Teleinformatyka VII
Dodatek reklamowy do RZECZPOSPOLITEJ.
nr 112 (5885) 15 maja 2001 r.
Centrum Certyfikacji Signet – Jednolita Platforma Bezpieczeństwa Grupy Kapitałowej TP S.A.
Wraz z rosnącym zapotrzebowaniem na świadczenie usług finansowych, administracyjnych i handlowych poprzez Internet, koniecznością staje się zapewnianie rozwiązań gwarantujących bezpieczeństwo transakcji dokonywanych za pośrednictwem sieci komputerowych. Wychodząc naprzeciw oczekiwaniom polskiego rynku oraz dopasowując swoje usługi do szybkiego rozwoju gospodarki elektronicznej, Grupa Kapitałowa TP S.A. oferuje kompleksowe rozwiązania teleinformatyczne wykorzystujące technologię podpisu elektronicznego.
Spółka TP Internet działająca w ramach Grupy Kapitałowej TP S.A., stworzyła Centrum Certyfikacji Signet. Jednolita Platforma Bezpieczeństwa z własną Infrastrukturą Klucza Publicznego (ang. Public Key Infrastructure) stanowi element bezpieczeństwa elektronicznego samej Grupy Kapitałowej oraz wykorzystywana jest do świadczenia na rynku usług gwarantujących prowadzenie bezpiecznej komunikacji w każdej sieci komputerowej – lokalnej, korporacyjnej czy Internecie.
Platforma Bezpieczeństwa to całościowe rozwiązanie zapewniające integralność wszystkich systemów bezpieczeństwa. Produkty zbudowane w oparciu o nią zapewniają poufność, wiarygodną identyfikację użytkownika, niezaprzeczalność dokonywanych transakcji. Oferta skierowana jest do podmiotów, które potrzebują rozwiązań pozwalających na zabezpieczenie i uwierzytelnienie danych przesyłanych w Internecie. Dzięki udziałowi Centrum Certyfikacji Signet w tworzeniu podstaw formalnoprawnych oraz poprzez stosowanie w naszych rozwiązaniach norm europejskich, zbudowana Platforma Bezpieczeństwa zapewnia powszechny dostęp do usług przy wykorzystaniu sieci teleinformatycznych gwarantując najwyższe standardy bezpieczeństwa.
Centrum Certyfikacji Signet oferuje najnowocześniejsze i elastyczne rozwiązania wykorzystujące podpis elektroniczny, jednocześnie gwarantując wysoką jakość i kompleksowość usług. Pierwszym z produktów wprowadzanych na rynek, w ramach GK TP S.A., jest Bezpieczna Poczta. Zawarte w nim mechanizmy uwierzytelnienia stron i przesyłanych danych, ich integralności i poufności, umożliwiają klientom korzystanie z najnowocześniejszych metod bezpiecznego przesyłania poczty elektronicznej. Posługiwanie się Bezpieczną Pocztą zmniejsza ryzyko związane z wymianą dokumentów elektronicznych przez sieci komputerowe. Strony korespondencji uzyskują gwarancję weryfikacji wiarygodności certyfikatów i podpisów elektronicznych. Jednocześnie od użytkownika nie jest wymagana żadna wiedza na temat bezpieczeństwa czy kryptografii, aby mógł wysłać lub odebrać zaszyfrowaną i podpisaną cyfrowo wiadomość.
Usługa przeznaczona jest zarówno dla klientów indywidualnych, jak i korporacji. Wprowadzenie Bezpiecznej Poczty w firmie zmodernizuje obieg dokumentów i korespondencji. Dotychczas stosowane dokumenty papierowe można będzie zastąpić elektronicznymi, a ich wymiana odbywać się będzie za pośrednictwem sieci. Pozwoli to uzyskać przewagę konkurencyjną dzięki zapewnieniu wiarygodnej identyfikacji korespondujących stron oraz pełnej autentyczności treści dokumentów, poufności przesyłanych informacji. Nieporównywalnie zmniejszy czas dostarczania dokumentów oraz usprawni automatyzację procesów związanych z ich przetwarzaniem. Wprowadzenie Bezpiecznej Poczty przyniesie wymierne oszczędności czasu oraz kosztów, a elektroniczne transakcje z klientami, dystrybutorami, dostawcami czy partnerami uzyskają pełne gwarancje bezpieczeństwa. Także w korespondencji prywatnej wprowadzenie Bezpiecznej Poczty zapewni jej bezpieczeństwo i poufność. Obecnie listy przesyłane drogą elektroniczną mogą czytać wszyscy – Bezpieczna Poczta gwarantuje ochronę prywatności i pełną tajemnicę korespondencji. Dotyczy to w takim samym stopniu listów do najbliższych jak i ochrony informacji np. danych osobowych, numerów kart kredytowych itp. przesyłanych podczas zakupów w sklepach internetowych.
