2022.03.31. 17:58
Mai videónkban visszatérünk a MikroTik RouterOS 7-hez. Egy korábbi részben mélyrehatóan foglalkoztunk a MikroTik új szoftver verziójával és annak főbb újításaival. A mai epizód során állandó szakértőnkkel Balogh Attilával beszélgetünk általánosságban a tanúsítványkezelésről, illetve annak Router OS-ben való használatáról.
A számtalan tanúsítvány közül mi most elsődlegesen az ITU (Inernational Telecommunication Union) X.509-es szabványának a v3-as verziójával fogunk foglalkozni. Az IETF e szabványt kicsit másképp a PKI gyűjteményben dokumentálja. E két tanúsítávny manapság már inkább frameworké alakult mivel nagyon sok kiterjesztési lehetőséget tartalmaz és számos validáció folytatható le e keretrendszeren keresztül.
A hálózatok világában mi is egyfajta digitális identitást szeretnénk alkalmazni. Amikor kommunikáció zajlik két végpont között akkor nem csak az a fontos, hogy mások ne figyelhessék meg e beszélgetésnek a tartalmát, hanem az is, hogy a beszélgető felek meggyőződhessenek arról, hogy ténylegesen azzal kommunikálnak, akivel szeretnének és magukat is egyértelműen azonosítani tudják. Az összetett ellenőrzési módszerek előtt a legelső ilyen megoldás a WPA technológiában a közös előre megosztott kulcs volt.
A titkosítás egyik iskolapéldája a kíváncsi postás esete mikor A ember egy ládába teszi a kulcsot, és lezárja a saját lakatával, majd feladja postán B embernek. B-hez érkezve, ő nem tudja leszedni, de a saját lakatát rá tudja tenni. Ráteszi, és visszaküldi A-nak. Két lakat van a ládán. A leszedi a lakatot és visszaküldi B-nek. B leszedi a lakatot és kinyitja. Így biztosítottuk azt, hogy 3. fél semmilyen módon ne juthasson hozzá az információhoz. Természetesen itt azzal a problémával nem foglalkoztunk, hogy adott lakat mennyire biztonságos és feltörhetetlen esetlegesen.
Az algoritmusok gyenge pontja mellett számtalan esetben a köré épített kódhalmaz achilles sarkához próbálnak hozzáférkőzni azok, akik szeretnének hozzájutni e titkos információhoz és/vagy módosítani azt. Erre sajnos több példát is fel lehet hozni a történelem során és az egyre bonyolultabb kódolási metodikák is magukban rejtik a hibalehetőséget. e=mc2 (error = more code2)
Mitől válik igazán hitelessé egy identitás? Attól, hogy egy általunk hitelesnek tekintett entitás állította ezt ki. Erre hétköznapi példa a személyi igazolvány. Szükség van egy olyan harmadik független félre melyben mindkét fél együttesen megbízik. Mondhatjuk azt, hogy a mi magunk által aláírt tanúsítványban bízzon meg a másik, de ennek biztonságossága erősen megkérdőjelezhető. Illetve csak kisebb zárt környezetben alkalmazható.
Ezek alapján oszthatjuk két fő kategóriára e tanúsítványokat.
A közhiteles tanúsítványok azok melyeket egy kiemelt magasabb szinten megbízható tanúsító állít elő. Illetve az önaláírtak. E kettő mellől lóg ki az ún. private certficate amikor egy entitás azt mondja, hogy ő egy saját tanúsítványkibocsájtót üzemeltet.
A szabvány két szinten osztályozza tanúsítványokat: Az első a tanúsítvány előállító és minden további már valamilyen szolgáltatásra, kliensre, alszervezetre felhasználható lesz majd.
Az igénylés folyamán először elő kell állítani egy privát és egy publikus kulcspárt. A privát kulcsunk lesz az, amellyel később aláírhatjuk (hitelesíthetjük) az eljárásainkat. A publikus kulccsal pedig ezeket az aláírásokat tudjuk validálni.
Titkosításál pont fordítva használjuk a metódust. A publikus kulccsal titkosítunk viszont ez önmagában alkalmatlan arra, hogy visszafejtsük az információt. Ezt nevezzük aszimmetrikus titkosításnak.
Itt a felhasználó saját szolgáltatását / identitásadatait belekódolja egy tanúsítványigénylő csomagba majd ezt aláírja a tanúsítványával. Ezután ezt átküldi a tanúsítvány kiállítónak, aki ezt hitelesíti. Ezután már az adott csomagon a hitelesítő common name értéke látszódik mely igazolja azt, hogy e hitelesítés tényleg sikeresen végbement és érvényes.