Ψηφιακά Πιστοποιητικά και Έµπιστες Τρίτες Οντότητες

Ψηφιακά Πιστοποιητικά και Έµπιστες Τρίτες Οντότητες Βαγγέλης Φλώρος, BSc, MSc Ε&Κ Πανεπιστήµιο Αθηνών, Τµήµα Πληροφορικής...για τον δαίµονα

Είναι η κρυπτογραφία αρκετή; Τα µαθηµατικά και οι αλγόριθµοι δεν αρκούν από µόνα τους για να ικανοποιηθούν οι τέσσερις απαιτήσεις ασφάλειας Χρειάζεται η συνδυασµένη συνδροµή από Πρωτόκολλα Αρχιτεκτονικές Κανονιστικό Πλαίσιο Πρότυπα 2

Βασικά Προβλήµατα Πως εξασφαλίζω ότι το δηµόσιο κλειδί µιας οντότητας ανήκει όντως στην οντότητα αυτή; Πως εξασφαλίζω ότι το δηµόσιο κλειδί χρησιµοποιείται µόνο από την οντότητα που της ανήκει; Ποια είναι η νοµική ισχύς των συναλλαγών και τι νοµική κάλυψη υπάρχει σε περίπτωση κακής χρήσης η υποκλοπής των κλειδιών, χρησιµοποίησης ευπαθών αλγορίθµων ή µεγεθών κλειδιών; 3

Οντότητα Οτιδήποτε πρέπει να ταυτοποιηθεί σε ένα κανάλι επικοινωνίας: - Φυσικά πρόσωπα - Εταιρείες - ηµόσιες Υπηρεσίες - Υπολογιστές - Συσκευές µε δυνατότητα δικτύωσης - Εφαρµογές - ικτυακές Υπηρεσίες (Web Services, DBMSs κλπ) -... 4

Σύνδεση οντότητας µε δηµόσιο κλειδί Θα πρέπει να υπάρχει µια τρίτη οντότητα η οποία θα επιβεβαιώσει ότι το κλειδί ανήκει σε µια συγκεκριµένη οντότητα. Η επιβεβαίωση γίνεται υπογράφοντας ψηφιακά το δηµόσιο κλειδί της «αντικείµενης» οντότητας µε το ιδιωτικό κλειδί της τρίτης οντότητας. 5

Η Τρίτη Οντότητα και ηµόσιο Κλειδί 6

Επιπλέον χαρακτηριστικά Μαζί µε τοδηµόσιο κλειδί µπορούµε νασυµπεριλάβουµε κατά την υπογραφή και επιπλέον χαρακτηριστικά: - Ονοµατεπώνυµο - Στοιχεία επικοινωνίας (τηλ, διεύθυνση, email, κλπ) - Επάγγελµα (Εταιρεία, θέση κλπ) - Σκοπούς για τους οποίους µπορεί να χρησιµοποιηθεί το δηµόσιο κλειδί - Περιορισµοί χρήσης - Στοιχεία της τρίτης οντότητας που το υπέγραψε - Στοιχεία αλγορίθµων και κλειδιών υπογραφής Βάζοντας τα όλα αυτά µαζί µας δίνουν το... 7

Ψηφιακό Πιστοποιητικό Είναι µια ψηφιακή δοµή αποθηκευµένη σε ένα ηλεκτρονικό µέσο, στα πεδία της οποίας περιέχονται το υπογεγραµµένο κλειδί της οντότητας, για την οποία εκδίδεται, µαζί µε λοιπά χαρακτηριστικά αυτής Αποτελεί την επιβεβαίωση από µια Τρίτη οντότητα της σύνδεσης ενός δηµοσίου κλειδιού µε µια «αντικείµενη» οντότητα. Το ακόλουθο ΗΜΟΣΙΟ ΚΛΕΙ Ι ανήκει στον Γιάννη Παπαδόπουλο gpap@di.uoa.gr Υπογεγραµµένο από SomeCA Ισχύει µέχρι 1η Ιουλίου2004 8