Podpis elektroniczny
Tradycyjna wymiana dokumentów opiera się na przesyłaniu dokumentów papierowych, opatrzonych stemplami i podpisami. W celu potwierdzenia tożsamości posługujemy się dowodem osobistym lub paszportem, a ważne dokumenty dodatkowo poświadczamy notarialnie. Jednakże wymogiem nieuchronnej globalizacji współczesnego świata jest przyspieszenie i ułatwienie wymiany informacji i dokumentów. Celowi temu służą nowoczesne, elektroniczne środki przekazu. Wymagają one jednak zastosowania innych metod bezpieczeństwa, gwarantujących w końcowym efekcie przynajmniej taki sam jego poziom jak metody tradycyjne. Dokumenty elektroniczne przesyłane siecią komputerową powinny być szyfrowane, aby nie mogły ich odczytać osoby niepowołane. W ten sposób mamy zagwarantowaną tajemnicę korespondencji (poufność). Dodatkowo musi istnieć system dający pewność, że podczas transmisji dokument nie został zmieniony (integralność). Jeżeli do dokumentu nie można nic dodać ani nic z niego usunąć, to korespondencja jest chroniona przed fałszerstwem. Podobieństwo do sposobów zabezpieczeń z przeszłości mają w nowej technologii podkreślać specjalnie dobrane nazwy: podpis elektroniczny, certyfikat cyfrowy, klucz elektroniczny itp. Zwykły podpis składany na papierze powinien zostać zastąpiony podpisem elektronicznym. Tylko jedna osoba może posługiwać się takim – bardzo trudnym do podrobienia – podpisem, co zapewnia autentyczność nadawcy (uwierzytelnienie). Ostatnim warunkiem stawianym elektronicznym systemom wymiany dokumentów jest tzw. niezaprzeczalność nadania i odbioru, czyli gwarancja na to, że dokument na pewno został wysłany przez tego, kto figuruje na nim jako nadawca i trafił na pewno do tej osoby, która przez nadawcę została wskazana jako adresat przesyłki. Dodatkowo takie dokumenty mogą być stemplowane znacznikiem czasu, który określa moment ich stworzenia.
Certyfikaty cyfrowe
Certyfikat cyfrowy to elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowywane do określonej osoby i potwierdzają tożsamość tej osoby. Fizycznie jest to ciąg danych zapisanych na odpowiednim nośniku – np. na karcie mikroprocesorowej (smartcard). Najpopularniejszym standardem certyfikatów jest X.509, składający się z pól takich, jak: wersja, numer seryjny, wydawca certyfikatu, ważność, podmiot dla którego certyfikat został wystawiony, klucz publiczny oraz podpis organu wydającego certyfikat. Autentyczność tego podpisu można sprawdzić tylko wtedy, gdy znany jest klucz publiczny organu certyfikującego. Klucz ten znajduje się na certyfikacie wystawionym dla organu certyfikującego przez organ wyższej instancji. Zatem weryfikacja certyfikatu to prześledzenie łańcucha zaufania, zakończonego przez organ nadrzędny, cieszący się powszechnym zaufaniem, który sam dla siebie wystawia certyfikat. Dlatego też kryptografia klucza publicznego wymaga pewnej infrastruktury, zwanej Infrastrukturą Klucza Publicznego (PKI), do zarządzania cyfrowymi certyfikatami i kluczami szyfrującymi dla osób, programów i systemów. Większość najważniejszych standardów w dziedzinie bezpieczeństwa teleinformatycznego jest zaprojektowana tak, aby umożliwić współpracę z PKI.
