r 06 05 (10)


Rozdział 6

Klucze publiczne

Rozwiązania natychmiastowe [Author ID1: at Wed Oct 4 08:46:00 2000 ]zobacz na stronie

Uaktywnianie klientów domeny

Stosowanie zabezpieczeń systemu Windows 2000 z kluczem publicznym

Ustawianie zabezpieczeń sieci WWW

Zastosowanie uwierzytelniania opartego na kluczach publicznych w programie Internet Explorer

Konfigurowanie programu Microsoft Outlook,[Author ID1: at Wed Oct 4 08:47:00 2000 ] aby korzystać z protokołu Secure Sockets Layer

Konfigurowanie zabezpieczeń poczty elektronicznej opartych na kluczu publicznym

Konfigurowanie zabezpieczeń z zastosowaniem klucza publicznego (PK Security) dla programu Outlook Express

Konfigurowanie programu Outlook do korzystania z zabezpieczeń z kluczem publicznym

Uzyskiwanie współdziałania (interoperability)

W skrócie

Kryptografia z kluczem publicznym (Public Key Cryptography — PKC[Author ID1: at Wed Oct 4 08:52:00 2000 ])

Infrastruktura Klucza Publicznego (Public Key Infrastructure-[Author ID1: at Wed Oct 4 08:51:00 2000 ][Author ID1: at Wed Oct 4 08:51:00 2000 ]PKI) systemu Windows 2000 stanowi zintegrowany zestaw usług i narzędzi administracyjnych do tworzenia, wdrażania i zarządzania aplikacjami opartymi na kluczach publicznych,[Author ID1: at Wed Oct 4 08:51:00 2000 ] stosując kryptografię z kluczem publicznym (p[Author ID1: at Wed Oct 4 08:52:00 2000 ]P[Author ID1: at Wed Oct 4 08:52:00 2000 ]ublic k[Author ID1: at Wed Oct 4 08:52:00 2000 ]K[Author ID1: at Wed Oct 4 08:52:00 2000 ]ey c[Author ID1: at Wed Oct 4 08:52:00 2000 ]C[Author ID1: at Wed Oct 4 08:52:00 2000 ]ryptography — PKC[Author ID1: at Wed Oct 4 08:52:00 2000 ]). [Author ID1: at Wed Oct 4 08:53:00 2000 ]

Algorytmy kryptograficzne służą do tworzenia szyfrogramów (ciphertext) na podstawie danych w postaci tekstu jawnego (plaintext data) i klucza szyfrowania (encryption key). Do odtworzenia danych w postaci zwykłego tekstu z danych zaszyfrowanych stosuje się klucz odszyfrowywania (decryption key). W kryptografii z kluczem symetrycznym (symmetric key cryptography) klucze szyfrowania i odszyfrowywania były identyczne. Strony, które chciały zabezpieczać wymianę danych za pomocą kluczy tajnych (secret keys) w przypadku kryptografii z kluczem symetrycznym (symmetric key cryptography) muszą wymienić się kluczami szyfrowania-odszyfrowywania w sposób bezpieczny i [Author ID1: at Wed Oct 4 08:54:00 2000 ]przed rozpoczęciem wymiany danych zaszyfrowanych.

W przypadku kryptografii z kluczem publicznym (PKC[Author ID1: at Wed Oct 4 08:54:00 2000 ]) klucz szyfrowania (encryption key) [Author ID1: at Wed Oct 4 08:54:00 2000 ]nie jest taki sam,[Author ID1: at Wed Oct 4 08:54:00 2000 ] jak klucz odszyfrowywania (decryption key)[Author ID1: at Wed Oct 4 08:55:00 2000 ]. Do zaszyfrowania za pomocą klucza publicznego służy funkcja jednokierunkowa (one-way function),[Author ID1: at Wed Oct 4 08:55:00 2000 ] zamieniająca dane w postaci tekstu jawnego (plaintext) w szyfrogram (ciphertext). Do odszyfrowania używa się innego klucza, związanego z kluczem szyfrowania, ale nie identycznego. Tak więc każdy z użytkowników posiada parę kluczy: klucz publiczny (public key) i klucz prywatny (private key). Klucz publiczny (public key) [Author ID1: at Wed Oct 4 08:56:00 2000 ]jest ogólnie dostępny, co umożliwia innym wysłanie danemu użytkownikowi danych zaszyfrowanych, które można odszyfrować tylko za pomocą klucza prywatnego tego użytkownika. Podobnie użytkownik [Author ID1: at Wed Oct 4 08:57:00 2000 ]może użyć swojego klucza prywatnego (private key) [Author ID1: at Wed Oct 4 08:57:00 2000 ]do przetworzenia danych w taki sposób, żeby inni mogli sprawdzić, że dane te [Author ID1: at Wed Oct 4 08:57:00 2000 ]pochodzą od tego użytkownika. Ta druga cecha jest podstawą podpisów cyfrowych (digital signatures), co zostało [Author ID1: at Wed Oct 4 08:57:00 2000 ]opisane[Author ID1: at Wed Oct 4 08:57:00 2000 ]o[Author ID1: at Wed Oct 4 08:57:00 2000 ] w dalszej części niniejszego rozdziału.

W kolejnych podrozdziałach przedstawiono[Author ID1: at Wed Oct 4 08:57:00 2000 ]opisano[Author ID0: at Thu Nov 30 00:00:00 1899 ] różne zastosowania kryptografii z kluczem publicznym (PKC[Author ID1: at Wed Oct 4 08:57:00 2000 ] cryptography[Author ID0: at Thu Nov 30 00:00:00 1899 ]). Tak,[Author ID1: at Wed Oct 4 09:03:00 2000 ] jak w poprzednich rozdziałach przyjęto, że użytkownikami są Bonnie i Clyde, którzy mogą wymieniać dane, ale nie mają ustalonego uprzednio klucza tajnego (shared secret).

Podpisy cyfrowe (digital signatures)

Podpisy cyfrowe są oparte na przekształceniach matematycznych, które tworzą kombinację klucza prywatnego (private key) z danymi, które mają zostać opatrzone podpisem cyfrowym, spełniającą poniższe warunki:

Na przykład Clyde może wysłać do Bonnie wiadomość e-mail razem z dołączonym podpisem cyfrowym, dostarczając Bonnie w ten sposób informacji[Author ID1: at Wed Oct 4 09:05:00 2000 ]ę[Author ID1: at Wed Oct 4 09:05:00 2000 ] do zweryfikowania pochodzenia komunikatu i potwierdzając, że zawartość komunikatu nie została naruszona na drodze od źródła do adresata.

Uwierzytelnianie podmiotu (entity authentication)

Uwierzytelnianie podmiotu gwarantuje, że nadawca danych jest tym podmiotem, o którym odbiorca sądzi, że jest nadawcą, np.[Author ID1: at Wed Oct 4 09:06:00 2000 ]. Na przykład[Author ID1: at Wed Oct 4 09:06:00 2000 ] Bonnie otrzymuje dane od Clyde'a,[Author ID1: at Wed Oct 4 09:06:00 2000 ] a następnie wysyła do niego wyzwanie (challenge) zaszyfrowane za pomocą klucza publicznego Clyde'a. Clyde [Author ID1: at Wed Oct 4 09:06:00 2000 ]Ten [Author ID1: at Wed Oct 4 09:06:00 2000 ]dekoduje to wyzwanie (challenge) [Author ID1: at Wed Oct 4 09:06:00 2000 ]i odsyła je do [Author ID1: at Wed Oct 4 09:06:00 2000 ]Bonnie, potwierdzając w ten sposób swój dostęp do klucza prywatnego (private key) związanego z kluczem publicznym (public key), którego Bonnie użyła do wysłania wyzwania (challenge)[Author ID1: at Wed Oct 4 09:07:00 2000 ].

Bonnie może [Author ID1: at Wed Oct 4 09:07:00 2000 ]też może [Author ID1: at Wed Oct 4 09:07:00 2000 ]wysłać do Clyde'a [Author ID1: at Wed Oct 4 09:07:00 2000 ]wyzwanie w postaci tekstu jawnego (plaintext challenge) do Clyde'a[Author ID1: at Wed Oct 4 09:07:00 2000 ]. Clyde tworzy kombinację tego wyzwania (challenge) [Author ID1: at Wed Oct 4 09:07:00 2000 ] [Author ID1: at Wed Oct 4 09:07:00 2000 ]z innymi informacjami opatrzonymi podpisem cyfrowym. Następnie Bonnie stosuje klucz publiczny (public key) Clyde'a do zweryfikowania podpisu i potwierdzenia, że Clyde ma związany z nim klucz prywatny (private key)[Author ID1: at Wed Oct 4 09:07:00 2000 ]. Wyzwanie (challenge) powoduje, że komunikat jest niepowtarzalny i zapobiega atakom metodą powtarzania (reply attacks), których mógłby dokonać ktoś zewnątrz, mający wrogie zamiary, na przykład [Author ID1: at Wed Oct 4 09:08:00 2000 ]p. [Author ID1: at Wed Oct 4 09:08:00 2000 ]Sheriff[Author ID1: at Wed Oct 4 09:09:00 2000 ]Szeryf[Author ID1: at Wed Oct 4 09:09:00 2000 ]. Oba przypadki są określane jako wymiana komunikatów protokołu dowód posiadania (proof-of-posession), ponieważ Clyde potwierdza, że ma dostęp do konkretnego klucza prywatnego (private key)[Author ID1: at Wed Oct 4 09:09:00 2000 ].

Uzgodnienie klucza tajnego (secret key) za pomocą klucza publicznego (public key)

Kryptografia z kluczem publicznym (PKC[Author ID1: at Wed Oct 4 09:09:00 2000 ] cryptography[Author ID1: at Wed Oct 4 09:09:00 2000 ]) pozwala również dwom [Author ID1: at Wed Oct 4 09:12:00 2000 ]dwóm [Author ID1: at Wed Oct 4 09:12:00 2000 ]stronom na uzgodnienie klucza tajnego (shared [Author ID1: at Wed Oct 4 09:11:00 2000 ]secret key[Author ID1: at Wed Oct 4 09:11:00 2000 ]),[Author ID1: at Wed Oct 4 09:11:00 2000 ] korzystając z publicznych, niezabezpieczonych sieci komunikacyjnych. W tym przypadku oboje użytkowników, Bonnie i Clyde, generują liczbę losową, która tworzy połowę klucza tajnego (shared secret key). Clyde szyfruje swoją połowę klucza tajnego (secret) [Author ID1: at Wed Oct 4 09:12:00 2000 ]i wysyła do Bonnie, korzystając z jej klucza publicznego (public key)[Author ID1: at Wed Oct 4 09:12:00 2000 ]. Bonnie wysyła do Clyde'a swoja połowę, również zaszyfrowaną, korzystając z jego klucza publicznego (public key)[Author ID1: at Wed Oct 4 09:13:00 2000 ]. Każda ze stron może następnie odszyfrować komunikat przesłany przez druga stronę, uzyskując połowę klucza tajnego (shared secret) wygenerowanego przez drugą stronę. Po jednokrotnym przeprowadzeniu tej procedury klucz tajny (shared secret) [Author ID1: at Wed Oct 4 09:13:00 2000 ]może być zastosowany do zabezpieczenia łączności.

Wskazówka: Nie wolno przyjąć, że skoro klucz tajny (shared secret key[Author ID1: at Wed Oct 4 09:13:00 2000 ]) jest zabezpieczony,[Author ID1: at Wed Oct 4 09:14:00 2000 ] to pozostanie tajny na zawsze, bowiem nic[Author ID1: at Wed Oct 4 09:15:00 2000 ]. Nic[Author ID1: at Wed Oct 4 09:15:00 2000 ] nie jest wiecznie [Author ID1: at Wed Oct 4 09:15:00 2000 ]pozostaje [Author ID1: at Wed Oct 4 09:15:00 2000 ]bezpieczne na zawsze[Author ID1: at Wed Oct 4 09:15:00 2000 ], np.[Author ID1: at Wed Oct 4 09:15:00 2000 ]. Na przykład[Author ID1: at Wed Oct 4 09:15:00 2000 ] 56-bitowy klucz tajny (shared secret key) we wrogim środowisku może być tajny tylko przez kilka godzin. Należy również pamiętać o tym, że klucze tajne (shared secret keys) są bezpieczne, jeśli dwie i tylko dwie strony znają klucz tajny. Administrator zabezpieczeń (security administrator) musi być czujny i pamiętać, że bezpieczeństwo sieci, którą administruje jest ruchomym celem.

Szyfrowanie danych masowych (bulk data) bez kluczy tajnych (shared secrets)

Kryptografia z kluczem publicznym (PK cryptography) może służyć do szyfrowania danych masowych (bulk data) bez ustanowienia wcześniej klucza tajnego (shared secret). Można to osiągnąć,[Author ID1: at Wed Oct 4 09:20:00 2000 ] wybierając najpierw algorytm szyfrowania z kluczem tajnym (secret key encryption algorithm),[Author ID1: at Wed Oct 4 09:21:00 2000 ] a potem generując losowy klucz sesji (random session key) do szyfrowania danych. Przypuśćmy, że Clyde wysyła komunikat. Najpierw szyfruje klucz sesji (session key) za pomocą klucza publicznego (public key) Bonnie, a następnie wysyła do Bonnie klucz szyfrogramu (ciphertext key) razem z danymi zaszyfrowanymi. Bonnie może za pomocą swojego klucza prywatnego (private key) wyznaczyć klucz sesji,[Author ID1: at Wed Oct 4 09:21:00 2000 ] a potem użyć go do odszyfrowania danych.

Ochrona i określanie zaufania do kluczy kryptograficznych

W przypadku kryptografii z kluczem tajnym (s[Author ID1: at Wed Oct 4 09:21:00 2000 ]S[Author ID1: at Wed Oct 4 09:21:00 2000 ]ecret k[Author ID1: at Wed Oct 4 09:21:00 2000 ]K[Author ID1: at Wed Oct 4 09:21:00 2000 ]ey c[Author ID1: at Wed Oct 4 09:21:00 2000 ]C[Author ID1: at Wed Oct 4 09:21:00 2000 ]ryptography [Author ID1: at Wed Oct 4 09:21:00 2000 ]— SKC[Author ID1: at Wed Oct 4 09:22:00 2000 ]) Bonnie i Clyde mają zaufanie do swojego klucza tajnego (shared secret key), ponieważ komunikaty, w których przesyłają klucz, są zabezpieczone,[Author ID1: at Wed Oct 4 09:22:00 2000 ] a klucz jest przechowywany w sposób bezpieczny, co uniemożliwia dostęp do klucza osobom nieuprawnionym, mającym złe zamiary. Stosując kryptografię z kluczem publicznym (PKC[Author ID1: at Wed Oct 4 09:22:00 2000 ] cryptography[Author ID1: at Wed Oct 4 09:22:00 2000 ]),[Author ID1: at Wed Oct 4 09:22:00 2000 ] Bonnie i Clyde muszą chronić tylko swoje klucze prywatne (private keys[Author ID1: at Wed Oct 4 09:22:00 2000 ]),[Author ID1: at Wed Oct 4 09:23:00 2000 ] a współdzielić [Author ID1: at Wed Oct 4 09:23:00 2000 ]klucze publiczne (public keys), które nie muszą być tajne, jedynie współdzielić[Author ID1: at Wed Oct 4 09:23:00 2000 ]. Zaufanie do związku pomiędzy kluczem publicznym (public key) [Author ID1: at Wed Oct 4 09:23:00 2000 ]a znaną jednostką (entity) ma decydujące znaczenie dla zastosowania kryptografii z kluczem publicznym (PKC[Author ID1: at Wed Oct 4 09:23:00 2000 ] cryptography[Author ID1: at Wed Oct 4 09:23:00 2000 ]).

Bonnie miałaby zaufanie do klucza publicznego Clyde'a,[Author ID1: at Wed Oct 4 09:23:00 2000 ] gdyby Clyde [Author ID1: at Wed Oct 4 09:23:00 2000 ]on [Author ID1: at Wed Oct 4 09:23:00 2000 ]przekazał go [Author ID1: at Wed Oct 4 09:24:00 2000 ]jej ten klucz [Author ID1: at Wed Oct 4 09:24:00 2000 ]bezpośrednio,[Author ID1: at Wed Oct 4 09:24:00 2000 ] w sposób bezpieczny, ale bardziej prawdopodobne jest uzyskanie tego klucza w sposób niezabezpieczony, na przykł[Author ID1: at Wed Oct 4 09:24:00 2000 ]ad [Author ID1: at Wed Oct 4 09:24:00 2000 ]np. [Author ID1: at Wed Oct 4 09:24:00 2000 ]z ogólnodostępnego katalogu. Tak więc konieczne są inne sposoby, aby Bonnie miała pewność, że klucz publiczny (public key)[Author ID1: at Wed Oct 4 09:24:00 2000 ], który otrzymała jest rzeczywiście kluczem publicznym (public key) [Author ID1: at Wed Oct 4 09:24:00 2000 ]należącym do [Author ID1: at Wed Oct 4 09:24:00 2000 ]Clyde'a. Jeden z takich sposobów korzysta z certyfikatów wydanych przez jednostkę certyfikującą (Certificate Authority [Author ID1: at Wed Oct 4 09:24:00 2000 ]-[Author ID1: at Wed Oct 4 09:24:00 2000 ][Author ID1: at Wed Oct 4 09:24:00 2000 ]CA). Certyfikaty i jednostki certyfikujące (CA) opisano szczegółowo w rozdziale 7.[Author ID1: at Wed Oct 4 09:25:00 2000 ], a w niniejszym rozdziale [Author ID0: at Thu Nov 30 00:00:00 1899 ]omówiono je krótko,[Author ID1: at Wed Oct 4 09:25:00 2000 ] aby umożliwić wyjaśnienie pojęcia klucz publiczny (public key).

Certyfikaty

Certyfikaty stanowią sposób ustanowienia zaufania do relacji pomiędzy kluczem publicznym (public key) i właścicielem odpowiadającego mu klucza prywatnego (private key). Certyfikat jest oświadczeniem podpisanym cyfrowo, dotyczącym konkretnego przedmiotowego klucza publicznego (subject public key). Jego wystawca, posiadający inną parę kluczy prywatnych i publicznych, podpisuje certyfikat. Zwykle [Author ID1: at Wed Oct 4 09:25:00 2000 ]Na ogół [Author ID1: at Wed Oct 4 09:25:00 2000 ]certyfikat zawiera także inne informacje związane z przedmiotowym kluczem publicznym,[Author ID1: at Wed Oct 4 09:26:00 2000 ] (subject public key) [Author ID1: at Wed Oct 4 09:26:00 2000 ]takie jak informacje o tożsamości podmiotu, który ma dostęp do właściwego klucza prywatnego (private key)[Author ID1: at Wed Oct 4 09:26:00 2000 ]. W ten sposób wystawca certyfikatu świadczy o ważności związku pomiędzy przedmiotowym kluczem publicznym (subject public k[Author ID1: at Wed Oct 4 09:26:00 2000 ]ey) [Author ID1: at Wed Oct 4 09:26:00 2000 ]a informacjami o tożsamości podmiotu certyfikowanego (subject identity information).

Infrastruktura Klucza Publicznego (Public Key I[Author ID1: at Wed Oct 4 09:26:00 2000 ]nfrastucture[Author ID1: at Wed Oct 4 09:27:00 2000 ][Author ID1: at Wed Oct 4 09:26:00 2000 ]PKI) w systemie Windows 2000 korzysta z certyfikatów opartych na standardzie ITU-[Author ID0: at Thu Nov 30 00:00:00 1899 ]-[Author ID1: at Wed Oct 4 09:28:00 2000 ]T X.509, który jest obecnie najczęściej spotykaną formą certyfikatów. Jednak X.509 nie jest jedyną postacią certyfikatu, np.[Author ID1: at Wed Oct 4 09:28:00 2000 ]. Na przykład[Author ID1: at Wed Oct 4 09:28:00 2000 ] pakiet Pretty Good Privacy (PGP) korzysta ze specjalnej postaci certyfikatów.

Wskazówka: Informacje na temat standardu Infrastruktury Klucza Publicznego (PKI) X.509 zawiera dokument RFC 2459m, który można znaleźć na stronie www.ietf.org/rfc/rfc2459.txt. Strona główna PGP znajduje się pod adresem www.pgpi.org.

Jednostki certyfikujące (Certificate Authorities)

Jednostka certyfikująca (CA) jest to osoba lub usługa wydająca certyfikaty i działająca jako poręczyciel związku pomiędzy przedmiotowym kluczem publicznym (subject public key) a informacją o tożsamości podmiotu certyfikowanego (subject identity information), który został [Author ID1: at Wed Oct 4 09:29:00 2000 ]zawartymi[Author ID1: at Wed Oct 4 09:29:00 2000 ] w certyfikacie wydanym przez daną jednostkę certyfikującą (CA)[Author ID1: at Wed Oct 4 09:29:00 2000 ]. Różne jednostki certyfikujące (CAs[Author ID1: at Wed Oct 4 09:29:00 2000 ]) mogą weryfikować taki związek za pomocą różnych środków i przed obdarzeniem zaufaniem danej jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 09:30:00 2000 ], która ma poręczyć za klucze publiczne (public keys), konieczne jest zrozumienie zasad i procedur tej jednostki (authority's policies). Jednostką certyfikującą (CA) może zostać system Windows 2000 Serv[Author ID1: at Wed Oct 4 09:30:00 2000 ]w[Author ID0: at Thu Nov 30 00:00:00 1899 ]er,[Author ID1: at Wed Oct 4 09:30:00 2000 ] jak również serwer Microsoft Exchange. Można również [Author ID1: at Wed Oct 4 09:30:00 2000 ]także [Author ID1: at Wed Oct 4 09:30:00 2000 ]skorzystać z komercyjnych jednostek certyfikujących (commercial CA), takich jak VeriSign (www.verisign.com).

