Je tomu již 21 let, co se objevily Windows 2000. Tehdy přinesly zásadní kvalitativní změnu v pohledu na operační systémy firmy Microsoft. Jak je to s PKI dnes se dočtete v tomto článku.
Windows 2000 přinesly celou řadu zásadních inovací. Chtěl bych se zmínit zejména o Active Direcotory a autentizaci pomocí protokolu Kerberos. Do té doby bylo množství kerberizovaných aplikaci velice malé – nepočítaje v to některá univerzitní prostředí. Avšak Microsoft běžně používané aplikace keberizoval, což přineslo jednotné přihlášení (Signle Sign On), které umožňuje uživateli přihlásit se pomocí jednoho loginu k dalším aplikacím.
Tehdy bylo pro mne největším překvapením masivní implementace PKI. Až legračně vypadal překlad některých hlášek do češtiny. Při této příležitosti mně vždy vytane na mysli: „Odeslat tuto zprávu jako podepsanou bez nutnosti ověření“ – místo, aby tam napsali, že zpráva bude opatřena externím elektronickým podpisem.
Co se zcela nepovedlo ve Windows 2000, bylo ve Windows 2003 více či méně doděláno. Očekával jsem, že tato masivní evoluce v implementaci PKI bude s dalšími verzemi přibývat. Jenže obchodní potenciál v oblasti PKI byl pravděpodobně vyčerpán. Takže, když jsem se v roce 2020 podíval na hlášku ohledně externího elektronického podpisu, opět se mi zobrazilo: „Odeslat tuto zprávu jako podepsanou bez nutnosti ověření“. Ale abych byl korektní, i v oblasti PKI se v operačních systémech firmy Microsoft hodně změnilo. Například byla implementována Kryptografie nové generace.
Když se nad implementací PKI v operačních systémech Windows zamyslím, tak tam všechno podstatné je. Všechno se dá tak nějak udělat, ale často to není uživatelsky přívětivé – udělá to snadno administrátor, ale pro běžného uživatele je to trochu krkolomné. To je dobrá zpráva pro třetí strany, které mohou nabídnout svá řešení a přispět tak nejenom k lepšímu komfortu, ale zejména k pozvednutí kybernetické bezpečnosti firemních sítí.
V následujícím textu jsou některé z možností, které v této oblasti nabízí firma MONET+.
Registrační autority
Registrační autorita je místo, kde dochází k identifikaci žadatele o certifikát před přijetím žádosti o vydání nebo odvolání certifikátu. Software registrační autoritu umožní evidovat informace o proběhlé identifikaci i následné přijetí žádosti pro její další zpracování certifikační autoritou. Umožní také předat žadateli vystavený certifikát včetně revokačních informací. V neposlední řadě pak umožňuje žádat o certifikát v zastoupení uživatele.
Databáze certifikátů
Jedná se o SQL databázi, která umožní obnovit činnost certifikační autority po její havárii beze ztráty certifikátů vydaných/odvolaných od poslední zálohy. Díky uložení certifikátů v SQL databázi je navíc mj. možné:
- Notifikovat blížící se vypršení certifikátů
- Indikovat duplicitní certifikáty
- Zjišťovat chybějící certifikáty
- Odvolávat certifikáty na základě definovaných pravidel
- Doplňovat metadata k vydaným certifikátům (např. kontaktní údaje správce serveru, který má být kontaktován v souvislosti s daným typem certifikátu)
- Ukládat informace o potvrzení převzetí certifikátu
- Vytvářet statistiky pro management.
Automatické odvolávání certifikátů
Automatické odvolávání certifikátů je neocenitelné zejména případě uzavírání účtů, kdy už nemůže dojít k situaci, že by k uzavřenému účtu existoval platný certifikát.
Hlídání vypršení certifikátu
Asi mnozí již zažili, že jim vypršel certifikát a pak si museli znovu nechat vydávat certifikáty, jako když tak činili poprvé.
Podpora GDPR
Certifikáty zaměstnanců a klientů v sobě zpravidla nesou osobní údaje. V případě ukončení pracovního poměru nebo smluvního vztahu je pak nutné tyto osobní údaje anonymizovat (kromě výjimek stanovených zákonem). Osobní data je pak třeba vymazat. A tam, kde to není možné nahradit anonymním řetězcem, přichází naše rozšíření.
Pár slov závěrem
Přes některé výhrady k PKI v prostředí Microsoft je třeba konstatovat, že čas prokázal tuto implementaci jako velice úspěšnou. A pokud je doplněna o některá rozšíření třetích stran (např. MONET+), jiné implementace PKI jí nemohou konkurovat.
Autor:
Libor Dostálek, Information Technology Architect at MONET+