Ανάγκη για «έµπιστες» τρίτες οντότητες Εισάγοντας την έννοια της τρίτης οντότητας µεταθέτουµε το πρόβληµα τηςεµπιστοσύνης σε αυτή Ποιος όµως µπορεί να παίξει το ρόλο της τρίτης οντότητας; Γιατί να εµπιστευτώ το κλειδί της; Ποιος το υπογράφει; Ανάγκη ύπαρξης κοινά αποδεκτών, κεντρικών, Έµπιστων Τρίτων Οντοτήτων (Trusted Third Parties ή TTPs) 9

Αρχές Πιστοποίησης Certification Authorities ή CAs Είναι η έµπιστες τρίτες οντότητες που εκδίδουν ψηφιακά πιστοποιητικά 10

Ποιος µπορεί να είναι CA; Θεωρητικά οποιοσδήποτε µπορεί να εγκαταστήσει ένα απλό CA µε χρήση κατάλληλου Software. Στην πράξη για εµπορικές εφαρµογές υπάρχουν υψηλές απαιτήσεις από πλευράς - Ασφάλειας - Εγκαταστάσεων - Εξοπλισµού - Τεχνογνωσίας - Νοµικής Κάλυψης Υποψήφιοι: Ιδιωτική και Κρατικοί Οργανισµοί 11

Υποδοµή ηµοσίου Κλειδιού Public Key Infrastructure ή PKI ΟόροςPKI αναφέρεται στη υποδοµή (υλικό και λογισµικό) που απαιτείται για την έκδοση, διαχείριση και αξιοποίηση των ψηφιακών πιστοποιητικών Ο CA είναιτοκεντρικόκοµµάτι ενός PKI PKI enabled εφαρµογές : Εφαρµογές που χρησιµοποιούν ψηφιακά πιστοποιητικά για τις λειτουργίες ασφάλειάς τους 12

Κύκλος Ζωής Πιστοποιητικού Έκδοση (Issuance) Λήξη (Expiration) Αναστολή (Suspension) Ανάκληση (Revocation) Ανανέωση (Renewal) Αναδηµιουργία κλειδιού (Rekeying) Ενηµέρωση (Update) 13

Έκδοση Πιστοποιητικού Είναι η διαδικασία υπογραφής του δηµοσίου κλειδιού µιας οντότητας από την Αρχή Πιστοποίησης. Η Αρχή Πιστοποίησης υπογράφοντας το δηµόσιο κλειδί δεσµεύεται ότι η συγκεκριµένη οντότητα είναι κάτοχος το εν λόγο κλειδιού, καθώς επίσης και για την εγκυρότητα όλων των υπολοίπων στοιχείων που συµπεριλαµβάνονται µαζί µε αυτό στο πιστοποιητικό. 14

ιαδικασία Έκδοσης Πιστοποιητικού Οχρήστηςδηµιουργεί ένα ζευγάρι κλειδιών (ιδιωτικό δηµόσιο) ηµιουργεί µια αίτηση έκδοσης η οποία περιέχει τα προσωπικά του στοιχεία και το δηµόσιο κλειδί. Ηαίτησηαποστέλλεται στη CA Η CA παραλαµβάνει την αίτηση, επαληθεύει τα στοιχεία του ατόµου και δηµιουργεί το πιστοποιητικό Το πιστοποιητικό αποστέλλεται στο χρήστη Εναλλακτικά µπορεί όλα τα βήµατα να εκτελεστούν στη CA 15

Έκδοση Πιστοποιητικού Ανοικτά Ζητήµατα Νοµικά ζητήµατα: Αστική Ευθύνη CA, υποχρεώσεις της τελικής οντότητας. Οργανωτικά ζητήµατα: Λειτουργία και Οργάνωση CA Πολιτικές και Πρακτικές Τεχνικά ζητήµατα : Ποιοι αλγόριθµοι; τι µεγέθη κλειδιών; Ποια αποθηκευτικά µέσα Συµπέρασµα: Αυτό που ξεκίνησε αρχικά ως µια έξυπνη µαθηµατική ιδέα αποκτά πολλαπλές διαστάσεις και επιπλοκές 16

