tisdag 29 maj 2012

PKI

PKI = Public Key Infrastructure, en ytterligare av alla dessa intetsägande trebokstavsförkortningarna som stöds av en lika intetsägande catchphrase kläckt av en TLA-generator. Det handlar om destinationsverifikation på Internet. Om bedragare lyckas förgifta dynamiska DNS-servrar som är dåligt konfigurerande, kan DNS-servrarna ge en felaktig IP-address t.ex. om du slår upp din bank i din webbrowser i avsikt att göra bankärenden. I exemplet med banken har bedragarna bakom det felaktiga IP-numret satt upp en websajt som ser ut exakt som din bank, i avsikt att du skall slå in lösenord och ge andra känsliga uppgifter. Bedragarna tar därefter ditt lösenord och tömmer ditt konto på din riktiga banksajt.

För att förhindra att man blir bedragen genom bedrägliga sajter, måste man göra ett system som på något sätt garanterar att den sajt du slår upp i din webbrowser är den bank du verkligen ville komma fram till. Därför finns Public Key Infrastructure, som verifierar att sajten är den den utger sig för att vara. När din webläsare fått svar från en sajt som skall verifieras, så får den en fix "nyckel" (en liten fil med speciella koder) från sajten – nyckeln skickas nu till en tredje sajt, en certifikatsauktoritet (CA) som verifierar att nyckeln är korrekt. Därefter kan browsern och användaren (i teorin) lita på den sajt som den skall göra bankärenden, eller andra känsliga saker på.

Den avslöjar bland annat, vad vi länge misstänkt men vi inte egentligen ville veta, nämligen:

[The] standards have been written by little green
monsters from outer space in order to confuse normal
human beings and prepare them for the big invasion
— comp.std.internat

Av någon anledning tycker Peter Gutmann att CA-systemet är otroligt feltänkt i sin inkarnation X.509. Jag antar att snubben har i huvudsak rätt, men att systemet nog kan användas till annat.

Inga kommentarer: