Blog

Közösségi kulcsmenedzsment - a publikus kulcsú infrastruktúra új olaja

2009.12.22. 09:55:37, Besenyei Tamás

A legnagyobb ötletek általában villanásszerűen jönnek, könnyen kivitelezhetőek, kevés erőforrást igényelnek és persze sok haszonnal kecsegtetnek. Ez persze mindig az adott idő, környezet, valamint a társadalmi fogadtatás függvénye. Egy ilyen ötletről szeretnék most írni.

Köztudott tény, hogy manapság minden második ember regisztrálva van valamilyen internetes közösségi portálra. Itt gondolok a Magyarországon legelterjedtebb ilyen portálra, az iwiw-re, valamint a napokban hatalmas reklámkampányt indító Facebookra, mely hatására valószínűleg sok új felhasználót köszönthetnek rövidesen a tagjaik között.

Az ilyen oldalak legfőbb szerepe, hogy a rohanó világban megkönnyítsék a kapcsolattartást az ismerőseinkkel. Erre lehetőséget adnak közvetlen üzenetküldéssel, vagy a felhasználói adatlapon megadott elérhetőségekkel. Itt megtudhatjuk a rég nem látott osztálytársunk e-mail címét vagy MSN azonosítóját, és így felvehetjük vele a kapcsolatot. Az ötlet egyik felében az ilyen információk megadásának lehetőségét szeretnénk kihasználni.

Ahhoz hogy az ötlet másik részét is ismertessem, szükséges a digitális aláírás koncepciójának ismerete, melyet most pár sorban le is írok. A digitális aláírás egy publikus és privát kulcsokat alkalmazó két kulcsú algoritmust használ. Az aláírandó médiumot, mely lehet egy fájl, vagy egy e-mail tartalma, egy hash algoritmussal lehasheljük, és ezt a hash-t titkosítjuk a privát kulccsal. Mivel ezt a kulcsot csak mi ismerjük, ezért csak mi tudjuk előállítani ezt a titkosított tartalmat. Ez azért egy működő elképzelés, mert a publikus kulcsunk segítségével a fogadó fél vissza tudja nyerni a tartalmat, és tudja ellenőrizni, hogy tényleg ugyanazt a médiumot kapta-e meg módosítatlanul, és tényleg az küldte-e neki, mint amit ő hisz. Hasonló az eljárás, ha nekünk küldenek üzenetet, csak akkor a publikus kulccsal történik a titkosítás, és csak a privát kulcs segítségével lehet azt visszafejteni, ezzel megakadályozva, hogy bárki menet közben elolvashassa az üzeneteinket.

Magát a digitális aláírást az ügyvédek és a hivatalos szervek is használják és ezek úgynevezett felelősségvállalási értéket is tartalmaznak, mely arra hivatott, hogy egy bizonyos tranzakciós értékig a bíróság előtt pontosan olyan bizonyítékként elfogadott, mint egy aláírt szerződés. Természetesen léteznek ingyenes és ilyen felelősségvállalást nem tartalmazó aláírások is, melyek legfőbb célja a küldő fél azonosítása, mellyel megnehezíti az e-mail címünket hamisító üzenetek küldését.

A digitális aláírás esetén a publikus kulcsunkat minden olyan emberrel meg kell osztanunk, akitől valaha levelet várunk. Ez nehéz feladatnak tűnik, így jelenleg a kulcsunkat készítő hitelesítőszervezet nyújt arra módot, hogy a honlapjáról bárki lekérdezhesse ezt a kulcsunkat. Ehhez azonban a küldő félnek tudnia kell, hogy pontosan melyik szervezet csinálta a miénket. Erre egy megoldás lehetne az, ha csak egy kulcskiadó szervezet létezne, de ez a jelenlegi üzletpolitikába nem illik bele. A másik megoldás pedig az az ötlet, hogy tároljuk a kulcsokat egy központi helyen. Mi sem lenne alkalmasabb erre a célra egy közösségi portál, ahol minden ismerősünk egy kattintással elérheti az adatainkat.

Most tekintsünk egy életben bármikor megjelenő példát, melyben egy régen nem látott ismerősünk osztálytalálkozóra invitál, és azért hogy az éttermet le tudja foglalni az eseményre, küld nekünk egy számlaszámot, melyre várja a foglaló összegét. Ez persze több levélváltásban is történhet, de egy kellően ügyes csaló esetén, az átverés legkisebb gyanúja se merül fel bennünk. Amennyiben azonban az ismerősünk rendelkezik aláírással, akkor azt fél perc alatt tudjuk ellenőrizni a profil oldalán megadott értékkel. Vélhetően nem kellene mindezt manuálisan, kézzel megtenni, mert ha ez az elképzelés beindulna, akkor heteken belül megjelennének a levelezőprogramokba olyan kiegészítők, melyek ezt automatikusan elvégeznék helyettünk. Így a csaló már az első levél küldése után lebukna.

Az elképzelés egyetlen hibája, hogy a jelenleg digitális aláírással rendelkező felhasználók száma minimális. Az ötletet továbbgondolva lehetne egy üzleti lehetőséget is teremteni. Amennyiben egy közösségi portál és egy hitelesítés szolgáltató összefogna, akkor akár egy kattintással bármely felhasználó kérhetne ilyen kulcsot és ezzel lehetővé válna számára a biztonságos kommunikációt az ismerőseivel.

És bár az ötlet jó, mégis miért született halva?

  • a felhasználóknak nincs igényük a biztonságra, amíg egyszer pórul nem jártak

  • olyan világban élünk, ahol a felhasználók az ICQ azonosítójuk helyére az IQ -jukat írják

  • a felhasználók igen nagy része webmaileket használ, melyekből nem lehet aláírt üzeneteket küldeni

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.


A hozzászóláshoz be kell jelentkezni!

© PET Portál és Blog, 2008-2010 | Impresszum | Adatvédelmi nyilatkozat