Λήξη Πιστοποιητικού Το πιστοποιητικό έχει περιορισµένο χρόνο εφαρµογής - Για λόγους ασφαλείας (Αναθεώρηση αλγορίθµων και µεγεθών κλειδιών) - Ο σκοπός για τον οποίο εκδίδεται µπορεί να έχει περιορισµένη χρονική ισχύ Μετά τη λήξη του πιστοποιητικού το κλειδί δεν µπορεί να χρησιµοποιηθεί για καµία εφαρµογή (ψηφιακή υπογραφή, κρυπτογράφηση, επιβεβαίωση ψηφιακής υπογραφής) 17

Αναστολή Πιστοποιητικού Η Αρχή Πιστοποίησης µπορεί να αναιρέσει προσωρινά την ισχύ ενός πιστοποιητικού: - Υπόνοια ότι το κλειδί χρησιµοποιείται από τρίτους - Υπόνοια ότι το πιστοποιητικό χρησιµοποιείται για άλλο σκοπό από αυτόν για τον οποία έχει εκδοθεί. -... για οποιοδήποτε άλλο συναφή αίτιο Το κλειδί δεν µπορεί να χρησιµοποιηθεί όσο το πιστοποιητικό βρίσκεται υπό αναστολή Αφού διερευνηθούν οι λόγοι αναστολής η CA επανενεργοποιεί την ισχύ του πιστοποιητικού ή το ανακαλεί οριστικά. 18

Ανάκληση Πιστοποιητικού Η Αρχή Πιστοποίησης µπορεί να προβεί στην οριστική ανάκληση ενός πιστοποιητικού που έχει εκδώσει αν συντρέχουν σοβαροί λόγοι: - Το κλειδί του του πιστοποιητικού έχει εκτεθεί και χρησιµοποιείται από τρίτους - Το πιστοποιητικό έχει κλαπεί - Η λειτουργία για την οποία έχει εκδοθεί το πιστοποιητικό δεν ισχύει πλέον -... οποιοδήποτε άλλο σοβαρό λόγο Το κλειδί δεν µπορεί να χρησιµοποιηθεί πλέον για κανένα σκοπό Το πιστοποιητικό συµπεριλαµβάνεται στον Κατάλογο Ανάκλησης Πιστοποιητικών της CA 19

Κατάλογοι Ανάκλησης Πιστοποιητικών Certificate Revocation List ή CRL Περιέχει τα αναγνωριστικά των πιστοποιητικών που έχουν ανακληθεί ή ανασταλεί. Περιέχουν για κάθε πιστοποιητικό την αιτία ανάκλησής του και την ακριβή χρονική στιγµή Οι εφαρµογές που χρησιµοποιούν πιστοποιητικά πρέπει να τις συµβουλεύονται κάθε φορά για να επιβεβαιώνουν την ισχύ του πιστοποιητικού ιανέµονται µέσω του ιαδικτύου 20

Προβλήµατα των CRL (1) Επιβαρύνουν τη διαδικασία επαλήθευσης. Η αναζήτηση της στο ιαδίκτυο µπορεί να είναι χρονοβόρα Ο υπολογιστής από τον οποίον γίνεται ο έλεγχος µπορεί να µην έχει καν σύνδεση στο διαδίκτυο. Εκδίδονται περιοδικά οπότε µπορεί να υπάρχει ένα χρονικό παράθυρο κάποιον ωρών από τι στιγµή ανάκλησης του πιστοποιητικού έως την έκδοση της CRL 21

Προβλήµατα των CRL (2) Οι κατάλογοι τείνουν να γίνονται ογκώδεις µε τοπέρασµα του χρόνου, επιβαρύνοντας ακόµα περισσότερο τη διαδικασία επαλήθευσης. Εναλλακτικές λύσεις υπάρχουν αυξάνοντας όµως την πολυπλοκότητα των εφαρµογών: - Delta CRL Περιέχουν µόνο τα πιστοποιητικά που έχουν ανακληθεί - On line σύστηµα απόκρισηςκατάσταση(ocsp) Επιστρέφει ένα απλό ναι ή όχι στο ερώτηµα αν ένα πιστοποιητικό είναι έγκυρο 22