Infrastruktura PKI ma zastosowanie w: bezpiecznej poczcie, transakcjach typu e-commerce, wirtualnych sieciach prywatnych (Virtual Private Network – VPN), systemach ERP (zintegrowanego zarządzania przedsiębiorstwem), zabezpieczeniach stacji roboczej użytkownika (jego danych), zapewnieniu bezpieczeństwa na witrynach internetowych, urządzeniach i aplikacjach klienta. Zapewnia bezpieczne logowanie się, zastępując w ten sposób używane dotychczas tokeny.
Infrastruktura Klucza Publicznego
Idea PKI oparta jest na cyfrowych certyfikatach wiążących konkretnego uczestnika transakcji z kluczem kryptograficznym, stosowanym podczas realizowania bezpiecznych transakcji. Certyfikat jest wydawany przez Organ Certyfikacji, który w momencie wydania dokumentu potwierdza podpisem cyfrowym związek pomiędzy użytkownikiem a kluczem, którego on używa. Ponieważ tak wystawiony certyfikat ma zawsze pewien okres ważności, należy przewidzieć następujące sytuacje związane z zarządzaniem certyfikatami: rejestracja użytkowników, generowanie certyfikatów, ich dystrybucja, aktualizacja i unieważnianie. Struktura PKI składa się z trzech głównych elementów:
- Organów Rejestracji, dokonujących weryfikacji danych użytkownika, a następnie jego rejestracji.
- Organów Certyfikacji, wydających certyfikaty cyfrowe. Jest to poprzedzone procesem identyfikacji zgłaszającego się o wydanie certyfikatu. Pozytywne rozpatrzenie zgłoszenia kończy się wydaniem certyfikatu.
- Repozytoriów kluczy, certyfikatów oraz List Unieważnionych Certyfikatów. Certyfikat może stać się nieważny przed oficjalną datą jego wygaśnięcia. Przyczyną tego może być np. zmiana nazwiska, adresu poczty elektronicznej czy ujawnienie klucza prywatnego.
Centrum Certyfikacji Signet zapewnia usługi uwierzytelniania takie jak:
- uwierzytelnianie podmiotów partnerskich, pozwalające na pewną identyfikację przez innych użytkowników,
- uwierzytelnianie danych, pozwalające stwierdzić, że informacja była świadomie podpisana przez danego użytkownika,
- integralność danych, pozwalająca łatwo stwierdzić, czy informacja podpisana cyfrowo nie została zmieniona,
- niezaprzeczalność, uniemożliwiająca użytkownikom późniejsze wyparcie się podpisanej informacji.
oraz usługi poufności, do których należą:
- poufność, umożliwiająca użytkownikom ochronę danych przed nieuprawnionym ujawnieniem,
- prywatność, pozwalająca użytkownikom na nakazanie specjalnej obsługi informacji podczas transmisji, w centrach łączności, pomiędzy centrami łączności a odbiorcami końcowymi oraz odnośnie jej przechowywania.
Zastosowania PKI
Infrastruktura PKI Centrum Certyfikacji Signet pozwala na bezpieczne stosowanie podpisu elektronicznego we współczesnej gospodarce. Stosowanie podpisu elektronicznego daje wymierne korzyści, m.in.:
- oszczędność zasobów materialnych,
- oszczędność czasu personelu,
- ograniczenie ryzyka zaistnienia pomyłek,
- brak konieczności weryfikacji obrabianych danych i wiarygodności nadawcy,
- skrócenie procedur,
- redukcję czasu realizacji zleceń,
- możliwość błyskawicznego kontaktu z wybranymi korespondentami i dokonywania natychmiastowych, wiążących zmian.
Podpis elektroniczny jest odpowiedzią na wymogi stawiane uczestnikom komunikacji i transakcji dokonywanych w wirtualnej rzeczywistości XXI wieku. Dzięki strukturze PKI mamy zagwarantowane nowoczesne metody zapewnienia poufności, integralności, niezaprzeczalności i uwierzytelnienia przesyłanych danych.
Obecnie w Polsce trwają prace nad projektem ustawy o podpisie elektronicznym. Nowe przepisy umożliwią stosowanie tego rodzaju podpisów na równi z formą pisemną. Nie tylko ułatwi to wszelkiego rodzaju kontakty, ale też będzie miało pozytywny wpływ na rozwój całej polskiej gospodarki oraz dostosowanie do standardów Unii Europejskiej.
- Informacje o Centrum Certyfikacji SIGNET