Nyilvános kulcsú titkosítás, digitális aláírás akadémiai hálózatokban

Pásztor Miklós

MTA Sztaki/ASZI

<pasztor@sztaki.hu>

Sürgető igény

Manapság az Interneten legtöbbször még mindig olyan módon zajlik a kommunikáció, ahogy a "közönséges" életben elfogadhatatlannak tartanánk:

Technikailag viszonylag egyszerű és régen ismert ezeknek a problémáknak a megoldása. Ez a nyilvános kulcsú titkosítás, mely a digitálisan tárolt illetve továbbított információk:

egyaránt garantálja. A nyilvános kulcsú titkosítás elvét megismerhetjük például itt: http://www.iif.hu/projektek/titk/alairbev.html

Ha hálózati szolgáltatásokra gondolunk, akkor elsősorban az elektronikus levelezés, és a WWW alkalmazások azok, ahol a nyilvános kulcsú titkosításra különösen szükség van. Nyilvánvaló ez a pénzt, vagy érzékeny adatokat érintő esetekben, de a tipikus akadémiai felhasználásoknál is: fontos lehet az adatok pontos, hiteles, esetenként titkos kezelése, pl. kutatási eredmények vagy akár egy egyetemi dolgozat kiirása, beadása, és javítása esetén. Mégis van különbség az akadémiai és az üzleti vagy hivatali igények között, olyasféleképpen, ahogy másképpen kell személyazonosságunkat igazolnunk egy egyetemi könyvtárban vagy egy határátlépőhelyen. Várható, hogy mindkét helyen módunk lesz digitális eszközök alkalmazására, de biztosan más lesz például az azonosító megszerzésekor alkalmazott ellenőrzés szigorúsága. Megjegyzendő, hogy elvben lehetséges, de nem kívánatos, hogy e két helyen ugyanazt a digitális azonosítót használjuk.

Hátráltató tényezők

Annak dacára, hogy a technikai lehetőségek régen adottak, viszonylag lassan terjed a nyilvános kulcsú titkosítás. Ennek egy sor oka van.

Talán a legfontosabb az okok közül, hogy nem állnak rendelkezésre könnyen kezelhető, egymással kompatibilis eszközök. Egy másik, hogy a dolog természete olyan, hogy a felhasználótól nagyobb odafigyelést, a dolog jobb megértését igényli a nyilvános kulcsú titkosítás, mint a legtöbb alkalmazás. De nem csak erről van szó: gyártók üzleti érdekei, érzelmek, politika és jog mind szerepet játszanak, és mindez jelentősen bonyolítja a kérdést. Az Egyesült Államokban törvény szabályozza a nyilvános kulcsú titkosításon alapuló eszközök exportját, és ez gyakorlatilag megtiltja, hogy nem feltörthető titkosítóeszközöket az országból kivigyenek. Ez persze csak hátráltatja, de nem akadályozza meg az ilyen eszközök terjedését. Gyártók és magánemberek polgári mozgalmat indítottak az ellenkező oldalon. Ezzel kapcsolatos Web lap: http://www.privacy.org

Mi történt, mi történik ?

Az Interneten, és különösen akadémiai körökben legjobban elterjedt eszköz a híres PGP (Pretty Good Privacy). A nyilvános kulcsú titkosításra több algoritmus is létezik. A PGP is a leggyakrabban alkalmazott algoritmust, az RSA-t használja. A program 1991 óta szabadon terjeszthető az Interneten. Akadémiai hálózati szervezetek hozták létre a PGP.NET domaint, azzal a céllal, hogy a PGP használatával, terjesztésével kapcsolatos tevékenységet összehangolják. Ennek egyik eszköze, hogy például az ftp.pgp.net domain név több gépet jelent, melyek mind ugyanazt az anyagot tartalmazzák a világ különböző tájain. Így minden felhasználó, a hozzá (hálózati értelemben) közelebb eső helyet használhatja.

Igen fontos, hogy a felhasználók nyilvános kulcsai minél szélesebb körben, minél könnyebben hozzáférhetőek legyenek. Ennek érdekében PGP kulcs szerverek működnek szerte a világon. E szerverek adatbázisaikat egymással automatikusan szinkronban tartják. A felhasználóknak drótposta és web interfész áll rendelkezésre, hogy mások nyilvános kulcsát megtudják, és saját kulcsukat közzétegyék.

Az európai akadémiai hálózatok szervezete, a Terena 1996-ban kibocsátott egy CD-t, amely PGP-vel kapcsolatos anyagokat tartalmaz. Alapul az ftp.pgp.net anyaga szolgált. A PGP disztribúción kívül segédprogramokat, szövegfájlokat, és nyilvános kulcs gyűjteményt találhatunk rajta. A Budapesten rendezett JENC7 konferencián minden résztvevő kapott egy ilyen CD-t.

