προσφέρουν τις εξής δυνατότητες, σχετικά με την ΛΑΠ :

Ελεγχο της εγκυρότητας ενός συγκεκριμένου πιστοποιητικού,
Ενσωμάτωση της ΛΑΠ στον φυλλομετρητή του ιστού
Απόκτηση της ΛΑΠ, σε δυαδική μορφή, για έλεγχο και επεξεργασία από μια οντότητα που διαθέτει τα ανάλογα μέσα,
Προβολή της ΛΑΠ στην οθόνη του υπολογιστή.

Διαχείριση ΔΠΠ

Τέλος, η λειτουργία 1.9 διαχείριση ΔΠΠ περιγράφει την αρχή που είναι υπεύθυνη για την καταχώρηση, συντήρηση και εφαρμογή των πολιτικών που περιγράφονται στην ΔΠΠ.

Βιβλιογραφία

Sokratis Katsikas, Diomidis Spinellis, John Iliadis, and Bernd Blobel. Using trusted third parties for secure telemedical applications over the WWW: The EUROMED-ETS approach. International Journal of Medical Informatics, 49(1):59-68, March 1998.
Dimitrios Lekkas, Sokratis K. Katsikas, Diomidis D. Spinellis, Pavel Gladychev, and Ahmed Patel. User requirements of trusted third parties in Europe (http://kerkis.math.aegean.gr/~dspin/pubs/conf/1999-WISE-TTP/html/ttp.html). In Simone Fisher-Hübner, Gerald Quirchmayr, and Louise Yngström, editors, User Identification & Privacy Protection: Applications in Public Administration & Electronic Commerce, pages 229-242, Kista, Sweden, June 1999. IFIP WG 8.5 and WS 9.6.
A. Rensburg and B. Solms. A comparison of schemes for certification authorities. In Proceedings of the IFIP SEC'97 International Information Security Conference, pages 222-240. IFIP, Chapman & Hall, 1997.

Περιεχόμενα