Zaufanie i sprawdzanie poprawności (validation)

Po otrzymaniu podpisanego komunikatu Bonnie musi być w stanie [Author ID1: at Wed Oct 4 09:31:00 2000 ]podjąć decyzję, czy zaufać (trust), że dany podpis jest ważny i został złożony, przez tego, kto tak twierdzi. Bonnie może za pomocą znanego klucza publicznego (public key) potwierdzić, że podpis jest matematycznie poprawny. Jednak nadal najpierw [Author ID1: at Wed Oct 4 09:31:00 2000 ]musi ona najpierw [Author ID1: at Wed Oct 4 09:31:00 2000 ]określić, czy klucz publiczny (public key) [Author ID1: at Wed Oct 4 09:31:00 2000 ]użyty do zweryfikowania podpisu należy do jednostki, która twierdzi, że złożyła dany podpis. Jeśli Bonnie nie ma pełnego zaufania, że dany klucz publiczny (public key) [Author ID1: at Wed Oct 4 09:31:00 2000 ]należy do Clyde'a,[Author ID1: at Wed Oct 4 09:31:00 2000 ] musi uzyskać niezbite [Author ID1: at Wed Oct 4 09:31:00 2000 ]niepodważalne [Author ID1: at Wed Oct 4 09:31:00 2000 ]dowody, świadczące o tym, kto jest właścicielem klucza.

Jeśli Bonnie może zlokalizować certyfikat dla klucza publicznego Clyde'a, wydany przez jednostkę certyfikującą (CA), do której ma zaufanie, to [Author ID1: at Wed Oct 4 09:32:00 2000 ]może z kolei zaufać, że klucz publiczny (public key) [Author ID1: at Wed Oct 4 09:32:00 2000 ]Clyde'a naprawdę do niego [Author ID1: at Wed Oct 4 09:33:00 2000 ]należy do Clyde'a[Author ID1: at Wed Oct 4 09:33:00 2000 ]. Bonnie może ufać, że naprawdę posiada klucz publiczny (public key) Clyde'a jeśli znajdzie certyfikat, który ma następujące właściwości:

Przyjmując, że Bonnie znajduje taki certyfikat dla klucza publicznego (public key) Clyde'a, może następnie potwierdzić jego autentyczność za pomocą klucza publicznego (public key) [Author ID1: at Wed Oct 4 09:34:00 2000 ]jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 09:34:00 2000 ], która wydała dany certyfikat. Skąd jednak Bonnie wie, że ten klucz publiczny naprawdę należy [Author ID1: at Wed Oct 4 09:35:00 2000 ]do danej jednostki certyfikującej (CA)? Bonnie musi teraz znaleźć certyfikat poręczający tożsamość jednostki certyfikującej (CA) i związek pomiędzy daną jednostką certyfikująca (CA) i[Author ID1: at Wed Oct 4 09:35:00 2000 ]a[Author ID1: at Wed Oct 4 09:35:00 2000 ] kluczem publicznym tej jednostki.

Ostatecznie Bonnie tworzy łańcuch certyfikatów (certificates[Author ID1: at Wed Oct 4 09:35:00 2000 ] chain) prowadzący od Clyde'a i jego klucza publicznego (public key), poprzez szereg jednostek certyfikujących (CA) i kończący się na certyfikacie wydanym temu, komu Bonnie ufa bez zastrzeżeń. Taki certyfikat nosi nazwę zaufany[Author ID1: at Wed Oct 4 09:35:00 2000 ]ego[Author ID1: at Wed Oct 4 09:35:00 2000 ] certyfikatu[Author ID1: at Wed Oct 4 09:35:00 2000 ] głównego[Author ID1: at Wed Oct 4 09:35:00 2000 ]y[Author ID1: at Wed Oct 4 09:35:00 2000 ] (trusted root certificate), ponieważ tworzy on część główną (root) hierarchii kluczy publicznych powiązań tożsamości (identity bindings), które Bonnie przyjmuje jako autentyczne. Kiedy Bonnie bez zastrzeżeń obdarzy zaufaniem konkretny zaufany certyfikat główny (trusted root certificate), obdarzy[Author ID1: at Wed Oct 4 09:37:00 2000 ]a[Author ID1: at Wed Oct 4 09:37:00 2000 ] również zaufaniem wszystkie certyfikaty wydane przez dany zaufany certyfikat główny,[Author ID1: at Wed Oct 4 09:37:00 2000 ] (trusted root) [Author ID1: at Wed Oct 4 09:37:00 2000 ]jak również wszystkie certyfikaty wydane przez dowolną podrzędną jednostkę certyfikującą (subordinate CA) poświadczoną przez dany zaufany certyfikat główny (trusted root)[Author ID1: at Wed Oct 4 09:37:00 2000 ].

Zestaw zaufanych certyfikatów głównych (trusted root certificates), którym Bonnie ufa bez zastrzeżeń jest jedyną informacją, którą musi zdobyć w sposób bezpieczny. Ten zestaw certyfikatów (certificates[Author ID1: at Wed Oct 4 09:38:00 2000 ] set) zabezpiecza system relacji zaufania (trust system) Bonnie i jej zaufanie [Author ID1: at Wed Oct 4 09:37:00 2000 ]ufność [Author ID1: at Wed Oct 4 09:37:00 2000 ]do Infrastruktury Klucza Publicznego (PKI).

Składniki Infrastruktury Klucza Publicznego (PKI) systemu Windows 2000

Rysunek 6.1 przedstawia składniki tworzące Infrastrukturę Klucza Publicznego (PKI) systemu Windows 2000. Należy zwrócić uwagę, że jest to schemat logiczny — niektóre z tych składników mogą być uruchomione na tym samym komputerze. Usługi Certyfikatów firmy Microsoft (Microsoft Certificate Services) pozwalają użytkownikowi na wybranie jednej lub kilku jednostek certyfikujących (Ceritificate Authorities [Author ID1: at Wed Oct 4 09:38:00 2000 ]-[Author ID1: at Wed Oct 4 09:38:00 2000 ][Author ID1: at Wed Oct 4 09:38:00 2000 ]CAs[Author ID1: at Wed Oct 4 09:38:00 2000 ]). Jednostki certyfikujące (Certificate Authorities) [Author ID1: at Wed Oct 4 09:38:00 2000 ]te [Author ID1: at Wed Oct 4 09:38:00 2000 ]są zintegrowane z usługami katalogowymi Active Directory, które dostarczają informacji[Author ID1: at Wed Oct 4 09:39:00 2000 ]e[Author ID1: at Wed Oct 4 09:39:00 2000 ] o lokalizacji i zasady (policy) jednostki certyfikującej (CA) [Author ID1: at Wed Oct 4 09:39:00 2000 ]oraz umożliwiają publikowanie certyfikatów i informacji o odwołaniu (revocation information).

Infrastruktura Klucza Publicznego (PKI) nie zastępuje mechanizmów ustanawiania relacji zaufania i autoryzacji w oparciu o kontroler domeny (DC) i Centrum Dystrybucji Kluczy (Key [Author ID1: at Wed Oct 4 09:39:00 2000 ]Distribution [Author ID1: at Wed Oct 4 09:39:00 2000 ]Center[Author ID1: at Wed Oct 4 09:39:00 2000 ]) protokołu Kerberos. Infrastruktura Klucza Publicznego (PKI) [Author ID1: at Wed Oct 4 09:39:00 2000 ]współpracuje z tymi usługami,[Author ID1: at Wed Oct 4 09:39:00 2000 ] stanowiąc ich rozszerzenie, które umożliwia aplikacjom sprostanie wymaganiom dotyczącym korzystania z nich przez Internet i ekstranet. W szczególności Infrastruktura Klucza Publicznego (PKI) [Author ID1: at Wed Oct 4 09:40:00 2000 ]zaspokaja zapotrzebowanie na rozproszone, skalowalne identyfikowanie,[Author ID1: at Wed Oct 4 09:40:00 2000 ] uwierzytelnianie, integralność i prywatność.

[Author ID1: at Wed Oct 4 09:40:00 2000 ]

0x01 graphic

Rysunek 6.1.[Author ID1: at Wed Oct 4 09:41:00 2000 ] Infrastruktura Klucza Publicznego (PKI) systemu Windows 2000.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Tworzenie, wdrażanie i zarządzanie aplikacjami korzystającymi z kluczy publicznych (PK-based applications) odbywa się na stacjach roboczych i serwerach pracujących pod kontrolą systemu Windows 2000 i Windows NT 4 oraz na stacjach roboczych pracujących pod kontrola systemu Windows 95 i Windows 98. Na rysunku 6.2 przedstawiono przegląd tych usług. Interfejs CryptoAPI Microsoftu zapewnia standardowy interfejs funkcji kryptograficznych u[Author ID1: at Wed Oct 4 09:42:00 2000 ]U[Author ID1: at Wed Oct 4 09:42:00 2000 ]sługodawców usług kryptograficznych (Cryptographic Service Providers [Author ID1: at Wed Oct 4 09:42:00 2000 ]-[Author ID1: at Wed Oct 4 09:42:00 2000 ][Author ID1: at Wed Oct 4 09:42:00 2000 ]CSPs),[Author ID1: at Wed Oct 4 09:43:00 2000 ] programowych lub opartych na urządzeniach kryptograficznych. Niektórzy usługodawcy usług kryptograficznych (CSP), dostarczonych wraz z systemem Windows 2000 korzystają z infrastruktury kart elektronicznych zgodnej ze standardem Personal Computer/Smart Card (PC/SC) Microsoftu..[Author ID1: at Wed Oct 4 09:43:00 2000 ] Karty elektroniczne (smart cards) opisano w rozdziale 9.

0x01 graphic

Rysunek 6.2.[Author ID1: at Wed Oct 4 09:45:00 2000 ] Usługi aplikacji klucza publicznego.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Częścią interfejsu CryptoAPI jest zestaw usług do zarządzania certyfikatami w standardzie X.509 wersja [Author ID0: at Thu Nov 30 00:00:00 1899 ]v[Author ID1: at Wed Oct 4 09:46:00 2000 ]3.[Author ID1: at Wed Oct 4 09:47:00 2000 ] i [Author ID1: at Wed Oct 4 09:47:00 2000 ]U[Author ID1: at Wed Oct 4 09:47:00 2000 ]u[Author ID1: at Wed Oct 4 09:47:00 2000 ]możliwiają one [Author ID1: at Wed Oct 4 09:47:00 2000 ]obsługę magazynu trwałego (persistent storage), usługi wyliczeniowe (enumeration services) i dekodowanie (decoding). Usługi, które zawiera Infrastruktura Klucza Publicznego (PKI),[Author ID1: at Wed Oct 4 09:47:00 2000 ] zajmują się formatami komunikatów zgodnymi ze standardami Kryptografii z [Author ID1: at Wed Oct 4 09:48:00 2000 ]Kluczem [Author ID1: at Wed Oct 4 09:48:00 2000 ]Publicznym[Author ID1: at Wed Oct 4 09:48:00 2000 ]PKCS[Author ID1: at Wed Oct 4 09:48:00 2000 ] (Public Key Cryptography Standards — PKCS[Author ID1: at Wed Oct 4 09:48:00 2000 ]) oraz zmieniającym się projektem standardów PKIX (Public Key Infrastructure X.509) grupy Internet Engineering Task Force (IETF).

Uwaga: Więcej informacji na temat standardów PKCS można znaleźć pod adresem www.rsasecurity.com/rsalabs/pkcs.

Inne usługi korzystają z interfejsu CryptoAPI do udostępnienia programistom funkcji dodatkowych. Kanał bezpieczny (S[Author ID1: at Wed Oct 4 09:49:00 2000 ]s[Author ID1: at Wed Oct 4 09:49:00 2000 ]ecure C[Author ID1: at Wed Oct 4 09:49:00 2000 ]c[Author ID1: at Wed Oct 4 09:49:00 2000 ]hannel) obsługuje uwierzytelnianie i szyfrowanie sieciowe za pomocą protokołów standardowych ([Author ID1: at Wed Oct 4 09:49:00 2000 ]Transport Layer Security [Author ID1: at Wed Oct 4 09:49:00 2000 ]([Author ID0: at Thu Nov 30 00:00:00 1899 ]TLS)[Author ID0: at Thu Nov 30 00:00:00 1899 ] i Secure Sockets Layer [Author ID1: at Wed Oct 4 09:49:00 2000 ]([Author ID0: at Thu Nov 30 00:00:00 1899 ]SSL). Dostęp do tych protokołów można uzyskać za pomocą interfejsu WinInet. Z wymienionych wyżej protokołów zabezpieczeń mogą korzystać protokoły HTTP i inne protokoły za pomocą I[Author ID0: at Thu Nov 30 00:00:00 1899 ]Interfejsu Usługodawcy Usług Zabezpieczeń (Security Support Provider Interface [Author ID1: at Wed Oct 4 09:50:00 2000 ]-[Author ID1: at Wed Oct 4 09:50:00 2000 ][Author ID1: at Wed Oct 4 09:50:00 2000 ]SSPI). Technologia zabezpieczeń ([Author ID1: at Wed Oct 4 09:50:00 2000 ]A[Author ID1: at Wed Oct 4 09:50:00 2000 ]a[Author ID1: at Wed Oct 4 09:50:00 2000 ]uthenticode)[Author ID1: at Wed Oct 4 09:50:00 2000 ] obsługuje podpisywanie i weryfikację[Author ID1: at Wed Oct 4 09:50:00 2000 ]e[Author ID1: at Wed Oct 4 09:50:00 2000 ] obiektów i głównie jest stosowana do [Author ID1: at Wed Oct 4 09:50:00 2000 ]oraz [Author ID1: at Wed Oct 4 09:50:00 2000 ]określa[Author ID1: at Wed Oct 4 09:50:00 2000 ]enia[Author ID1: at Wed Oct 4 09:50:00 2000 ] pochodzenie[Author ID1: at Wed Oct 4 09:50:00 2000 ]a[Author ID1: at Wed Oct 4 09:50:00 2000 ] i integralność[Author ID1: at Wed Oct 4 09:50:00 2000 ]ci[Author ID1: at Wed Oct 4 09:50:00 2000 ] składników pobranych z Internetu. Interfejsy kart elektronicznych ogólnego przeznaczenia (g[Author ID1: at Wed Oct 4 09:51:00 2000 ]G[Author ID1: at Wed Oct 4 09:51:00 2000 ]eneral-[Author ID1: at Wed Oct 4 09:51:00 2000 ] [Author ID1: at Wed Oct 4 09:51:00 2000 ]purpose smart card interfaces) umożliwiają obsługę logowania za pomocą kart elektronicznych (smart card logon), która jest dostępna w systemie Windows 2000.

System Szyfrowania Plików (Encrypting File System — EFS[Author ID1: at Wed Oct 4 09:52:00 2000 ])

W rozdziale 5.[Author ID1: at Wed Oct 4 09:52:00 2000 ] omówiono System Szyfrowania Plików (Encrypting File System [Author ID1: at Wed Oct 4 09:52:00 2000 ]-[Author ID0: at Thu Nov 30 00:00:00 1899 ][Author ID1: at Wed Oct 4 09:52:00 2000 ]EFS) w systemie Windows 2000. Mówiąc krótko,[Author ID1: at Wed Oct 4 09:52:00 2000 ] System Szyfrowania Plików (EFS) umożliwia niezauważalne szyfrowanie i odszyfrowywanie plików zapisanych na dysku z systemem plików NTFS. Można szyfrować foldery i pojedyncze pliki. Aplikacje mają dostęp do zaszyfrowanych plików użytkownika w ten sam sposób,[Author ID1: at Wed Oct 4 09:52:00 2000 ] jak do plików niezaszyfrowanych, ale nie umożliwiają [Author ID1: at Wed Oct 4 09:52:00 2000 ]można [Author ID1: at Wed Oct 4 09:52:00 2000 ]odszyfrować[Author ID1: at Wed Oct 4 09:52:00 2000 ]nia[Author ID1: at Wed Oct 4 09:52:00 2000 ] zaszyfrowanych plików innego użytkownika.

System szyfrowania plików (EFS) [Author ID1: at Wed Oct 4 09:53:00 2000 ]korzysta z możliwości Infrastruktury Klucza Publicznego (PKI) do szyfrowania danych masowych (bulk encryption) bez wcześniejszego [Author ID1: at Wed Oct 4 09:54:00 2000 ]ustalania wcześniej [Author ID1: at Wed Oct 4 09:54:00 2000 ]klucza tajnego (shared secrets). Każdy z użytkowników systemu szyfrowania plików (EFS) [Author ID1: at Wed Oct 4 09:54:00 2000 ] [Author ID1: at Wed Oct 4 09:54:00 2000 ]generuje parę kluczy publicznych (public key pair[Author ID1: at Wed Oct 4 09:55:00 2000 ]) i uzyskuje Certyfikat Systemu Szyfrowania Plików (EFS certificate) wydany przez jednostkę certyfikującą przedsiębiorstwa (enterprise CA) w domenie systemu Windows 2000. System szyfrowania plików (EFS) [Author ID1: at Wed Oct 4 09:55:00 2000 ]może także wygenerować certyfikat podpisany przez samego siebie (self-signed certificate) dla operacji autonomicznych (standalone operation), w których współdzielenie danych nie jest ważne. System Windows 2000 obsługuje zasady odzyskiwania (recovery policy[Author ID1: at Wed Oct 4 09:55:00 2000 ]ies[Author ID1: at Wed Oct 4 09:55:00 2000 ]) systemu szyfrowania plików (EFS)[Author ID1: at Wed Oct 4 09:55:00 2000 ], zgodnie z którymi zaufani agenci odzyskiwania (trusted recovery agents) generują parę kluczy publicznych (public key pair)[Author ID1: at Wed Oct 4 09:55:00 2000 ] odzyskiwania Systemu Szyfrowania Plików (EFS recovery),[Author ID1: at Wed Oct 4 09:56:00 2000 ] a jednostka certyfikująca przedsiębiorstwa (enterp[Author ID1: at Wed Oct 4 09:56:00 2000 ]rise CA) [Author ID1: at Wed Oct 4 09:56:00 2000 ]wydaje im certyfikat odzyskiwania (recovery certificate) systemu szyfrowania plików (EFS)[Author ID1: at Wed Oct 4 09:56:00 2000 ]. Certyfikaty agentów odzyskiwania (recovery agents) s[Author ID1: at Wed Oct 4 09:56:00 2000 ]s[Author ID1: at Wed Oct 4 09:56:00 2000 ]ystemu szyfrowania plików (EFS) [Author ID1: at Wed Oct 4 09:56:00 2000 ]są publikowane dla klientów domeny za pomocą obiektów zasad grupowych (Group Policy Object [Author ID1: at Wed Oct 4 09:56:00 2000 ]-[Author ID1: at Wed Oct 4 09:56:00 2000 ][Author ID1: at Wed Oct 4 09:56:00 2000 ]GPO).

System Szyfrowania Plików (EFS) tworzy klucz losowy (random key) dla każdego pliku, który ma być zaszyfrowany. Następnie klucz publiczny (public key) systemu EFS użytkownika używany [Author ID1: at Wed Oct 4 09:57:00 2000 ]wykorzystywany [Author ID1: at Wed Oct 4 09:57:00 2000 ]jest do zaszyfrowania klucza tajnego (secret key) i skojarzenia go z danym plikiem. Oprócz tego kopia klucza tajnego (secret key), zaszyfrowana za pomocą klucza publicznego (public key)[Author ID1: at Wed Oct 4 09:57:00 2000 ] agenta odzyskiwania (recovery agent) [Author ID1: at Wed Oct 4 09:57:00 2000 ]systemu szyfrowania plików (EFS)[Author ID1: at Wed Oct 4 09:57:00 2000 ],[Author ID1: at Wed Oct 4 09:57:00 2000 ] zostaje związana z plikiem. W systemie nie przechowuje się klucza tajnego (secret key) w postaci tekstu jawnego (plaintext).

Podczas odzyskiwania pliku System Szyfrowania Plików (EFS) korzysta z klucza prywatnego (private key) użytkownika do uzyskania kopii klucza tajnego (secret key) zaszyfrowanego za pomocą za pomocą [Author ID1: at Wed Oct 4 09:58:00 2000 ]klucza publicznego (public key) użytkownika. Jest on potem używany do odszyfrowania pliku w czasie rzeczywistym w trakcie operacji zapisu i odczytu z pliku. Podobnie agent odzyskiwania (recovery agent) może odszyfrować plik, korzystając z klucza prywatnego,[Author ID1: at Wed Oct 4 09:58:00 2000 ] (private key) [Author ID1: at Wed Oct 4 09:58:00 2000 ]aby uzyskać dostęp do klucza tajnego (secret key).

