Κατά την επικοινωνία 2 υπολογιστών στο διαδίκτυο, υπάρχει η πιθανότητα της παρείσφρησης ενός τρίτου με σκοπό να παραβιάσει την ακεραιότητα ή/και την εμπιστευτικότητα της επικοινωνίας των 2 προαναφερθέντων υπολογιστών. Για τους λόγους αυτούς, υπάρχει δύο τρόποι διασφάλισης της επικοινωνίας μέσω αλγορίθμων κρυπτογράφησης: η Συμμετρική Κρυπτογραφία και η Ασύμμετρη Κρυπτογραφία.
Για την περιγραφή του παρακάτω σεναρίου, θα πρέπει ο αναγνώστης να θεωρήσει ότι ο αποστολέας θέλει να στείλει ένα μήνυμα που επιθυμεί να το διαβάσει μόνο ο παραλήπτης. Για το λόγο αυτό υπάρχει και μία Υπηρεσία Αρχής Πιστοποίησης (Certification Service Authority/Provider ή απλώς Certification Authority/Provider (CSP ή CA)).
Μεταξύ της Συμμετρικής Κρυπτογραφίας και της Ασύμμετρης Κρυπτογραφίας, επιστημονικό ενδιαφέρον παρουσιάζει κατά βάση η δεύτερη περίπτωση της Ασύμμετρης Κρυπτογραφίας, ενώ είναι και πολύ πιο ασφαλής συγκρινόμενη με την Συμμετρική Κρυπτογραφία. Το μοναδικό μειονέκτημα της είναι ότι, λόγω των πολλαπλών ελέγχων που πραγματοποιούνται, όπως θα δούμε παρακάτω, έχει μεγαλύτερο κόστος στη μονάδα του χρόνου, ενώ απαιτεί και περισσότερους/καλύτερους υπολογιστικούς πόρους.
Στο ασυμμετρικό σύστημα ασφάλειας ο αποστολέας, συντάσσει το μήνυμα και στη συνέχεια αναζητάει στο directory X500 που διατηρεί ο CA, για το δημόσιο κλειδί του παραλήπτη. Το directory X500 είναι οργανωμένο σύμφωνα με την πιστοποίηση ISO X509 και σύμφωνα με το πρωτόκολλο LDAP.
Το directory X500 έχει ένα σύνολο από certificates πλήθους τόσου όσοι και οι δικαιούχοι. Το κάθε certificate περιέχει το ονοματεπώνυμο του κάθε δικαιούχου μαζί με το δημόσιο κλειδί του. Τη διαχείριση (Administration) X500 την έχει ο CSP (Certification Service Provider). Ο αποστολέας για να αποκτήσει το δημόσιο κλειδί του παραλήπτη στέλνει αίτηση στον CSP. Ο CSP με την σειρά του αναζητά στο directory X500, βρίσκει το certificate που περιέχει το συγκεκριμένο δημόσιο κλειδί συνοδευόμενο από άλλες χρήσιμες πληροφορίες.
Στην συνέχεια ο CSP για να στείλει στον αποστολέα το δημόσιο κλειδί του παραλήπτη του το υπογράφει ψηφιακά με το ιδιωτικό κλειδί που έχει ο CSP και το στέλνει στον αποστολέα. Ο αποστολέας έλαβε το certificate του παραλήπτη του με DS (Digital Signature) και έχοντας το δημόσιο κλειδί του CSP αποθηκευμένο στο default browser του λειτουργικού του συστήματος το επαληθεύει με τη χρήση μιας μαθηματικής συνάρτησης χρησιμοποιώντας το δημόσιο κλειδί του CSP μαζί με το μήνυμα.