Semmit sem ér a nyilvános kulcsú titkosítás, ha nem megfelelő nyilvános kulcsot használunk. Ezért a használt kulcs hitelességét ellenőriznünk kell. Ezt természetesen digitális aláírás segítségével tehetjük. PGP felhasználók egymás kulcsát hitelesíthetik digitális aláírásukkal. Ez a PGP bizalmi háló. Más rendszerek a hierachikus hitelesítést támogatják. Ilyenkor egy központi hitelesítő tekintély (Certification Authority, CA), digitális aláírása hitelesít egy kulcsot. Ilyen hitelesítéssel foglalkozó vállalkozás pl. a Verisign , vagy a Four11 .

A Netscape megoldása TCP szinten történő nyilvános kulcsú titkosításra az SSL. Ennek a protokollnak szabadon terjeszthető implementációja az SSLeay. Web szerverek (pl. a Netscape web szerver), SSL protokollt használhatnak a böngészővel folytatott biztonságos kommunikációra. Ennek első lépése, hogy a böngésző azonosítja a web szervert, vagyis meggyőződik arról, hogy valóban azzal kommunikál, akivel gondolja. A szerver saját nyilvános kulcsát hitelesítve prezentálja a böngészőnek. A böngészőben a felhasználó definiálhatja, hogy mely hitelesítő által aláírt nyilvános kulcsot fogadja el. Ha ez a kezdeti üzenetváltás sikeres, akkor a további kommunikáció már titkosított.

Bármilyen interaktív TCP kapcsolat nyilvános kulcsú titkosítására alkalmas az SSH (Secure Shell). Ez a program Finnországból származik, és az Interneten szabványosnak számít. Unixos változata szabadon terjeszthető. Segítségével nem csak szerver, hanem kliens azonosítás is történhet. Könnyen, rugalmasan konfigurálható és használható. Az 1996-os Networkshop konferencián Kadlecsik József tartott róla előadást

Mi várható ?

Annak dacára, hogy pl. az SSL használatára évek óta lehetőség van, a világon a web szerverek igen kis százaléka él a nyilvános kulcsú titkosítás lehetőségével. Még kevésbé használatos a kliens azonosítása. A W3 konzurcium projektet indított nyilvános kulcsú titkosítás web-en történő egységes implementálására. A projektben több gyártó is résztvesz. Egyelőre nem nyilvános, de remélhető, hogy jelentős előrelépést eredményez.

A nyilvános kulcsú titkosítás alkalmazása gyorsan fejlődik. Várható, hogy olyan megoldások születnek, melyek egymással kompatibilisek, és a felhaszálók, szolgáltatók és fejlesztők részére egyaránt szabadságot, és biztonságot nyújtanak.

Mi történik Magyarországon ?

Magyarországon is elérhetők azok a szabadon terjeszthető eszközök, (pl. az SSH, az SSLeay, és az erre épülő Web szerverek, vagy a PGP), amik lehetővé teszik a nyilvános kulcsú titkosítás használatát. Az amerikából származó kereskedelmi termékeknek ezekkel az eszközökkel szemben -az árukon kívül- hátránya, hogy a fent említett exportkorlátozás miatt, csak gyenge, nyilvánvalóan feltörhető kulcsokkal szállíthatók.

A Netlock Kft nyilvános kulcsú titkosítással foglalkozó kereskedelmi vállalkozás. Ezen a konferencián önálló előadásban mutatkoznak be.

A Hungary Networks érdekes, olvasmányos lapokat állított össze PGP-ről, és levelezésben való alkalmazásáról: http://www.hungary.net/pgp

Az NIIF program segíteni akarja a nyilvános kulcsú titkosítás és digitális aláírás elterjedését. A kérdést tárgyaló összefoglaló web lap: http://www.iif.hu/projektek/titk. Létrejött egy levelezési lista azzal a céllel, hogy fórumot nyújtson a kérdés iránt érdeklődőknek. Csatlakozunk az akadémiai hálózatok hasonló törekvéseihez, a PGP.NET domainhez. A világ egymással szinkronban működő, web-en és levelezéssel elérhető PGP kulcs szervereinek egyike az IIF gépén található. A tervek közt szerepel párhuzamosan több kulcs szerver üzemeltetése. Például lenne olyan, amely csak bizonyos kulcsokat, pl. egy CA által közvetlenül, vagy közvetve hitelesített kulcsokat tartalmaz. Folyamatosan készülnek magyar nyelvű anyagok, tervezzük kulcs hitelesítő szolgáltatás beindítását, tanfolyamok szervezését, és folyamatos segítségnyújtást, konzultációt.

Az Internet biztonságos használatának fontos eszköze a nyilvános kulcsú titkosítás, digitális aláírás. Nyilvánvaló, hogy hamarosan a magyarországi felhasználók, és ezen belül a Hungarnet felhasználók számára is mindennapos, természetes dolog lesz, bár e területen a forrongás még nem fejeződött be.