Logowanie się [Author ID1: at Wed Oct 4 09:59:00 2000 ]za pomocą kart elektronicznych (smart cards)

W systemie Windows 2000 wprowadzono możliwość logowania się [Author ID1: at Wed Oct 4 09:59:00 2000 ]za pomocą kart elektronicznych (smart card logon) jako rozwiązanie alternatywne do uwierzytelniania za pomocą haseł. Rozwiązanie to jest oparte o infrastrukturę kart elektronicznych (smart card infrastructure), zgodną z zaleceniami grupy zadaniowej PC/SC i karty elektroniczne, w których zastosowano algorytm RSA, wraz z obsługującymi je usługodawcami usług kryptograficznych (CSP) interfejsu CryptoAPI. W procesie uwierzytelniania stosuje się protokół Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) integrujący w systemie Windows 2000 uwierzytelnianie za pomocą klucza publicznego (PK-based authentication) z systemem kontroli dostępu Kerberos.

Działający system rozpoznaje włożenie karty elektronicznej (smart card) jako alternatywę dla standardowej sekwencji zwracającej uwagę zabezpieczeń (secure attention sequence) Ctrl+Alt+Delete, która inicjuje logowanie. Następnie użytkownik wprowadza kod PIN, który kontroluje dostęp do operacji za pomocą klucza prywatnego (private key),[Author ID1: at Wed Oct 4 10:03:00 2000 ] zapisanego na karcie elektronicznej (smart card)[Author ID1: at Wed Oct 4 10:03:00 2000 ]. W tym systemie karta elektroniczna (smart card) [Author ID1: at Wed Oct 4 10:04:00 2000 ]zawiera także kopie certyfikatu użytkownika, wydanego przez jednostkę certyfikującą przedsiębiorstwa (enterprise CA). Pozwala to użytkownikowi na przemieszczanie się w granicach domeny. Karty elektroniczne opisano szczegółowo w rozdziale 9.

Zabezpieczenia protokołu IP (IPSec)

IPSec definiuje protokoły szyfrowania w sieci na poziomie warstwy (layer) protokołu IP. Nie wymaga to stosowania technologii klucza publicznego (PK-based), dlatego[Author ID1: at Wed Oct 4 10:06:00 2000 ] i[Author ID1: at Wed Oct 4 10:06:00 2000 ] można stosować [Author ID1: at Wed Oct 4 10:06:00 2000 ]wykorzystać [Author ID1: at Wed Oct 4 10:06:00 2000 ]klucze tajne (shared secret keys), które są bezpiecznie [Author ID1: at Wed Oct 4 10:06:00 2000 ]przesyłane do szyfrowania bezpiecznie [Author ID1: at Wed Oct 4 10:06:00 2000 ]jako dane poza pasmem (out-of-band) do punktów końcowych sieci (network end-points). Technologia klucza publicznego (PK-based technology) jest praktycznym rozwiązaniem w przypadku tworzenia skalowalnej struktury z rozproszonymi relacjami zaufania (scalable distributed [Author ID1: at Wed Oct 4 10:06:00 2000 ]-[Author ID1: at Wed Oct 4 10:06:00 2000 ]trust architecture),[Author ID1: at Wed Oct 4 10:06:00 2000 ] a szczególnie takiej, w której urządzenia korzystające z protokołu IPSec mogą dokonywać wzajemnego uwierzytelnienia i zgadzają się na klucze szyfrowania bez wstępnego ustanowienia kluczy tajnych (shared secrets).

Firmy stosujące protokół IPSec, łącznie z Microsoftem, pracują nad ustanowieniem standardu certyfikatów współpracujących ze sobą (interoperable certificates), rejestrowania certyfikatów (certificate enrollment) oraz protokołów zarządzania (management protocols). W chwili pisanie [Author ID1: at Wed Oct 4 10:07:00 2000 ]tworzenia [Author ID1: at Wed Oct 4 10:07:00 2000 ]tej książki,[Author ID1: at Wed Oct 4 10:07:00 2000 ] pozostała[Author ID1: at Wed Oct 4 10:08:00 2000 ]o [Author ID1: at Wed Oct 4 10:08:00 2000 ] [Author ID1: at Wed Oct 4 10:08:00 2000 ]do wykonania praca [Author ID1: at Wed Oct 4 10:08:00 2000 ]zadanie dotyczące[Author ID1: at Wed Oct 4 10:08:00 2000 ]nad [Author ID1: at Wed Oct 4 10:08:00 2000 ] [Author ID1: at Wed Oct 4 10:08:00 2000 ]zapewnienia[Author ID1: at Wed Oct 4 10:08:00 2000 ]em[Author ID1: at Wed Oct 4 10:08:00 2000 ] współpracy (interoperability) pomiędzy urządzeniami korzystającymi z protokołu IPSec (IPSec devices) i implementacją Infrastruktury Klucza Publicznego (PKI). Firma[Author ID1: at Wed Oct 4 10:09:00 2000 ]ie[Author ID1: at Wed Oct 4 10:09:00 2000 ] Microsoft rozwija opracowaną przez siebie Infrastrukturę Klucza Publicznego (PKI) systemu Windows 2000 w połączeniu ze zmieniającymi się standardami wymienionymi powyżej. IPSec opisano szczegółowo w rozdziale 10.

Rozwiązania natychmiastowe

Uaktywnianie klientów domeny

System Windows 2000 zwiera zestaw usług podstawowych (core services) do obsługi rozwijania i instalowania współdziałających aplikacji korzystających z klucza publicznego (PK-based applications). Najbardziej znaczącą nową funkcją systemu Windows 2000 jest integracja z administrowaniem domeną i modelem zasad (policies[Author ID1: at Wed Oct 4 10:20:00 2000 ]y[Author ID1: at Wed Oct 4 10:20:00 2000 ] model). Technologia klucza publicznego (Public Key [Author ID1: at Wed Oct 4 10:20:00 2000 ]PK t[Author ID1: at Wed Oct 4 10:20:00 2000 ]T[Author ID1: at Wed Oct 4 10:20:00 2000 ]echnology — PKT[Author ID1: at Wed Oct 4 10:20:00 2000 ]) jest uzależniona zależy [Author ID1: at Wed Oct 4 10:20:00 2000 ]od zdolności do generowania i zarządzania kluczami jednego lub kilku algorytmów z kluczem publicznym (PK algorithm). Interfejs CryptoAPI obsługuje instalowalnych usługodawców usług kryptograficznych (CSPs), którzy z kolei obsługują generowanie i zarządzanie kluczami dla wielu algorytmów kryptograficznych (cryptographic algorithms).

Klient domeny (domain client) ma uaktywnione zabezpieczenia z kluczem publicznym (PK security) po uzyskaniu certyfikatu zabezpieczeń (security certificate) od Serwera [Author ID1: at Wed Oct 4 10:22:00 2000 ]serwera [Author ID1: at Wed Oct 4 10:22:00 2000 ]certyfikatów (c[Author ID1: at Wed Oct 4 10:22:00 2000 ]C[Author ID1: at Wed Oct 4 10:22:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 10:22:00 2000 ]s[Author ID1: at Wed Oct 4 10:22:00 2000 ]erver) systemu Windows 2000, Menedżera Kluczy Wymiany (E[Author ID1: at Wed Oct 4 10:23:00 2000 ]Exchange K[Author ID1: at Wed Oct 4 10:23:00 2000 ]Key M[Author ID1: at Wed Oct 4 10:23:00 2000 ]Manager) lub usługodawcy komercyjnego, na przykład[Author ID1: at Wed Oct 4 10:23:00 2000 ]np.[Author ID1: at Wed Oct 4 10:23:00 2000 ] VeriSign. Zwykle [Author ID1: at Wed Oct 4 10:24:00 2000 ]Na ogół [Author ID1: at Wed Oct 4 10:24:00 2000 ]jest to etap instalacji, na którym konfiguruje się usługi pocztowe. Jeśli jednak użytkownik musi wysłać żądanie takiego certyfikatu, dokonuje się tego w następujący sposób:

  1. Otwórz przeglądarkę (browser) i połącz się z adresem http://ServerName/CertSRV, gdzie ServerName jest nazwą serwera jednostki certyfikującej (CA S[Author ID1: at Wed Oct 4 10:24:00 2000 ]s[Author ID1: at Wed Oct 4 10:24:00 2000 ]erver).

  2. Ze strony powitalnej Usługi Certyfikacji Microsoftu (Microsoft Certificate Services) wybierz pozycję Żądanie Certyfikatu (R[Author ID1: at Wed Oct 4 10:24:00 2000 ]Request a Certificate). Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 10:24:00 2000 ]Next).

  3. Wybierz Żądanie Certyfikatu Dla Użytkownika (U[Author ID1: at Wed Oct 4 10:24:00 2000 ]User Certificate Request) i w polu listy zaznacz Certyfikat U[Author ID1: at Wed Oct 4 10:24:00 2000 ]Użytkownika (U[Author ID1: at Wed Oct 4 10:24:00 2000 ]User C[Author ID1: at Wed Oct 4 10:24:00 2000 ]Certificate). Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 10:24:00 2000 ](Next)[Author ID1: at Wed Oct 4 10:24:00 2000 ].

  4. Jeśli spróbujesz połączyć się z autonomiczną[Author ID1: at Wed Oct 4 10:25:00 2000 ]a[Author ID1: at Wed Oct 4 10:25:00 2000 ] jednostką certyfikującą (standalone CA) pojawi się strona Certyfikat Użytkownika[Author ID1: at Wed Oct 4 10:25:00 2000 ]-[Author ID1: at Wed Oct 4 10:25:00 2000 ]identyfikator (U[Author ID1: at Wed Oct 4 10:25:00 2000 ]User C[Author ID1: at Wed Oct 4 10:25:00 2000 ]Certificate-[Author ID1: at Wed Oct 4 10:25:00 2000 ] [Author ID1: at Wed Oct 4 10:25:00 2000 ]- [Author ID1: at Wed Oct 4 10:25:00 2000 ]I[Author ID1: at Wed Oct 4 10:25:00 2000 ]i[Author ID1: at Wed Oct 4 10:25:00 2000 ]dentifying I[Author ID1: at Wed Oct 4 10:25:00 2000 ]i[Author ID1: at Wed Oct 4 10:25:00 2000 ]nformation). W tym przypadku wypełnij formularz w trybie online i naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 10:25:00 2000 ](Next)[Author ID1: at Wed Oct 4 10:25:00 2000 ]. W przypadku łączenia się z jednostką certyfikującą przedsiębiorstwa (enterprise CA) informacje zostaną oczytane z Active Directory i należy wówczas [Author ID1: at Wed Oct 4 10:25:00 2000 ]wysłać żądanie.

  5. Naciśnij przycisk Wyślij (S[Author ID1: at Wed Oct 4 10:26:00 2000 ]Submit). Program wygeneruje parę kluczy publiczny-prywatny (public-private key) oraz żądanie certyfikatu (certificate request) na podstawie wprowadzonych danych,[Author ID1: at Wed Oct 4 10:26:00 2000 ] a następnie wysyła żądanie do jednostki certyfikującej (CA). Naciśnij przycisk Instaluj Certyfikat (I[Author ID1: at Wed Oct 4 10:26:00 2000 ]Install this Certificate).

Uwaga: Na potrzeby powyższej procedury przyjęto, że jednostka certyfikująca (CA) została zainstalowana i uzyskano certyfikat główny (root certificate). Przyjęto także, że jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 10:27:00 2000 ]jest skonfigurowana,[Author ID1: at Wed Oct 4 10:27:00 2000 ] w ten sposób, że zatwierdza żądania automatycznie. Jeśli te warunki nie są spełnione, należy zapoznać się z podrozdziałem „Instalowanie certyfikatów jednostek certyfikujących” w rozdziale 7.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 10:27:00 2000 ] [Author ID1: at Wed Oct 4 10:27:00 2000 ]zobacz na stronie

Instalowanie certyfikatów jednostek certyfikujących

Mechanizmy przechowywania danych do generowania kluczy (keys[Author ID1: at Wed Oct 4 10:28:00 2000 ] material) zależą od wybranego usługodawcy usług kryptograficznych (CSP). Programowi usługodawcy usług kryptograficznych software ([Author ID1: at Wed Oct 4 10:29:00 2000 ]CSPs), które dostarcza Microsoft, nazywani też podstawowymi usługodawcami kryptograficznymi (base CSPs), przechowują dane do generowania kluczy (key materia[Author ID1: at Wed Oct 4 10:30:00 2000 ]l) [Author ID1: at Wed Oct 4 10:30:00 2000 ]w formie zaszyfrowanej dla konkretnych użytkowników lub konkretnych komputerów. Umożliwiają również kontrolę nad możliwością eksportowania par kluczy publiczny-prywatny, kontrolując eksport kluczy prywatnych przez usługodawców usług kryptograficznych (CSPs[Author ID1: at Wed Oct 4 10:30:00 2000 ]),[Author ID1: at Wed Oct 4 10:30:00 2000 ] i kontrolę użycia, która określa zachowanie funkcji powiadamiania użytkownika (user notification) podczas próby użycia klucza prywatnego (private key) przez aplikację. Inni usługodawcy usług kryptograficznych (CSP) [Author ID1: at Wed Oct 4 10:33:00 2000 ]mogą [Author ID1: at Wed Oct 4 10:33:00 2000 ]korzystać z innych mechanizmów, na przykład [Author ID1: at Wed Oct 4 10:33:00 2000 ]np. [Author ID1: at Wed Oct 4 10:33:00 2000 ]usługodawcy usług kryptograficznych (CSP) dla kart elektronicznych (smart card) przechowują parę kluczy publicznych (public key pair) na zabezpieczonym przed penetracją sprzęcie dla kart elektronicznych, gdzie[Author ID1: at Wed Oct 4 10:34:00 2000 ] [Author ID1: at Wed Oct 4 10:34:00 2000 ](smart card)[Author ID1: at Wed Oct 4 10:33:00 2000 ] i[Author ID1: at Wed Oct 4 10:34:00 2000 ] zwykle wymagane jest wprowadzenie kodu PIN, aby uzyskać dostęp do operacji, które korzystają z klucza prywatnego.

Odzyskiwanie kluczy

Przy odzyskiwaniu klucza zakłada się, że istnieje magazyn trwały (persistent storage) czyjegoś klucza prywatnego, co pozwala na dostę[Author ID1: at Wed Oct 4 10:34:00 2000 ]p [Author ID1: at Wed Oct 4 10:34:00 2000 ]uprawnionym osobom na dostęp [Author ID1: at Wed Oct 4 10:34:00 2000 ]bez wiedzy i zgody właściciela. Może to być konieczne,[Author ID1: at Wed Oct 4 10:34:00 2000 ] aby zagwarantować dostęp do najważniejszej korespondencji przedsiębiorstwa lub,[Author ID1: at Wed Oct 4 10:34:00 2000 ] by spełnić wymagania wymiaru sprawiedliwości. Funkcja odzyskiwania klucza jest przydatna tylko wtedy, gdy stosuje się ją do kluczy, które były używane do szyfrowania danych trwałych (persistent data), takich jak klucze wymiany kluczy (key-[Author ID1: at Wed Oct 4 10:35:00 2000 ] [Author ID1: at Wed Oct 4 10:35:00 2000 ]exchange keys). Archiwizowanie identyfikacji kluczy prywatnych podpisu cyfrowego jest rzadko spotykane, ponieważ zagraża to bezpieczeństwu systemu. Odzyskiwanie kluczy prywatnych mogłoby umożliwić podszywanie się osoby nieuprawnionej pod właściciela klucza.

Microsoft Exchange umożliwia obecnie obsługę odzyskiwania kluczy wymiany kluczy (key-[Author ID1: at Wed Oct 4 10:36:00 2000 ] [Author ID1: at Wed Oct 4 10:36:00 2000 ]exchange keys),[Author ID1: at Wed Oct 4 10:36:00 2000 ] więc można odczytywać zaszyfrowane e-maile. Są również dostępni niezależni usługodawcy usług kryptograficznych (CSPs),[Author ID1: at Wed Oct 4 10:36:00 2000 ] umożliwiający ogólną obsługę odzyskiwania kluczy. Zalecany sposób postępowania w przypadku utraty przez użytkownika klucza prywatnego jest następujący:

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 10:37:00 2000 ] [Author ID1: at Wed Oct 4 10:37:00 2000 ]zobacz na stronie:

Dodawanie agentów odzyskiwania [Author ID1: at Wed Oct 4 10:37:00 2000 ](recovery agents)

Odzyskiwanie pliku lub foldera

Rejestrowanie certyfikatu

Technologia klucza publicznego (PK-based technology) zwykle polega na certyfikatach,[Author ID1: at Wed Oct 4 10:37:00 2000 ] aby związać klucze publiczne ze znanymi jednostkami (known entities). Infrastruktura Klucza Publicznego (PKI) systemu Windows 2000 obsługuje rejestrowanie się w celu uzyskania certyfikatu (certificate enrollment) od jednostki certyfikującej przedsiębiorstwa (enterprise CA) firmy Microsoft lub niezależnych jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 10:39:00 2000 ]). Do obsługi rejestrowania (enrollment) stosuje się komunikaty żądania certyfikatów w formacie PKCS #10 i odpowiedzi w formacie PKCS #7, zawierających certyfikat lub łańcuch certyfikatów (certificate chain). W chwili pisania [Author ID1: at Wed Oct 4 10:39:00 2000 ]czasie powstawania [Author ID1: at Wed Oct 4 10:39:00 2000 ]tej książki obsługiwane są certyfikaty, korzystające z algorytmu RSA, Digital Signature Algorithm (DSA) oraz Diffie [Author ID1: at Wed Oct 4 10:39:00 2000 ]-[Author ID0: at Thu Nov 30 00:00:00 1899 ]- [Author ID1: at Wed Oct 4 10:39:00 2000 ]Hellman'a.

Komunikaty w standardzie PKCS #10 i PKCS #7 są obsługiwane za pomocą elementu sterującego xenroll.dll, który może być umieszczona [Author ID1: at Wed Oct 4 10:43:00 2000 ]umieszczony [Author ID1: at Wed Oct 4 10:43:00 2000 ]w skrypcie w przypadku rejestrowania poprzez sieć Web (Web-based enrollment) lub wywoływany programowo w przypadku innych procedur transportowych,[Author ID1: at Wed Oct 4 10:43:00 2000 ] takich jak wywołanie procedur zdalnych (Remote Procedure Call [Author ID1: at Wed Oct 4 10:43:00 2000 ]-[Author ID1: at Wed Oct 4 10:43:00 2000 ][Author ID1: at Wed Oct 4 10:43:00 2000 ]RPC), model obiektowy składników rozproszonych ([Author ID1: at Wed Oct 4 10:43:00 2000 ]model [Author ID1: at Wed Oct 4 10:44:00 2000 ]DCOM ([Author ID1: at Wed Oct 4 10:43:00 2000 ]Distributed Component Object Model —DCOM[Author ID1: at Wed Oct 4 10:43:00 2000 ] model obiektowy składników rozproszonych[Author ID1: at Wed Oct 4 10:43:00 2000 ]) oraz poczta elektroniczna. Element ten umożliwia aplikacji wywołującej określenie atrybutów, które zawiera komunikat w formacie PKCS #10 oraz pozwala na korzystanie z istniejącej pary kluczy lub wygenerowanie nowej pary. Element sterujący rejestrowaniem (enrollment control) umożliwia zarządzanie informacjami o stanie aplikacji wywołującej (state management),[Author ID1: at Wed Oct 4 10:45:00 2000 ] aby porównać wydane certyfikaty z żądaniami oczekującymi i dostarcza środków do tworzenia wewnętrznych powiązań pomiędzy certyfikatem, usługodawcą usług kryptograficznych (CSP), który wygenerował parę kluczy oraz nazwą kontenera pary kluczy (key-pair container). Infrastruktura Klucza Publicznego (PKI) obsługuje wiele sposobów rejestrowania (enrollment), łącznie z rejestrowaniem przez sieć Web, kreatorem rejestrowania (enrollment W[Author ID1: at Wed Oct 4 10:45:00 2000 ]w[Author ID1: at Wed Oct 4 10:45:00 2000 ]izard) oraz rejestrowaniem automatycznym sterowanym zasadami (policy-[Author ID1: at Wed Oct 4 10:45:00 2000 ] [Author ID1: at Wed Oct 4 10:45:00 2000 ]driven autoenrollment), które jest częścią procesu logowania się użytkownika.

Dokładny opis rejestrowania za pomocą pliku w standardzie PKCS #10 zamieszczono w rozdziale 7.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 10:46:00 2000 ]: [Author ID1: at Wed Oct 4 10:46:00 2000 ]zobacz na stronie:

Żądanie certyfikatów zaawansowanych

Rejestrowanie za pomocą pliku żądania PKCS #10

Odnawianie certyfikatów

Odnawianie certyfikatów (certificates[Author ID1: at Wed Oct 4 10:46:00 2000 ] renewal) jest zasadniczo podobne do rejestrowania (enrollment), ale korzysta z relacji zaufania danego certyfikatu. W przypadku odnawiania przyjęto, że jednostka żądająca chce uzyskać nowy certyfikat z takimi samymi atrybutami,[Author ID1: at Wed Oct 4 10:46:00 2000 ] jak istniejący, ważny certyfikat,[Author ID1: at Wed Oct 4 10:46:00 2000 ] ale z przedłużonym okresem ważności. Przy odnawianiu można użyć istniejącego klucza publicznego (public key) lub utworzyć nowy klucz publiczny.

