Microsoft tror på offentlig krypto infrastruktur

Europa har vedtatt rammer og direktiver for PKI. Microsoft har tilpasset det i Windows. Nå(r) kommer det!?

Sikkerhetsansvarlig for Microsoft i området kjent som EMEA (Europa, Midtøsten og Afrika), Ronny Bjones innledet for spesielt inviterte journalister og analytikere om selskapets befatning med PKI ("public key infrastructure"), ordningen som lover digitale signaturer og sertifikater til alle, slik at vi kan begynne å signere e-posten vår og pakke den inn i virtuelle konvolutter, legitimere oss etter et ensartet system for nettbanker og internettbutikker, få sikker pålogging til interne tjenester uansett hvor vi er hen i terrenget – og mye mer.

    Les også:

– Grunnlaget for PKI ble lagt i 1978 da RSA-algoritmen ble oppfunnet. Dermed ble ordninger med offentlige og private krypteringsnøkler innført. Neste skritt kom med X.509-standarden i 1989 som knyttet personer til nøkler, og definerte PKI som konsept. Når Internett slo gjennom i 1995 definerte IETF standarder basert på PKI, og i 1997 åpnet agitasjonen rundt e-handelens magi for forestillingen om at PKI skulle løse alle våre problemer. Parallelt med dette sa land som Tyskland og Italia at det måtte utarbeides et juridisk grunnlag for digitale signaturer, og i 1999 kom EU-direktivet som beskrev betingelsene for digitale signaturer knyttet til både individer og roller.

Microsoft fulgte opp med PKI-støttende teknologi i Windows 2000.

– Så gikk lufta ut av ballongen, og folk begynte å oppfatte PKI som død. Men stemmer det? Windows 2003 har langt mer PKI-teknologi enn Windows 2000, de fleste europeiske land har lovverk på plass, og det er en rekke prosjekter for kort med elektronisk ID.

Bjones mener det er en forskyvning mellom oppfatningen av PKI som løsning, og det det dreier seg om i praksis, nemlig en komponent i en infrastruktur.

– PKI løser ikke konflikten mellom sikkerhet og personvern. Den er et viktig våpen mot elektronisk svindel, men den er samtidig for kompleks. Det er mye som kan forbedres. Men man kommer ikke utenom fordelene som PKI beviselig har.

Bjones mener PKI er en moden teknologi, med en rekke aksepterte standarder, Den er integrert i mange applikasjoner, den har et juridisk grunnlag, og den løser de grunnleggende problemene konfidensialitet, autentisering og ikke-avvisning.

Dessuten er det Europa som leder an i PKI, mener Bjones.

– I Spania er det utstedt 3,5 millioner sertifikater, i Italia 1,0 million. Land som Estland, Norge og Østerrike er i startgropen, med flere titalls tusener sertifikater hver.

Den utvidede PKI-støtten i Windows 2003 har ifølge Bjones spilt en avgjørende rolle i å få flere store europeiske organisasjoner til å velge nettopp dette systemet, blant dem det italienske tollvesenet (Guardia di Finanza) med 66.000 ansatte, og det nederlandske oljeselskapet Shell med 85.000 brukere fordelt på 1200 steder i 134 land.

– Shells valg av Windows 2003 for en global bedriftsintern PKI-løsning var vesentlig motivert av kostnadsanalyse, ifølge Bjones.

Blant usikkerhetsmomentene er hvor mange digitale signaturer hver av oss skal belemres med.

– Antakelig vil vi få flere sertifikater per person. Det er et spørsmål om personvern, som tilsier at man kan trenge flere signaturer for å gardere seg mot kopling av opplysninger fra flere registre, og bekvemmelighet. Vi kan også se for oss minst en signatur per rolle, og de fleste av oss har to roller, en i yrkeslivet, og en som privatperson. Myndigheter vil utstede sertifikater som vi vil kunne bruke til en rekke anvendelser, mens banker kan tenkes å ville utstede egne sertifikater for sine kunder.

Til toppen