Ανανέωση Πιστοποιητικού Αποτελεί ουσιαστικά τη διαδικασία έκδοσης ενός νέου πιστοποιητικού. Γίνεται λίγο πριν τη λήξη του προηγούµενου ώστε να υπάρχει οµαλή µετάβαση ιαδικαστικά θα πρέπει να έχει λιγότερες απαιτήσεις από την αρχική έκδοση του πιστοποιητικού καθώς η CA διαθέτει ήδη όλα τα στοιχεία για την οντότητα που πιστοποιεί Γίνεται γέννηση καινούργιων κλειδιών Τα χαρακτηριστικά που περιέχονται µπορεί να µεταβληθούν. 23

Επαναδηµιουργία Κλειδιών (Rekeying) Αποτελεί υπο-περίπτωση ανανέωσης πιστοποιητικού Τα στοιχεία του πιστοποιητικού παραµένουν ίδια αλλά γίνεται παραγωγή καινούργιου ζεύγους κλειδιών και εν συνεχεία υπογραφεί του δηµοσίου κλειδιού. Μπορεί να γίνει πολύ πριν από τη λήξη ενός πιστοποιητικού αν αξιολογηθεί ότι ο αλγόριθµος ή το µήκος κλειδιού που έχει χρησιµοποιηθεί δεν είναι ασφαλής. Στην περίπτωση αυτή η ηµεροµηνία λήξης παραµένει ίδια µε αυτήτουπροηγούµενου πιστοποιητικού 24

Ενηµέρωση Πιστοποιητικού Κατά τη διάρκεια ζωής του πιστοποιητικού κάποια από τα χαρακτηριστικά της υπογεγραµµένης οντότητας να αλλάξουν (π.χ. Email, τηλέφωνο, θέση σε εταιρεία). Η CA µπορείναεπιλέξειναδιατηρήσειτοίδιοκλειδίµε το προηγούµενο πιστοποιητικό απλά να το υπογράψει µαζί µε τα καινούργια χαρακτηριστικά της οντότητας. Η ηµεροµηνία λήξης µπορεί να παραµείνει η ίδια Το νέο πιστοποιητικό µπορεί να χρησιµοποιηθεί για πιστοποίηση υπογραφών που έχουν γίνει µε το προηγούµενο καθώς το κλειδί υπογραφής είναι το ίδιο Γενικά πάντως η πρακτική της ενηµέρωσης αποφεύγεται 25

ήλωση Πρακτικής Πιστοποίησης Certification Practice Statement CPS ηλώνει της πρακτικές που ακολουθεί µια CA για την έκδοση των πιστοποιητικών της Περιλαµβάνει τις νοµικές δεσµεύσεις, τους µηχανισµούς ταυτοποίησης και πιστοποίησης, τις λειτουργικές απαιτήσεις καθώς και την τεχνικά και φυσικά µέτρα ασφάλειας που λαµβάνονται κατά την έκδοση οποιουδήποτε πιστοποιητικού από τη CA εσµευτικό έγγραφο βάσει του οποίου πραγµατοποιούνται εξωτερικοί έλεγχοι 26

Πολιτική Πιστοποιητικού Certificate Policy CP Αποτελείται από το σύνολο των κανόνων που περιγράφουν το πεδίο εφαρµογής ενός πιστοποιητικού Μπορεί να θεωρηθεί ως εγχειρίδιο χρήσης ενός πιστοποιητικού Καθορίζει νοµικές δεσµεύσεις της CA και της τελικής οντότητας Επίσηµο κείµενο µιας CA Υπάρχουν τυποποιηµένες CPs στις οποίες µπορεί να υπακούει και να υλοποιεί 27

