Zaufanie i pewność w e-biznesie - cz. 2

Kryptografia, dziedzina wiedzy zajmująca się zagadnieniami utajniania informacji poprzez jej szyfrowanie zaangażowana jest w dwa zagadnienia bezpieczeństwa: prywatności i autentyczności. W systemie kryptografii bardzo istotny jest klucz kryptograficzny, który służy do szyfrowania i deszyfrowania komunikatu. Szyfrowanie symetryczne posługuje się kluczem prywatnym, który jest taki sam dla nadawcy i odbiorcy. Obecnie używane klucze, uznawane, za dające dostateczny poziom bezpieczeństwa mają długość 128 bitów. Szyfrowanie symetryczne zapewnia prywatność i autentyczność, ale jest bardzo kosztowne, gdyż wymaga unikalnych kluczy dla każdej komunikującej się pary. Tak więc jeżeli 10 jednostek chce komunikować się w ten sposób potrzebne jest 45 kluczy, ale już przy 100 jednostkach potrzeba 4950 kluczy. Przy szyfrowaniu asymetrycznym komunikujący się potrzebują dwu kluczy: publicznego dostępnego dla wszystkich i prywatnego specjalnego dla każdego uczestnika komunikacji. Klucz publiczny używany jest do zaszyfrowania komunikatu, a prywatny do jego odszyfrowania. Cała kryptografia używająca klucza publicznego bazuje na założeniu, że na drodze obliczeń niemożliwe jest utworzenie prywatnego klucza z ekwiwalentnego klucza publicznego, podczas gdy rewers jest możliwy. Opisana koncepcja szyfrowania kluczem publicznym wygląda rozsądnie, ale istnieje duży problem - jak jednostka może zaufać, że publicznie dostępny klucz jest autentycznym kluczem należącym do jednostki próbującej skomunikować się? Z tego powodu konieczne jest posiadanie właściwego systemu zarządzania kluczem, aby można było go używać bezpiecznie. PKI (Public Key Infrastructure) - infrastruktura publicznego klucza definiuje strukturę publicznego klucza otrzymywanego przez jednostkę w celu szyfrowania informacji dostarczającej cyfrowego certyfikatu identyfikującego jednostkę i organizację obsługującą. Innymi słowy PKI definiuje strukturę dla zarządzania kryptograficznym kluczem. W celu ustalenia związku pomiędzy jednostką i jego publicznym kluczem, PKI używa strukturę danych nazywaną certyfikatem, który łączy tożsamość jednostki z jego publicznym kluczem i jednocześnie zawiera informację jak użyć publicznego klucza. Certyfikat decyduje tylko o jednej części zagadnienia zaufania, ale problemem do rozwiązania pozostaje jeszcze jak wierzyć certyfikatowi.