Ce aduce nou Windows Server 2008 Certificate Services?

Tehnologii de criptare

Pe această pagină

	Introducere
	Trecut
	Prezent și viitor

Introducere

Când vine vorba despre securitate, unul din posibilele răspunsuri este legat de folosirea infrastructurilor de chei publice (PKI), a certificatelor digitale și autorităților de certificare.

Tehnica din spatele certificatelor digitale se numește criptografie asimetrică și folosește algoritmi criptografici foarte puternici printre care algoritmii criptografici folosiți în criptare sau semnătură digitală - algoritmi RSA, DSA sau algoritmi de hashing precum SHA1.

Criptografia asimetrică a apărut la mijlocul anilor ’70 și în timp și-a dovedit fiabilitatea și securitatea prin dezvoltarea unor algoritmi criptografici puternici care au rezistat numeroaselor încercări de a le demonstra fragilitatea (așa numitele atacuri crypto analitice).

Criptografia asimetrică se bazează pe o pereche de chei: privată și publică.

Cunoașterea cheii publice nu implică deducerea cheii private. Cheile publice sunt stocate de obicei în baze de date de tip directory precum este Windows Active Directory Services și sunt disponibile pentru consultare către oricare din utilizatorii infrastructurii PKI.

Certificatul digital conține cheia publica și este emis și semnat digital de către o autoritate de certificare care garantează acuratețea informațiilor din certificat.

Practic certificatele digitale reprezintă identitatea digitală a utilizatorilor în cadrul unei companii și pot înlocui elementele clasice folosite în cadrul sistemelor de securitate și de management al identității.

Cu ajutorul certificatelor digitale putem asigura cerințe de securitate informatică precum autenticitatea, autorizarea, confidențialitate, integritate sau nerepudiere.

Autenticitatea, integritatea și nerepudierea le putem asigura folosind certificatele digitale și semnătura digitală.

Confidențialitatea documentelor, a sistemelor de mesagerie sau a transportului în rețea le putem asigura folosind certificatele digitale și criptarea.

Începutul paginii

Trecut

Microsoft oferă, de la familia Windows 2000 Server încoace, o autoritate de certificare fiabilă și foarte sigură pentru a oferi clienților modalități eficiente pentru securizarea infrastructurilor IT.

S-a continuat tradiția și, odată cu apariția Windows 2003 Server, a ieșit pe piata și autoritatea de certificare Windows 2003 Certificate Services.

Pentru a oferi încredere deplină utilizatorilor asupra securității acestui produs, Microsoft a trimis spre testare și certificare și apoi a primit certificarea Common Criteria EAL4+ pentru autoritatea de certificare Windows 2003 Certificate Services.

Acesta este cel mai inalt nivel de securitate Common Criteria pe care îl poate obține un produs software comercial. Practic, pe lângă certificarea platformei Windows 2003 server, Microsoft a urmărit și certificarea acestei componente de securitate esențiale pentru orice organizație.

De asemenea, modulele criptografice software din Windows Server 2003 și Windows XP sunt certificate Federal Information Processing Standards (FIPS).

Începutul paginii

Prezent și viitor

Odată cu apariția Windows Server 2008 a aparut și autoritatea de certificare Windows 2008 Certificate Services (CS) inclusă gratuit în orice versiune de Windows 2008 Server începând cu Standard Edition.

Windows 2008 CS oferă un nivel sporit de securitate prin inovațiile tehnologice și folosirea celor mai puternici algoritmi criptografici existenți la ora actuală. Pe lângă aceasta, Windows 2008 CS oferă cele mai mici costuri de implementare și administrare prin integrarea nativă cu infrastructurile Active Directory.

În Windows 2008 Certificate Services s-a introdus noul framework Cryptography Next Generation(CNG) ce va permite producătorilor hardware și software integrarea facilă a dispozitivelor hardware sau aplicațiilor software.

CNG inlocuieste vechiul CryptoAPI și permite auditarea avansată a tuturor evenimentelor de securitate privind operatiunile criptografice.

Cryptography Next Generation va fi trimis spre certificare pentru a obtine atat certificarea Federal Information Processing Standards (FIPS) 140-Level2 cât și certificarea Common Criteria.

CNG permite oricărui computer ce beneficiază de chip-uri hardware Trusted Platform Module (TPM) să stocheze în siguranță cheile private în chipul TPM și este compatibil și suportat pe Windows Vista și Windows Server 2008.

Cryptography Next Generation include suportul pentru cei mai siguri algoritmi criptografici – asa numiții “Suite B algorithms”. Acești algoritmi sunt recomandați de agenția națională de securitate americană (NSA) pentru protecția informației în mediile în care securitatea este foarte importantă. Sunt folosiți noi algoritmi criptografici precum Advanced Encryption Standard(AES)- cel mai puternic algoritm simetric de criptare cu chei cu lungimi intre 128 și 256 biți, SHA2 – un algoritm puternic de hashing folosind chei de lungimi între 256-512 biți sau algoritmii bazați pe curbe eliptice ECDSA sau ECDH cu chei de lungimi între 256 și 521 biți.

