Zaufanie... Niektórzy w dzisiejszych czasach, stojących pod znakiem wszechobecnej pogoni za pieniądzem, uważają je wyłącznie za przereklamowane hasło. Są jednak dziedziny, w których niezmiennie pozostaje kluczowe – np. kryptografia, oparta na Infrastrukturze Klucza Publicznego (PKI).
O ile na poziomie korespondencji prywatnej weryfikacja nadawcy wiadomości nie stanowi wielkiego problemu (zawsze przecież można zadzwonić), o tyle już w firmach – a szczególnie w dużych korporacjach, jak choćby Orange Polska – nie jest tak łatwo, podczas, gdy przy wadze przesyłanych informacji przydałoby się mieć pewność co do osoby nadawcy... Wtedy na pomoc przychodzą właśnie rozwiązania PKI.
O naszej Bezpiecznej Poczcie pisaliśmy już na łamach Bloga Technologicznego (tutaj i tutaj). W skrócie, pomijając kwestie stricte kryptograficzne, można powiedzieć, że PKI (nie tylko używane u nas, ale w ogóle) opiera się na zaufaniu. Na poziomie firmy lokalne Centrum Certyfikacji (nazywane z angielska Certificate Authority, CA) swoją renomą gwarantuje, że posiadacz certyfikatu jest osobą zaufaną, czyli mówiąc po ludzku, że maila podpisanego przeze mnie w ramach naszej sieci korporacyjnej faktycznie wysłał Michał Rosiak. CA gwarantuje, że dane w certyfikacie są według jego wiedzy prawdziwe i zostały sprawdzone zgodnie ze znaną (tzn. opublikowaną) procedurą weryfikacji. Rozwiązania kryptograficzne nie pozwalają nam podrobienie i/lub zmianę zawartości certyfikatu, zaś budowa urządzenia do składania podpisu cyfrowego (w naszym przypadku jest to podobny do pendrive'a token USB) nie pozwala na "wyciągnięcie" prywatnych danych użytkownika i przeniesienie ich np. na token cyber-przestępcy.
Funkcjonujące w strukturach Orange Polska Centrum Certyfikacji Signet poszło o krok dalej. Nasze CA „zyskało zaufanie” organizacji WebTrust, dzięki czemu trafiło do wąskiego elitarnego grona centrów zaufanych w skali światowej. A to oznacza, iż nie ograniczamy się li tylko do poziomu sieci korporacyjnej Orange Polska, a certyfikaty wystawiane klientom komercyjnym są automatycznie uznawane za zaufane, niebawem znajdą się również m.in. w najpopularniejszych przeglądarkach internetowych.
Czy łatwo dostać się do takiego grona? Jeśli powiedzielibyście to komukolwiek z ekipy, związanej z Signetem, nie skończyłoby się to dla Was dobrze :) Niesłychanie szczegółowy i drobiazgowy audyt, przeprowadzany przez niezależną instytucję, który musimy przechodzić corocznie, to sporo bezsennych nocy i jeszcze więcej emocji. Duma z tego, że mamy usługę wiarygodną w skali całego globu jest tego jednak bez wątpienia warta.