Μοντέλα εµπιστοσύνης Μια CA ως οντότητα θα πρέπει και αυτή να διαθέτει ένα πιστοποιητικό µε το υπογεγραµµένο κλειδί της. Ποιος όµως υπογράφει το κλειδί µιας CA; Η µία λύση είναι να υπογράψει η ίδια το δηµόσιο κλειδί της µε το αντίστοιχο ιδιωτικό (self signed αυτοϋπογραφόµενο) Το ακόλουθο ΗΜΟΣΙΟ ΚΛΕΙ Ι ανήκει στην SomeCA Υπογεγραµµένο από SomeCA Ισχύει µέχρι 1η Ιουλίου2008 28

Ιεραρχίες CA Το κλειδί της CA µπορεί να υπογραφεί από µια δεύτερη CA. Με τον τρόπο αυτό η δεύτερη CA τοποθετείται ιεραρχικά πάνω την πρώτη (ενδιάµεση intermediate). Πολλαπλά επίπεδα ιεραρχίας 29

Μονοπάτι Εµπιστοσύνης Είναι το λογικό µονοπάτι που πρέπει να ακολουθηθεί στην ιεραρχία των CAs κατά τη διαδικασία επιβεβαίωσης µια ψηφιακής υπογραφής. C2 Είναι το C2 έγκυρο; C3 CA3 C1 Είναι το C1 έγκυρο; CA2 «Έµπιστη» CA Υπογεγραµµένο Μήνυµα Πιστοποιητικό Υπογραφής Είναι το C έγκυρο; CA1 C user user 30

ια-πιστοποίηση ύο CA µπορεί να επιλέξουν να εγκαθιδρύσουν ένα µονοπάτι εµπιστοσύνης µεταξύ τους υπογράφοντας η µία το πιστοποιητικό της άλλης, ταυτίζοντας τις αντίστοιχες πολιτικές (Policy Mapping) Από τη διαδικασία αυτή προκύπτει ένα ζεύγος πιστοποιητικών που ονοµάζονται δια-πιστοποιητικά (cross-certificates) Unidirectional - Bidirectional C1 C12 C2 CA1 CA2 C21 31

Ιεραρχικό Μοντέλο (Root CA) Στο µοντέλο του Root CA υπάρχει µια αυστηρή ιεραρχία από ΑρχέςΠιστοποίησηςοιοποίεςτυπικάεµφανίζονται ως ένα ανεστραµµένο δέντρο µε τη ρίζα στην κορυφή, τα κλαδιά να εκτείνονται προς τα κάτω και τα φύλλα στο τελευταίο επίπεδο. Στο ανεστραµµένο αυτό δέντρο, η ρίζα αναπαριστά ένα συγκεκριµένο CA που αναφέρεται ως CA Ρίζας (Root-CA), το οποίο λειτουργεί ως ρίζα εµπιστοσύνης για ολόκληρο το τοµέα (domain) των οντοτήτων µιας Υποδοµής ηµόσιου Κλειδιού. Η Root CA αντιπροσωπεύει ένα µοναδικό σηµείο αποτυχίας (single point of failure) και εποµένως θα πρέπει να υλοποιείται και να λειτουργεί κάτω από ένα ελεγχόµενο περιβάλλον υψηλής ασφάλειας. 32

Ιεραρχικό Μοντέλο (σχηµατικά) Root CA CA1 CA2 CA3 33

Πεπλεγµένη ια-πιστοποίηση Κάθε CA ανταλλάσσει δια-πιστοποιητικά µε όλες τις υπόλοιπες CA µε τις οποίες εγκαθιστά µονοπάτι εµπιστοσύνης Ευέλικτο καθώς µπορεί να χρησιµοποιηθεί για την δηµιουργία άµεσων συνδέσεων µεταξύ δύο CAs η οποίες είναι «αποµακρυσµένες» σε ένα κλασικό ιεραρχικό µοντέλο Μπορεί να οδηγήσει σε µια χαοτική εικόνα επιβαρύνοντας τις τελικές οντότητες µε µεγάλο πλήθος πιστοποιητικών και διαπιστοποιητικών 34

