Kam reikalingi programinės įrangos sertifikatai?

Publikuota: 2018-05-03
Mudrikas Dadašovas, UAB Skaitmeninio sertifikavimo centras (SSC) direktorius.
Mudrikas Dadašovas, UAB Skaitmeninio sertifikavimo centras (SSC) direktorius.

Šiandien beveik visi internete naudojamės naršyklėmis ir el. paštu. Kiekvienas norime būti tikras, kad tinklapis ar el. laiške gauta informacija yra tikra, nesuklastota. Kai jungiamės prie banko, norime įsitikinti, kad tai tikras bankas, o ne sukčių sukurta jo imitacija. Gavę el. laišką norime būti tikri, kad tai patikimo siuntėjo adresuotas laiškas, kuriame informacija nepakeista.

Tačiau pastaruoju metu atsiranda vis daugiau netikrų platformų, pvz., el. parduotuvių, kurios vilioja pažįstamais prekių ženklais ir dažnai neįtikėtomis nuolaidomis. „Apsipirkus“ tokioje parduotuvėje paaiškėja, kad ji – klastotė, o sumokėti pinigai pradingo negrįžtamai. Kad taip nenutiktų, reikalingi patikimi sertifikatai – įrodymai, kad banko ar parduotuvės tinklapis yra patikimas. Apie tai, kaip atskirti tikrus tinklapius ir el. laiškus nuo suklastotų, kam reikalingi programinės įrangos sertifikatai ir kaip jie veikia, aiškinamės su Mudriku Dadašovu, UAB Skaitmeninio sertifikavimo centras (SSC) direktoriumi.

Taigi, sertifikatai yra skirti įrodyti, kad tinklapiai patikimi...

Visiškai teisingai. Anksčiau vyravo tiesioginis ryšys tarp kliento ir, sakykime, banko ar parduotuvės, tačiau šiandien matome, kad atsiranda žaidėjų tarp žmogaus ir banko ar parduotuvės, – tai naršyklės. Tie žaidėjai turi teisę šiame procese dalyvauti, tačiau dabar jie tampa pasitikėjimo grandinės dalyviais, ir tenka stebėti, kas dalyvauja vykdant mūsų finansines operacijas. Kyla patikimumo problema.

Technine prasme tas patikimumas sprendžiamas operacinės sistemos arba tos programos lygmenyje. Kuriantys operacines sistemas kartu įdiegia ir priemones, kurios suteikia patikimumo klientui. Šiandieninėje technologinėje situacijoje patikimumą užtikrina sertifikatai, tiksliau vadinami serverio (SSL) sertifikatais – jie yra pagrindinė interneto svetainių tapatumo ir tapatybės užtikrinimo priemonė.

Kai programa, naršyklė ar el. pašto programa nori įsitikinti, kas yra vykdytojas, atliekama žmogui nematoma operacija – programinė įranga patikrina sertifikatą ir nustato, ar yra žinomi tie, kurie jį išdavė, ir kas jie tokie. Jeigu programinė įranga atpažįsta išdavusius sertifikatą, vadinasi, sertifikatas yra patikimas. Tačiau, jei naudodamasis naršykle ar el. pašto programa vartotojas pamatys, kad sertifikatą išdavė kažkokia negirdėta įmonė, pasitikėjimas sugrius.

Kas rodo, kad sertifikatu ir jį išdavusia įmone galima pasitikėti?

Įmonių sertifikacinį patikimumą nustato operacinių sistemų gamintojai. Didžiausi ir žinomiausi – „Google“, „Microsoft“, „Opera“, „Apple“. Štai pernai operacinės sistemos „Windows“ gamintojas „Microsoft“ įvertino SSC – mūsų paslaugos buvo įtrauktos į šio gamintojo patikimų sertifikavimo centrų sąrašą. Dabar vedame derybas su kitomis minėtomis kompanijomis. Kai bus baigtos procedūros, SSC galės visame pasaulyje siūlyti kvalifikuotus interneto svetainės tapatumo nustatymo sertifikatus.