Żądanie odnowienia może być przetworzone bardziej [Author ID1: at Wed Oct 4 10:46:00 2000 ]wydajniej[Author ID1: at Wed Oct 4 10:46:00 2000 ], ponieważ istniejące atrybuty certyfikatu nie muszą być powtórnie weryfikowane. Obecnie odnawianie (renewal) jest obsługiwane przez Infrastrukturę Klucza Publicznego (PKI) systemu Windows 2000 dla certyfikatów rejestrowanych automatycznie. W innych przypadkach odnowienie (renewal) [Author ID1: at Wed Oct 4 10:47:00 2000 ]jest traktowane jako nowe żądanie zarejestrowania (enrollment request). Procedura odnawiania certyfikatu zabezpieczeń (S[Author ID1: at Wed Oct 4 10:47:00 2000 ]s[Author ID1: at Wed Oct 4 10:47:00 2000 ]ecurity certificate) jest dokładnie taka sama,[Author ID1: at Wed Oct 4 10:47:00 2000 ] jak procedura żądania takiego certyfikatu opisana w niniejszym podrozdziale.

Zastosowanie kluczy i certyfikatów

Klucze kryptograficzne (cryptographic keys) i związane z nimi certyfikaty są przechowywane i zarządzane przez podsystem CryptoAPI. Usługodawcy usług kryptograficznych (CSPs) zarządzają kluczami,[Author ID1: at Wed Oct 4 10:47:00 2000 ] a magazyny certyfikatów (certificate stores) CryptoAPI zarządzają certyfikatami. Magazyny certyfikatów (certificate stores) [Author ID1: at Wed Oct 4 10:47:00 2000 ]są składnicami (repositories) i[Author ID1: at Wed Oct 4 10:48:00 2000 ] związanych z nimi właściwości. Infrastruktura Klucza Publicznego (PKI) definiuje pięć standardowych magazynów certyfikatów:

Wymienione powyżej magazyny logiczne (logical stores) przedstawiają spójny widok certyfikatów w całym systemie, które to certyfikaty [Author ID1: at Wed Oct 4 10:51:00 2000 ]są zapisane w różnych magazynach fizycznych (physical stores), takich jak dysk twardy, karty elektroniczne,[Author ID1: at Wed Oct 4 10:51:00 2000 ] itd. Magazyny te umożliwiają aplikacjom współdzielenie certyfikatów i gwarantują działanie zgodne z zasadami administracyjnymi (administrative policy). Funkcje zarządzania certyfikatami (certificate management functions) umożliwiają dekodowanie certyfikatów w standardzie X.509v3 i wyliczanie (enumeration functions), które pomaga[Author ID1: at Wed Oct 4 10:52:00 2000 ] zlokalizować konkretny certyfikat.

Aby uprościć tworzenie aplikacji w magazynie (store) Moje (MY[Author ID1: at Wed Oct 4 10:52:00 2000 ]My[Author ID1: at Wed Oct 4 10:52:00 2000 ]) zapisane są właściwości certyfikatu, wskazujące usługodawcę usług kryptograficznych (CSP) i nazwę zestawu kluczy związanego z nim klucza prywatnego (private key). Po tym, jak aplikacja wybierze certyfikat, może skorzystać z tych informacji,[Author ID1: at Wed Oct 4 10:52:00 2000 ] aby uzyskać kontekst usługodawcy usług kryptograficznych (CSP context) dla właściwego klucza prywatnego (private key).

Odzyskiwanie par kluczy publicznych i certyfikatów

Jeśli pary kluczy publicznych (public key pairs) i certyfikaty zostały utracone w wyniku awarii systemu, ich przywrócenie może być kosztowne i zająć dużo czasu. Z tego względu Infrastruktura Klucza Publicznego (PKI) systemu Windows 2000 umożliwia wykonywanie kopii zapasowych i[Author ID1: at Wed Oct 4 10:53:00 2000 ]oraz[Author ID1: at Wed Oct 4 10:53:00 2000 ] odtwarzanie certyfikatów i związanych z nimi par kluczy za pomocą narzędzi administracyjnych do zarządzania certyfikatami.

Eksportując certyfikat za pomocą Menedżera Certyfikatów (C[Author ID1: at Wed Oct 4 10:53:00 2000 ]Certificate M[Author ID1: at Wed Oct 4 10:53:00 2000 ]Manager) można podać, czy związana z nim para kluczy ma być również eksportowana. Jeśli opcja ta zostanie wybrana, informacja zostanie [Author ID1: at Wed Oct 4 10:53:00 2000 ]będzie [Author ID1: at Wed Oct 4 10:53:00 2000 ]wyeksportowana w postaci komunikatu w standardzie PKCS #12, zaszyfrowanego za pomocą dostarczonego hasła. Komunikat ten może być później zaimportowany do danego lub innego systemu i zastosowany do odtworzenia certyfikatu i kluczy. Poniżej opisano procedurę eksportowania certyfikatu i związanej z nim pary kluczy:

  1. W module dodatkowym (snap-in) konsoli MMC Certyfikaty (C[Author ID1: at Wed Oct 4 10:53:00 2000 ]Certificates) rozwiń gałąź Certyfikaty (Certificates) [Author ID1: at Wed Oct 4 10:54:00 2000 ]i przejdź do certyfikatu, który chcesz wyeksportować.

  2. Prawym klawiszem [Author ID1: at Wed Oct 4 13:18:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 13:18:00 2000 ]myszki kliknij certyfikat, z menu wybierz pozycje Wszystkie zadania (A[Author ID1: at Wed Oct 4 10:54:00 2000 ]All T[Author ID1: at Wed Oct 4 10:54:00 2000 ]t[Author ID1: at Wed Oct 4 10:54:00 2000 ]asks),[Author ID1: at Wed Oct 4 10:54:00 2000 ] a następnie kliknij [Author ID1: at Wed Oct 4 13:17:00 2000 ]opcję Eksportuj (E[Author ID1: at Wed Oct 4 10:54:00 2000 ]Export). Uruchomi się Kreator Eksportu Certyfikatów (C[Author ID1: at Wed Oct 4 10:54:00 2000 ]Certificate E[Author ID1: at Wed Oct 4 10:54:00 2000 ]Export W[Author ID1: at Wed Oct 4 10:54:00 2000 ]Wizard).

  3. Wybierz opcję eksportowania klucza prywatnego, określ format pliku eksportu i podaj hasło.

  4. Określ plik docelowy, naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 10:54:00 2000 ]Next),następnie naciśnij [Author ID1: at Wed Oct 4 10:54:00 2000 ] potem [Author ID1: at Wed Oct 4 10:54:00 2000 ]przycisk Zakończ (F[Author ID1: at Wed Oct 4 10:55:00 2000 ]Finish) a potem naciśnij przycisk [Author ID1: at Wed Oct 4 10:55:00 2000 ]i [Author ID1: at Wed Oct 4 10:55:00 2000 ]OK.

Na potrzeby powyższej procedury przyjęto, że parę kluczy można wyeksportować za pomocą usługodawcy usług kryptograficznych (CSP). Założenie to jest prawdziwe w przypadku usługodawców usług kryptograficznych (CSPs[Author ID1: at Wed Oct 4 10:55:00 2000 ]) firmy Microsoft, jeśli znacznik możliwości eksportowania (exportable flag) CRYPT_EXPORTABLE został ustawiony przy generowaniu [Author ID1: at Wed Oct 4 10:55:00 2000 ]a [Author ID1: at Wed Oct 4 10:55:00 2000 ]klucza. Niezależni usługodawcy usług kryptograficznych (CSP) [Author ID1: at Wed Oct 4 10:55:00 2000 ]mogą,[Author ID1: at Wed Oct 4 10:55:00 2000 ] ale nie muszą,[Author ID1: at Wed Oct 4 10:55:00 2000 ] umożliwiać eksportowania klucza prywatnego — na przykład [Author ID1: at Wed Oct 4 10:56:00 2000 ]np. [Author ID1: at Wed Oct 4 10:56:00 2000 ]w przypadku usługodawców usług kryptograficznych (CSP) [Author ID1: at Wed Oct 4 10:56:00 2000 ]dla kart elektronicznych (smart cards) zwykle [Author ID1: at Wed Oct 4 10:56:00 2000 ]często [Author ID1: at Wed Oct 4 10:56:00 2000 ]nie ma takiej możliwości. W przypadku programowych usługodawców usług kryptograficznych (software CSPs) z kluczami, których nie można eksportować, konieczne jest wykonanie kopii zapasowej całego systemu, włącznie ze wszystkimi danymi z Rejestru.

Wskazówka: Jeśli parę kluczy można eksportować, to ktoś może ją również zaatakować. Podczas pisania niniejszego rozdziału trwała w Internecie dyskusja dotycząca bezpieczeństwa kluczy, które można eksportować, korzystając z programu Internet Explorer lub Outlook Express. Zapis dyskusji można było znaleźć pod adresem www.drh-consultancy.demon.co.uk/cexport.html. Strony internetowe mogą mieć krótki żywot, więc właściwy adres URL można znaleźć,[Author ID1: at Wed Oct 4 10:57:00 2000 ] uruchamiając wyszukiwanie takich zwrotów,[Author ID1: at Wed Oct 4 10:57:00 2000 ] jak CRYPT_EXPORTABLE, CRYPT_USER_PROTECTED, CryptGenKey oraz CryptImportKey.

Stosowanie tych samych aplikacji korzystających z klucza publicznego (PK-based) na różnych komputerach

Użytkownicy tych samych aplikacji korzystających z klucza publicznego (PK-based) na różnych komputerach pracujących w środowisku Windows w danym przedsiębiorstwie są określani jako użytkownicy mobilni (roaming users). Infrastruktura Klucza Publicznego (PKI) systemu Windows 2000 obsługuje użytkowników mobilnych (roaming users) na dwa sposoby:

Ufanie certyfikatowi

Zaufanie związane z weryfikowaniem certyfikatu jest oparte na zaufaniu związanym z jednostką certyfikującą (CA), która wydała dany certyfikat. Na potrzeby Infrastruktury Klucza Publicznego (PKI) przyjęto hierarchię jednostek certyfikujących z główną jednostką certyfikującą (rooted CA hierarchy), w której kontrola relacji zaufania (control of trust) jest oparta na decyzjach dotyczących głównych jednostek certyfikujących (root CAs). Jeśli określony certyfikat końcowy (end-entity certificate) może być przedstawiony w łańcuchu certyfikatów znanej, [Author ID1: at Wed Oct 4 10:59:00 2000 ] [Author ID1: at Wed Oct 4 10:59:00 2000 ]zaufanej głównej jednostki certyfikującej (trusted root CA) i zastosowanie danego certyfikatu zgadza się z kontekstem aplikacji (application context), to certyfikat uznawany jest za ważny. Jeśli którykolwiek z [Author ID1: at Wed Oct 4 10:59:00 2000 ]warunków nie jest spełniony, certyfikat jest uznawany za nieważny.

Wewnątrz Infrastruktury Klucza Publicznego (PKI) użytkownicy mogą podejmować tylko takie decyzje dotyczące bezpieczeństwa, które mają wpływ na nich samych. Robią to instalując lub usuwając zaufane główne jednostki certyfikujące (root CAs) [Author ID1: at Wed Oct 4 11:00:00 2000 ]oraz konfigurując związane z nimi ograniczenia stosowania za pomocą narzędzi administracyjnych do zarządzania certyfikatami. Jednak zarządzanie certyfikatami przez zwykłych użytkowników powinno być wyjątkiem,[Author ID1: at Wed Oct 4 11:00:00 2000 ] a nie regułą. Relacje zaufania powinny być ustanowione jako część zasad przedsiębiorstwa (enterprise policy). Relacje zaufania ustanowione poprzez zasady są automatycznie przekazywane do komputerów-klientów pracujących pod kontrolą systemu Windows 2000.

Stosowanie zabezpieczeń z kluczem publicznym (public key security) systemu Windows 2000

Zasady zabezpieczeń (security policies) mogą być stosowane do stron sieci Web (Web sites), domen lub jednostek organizacyjnych i mają wpływ na związane z nimi grupy zabezpieczeń użytkowników i komputerów. Zasady zabezpieczeń z kluczem publicznym (PK security policy) umożliwiają definiowanie i zarządzanie zasadami centralnie, a wdrażanie tych zasad globalnie.

Zaufanie do głównych jednostek certyfikujących (root CAs) może być ustawione za pomocą zasad (policy)[Author ID1: at Wed Oct 4 11:02:00 2000 ],[Author ID1: at Wed Oct 4 11:02:00 2000 ] aby ustanowić relacje zaufania (trust relationships),[Author ID1: at Wed Oct 4 11:02:00 2000 ] które klienci [Author ID1: at Wed Oct 4 11:02:00 2000 ]ty [Author ID1: at Wed Oct 4 11:02:00 2000 ]domeny stosują,[Author ID1: at Wed Oct 4 11:02:00 2000 ] weryfikując certyfikaty z kluczem publicznym (PK certificates)[Author ID1: at Wed Oct 4 11:02:00 2000 ]. Zestaw zaufanych jednostek certyfikujących (CA) [Author ID1: at Wed Oct 4 11:02:00 2000 ]konfiguruje się za pomocą Edytora Zasad Grupowych (Group Policy E[Author ID1: at Wed Oct 4 11:02:00 2000 ]Editor). Zestaw ten może być skonfigurowany dla konkretnego komputera i można go zastosować globalnie do wszystkich użytkowników tego komputera. Zastosowanie zasad grupowych (Group Policy) i Edytora Zasad Grupowych (Group Policy Editor) [Author ID0: at Thu Nov 30 00:00:00 1899 ]opisano w rozdziale 3. Poniżej zamieszczono procedurę konfigurowania zaufania (trust) domeny do zewnętrznej jednostki certyfikującej (CA):

  1. Otwórz okno dialogowe Zasady Grupowe w Domenie Właściwości (D[Author ID1: at Wed Oct 4 11:03:00 2000 ]Domain Group Policy P[Author ID1: at Wed Oct 4 11:03:00 2000 ]Properties) i edytuj obiekt zasad grupowych (GPO) Domyślne Zasady Grupowe (D[Author ID1: at Wed Oct 4 11:03:00 2000 ]Default D[Author ID1: at Wed Oct 4 11:03:00 2000 ]Domain PP[Author ID1: at Wed Oct 4 11:03:00 2000 ]olicy).

  2. Rozwiń gałąź Konfiguracja Komputera\ [Author ID1: at Wed Oct 4 11:03:00 2000 ]Ustawienia Systemu Windows\ [Author ID1: at Wed Oct 4 11:03:00 2000 ]Ustawienia Zabezpieczeń\ [Author ID1: at Wed Oct 4 11:03:00 2000 ]Zasady Kluczy Publicznych (P[Author ID1: at Wed Oct 4 11:04:00 2000 ]Public KK[Author ID1: at Wed Oct 4 11:04:00 2000 ]ey P[Author ID1: at Wed Oct 4 11:04:00 2000 ]Policies\Computer Configuration\Windows Settings\Security Settings), następnie prawym przyciskiem [Author ID1: at Wed Oct 4 13:18:00 2000 ]klawiszem [Author ID1: at Wed Oct 4 13:18:00 2000 ]myszki kliknij pozycję Zaufane Główne Jednostki Certyfikujące (T[Author ID1: at Wed Oct 4 11:04:00 2000 ]Trusted R[Author ID1: at Wed Oct 4 11:04:00 2000 ]Root C[Author ID1: at Wed Oct 4 11:04:00 2000 ]Certification A[Author ID1: at Wed Oct 4 11:04:00 2000 ]Authorities).

  3. Z menu kontekstowego wybierz pozycje Wszystkie zadania (A[Author ID1: at Wed Oct 4 11:04:00 2000 ]All T[Author ID1: at Wed Oct 4 11:04:00 2000 ]t[Author ID1: at Wed Oct 4 11:04:00 2000 ]asks), a następnie wybierz Importuj (I[Author ID1: at Wed Oct 4 11:04:00 2000 ]Import). Uruchomiony zostanie Kreator Importu Certyfikatów (CC[Author ID1: at Wed Oct 4 11:05:00 2000 ]ertificate I[Author ID1: at Wed Oct 4 11:05:00 2000 ]Import W[Author ID1: at Wed Oct 4 11:05:00 2000 ]Wizard).

  4. Naciśnij przycisk Dalej (N[Author ID1: at Wed Oct 4 11:05:00 2000 ]Next). W polu Nazwa pliku (F[Author ID1: at Wed Oct 4 11:05:00 2000 ]File name) wpisz nazwę pliku zawierającego certyfikat główny (root certificate), który chcesz importować,[Author ID1: at Wed Oct 4 11:05:00 2000 ] lub naciśnij przycisk Przeglądaj (B[Author ID1: at Wed Oct 4 11:05:00 2000 ]Browse) i znajdź ten plik. Naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 11:05:00 2000 ](Next)[Author ID1: at Wed Oct 4 11:05:00 2000 ].

  5. Wpisz hasło i naciśnij przycisk Dalej [Author ID1: at Wed Oct 4 11:05:00 2000 ](Next)[Author ID1: at Wed Oct 4 11:05:00 2000 ]. Wybierz opcję Umieść wszystkie certyfikaty w następującym magazynie (P[Author ID1: at Wed Oct 4 11:05:00 2000 ]Place all certificates in the following store). Magazynem (store) docelowym jest Zaufane Główne Jednostki Certyfikujące (T[Author ID1: at Wed Oct 4 11:05:00 2000 ]Trusted R[Author ID1: at Wed Oct 4 11:05:00 2000 ]Root C[Author ID1: at Wed Oct 4 11:05:00 2000 ]Certification A[Author ID1: at Wed Oct 4 11:05:00 2000 ]Authorities) w obiekcie zasad grupowych (GPO).

  6. Aby zaimportować certyfikat,[Author ID1: at Wed Oct 4 11:05:00 2000 ] naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 11:05:00 2000 ]Finish). Naciśnij przycisk OK,[Author ID1: at Wed Oct 4 11:06:00 2000 ].[Author ID1: at Wed Oct 4 11:06:00 2000 ] aby zamknąć okno komunikatów (message box). Aby zastosować zasady do obiektu zasad grupowych (GPO),[Author ID1: at Wed Oct 4 11:06:00 2000 ] naciśnij przycisk [Author ID1: at Wed Oct 4 11:06:00 2000 ]OK. Potem zamknij konsolę MMC.

Uwaga: Bardziej szczegółowo[Author ID0: at Thu Nov 30 00:00:00 1899 ]Dokładniej[Author ID1: at Wed Oct 4 11:07:00 2000 ] omówiono [Author ID1: at Wed Oct 4 11:07:00 2000 ]powyższą procedurą omówiono [Author ID0: at Thu Nov 30 00:00:00 1899 ]w rozdziale 7.[Author ID1: at Wed Oct 4 11:07:00 2000 ], gdzie opisano ją w kontekście Usług Certyfikatów (CC[Author ID0: at Thu Nov 30 00:00:00 1899 ]ertificate S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Services). Tą samą procedurę można zastosować do obiektów zasad grupowych (GPO) niższego rzędu związanych z jednostkami organizacyjnymi (OUs[Author ID1: at Wed Oct 4 11:07:00 2000 ]) zawierającymi grupy użytkowników lub (i) komputerów.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 11:07:00 2000 ]zobacz na stronie

Edytowanie obiektu zasad grupowych

Konfigurowanie zaufania domeny do zewnętrznej jednostki certyfikującej

Oprócz ustanowienia [Author ID1: at Wed Oct 4 11:08:00 2000 ]ustalenia [Author ID1: at Wed Oct 4 11:08:00 2000 ]zaufania do głównej jednostki certyfikującej (root CA) można także ustawić właściwości danej jednostki certyfikującej (CA), które ograniczą zakres stosowania certyfikatów wydanych przez tą jednostkę. Ograniczenia są określane na podstawie identyfikatorów obiektów (OID), zgodnie z rozszerzeniem ExtendedKeyUsage w dokumencie IETF PKIX część 1. Identyfikatory obiektów (OID) są środkami ograniczania korzystania do dowolnych kombinacji następujących elementów:

Rodzaje certyfikatów zapewniają szablony dla certyfikatów i kojarzą[Author ID1: at Wed Oct 4 11:09:00 2000 ]y[Author ID1: at Wed Oct 4 11:09:00 2000 ] je z nazwą uniwersalną (common name). Szablon ten określa elementy,[Author ID1: at Wed Oct 4 11:09:00 2000 ] takie jak wymagania dotyczące nazw (naming requirements), okres ważności (validity period), dopuszczeni do generowania kluczy prywatnych [Author ID1: at Wed Oct 4 11:11:00 2000 ]usługodawcy usług kryptograficznych (CSPs[Author ID1: at Wed Oct 4 11:11:00 2000 ]), dopuszczeni do generowania kluczy prywatnych[Author ID1: at Wed Oct 4 11:11:00 2000 ], algorytmy oraz rozszerzenia, które powinny być włączone do certyfikatu. Rodzaje certyfikatów (certificate types) są logicznie rozdzielone na rodzaje komputerów i użytkowników i są stosowane do odpowiednich obiektów zasad (policy objects).