Πεπλεγµένη ια-πιστοποίηση (σχηµατικά) CA1 CA2 CA3 35

Κοµβική Αρχή Πιστοποίησης (Hub CA) Κάθε CA ανταλλάσσει δια-πιστοποιητικά µε µία συγκεκριµένη κοµβική αρχή πιστοποίησης Hub-CA αποκλειστικά αφιερωµένη για αυτό το σκοπό. H hub CA δεν αποτελεί µοναδικό σηµείο αποτυχίας όπως η Root CA καθώς πιθανή ακύρωσή της δεν καταστρέφει ολόκληρο το µονοπάτι της εµπιστοσύνης απλά αποκόβει της επιµέρους ιεραρχίες 36

Κοµβική Αρχή Πιστοποίησης (σχηµατικά) CA1 CA2 Hub CA CA3 37

Λίστα Πιστοποιητικών Η απλούστερη µέθοδος Κάθε χρήστης τηρεί µια λίστα µε τα πιστοποιητικά όλων των CAs που εµπιστεύεται. Εναλλακτικά η λίστα µπορεί να είναι υπογεγραµµένη και να διανέµεται από µια κεντρική αρχή η οποία µε τον τρόπο αυτό επιβεβαιώνει ότι οι συµπεριλαµβανόµενοι CAs ικανοποιούν κάποιες δεδοµένες απαιτήσεις ασφαλείας 38

Στην πράξη... Χρησιµοποιείται συνδυασµός δύο ή περισσότερων µοντέλων Λίστα που περιέχει Root CAs µαζί µε ενδιάµεσες CAs ηοποίες µπορεί να είναι cross-certified µεταξύ τους Η περισσότερες εφαρµογές διατηρούν λίστες πιστοποιητικών και υποστηρίζουν επαλήθευση µιας υπογραφής σε αυστηρές ιεραρχίες CAs (όχι mesh ή hub) 39

Υπηρεσίες Πιστοποίησης Εκτός από την Αρχή Πιστοποίησης µπορούµε να διακρίνουµε έναν αριθµό από υπηρεσίες η οποίες προσφέρονται σε µια Υποδοµή ηµοσίου Κλειδιού είτε συνδυασµένα είτε αυτόνοµα: - Καταχώρησης και Ανάκλησης πιστοποιητικών - ηµιουργίας Κλειδιών - Χρονοσήµανσης (Time Stamping) - Υπηρεσίες Καταλόγου - Συµβολαιογραφικές (Notary) - Προσωποποίησης Έξυπνων Καρτών (Smartcard Personalization) - Αποθήκευσης Κλειδιών (Key Archiving) - Ονοµατολογίας 40

Αρχές Καταχώρησης Registration Authority ή RA Αποτελεί το σηµείο επαφής των τελικών οντοτήτων µε την υπηρεσία παροχής πιστοποιητικών µιας CA Μια RA αναλαµβάνει να διεκπεραιώσει το γραφειοκρατικό κοµµάτι της καταχώρησης µιας νέας οντότητας και της έκδοσης πιστοποιητικού για αυτή Μετά την ολοκλήρωση της ταυτοποίησης η RA «υπογράφει» το αίτηµα της οντότητας για έκδοση πιστοποιητικού και το αποστέλλει στη CA Σε µια CA αντιστοιχούν πολλές RAs 41

Υπηρεσία Καταλόγου Directory Service ιατηρεί µια βάση δεδοµένων µε πιστοποιητικά και λίστες ανάκλησης πιστοποιητικών προσφέροντας online πληροφορίες κατάστασης ή και ολόκληρα τα πιστοποιητικά στις τελικές οντότητες. Πρόσβαση µέσω LDAP Web-fronts Μπορεί να συνδυαστεί µε υπηρεσίες On-line απόκρισης (OCSP) Υλοποιεί την έννοια του «Repository» 42

Πάροχος Υπηρεσιών Πιστοποίησης Certification Service Provider ή CSP Αποτελεί τον φορέα που υλοποιεί και παρέχει µια ή περισσότερες υπηρεσίες πιστοποίησης Συνήθως δηλώνει µια CA η οποίαπαρέχεικαιµια ή περισσότερες από τις υπόλοιπες υπηρεσίες. 43

