PKI bemutató

Ma egy PKI bemutatón vettem részt. Tervezzük a PKI rendszer – úgy an block (remélem így kell írni) – bevezetését és most ötleteket gyűjtünk, hogy mi mindenre figyeljünk majd a tervezés során. A prímet egy technológiai guru vitte, akinek a "Certificate Practice Statement" kifejezésre nem villant fel a szeme és a "papírozást" – annak fontossága elismerése mellett – a kollégára hagyományozta. Ezzel együtt néhány gondolatot megindított bennem:

  • a smartcard bevezetésekor nagyon pontosan definiálni kell, hogy mi történjen, ha otthonhagyják a kártyájukat a felhasználók; ha elvesztik; ha ellopják stb. A felhasználókat oktatni kell, hogy tudják, mi a teendő ilyenkor
  • Érdemes valamilyen más szolgáltatást "rátenni" a kártyára, pl. beléptetést vagy "büfé-hitelkeretet", hogy rendszeresen kivegyék a kártyájukat a felhasználók. Valahogy rá kell venni őket, hogy maguknál tartsák a kártyát és ne hagyják az olvasóban.
  • Érdemes "megszemélyesíteni" a kártyát, vagyis pl. rágravírozni egy fényképet.
  • Gondosan le kell tesztelni a "Runas" szolgáltatás működését. Meg kell vizsgálni az OWAN működését

A PKI-val kapcsolatos egyéb gondolatok:

  • Át kell nézni a jelenlegi alkalmazások tényleges authentikációs módszereit és le kell tesztelni, hogy a samrtcard esetén is biztosítható-e a single-sign-on.
  • Meg kell vizsgálni, hogy a PKI cégek (Netlock) milyen elvárásokat támaszt a tanusítványok védelme kapcsán és hogy ennek mi mennyire felelünk meg.
  • Meg kell vizsgálni azokat az eseteket, amikor két-három egyidejű aláírásra van szükség.
  • Pontosan szabályozni kell, hogy pl. a titkosított dokumentumoknál ha a kulcs elvész, kik és hogyan tudják kinyerni a kulcsmásolatot a megfelelő tárolóból (ha egyáltalán ezt az utat követjük)
  • Oktatni kell a felhasználókat, hogyan ellenőrizzék a CA tanusítványsort; hogy miért kell újra meg újra megadniuk a PIN kódjukat stb.

Az előadás után volt egy demózás. Három klienset mutatott a kolléga: egy ce.net alapút, egy embedded xp alapút és egy kövér klienset. A kártyákat rakosgatta egyik olvasóból a másikba és az átjelentkezés, bejelentkezés nagyon szépen működött. Megmutatta az aláírás menetét a Wordből, a titkosítás menetét. Jól látható volt, hogy a kártya dolgozott. Az egész demóban az tetszett, hogy nem volt egy perc összerakni, sok munkával járt, mégis minden eleme működött, jól működött, az egész demónak volt egy "íve" és szinte mindent be lehetett mutatni, amit egy smartcard tudott, legalábbis ilyen érzésem volt.

Arról nem vagyok még meggyőződve, hogy ez a cég képes PKI-t bevezetni, viszont abban biztos vagyok, vagy van egy emberük, aki a Microsoft és a PKI összeborulásáról szinte mindent tud, ez az ismeretség pedig a későbbiekben még jól jöhet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: