ECDL.web - ECDL Tudástár

Tanúsítvány beszerzése, telepítése és használata elektronikus aláírásra és titkosításhoz

A ECDL.web wikiből

Lásd még
Elektronikus aláírás, titkosítás, internet, Microsoft Internet Explorer 6 és Outlook Express 6.

A nyilvános kulcsú titkosítás lehetővé teszi, hogy az információk titkosítása mellett elektronikus aláírásokat is használjunk. Az elektronikus aláírás az üzeneteket nem rejtjelezi, célja a titkosítással szemben mindössze az, hogy a címzett meggyőződhessen arról, hogy a neki küldött információ valóban a feladótól származik, és azt más nem módosíthatta.

A nyilvános kulcsú titkosítási eljárások használatakor fontos, hogy a titkosított üzenet küldése előtt megbizonyosodjunk arról: valóban a címzett nyilvános kulcsát használjuk-e. Ez az elektronikus tanúsítvány tartalmazza:
1. Az adott személy/szervezet nyilvános kulcsát; Opcionálisan tartalmazhatja az adott személy/szervezet adatait, pl. nevét, lakhelyét, munkahelyét, vagy más adatait;
2. Egy, vagy több digitális aláírást: azoknak a szervezeteknek és/vagy személyeknek az aláírása, akik igazolják a fentiek valódiságát. Ezeket a szervezeteket nevezzük Hitelesítési Szolgáltatóknak (Certification Authority, CA).

[szerkesztés] Hitelesítésszolgáltatók

Hitelesítésszolgáltatók tanúsítványai, IE6, Windows XP
A hitelesítésszolgáltató létezését önmaga igazolja, egy önmaga számára kibocsátott tanúsítvánnyal. Az ehhez az úgynevezett főtanúsítványhoz kapcsolódó bizalmat a szervezet hagyományos üzletpolitikai és marketingeszközökkel építi ki (stabil és transzparens működés, rendszeres auditok elvégeztetése és publikálása, felelősségbiztosítás). Ezek a főtanúsítványok az operációs rendszerekben előre telepítve érkeznek, illetve - ha megbízunk a tanúsítványkiadóban - magunk is telepíthetjük. A főtanúsítványait ebből a célból a tanúsítványszolgáltatók általában weboldalaikon publikálják. Természetesen azok a hitelesítésszolgáltatók, amelyek korábban bekerültek egy operációs rendszer megbízható főtanúsítványainak tárolójába, élveznek némi helyzeti előnyt. A Verisign és a Thawte hitelesítésszolgáltatók már Windows 95-ben is jelen voltak, és más platformokon is (például Linux-on vagy mobil eszközökben) megtalálhatóak, míg a magyar Netlock - és más, később alakult szolgáltatók - csak a Windows, Linux, Netscape böngésző és egyéb szoftverek későbbi verzióiba kerültek be. Ennek a fő jelentősége az, hogy a rendszerben előtelepített hitelesítésszolgáltatók által kiállított tanúsítványok megbízhatónak minősülnek, míg a "később jövők" által kiállított tanúsítványok használata esetén az operációs rendszer figyelmeztető üzenetet jelenített meg. A Windows 95/98 termékek életciklusa lejártával, miután a felhasználók fokozatosan áttérnek a frissebb változatokra, ez a probléma ma már ritkán áll elő a PC-s környezetekben.

A hitelesítésszolgáltatók több osztályba sorolják tanúsítványaikat, mely osztályokat általában betűjelek (A, B, C), vagy számok (1, 2, 3) különböztetik meg. Az osztályba sorolásra nincs általánosan elfogadott rendszer, a fő különbség az egyes szinteken a hitelesítésszolgáltató által nyújtott eltérő mértékű pénzügyi garancia a tanúsítványokkal történő esetleges visszaélésből eredő kár megtérítésére, illetve a hitelesítésszolgáltató által az igénylőtől megkövetelt garanciák (pl. személyes megjelenés, közjegyző előtt tett nyilatkozat, stb).

A hitelesítésszolgáltatók piacán számos szereplő található. Ezek közül példaképpen megemlítjük azokat, melyek lehetővé teszik a szolgáltatásuk ingyenes kipróbálását személyes megjelenés nélkül.

