УНИВЕРЗИТЕТ У КРАГУЈЕВЦУ UNIVERSITY OF KRAGUJEVAC

ТЕХНИЧКИ ФАКУЛТЕТ-ЧАЧАК TECHNICAL FACULTY - ČAČAK

STUDIJSKI PROGRAM: TEHNIKA I INFORMATIKA

PREDMET: ZAŠTITA RAČUNARSKIH SISTEMA

PROJEKAT

TEMA: DIGITALNI SERTIFIKATI

Student: Profesor:
Dejan Rendulić 538/2010 Dr. Borislav Đorđević
Sadržaj

1. Uvod ....................................................................................................... 2
2. Elektronsko poslovanje........................................................................... 3
3. Infrastruktura javnih ključeva (PKI)....................................................... 4
4. Asimetrična kriptografija........................................................................ 5
5. Tehnologija digitalnog potpisa................................................................ 6

6. Digitalni sertifikati....... .......................................................................... 6

7. Mediji za čuvanje digitalnih sertifikata................................................... 10
8. Zaključak..................................................................................................11
9. Literatura..................................................................................................11

1
 1. Uvod

Tehnologija koja se opisuje je izuzetno obimna. To ne iznenađuje ako se prisetimo da je

teorijski razvoj njenih osnova počeo još sedamdesetih godina prošlog veka i da intenzivno traje i
danas. Njena namena je maksimalno obezbeđivanje identifikacije osoba ili sistema i privatnosti
podataka. Mnoge procedure su u čitavom svetu još u razradi, a mogu se i razlikovati u različitim
državama.
Digitalni sertifikat je struktura podataka koja za cilj ima pouzdano povezivanje javnog
ključa sa podacima o njegovom nosiocu, obezbeđujući na taj način proveru identiteta pri, na primer,
digitalnom potpisivanju. Sertifikat može biti samopotpisani ili kvalifikovani. Samopotpisani su u
tehničkom pogledu jednaki, ali samopotpisani može da izda bilo ko, a to može korisnik uraditi i
sasvim sam. Uglavnom se koriste interno, ili se pravna snaga dobija potpisivanjem posebnog
obavezujućeg ugovora sa korisnikom (kao u e-banking sistemima).
Daleko značajniji je kvalifikovani digitalni sertifikat, koji po Zakonu o digitalnom potpisu i
pripadajućim podzakonskim aktima može da izda samo sertifikaciono telo koje ispunjava određene
zakonske uslove i ima dozvolu za rad. Kvalifikovani digitalni sertifikat sa odgovarajućim parom
ključeva se može upotrebiti za kreiranje „kvalifikovanog digitalnog potpisa“ elektronskog
dokumenta, koji je po pravnoj snazi ekvivalentan papirnom dokumentu potpisanom na klasičan
način – olovkom i pečatom.
Čak i prema pomenutom zakonu, postoji nekoliko izuzetaka od ovog pravila – recimo,
prenos prava svojine na nepokretnosti, uređenje imovinskih odnosa između bračnih drugova,
ugovori o poklonu, ugovori o doživotnom izdržavanju, sporazumi u vezi sa nasleđem za sada će se
potpisivati na klasični način.

2
 2. Elektronsko poslovanje

Elektronsko poslovanje predstavlja skup poslovnih aktivnosti koje se odvijaju posredstvom

informaciono-komunikacionih tehnologija, a posebno Interneta.
Modeli e – poslovanja:
 B2B (Business to Business).
 B2C (Business to Customer).
 C2C (Customer to Customer).
 B2E (Business to Employee).
 B2G (Business to Government).
 G2C (Government to Customer).
Zloupotreba u e-poslovanju:
 On-line aukcije.
 Investicione prevare.
 Prevare sa kreditnim karticama.
 Krađe identiteta.
 Krađe podataka.

Internet

dobra strana loša strana

pruža velike mogućnosti u oblasti donosi problem zaštite

elektronskog poslovanja podataka i mrežnih resursa

3
 Uspeh elektronskog poslovanja (e-business) zavisi od zaštite Internet komunikacija, odnosno,
od mogućnosti zaštite on-line transakcija.
Bezbednosne mere mogu biti:
 Fizičke
 Kriptografske
o Šifra
o Digitalni potpis

Osnovne funkcije zaštite:

o Tajnost (Confidentiality) - garantuje se da sadržaj poruke može da sazna jedino
korisnik kome je poruka namenjena.
o Autentifikacija (Authentication) - verifikuje se identitet korisnika koji komuniciraju
preko mreže.
o Integritet (Integrity) - garantuje se da poruka nije promenjena prilikom prenosa.

o Neporecivost (Nonrepudiation) - onemogućava se poricanje izvršene transakcije.

