1 Увод
Интернет је отворена јавна мрежа и доступан је великом броју корисника широм
света. Међутим, велики број корисника не верује у сигурност тока података који се
размењују путем Интернета јер увек постоји могућност да неко неовлашћено прати
комуникацију корисника и да то касније злоупотреби. Неки од примера злоупотребе
су да неко открије број туђе кредитне картице и да касније њу користи за куповину,
или да неко направи лажан сајт за продају непостојећих ствари и тако наведе
кориснике да одају број своје кредитне картице. Фирме које послују или пружају
одређене услуге преко Интернета се плаше да поверљиве информације неовлашћено
доспеју до неког ко би могао да их злоупотреби на било какав начин (нпр. да
информације о некој новој технологији доспеју до конкурентске фирме). Због свега
тога ради озбиљне примене Интернета у савременом пословању потребно је
обезбедити:
Аутентичност информација (дефинисање и провера идентитета пошиљаоца)
Ауторизацију (да онај који приступа некој информацији има дозволу да то уради)
Заштиту тајности информација (спречавање откривања њиховог садржаја)
Интегритет информација (спречавања неовлашћене измене информација)
Непорицање (спречавање да неки од учесника у комуникацији одбија да призна да
је стварно учествовао)
Ово су основни захтеви који се тичу сигурности и они се морају обезбедити на
одговарајући начин. Захтеви се мало модификују у зависности од тога шта је потребно
осигурати приликом комуникације. Нпр. уколико је потребно осигурати се од
неовлашћеног приступа потребно је обезбедити ауторизацију, или ако треба спречити
могућност да неко промени садржај порука које се размењују, потребно је обезбедити
интегритет информација.
С оваквим захтевима се често срећемо и у нашем свакодневном животу (нпр. лична
карта за идентификацију особе, потпис на различитим документима и сл.). Разумевање
како ови сигурносни захтеви функционишу у реалном животу може бити корисно за
објашњење како се са њима излази на крај у виртуелном свету и где могу настати
проблеми.
Криптографија као наука која се бави методама очувања тајности података омогућава
да се сигурност података коју корисник има у стварном (физичком) свету пренесе и на
виртуелни (е-) свет чиме би се омогућило да људи обављају послове преко мреже без
опасности од разноразних злоупотреба које могу настати у е-свету.
Приликом размене информација често је потребно да се утврди порекло одређеног
документа, идентитет пошиљаоца, време кад је документ послат и/или потписан и сл.
Дигитални потпис је средство криптографије које омогућава да се провере и потврде
(верификују) такви подаци.
Свакога дана стотине хиљада људи комуницира електронским путем, било да је у
питању електронска пошта (е-mail), е-трговина (послови који се обављају преко
Интернета) или преко мобилних телефона. Сталан пораст информација које се размењују
електронским путем довео је до повећаног ослањања на криптографију као технику која
гарантује одређен ниво сигурности приликом размене информација на тај начин.
У овом раду је описан дигитални потпис почевши од појава које су условиле његов
развој па до алгоритма по којем се формира и структура које су неопходне да би све то
функционисало.
3
У другом поглављу описан је однос између појава у физичком свету и на Интернету
које на неки начин представљају потешкоће за постизање сигурности приликом
комуникације. Такође ту су описани и захтеви које треба испунити да би била могућа
безбедна комуникација Интернетом.
Поглавља 3, 4 и 5 се баве криптографијом од њеног историјског развоја,
математичких основа па до описа различитих криптосистема који се користе данас.
Поглавље 6 даје опис различитих протокола који се користе на Интернету ради
сигурности а који у својој основи имају претходно описане криптографске технике.
Поглавље 7 се бави компонентама које су потребне за један дигитални потпис уз
посебан осврт на структуре које треба да постоје да би дигитални потпис могао да служи
својој намени.
У поглављу осам је описан стандард дигиталног потписа који је предложила NIST
организација за стандарде заједно са алгоритмима које та организација препоручује да се
користе приликом генерисања и верификације потписа.
Поглавље 9 описује различите шеме дигиталног потписа које се могу користити
приликом специфичних примена које захтевају модификацију основне шеме дигиталног
потписа.
2 Однос између стварног и виртуелног света када је у
питању сигурност података
Постоје веома велики проблеми који настају када се питање сигурности у стварном
(физичком) свету помери на мрежни свет (Интернет или интранет).
4
Захтеви аутентичности, интегритета информација, очувања тајности, ауторизације и
непорицања су захтеви са којима можемо да се сретнемо у свакодневном животу.
Нажалост горе поменути проблеми чине отежавају испуњавање ових захтева на
Интернету. Како се ови захтеви, сваки појединачно, испуњавају у физичком свету и шта
је то што омета да се такве методе примене на умрежене рачунаре биће објашњено у
даљем тексту.
2.1
Аутентичност
Овај захтев је најлакши за разумевање. То је у ствари проста провера идентитета
нечега (особе, фирме, установе). Сваки човек несвесно врши проверу идентитета људи са
којима долази у контакт (на основу изгледа, гласа, језика,...), продавница у којима купује
(на основу натписа на улазу, адресе, логоа фирме...) и сл.
Најпопуларнији облик на основу кога се формално проверава идентитет неког човека
је његов потпис. Потпис се користи да потврди да је та особа власник рачуна у банци, да
се слаже са садржајем неке изјаве, уговора и сл. Често се потпис не користи само да
докаже идентитет неке особе већ и за ауторизацију.
Визуелна провера идентитета није практична на мрежи баш због оног проблема да се
нико стварно тамо не налази тј. тешко је утврдити да web сервер који смо посетили
стварно припада компанији коју представља. Веома је лако да се креира сајт и да се
региструје домен на име неке већ постојеће компаније и да се тако преваре њене
муштерије које имају поверења у ту компанију.
Потписи имају сличан проблем: немогуће је користити физички потпис за
идентификацију кад ви у суштини нисте тамо. Скенирана слика потписа такође не
помаже јер ју је могуће лако изменити и копирати.
2.2
Ауторизација
Лични документи служе за идентификацију неке особе од стране људи који је не
познају али такође могу да се користе и за ауторизацију. Нпр. возачка дозвола
идентификује да одређена особа сме тј. има ауторизацију да вози ауто. Туристи у страним
земљама су обавезни да носе пасош који је у ствари дозвола (ауторизација) за пут у
стране земље и који их идентификује као стране држављане. Неке државе имају додатне
захтеве (виши ниво ауторизације) за боравак у њима као што је нпр. виза.
За све ове документе постоје три важне претпоставке које омогућавају да они
послуже сврси:
Увек постоји
„
трећа страна
“
која издаје ова документа
Постоји поверење у ту трећу страну да ће адекватно извршити идентификацију
Документа се праве тако да их је тешко копирати, фалсификовати или
модификовати.
Постоје закони који штите од фалсификованих докумената а постоје и добро
изграђене структуре које тачно идентификују лица приликом издавања докумената.
Слично је и са Интернетом, и ту треба да постоје добро изграђене структуре које ће
омогућити идентификацију корисника. О оваквим структурама ће бити речи нешто
касније (у поглављу 7).
6