Αν η DS είναι ίδια τότε η ακεραιότητα του μηνύματος έχει διατηρηθεί. Οπότε ο αποστολέας έχει στην κατοχή του το certificate του παραλήπτη άρα και το δημόσιο κλειδί του. Αν η DS δεν επαληθευτεί τότε κάνω εκ νέου αίτηση στον CSP για επαναποστολή του certificate του παραλήπτη. Μόλις ο αποστολέας έχει ακέραιο το certificate του παραλήπτη κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί του παραλήπτη, έτσι ώστε μόνο αυτός να μπορεί να το αποκρυπτογραφήσει. Στη συνέχεια το υπογράφει ψηφιακά με το private key του το στέλνει στον παραλήπτη.
Όταν ο παραλήπτης λάβει το μήνυμα στέλνει αίτηση στον certification service provider έτσι ώστε ο δεύτερος να στείλει στον πρώτο το certificate X509 με το δημόσιο κλειδί του αποστολέα. Ο CSP με τη σειρά του το στέλνει στον παραλήπτη ψηφιακά υπογεγραμμένο και ο παραλήπτης αναζητάει το δημόσιο κλειδί του CSP στον default browser του (IE) και επαληθεύει ότι διατηρήθηκε η ακεραιότητα του μηνύματος.
Σε περίπτωση που δεν επαληθευτεί η ακεραιότητα του μηνύματος κάνει εκ νέου αίτηση μέχρι τελικά να λάβει ακέραιο το certificate του αποστολέα. Μόλις ο παραλήπτης λάβει ακέραιο το certificate του αποστολέα επαληθεύει την ψηφιακή υπογραφή του αποστολέα (με τη χρήση μίας συνάρτησης HASH).
Έτσι λοιπόν το επαληθεύει με το δημόσιο κλειδί του αποστολέα και το μήνυμα. Αν είναι ίδια η ψηφιακή υπογραφή που θα βρει με την DS που έλαβε σημαίνει ότι διατηρήθηκε η ακεραιότητα του μηνύματος αλλιώς το μήνυμα είναι αλλοιωμένο και άχρηστο. Μόλις λοιπόν επαληθευτεί τελικά η DS του μηνύματος με συνεπαγωγή την διατήρηση της ακεραιότητας του μηνύματος ο παραλήπτης το αποκρυπτογραφεί με τη χρήση του δικού του ιδιωτικού κλειδιού και επιτέλους έχοντας το καθαρό κείμενο (plain text), το διαβάζει.
Η ψηφιακή υπογραφή διασφαλίζει:
- Την αυθεντικοποίηση του μηνύματος (Μη εξουσιοδότηση του μηνύματος σε τρίτους).
- Την ακεραιότητα του μηνύματος (Τη μη αλλοίωση του μηνύματος).
- Την μη αποποίηση των ευθυνών ως αναγνώστη του μηνύματος.
Η ψηφιακή υπογραφή παράγει κλειδιά μέσω του αλγορίθμου RSA.
Ο αιτών ζεύγος κλειδιών πάει στον CSP και του ζητάει ένα ζεύγος κλειδιών. Ο CSP τον στέλνει στην Αρχή μητρώου (Registration Authority) για να δώσει τα στοιχεία του και στη συνέχεια περνάει σε άλλο δωμάτιο στον certification authority που θα δώσει ζεύγη κλειδιών. Ο CA ανάλογα αν ο αιτών θέλει ή όχι κρατάει backup το private key. Αν ο αιτών δε θέλει να το ασφαλίσει στον CA χρησιμοποιεί μία smartcard μέσα στην οποία αποθηκεύει το private key (εννοείται ότι το public key είναι ήδη αποθηκευμένο μέσα στον certificate). Ο CSP διατηρεί συγκεκριμένο χώρο μέσα στον δίσκο του για το ποιοι κατέβασαν κάθε public key. Αυτός ο χώρος ονομάζετε DELTA CRL (Certification Revocation List).
Στη συμμετρική επικοινωνία, το ιδιωτικό κλειδί είναι κοινό και στον αποστολέα και στον παραλήπτη.