Mechanizm ten jest zintegrowany z zasadami wydawania certyfikatów (issuing policy) jednostki certyfikującej przedsiębiorstwa (enterprise CA). Usługa J[Author ID1: at Wed Oct 4 11:11:00 2000 ]j[Author ID1: at Wed Oct 4 11:11:00 2000 ]ednostka certyfikująca (CA service) otrzymuje zestaw rodzajów certyfikatów jako część swojego obiektu zasad (policy object). Rodzaje certyfikatów są używane przez moduł zasad przedsiębiorstwa (enterprise policy) do określania rodzajów certyfikatów, które dana jednostka certyfikująca (CA) [Author ID1: at Wed Oct 4 11:12:00 2000 ]może wydawać. Jednostka ta[Author ID1: at Wed Oct 4 11:12:00 2000 ]certyfikująca[Author ID1: at Wed Oct 4 11:12:00 2000 ] (CA) odrzuci żądanie certyfikatu, który nie spełnia określonych warunków.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 11:12:00 2000 ]: [Author ID1: at Wed Oct 4 11:12:00 2000 ]zobacz na stronie

Instalowanie jednostki certyfikującej

Logowanie się [Author ID1: at Wed Oct 4 11:12:00 2000 ]za pomocą kart elektronicznych (smart card)

Logowanie się za pomocą kart elektronicznych (smart cards) jest kontrolowane za pomocą [Author ID1: at Wed Oct 4 11:12:00 2000 ]dzięki [Author ID1: at Wed Oct 4 11:12:00 2000 ]zasadom[Author ID1: at Wed Oct 4 11:12:00 2000 ] związanych[Author ID1: at Wed Oct 4 11:13:00 2000 ]m[Author ID1: at Wed Oct 4 11:13:00 2000 ] z obiektem użytkownika w sposób podobny do tego, który jest [Author ID1: at Wed Oct 4 11:13:00 2000 ]stosowany przy logowaniu się [Author ID1: at Wed Oct 4 11:13:00 2000 ]z użyciem hasła (password logon). Zasady (policy) można ustalić w ten sposób, aby możliwy był wybór sposobu logowania się [Author ID1: at Wed Oct 4 11:13:00 2000 ](karta elektroniczna czy hasło) lub można narzucić logowanie tylko za pomocą kart elektronicznych (smart card). W drugim przypadku ochrona przed dostępem do danego konta osób nieuprawnionych jest znacznie lepsza, chociaż oznacza to, że użytkownicy nie mogą się zalogować,[Author ID1: at Wed Oct 4 11:13:00 2000 ] jeśli zapomną swoich kart lub będą chcieli używać komputera bez czytnika kart elektronicznych (smart card reader).

Ustawianie zabezpieczeń sieci Web

Sieć Web szybko staje się kluczowym elementem przy tworzeniu i wdrażaniu rozwiązań dla efektywnej wymiany informacji na skalę światową, szczególnie dla przedsiębiorstw. W związku z tym pojawiają się następujące zagadnienia związane z bezpieczeństwem:

Protokoły Secure Sockets Layer (SSL) i Transport Layer Security (TLS) odgrywają ważna rolę w zaspokajaniu wymienionych wyżej potrzeb. Protokoły SSL i TLS są elastycznymi protokołami zabezpieczeń (security protocols), które można umieścić w najwyższej warstwie innych protokołów transportowych (transport protocols). Protokoły te oparte[Author ID1: at Wed Oct 4 11:15:00 2000 ]Są one[Author ID1: at Wed Oct 4 11:15:00 2000 ] oparte [Author ID1: at Wed Oct 4 11:15:00 2000 ][Author ID1: at Wed Oct 4 11:15:00 2000 ]na technologii uwierzytelniania za pomocą klucza publicznego (PK-based authentication) i do [Author ID1: at Wed Oct 4 11:16:00 2000 ]w celu [Author ID1: at Wed Oct 4 11:16:00 2000 ]generowania klucza szyfrowania (encryption key), niepowtarzalnego dla każdej sesji klienta-[Author ID1: at Wed Oct 4 13:12:00 2000 ]-[Author ID1: at Wed Oct 4 11:15:00 2000 ]serwera, gdy[Author ID1: at Wed Oct 4 11:16:00 2000 ] stosują negocjowanie klucza (key negotiations) w oparciu o klucze publiczne (PK-based key negotiation). Protokoły SSL i TLS są zwykle związane z aplikacjami korzystającymi z sieci Web (Web-based applications) i protokołem HTTP (określanym jako HTTPS). Witrynę sieci Web,[Author ID1: at Wed Oct 4 11:17:00 2000 ] korzystającą z protokołu SSL,[Author ID1: at Wed Oct 4 11:17:00 2000 ] konfiguruje się w następujący sposób:

  1. Z menu Narzędzia administracyjne (A[Author ID1: at Wed Oct 4 11:17:00 2000 ]Administrative T[Author ID1: at Wed Oct 4 11:17:00 2000 ]t[Author ID1: at Wed Oct 4 11:17:00 2000 ]ools) wybierz pozycję Menedżer Usług Internetowych (I[Author ID1: at Wed Oct 4 11:17:00 2000 ]Internet S[Author ID1: at Wed Oct 4 11:17:00 2000 ]Services M[Author ID1: at Wed Oct 4 11:17:00 2000 ]Manager).

  2. Prawym przyciskiem[Author ID1: at Wed Oct 4 13:18:00 2000 ]klawiszem[Author ID1: at Wed Oct 4 13:18:00 2000 ] myszki kliknij nazwę serwera IIS i dodaj nową witrynę, jeśli nie ma innej witryny, dla której chcesz uaktywnić protokół SSL.

  3. Postępuj zgodnie z informacjami wyświetlanymi przez Kreator Tworzenia Sieci Web (Web C[Author ID1: at Wed Oct 4 11:17:00 2000 ]Creation W[Author ID1: at Wed Oct 4 11:17:00 2000 ]Wizard). Pamiętaj, że konieczne jest podanie początkowej części nazwy hosta (Host Header).

  4. Prawym przyciskiem[Author ID1: at Wed Oct 4 13:18:00 2000 ]klawiszem[Author ID1: at Wed Oct 4 13:18:00 2000 ] myszki kliknij nową witrynę i z menu wybierz pozycję Właściwości (Properties).

  5. W części Komunikacja Bezpieczna (S[Author ID1: at Wed Oct 4 11:18:00 2000 ]Secure Communications) zakładki Zabezpieczenia Katalogu (D[Author ID1: at Wed Oct 4 11:18:00 2000 ]Directory S[Author ID1: at Wed Oct 4 11:18:00 2000 ]Security) naciśnij przycisk Edytuj (E[Author ID1: at Wed Oct 4 11:18:00 2000 ]Edit). Jeśli przycisk ten jest wygaszony (szary), kliknij [Author ID1: at Wed Oct 4 20:19:00 2000 ]włącz [Author ID1: at Wed Oct 4 20:19:00 2000 ]pozycję Certyfikat Serwera (S[Author ID1: at Wed Oct 4 11:18:00 2000 ]Server C[Author ID1: at Wed Oct 4 11:18:00 2000 ]Certificate) i postępuj zgodnie z wyświetlanymi informacjami.

  6. Wybierz opcję Wymagaj Kanału Bezpiecznego (RR[Author ID1: at Wed Oct 4 11:18:00 2000 ]equire Secure Channel (SSL)) i podaj ustawienia dotyczące szyfrowania oraz certyfikatów klientów. Naciśnij dwukrotnie [Author ID1: at Wed Oct 4 11:19:00 2000 ]przycisk OK., następnie naciśnij przycisk [Author ID1: at Wed Oct 4 11:19:00 2000 ]OK[Author ID1: at Wed Oct 4 11:19:00 2000 ]. kolejny raz[Author ID1: at Wed Oct 4 11:19:00 2000 ], uruchom witrynę (site) i zamknij moduł dodatkowy (snap-in) konsoli MMC.

  7. Przejdź do witryny,[Author ID1: at Wed Oct 4 11:19:00 2000 ] (site) [Author ID1: at Wed Oct 4 11:19:00 2000 ]korzystając z protokołu https zamiast http.

OSTRZEŻENIE! Nie należy włączać szyfrowania SSL dla witryny jeśli nie ma wystarczających powodów, aby to zrobić. Szyfrowanie za pomocą protokołu SSL znacznie spowalnia działanie witryny i bardzo obciąża procesor. Witryny internetowe, w których zastosowano ten [Author ID1: at Wed Oct 4 11:19:00 2000 ]protokół SSL[Author ID1: at Wed Oct 4 11:19:00 2000 ], służą do zapewnienia bezpieczeństwa operacjom,[Author ID1: at Wed Oct 4 11:20:00 2000 ] takim jak przesyłanie nazwy użytkownika i numeru jego karty kredytowej przez Internet.

Usługodawca SSPI SChannel (kanał bezpieczny) obsługuje protokoły SSL i TLS na platformie Windows. Zarówno Internet Explorer [Author ID1: at Wed Oct 4 11:21:00 2000 ], [Author ID1: at Wed Oct 4 11:21:00 2000 ]jak i[Author ID1: at Wed Oct 4 11:21:00 2000 ] Internet Information Services korzystają z funkcji usługodawcy SChannel. Ponieważ SChannel jest zintegrowany z architekturą interfejsu SSPI Microsoftu, może być używany przez wiele protokołów do obsługi komunikacji uwierzytelnionej lub (i) zaszyfrowanej. [Author ID1: at Wed Oct 4 11:21:00 2000 ]

Aby skorzystać w pełni z protokołów SSL i TLS,[Author ID1: at Wed Oct 4 11:21:00 2000 ] konieczne jest posiadanie przez klientów[Author ID1: at Wed Oct 4 11:21:00 2000 ]y[Author ID1: at Wed Oct 4 11:21:00 2000 ] i serwery certyfikatów wydanych przez obustronnie zaufane jednostki certyfikujące (mutually trusted CAs[Author ID1: at Wed Oct 4 11:22:00 2000 ]), umożliwiając stronom wzajemne uwierzytelnienie. W tym trybie sposób postępowania jest następujący:

  1. Certyfikaty są wymini[Author ID1: at Wed Oct 4 11:22:00 2000 ]eniane razem z danymi potwierdzającymi posiadanie odpowiadających im kluczy prywatnych (private key).

  2. Każda ze stron zatwierdza certyfikat i potwierdza [Author ID1: at Wed Oct 4 11:23:00 2000 ]posiadanie klucza prywatnego za pomocą klucza publicznego certyfikatu.

  3. Dane identyfikacyjne zawarte w certyfikacie są stosowane do podjęcia dodatkowych decyzji dotyczących kontroli dostępu, np.[Author ID1: at Wed Oct 4 11:23:00 2000 ]. Na przykład[Author ID1: at Wed Oct 4 11:23:00 2000 ] klient może zadecydować, czy chce mieć do czynienia z danym serwerem, a serwer może zadecydować, do jakich danych klient może mieć dostęp.

Dzięki Infrastrukturze Klucza Publicznego (PKI) systemu Windows 2000 podejmowanie decyzji o uzyskaniu dostępu przez klienta jest standardową funkcją systemu Windows 2000 Serwer. Certyfikaty użytkowników mogą być przydzielane obiektom typu security principal (obiektom użytkowników) w Active Directory w trybie jeden-do-jednego (one-to-one basis) lub jeden-do-wielu (one-to-many basis). SChannel korzysta z tych informacji do utworzenia [Author ID1: at Wed Oct 4 11:24:00 2000 ]automatycznego[Author ID1: at Wed Oct 4 11:24:00 2000 ]ie[Author ID1: at Wed Oct 4 11:24:00 2000 ] utworzenia [Author ID1: at Wed Oct 4 11:24:00 2000 ]znacznika zabezpieczeń (security token) dla klienta, więc do narzucenia kontroli dostępu do zasobów służą mechanizmy listy [Author ID0: at Thu Nov 30 00:00:00 1899 ]ACL (Access Control List). Tak więc usługi mogą korzystać z tego samego mechanizmu kontroli dostępu w przypadku uwierzytelniania klienta za pomocą klucza publicznego i protokołu Kerberos.

Po wzajemnym[Author ID1: at Wed Oct 4 11:24:00 2000 ] uwierzytelnieniu klienta i serwera można negocjować klucz sesji i zacząć komunikować się w sposób bezpieczny. Protokoły SSL i TLS pracują również[Author ID1: at Wed Oct 4 11:25:00 2000 ] często w trybie, który nie wymaga uwierzytelniania klienta. Jednak w przedsiębiorstwach jest zalecane wzajemne uwierzytelnianie, ponieważ umożliwia[Author ID1: at Wed Oct 4 11:25:00 2000 ] korzystanie z systemowych mechanizmów kontroli dostępu. Infrastruktura Klucza Publicznego (PKI) upraszcza również rejestrowanie (enrollment) certyfikatów i zarządzanie nimi.

Zastosowanie uwierzytelniania za pomocą klucza publicznego (PK-based authentication[Author ID1: at Wed Oct 4 11:27:00 2000 ]) w programie Internet Explorer

Najbardziej rozpowszechnionym stosowaniem bezpiecznego protokołu HTTP jest umożliwienie szyfrowanych połączeń z uwierzytelnionym serwerem sieci Web (Web server). Kiedy klient chce ustanowić połączenie za pomocą bezpiecznego protokołu HTTP, uaktywniającego się zwykle [Author ID1: at Wed Oct 4 11:28:00 2000 ]zazwyczaj [Author ID1: at Wed Oct 4 11:28:00 2000 ]po podaniu adresu URL rozpoczynającego się od https://, klient i serwer wspólnie negocjują,[Author ID1: at Wed Oct 4 11:28:00 2000 ] który protokół zabezpieczeń ma być użyty, a następnie wymieniają dane uwierzytelniające.

Internet Explorer obsługuje uniwersalne zabezpieczenia protokołu HTTP, takie jak:[Author ID1: at Wed Oct 4 11:28:00 2000 ]

[Author ID1: at Wed Oct 4 11:28:00 2000 ]Transport Layer Security (TLS wersja [Author ID1: at Wed Oct 4 11:28:00 2000 ]1), [Author ID1: at Wed Oct 4 11:28:00 2000 ][Author ID0: at Thu Nov 30 00:00:00 1899 ]

Secure Sockets Layer (SSL wersja [Author ID1: at Wed Oct 4 11:28:00 2000 ]2 i 3),[Author ID1: at Wed Oct 4 11:28:00 2000 ][Author ID1: at Wed Oct 4 11:28:00 2000 ]

[Author ID1: at Wed Oct 4 11:28:00 2000 ]Private Communications Technology (PCT wersja [Author ID1: at Wed Oct 4 11:28:00 2000 ]1). [Author ID1: at Wed Oct 4 11:28:00 2000 ][Author ID1: at Wed Oct 4 11:28:00 2000 ]

[Author ID1: at Wed Oct 4 11:28:00 2000 ]

Każdy z tych protokołów zapewnia usługi szyfrowania (encryption services),[Author ID1: at Wed Oct 4 11:29:00 2000 ]([Author ID1: at Wed Oct 4 11:29:00 2000 ] [Author ID1: at Wed Oct 4 11:29:00 2000 ]aby uzyskać poufność wymiany danych),[Author ID1: at Wed Oct 4 11:29:00 2000 ] oraz usługi uwierzytelniania ([Author ID1: at Wed Oct 4 11:29:00 2000 ]przeznaczone [Author ID1: at Wed Oct 4 11:29:00 2000 ]do wzajemnej identyfikacji klienta i serwera)[Author ID1: at Wed Oct 4 11:29:00 2000 ]. [Author ID1: at Wed Oct 4 11:29:00 2000 ]

Instalowanie uwierzytelniania klienta przebiega w następujący sposób:

  1. Uzyskaj certyfikat uwierzytelniania klienta. Usługi certyfikacji opisano szczegółowo w rozdziale 7.[Author ID1: at Wed Oct 4 11:29:00 2000 ], ale uzyskanie certyfikatu, czyli Identyfikatora Cyfrowego (Digital ID) jest dość proste. Można skorzystać z Serwera Certyfikatów (C[Author ID1: at Wed Oct 4 11:29:00 2000 ]Certificate S[Author ID1: at Wed Oct 4 11:29:00 2000 ]Server) Microsoftu lub dostawcy komercyjnego, na przykład [Author ID1: at Wed Oct 4 11:30:00 2000 ]np. [Author ID1: at Wed Oct 4 11:30:00 2000 ]VeriSign. Można będzie wybrać poziom zabezpieczeń (level of security). Na rysunku 6.3 przedstawiono witrynę internetową firmy VeriSign (www.verisign.com) z opisem wyjaśniającym wybór poziomu zabezpieczeń. O ile nie ma szczególnych wymagań,[Author ID1: at Wed Oct 4 11:30:00 2000 ] wybiera się zwykle [Author ID1: at Wed Oct 4 11:30:00 2000 ]zazwyczaj [Author ID1: at Wed Oct 4 11:30:00 2000 ]domyślny poziom Średni Poziom Zabezpieczeń (M[Author ID1: at Wed Oct 4 11:30:00 2000 ]Medium S[Author ID1: at Wed Oct 4 11:30:00 2000 ]Security).

  2. Zajrzyj pod adres URL, gdzie korzysta się z uwierzytelniania klienta.

  3. Po pojawieniu się monitu w oknie dialogowym Uwierzytelnianie Klienta (C[Author ID1: at Wed Oct 4 11:30:00 2000 ]Client A[Author ID1: at Wed Oct 4 11:30:00 2000 ]Authentication), jak przedstawiono na rysunku 6.4, wybierz certyfikat, który ma być stosowany (taki jak ten, który właśnie otrzymałeś) i naciśnij przycisk OK. Możesz zobaczyć zawartość certyfikatu,[Author ID1: at Wed Oct 4 11:30:00 2000 ] wybierając go,[Author ID1: at Wed Oct 4 11:30:00 2000 ] a następnie naciskając przycisk [Author ID1: at Wed Oct 4 11:31:00 2000 ]Wyświetl Certyfikat (V[Author ID1: at Wed Oct 4 11:31:00 2000 ]View C[Author ID1: at Wed Oct 4 11:31:00 2000 ]Certificate).

Uwaga: Jeśli do uwierzytelniania klienta używa się kart elektronicznych (smart cards[Author ID1: at Wed Oct 4 11:31:00 2000 ]) pojawi się okno dialogowe z monitem o włożenie karty elektronicznej (smart card),[Author ID1: at Wed Oct 4 11:31:00 2000 ] ([Author ID1: at Wed Oct 4 11:31:00 2000 ]o ile karta nie jest już w czytniku). Włóż kartę i naciśnij przycisk OK. Następnie pojawi się monit o kod PIN. Wprowadź go i naciśnij przycisk OK.

  1. Wyświetlona zostanie strona zabezpieczona (secure page).

0x01 graphic

Rysunek 6.3.[Author ID1: at Wed Oct 4 11:31:00 2000 ] Opis wyboru poziomu zabezpieczeń zamieszczony w witrynie internetowej firmy VeriSign..[Author ID0: at Thu Nov 30 00:00:00 1899 ]

0x01 graphic

Rysunek 6.4.[Author ID1: at Wed Oct 4 11:31:00 2000 ] Okno dialogowe Uwierzytelnianie Klienta (C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Client A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Authentication).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Konfigurowanie programu Outlook,[Author ID1: at Wed Oct 4 11:32:00 2000 ] aby korzystał z protokołu Secure Sockets Layer

Zabezpieczenia z kluczem publicznym w programie Outlook--> [Author ID1: at Wed Oct 4 11:32:00 2000 ]omówiono w dalszej części niniejszego rozdziału, ale przy omawianiu zabezpieczeń internetowych w tym podrozdziale opisano sposób konfigurowania programu Outlook--> [Author ID1: at Wed Oct 4 11:32:00 2000 ]tak,[Author ID1: at Wed Oct 4 11:32:00 2000 ] aby program Internet Mail mógł korzystać z uwierzytelniania za pomocą hasła (password authentication) i protokołu SSL.

  1. Uruchom program Outlook.

  2. Wybierz opcję Narzędzia\Usługi (T[Author ID1: at Wed Oct 4 11:32:00 2000 ]Tools\S[Author ID1: at Wed Oct 4 11:32:00 2000 ]Services) i wybierz pozycję Internet E-mail (rysunek 6.5).

  3. Naciśnij przycisk Właściwości (P[Author ID1: at Wed Oct 4 11:33:00 2000 ]Properties),[Author ID1: at Wed Oct 4 11:33:00 2000 ] a następnie wybierz zakładkę Usługi (S[Author ID1: at Wed Oct 4 11:33:00 2000 ]Services).

