Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
har lyckats skaffa sig en särställning, närapå monopolställning, för vissa typer av certifikat.<br />
Det gäller till exempel servercertifikat för SSL-baserad http- kommunikation.<br />
RFC 2527 beskriver vilka viktiga beståndsdelar som skall ingå i en CPS. I standarden X.509<br />
definieras närmare vad en CP är.<br />
6.4 Certifikathantering och katalogtjänster<br />
För att få en publik nyckelinfrastruktur att fungera i praktiken måste man lösa problemet att<br />
distribuera certifikat mellan användare. En ofta använd metod är att inrätta centraliserade<br />
lagringsarkiv med sökmöjligheter, så kallade katalogtjänster. Antingen kan katalogentjänsten<br />
adminstreras av den egna organisationen eller i de fall då man exempelvis nyttjar en extern<br />
utställare av certifikat så kan man kanske även nyttja en extern katalogtjänst.<br />
Ett vanligt protokoll för att söka efter och hämta certifikat och certifikatin<strong>for</strong>mation är<br />
Lightweight Data Access Protocol, LDAP. Det används sällan eller aldrig direkt av<br />
användaren utan är ett protokoll som används bakom kulisserna av tillämpningar som behöver<br />
kontakta katalogservern. LDAP använder sig av TCP-port 389. LDAPS är en variant av<br />
LDAP som körs över sessions-tunnlingsprotokollet TLS (IETF-världens motsvarighet till<br />
Netscapes SSL) för att erbjuda en högre nivå av säkerhet. LDAPS använder sig normalt av<br />
TCP-port 636.<br />
En allt vanligare katalogtjänst är att använda Microsoft AD, bland annat via LDAPS. Om man<br />
inte skall bygga en stor PKI-lösning kan man i vissa fall nyttja manuell certifikatdistribution.<br />
Detta kan även vara nödvändigt när man skall utväxla certifikat med extern part som inte är<br />
del i en specifik PKI-lösning men som ändå måste få tillgång till ett certifikat, exempelvis för<br />
att kunna utbyta uppsäkrad e-post.<br />
6.5 Certifikatkontroll och revokering<br />
Ett certifikats giltighet måste kontrolleras. En kontroll är att se att certifikatet ej är ändrat eller<br />
trasigt. När ett program kontrollerar ett certifikat så bedömmer man dessutom om det har en<br />
korrekt utställare eller är underskriven av en CA som bedömmaren känner till och litar på. För<br />
att göra detta så måste bedömmare kunna följa en fullständig förtroendekedja (eng. trust path)<br />
mellan certifikatet och utgivaren.<br />
Förutom den in<strong>for</strong>mation som ingår i certifikatet om livslängd och liknande så kan ett<br />
certifikat även bli spärrat, varpå en tjänst inte bör acceptera vidare användning av certifikatet.<br />
Att spärra ett certifikat kallas för revokering. För att kontrollera om ett certifikat är spärrat<br />
måste man jämföra det med en spärrlista, en så kallad certifikatrevokeringslista (eng<br />
certificate revocation list, CRL). Det kan antingen ske genom att en spärrlista laddas ner till<br />
datorn eller genom en så kallad online-verifiering. En CRL skapas av en CA och publiceras<br />
regelbundet.<br />
Hur ofta en spärrlista av det här slaget skapas, om det är var 15e minut, en gång per dygn eller<br />
veckovis, har att göra med vilken policy certifikatutgivarenhar valt. När ett certifikat spärras<br />
så adderas certifikatets serienummer till spärrlistan. En nackdel med CRLer är att det förflyter<br />
tid mellan uppdateringarna. Om spärrlistorna skapas veckovis och ett certifikat spärras dagen<br />
efter det att en spärrlista skapats, så kommer de som kontrollerar certifikat att behöva vänta<br />
sex dagar innan de blir medvetna om att certifikatet är ogiltigt. CRLer finns att hämta från<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 96 (139)