3. Infrastruktura javnih ključeva

(PKI - Public Key Infrastructure)

PKI sistem je informacioni sistem. PKI predstavlja kombinaciju softvera, hardvera, tehnologije
šifrovanja podataka i usluga koje su namenjene da zaštite bezbednost komunikacija i poslovnih
transakcija koje se obavljaju preko računarske mreže. Zadatak PKI je zaštita podataka i mrežnih
resursa. Baza PKI predstavlja tehnologija javnih kriptografskih ključeva. Osnovni koncept na kome
se zasniva PKI sistem je asimetrična kriptografija.
Komponente PKI sistema:
o Sertifikaciono telo - CA (Certification Authority).
o Registraciono telo - RA (Registration Authority).
o Javni imenik ili direktorijum (Public Directory).
o Klijentske ili korisničke aplikacije.

Sertifikaciono telo:
o Izdaje, obnavlja, suspenduje i opoziva digitalne sertifikate.
o Konfiguriše različite vrste životnih ciklusa i drugih parametara sertifikata.
o Objavljuje registre opozvanih sertifikata.
o Vrši uzajamnu sertifikaciju sa drugim sertifikacionim telima.

Registraciono telo:
o Predstavlja sponu između korisnika koji postavlja zahteve za izdavanjem sertifikata i
sertifikacionog tela.
o Prihvata zahteve korisnika za izdavanjem sertifikata.
o Proverava identitet korisnika i prikuplja potrebne podatke o korisnicima.
o Prosleđuje zahteve korisnika za izdavanje sertifikata ka sertifikacionom telu i dr.

4
Javni imenik ili direktorijum:
Javni imenik je lokacija na kojoj sertifikaciono telo objavljuje i čuva sledeće javne podatke:
o javne podatke o korisnicima,
o digitalne sertifikate,
o registre opozvanih sertifikata.

Klijentske aplikacije:
Omogućavaju korisniku da upotrebom digitalnih sertifikata postignu određene ciljeve.
Zadatak klijentske aplikacije:
o potpisivanje i šifrovanje elektronskih transakcija.
o potpisivanje i šifrovanje datoteka.
o prijavljivanje (logovanje) na računar, računarsku mrežu ili aplikaciju...
o zaštićena e-mail komunikacija.
o zaštićena web komunikacija.

4. Asimetrična kriptografija
(kriptografija javnih kriptografskih ključeva)

Bazira se na korišćenju dva kriptografska ključa. Kriptografski ključ može biti:

o javni ključ (Public Key) – koristi se za šifrovanje podataka.
o tajni ili privatni ključ (Private Key) – koristi se za dešifrovanje podataka.

Na sledećoj slici je prikazana implementacija asimetrične kriptografije.

o Korisnik B koji želi da prima šifrovana elektronska dokumenta poseduje par ključeva,
javni i tajni.
o Javni ključ javno objavljuje tako da je on dostupan drugim korisnicima, dok tajni ključ
čuva u tajnosti.
o Ukoliko korisnik A želi da pošalje šifrovan dokument korisniku B, on korišćenjem
dostupnog javnog ključa korisnika B vrši šifrovanje dokumenta, a zatim tako šifrovan
dokument prosleđuje korisniku B.

5
 o Korisnik B posle preuzimanja šifrovanog dokumenta vrši njegovo dešifrovanje
korišćenjem svog tajnog ključa koji je par javnom ključu kojim je taj dokument šifrovan.
5. Tehnologija digitalnog potpisa

Bazira se na rešenjima asimetrične kriptografije i na korišćenju dva kriptografska ključa.

Digitalni potpis sprečava napadača da modifikuje sertifikat bez obavestenja CA o toj akciji, zato što
digitalni sertifikat poseduje šifrovani sadržaj (hash) koji se nalazi unutar sertifikata. Ako je sadržaj
sertifikata modifikovan, digitalno potpisani šifrovani sadržaj (hash) ce postati nevažeci i proces
provere će propasti. Napadač nece moći da simulira identitet korisnika ili kompjutera koji se nalazi
u listi sertifikata ako nema pristup privatnom kljucu koji je deo sertifikata.
Kriptografski ključevi:
o tajni ili privatni ključ - koristi se za potpisivanje podataka.
o javni ključ – koristi se za verifikovanje potpisa.

