Informacje o PIONIER PKI

Projekt wdrożenia infrastruktury klucza publicznego dla użytkowników sieci PIONIER miał na celu opracowanie struktury zaufanych centrów certyfikacji dla sieci PIONIER oraz opracowanie jednolitych procedur wystawiania certyfikatów.

Do różnych zastosowań wykorzystywane są certyfikaty różnych wystawców i nie ma miedzy nimi relacji wzajemnego zaufania. Rodzi to sytuacje, w której użytkownicy musza posiadać szereg certyfikatów, aby stosować je odpowiednio do używanych usług. Ponadto, brakuje jednego punktu informacji o wszystkich działających w Polsce strukturach PKI, ich usługach i obszarach działania.

Naturalne wydaje sie dążenie do uproszczenia, obecnym i przyszłym użytkownikom, korzystania z tych usług w Polsce, w tym bezpiecznego korzystania z usług obliczeniowych, gridów, serwisów WWW, usług dostępu do sieci (VPN, eduroam). Brak prostej struktury i odpowiedniej obsługi to istotne elementy hamujące stosowanie bezpiecznych rozwiązań korzystających z certyfikatów.

Struktura PIONIER PKI
Na podstawie analiz oraz dotychczasowych doświadczeń wybrano strukturę hierarchiczną dla PIONIER PKI

Rys. Struktura logiczna  PIONIER PKI.

Na szczycie hierarchii znajduje się Root-CA. Na pośrednim poziomie znajduje się niewielka liczba Sub-Root-CA (początkowo 3 instancje). Na dolnym poziomie znajduje się sieć CA. Trzypoziomowa struktura CA pozwala na budowanie różnych ścieżek zaufania w systemach korzystających z PIONIER PKI. Sub-Root-CA różnią się między procedurami otrzymywania certyfikatów w podległych mu CA: procedura z pełną weryfikacją tożsamości subskrybenta, procedura automatycznego pozyskiwania certyfikatu z wykorzystaniem ELS (Elektroniczna Legitymacja Studencka), procedury dla certyfikatów tymczasowych.
 
Użytkownik (bądź usługa) końcowy nie musi ufać wszystkim certyfikatom wystawionym w ramach infrastruktury, może wybrać sobie ścieżkę weryfikacji akceptując procedury (poziom wiarygodności) związane z konkretnym Sub-Root-CA.
Ostatnim elementem struktury PKI są Urzędy Rejestracji (RA). Każdy Urząd Certyfikacji będzie posiadał sieć RA. Ważne jest by RA znajdował się „blisko” subskrybenta. Polityka Certyfikacji dopuszcza by jedno fizyczne RA stanowił RA dla kilka Urzędów Certyfikacji (przy zachowaniu właściwych procedur).
Tworzenie sieci CA (rozproszenie infrastruktury) służy usprawnieniu działania CA oraz dewersyfikację usługi z punktu widzenia użytkownika. Dla użytkownika końcowego struktura ma być przezroczysta. Użytkownik będzie korzystał z właściwego (najbliższego fizycznie i organizacyjnie) RA oraz CA.  Dzięki uwspólnionym interfejsom, każdy użytkownik będzie uzyskiwał certyfikat w tej samej procedurze bez względu na obsługujące go CA. Wybór CA będzie zależny od kilku czynników, tj.: zastosowanie certyfikatu, poziom wiarygodności procedury pozyskania certyfikatu, jednostki organizacyjnej, lokalizacji fizycznej.