Εφαρµογές Ψηφιακών Πιστοποιητικών Στο χαµηλότερο επίπεδο τα πιστοποιητικά µπορούν να εκτελέσουν µόνο δύο λειτουργίες: κρυπτογράφηση δεδοµένων και ψηφιακή υπογραφή δεδοµένων Σε υψηλότερο επίπεδο αυτές οι δύο λειτουργίες µπορούν να συνδυαστούν µε διάφορους τρόπους για να εξοπλίσουν υπάρχουσες εφαρµογές µε χαρακτηριστικά ασφάλειας 44

Υπογραφή Εγγράφων Υπογραφή και κρυπτογράφηση για ταυτοποίηση του συγγραφέα και εξασφάλιση της εµπιστευτικότητας έσµευση του υπογράφοντος ότι συναινεί µε τα περιεχόµενα του κειµένου ηλεκτρονικά συµβόλαια Προστασία του εγγράφου από µεταβολή των περιεχοµένων του χωρίς τη συναίνεση των συµβαλλοµένων - ακεραιότητα Υποστηρίζεται από υπηρεσίες time-stamping και notary (non-repudiation) 45

Ασφαλές ηλεκτρονικό ταχυδροµείο Κρυπτογράφηση µηνυµάτων µαζί µε ταπεριεχόµενά τους για την εξασφάλιση της εµπιστευτικότητας Υπογραφή του µηνύµατος για την πιστοποιήσει του αποστολέα από τον παραλήπτη S/MIME 46

Ασφαλές ίκτυο Κρυπτογράφηση επικοινωνίας µε χρήσηsession keys και ψηφιακών πιστοποιητικών Κάθε συσκευή διαθέτει το δικό της πιστοποιητικό Virtual Private Networks SSL/TLS 47

Υπογραφή Λογισµικού Οι χρήστες του διαδικτύου έρχονται συχνά αντιµέτωποι µε το ερώτηµα της αποδοχής η όχι της εγκατάστασης µιας εφαρµογής στον υπολογιστή τους: - Applets - Drivers - Plug-ins - Scripts Η υπογραφή του κώδικα από τον κατασκευαστή αυξάνει την εµπιστοσύνη των χρηστών για την ορθότητά του ενώ δεσµεύει τον ίδιο των κατασκευαστή σε περίπτωση πρόκλησης βλάβης 48

Ηλεκτρονικό Εµπόριο Η επιβίωση και ανάπτυξη του ηλεκτρονικού εµπορίου απαιτεί την βελτίωση του επίπεδου εµπιστοσύνης σε αυτό Ασφαλή κανάλια επικοινωνίας Ταυτοποίηση και Πιστοποίηση Μη-άρνηση στις συναλλαγές Ψηφιακές υπογραφές σε νοµικά έγγραφα Εµπιστευτικότητα µεταξύ πελατών και επιχειρήσεων 49

Ηλεκτρονική ιακυβέρνηση ηµόσιες υπηρεσίες εκδίδουν πιστοποιητικά και άλλα έγγραφα µε ισότιµη νοµική ισχύ µε αυτή των αντίστοιχων εντύπων Ψηφιακή υπογραφή από πολίτη για υπηρεσία και το αντίστροφο Εξασφάλιση του απορρήτου των συναλλαγών και της εµπιστευτικότητας της επικοινωνίας πολίτη-κράτους PKI εθνικής εµβέλειας 50

Ανακεφαλαίωση Ψηφιακά Πιστοποιητικά Αρχές Πιστοποίησης Μοντέλα Εµπιστοσύνης Μέσα Αποθήκευσης Πιστοποιητικών Υπηρεσίες Πιστοποίησης Πάροχοι Υπηρεσιών Πιστοποίησης PKI Εφαρµογές 51

Χρήσιµα Links Εµπορικές CAs - Verisign http://www.verisign.com - CyberTrust http://www.cybertrust.com - GlobalSign http://www.globalsign.com - BelSign http://www.belsign.com Εταιρείες µε PKI προϊόντα - Baltimore http://www.baltimore.ie - Entrust http://www.entrust.com - RSA http://www.rsa.com 52

Τέλος