Na sledećoj slici, prikazana je implementacija tehnologije digitalnog potpisa.

 Korisnik A koji želi da potpisuje elektronska dokumenta poseduje par ključeva, javni i tajni.
 Ukoliko korisnik A želi da pošalje potpisan dokument korisniku B, on vrši potpisivanje
dokumenta svojim tajnim ključem, a zatim tako potpisan dokument prosleđuje korisniku B.
 Korisnik B posle preuzimanja potpisanog dokumenta vrši verifikovanje potpisa korišćenjem
javnog ključa korisnika A, koji je par tajnom ključu kojim je taj dokument potpisan.

6. Digitalni sertifikat

Digitalni sertifikat je elektronski dokument kojim se digitalni potpis povezuje sa identitetom

korisnika i izdaje od strane sertifikaciono telo. Digitalni sertifikat može da se shvati kao digitalna
lična karta. Digitalni sertifikat je elektronski podatak o identitetu sigurnosnog subjekta koji
poseduje sertifikat. Sastoji se od javnih kljuceva koji nude informacije o subjektu sertifikata,
validnost sertifikata, i aplikacije i servise koji mogu da koriste sertifikat. Takođe nudi nacin za
identifikaciju subjekta koji je vlasnik sertifikata. Digitalni Sertifikati donose POVERENJE i
BEZBEDNOST prilikom komunikacije ili obavljanja posla putem Interneta.
Digitalni sertifikati mogu da se nalaze na hard disku, smart kartici, ili na uredaju koji ima
mogucnost da smesti elektronske podatke o identitetu (credentials) u formi sertifikata. Sertifikati su
kriptografske tehnike koje identifikuju dva entiteta koja nameravaju da odrade transakciju. Iz tog

6
razloga, aplikacija ili sen/is proverava svakog vlasnika sertifikata proveravanjem sertifikata koji
poseduje svaki od entiteta.
Digitalni sertifikat sadrži:
 podatke o identitetu korisnika kome je izdat sertifikat (ime i prezime, e-mail adresa,...).
 podatke o sertifikacionom telu.
 javni kriptografski ključ korisnika sertifikata.

Digitalni sertifikat je elektronski dokumenat koji je javno dostupan na Internetu. Distribucijom

sertifikata se distribuiraju i javni ključevi vlasnika sertifikata (parovi njihovih tajnih kriptografskih
ključeva).
Digitalni sertifikat je nemoguće falsifikovati jer je potpisan tajnim kriptografskim ključem
sertifikacionog tela. Komunikacioni programi (na primer: Microsoft Internet Explorer) raspolažu sa
digitalnim sertifikatima sertifikacionih tela kojima se veruje, pa samim tim i sa njihovim javnim
ključevima.
Gde se koriste digitalni sertifikati ?
Svuda gde je neophodno dokazati identitet učesnika u komunikaciji:
 individualni korisnici ih koriste pri digitalnom potpisivanju email poruka i elektronskih
dokumenata.
 prilikom pristupanja računarskim resursima umesto korisničkog imena i lozinke.
 organizacije kojima je potreban pouzdan dokaz identiteta.
 serveri koji moraju da dokažu da se baš na njima nalazi sadržaj koji korisnik zahteva.
 softver za koji mora da se dokaže poreklo, tj. da nije lažan.
 za online bezbedne poslovne transakcije između kompanija.
 za sigurnost organizacija u privatnom, javnom i državnom sektoru.

Status sertifikata može biti promenljiv tokom vremena.

Sertifikati

validni (valjani) nevalidni

(opozvani)

Zavisnoj strani je od interesa da zna da li je ponuđeni sertifikat validan ili nevalidan.

Sa porastom novčanih on line transakcija raste interes za sticanjem vrhunskih garancija između
aktera transakcija.
Faktori koji dovode do narušavanja validnosti digitalnih sertifikata:
1. gubitak sertifikata.
2. kompromitovanja privatnog ključa.
3. promene imena subjekta sertifikata.
4. oštećenje sertifikata.
5. .....
Procedura opoziva sertifikata:
1. Subjekti sertifikata se obraćaju sertifikacionom telu sa zahtevom za opoziv.
2. Sertifikaciono telo proglašava sertifikat opozvanim.
3. Sertifikat se smešta u listu opozvanih sertifikata.

