Hitelesség és hitelesítés
Üzenetek, levelek, osztott dokumentumok és adatbázisok használata esetén fontos, hogy valóban a vélt személy küldte-e az üzenetet, végezte-e a
módosítást, valamint illetéktelenek nem ‘piszkáltak-e’ bele az adatokba. Emellett fontos, hogy az adatok hitelességét ellenőrizni tudjuk, vagy kellő alapunk legyen abban megbízni.
A hitelességet legtöbbször az biztosítja, hogy csak az illetékes személy jogosult az adott művelet végrehajtására, pl. csak neki van hozzá elérési joga. Mindazonáltal a hitelesség nehezen igazolható csak ilyen módon, különösen ha többen is (esetleg illetéktelenül is) rendelkeznek az adott hozzáférési joggal.
Az operációs rendszerek, adatbázis-kezelők, levelező rendszerek jegyezhetik, hogy ki, mit, mikor csinált, de egyrészt ezeket sokszor be lehet csapni, másrészt nem mindig könnyű a visszaellenőrzés.
Ha elektronikus üzenetek hitelessége esetében gyanúnk merül fel, akkor telefonon vagy más módon rákérdezhetünk az üzenet szerzőjére, ellenőrizhetjük, hogy létező accountról érkezett-e az üzenet. A dokumentumok, üzenetek formája is árulkodhat.
A hitelesítésnek más, biztosabb – szinte tökéletes – módjai vannak. A megoldás kriptográfiai módszerek alkalmazása. A titkosított üzenetet megfelelő kódolás esetén csak a kulcs ismerője készíthette, a dokumentumról készült ellenőrző összeget kódolva a visszafejtés (kellő) nagy valószínűséggel csak a kódolt üzenet változatlansága esetén tehető meg. Sőt, elég csak az ellenőrző összeget kódolnunk, ezzel a hitelesítés (mind az aláírás, mind a belepiszkálás elleni védelem) megoldott. A keltezést az ellenőrző összegbe foglalva annak hitelességét is igazolhatjuk.
Az utóbbi időben a World-Wide Web terjedésével előtérbe került az ún. Internet cache-ek alkalmazása, azaz a már egyszer lehívott információk ideiglenes tárolóba történő helyezése, a rá következő esetleges lekérések gyorsabb megválaszolása céljából. Ilyen esetekben a dokumentum hitelességégének és aktualitásának kérdése élesen jelentkezik. E kérdéskörre a megoldások még nem teljesek. Tudnunk kell, mikor kell kikerülnünk a cache-eket.
A hitelességnek egy másik értelme is van: az Interneten elérhető dokumentumokat, programokat mikor fogadhatjuk el hitelesnek? valódi és helyes információkat tartalmaznak-e? a programok elvárásaink szerint viselkednek-e? Ez azonban már nemcsak számítógép-biztonsági kérdés.
A számítógépes vs. hagyományos aláírás és dokumentum hitelesítés
Megdöbbentő, hogy milyen kétkedéssel fogadják az elektronikus levelek hitelességét, míg pl. fénymásolt (faxolt) aláírásokat azonnal hitelesnek fogadnak el. Emellett számítógépes és/vagy pénzügyi szakemberek azt hiszik, hogy az elektronikus aláírás Magyarországon nem fogadható el jogi korlátozások miatt, de a faxolt aláírást el lehet fogadni. Valóban van számos észszerűtlen jogi megkötés, de a pénzügyi világban általában nálunk is alkalmazható a digitális aláírás (az más kérdés, hogy partnereink azt sem tudják, hogy eszik ezt vagy isszák).
A digitális aláírás gyakorlatilag az egyetlen jól bevált mód, mellyel egy teljes dokumentumról igazolni lehet nem csak annak hiteles aláírását, de a teljes dokumentum változatlanságát, azaz, hogy azt nem módosították az aláírása óta, valóban a keltezés idejében állították ki, stb. (s mellékesen a titkosságot is biztosítottuk).
Kódok, jelszavak, hitelkártya számok átküldésére a megfelelően titkosított, digitális aláírással ellátott üzenetek nyilván alkalmasabbak, mint a telefon, a fax vagy a csigaposta. Sőt, ez utóbbiak titkosítás nélkül nem is tekinthetők alkalmasnak.
Bár üzleti, vállalati rendszerek biztonságával nem kívánunk itt foglalkozni, fontos megjegyeznünk, hogy az – üzleti és hivatalos – elektronikus adatcserére (Electronic Data Interchange – EDI) nemzetközi (ENSZ) és US szabványok széles körben elfogadottak.
Mi az a digitális aláírás?
Rögtön előrebocsátjuk, hogy nem a közönséges aláírásunk digitalizált változata. A digitális aláírás egy olyan titkosított karaktersorozat (vagy más információ), melyet igen nagy valószínűséggel csak a küldő (‘aláíró’) kódolhatott, s ez magából a kódolásból következik. Keltezést (dátumot, pontos időpontot), sorszámot (a visszajátszás megakadályozására), a küldött üzenetből készült ellenőrző összeget stb. tartalmazhat. A részletek iránt érdeklődőknek A. S. Tannenbaum: Számítógép-hálózatok (605-610. old.) című könyvét ajánljuk.
Pretty Good Privacy (PGP) és Privacy-Enchanced Mail (PEM)
A PGP és PEM programok a titkos és hiteles hálózati kommunikációt szolgálják, nyilvános kulcsú kriptográfiára támaszkodva.
A számítógépes üzenetek titkosításának de facto szabványa ma a PGP.