Astfel, utilizatorii Windows 2008 CS, pot înlocui algoritmii criptografici bazați pe tehnologia RSA cu algoritmi criptografici bazați pe curbe eliptice. Acesti algoritmi oferă același nivel de securitate ca și algoritmii RSA dar folosesc chei de lungime foarte mică. Practic o cheie de lungime 160 biți bazata pe algoritmi ce folosesc curbe eliptice este la fel de sigura ca o cheie asimetrică de 1024 de biți bazată pe algoritmi RSA.

Algoritmii bazați pe curbe eliptice reprezintă viitorul în criptografie datorită cheilor de lungime mică. Această caracteristică este esențială pentru dispozitivele mobile (mobile devices, smartphones) care au o putere de procesare mai mică și care vor folosi foarte eficient aceste tehnologii.

Pe lângă dezvoltarea și încorporarea ultimilor algoritmi criptografici, Windows 2008 CS introduce și integrarea nativă cu protocolul Simple Certificate Enrollment Protocol(SCEP) folosit de dispozitivele CISCO – routere, firewall-uri sau concentratoare VPN. Practic acum orice tip de dispozitiv care folosește pentru înrolarea cu certificate protocolul SCEP va fi integrat și va primi certificate digitale de la o autoritate de certificare Windows 2008 CS utilizând serviciul Network Device Enrollment Service(NDES).

De asemenea, o îmbunătățire fundamentală o reprezintă noul serviciu Online Certificate Status Protocol (OCSP), serviciu standard conform cu RFC 2560. Practic Windows 2008 CS este prima autoritate de certificare ce beneficiază de serviciul OCSP iar Windows Vista este primul client Windows care suportă și utilizează acest serviciu.

Un certificat revocat reprezintă o vulnerabilitate în cadrul unei infrastructuri PKI și este necesară folosirea unui serviciu OCSP, esențial pentru furnizarea în orice moment a stării unui certificat digital.

Legat de securitatea operării și managementului autorității de certificare Windows 2008 CS putem aminti aici și de posibilitatea separării rolurilor pentru persoanele care administrează autoritatea de certificare.

Acesta este un criteriu important pentru certificarea Common Criteria și astfel putem defini următoarele roluri în cadrul Windows 2008 CS: CA Administrator, Certificate Manager, Backup Operator sau Auditor.

Managementul autorității de certificare este mult imbunatățit și bineînțeles Windows 2008 CS vine împreună cu un ”management pack” ce permite managementul și integrarea cu produsul Microsoft System Center Operations Manager (SCOM) din familia soluțiilor de management al infrastructurii System Center.

În ceea ce privește disponibilitatea autorității de certificare, Windows 2008 CS este prima autoritate de certificare Microsoft care vine cu posibilitatea de configurare în regim de failover clustering – cluster activ-pasiv pentru asigurarea unei disponibilitati maxime.

De asemenea, serviciul OCSP (un serviciu ce foloseste protocolul HTTP) poate fi configurat în regim de load-balancing pentru a asigura un regim de înaltă disponibilitate.

Securitatea autorității de certificare poate fi sporită prin stocarea cheilor private ale autorității Windows 2008 CS cu ajutorul dispozitivelor de securitate hardware (Hardware Security Module HSM) și aici putem aminti integrarea cu dispozitive de la diferiți producători printre care: Safenet, Utimaco, nCipher, Algoritmic Research, AEP etc.

Windows Vista și Windows Server 2008 pot folosi o multitudine de dispozitive de tip smartcard sau tokenuri USB pentru a înlocui autentificarea clasică bazată pe parole cu proceduri foarte elegante și foarte sigure de smartcard logon. De altfel procedurile de smartcard logon puteau fi implementate începând cu Windows 2000 Active Directory Services și Windows 2000 Certificate Services.

Windows 2008 CS poate fi folosit împreună cu Microsoft Identity Lifecycle Manager (ILM) care este soluția Microsoft pentru managementul identității, provizionarea și managementul smartcardurilor și certificatelor digitale într-o companie.

Autoritatea de certificare Microsoft din Windows Server 2008 este o autoritate de certificare conforma cu standardele PKI printre care standardul X.509 v3 pentru certificatele digitale, standardul pentru politicile de certificate RFC 2459, serviciul OCSP conform RFC 2560, standarde diferite precum PKCS#7- standardul de semnătură digitala, PKCS#10- standard pentru cererile de certificate sau PKCS#12-standard pentru certificatele digitale în format software; în plus sunt suportate smartcarduri ce folosesc atat chei emise pe baza algoritmilor bazați pe curbe eliptice sau smartcarduri duale ce folosesc atat tehnologia bazata pe curbe eliptice dar și tehnologia clasica RSA.

Datorită securității oferite de autoritatea de certificare Microsoft, foarte multe organizații folosesc în SUA autoritatea de certificare Microsoft în programul Federal Bridge Certification Authority (FBCA) în care organizațiile interacționează și au încredere reciprocă în infrastructurile PKI prin intermediul autorității de certificare naționale de încredere FBCA .

Începutul paginii