7
 4. Lista se digitalno potpisuje od strane sertifikacionog tela i time štiti od neovlašćenog
rukovanja.
Problem – veličina liste (opozvani sertifikati ostaju na listi sve dok im ne istekne rok važnosti).
Bilo koji sistem zasnovan na digitalnim sertifikatima bez provere valjanosi (validacije) u osnovi
je nekompletan.
Cilj: jačanje poverenja kod zavisne strane na bazi validacije statusa sartifikata.
Rešenje: u infrastrukturi javnog ključa ugraditi još jednu komponentu - Validaciono telo - VA
(Validation Authority)
Validaciono telo je formirano u cilju potvrđivanja validnosti digitalnih sertifikata.

Osnovni zadaci validacionog tela:

 provera roka trajanja sertifikata.
 provera procesa sertifikacionog tela i održavanje registra sertifikacionog tela koji
korisnici mogu da konsultuju prilikom odlučivanja o nivou poverenja u određeno
sertifikaciono telo.
 provera svrhe sertifikata.
(npr. da li je sertifikat validan za transakciju plaćanja).

Na sledećoj slici je prikazana pozicija validacionog tela u sastavu infrastrukture javnog ključa.

Na sledećoj slici je dat prikaz digitalnog potpisivanja bankarskih transakcija:

8
  banka zahteva potpis za transakciju.
 klijent bira sertifikat i koristi ga za potpisivanje.
 transakcija se potvrđuje i digitalno potpisuje.
 banka verifikuje i skladišti sertifikat.
 banka kompletira transakciju i šalje potvrdu klijentu.
Prednosti ovakvog sistema:
 identifikacija klijenta.
 digitalno potpisivanje transakcija.
 prijem rezultata verifikacije digitalnog potpisa od servera.
Možemo navesti neke vrste elektronskih sertifikata:
 Kvalifikovani sertifikat.
 WEB sertifikat.
 SER sertifikat za Web server.
 Unified Communications sertifikat.
 TSA sertifikat za Timestamp server.
 VPN sertifikat za VPN server.
 Code Signing sertifikat.
Kvalifikovani sertifikati su standardni X.509 verzija 3 sertifikati koji mogu da se koriste za
kreiranje i verifikovanje kvalifikovanog elektronskog potpisa, koji ima isto pravno dejstvo kao
svojeručni potpis, u skladu sa Zakonom o elektronskom potpisu ("Službeni glasnik Republike
Srbije", br. 135/2004) i Evropskom Direktivom 1999/93/EC o elektronskom potpisu (DIRECTIVE
1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December
1999 on a Community framework for electronic signatures).
WEB sertifikati su standardni X.509 verzija 3 sertifikati koji mogu da se koriste u okviru
Microsoft aplikacija (Internet Explorer, Outlook, Outlook Express, Word, Excel, PowerPoint i
drugih) i aplikacija drugih proizvođača (Mozilla Firefox i Thunderbird, Adobe Acrobat i Reader,
OpenOffice Writer i drugih), za autentifikaciju, šifrovanje/dešifrovanje i potpisivanje/verifikovanje
potpisanih datoteka, elektronskih pisama i transakcija.
SER sertifikati za Web servere su standardni X.509 verzija 3 sertifikati koji se koriste za
konfigurisanje SSL (Secure Sockets Layer) i/ili TLS (Transport Layer Security) protokola na Web
serverima (Microsoft IIS, Apache, Sun-Netscape iPlanet, Red Hat Stronghold, Sun ONE, IBM
HTTP Server,...). Namena SSL i TLS protokola je uspostavljanje zaštićenog komunikacionog
kanala između Web servera i Web klijenata.
Unified Communications sertifikati ili SAN sertifikati su standardni X.509 verzija 3 sertifikati
za SSL/TLS komunikaciju između Web servera i Web klijenata, kao i za komunikaciju između
servera. Unified Communications sertifikat može da sadrži više imena servera u polju sertifikata
"Subject Alternative Name".
TSA sertifikati za Timestamp servere su standardni X.509 verzija 3 sertifikati koji mogu da
se koriste za kreiranje i verifikovanje elektronskog potpisa vremenskih žigova.
VPN sertifikati za VPN servere su standardni X.509 verzija 3 sertifikati za VPN komunikaciju
između VPN servera (na primer: Cisco PIX 525) i VPN klijenata (na primer: Cisco VPN Client).

9
 Code Signing sertifikati su standardni X.509 verzija 3 sertifikati koji mogu da se koriste za
kreiranje i verifikovanje elektronskog potpisa softverskog koda (.exe, .ocx, .dll i .cab datoteka).

7. Mediji za čuvanje digitalnih sertifikata

 Hard disk, disketa ili CD,

 PKI smart kartica,
 PKI USB smart token.