Założenia formalne dla Polityk Certyfikacji oraz Kodeks Postępowania Certyfikacyjnego
Zespół projektowy opracował Polityki Certyfikacji oraz Kodeks Postępowania Certyfikacyjnego dla CA należących do PIONIER PKI. Zostało przyjętych szereg założeń formalnych oraz technicznych, z których ważniejsze to:
−    opisy profili certyfikatów, w zależności od konkretnych zastosowań,
−    klucze prywatne dla certyfikatów końcowych muszą mieć długość co najmniej 2048 bitów,
−    klucze prywatne dla CA muszą mieć długość co najmniej 4096 bitów,
−    nie ograniczać od góry długości klucza (mimo wiedzy, że przy zbyt długich kluczach mogą występować kłopoty po stronie aplikacji klienckich),
−    nie dopuszcza się używania algorytmów MD5, używanie algorytmu SHA-1 zostanie ograniczone czasowo, zalecanym algorytmem jest SHA-2,
−    czas ważności certyfikatu nie może być dłuższy niż 3 lata ,
−    niektóre CA będą mogły ustalić w swoich politykach krótszy czas ważności certyfikatu, np. 13 miesięcy (może to być konieczne, by zachować zgodność polityki z wymaganiami organizacji zewnętrznych),
−    czas ważności certyfikatu Root CA oraz Sub-Root CA to 20 lat,
−    każda polityka musi mieć swój OID, OID powinien być publikowany w certyfikacie,
−    klucze prywatne CA będą przechowywane na kartach kryptograficznych,
−    CA będą obsługiwane przez dedykowane stacje robocze znajdujące się z zamkniętym pomieszczeniu z ograniczonym dostępem,
−    CA będą przechodziły audyty zgodności z politykami PIONIER PKI (początkowy audyt oraz regularne okresowe audyty).

Przestrzeganie polityk oraz procedur certyfikacyjnych jest obowiązkiem każdego z operatorów CA w ramach wspólnej infrastruktury. Natomiast każdy z użytkowników końcowych (subskrybentów) winien zapoznać się z dokumentem CP/CPS w trakcie procesu wnioskowania o certyfikat.

Wartości dodane: OCSP, TSA, TRS, portal informacyjny
PIONIER PKI, oprócz właściwej infrastruktury PKI, dostarcza użytkownikom narzędzia dodatkowe związane technologią klucza publicznego. By ułatwić korzystanie z PKI powstał portal informacyjny, który powiązany jest z interfejsami RA. Dodatkowo udostępniony jest system zgłaszania problemów (TRS, z ang. Trouble Ticket System), mający na celu określenie procedur kontaktu użytkowników końcowych z operatorami oraz operatorów różnych CA ze sobą.
Innymi istotnymi elementami PKI, które zostały uruchomione dla użytkowników jest OCSP. Jednakże Polityki Certyfikacji nie narzucają na użytkowników końcowych obowiązku sprawdzania ważności certyfikatu w trybie on-line. Jest to możliwość dodatkowa; podstawową pozostaje sprawdzanie list CRL. OCSP zostało zaprojektowane w prostej trójwęzłowej architekturze o wysokiej dostępności (HA), gdzie poszczególne węzły znajdują się w trzech różnych lokalizacjach fizycznych (odpowiednio dla CA zbudowanych w pilotażowej fazie projektu). Z logicznego punktu widzenia, OCSP  jest jedno dla całej infrastruktury.
Kolejnym elementem udostępnionym użytkownikom jest usługa znakowania czasem dokumentów. W tym celu uruchomiona została jedna instancja TSA (ang. Time Stamping Authority) wraz z interfejsem użytkownika.

Infrastruktura klucza publicznego (PKI) dla użytkowników sieci PIONIER została zrealizowana w wyniku zapotrzebowania na podniesienie bezpieczeństwa użytkowników sieci. Efekty projektu zostaną wykorzystane w projektach oraz wszędzie tam gdzie istotne jest wykorzystanie certyfikatów dostępowych do usług oraz systemów komputerowych.

Utworzenie relacji zaufania względem wszystkich użytkowników sieci PIONIER oraz zastosowanie jednolitej, spójnej i przyjaznej dla użytkownika infrastruktury klucza publicznego (PKI) w znaczny sposób ułatwi korzystanie z certyfikatów. Łatwy dostęp do certyfikatów (mechanizmów wydawania oraz weryfikacji) powinien skutkować większym wykorzystaniem metod autoryzacji opartych o certyfikaty (zarówno po stronie użytkowników, jak i po stronie instytucji świadczących usługi). Samo użytkowanie certyfikatów (autoryzacja, podpis elektroniczny, autentykacja) w znaczny sposób zwiększy bezpieczeństwo pracy użytkowników sieci PIONIER.

Więcej informacji znajduje się w portalu informacyjnym PIONIER PKI: http://www.pki.pionier.net.pl

Składanie wniosków o certyfikat PIONIER PKI: https://ra.wcss.pki.pionier.net.pl

Adres kontaktowy PIONIER PKI: pki@wcss.pl