torej, s CVIja so odgovorili in to zelo nadrobno (pohvalno), kakor razumem stvari ni nobenih ovir (patenti, zaprti standardi), da bi pod Linuxom ne bi bila mozna operativnost v njihovih sistemih in z njimi. a, da za enkrat stvari preprosto se ni? A PGP ne podpira RSA? ali sem pravilno razumel vse skupaj? morda jim lahko sporocimo kako SSL deluje pod Konquerorjem, Mozillo, Netscape 6.0 itd, ... imamo natancnejse podatke? ---------- Forwarded message ---------- From: Marjan Blatnik <[EMAIL PROTECTED]> To: [EMAIL PROTECTED] Subject: Re: Uporaba osebnih digitalnih potrdil Date: Thu, 22 Mar 2001 15:42:01 +0100 Se opravičujem za pozen odgovor. Odgovor: Obstaja več različnih sistemov zagotavljanja verodostojnosti imetnika javnega ključa: PKI, PGP, SPKI, ... Za dr�žavne ustanove je najprimernejši sistem PKI s skupnim overiteljem, ki se lahko povezuje z overitelji drugih področij oziroma držav. Take overitelje omenjajo tudi zakoni o elektronskem poslovanju, ki so bili sprejeti do sedaj (nemški, avstrijski, italijanski, slovenski, ...). PGP uporablja sistem mreže zaupanja (web of trust), kjer ni nekega skupnega overitelja in gre za samopodpisana (self-signed) digitalna potrdila, ki si jih med seboj izmenjujejo uporabniki. SIGOV-CA kot overitelj za javno upravo izdaja digitalna potrdila po priporočilih PKI. Jamči za verodostojnost digitalnih potrdil, ki povezujejo imetnikov javni ključ in njegove podatke, in izda digitalno potrdilo v obliki X509V3. Potrdila in seznami preklicanih potrdil se hranijo v imeniku po standardu X.500, ki je dosegljiv po protokolu ldap v2 in ldap v3. SIGOV-CA podeljuje dve vrsti kvalificiranih digitalnih potrdil (http://www.sigov-ca.gov.si/predstavitev-SIGOV-CA.htm): "spletna" so namenjena za uporabo v spletu po protokolih SSL oziroma TLS ter S/MIME. Programska oprema za ta potrdila mora znati tvoriti par 1024-bitnih ključev po algoritmu RSA , zahtevek za digitalno potrdilo po priporočilu PKCS#10 ter vključiti potrdilo, ki ga dobi podpisano od SIGOV-CA v formatu PKCS#7. To pa so priporočila, ki jih podpira večina brskalnikov in spletnih strežnikov. "osebna" so namenjena predvsem uslu�žencem oziroma aplikacijam v državni upravi. TUporabna so tudi za S/MIME. Ta oprema mora podpirati ločena para ključev za podpisovanje in šifriranje. Omogočati mora tudi, da se da zasebni ključ za išifriranje restavrirati, če postane neuporaben. To je potrebno zato, da ne bi izgubili pomembnih službenih za�šfriranih podatkov. Uporabniki na svojih delovnih postajah zaenkrat uporabljajo programsko opremo Entrust/Entelligence, ki deluje na Oknih (95, 98, 2000, NT), poleg tega �še na Macintosh Power PC od 7.5 navzgor. Starej�ša različica te opreme Entrust/Client deluje tudi na unix sistemih (HP-UX, Solaris, AIX). Programska oprema PGP ali GNU Privacy Guard ni kompatibilna s standardi PKI, lahko pa, da bo v prihodnosti. Nekaj poskusov v tej smeri je �že bilo.. Sporočila v S/MIME obliki so standardna, ne glede ali se uporabi "spletno" ali "osebno" digitalno potrdilo. Tako lahko S/MIME sporočilo podpisani in/ali šifrirano z spletnim digitalnim potrdilom preveri podpis in/ali odšifrira odjemalec ki uporablja osebno digitalno potrdilo. Spletna digitalna potrdila znajo uporabljati: - Netscape Communicator v 4.x (Linux, različne verzije unix-ov, windovsi, ...) - Internet Explorer v 5.x (samo windowsi) - vsi produkti ki uporabljajo openssl: - apache web strežnik SSL seja (sem stestiral) - sendmail