Čitač smart kartica i smart kartica USB smart token

Najviši nivo sigurnosti se postiže ako se kao mediji za elektronske sertifikate i tajne (privatne)
kriptografske ključeve koriste PKI smart kartice i PKI USB smart tokeni.
Kvalifikovani elektronski sertifikati i tajni (privatni) kriptografski ključevi mogu da se čuvaju
isključivo na PKI smart karticama i PKI USB smart tokenima koji su sredstvo za formiranje
kvalifikovanog elektronskog potpisa (Secure Signature Creation Device - SSCD), u skladu sa
Pravilnikom o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa
i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa
("Službeni glasnik Republike Srbije", br. 13/2010).

10
 8. Zaključak

Sve brži razvoj informacionih sistema i promet elektronskih dokumenata u državnoj

administraciji, bankarstvu, pravosuđu i ostalim sferama društva, kao i komuniciranje u otvorenim
mrežama bez direktnog ličnog kontakta, zahteva nove oblike utvrđivanja identiteta i zaštite sadržaja
koji se razmjenjuje.
Plaćanje proizvoda i usluga u trgovini je staro koliko i ljudska civilizacija. Napredak ljudskog
društva je uvek bio direktno vezan za razvoj sistema plaćanja u trgovini, od lokalne pijace do Wall
Street-a. Sa pojavom Interneta odmah se uvideo njegov komercijalni potencijal, ali je trebalo da
prođe dosta vremena i pokušaja dok se nije uspostavio system koji je funkcionisao onako kako se
želelo.
Uvođenjem elektronskog poslovanja, (e-business) ili poslovanja posredstvom interneta,
omogućeno je brže, efikasnije i ekonomičnije poslovanje u odnosu na poslovanje bez korišćenja
interneta. Pri tome, uspeh elektronskog poslovanja (e-business) zavisi od zaštite internet
komunikacija. Naime, internet pruža velike mogućnosti u oblasti elektronskog poslovanja, ali sa
druge strane donosi problem zaštite identiteta korisnika, podataka i mrežnih resursa.
Dok se funkcije zaštite tajnosti i integriteta podataka mogu realizovati i primenom
tradicionalnih simetričnih tehnika, funkcije autentičnosti i neporecivosti transakcija zahtevaju
primenu asimetričnih kriptografskih sistema. Najbolje karakteristike pokazuju sistemi u kojima su
realizovane sve pomenute metode ( infrastruktura javnih ključeva, digitalni potpis i digitalni
sertifikat ).
Infrastruktura javnih ključeva (PKI) obezbeđuje pouzdan metod za realizaciju svih osnovnih
bezbednosnih zahteva (servisa), koji su bazirani na precizno utvrđenoj politici rada. Ona će brzo
postati ključna karika svih sistema elektronske trgovine i korporacijske bezbednosti i sigurno će
dominirati u bezbednosnim sistemima budućnosti.

9. Literatura

[1] "Zakon o elektronskom potpisu", "Službeni glasnik Republike Srbije", broj 135/2004.
[2] "PKI sistem i Sertifikaciono telo Pošte", preuzeto sa internet strane http://www.ca.posta.rs/,
posećene dana 31.01.2011. god.
[3] "Elektronsko potpisivanje korišćenjem digitalnih sertifikata sertifikacionog tela pošte", Mr.
Dragan Spasić dipl. Inž. , Javno preduzeće PTT saobraćaja, "Srbija", Beograd.
[4] "Problemi razvoja elektronske trgovine – E – poslovanje", preuzeto sa internet adrese
http://www.poslovnaznanja.com/objavljeni-autorski-tekstovi/com-magazin/9-
problemi_razvoja_elektronske_trgovine.htm, posećene dana 31.01.2011 god.
[5] "Digitalni sertifikati", Branko Nikitović, preuzeto sa internet adrese
http://www.pcpress.rs/arhiva/tekst.asp?broj=129&tekstID=7088, posećene dana
31.01.2011.god.
[6] "Predstavljanje digitalnih sertifikata", preuzeto sa internet adrese http://www.link-
elearning.com/dlmaterijali/materijali//DL2823_novo/SadrzajNJpdf/2823n_10.pdf, posećene
dana 31.01.2011. god.

11
[7] "Digitalni potpis i digitalni sertifikat", Dejan Đorđević, preuzeto sa internet adrese
http://2007.telfor.rs/files/radovi/01_15.pdf, posećene dana 31.03.2011. god.

12