Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
som baserar sig på antalet utställda certifikat, antal installerade PKI-program och liknande.<br />
Vid stora installationer kan det bli kostsamt att nyttja detta alternativ, speciellt om man har<br />
behov av flera certifikat per användare.<br />
Microsoft har med Windows 2000 lite grann i smyg introducerat en PKI-teknologi på<br />
Windowsplatt<strong>for</strong>men. Denna PKI har haft ett antal svagheter i jämförelse med flera<br />
kommersiella varianter som har haft flera års försprång att bygga upp sina tekniska<br />
platt<strong>for</strong>mar och kunnande. I samband med Windows 2003 Server och XP har Microsoft<br />
vidareutvecklat sin PKI-lösning och har numera en platt<strong>for</strong>m som är ett attraktivt alterativ till<br />
att såväl bygga en egen PKI som att välja en tredjepartsprodukt. En fördel som många företag<br />
har vad det gäller Microsoft är att de redan har koncernlicenser och att Microsoft inte har<br />
extra licenskostnader per utställda certifikat eller för PKI-moduler. Har man behov av mycket<br />
extern kommunikation så är det viktigt att de externa parterna lätt kan komma åt kataloger,<br />
har rätt programvara samt möjlighet att verifiera våra certifikat. I detta fall kan det vara vettigt<br />
att nyttja någon stor extern aktör, den vanligaste aktören är VeriSign, att ställa ut certifikat,<br />
och sedan nyttja program som kan importera och bruka dessa certifikat, exempelvis Netscapes<br />
eller Mozillas webb- och mailläsare.<br />
Det är viktigt att täcka in alla bitar när man inför en PKI. Det är ofta lättare att ställa ut<br />
certifikat än att kontrollera riktighet och giltighet. Det finns flera exempel i Microsofts<br />
programvara som Internet Explorer och andra program, att man glömt eller ignorerat de<br />
viktiga stegen att kontrollera certifikatens egenskaper. Windows update struntade i att den<br />
nedladdade programvaran blev signerad med ett utgånget certifikat. När någon okänd person<br />
lyckades lura VeriSign att ställa ut och leverera ett programutgivarcertifikat utställt i<br />
Microsoft namn så blev det stora problem. Det fanns ingen funktionalitet på plats iWindows<br />
eller dess appliationer att spärra det falska certifikatet. Detta är misstag man kan lära från<br />
andra och sedan inte falla i själv när man skall införa en PKI-lösning.<br />
Att bygga en helt egen PKI-lösning kräver utvecklarkompetens men kan leda till<br />
kostnadseffektiva och skräddarsydda lösningar. Det finns idag öppenkällkodslösningar med<br />
OpenSSL, OpenCA, OpenLDAP och andra kom- ponenter vilka kan användas för att bygga<br />
en fullvärdig PKI-lösning.<br />
6.8 PKCS<br />
En annan viktig samling av PKI-relaterade standarder kallas PKCS, Public Key Crypto<br />
Standard. PKCS är en samling företagsstandarder utgivna av RSA Data Security. PKCS har<br />
dock blivit accepterade som allmänna branschstandarder för olika bitar inom PKI. PKCS<br />
består av standarder för <strong>for</strong>mat på nycklar, filer och liknande samt för gränssnitt mot<br />
exempelvis smartkortsläsare.<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 101 (139)