Šių kompanijų politika dėl sertifikavimo yra viešai paskelbta, visi žino, kokios yra sertifikatams taikomų kriterijų taisyklės. Jos taikomos visiems vienodai, niekam nėra jokių privilegijų – nesvarbu, ar esi gigantas, ar visai maža įmonė – visiems reikalavimai identiški. Jie nevertina, ar tu esi geras, ar blogas, jie žiūri, ar atitinki reikalavimus.

Vienas iš reikalavimų – pateikti audito išvadas. Tam reikia samdyti auditą, kuris pagal tam tikrus kriterijus nuodugniai ištiria sertifikatus tiekiančios įmonės veiklą. Jei audito išvados operacinės sistemos gamintoją tenkina – jis priima to gamintojo sertifikatus.

Dabar mes taip pat pretenduojame teikti sertifikatus ir „Mozila Foundation“. Su šia įmone, kuriai priklauso populiari naršyklė „Mozila Firefox“, susiklostė neįprasta situacija. Kaip minėjau, sertifikavimo įmonių ir jų sertifikatų patikimumą nustato operacinės sistemos gamintojas, bet yra ir tokių žaidėjų, kurie nepripažįsta kitų siūlomų sertifikatų ir juos tikrina patys. Tokia yra ir „Mozila“. Kadangi „Mozila Firefox“ veikia įvairiose platformose, jos gamintoja gali sau leisti turėti savas taisykles. Nepakanka garantuoti operacinių sistemų patikimumo, reikia užsitikrinti ir atskirą „Mozila“ patikimumą, tik tada sertifikatas bus įtrauktas į šakninių patikimumo sertifikatų sąrašą.

Visos kvalifikuotus sertifikatus siūlančios bendrovės, taip pat ir mes, turi gauti kiekvieno operacinės sistemos gamintojo patvirtinimą, kad šis pasitiki sertifikatų kūrėju, ir tik tada jį gali įtraukti į patikimųjų sąrašą. Šis sąrašas yra pasaulinis, iš ten įtrauktų įmonių didžiąją dalį sudaro privačios ir tik maždaug 20% – valstybinės. Mums, kaip paslaugų tiekėjams, yra svarbu, kad klientai jaustų komfortą, kad nebūtų nepatikimų finansinių operacijų. Taip auga mūsų sertifikatų patikimumas, o klientai nori juos turėti.

Kokie požymiai padeda interneto vartotojui suprasti, kad naudojama naršyklė patikima?

Naršyklė užtikrina vartotojui saugią aplinką, tačiau ir pats vartotojas turi atkreipti dėmesį į kelias detales. Kiekviena naršyklė turi adresų juostą, o joje galima matyti nedidelę ikoną. Jeigu tinklapis, prie kurio jungiamasi per naršyklę, priklauso patikimam paslaugų tiekėjui, ikonėlė degs žaliai. Vadinasi, naršyklė atpažino tinklapio savininką, patikrino sertifikatą ir jo išdavėją. Paspaudus ant ikonos galima matyti, kam sertifikatas priklauso. Tačiau, jei naršyklei vykdant sertifikato patikrinimą nėra aišku, kas tą sertifikatą išdavė, ikona šviečia kita spalva ir nurodo, kad vartotojas yra nepatikimame tinklapyje.

Šis procesas naršyklėje vyksta ir atvirkščiai. Jei naršyklė patvirtino, kad tinklapis patikimas, tai nereiškia, kad juo besinaudojantis vartotojas yra patikimas. Patikimumą užsitikrinti nori ir tinklapiai, todėl naršyklė atlieka ir vartotojo sertifikato tikrinimo funkciją – tik nustačiusi sertifikato patikimumą leidžia vartotojui prisijungti prie tinklapio.

