שאלות שבהן נעסוק:
- מהי תעודה דיגיטלית (Certificate) ומה תפקידה?
- סוגים של תעודות
- מה זה CA ומהם הסוגים של CA?
- PUBLIC KEY
- PRIVATE KEY
- מה הדרך לשחזר תעודה?
מבוא:
- בעולם שבו זהויות מתנהלות בתוך רשתות מרובות ובסביבות דיגטליות עלה הצורך עם השנים לספק וודאות על אמינות ומהימנות אותן זהויות.
- הדרך לספק אמינות ומהימנות של זהויות מסוימת היא ע"י תעודה דיגיטלית ( CERTIFICATES )
- תעודות מנוהלות ע"י גורמים פנימיים או ע"י גורמים חיצוניים.
תשובות שבהן נעסוק:
- מהי תעודה דיגיטלית ומה תפקידה?
- תעודה היא קובץ שמכיל פרטים על זהות היישות ( זהות המשתמש/המחשב/השירות ) , כך שפרטים אלה יוכלו לספק מידע על אותה זהות.
- התפקיד של התעודה היא באמת לאמת פרטים של זהות ומאפשרת גם להצפין מידע עבור אותה זהות.
- בתוך כל קובץ של תעודה נוכל למצוא פרטים יחודיים כמו הגורם שהנפיק אותה , תאריך ייצור ותוקף שלה וגם את ה – PUBLIC KEY
- סוגים של תעודות:
ישנם 2 סוגים עיקריים של תעודות בעולם:
הסוג הראשון נקרא: CLIENT CERTIFICATES
הסוג השני נקרא: EXTERNAL CERTIFICATES
המשתמש הזה הוא חלק מזהות אירגונית שלי וכדאי להוכיח את זה אני מנפיק עבורו עוד תעודה זאת אומרת שמיקרוסופט מנפיקה בישבילו תעודת זהות והארגון הנפיק לו תעודה שאתה חבר אצלי בדומיין ככה שאם אתה מגיע למישהו אחר ככה תוכל להזדהות פעמיים כמשתמש ארגוני וכשמתמש רגיל
- מהו CA ומהם PUBLIC KEY ו PRIVATE KEY?
- CA הוא שרת שמנפיק תעודות בארגון
איך השרת יודע להנפיק תעודות כך שיעידו על הזהויות שהן חברות בארגון וניתן לתת בהן אמון ?
התשובה: שרת ה – CA מנפיקPUBLIC KEY ו"שותל" אותו בתוך כל אחד מה – PRIVATE KEY שמונפק לכל זהות.
- שימו לב: ה – PRIVATE KEY הוא מידע רגיש שמוענק לזהות .
גניבה או מחיקה של התעודה עם ה – PRIVATE KEY עלולה להיות מסוכנת.
סוגים של CA:
- ישנן מהדורות וגרסאות של CA עם הגבלות ויתרונות – לקריאה עצמאית בבית.
- חשוב להבין: שרדתי CA עובדים בתצורה של PARENT – CHILD.
- המודל מאפשר חלוקת אחריות ופיזור עומסי עובדה על שרתי ה – CA בארגון.
- ע"פ המודל: שרת ה – ROOT מעניק / שולל סמכויות משרתים שנמצאים תחתיו ובכך דואג לעבודה מסודרת ומסוכנת שמתרכזת אצלו (root)
מה הדרך לשחזר תעודה של משתמש ?
- אחד התפקידים של תעודה הוא הצפנת קבצים.
יש PUBLIC KEY ויש PRIVATE KEY ששניהם ביחד שותפים לתהליך ההצפנה כלומר:
כאשר משתמש בארגון מעוניין להעביר מידע מוצפן ( כלומר להצפין מידע ) הוא משתמש ב – PRIVATE KEY
מי יכול לפענח את המידע המוצפן ?
או המשתמש עצמו או משתמש אחר שאליו המידע נשלח.
- מה יקרה אם אחרי ההצפנה המשתמש איבד את התעודה של עצמו?
כמו שמשתמש מאבד את הסיסמא של עצמו
השרת מחזיק מפתח מאסטר שבמידה וה PRIVATE KEY נאבד לעובד למנהל שרת יש גיבוי שלו.
איך בעצם מתבצע תהליך הענקת מפתח ה"מאסטר" למשתמש?
- צריכים להבין: מי שמחזיק את היכולת לפענח מידע מוצפן של משתמש בארגון הוא משתמש עם תעודה שנקראת RECOVERY AGENT
- כדי שזה יעבוד אנחנו צריכים להכנס לפרופיל של המשתמש שבחרנו להיות אותו משתמש עם מפתח מאסטר ולהצמיד לו את התעודה שנקראת RECOVERY AGNET
- במעבדה אנחנו ניגשים לשרת ה – CA ושם פוגשים TEMPLATES שאחת מהן היא של RECOVERY AGNET.
בתוך אותו הTEMPLATES מוגדרות ההרשאות שבעל התעודה יקבל. כדי לערוך את ההרשאות אנחנו משכפלים את הTEMPLATES ורק אחר כך מצמידים את התעודה המבוססת TEMPLATE למשתמש.
- רק אחרי שהמשתמש שבחרנו מחזיק את התעודה של ה – RECOVERY AGENT הוא יוכל לפענח מידע שמשתמש אחר הצפין אבל איבד את התעודה שלו.ט