  • Tipp: A TrustCenter ingyenes tanúsítványa egy évig érvényes, tetszés szerint meghosszabbítható, és a tanúsítványba felhevetjük saját nevünket is. Az alábbiakban a TrustCenter tanúsítványszolgáltatóval mutatjuk be az igénylés menetét és - mivel ingyenes - személyes használatra ezt a szolgáltatót javasoljuk.
  • A Verisign elektronikus levelezéshez használható tanúsítványát 60 napig próbálhatjuk ki ingyenesen (az egy évig érvényes tanúsítványért 19.95 dollárt, mintegy 4400 forintot kell fizetni). A tanúsítványba belefoglalhatjuk a nevünket is.
  • A Thawte az internet egyik első hitelesítésszolgáltatója volt. A dél-afrikai céget felvásárolta a Verisign, mely így gyakorlatilag monopolhelyzetben (de legalábbis döntő fölényben) van a hitelesítésszolgáltatói piacon. A Thawte-tól egy éves időtartamra igényelhetünk tanúsítványt, saját nevünket igényléskor nem foglalhatjuk bele ebbe a tanúsítványba (helyette "Thawte Freemail Member" olvalsható), azonban a Thawte Web of Trust hálózatában a felhasználók egymást hitelesíthetik, és a kellő menyiségű hitelességi pontszám összegyűjtésével (2-3 Thawte képviselővel való személyes találkozó szükséges) már nevünk is bekerülhet a tanúsítványba.
  • A GlobalSign ingyenes teszt tanúsítványa 30 napig érvényes. A személyes használatra kiadott PersonalSign2 tanúsítványok igényléséhez személyazonosító okmányaink másolatát el kell küldenünk a tanúsítványszolgáltatónak. A három évig érvényes tanúsítvány ára 65 Euró+ÁFA (mintegy 20000 Ft).
  • A Netlock Kft. a vezető magyarországi hitelesítő szolgáltató. A személyes használatú tanúsítványok éves díja 4800-9000 Ft/év, a minősített közjegyzői tanúsítványok ára 20000-40000 Ft/év. Az ingyenes teszt tanúsítvány egy hónapig érvényes, saját nevünket nem foglalhatjuk bele a tanúsítványba.
  • A Microsec e-Szignó hitelesítésszolgáltatás minősített és fokozott biztonságú tanúsítványokat kínál. Az ingyenes teszt tanúsítvány három hónapig érvényes. A teszt tanúsítványokban nevünk elé automatikusan egy "Teszt" előtag kerül. A személyes használatú tanúsítványok éves díja 3500-13000 Ft + ÁFA/év, a minősített közjegyzői tanúsítványok ára 20000-55000 Ft+ÁFA/év. A Microsec 2007. januárjától szerepel a Windows operációs rendszerekkel telepített megbízható legfelső szintű hitelesítésszolgáltatók között.

[szerkesztés] Új tanúsítvány igénylése

A titkos elektronikus kommunkációhoz használatos tanúsítvány beszerzését Windows XP-n, Microsoft Internet Explorer 6 és Outlook Express 6 használatával mutatjuk be. A lépések hasonlóak más operációs rendszeren, illetve levelezőprogramokban is. A példában a TrustCenter-től igénylünk tanúsítványt, mivel ez a szolgáltató ingyenesen biztosítja, a nevünket is belefoglalhatjuk személyes megjelenés nélkül (a szolgáltató ugyanis csak az e-mail címünket ellenőrzi) és a tanúsítvány egy évig érvényes.

Fontos megemlíteni, hogy az ilyen ingyenes tanúsítvánnyal semmilyen biztosíték, garancia nem jár. Ha pénzügyi garanciával szeretnénk bebiztosítani magunkat, válasszunk fizetős szolgálatót.

[szerkesztés] 1. lépés

A tanúsítvány igénylést angolul vagy németül indíthatjuk:

Az első lépésben egy egyszerű űrlapot látunk, amivel megadhatjuk adatainkat:

  • Gender: a kérelmező neme
  • First name, Last name: a kérelmező neve. A tanúsítványban First Last sorrendben lesz látható a nevünk, ezért ha a magyar sorrendben szeretnénk a nevünket viszontlátni, a vezetéknevünket írhatjuk a First name mezőbe és fordítva.
  • Country: Hungary
  • E-mail: az az e-mail cím, amivel a tanúsítványt használni fogjuk (valódi, működő e-mail fióknak kell lennie, mert a szolgáltató egy ellenőrző e-mail-t fog küldeni)

[szerkesztés] 2. lépés

  • A második lépésben válasszunk jelszót ("Emergency password") - ennek ismeretében a szolgáltatás webes felületén visszavonhatjuk tanúsítványunkat, ha lejárta előtt kompromittálódna (azaz attól kellene félnünk, hogy valaki a nevünkben aláír egy levelet, mert őrizetlenül hagytuk a gépünket, elvesztettünk vagy elfelejtettük a jelszavunkat, stb).
  • Ugyanitt a "private key protection" négyzet bejelölésével védhetjük a privát kulcsunkat; ha bejelöljük, az operációs rendszer minden esetben figyelmeztetni fog, ha tanúsítványunkat használjuk (vagy esetleg egy rosszindulatú alkalmazás a nevünkben használni akarná).
  • A "Cryptographic Service Provider" választólistában kijelölhetjük, hogy melyik - az operációs rendszerben elérhető - titkosító modult szeretnénk használni. A Microsoft Enhanced Cryptographic Provider kiválasztása javasolt.
  • Az "Exportable private key" szekcióban a privát kulcsunkat exportálhatóként jelölhetjük. Tegyük meg abban az esetben, ha a privát kulcsunkról biztonsági másolatot szeretnénk készíteni vagy több gépen is szeretnénk használni (ilyenkor viszont ügyelni kell, hogy az exportált fájl ne kerülhessen illetéktelen kezekbe).
  • Ezek után létrehozhatjuk a tanúsítványhoz tartozó privát és nyilvános kulcsunkat ("Generate key pair"). A böngésző figyelmeztet, hogy a weboldal a nevünkben új kulcspárt fog generálni, de mivel pontosan ezt szeretnénk, kattintsunk az Igen gombra.
  • Ezután a szolgáltató megkezdi a kérés feldolgozását.

[szerkesztés] 3. lépés

  • Indítsuk el a levelezőprogramunkat; a példában az Outlook Express 6-ot használjuk, de a művelet Outlook-ban, Mozillában, Mozilla Tunderbird-ben és Operában is hasonló. A tanúsítvány igénylése után néhány percen belül e-mailt kapunk, mely tartalmazza azt az URL-t, amit a böngészőben betöltve telepíthetjük az új tanúsítványunkat.
  • Ha ez az első elektronikusan aláírt e-mail, amit valaha kaptunk, az Outlook Express felhívja rá a figyelmünket. Olvassuk el a tájékoztatót, majd kattintsunk a Tovább gombra.
  • A levélben szereplő instrukcióknak megfelelően válasz-e-mail-t kell küldenünk. Ezt legegyszerűbben a levélben szereplő linkre kattintva ("Or simply click...") tehetjük meg.
  • Küldjük el a levelet.

[szerkesztés] 4. lépés

  • Néhány percen belül újabb e-mail-t kapunk, melyben a TrustCenter értesít arról, hogy a tanúsítványunk elkészült. Nyissuk meg a levélben látható internet-címet a böngészőben (azaz kattintsunk rá).
  • Kattintsunk az Install certificate gombra. A böngésző figyelmeztet, hogy a weboldal a nevünkben új tanúsítványt fog hozzáadni a tanúsítvány-tárunkhoz. Pontosan ezt szeretnénk tenni, kattintsunk az Igen gombra.
  • Ezzel telepítettük az új tanúsítványunkat (Installation of your certifiacte was successful), már használatba is vehetjük.

[szerkesztés] 5. lépés

  • Az Outlook Express-ben nyissuk meg a postafiókunk beállításait. (Eszközök -> Fiókok... -> postafiók -> Tulajdonságok)
  • A "Biztonság" fülön a "Kijelölés" gombokra kattintva kiválaszthatjuk az aláírásra és titkosításra használt tanúsítványt. Ebben a példában ugyanazt a tanúsítványt használjuk mindkét célra a kényelem kedvéért. Az operációs rendszer a tanúsítványainkat a bennük foglalt e-mail címek alapján szűri a listában, tehát ha több tanúsítvánnyal rendelkezünk, itt csak azokból választhatunk, melyek az aktuális postafiókhoz rendelt e-mail-címet tartalmazzák.
  • Az "OK" gombra kattintva fogadjuk el a módosításokat.

[szerkesztés] Elektronikusan aláírt e-mail küldése

  • Ha már van telepített tanúsítványunk, az elektronikusan aláírt üzenet küldése egyszerű. Egy e-mail elektronikus aláírással való ellátásához kattintsunk az eszköztár "Üzenet digitális aláírása" gombjára. Az e-mail küldésekor az Outlook Express automatikusan aláírja a kimenő e-mailt.
  • Ha azt szeretnénk, hogy alapértelmezetten minden e-mail-ünk elektronikus aláírással kerüljön továbbításra, jelöljük be az Eszközök -> Beállítások... menüpontban a "Biztonság" fülön a "Minden kimenő üzenet digitális aláírása" opciót.

[szerkesztés] Titkosított e-mail küldése

Titkosított e-mail-t azoknak a személyeknek tudunk küldeni, akiknek rendelkezünk a nyilvános kulcsával. Ez a gyakorlatban többféleképpen megvalósulhat, de a leggyakoribb az, ha az illetőtől kapunk egy elektronikus aláírással ellátott e-mail-t, mivel a legtöbb levelezőprogram az üzenet elektronikus aláírásakor a levélhez csatolja a feladó nyilvános kulcsát is. Ez természetesen fordítva is igaz (alapértelmezett programbeállítások mellett): ha valakinek küldünk egy aláírt e-mail-t, és a címzett rendelkezik saját tanúsítvánnyal, egy aláírt levélváltás után már titkosított e-mail-ekben kommunikálhatunk tovább.

Nézetek
Személyes eszközök