Dar viena funkcija, kurią vykdo naršyklė – duomenų šifravimas. Ką tai reiškia? Pavyzdžiui, jungiantis prie banko yra perduodamas tam tikras duomenų srautas, kuris trečiosioms šalims patekti neturėtų. Naršyklė garantuoja, kad tie duomenys, priklausantys tik bankui ir klientui, bus užšifruoti, tad trečiosioms šalims jų perskaityti nepavyks.

O kaip galime suprasti, kad gauti el. laiškai nesuklastoti, juose esantys duomenys, tekstas –patikimi?

Lygiai taip pat, kaip ir tinklapiai, elektroninis paštas turi serverius. Kiekviena pašto dėžutė – atskiras serveris. Serveris nori žinoti, ar prie jo tikrai jungiasi tas asmuo, kuriam ta pašto dėžutė priklauso. Tokį funkcionalumą palaiko pašto programinė įranga. Kad serveris veiktų patikimai, reikalingas to el. pašto serverio sertifikatas. Analogiškai kaip banko tinklapis, pašto dėžutė irgi turi turėti sertifikatą, atskleidžiantį jos serverio tapatybes. Klientas, kuris naudojasi tuo serveriu, irgi turi savo sertifikatą. Tų sertifikatų dėka galimas toks patikimas bendravimas.

El. pašto sistema vienodu principu veikia visame pasaulyje. Vartotojas, siųsdamas el. laišką, siunčia jį į savo pašto serverį, o šis siunčia laišką į gavėjo serverį. Galiausiai, gavėjas laišką randa prisijungęs prie savo paskyros. Susirašinėdami el. paštu bendraujame ne tik mes vienas su kitu, bendrauja ir mūsų serveriai. Jei serveriui kyla klausimas, ar kitas serveris – nesuklastotas, kad tai išsiaiškintų, serveriai apsikeičia užšifruota informacija, kurią supranta tik jie vieni.

Kai siunčiu el. laišką, tikiuosi, kad siuntimo metu to laiško turinio niekas nepalies ir nepakeis. Kad taip nenutiktų – niekas negalėtų modifikuoti laiške esančios informacijos, rašydamas laišką galiu jį pasirašyti, taigi prie laiško bus pridedama mano informacija, kuri padės gavėjui suprasti, kad laišką siunčiau būtent tokį, koks jis atėjo, ir kad siuntėjas buvau tikrai aš.

Yra ir dar viena funkcija, kuri taikoma, kai norime bendrauti visiškai slaptai, kitaip tariant, kad el. laiškus galėtų skaityti tik du asmenys ir niekas daugiau – šiuo tikslu laiškas gali būti šifruojamas. Tai ne tas pats laikinas šifravimas, kurį naudoja naršyklės. Jei pats laiškas nėra šifruotas, jis bus nešifruotas ir serveryje. Tačiau, jei norime, kad laiškas būtų šifruotas visos kelionės iki gavėjo metu, tai galime užtikrinti naudodami sertifikatus. Taip siunčiant laiškus bus garantuojamas absoliutus konfidencialumas ir patikimumas.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Pasaulio futbolo čempionatas: kaip tūkstantmečio karta keičia didžiausią futbolo renginį Premium

Nedas Newellas-Hansonas, 26 metų londonietis, niekada nepraleidžia futbolo rungtynių, tačiau vengia už tai...

Rinkodara
2018.06.30
Seime pritarta inovacijų reformai: atsiras inovacijų fondas, technologijų agentai

Seimas šeštadienį pritarė Ūkio ministerijos inicijuotai inovacijų reformai.

Technologijos
2018.06.30
„Apple“ ir „Samsung“ po 7 metų pagaliau susitarė

„Apple“ ir „Samsung“ šią savaitę pagaliau išsprendė vieną iš ilgiausių technologijų istorijoje patentų ginčų.

Technologijos
2018.06.30
Laikinai neišduodamos jungtinės pažymos viešiesiems pirkimams 1

Penktadienį į „Verslo žinias“ kreipėsi viešuosiuose pirkimuose artimiausiu metu ketinantys dalyvauti...

Technologijos
2018.06.29
Bitkoinas nebevertas nė 6.000 USD 28

Bitkoino kaina penktadienį nusileido žemiau 5.000 USD lygio.

Rinkos
2018.06.29
Liko 48 valandos pasikeisti SIM korteles su m. parašu

Operatoriai primena, kad liepos 1 d. nustos galioti esami mobiliojo e. parašo sertifikatai, nes visi trys...

Technologijos
2018.06.29
Naujas rizikos kapitalo fondas investuos į 20 verslų Premium

Rizikos kapitalo fondų valdymo UAB „Iron Wolf Capital Management“ rudenį ketina startuoti su pirmuoju savo...

Technologijos
2018.06.29
GPAIS rakštis – spręs, ar pratęsti pereinamąjį laikotarpį Premium 4

Birželio 30 d. baigiasi Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos (GPAIS), kuria...

Valstybės kontrolė: IT ištekliai vis dar valdomi prastai Premium

Ypatingos svarbos valstybės informacinių išteklių valdymo tendencijos teigiamos, bet pokyčiai – gerokai per...

Technologijos
2018.06.28
„Google“ laiškas papiktino leidėjus: „memų“ draudimu pravardžiuojama direktyva kelia aistras Premium

„Google“ paragino Europos leidėjus, dalyvaujančius jos finansuojamoje programoje „Digital News Initiative“,...

Technologijos
2018.06.28
„Facebook“ pristato naujas taisykles politinei reklamai

„Facebook“ pareiškė, kad artimiausiu metu planuoja įgyvendinti naują strategiją ir atskirti žurnalistiką ir...

Rinkodara
2018.06.28
Audiofilai apie „Technics“: sukūrė visų laikų geriausią patefoną Rėmėjo turinys 6

Taip savo apžvalgose teigia šios garso technikos analitikai. Anot jų, „Technics“ SP-10R – puikus patefonas su...

Technologijos
2018.06.28
Galimas eterio žudikas su laisvu 1 mlrd. USD investicijoms Premium 4

Pasaulyje kiek atslūgus, tačiau vis dar nesibaigus kriptovaliutų karštinei, dienos šviesą išvydo EOS tinklas,...

Rinkos
2018.06.28
Sutepto e. parašo istorijoje – naujas skyrius Premium 2

Registrų centras (RC) perka kvalifikuoto e. parašo kūrimo įtaisus (kriptografines USB laikmenas) kartu su jų...

Technologijos
2018.06.28
„Western Union“ Lietuvoje pernai uždirbo beveik 5 mln. Eur

Pasaulinės grynųjų pinigų perlaidų lyderės „Western Union“ valdoma bendrovė „Western Union Processing...

Finansai
2018.06.27
Viceministras: įstaigų vadovų dėl kibernetinės saugos bausti neskubėsime

Antradienį Seimas nubalsavo už naują Kibernetinio saugumo įstatymo redakciją. Kartu buvo patvirtintos ir...

Technologijos
2018.06.27
Vyriausybei pateikta kibernetinio saugumo strategija

Krašto apsaugos ministerija pirmą kartą parengė Nacionalinę kibernetinio saugumo strategiją. Seimui...

Technologijos
2018.06.27
„Google“ keičia savo prekės ženklus

„Google“ paskelbė, kad netrukus nebeliks jos valdomų prekės ženklų „AdWords“ ir „DoubleClick“. Taip siekiama...

Rinkodara
2018.06.27
„Andreessen Horowitz“ suformavo kriptovaliutų fondą 2

Viena žymiausių JAV Silicio slėnio rizikos kapitalo valdytojų „Andreessen Horowitz“ suformavo naują fondą,...

Technologijos
2018.06.27
Kriptovaliutų rinkodaroje auga apžvalgininkų vaidmuo – įkainiai stebina

Kompanijoms „Google“, „Facebook“ ir „Twitter“ šiemet apribojus kriptovaliutų reklamą, virtualių valiutų...

Rinkos
2018.06.27

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau