predurčenosť PKI infraštruktúry

od autora: | 19. augusta 2020

Chcete niečo povedať veľkému množstvu ľudí ? Urobte si web server a publikujte svoje myšlienky. Môže si ich ktokoľvek na internete prečítať.

Naozaj ?

Pred pár rokmi to platilo takmer úplne. Napísali ste si do adresného riadku prehliadača webu http://www.nejakastranka.sk a čítali ste. Potom sa začali na webe objavovať mená a heslá. A http:// na začiatku adresného riadku už prestalo stačiť. Však predsa nebudete svoje heslo (číslo karty, osobné dáta všeobecne) posielať cez internet nezašifrované aby si ho kde kto odchytil a zneužil. „Vytvorilo sa“ „informačné pole“, že www stránky, ktoré sú kúúl musia ísť cez https a ešte lepšie presmerovať prehliadač užívateľa z http na https. Kto (tvorca stránok) tak nepraví, nie je kúúl a v súlade s vytvoreným „informačným poľom“ je netvor ohrozujúci svojich užívateľov (návštevníkov jeho www stránok). Bez ohľadu na to, či jednosmerne servíruje návštevníkom statický html obsah alebo web aplikáciu s prihlasovaním a/alebo posielaním užívateľových citlivých údajov na server.

K trendu „sa pridali“ prehliadače. Na úvod adresného riadku začali ukazovať zelený zámok keď je tvorca obsahu kúúl a rôzne žlté/červené/strašidelné symboly ak nie je kúúl.

Na https komunikáciu potrebuje prevádzkovateľ www stránok dve „dlhé čísla“. Jedno, tajné (privátny kľúč), si nechá pre seba a druhé môže (musí) prezradiť komukoľvek (verejný kľúč). Navštívite jeho stránky, server vám pošle verejný kľúč, vy svoje citlivé dáta pred odoslaním zašifrujete týmto kľúčom, pošlete na server a jedine on svojím privátnym kľúčom môže dáta dešifrovať. (Skutočnosť je zložitejšia ako táto ilustrácia, kto chce nech si to naštuduje inde. Na ilustráciu stačí.)

A aby bolo jasné, že ten verejný kľúč je naozaj jeho, musí mu ho „niekto“ podpísať a verejný kľúč s podpisom „dôveryhodnej“ autority budeme volať certifkát (serveru).

Najprv bolo v pohode, keď si ten verejný kľúč každý tvorca/prevádzkovateľ www stránok podpísal a teda vyhotovil si svoj (self signed) certifikát úplne sám, bez cudzej „pomoci“. Prehliadače nerobili drahoty a stačilo im, že sa nejako vôbec šifruje.

Neskôr začali byť prehliadače fajnové a nad self signed certifikátmi začali ohŕňať nosom a vyhadzovať ich na oči užívateľom v podobe rôznych upozornení a výstrah.

Prečo ? V reálnom „papierovom“ živote si nemôžete overiť podpis na dôležitej listine sám(a), potrebujete notára (matriku), ktorý (od panovníka, od štátu, od koho a od kedy vlastne) dostal privilégium byť dôveryhodnou autoritou a za peniaze overovať listiny (pridať k listine svoju pečiatku a svoj podpis) prípadne overovať podpisy. Je jedno či mu vy veríte alebo nie.

Vznikli teda certifikačné autority (neskúmam ako vznikli, ktorý „panovník“ prečo práve ne urobil dôveryhodnými), ktoré za peniaze podpisujú verejné kľúče tvorcom/prevádzkovateľom www stánok a vydávajú SSL certifikáty. Aby bol príjem $$$ trvalý, majú certifikáty obmedzenú životnosť. Maskuje sa to za zastarávanie kryptografických algoritmov. www stránok sú desiatky miliónov, SSL certifikát môže stáť 10-200$, trh je teda počítaný v miliardách $.

Kto chce byť notárom, musí si zaplatiť, „cech“ si predsa nepustí len tak hocikoho medzi seba. Prečo by mal byť počítačový svet iný. Kto chce prevádzkovať certifikačnú autoritu, musí zaplatiť (primeranú sumu).

Od istej doby ste teda už nemohli len tak niečo povedať (publikovať svoj obsah na internete). Teda mohli ale upozorneniami a počítačovou kriminalitou vystrašený užívateľ si to nemusel vôbec prečítať. Takže nemohli. Museli ste platiť aby ste sa mohli na internete prejaviť. Inak vaše stránky užívateľ vystrašený / odradený / všemožnými polenami pod nohami znechutený nečítal / nemohol čítať.