  4. Zaznacz pole opcji Logowanie z bezpiecznym uwierzytelnieniem hasła (L[Author ID1: at Wed Oct 4 11:33:00 2000 ]Logon using S[Author ID1: at Wed Oct 4 11:33:00 2000 ]s[Author ID1: at Wed Oct 4 11:33:00 2000 ]ecure P[Author ID1: at Wed Oct 4 11:33:00 2000 ]p[Author ID1: at Wed Oct 4 11:33:00 2000 ]assword A[Author ID1: at Wed Oct 4 11:33:00 2000 ]a[Author ID1: at Wed Oct 4 11:33:00 2000 ]uthentication), jak przedstawiono to na rysunku 6.6. Naciśnij przycisk Zastosuj (A[Author ID1: at Wed Oct 4 11:33:00 2000 ]Apply).

0x01 graphic

Rysunek 6.5.[Author ID1: at Wed Oct 4 11:33:00 2000 ] Okno dialogowe Usługi (SS[Author ID0: at Thu Nov 30 00:00:00 1899 ]ervices) programu Outlook[Author ID1: at Wed Oct 4 13:15:00 2000 ]k.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

  1. Wybierz zakładkę Zaawansowane (A[Author ID1: at Wed Oct 4 11:33:00 2000 ]Advanced).

  2. Dla obu serwerów SMTP i POP3 zaznacz opcję Ten serwer wymaga bezpiecznego połączenia (SSL) (TT[Author ID1: at Wed Oct 4 11:33:00 2000 ]his server requires a secure connection (SSL)), jak przedstawiono to na rysunku 6.7. Zwróć uwagę, że numery portów serwerów zmienią się automatycznie na numery protokołu SSL: 999 i 995.

  3. Naciśnij OK. Aby zamknąć okno dialogowe MSmail Właściwości (MSmail P[Author ID1: at Wed Oct 4 11:34:00 2000 ]Properties),[Author ID1: at Wed Oct 4 11:34:00 2000 ] naciśnij ponownie przycisk OK.

0x01 graphic

Rysunek 6.6.[Author ID1: at Wed Oct 4 11:34:00 2000 ] Wybór opcji L[Author ID0: at Thu Nov 30 00:00:00 1899 ]Logowanie z Bezpiecznym Uwierzytelnieniem Hasła (L[Author ID0: at Thu Nov 30 00:00:00 1899 ]Logon Using S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Secure P[Author ID0: at Thu Nov 30 00:00:00 1899 ]Password A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Authentication).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

0x01 graphic

Rysunek 6.7.[Author ID1: at Wed Oct 4 11:34:00 2000 ] Wybór opcji połączeń z zastosowaniem protokołu Secure Socket Layer.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Konfigurowanie zabezpieczeń poczty elektronicznej z zastosowaniem klucza publicznego (PK-based secure email)

Programy do obsługi poczty elektronicznej,[Author ID1: at Wed Oct 4 11:35:00 2000 ] korzystające z zabezpieczeń za pomocą kluczy publicznych (PK-based), takie jak Microsoft Exchange, są szeroko stosowane od lat. Systemy te korzystają z technologii klucza publicznego (PKT[Author ID1: at Wed Oct 4 11:35:00 2000 ] technology[Author ID1: at Wed Oct 4 11:35:00 2000 ]) zarówno przy podpisach cyfrowych[Author ID1: at Wed Oct 4 11:35:00 2000 ], [Author ID1: at Wed Oct 4 11:35:00 2000 ]aby dowieść pochodzenia i autentyczności wiadomości e-mail,[Author ID1: at Wed Oct 4 11:35:00 2000 ] [Author ID1: at Wed Oct 4 11:35:00 2000 ]oraz do szyfrowania danych masowych (bulk encryption) bez wcześniej ustalonych kluczy tajnych (shared secrets), aby zapewnić poufność korespondencji.

Technologia klucza publicznego (PKT[Author ID1: at Wed Oct 4 11:36:00 2000 ] technology[Author ID1: at Wed Oct 4 11:36:00 2000 ]) jest szczególnie [Author ID1: at Wed Oct 4 11:36:00 2000 ]przede wszystkim [Author ID1: at Wed Oct 4 11:36:00 2000 ]odpowiednia do zabezpieczania poczty elektronicznej dzięki temu, że jest to usługa rozproszona i korzysta ze sposobu przesyłania zapisz-i-przekaż dalej (store-and-forward transport) do wielu odbiorców. Rozwiązania alternatywne, oparte na kryptografii z kluczem tajnym (SKC[Author ID1: at Wed Oct 4 11:37:00 2000 ]shared-secret cryptography[Author ID1: at Wed Oct 4 11:37:00 2000 ]), narzucają wymagania dotyczące zabezpieczeń fizycznych i administracyjnych, co utrudnia ich stosowanie.

Ograniczeniem wcześniejszych wersji był brak możliwości współdziałania w przypadku różnych dostawców, ponieważ stosowano firmowe protokoły, kodowanie wiadomości oraz założenia dotyczące relacji zaufania. Ostatnio,[Author ID1: at Wed Oct 4 11:37:00 2000 ] wraz z pojawieniem się standardu IETF S/MIME wersja [Author ID0: at Thu Nov 30 00:00:00 1899 ]3 (opracowanego na podstawie projektu S/MIME wersja [Author ID0: at Thu Nov 30 00:00:00 1899 ]2 firmy RSA Data Security),[Author ID1: at Wed Oct 4 11:37:00 2000 ] zaistniały podstawy do stworzenia współdziałających bezpiecznych programów do obsługi poczty elektronicznej. Standard S/MIME zaimplementowano w wielu programach, włącznie z klientem komunikacji i współpracy (messaging and collaboration client) programu Outlook oraz programem Outlook Express.

Wymienione powyżej programy używają kluczy prywatnych użytkowników do podpisywania cyfrowego wychodzących wiadomości e-mail. Następnie razem z wiadomością e-mail wysyłany jest certyfikat użytkownika,[Author ID1: at Wed Oct 4 11:38:00 2000 ] po to,[Author ID1: at Wed Oct 4 11:38:00 2000 ] a[Author ID1: at Wed Oct 4 11:38:00 2000 ]by odbiorca mógł zweryfikować podpis. Standard S/MIME określa parametry certyfikatu gwarantujące współdziałanie i zakłada model hierarchiczny jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 11:38:00 2000 ]), aby [Author ID1: at Wed Oct 4 11:38:00 2000 ]w celu [Author ID1: at Wed Oct 4 11:38:00 2000 ]umożliwić[Author ID1: at Wed Oct 4 11:38:00 2000 ]enia[Author ID1: at Wed Oct 4 11:38:00 2000 ] skalowalnego[Author ID1: at Wed Oct 4 11:39:00 2000 ]e[Author ID1: at Wed Oct 4 11:39:00 2000 ] zarządzania[Author ID1: at Wed Oct 4 11:39:00 2000 ]e[Author ID1: at Wed Oct 4 11:39:00 2000 ] relacjami zaufania (scalable trust management). Aby zaszyfrować wiadomość e-mail, użytkownik uzyskuje certyfikat szyfrowania (encryption certificate) adresata z wcześniejszej wiadomości e-mail lub od usług katalogowych. Po zweryfikowaniu certyfikatu użytkownik może użyć zawartego w nim klucza publicznego do szyfrowania klucza tajnego, który z kolei jest stosowany do szyfrowania wiadomości e-mail.

Zawartość z podpisem cyfrowym

Ciągła ekspansja Internetu powoduje częstsze korzystanie z elementów aktywnych (active content) pobranych z Internetu, takich jak aplikacje systemu Windows, elementy sterujące ActiveX (ActiveX controls) i aplety Javy. Wynikiem tego jest rosnąca troska o bezpieczeństwo pobierania z Internetu, które często stanowi efekt uboczny skryptów sieci Web (Web scripts) bez specjalnego powiadamiania użytkownika. W odpowiedzi na to Microsoft wprowadził technologię podpisu cyfrowego,[Author ID1: at Wed Oct 4 11:40:00 2000 ] Authenticode.

Technologia podpisu cyfrowego [Author ID1: at Wed Oct 4 11:40:00 2000 ]Authenticode umożliwia wydawcom oprogramowania (software publishers) podpisywanie podpisem cyfrowym [Author ID1: at Wed Oct 4 11:40:00 2000 ]elementów aktywnych (active content) w dowolnej postaci, włączając w to archiwa zawierające wiele plików (multiple-file archive), podpisem cyfrowym[Author ID1: at Wed Oct 4 11:40:00 2000 ]. Podpisy te służą do weryfikacji wydawcy danego elementu aktywnego (content) i spójności tego elementu w czasie pobierania. Zintegrowane usługi i narzędzia do weryfikacji (verification infrastructure) korzystają z hierarchicznej struktury jednostek certyfikujących (CAs[Author ID1: at Wed Oct 4 11:41:00 2000 ]), w której kilka jednostek certyfikujących (CA) [Author ID1: at Wed Oct 4 11:41:00 2000 ]wydaje certyfikaty publikowania oprogramowania (software-[Author ID1: at Wed Oct 4 11:41:00 2000 ] [Author ID1: at Wed Oct 4 11:41:00 2000 ]publishing certificates). Infrastruktura Klucza Publicznego (PKI) w systemie Windows 2000 umożliwia wydawanie certyfikatów modułu Authenticode (Authenticode certificates) wewnętrznym deweloperom (developers) lub wykonawcom (contractors) oraz umożliwia dowolnemu użytkownikowi weryfikację[Author ID1: at Wed Oct 4 11:41:00 2000 ]e[Author ID1: at Wed Oct 4 11:41:00 2000 ] pochodzenia i integralności pobranej aplikacji.

Konfigurowanie zabezpieczeń z zastosowaniem klucza publicznego (PK Security) dla programu Outlook Express

Przyjmijmy, że zainstalowano program Outlook Express do wysyłania i odbierania wiadomości przez dany serwer poczty elektronicznej (mail server). Poniżej opisano sposób ustawienia parametrów tego programu, aby generował on wiadomości zgodnie ze standardem S/MIME Secure Mail:

  1. Zaznacz pozycję Narzędzia\Konta (T[Author ID1: at Wed Oct 4 11:42:00 2000 ]Tools\A[Author ID1: at Wed Oct 4 11:42:00 2000 ]Accounts),[Author ID1: at Wed Oct 4 11:42:00 2000 ] a następnie wybierz zakładkę Poczta elektroniczna (Mail[Author ID1: at Wed Oct 4 11:42:00 2000 ]Mail[Author ID1: at Wed Oct 4 11:42:00 2000 ]). Wybierz swoje konto pocztowe i naciśnij przycisk Właściwości (P[Author ID1: at Wed Oct 4 11:42:00 2000 ]Properties).

  2. Wybierz zakładkę Zabezpieczenia (S[Author ID1: at Wed Oct 4 11:43:00 2000 ]Security),[Author ID1: at Wed Oct 4 11:43:00 2000 ] aby zobaczyć właściwości swojego konta pocztowego związane z bezpieczeństwem.

  3. Zaznacz opcję Używaj cyfrowego ID przy wysyłaniu bezpiecznych wiadomości z: (U[Author ID1: at Wed Oct 4 11:43:00 2000 ]Use a digital ID when sending secure messages from:), jak przedstawiono to na rysunku 6.8.[Author ID1: at Wed Oct 4 11:43:00 2000 ]

0x01 graphic

Rysunek 6.8.[Author ID1: at Wed Oct 4 11:43:00 2000 ] Zakładka Właściwości (P[Author ID0: at Thu Nov 30 00:00:00 1899 ]Properties) konta poczty elektronicznej w programie Outlook Express.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

  1. Aby wybrać certyfikat,[Author ID1: at Wed Oct 4 11:44:00 2000 ] naciśnij przycisk Identyfikator Cyfrowy (D[Author ID1: at Wed Oct 4 11:43:00 2000 ]Digital ID). Program Outlook Express rozpoznaje tylko te certyfikaty, które zawierają w polu Subject twój adres e-mailowy[Author ID1: at Wed Oct 4 11:43:00 2000 ] na użytek technologii S/MIME. Takie certyfikaty są wyświetlone w oknie dialogowym Wybierz identyfikator cyfrowy domyślnego konta (S[Author ID1: at Wed Oct 4 11:43:00 2000 ]Delect D[Author ID1: at Wed Oct 4 11:43:00 2000 ]d[Author ID1: at Wed Oct 4 11:43:00 2000 ]efault A[Author ID1: at Wed Oct 4 11:43:00 2000 ]a[Author ID1: at Wed Oct 4 11:43:00 2000 ]ccount d[Author ID1: at Wed Oct 4 11:43:00 2000 ]D[Author ID1: at Wed Oct 4 11:43:00 2000 ]igital ID), jak przedstawiono to na rysunku 6.9.

  2. Aby zamknąć okno dialogowe Wybierz identyfikator cyfrowy domyślnego konta (S[Author ID1: at Wed Oct 4 11:44:00 2000 ]Select D[Author ID1: at Wed Oct 4 11:44:00 2000 ]d[Author ID1: at Wed Oct 4 11:44:00 2000 ]efault A[Author ID1: at Wed Oct 4 11:44:00 2000 ]a[Author ID1: at Wed Oct 4 11:44:00 2000 ]ccount D[Author ID1: at Wed Oct 4 11:44:00 2000 ]d[Author ID1: at Wed Oct 4 11:44:00 2000 ]igital ID),[Author ID1: at Wed Oct 4 11:44:00 2000 ] naciśnij przycisk OK.

  3. Aby zamknąć okno dialogowe Właściwości [Author ID1: at Wed Oct 4 11:44:00 2000 ] [Author ID1: at Wed Oct 4 11:44:00 2000 ](P[Author ID1: at Wed Oct 4 11:44:00 2000 ]roperties) [Author ID1: at Wed Oct 4 11:44:00 2000 ]twojego konta pocztowego,[Author ID1: at Wed Oct 4 11:44:00 2000 ] naciśnij przycisk OK.

  4. Aby zamknąć okno dialogowe Konta Internetowe (I[Author ID1: at Wed Oct 4 11:44:00 2000 ]Internet A[Author ID1: at Wed Oct 4 11:44:00 2000 ]Accounts),[Author ID1: at Wed Oct 4 11:44:00 2000 ] naci [Author ID1: at Wed Oct 4 11:44:00 2000 ]śnij przycisk Zamknij (C[Author ID1: at Wed Oct 4 11:44:00 2000 ]Close).

  5. Wybierz pozycję Narzędzia\Opcje (TT[Author ID1: at Wed Oct 4 11:44:00 2000 ]ools\O[Author ID1: at Wed Oct 4 11:44:00 2000 ]Options),[Author ID1: at Wed Oct 4 11:45:00 2000 ] a następnie wybierz zakładkę Bezpieczeństwo (S[Author ID1: at Wed Oct 4 11:45:00 2000 ]Security). Pojawi się okno dialogowe Opcje (O[Author ID1: at Wed Oct 4 11:45:00 2000 ]Options), które przedstawiono na rysunku 6.10.

0x01 graphic

Rysunek 6.9.[Author ID1: at Wed Oct 4 11:45:00 2000 ] Okno dialogowe Wybierz identyfikator cyfrowy domyślnego konta (S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Select D[Author ID0: at Thu Nov 30 00:00:00 1899 ]d[Author ID1: at Wed Oct 4 11:45:00 2000 ]efault A[Author ID0: at Thu Nov 30 00:00:00 1899 ]a[Author ID1: at Wed Oct 4 11:45:00 2000 ]ccount D[Author ID0: at Thu Nov 30 00:00:00 1899 ]d[Author ID1: at Wed Oct 4 11:45:00 2000 ]igital ID).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

0x01 graphic

Rysunek 6.10.[Author ID1: at Wed Oct 4 11:45:00 2000 ] Okno dialogowe Opcje (OO[Author ID0: at Thu Nov 30 00:00:00 1899 ]ptions).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

  1. Jeśli chcesz, możesz [Author ID1: at Wed Oct 4 11:45:00 2000 ]można [Author ID1: at Wed Oct 4 11:45:00 2000 ]dodać podpis cyfrowy do wszystkich wiadomości e-mail, które wysyłasz. W tym celu należy zaznaczyć opcję Dodaj podpis cyfrowy do wszystkich wysyłanych wiadomości (D[Author ID1: at Wed Oct 4 11:46:00 2000 ]Digitally sign all outgoing messages). Częściej spotykane jest dodawanie podpisów cyfrowych do wybranych wiadomości.

  2. Podobnie można zaznaczyć opcję Szyfruj zawartość i załączniki wszystkich wysyłanych wiadomości (E[Author ID1: at Wed Oct 4 11:46:00 2000 ]Encrypt contents and attachments for all outgoing messages),[Author ID1: at Wed Oct 4 11:46:00 2000 ] aby wszystkie wysyłane wiadomości zostały zaszyfrowane. Zwykle stosuje się szyfrowanie wybranych wiadomości.

  3. Naciśnij przycisk Zaawansowane [Author ID1: at Wed Oct 4 11:46:00 2000 ](Advanced) P[Author ID1: at Wed Oct 4 11:46:00 2000 ]. P[Author ID1: at Wed Oct 4 11:46:00 2000 ]ojawi się okno dialogowe Zaawansowane Ustawienia Zabezpieczeń (A[Author ID1: at Wed Oct 4 11:46:00 2000 ]Advanced S[Author ID1: at Wed Oct 4 11:46:00 2000 ]Security S[Author ID1: at Wed Oct 4 11:46:00 2000 ]Settings), które przedstawiono na rysunku 6.11.

  4. Sprawdź, że [Author ID1: at Wed Oct 4 11:46:00 2000 ]czy [Author ID1: at Wed Oct 4 11:46:00 2000 ]w części okna o nazwie Wiadomości Zaszyfrowane (E[Author ID1: at Wed Oct 4 11:47:00 2000 ]Encrypted Messages) zaznaczono pole wyboru Przy wysyłaniu zaszyfrowanej wiadomości zawsze szyfruj do mnie (A[Author ID1: at Wed Oct 4 11:47:00 2000 ]Always encrypt to myself when sending encrypted mail). Wybranie tej opcji gwarantuje, że będziesz w stanie odszyfrować wysłane przez siebie zaszyfrowane [Author ID1: at Wed Oct 4 11:47:00 2000 ]wiadomości zaszyfrowane[Author ID1: at Wed Oct 4 11:47:00 2000 ].

  5. Z listy rozwijalnej Ostrzegaj przy szyfrowaniu wiadomości kluczem o sile mniejszej niż: (W[Author ID1: at Wed Oct 4 11:47:00 2000 ]Warn on encrypting messages with less than this strength:) wybierz odpowiednią opcję: 40-[Author ID1: at Wed Oct 4 11:47:00 2000 ] bitów[Author ID1: at Wed Oct 4 11:47:00 2000 ] [Author ID1: at Wed Oct 4 11:47:00 2000 ]lub 56 bitów.

  6. Z listy rozwijalnej Poziom szyfrowania wiadomości przychodzących (E[Author ID1: at Wed Oct 4 11:48:00 2000 ]Encryption level you wish to receive) wybierz odpowiednią opcję: Algorytm DES (56-bitowy) lub algorytm RC2 (40-bitowy).

  7. Sprawdź, czy w części okna dialogowego o nazwie Wiadomości Podpisane Cyfrowo (D[Author ID1: at Wed Oct 4 11:48:00 2000 ]Digitally S[Author ID1: at Wed Oct 4 11:48:00 2000 ]Signed Messages) wybrane są następujące opcje:

0x01 graphic

Rysunek 6.11.[Author ID1: at Wed Oct 4 11:48:00 2000 ] Okno dialogowe Zaawansowane Ustawienia Zabezpieczeń (A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Advanced S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Security S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Settings).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

  1. Jeśli chcesz włączyć sprawdzanie odwołań certyfikatów (certificate revocation checking) w trakcie pracy w trybie online,[Author ID1: at Wed Oct 4 11:49:00 2000 ] upewnij się, czy w części okna pod nazwą Sprawdzanie Odwołań (R[Author ID1: at Wed Oct 4 11:49:00 2000 ]Revocation C[Author ID1: at Wed Oct 4 11:49:00 2000 ]Checking) zaznaczone jest tylko [Author ID1: at Wed Oct 4 11:49:00 2000 ]jedynie [Author ID1: at Wed Oct 4 11:49:00 2000 ]pole opcji Tylko w trybie online (OO[Author ID1: at Wed Oct 4 11:49:00 2000 ]nly when online);[Author ID1: at Wed Oct 4 11:49:00 2000 ]. O[Author ID1: at Wed Oct 4 11:49:00 2000 ] o[Author ID1: at Wed Oct 4 11:49:00 2000 ]pcja ta jest wybrana domyślnie. Odwołanie (R[Author ID1: at Wed Oct 4 11:49:00 2000 ]Revocation) jest to proces unieważniania oświadczenia z dołączonym podpisem cyfrowym (digitally signed statement), które zwarte jest w certyfikacie cyfrowym (digital certificate). Jeśli włączone jest sprawdzanie odwołań (revocation checking) i odebra[Author ID1: at Wed Oct 4 11:49:00 2000 ]na [Author ID1: at Wed Oct 4 11:49:00 2000 ]zostanie odebrana [Author ID1: at Wed Oct 4 11:49:00 2000 ]wiadomość z dołączonym podpisem cyfrowym (digitally signed message), wówczas[Author ID1: at Wed Oct 4 11:50:00 2000 ] to wtedy[Author ID1: at Wed Oct 4 11:50:00 2000 ] program Outlook Express próbuje sprawdzić, czy żaden z certyfikatów zatwierdzających klucz publiczny stosowany do podpisywania wiadomości nie został odwołany.

  2. Aby zamknąć okno dialogowe Zaawansowane Ustawienia Zabezpieczeń [Author ID1: at Wed Oct 4 11:50:00 2000 ](Advanced Security Settings) [Author ID1: at Wed Oct 4 11:50:00 2000 ], [Author ID1: at Wed Oct 4 11:50:00 2000 ]naciśnij przycisk OK.

  3. Aby zamknąć okno dialogowe Właściwości [Author ID1: at Wed Oct 4 11:50:00 2000 ](Properties) n[Author ID1: at Wed Oct 4 11:50:00 2000 ], n[Author ID1: at Wed Oct 4 11:50:00 2000 ]aciśnij przycisk OK.

Wysyłanie wiadomości e-mail z dołączonym podpisem cyfrowym

Po uzyskaniu podpisu cyfrowego i odpowiednim skonfigurowaniu programu Outlook wysyłanie wiadomości z dołączonym podpisem cyfrowym jest proste. Przed wysłaniem wiadomości należy kliknąć ikonę Opatrz wiadomość podpisem cyfrowym (DD[Author ID1: at Wed Oct 4 11:51:00 2000 ]igitally sign message), jak przedstawiono to na rysunku 6.12.

W przypadku stosowania kart elektronicznych (smart card), jeśli w czytniku nie ma żądanej karty,[Author ID1: at Wed Oct 4 11:51:00 2000 ] pojawi się okno dialogowe Wybierz Kartę (S[Author ID1: at Wed Oct 4 11:51:00 2000 ]Select C[Author ID1: at Wed Oct 4 11:51:00 2000 ]Card). Wybierz czytnik, do którego włożono kartę i naciśnij przycisk OK. Wprowadź kod PIN i znów[Author ID1: at Wed Oct 4 11:51:00 2000 ]a następnie[Author ID1: at Wed Oct 4 11:51:00 2000 ] naciśnij przycisk [Author ID1: at Wed Oct 4 11:51:00 2000 ]OK.

Jeśli dana wiadomość nie zniknie ze skrzynki nadawczej (Outbox), naciśnij znajdującą się na pasku zadań ikonę Wyślij i Odbierz (S[Author ID1: at Wed Oct 4 11:51:00 2000 ]Send and R[Author ID1: at Wed Oct 4 11:51:00 2000 ]Receive),[Author ID1: at Wed Oct 4 11:51:00 2000 ] aby ręcznie przesłać wiadomość do serwera poczty wychodzącej.

0x01 graphic

Rysunek 6.12.[Author ID1: at Wed Oct 4 11:52:00 2000 ] Dołączanie podpisu cyfrowego do wiadomości e-mail.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Wysyłanie wiadomości e-mail zaszyfrowanych cyfrowo

Aby przesłać komuś wiadomość zaszyfrowaną,[Author ID1: at Wed Oct 4 11:52:00 2000 ] najpierw konieczne jest uzyskanie kopii klucza publicznego adresata lub jego certyfikatu szyfrowania, który zawiera kopię tego klucza. Jeśli osoba, do której ma być wysłana wiadomość, przysłała wiadomość [Author ID1: at Wed Oct 4 11:52:00 2000 ][Author ID1: at Wed Oct 4 11:52:00 2000 ]z dołączonym podpisem cyfrowym, to[Author ID1: at Wed Oct 4 11:52:00 2000 ] kopię jej klucza publicznego można otrzymać w sposób opisany poniżej. Jeśli już wcześniej uzyskano certyfikat klucza publicznego odbiorcy i odbiorca ten znajduje się na liście Kontakty (C[Author ID1: at Wed Oct 4 11:52:00 2000 ]Contacts),[Author ID1: at Wed Oct 4 11:52:00 2000 ] wtedy można pominąć pierwsze dwa kroki [Author ID1: at Wed Oct 4 11:53:00 2000 ]ie czynności [Author ID1: at Wed Oct 4 11:53:00 2000 ]poniższej procedury.

  1. Otwórz wiadomość z dołączonym podpisem cyfrowym od osoby, której chcesz przesłać wiadomość. Wiadomości z podpisem cyfrowym znajdujące się w skrzynce odbiorczej (Inbox) są oznaczone za pomocą znaku koperty z czerwoną wstążką.

  2. W polu Od (F[Author ID1: at Wed Oct 4 11:53:00 2000 ]From) prawym przyciskiem [Author ID1: at Wed Oct 4 13:18:00 2000 ]klawiszem [Author ID1: at Wed Oct 4 13:18:00 2000 ]myszki kliknij nazwę nadawcy i z menu wybierz pozycję Dodaj do książki adresowej (AA[Author ID1: at Wed Oct 4 11:53:00 2000 ]dd to A[Author ID1: at Wed Oct 4 11:53:00 2000 ]a[Author ID1: at Wed Oct 4 11:53:00 2000 ]ddress b[Author ID1: at Wed Oct 4 11:53:00 2000 ]B[Author ID1: at Wed Oct 4 11:53:00 2000 ]ook). Następnie, aby dodać danego użytkownika i jego certyfikat klucza publicznego (public key certificate) do listy Kontakty (Contacts) [Author ID1: at Wed Oct 4 11:53:00 2000 ]programu Outlook Express, naciśnij przycisk OK.

  3. Ułóż nową wiadomość.

  4. Klik[Author ID1: at Wed Oct 4 13:16:00 2000 ]nij [Author ID1: at Wed Oct 4 13:16:00 2000 ]Naciśnij [Author ID1: at Wed Oct 4 13:16:00 2000 ]ikonę Szyfruj Wiadomość (E[Author ID1: at Wed Oct 4 11:53:00 2000 ]Encrypt Message), jak przedstawiono na rysunku 6.13. Jeśli chcesz również do danej wiadomości dołączyć podpis cyfrowy, oprócz ikony Szyfruj wiadomość [Author ID1: at Wed Oct 4 11:54:00 2000 ](Encrypt message) [Author ID1: at Wed Oct 4 11:54:00 2000 ], [Author ID1: at Wed Oct 4 11:54:00 2000 ]kliknij ikonę [Author ID1: at Wed Oct 4 20:20:00 2000 ]opcję [Author ID1: at Wed Oct 4 20:20:00 2000 ]Opatrz wiadomość podpisem cyfrowym (D[Author ID1: at Wed Oct 4 11:54:00 2000 ]Digitally sign message).

  5. Kliknij ikonę[Author ID1: at Wed Oct 4 13:16:00 2000 ]Włącz [Author ID1: at Wed Oct 4 13:16:00 2000 ]pozycję[Author ID1: at Wed Oct 4 20:20:00 2000 ] Wyślij (S[Author ID1: at Wed Oct 4 11:54:00 2000 ]Send).

W przypadku stosowania kart elektronicznych (smart card), jeśli w czytniku nie ma żądanej karty pojawi się okno dialogowe Wybierz kartę [Author ID1: at Wed Oct 4 11:54:00 2000 ](Select Card)[Author ID1: at Wed Oct 4 11:54:00 2000 ]. Wybierz czytnik, do którego włożono kartę i naciśnij przycisk OK. Wprowadź kod PIN i znów [Author ID1: at Wed Oct 4 11:54:00 2000 ]a następnie [Author ID1: at Wed Oct 4 11:54:00 2000 ]naciśnij przycisk [Author ID1: at Wed Oct 4 11:54:00 2000 ]OK.

0x01 graphic

Rysunek 6.13.[Author ID1: at Wed Oct 4 11:55:00 2000 ] Szyfrowanie wiadomości.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Uzyskiwanie klucza publicznego odbiorcy od komercyjnej jednostki certyfikującej (CA)

Jeśli osoba, do której ma być wysłana wiadomość [Author ID1: at Wed Oct 4 11:55:00 2000 ]zaszyfrowana wiadomość, [Author ID1: at Wed Oct 4 11:55:00 2000 ]otrzymała swój identyfikator cyfrowy (D[Author ID1: at Wed Oct 4 11:55:00 2000 ]d[Author ID1: at Wed Oct 4 11:55:00 2000 ]igital ID) od komercyjnej jednostki certyfikującej (CA) przez Internet, można uzyskać jej klucz publiczny z witryny internetowej danej jednostki certyfikującej (CA)[Author ID1: at Wed Oct 4 11:55:00 2000 ]. Przyjmijmy, że potencjalny odbiorca wiadomości uzyskał swój identyfikator cyfrowy (Digital ID) [Author ID1: at Wed Oct 4 11:56:00 2000 ]od firmy VeriSign. Można w publicznej książce adresowej VeriSign poszukać jego identyfikatora cyfrowego (Digital ID)[Author ID1: at Wed Oct 4 11:56:00 2000 ], pobrać identyfikator (ID) i zaimportować go do własnej książki adresowej.

Aby uzyskać identyfikator cyfrowy (Digital ID) jakiejś osoby z publicznej książki adresowej VeriSign:[Author ID1: at Wed Oct 4 11:56:00 2000 ], należy:[Author ID1: at Wed Oct 4 11:56:00 2000 ]

  1. Zajrzyj[Author ID1: at Wed Oct 4 11:56:00 2000 ][Author ID1: at Wed Oct 4 11:56:00 2000 ] na stronę https://digitalid.verisign.com./query.htm i postępując zgodnie z instrukcjami zlokalizować[Author ID1: at Wed Oct 4 11:56:00 2000 ]uj[Author ID1: at Wed Oct 4 11:56:00 2000 ], zaznacz[Author ID1: at Wed Oct 4 11:56:00 2000 ] i pobrać[Author ID1: at Wed Oct 4 11:57:00 2000 ]ierz[Author ID1: at Wed Oct 4 11:57:00 2000 ] identyfikator cyfrowy (D[Author ID1: at Wed Oct 4 11:57:00 2000 ]d[Author ID1: at Wed Oct 4 11:57:00 2000 ]igital ID).[Author ID1: at Wed Oct 4 11:57:00 2000 ]

  2. Będąc [Author ID1: at Wed Oct 4 11:57:00 2000 ]P[Author ID1: at Wed Oct 4 11:57:00 2000 ]p[Author ID1: at Wed Oct 4 11:57:00 2000 ]oproszonym[Author ID1: at Wed Oct 4 11:57:00 2000 ] o wybranie formatu pobierania,[Author ID1: at Wed Oct 4 11:57:00 2000 ] wybierz [Author ID1: at Wed Oct 4 11:57:00 2000 ]wybrać [Author ID1: at Wed Oct 4 11:57:00 2000 ]opcję Identyfikator cyfrowy innej osoby dla programu Microsoft IE -->(4[Author ID1: at Wed Oct 4 11:57:00 2000 ].0 lub lepszy-->)[Author ID1: at Wed Oct 4 11:57:00 2000 ]--> [Author ID1: at Wed Oct 4 11:57:00 2000 ](S[Author ID1: at Wed Oct 4 11:57:00 2000 ]Someone else's D[Author ID1: at Wed Oct 4 11:57:00 2000 ]d[Author ID1: at Wed Oct 4 11:57:00 2000 ]igital ID for IE) /Outlook Express/Outlook '98.

  3. Nacisnąć[Author ID1: at Wed Oct 4 11:58:00 2000 ]śnij[Author ID1: at Wed Oct 4 11:58:00 2000 ] przycisk Pobierz (D[Author ID1: at Wed Oct 4 11:58:00 2000 ]Download) i zapis[Author ID1: at Wed Oct 4 11:58:00 2000 ]z[Author ID1: at Wed Oct 4 11:58:00 2000 ] certyfikat do pliku.

Konfigurowanie zabezpieczeń z zastosowaniem klucza publicznego (PK Security) dla programu Outlook

Tak,[Author ID1: at Wed Oct 4 11:58:00 2000 ] jak poprzednio w przypadku programu Outlook Express, także w niniejszym podrozdziale przyjęto, że program Outlook jest odpowiednio skonfigurowany, a nadawca uzyskał identyfikator cyfrowy (D[Author ID1: at Wed Oct 4 11:58:00 2000 ]d[Author ID1: at Wed Oct 4 11:58:00 2000 ]igital ID) z serwera zarządzania kluczami (Key Management Server)[Author ID1: at Wed Oct 4 11:59:00 2000 ]([Author ID1: at Wed Oct 4 11:58:00 2000 ]dla Microsoft Exchange), z [Author ID1: at Wed Oct 4 11:59:00 2000 ]S[Author ID1: at Wed Oct 4 11:59:00 2000 ]s[Author ID1: at Wed Oct 4 11:59:00 2000 ]erwera certyfikatów (C[Author ID1: at Wed Oct 4 11:59:00 2000 ]c[Author ID1: at Wed Oct 4 11:59:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 11:59:00 2000 ]s[Author ID1: at Wed Oct 4 11:59:00 2000 ]erver) firmy Microsoft lub komercyjnej jednostki certyfikującej (commercial CA).

  1. Uruchom program Outlook.

  2. Wybierz pozycje Narzędzia\Opcje (T[Author ID1: at Wed Oct 4 11:59:00 2000 ]Tools\O[Author ID1: at Wed Oct 4 11:59:00 2000 ]Options),[Author ID1: at Wed Oct 4 11:59:00 2000 ] a następnie wybierz zakładkę Bezpieczeństwo (S[Author ID1: at Wed Oct 4 11:59:00 2000 ]Security). Powinien pojawić się ekran podobny do tego z rysunku 6.14.

  3. Naciśnij przycisk Zmień Ustawienia (C[Author ID1: at Wed Oct 4 11:59:00 2000 ]Change S[Author ID1: at Wed Oct 4 11:59:00 2000 ]Settings),[Author ID1: at Wed Oct 4 11:59:00 2000 ] znajdujący się w części pod tytułem Zabezpieczenia poczty e-mail (S[Author ID1: at Wed Oct 4 11:59:00 2000 ]Secure e-mail). Pojawi się okno dialogowe Zmiana Ustawień Zabezpieczeń (C[Author ID1: at Wed Oct 4 11:59:00 2000 ]Change S[Author ID1: at Wed Oct 4 11:59:00 2000 ]Security S[Author ID1: at Wed Oct 4 11:59:00 2000 ]Settings), przedstawione na rysunku 6.15.

  4. W polu Nazwa Ustawień Zabezpieczeń (S[Author ID1: at Wed Oct 4 12:00:00 2000 ]Security S[Author ID1: at Wed Oct 4 12:00:00 2000 ]Settings N[Author ID1: at Wed Oct 4 12:00:00 2000 ]Name) wprowadź Moje ustawienia standardu S/MIME (My S/MIME S[Author ID1: at Wed Oct 4 12:00:00 2000 ]s[Author ID1: at Wed Oct 4 12:00:00 2000 ]ettings).

  5. Program Outlook 98 sprawdzi certyfikaty, które posiadasz, określi, które z nich obowiązują dla szyfrowaniu wiadomości e-mail i podpisów cyfrowych i kolejno [Author ID1: at Wed Oct 4 12:00:00 2000 ]wybierze dla nich po certyfikacie[Author ID1: at Wed Oct 4 12:00:00 2000 ]po certyfikaty[Author ID1: at Wed Oct 4 12:00:00 2000 ]. Jeśli certyfikaty wybrane przez program Outlook nie są tymi, które chciałeś, możesz zmienić ustawienia domyślne w następujący sposób:

0x01 graphic

Rysunek 6.14.[Author ID1: at Wed Oct 4 12:01:00 2000 ] Okno dialogowe Opcje (O[Author ID0: at Thu Nov 30 00:00:00 1899 ]Options), zakładka Bezpieczeństwo (S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Security).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

0x01 graphic

Rysunek 6.15.[Author ID1: at Wed Oct 4 12:01:00 2000 ] Okno dialogowe Zmiana Ustawień Zabezpieczeń (C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Change S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Security S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Settings).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

  1. Aby zamknąć okno dialogowe Zmiana Ustawień Zabezpieczeń [Author ID1: at Wed Oct 4 12:02:00 2000 ](Change Security Settings)[Author ID1: at Wed Oct 4 12:02:00 2000 ] i powrócić do okna dialogowego Opcje [Author ID1: at Wed Oct 4 12:02:00 2000 ](Options) n[Author ID1: at Wed Oct 4 12:02:00 2000 ], [Author ID1: at Wed Oct 4 12:02:00 2000 ]n[Author ID1: at Wed Oct 4 12:02:00 2000 ]aciśnij przycisk OK.

  2. Tak samo,[Author ID1: at Wed Oct 4 12:02:00 2000 ] jak w przypadku programu Outlook Express [Author ID1: at Wed Oct 4 12:02:00 2000 ], [Author ID1: at Wed Oct 4 12:02:00 2000 ]możesz wybrać dołączanie podpisów cyfrowych do każdej wiadomości e-mail,[Author ID1: at Wed Oct 4 12:02:00 2000 ] zaznaczając opcję Dodaj podpis cyfrowy do wysyłanych wiadomości (A[Author ID1: at Wed Oct 4 12:02:00 2000 ]Add digital signature to outgoing messages). Zazwyczaj [Author ID1: at Wed Oct 4 12:03:00 2000 ]Zwykle [Author ID1: at Wed Oct 4 12:03:00 2000 ]dołącza się podpisy cyfrowe do wybranych wiadomości.

  3. Podobnie można szyfrować wszystkie wiadomości e-mail,[Author ID1: at Wed Oct 4 12:03:00 2000 ] zaznaczając opcję Szyfruj treść i załączniki wysyłanych wiadomości (E[Author ID1: at Wed Oct 4 12:03:00 2000 ]Encrypt contents and attachments for all outgoing messages). Zwykle szyfruje się pojedyncze,[Author ID1: at Wed Oct 4 12:03:00 2000 ] wybrane wiadomości.

  4. Aby zamknąć okno dialogowe Opcje [Author ID1: at Wed Oct 4 12:04:00 2000 ](Options) [Author ID1: at Wed Oct 4 12:03:00 2000 ],[Author ID1: at Wed Oct 4 12:03:00 2000 ] [Author ID1: at Wed Oct 4 12:04:00 2000 ]naciśnij przycisk OK.

  5. Kliknij pozycję Narzędzia\Usługi [Author ID1: at Wed Oct 4 12:04:00 2000 ]([Author ID1: at Wed Oct 4 12:04:00 2000 ],[Author ID1: at Wed Oct 4 12:04:00 2000 ]Tools|Services)[Author ID1: at Wed Oct 4 12:04:00 2000 ] a następnie wybierz zakładkę Adresowanie (A[Author ID1: at Wed Oct 4 12:04:00 2000 ]Addressing).

  6. W części Pokaż najpierw tę listę adresów (S[Author ID1: at Wed Oct 4 12:04:00 2000 ]Show this address list first) z listy rozwijalnej wybierz pozycję Kontakty (C[Author ID1: at Wed Oct 4 12:04:00 2000 ]Contacts).

  7. W części W wysyłanej poczcie (W[Author ID1: at Wed Oct 4 12:04:00 2000 ]When sending mail) przenieś pozycję Kontakty (C[Author ID1: at Wed Oct 4 12:04:00 2000 ]Contacts),[Author ID1: at Wed Oct 4 12:04:00 2000 ] aby była pierwsza w kolejności przeszukiwania, a pozycję Globalna Lista Adresów (GG[Author ID1: at Wed Oct 4 12:04:00 2000 ]lobal A[Author ID1: at Wed Oct 4 12:04:00 2000 ]Address L[Author ID1: at Wed Oct 4 12:04:00 2000 ]List) jako ostatnią.

  8. Naciśnij przycisk OK.

Dodawanie opcji dołączania podpisów cyfrowych i szyfrowania do paska zadań

Zanim wiadomości e-mail będą opatrywane podpisami cyfrowymi i szyfrowane, do paska zadań można dodać ikony dołączania podpisów cyfrowych i szyfrowania w sposób następujący:

  1. Otwórz okno nowej wiadomości.

  2. W oknie wiadomości wybierz opcję Widok\Paski narzędzi\Dostosuj (V[Author ID1: at Wed Oct 4 12:05:00 2000 ]View\T[Author ID1: at Wed Oct 4 12:05:00 2000 ]Toolbars\C[Author ID1: at Wed Oct 4 12:05:00 2000 ]Customize).

  3. Wybierz zakładkę Polecenia (C[Author ID1: at Wed Oct 4 12:05:00 2000 ]Commands) i w polu Kategorie (C[Author ID1: at Wed Oct 4 12:05:00 2000 ]Categories) wybierz [Author ID1: at Wed Oct 4 12:05:00 2000 ]zaznacz [Author ID1: at Wed Oct 4 12:05:00 2000 ]pozycję Standardowe (S[Author ID1: at Wed Oct 4 12:05:00 2000 ]Standard).

  4. Przewiń listę Polecenia (C[Author ID1: at Wed Oct 4 12:05:00 2000 ]Commands) i,[Author ID1: at Wed Oct 4 12:06:00 2000 ] korzystając z mechanizmu przenieś-i-upuść (drag and drop),[Author ID1: at Wed Oct 4 12:06:00 2000 ] umieść na pasku zadań ikony Szyfruj Tekst Wiadomości (E[Author ID1: at Wed Oct 4 12:06:00 2000 ]Encrypt MM[Author ID1: at Wed Oct 4 12:06:00 2000 ]essage C[Author ID1: at Wed Oct 4 12:06:00 2000 ]Contents) oraz Opatrz Wiadomość Podpisem Cyfrowym (D[Author ID1: at Wed Oct 4 12:06:00 2000 ]Digitally S[Author ID1: at Wed Oct 4 12:06:00 2000 ]Sign M[Author ID1: at Wed Oct 4 12:06:00 2000 ]Message) w dowolnym miejscu po lewej stronie ikony asystenta pakietu Office.