SSL seja (sem stestiral verzije 11.0, 11.1, v verziji 12.0 obljubljajo še bolj prilagodljiv ssl ki ne bo potreboval zoprnih sfio knjižnic za povezavo z openssl knjižnicami) - openldap SSL seja (sem stestiral 2.0.7) - posfix SSL seja nisem testiral - freeswan IPSEC/VPN se pripravljam na testiranje, z dodatnim patchom zna uporabljati tudi spletna potrdila - cyrus imap4 deamon SSL seja iščem čas za testiranje - verjetno obstaja tudi podpora za pop3 deamon - in še mnogo drugih produktov Če ste testirali kakšne druge pakete mi prosim sporočite. (Za testiranje se da z openssl generirati svoj CA certifikat, s katerim se nato podpisuje spletna potrdila, ki se jih da nato uvoziti v Netscape v 4.x) Razlika med navadnim spletnim digitalnim potrdilom in strežniškim spletnim digitalnim potrdilom je v vrednosti nekega atributa v samem digitalnem potrdilu. Osebno digitalno potrdilo je tehnično gledano sestavljeno iz dveh X.509 potrdil. - Eno X.509 digitalno potrdilo se uporablja za šifriranje zasebni ključ je shranjen: pri uporabniku, SIGOV-CA javni ključ je shranjen pri: pri uporabniku v obliki digitalnega potrdila, pri SIGOV-CA, v X.500 imeniku v obliki digitalnega potrdila - Drugo X.509 digitalno potrdilo se uporablja za podpisovanje: zasebni ključ je shranjen: pri uporabniku in nikjer drugje javni ključ je shranjen: pri uporabniku v obliki digitalnega potrdila, pri SIGOV-CA, pri vsakem podpisanem dokumentu ali S/MIME sporočilu V primeru, da se privatni ključi izgubijo/uničijo, se preko posebnega postopka, ki je podoben prevzemu digitalnega potrdila, "obnovi" osebno digitalno potrdilo: - X.509 digitalno potrdilo za šifriranje: zgenerira se nov par ključev zasebni ključ je shranjen: pri uporabniku, SIGOV-CA javni ključ je shranjen pri: pri uporabniku v obliki digitalnega potrdila, pri SIGOV-CA, v X.500 imeniku v obliki digitalnega potrdila Iz SIGOV-CA baze se k uporabniku prenese zgodovina starih zsebnih in privatnih ključev. Tako so dokumenti zašifrirani z starimi digitalnimi potrdili zopet dostopni. - X.509 digitalno potrdilo za podpisovanje: zgenerira se nov par ključev Iz SIGOV-CA baze se k uporabniku prenese zgodovina starih javnih ključev. STARIH ZASEBNIH KLJUČEV SE NE DA OBNOVITI, tudi ni potrebe za to. V primeru da se bliža konec veljavnosti digitalnega potrdila, se osebno digitalno potrdilo samo obnovi (generirajo se novi ključi, zgodovina starih se ohrani). Teh lastnosti spletno digitalno potrdilo nima, tudi jih nima noben "free" produkt, zato je potrebno imeti poseben odjemalec. Nekaj produktov ki jih izdeluje Entrust: Platforma NT HP-UX/Solaris/AIX Linux ----------------------------------------------------------------------------- - CA DA DA NE* - Timestamp DA v razvoju NE* - web connector DA DA NE* - Entrust Desktop DA (v 3.0) NE - Toolkiti: File toolkit DA DA NE* IPSEC toolkit DA DA DA Java DA DA* DA* Visual Basic DA NE NE DA* - java naj bi bila neodvisna od platforme NE* - V entrustu je ločena razvojna skupina za vsako platformo posebej. Linux skupina naj bi začela delati šele pred kratkim. Edino orodje na Linux-u do sedaj je IPSEC toolkit. Pričakuje se, da bodo na Linux-u podprti isti produkti kot na ostalih UNIX platformah. Do verzije v3.x je entrust proizvajal tudi unix odjemalce. Verzija 4.x je orientirana čisto v Windowse in integracijo z Microsoft produkti. V verziji 5.x je to še bolj očitno. Ali bodo zopet proizvajali unix odjemalce ne vemo. Lep pozdrav, Marjan Blatnik