Existujú samozrejme bezplatné blogy a diskusné fóra ale to nie je „vlastný piesoček“ s vlastnými pravidlami v rámci prípustného konania. Tam rešpektujete cudzie pravidlá a ak nie, kedykoľvek vás zmažú aj s celou vašou históriou. DELETE a už nie ste. (Ok, toto delete nie je trvalé zmazanie ale iba označenie „zmazané“, v skutočnosti väčšinou ešte ste, neviditeľný nikomu okrem toho čo zmačkol „delete“; pre budúcu ovládateľnosť / možno až vydierateľnosť.)

Tri kroky vpred, jeden krok vzad aby sa dali spraviť zas ďalšie kroky vpred.

Aby sa niekto nevzbúril a nevymyslel niečo iné, lepšie, slobodnejšie, čo by ohrozilo príjmovú stránku (zatiaľ si všímame len tento aspekt) PKI infraštruktúry, vznikla certifikačná autorita Let’s Encrypt, ktorá začala vydávať SSL certifikáty zadarmo. S obmedzenou platnosťou 90 dní. A nie na takej úrovni ako tie platené certifikáty samozrejme. „Vytvorilo sa“ nové „informačné pole“, ktoré v súlade s názvom autority hovorí: Poďme všetko šifrovať. Keď je to zadarmo, tak nech už nikde nevidno žiadne http. Kto prevádzkuje http, je ľudský odpad, ktorý nemá čo hľadať na internete.“ Súčasťou Let’s Encrypt iniciatívy bolo aj vytvorenie automatického obnovovania certifikátu (certbot). Dovtedy si musel admin každý rok/dva/tri interaktívne, vlastnou aktivitou „objednávať“ nový SSL certifikát, čím dôveryhodnejší, tým väčšia šikana zo strany certifikačnej autority. A teraz už adin nemusí nííííč. Všetko ide samo na pozadí, bezplatne, bez starosti, bez interakcie. No neber to. Kto si ešte o dva roky spomenie, že kedysi sa muselo za certifikát (fuj) platiť a „manuálne“ niečo vybavovať.

Stádo vždy išlo smerom väčšieho pohodlia bez ohľadu či mu to bude v dlhodobom horizonte prospešné alebo nie. Od zlatých mincí k papierovým bankovkám, k plastikovým kartám, k mobilným platbám, nasledovať budú asi čipy pod kožu „nabité“ „“štátnou““ „““kryptomenou“““.

A čo ďalej s PKI ?

Prehliadače už čoskoro začnú aktívne zabraňovať navštevovaniu stránok, ktoré používajú http. Použiť starú, http komunikáciu neblokujúcu verziu prehliadača nebude možné, súčasné stránky si vynucujú „minimálne poslednú verziu prehliadača“. Zopár exotov si forkne / upraví prehliadač ale to je len izolovaná skupina prijímajúca a izolovaná marginalizovaná skupina vytvárajúca obsah internetu. Vzniká závislosť tvorcov obsahu na certifikačných autoritách. Do zabudnutia odchádza know how vlastnej tvorby páru kľúčov a self signed certifikátov. Načo by niekto udržiaval software na ich generovanie a podpisovanie, keď ho už nikto nepoužíva. Tak už pomaly ani nebude čím vytvoriť vlastný certifikát. Starému hardvéru so starými verziami popraskajú kondenzátory a opraviť ho už nepôjde.

Ak neplatíte za certifikát, tak certifikačná autorita vám de facto robí láskavosť = dáva vám možnosť prejavu. Ak sa raz Let’s Encrypt znefunkční alebo prejde pod kontrolu iných entít (štátov/korporácií), môžu si iné entity diktovať podmienky, za ktorých dostanete certifikát. Pochopiteľne podmienky budú v súlade s cieľmi daných entít. Pochopiteľne nemusia dovoliť publikovať obsah, ktorý nezodpovedá ich cieľom. Na internete teda budete môcť publikovať, ale len to čo vyhovuje iným, nie čo by ste chceli.

Keďže šírenie informácií = riadenie, môžete, ak chcete, v súčasnosti uplatnením slobody prejavu, riadiť. Ak sa naplní predpokladané smerovanie PKI infraštruktúru, už nebudete môcť riadiť.

Potrebujeme to ?

Nie je však cieľom tohto článku prognózovať, strašiť či šíriť poplašné správy. Ak sa obavy nenaplnia bude fajn. Nevyslovené ostalo, kto a prečo vytvoril hore spomínané „informačné polia“.

Rozmýšľajte.

19.8.2020