  5. Naciśnij przycisk Zamknij (C[Author ID1: at Wed Oct 4 12:06:00 2000 ]Close).

Opatrywanie podpisem cyfrowym i szyfrowanie pojedynczych wiadomości

Po dodaniu do paska zadań odpowiednich elementów sterujących opatrywanie podpisami cyfrowymi oraz szyfrowanie wiadomości polega po prostu na kliknięciu odpowiedniej ikony w oknie Zredaguj Wiadomość (C[Author ID1: at Wed Oct 4 12:07:00 2000 ]Compose M[Author ID1: at Wed Oct 4 12:07:00 2000 ]Message). Tak,[Author ID1: at Wed Oct 4 12:07:00 2000 ] jak poprzednio,[Author ID1: at Wed Oct 4 12:07:00 2000 ] do zaszyfrowania wiadomości konieczna jest znajomość klucza publicznego odbiorcy, który można uzyskać w uprzednio [Author ID1: at Wed Oct 4 12:07:00 2000 ]powyżej [Author ID1: at Wed Oct 4 12:07:00 2000 ]opisany sposób.

Jeśli ikony nie zostały dodane do paska zadań, można dołączać podpisy cyfrowe i szyfrować wiadomości,[Author ID1: at Wed Oct 4 12:07:00 2000 ] klikając ikonę Opcje (O[Author ID1: at Wed Oct 4 12:07:00 2000 ]Options) i zaznaczając odpowiednie opcj[Author ID1: at Wed Oct 4 12:07:00 2000 ]e[Author ID1: at Wed Oct 4 12:07:00 2000 ]. Chociaż jest to sposób mniej wygodny, jednak ogranicza ryzyko przypadkowego zaszyfrowania wiadomości;[Author ID1: at Wed Oct 4 12:07:00 2000 ] ([Author ID1: at Wed Oct 4 12:07:00 2000 ]wiadomości zaszyfrowane są wolniejsze i zajmują większą część zasobów procesora)[Author ID1: at Wed Oct 4 12:08:00 2000 ]. Możliwe jest również wybranie innych opcji,[Author ID1: at Wed Oct 4 12:08:00 2000 ] takich jak żądanie potwierdzenia dostarczenia wiadomości oraz planowanie wysyłania.

Uzyskiwanie współdziałania (A[Author ID1: at Wed Oct 4 12:08:00 2000 ]a[Author ID1: at Wed Oct 4 12:08:00 2000 ]chieving interoperability)

Byłoby najlepiej,[Author ID1: at Wed Oct 4 12:08:00 2000 ] gdyby jednostki certyfikujące (CAs[Author ID1: at Wed Oct 4 12:08:00 2000 ]),[Author ID1: at Wed Oct 4 12:08:00 2000 ] wydawały, [Author ID1: at Wed Oct 4 12:09:00 2000 ]na podstawie standardowego protokołu żądania certyfikatów (certificate-request protocol), wydawały [Author ID1: at Wed Oct 4 12:09:00 2000 ]zestaw certyfikatów w pełni współpracujących ze sobą (completely interoperable certificates). Byłyby one oceniane przez aplikacje w jednakowy sposób i na żadnym etapie przetwarzania certyfikatu nie pojawiałyby się żadne [Author ID1: at Wed Oct 4 12:09:00 2000 ]dwuznaczności dotyczące składni ani [Author ID1: at Wed Oct 4 12:09:00 2000 ]czy [Author ID1: at Wed Oct 4 12:09:00 2000 ]semantyki.

Do tej pory nie osiągnięto takiego poziomu współdziałania (interoperability). Protokoły SSL/TLS i S/MIME umożliwiają poprawną współpracę programów od wielu dostawców, ale nowsze aplikacje, takie jak podpisywanie kodu (code signing) i formularze podpisane cyfrowo (digitally signed forms),[Author ID1: at Wed Oct 4 12:10:00 2000 ] nie są jeszcze niezawodne. Obecnie nie ma również [Author ID1: at Wed Oct 4 12:10:00 2000 ]także [Author ID1: at Wed Oct 4 12:10:00 2000 ]metody porównania nazw w przypadku dwóch różnych sposobów kodowania języka (language encodings), np.[Author ID1: at Wed Oct 4 12:10:00 2000 ] — na przykład [Author ID1: at Wed Oct 4 12:10:00 2000 ] [Author ID1: at Wed Oct 4 12:10:00 2000 ]w standardzie Unicode, co powoduje, że znaki akcentowane (accented characters) zakodowane są w wielu równoważnych postaciach. Firma Microsoft uczestniczy w pracach nad rozwijaniem standardów związanych z technologią klucza publicznego i,[Author ID1: at Wed Oct 4 12:10:00 2000 ] aby zwiększyć możliwości współdziałania (interoperability),[Author ID1: at Wed Oct 4 12:11:00 2000 ] zobowiązała się do tworzenia programów na podstawie aktualnych akceptowanych standardów.

Do zakresu obowiązków specjalistów od bezpieczeństwa sieci należy nie tylko znajomość aktualnie rozwijanych standardów,[Author ID1: at Wed Oct 4 12:11:00 2000 ] ale również wypowiadanie swojego zdania na ich temat. Jeśli pozwolimy na pojawienie się wadliwego standardu, to będziemy mieli poważne problemy z usuwaniem błędów.

Stosowanie standardów internetowych

Standardy internetowe są pomocne,[Author ID1: at Wed Oct 4 12:11:00 2000 ] ale nie gwarantują pełnego współdziałania (interoperability). W przeszłości wdrażanie programów komercyjnych zawsze wyprzedzało proces współpracy, szczególnie w dziedzinie klucza technologii publicznego (PKT[Author ID1: at Wed Oct 4 12:12:00 2000 ] technology[Author ID1: at Wed Oct 4 12:12:00 2000 ]). Wiele aplikacji, które są potencjalnymi beneficjantami takich standardów,[Author ID1: at Wed Oct 4 12:12:00 2000 ] zostało wypuszczonych na rynek. Ponadto żaden standard nie jest w stanie przewidzieć wszystkich wymagań i zależności aplikacji — nawet najbardziej wszechstronny standard musi być dostosowany do wymogów [Author ID1: at Wed Oct 4 12:12:00 2000 ]rzeczywistych[Author ID1: at Wed Oct 4 12:12:00 2000 ]ości[Author ID1: at Wed Oct 4 12:12:00 2000 ].

Grupą roboczą IETF, której zadaniem jest zdefiniowanie podstaw infrastruktury klucza publicznego, która ma możliwość współdziałania (interoperable PKI) jest PKIX (X.509). Firma Microsoft jest bardzo zaangażowana w opracowywanie tego standardu w ramach grupy roboczej IETF i zobowiązała się do zagwarantowania zgodności swoich programów, korzystających z Infrastruktury Klucza Publicznego (PKI), do zgodności z tymi standardami. Po ratyfikowaniu standard ten stanie się istotnym czynnikiem przy[Author ID1: at Wed Oct 4 12:13:00 2000 ]odczas[Author ID1: at Wed Oct 4 12:13:00 2000 ] definiowania[Author ID1: at Wed Oct 4 12:13:00 2000 ]u[Author ID1: at Wed Oct 4 12:13:00 2000 ] niezawodnej Infrastruktury Klucza Publicznego (PKI), która zagwarantuje, że żądania certyfikatów, ich interpretowanie i odwoływanie będzie odbywało się w sposób znormalizowany. [Author ID1: at Wed Oct 4 12:13:00 2000 ]

Sposób uzyskania odpowiedniego dokumentu IETF (RFC 2459 Internet Public Key Infrastructure X.509 Certificate and CRL Profile, Part 1) i komentarzy do niego opisano poniżej.

  1. Połącz się z serwerem ftp pod adresem ftp://ftp.isi.edu/in-notes/rfc2459.txt.

  2. Pobierz dokument. Ma on ponad 100 stron, ale zwiera obszerny indeks.

  3. Przeczytaj interesujący cię fragment.

  4. Skopiuj dowolny fragment, który chcesz skomentować i wstaw go albo bezpośrednio do wiadomości e-mail,[Author ID1: at Wed Oct 4 12:13:00 2000 ] albo do edytora tekstu. Dodaj własne uwagi.

  5. Wyślij dany fragment wraz z komentarzem na adres ietf-pkix@imc.org [Author ID1: at Wed Oct 4 12:14:00 2000 ], [Author ID1: at Wed Oct 4 12:13:00 2000 ]upewniając się wcześniej, czy w polu tematu podano RFC 2459.

Uwaga: Dokument RFC (Request For Comments) jest tym, co sugeruje jego nazwa (żądanie komentarza). Grupa robocza IETF naprawdę czeka na komentarze praktyków w danej dziedzinie. Twoje uwagi zostaną przyjęte z wdzięcznością, przeczytane uważnie i opracowane dokładnie.

Niektóre,[Author ID1: at Wed Oct 4 12:14:00 2000 ] inne działania w ramach grupy roboczej IETF mogą mieć znaczący wpływ na możliwości współdziałania Infrastruktury Klucza Publicznego (PKI interoperability). Związane są one z zapotrzebowaniem na aplikacje korzystające z klucza publicznego (PK-based applications), szczególnie TLS, S/MIME oraz IPSec. Każda z tych aplikacji wymaga,[Author ID1: at Wed Oct 4 12:14:00 2000 ] aby zdefiniowany [Author ID1: at Wed Oct 4 12:14:00 2000 ]był zdefiniowany [Author ID1: at Wed Oct 4 12:14:00 2000 ]podzbiór PKIX, który zaspokoi ich potrzeby. C[Author ID1: at Wed Oct 4 12:15:00 2000 ] — c[Author ID1: at Wed Oct 4 12:15:00 2000 ]zęsto te potrzeby wykraczają poza zakres funkcji standardu PKIX.

Grupa robocza IETF S/MIME (www.ietf.org/ids.by.wg/smime.html) obecnie opracowuje standardy i specyfikacje na podstawie zapotrzebowania na aplikacje. Najważniejsze z nich to S/MIME [Author ID1: at Wed Oct 4 12:15:00 2000 ]Składnia wiadomości kryptograficznych (c[Author ID1: at Wed Oct 4 12:19:00 2000 ] [Author ID1: at Wed Oct 4 12:15:00 2000 ]C[Author ID2: at Wed Oct 4 12:19:00 2000 ]ryptographic M[Author ID2: at Wed Oct 4 12:19:00 2000 ]m[Author ID1: at Wed Oct 4 12:19:00 2000 ]essage s[Author ID1: at Wed Oct 4 12:20:00 2000 ]S[Author ID2: at Wed Oct 4 12:20:00 2000 ]yntax), S/MIME wersja [Author ID0: at Thu Nov 30 00:00:00 1899 ]3 [Author ID1: at Wed Oct 4 12:15:00 2000 ]Specyfikacja komunikatów (M[Author ID1: at Wed Oct 4 12:15:00 2000 ]m[Author ID1: at Wed Oct 4 12:15:00 2000 ]essage S[Author ID1: at Wed Oct 4 12:15:00 2000 ]s[Author ID1: at Wed Oct 4 12:15:00 2000 ]pecification), S/MIME wersja 3 — Obsługa certyfikatów (C[Author ID1: at Wed Oct 4 12:16:00 2000 ]c[Author ID1: at Wed Oct 4 12:16:00 2000 ]ertificate h[Author ID1: at Wed Oct 4 12:16:00 2000 ]H[Author ID1: at Wed Oct 4 12:16:00 2000 ]andling) oraz Składnia żądania certyfikatów (C[Author ID1: at Wed Oct 4 12:16:00 2000 ]c[Author ID1: at Wed Oct 4 12:16:00 2000 ]ertificate R[Author ID1: at Wed Oct 4 12:16:00 2000 ]r[Author ID1: at Wed Oct 4 12:16:00 2000 ]equest S[Author ID1: at Wed Oct 4 12:16:00 2000 ]s[Author ID1: at Wed Oct 4 12:16:00 2000 ]yntax). PKIX część [Author ID1: at Wed Oct 4 12:16:00 2000 ] [Author ID1: at Wed Oct 4 12:16:00 2000 ]1, podstawowy standard IETF, obecnie [Author ID1: at Wed Oct 4 12:16:00 2000 ]korzysta obecnie [Author ID1: at Wed Oct 4 12:16:00 2000 ]z doświadczeń nabytych podczas prób zastosowania go, np.[Author ID1: at Wed Oct 4 12:16:00 2000 ] na przykład[Author ID1: at Wed Oct 4 12:16:00 2000 ] do sprawdzania łańcucha certyfikatów (certificate-chain verification).

Dostęp do dyskusji grupy roboczej IETF oraz wpis na jej listę wysyłkową (mailing list) można uzyskać w następujący sposób:

  1. Połącz się ze stroną o adresie www.ietf.org/ids/by/wg/smime.html

  2. Przedstawione zostaną streszczenia różnych dokumentów przygotowane przez członków grupy roboczej. Aby wybrać i pobrać interesujący cię dokument,[Author ID1: at Wed Oct 4 12:17:00 2000 ] kliknij odpowiednie połączenie (link). Zamieszczono tam również połączenia (links) [Author ID1: at Wed Oct 4 12:17:00 2000 ]do innych witryn S[Author ID1: at Wed Oct 4 12:17:00 2000 ]s[Author ID1: at Wed Oct 4 12:17:00 2000 ]ieci Web.

  3. Subskrybuj listę wysyłkową (mailing list) IETF,[Author ID1: at Wed Oct 4 12:17:00 2000 ] wysyłając wiadomość na adres ietf-web@ietf.org, zawierającą jedno słowo: subscribe.

National Institute of Standards and Technology (NIST) powołał grupę roboczą do spraw współdziałania (interoperability workgroup), w skład której wchodzą firmy:[Author ID1: at Wed Oct 4 12:18:00 2000 ] AT&T, CertCo, Certicom, Cylink, Digital Signature Trust, Dynacorp, Entrust, Frontier Technologies, GTE, ID Certify, MasterCard, Microsoft, Motorola, Spyrus, VeriSign oraz Visa. Celem tego przedsięwzięcia jest zapewnienie minimalnego współdziałania (interoperability) pomiędzy implementacjami standardu PKIX part [Author ID2: at Wed Oct 4 12:18:00 2000 ]część [Author ID1: at Wed Oct 4 12:18:00 2000 ]1, opracowanymi przez firmy członkowskie. NIST zakłada optymistycznie, że grupa ta usunie wszystkie niejednoznaczności lub (i) błędy nowego standardu PKIX. Witryna internetowa NIST znajduje się pod adresem www.nist.gov.

Całkowicie poza IETF opracowany [Author ID2: at Wed Oct 4 12:18:00 2000 ]został opracowany[Author ID2: at Wed Oct 4 12:18:00 2000 ][Author ID1: at Wed Oct 4 12:18:00 2000 ]przez RSA Laboratories [Author ID1: at Wed Oct 4 12:19:00 2000 ]zbiór faktycznych standardów kryptograficznych (PKCS), które [Author ID1: at Wed Oct 4 12:19:00 2000 ]. S[Author ID2: at Wed Oct 4 12:19:00 2000 ]s[Author ID1: at Wed Oct 4 12:19:00 2000 ]ą one [Author ID2: at Wed Oct 4 12:19:00 2000 ]szeroko stosowane. Szczegóły można znaleźć pod adresem www.rsa.com/rsalabs/html/standards.htm. Standardy dotyczące Infrastruktury Klucza Publicznego (PKI) to między innymi PKCS #7, S[Author ID2: at Wed Oct 4 12:19:00 2000 ]S[Author ID1: at Wed Oct 4 12:19:00 2000 ]tandard składni wiadomości kryptograficznych (C[Author ID2: at Wed Oct 4 12:19:00 2000 ]c[Author ID1: at Wed Oct 4 12:19:00 2000 ]ryptographic M[Author ID2: at Wed Oct 4 12:19:00 2000 ]m[Author ID1: at Wed Oct 4 12:19:00 2000 ]essage S[Author ID2: at Wed Oct 4 12:19:00 2000 ]s[Author ID1: at Wed Oct 4 12:19:00 2000 ]yntax S[Author ID2: at Wed Oct 4 12:19:00 2000 ]s[Author ID1: at Wed Oct 4 12:19:00 2000 ]tandard) oraz PKCS #10 S[Author ID2: at Wed Oct 4 12:19:00 2000 ]S[Author ID1: at Wed Oct 4 12:19:00 2000 ]tandard składni żądania certyfikatu (C[Author ID2: at Wed Oct 4 12:20:00 2000 ]c[Author ID1: at Wed Oct 4 12:20:00 2000 ]ertification R[Author ID2: at Wed Oct 4 12:20:00 2000 ]r[Author ID1: at Wed Oct 4 12:20:00 2000 ]equest s[Author ID1: at Wed Oct 4 12:20:00 2000 ]S[Author ID2: at Wed Oct 4 12:20:00 2000 ]yntax S[Author ID2: at Wed Oct 4 12:20:00 2000 ]s[Author ID1: at Wed Oct 4 12:20:00 2000 ]tandard). Standardy opracowane przez RSA ustanawiają podstawy ogólnej struktury współdziałania (interoperability).

Określenie Infrastruktura Klucza Publicznego (public key infrastructure[Author ID2: at Wed Oct 4 12:20:00 2000 ]PKI[Author ID1: at Wed Oct 4 12:20:00 2000 ]) oznacza, że te usługi i narzędzia mogą być łączone ze sobą, np[Author ID1: at Wed Oct 4 12:20:00 2000 ]. Na przykład[Author ID2: at Wed Oct 4 12:21:00 2000 ] jeśli jeden z oddziałów przedsiębiorstwa wybierze[Author ID1: at Wed Oct 4 12:21:00 2000 ] dla swoich aplikacji model Infrastruktury Klucza Publicznego (PKI model) dostawcy A, a przedsiębiorstwo później [Author ID2: at Wed Oct 4 12:21:00 2000 ]wybierze później [Author ID2: at Wed Oct 4 12:21:00 2000 ]system pocztowy od dostawcy B, to [Author ID1: at Wed Oct 4 12:21:00 2000 ]powinny się one częściowo pokrywać. Sprawy bardziej się komplikują kiedy F[Author ID2: at Wed Oct 4 12:21:00 2000 ]f[Author ID1: at Wed Oct 4 12:21:00 2000 ]irma A i F[Author ID2: at Wed Oct 4 12:21:00 2000 ]f[Author ID1: at Wed Oct 4 12:21:00 2000 ]irma B postanowią połączyć swoje Infrastruktury Klucza Publicznego (PKI) tworząc ekstranet. Jest to skomplikowane,[Author ID1: at Wed Oct 4 12:21:00 2000 ] ponieważ konieczne jest przyporządkowanie relacji zaufania poszczególnym jednostkom oraz kontrolowanie ich cały czas. Obecnie istnieją trzy konkurujące ze sobą modele relacji zaufania:

Modele te różnią się sposobami ustanawiania i utrzymywania relacji zaufania (trust relationships) oraz tym, czy relacje te tworzone są bezpośrednio,[Author ID1: at Wed Oct 4 12:23:00 2000 ] czy też przez pośredników. Różne modele prawdopodobnie nie będą współdziałać (interoperate) bez przeszkód. W najlepszym razie Infrastruktury Klucza Publicznego (PKI) mogą być na tyle elastyczne, by umożliwiać użytkownikom łączenie różnych modeli relacji zaufania w sposób odpowiedni dla konkretnych zastosowań.

33 Część I Podstawy obsługi systemu WhizBang (Nagłówek strony)

2 T:\Paweł\Windows - 5 po wstawieniu rysunków\r-06.05.doc


Wyszukiwarka

Podobne podstrony:
Podstawy psychologii - wyklad 06 [05.10.2001], INNE KIERUNKI, psychologia
Podstawy finansow i bankowosci - wyklad 06 [05.10.2001], Finanse i bankowość, finanse cd student
2019 06 05 Pizza w odbycie 10 latka Brutalny gwałt na wycieczce klasowej Kraków w Pigułce
0210 06 05 2009, wykład nr 10 , Tkanka łączna właściwa Paul Esz(1)
Białka 08 06 05
2002 05 10
2001 05 10
Aneks nr 2 Prospekt PKO BP 05 10 2009
Nauka o państwie5 05 10
05 10 2009
Rewolucja Na Talerzu s01e02 Kotlet schabowy 06 05 2010
2013 06 07 10 04id 28349 Nieznany (2)
loveparade 2010 anlage 11 interner entwurf sicherheitskonzept 20 05 10
Ekonomika Transportu(1)05 10 2011
019 HISTORIA SZTUKI WCZSNOCHRZŚCIJAŃŚKIEJ I BIZANTYJSKIEJ, WYKŁAD, 4 05 10
r11 05 (10)

więcej podobnych podstron