Etusivu
Sähköinen identiteetti
Sähköinen maksaminen
Kolmas osapuoli ja varmenteet
Sanastoa
Linkit ja tekijät
|
KOLMAS OSAPUOLI JA VARMENTEET
Varmennettaessa julkinen avain oikeaksi
käytetään hyväksi kolmatta osapuolta, joka tunnistaa avaimen haltijan oikeaksi.
Tämä kolmas osapuoli salakirjoittaa avaimen omalla salaisella avaimellaan
merkiksi sen luotettavuudesta. Salakirjoitettua julkista avainta kutsutaan
varmenteeksi, joka näin on yhtä luotettava kuin sen myöntävä taho. Suomessa
varmenne viranomaisena toimii Väestörekisterikeskus. Varmenteet tallennetaan
julkisten avainten kanssa hakemistoihin.
Kolmannen osapuolen ja varmenneviranomaisten määrittely:
|
Julkisen avaimen
infrastruktuuriin liittyvien turvapalvelujen tarjoajia nimitetään luotetuiksi
kolmansiksi osapuoliksi, varmenneviranomaisiksi ja/tai
varmenneorganisaatioiksi. Käsitteistä ei ole olemassa selkeästi yksikäsitteisiä
määritelmiä, vaan käsitteen sisältö määräytyy usein puhujan/kirjoittajan
lähtökohtien ja tarkoitusperien mukaan. Seuraavassa on pyritty kuvaamaan
käsitteiden yleistä sisältöä.
|
Luotettu kolmas osapuoli:
|
Määritelmän mukaan luotettu kolmas osapuoli (Trusted Third Party, TTP)
tarkoittaa turvallisuusviranomaista tai tämän valtuuttamaa tahoa, johon
käyttäjät luottavat ja joka tarjoaa tietoturvallisuuteen liittyviä palveluja.
TTP:n tarjoamat palvelut liittyvät luottamuksellisuuden, eheyden, todentamisen
ja kiistämättömyyden toteuttamiseen. TTP:n avainpalvelut ovat yleensä julkisen
avainten rekisteröintiin, varmentamiseen ja jakeluun liittyviä palveluja, mutta
voivat olla myös salaisten avainten luontiin ja levitykseen (käytettäessä
salaisen avaimen menetelmiä) liittyviä palveluja.
Luotettu kolmas
osapuoli -määritelmää käytetään usein myös yksinkertaisesti tarkoittamaan
jotakin tahoa, johon muut luottavat. Tahon ei tarvitse välttämättä olla
viranomainen tai viranomaisen valtuuttama. TTP:n toiminnan luotettavuus voi
siten perustua viranomaisten valtuutukseen tai johonkin muuhun seikkaan, jonka
vuoksi tahon luotettavuuteen uskotaan. Esimerkiksi mahdollisia TTP-tahoina
voisivat olla pankit, luottolaitokset, kauppiasyhdistykset tai
teleoperaattorit.
TTP on yleiskäsite,
joka pitää sisällään mm. seuraavassa määritellyt varmenneviranomaiset,
varmentajat ja rekisteröijät. Poliittisissa yhteyksissä TTP-termiin saatetaan
automaattisesti liittää kuuluviksi Key Escrow -palvelut. Teknisissä
määritelmissä ja kuvauksissa Key Escrow on vain yksi mahdollinen TTP:n palvelu.
|
Varmenneviranomainen, varmentaja:
|
Varmenneviranomainen
tai varmentaja (Certificate Authority, CA) on ISO/IEC:n määritelmän mukaan
viranomainen, joka luo ja allekirjoittaa varmenteet. CA voi myös olla avainten
luoja. |
Rekisteröijä:
|
Rekisteröijä
(Registration Authority) huolehtii käyttäjien rekisteröinnistä ja avaimen
sitomisesta käyttäjään. Rekisteröijä voi olla sama taho kuin CA tai TTP.
|
Varmenneorganisaatio:
|
Tässä selvityksessä
on pääasiassa käytetty yleiskäsitettä varmenneorganisaatio tarkoittamaan tahoa,
joka jakaa varmenteita sekä tarjoaa muita palveluja. Varmenneorganisaation ei
kuitenkaan tarvitse olla viranomainen tai edes toimia viranomaisen antamin
valtuuksin. Luotettu kolmas osapuoli -käsitettä on haluttu välttää, koska sen
usein ajatellaan sisältävän Key Escrow/Recovery -palveluja.
|
Key Escrow/recovery:
|
Key Escrow (tai Key Recovery) -järjestelmässä valtuutetulle taholla voidaan
joissakin tilanteissa antaa mahdollisuus salatun liikenteen tai aineiston
purkuun. Järjestelmässä yksi tai useampi luotettu osapuoli säilöö salaiset
avaimet tai ns. palautusavaimet (recovery keys), joiden avulla voidaan
määrittää salauksessa ja salauksen purussa käytetty avain.
Escrow-termi tarkoittaa kolmannen osapuolen haltuun uskottua asiakirjaa, joka luovutetaan
jonkin ehdon täyttyessä. Valtuutettu taho, jolle salainen avain luovutetaan,
voi olla esimerkiksi viranomainen, työntekijän työnantaja tai avaimen omistaja
itse.
|
Varmenne menetelmiä:
|
Sirukortissa olevalle mikropiirille tallennetaan salaiset
"avaimet", näiden käyttötarkoitus, niihin liitetyt varmenteet,
varmenteen haltijan nimi, varmenteen sarjanumero, voimassaoloaika ja antaja.
Henkilön tietosuojan turvaamiseksi salaiset
avaimet on tallennettu ainoastaan kortille, eikä niistä jää kopioita
minnekään.
Solon Internetissä palvelussa puolestaan yhteydet salataan selainohjelmien tukemaa SSL-salaustekniikkaa
käyttäen. SSL (Secure Sockets Layer) -yhteyskäytäntö suojaa osapuolten väliset sanomat muuttamista ja
lukemista vastaan. Asiakkaan selainohjelma muodostaa yhteyskohtaiset
salakirjoitusavaimet, jotka välitetään salakirjoitettuna pankille niin, että
vain pankki voi ne avata. Avaimen avulla sanomiin lasketaan tarkistusluku, MAC.
Ulkopuolinen ei voi huomaamatta muuttaa sanomia, koska hän ei voi laskea muuttuneeseen sanomaan
pätevää MACia ilman salakirjoitusavainta. Sanomat myös salakirjoitetaan tällä
avaimella niin, että kukaan ulkopuolinen ei voi lukea niiden sisältöä.
Palvelu ja selain
muodostavat avaimen yhteyden alussa. Sitä vaihdetaan ajoittain yhteyden aikana.
SSL-turvamenettelyyn kuuluu myös palvelimien sertifiointi. Yhteyden
ottaja voi tarkistaa sertifikaatista että yhteys on varmasti pankkiin
napauttamalla hiirellä mm. lukon-kuvaa.
|
Sulkulista:
|
Certallilla, joka on eräs kolmas osapuoli, joka ylläpitää järjestelmää,
jossa julkiset avaimet ja salaiset avaimet ovat, on myös sulkulista,
johon voi ilmoittaa, jos julkinen avain ei enää ole käytössä
vaikkapa katoamisen vuoksi. Esimerkiksi pankkikortti, jossa on siru ja
varmenne, saattaa hukkua sähköisen henkilökortin tai toimikortin mukana.
Tilanne on vakavin silloin, jos myös pin-koodi häviää. Koskinen toteaakin
sulkulistapalvelun olevan mahdollista saada myös ympärivuorokautiseksi eli
on-line –tilaan.
|
|