2011-09-13

Интернэтийн итгэлцүүрийн гинж тасрав үү?

Интернэт нь хэдэн зуун сая, магадгүй хэдэн тэрбум төхөөрөмжүүдээс бүрдсэн асар том сүлжээ билээ. Нэгдсэн байдлаар удирддаг, бүртгэлжүүлдэг байгууллага үгүй учир хэн дуртай нь холбогдож, хүссэн домэйн нэрээ авах гэх мэт бараг л юу дуртайгаа хийж болно. Энэ нь л орон зайг нөхөх, итгэлцүүрийг бий болгох зорилгоор тоон сертификат үүссэн боловч одоо энэхүү итгэлцүүрийн гинж тасрав уу гэх бодол төрж байна.

Тоон сертификат нь энгийнээр бол интернэт дахь нотариатын бичиг гэсэн үг, үүнийг нь "нотариатч" Certificate Authority (CA) олгоно. Тэд олгох гэж буй итгэлцүүрийн зэргээс шалтгаалан тухайн домэйны мөн эзэн эсэхийг шалгахаас гадна олон шат дамжлагатайгаар ийм хүн, ийм байгууллага хорвоо дээр байдаг гэдгийг ч шалгаж, нотолж болно. Хэрэв үнэн бол үүнийг баталгаажуулж домэйн нэрэнд тоон сертификат олгодог. Жишээ нь, https://www.google.com эсвэл https://twitter.com руу орвол хаяг нь ногоорч харагдах ба энэ нь хамгийн өндөр итгэлцүүрийн зэрэгтэй бөгөөд эдгээр байгууллагууд нь байдаг бас энэ домэйны жинхэнэ эзэмшигч мөн гэдгийг баталгаажуулж байгаа хэрэг. Мөн энэ нь та болон серверийн хооронд дамжиж буй мэдээллийг замаас нь хэн ч уншиж чадахгүй гэсэн баталгаа, итгэлцүүр юм. Гэхдээ урд нь http биш https байгааг анзаарч хараарай. Хамгийн гол нь тоон сертификатыг бусдад алдахгүй байх ёстой. 

Харин эдгээр CA-үүдэд бидний вэб хөтчүүд эсвэл бусад интернэтийн програмууд маань итгэх ёстой ба ихэнх програмууд тэдгээрийн үндсэн тоон сертификатуудыг өөртөө агуулж байдаг. Mozilla 36 анхан шатны байгууллагад итгэдэг, тэдгээр нь эрхээ бусадтай хуваалцаж бас болдог тул эдгээр байгууллагуудын тоо нийт 100 гаран байдаг бөгөөд эдгээрийн олгосон бүх тоон сертификатууд интернэтийн итгэлцүүр болж өгдөг. Гэтэл эдгээр байгууллагууд хангалттай итгэлтэй биш бол яах вэ гэдэг асуулт сүүлийн үед хурцаар тавигдах болов.

ComodoHacker гэж нэрлэсэн этгээд энэ оны эхээр Comodo CA-ийн систем рүү нэвтэрч Gmail, Yahoo Mail, Hotmail зэрэг олон хаягуудад тоон сертификат үүсгэж авсан байна. Тун саяхан DigiNotar руу халдан google.com болон бусад бүх дэд домэйн, бүр *.*.com буюу бүх .com домэйн мөн *.*.org буюу бүх .org домэйн зэрэг нийт 500 гаруй тоон сертификат өөртөө үүсгэж авсан байна. Энэ ямар аюултай вэ гэж үү? Тэрээр Ираны зарим нэг интернэтийн үйлчилгээ үзүүлэгч компаниуд руу халдан сертификат бүхий домэйнуудыг өөрийн сервер рүү зааснаар олон мянган интернэт хэрэглэгчдийн мэдээллийг хулгайлах боломжтой болсон юм. Харин хэрэглэгчид, вэб хөтчийн програмууд нь жинхэнэ, итгэлтэй гэж бодсоор... Түүний өгүүлж буйгаар энэ хэрэг явдал үүгээр дуусаагүй өөр 4 компаний сүлжээнд нэвтэрсэн гэсэн.

Энэхүү үйл явдлаас үүдэн Mozilla, Google, Microsoft, Apple компаниуд програмуудынхаа шинэчлэлтээр DigiNotar-ыг итгэлцүүрийн жагсаалтаас хасч, тэдний олгосон бүх тоон сертификатуудыг хүчингүй болгов. Mozilla-с CA-үүдэд зориулж системдээ аудит хийх уриалга гаргав. Эдгээр үйл явдлуудаас үүдэн ойрын ирээдүйд тоон сертификатууд болон CA байхгүй болохгүй, өмнөхийн адил итгэлцүүрийн үүргээ гүйцэтгэсээр байх болно. Гэхдээ бидний хамгийн бат бөх, найдвартай гэж бодож байсан итгэлцүүрийн гинж маань ямар эмзэг байгааг харуулж өгөх шиг боллоо. Тиймээс тэд урьд өмнөхөөсөө илүү няхуур байж, эмзэг гинжийг таслуулахгүй байхын төлөө ямар шинэ бодлого, зохицуулалт, технологиудыг нэвтрүүлэхийг цаг хугацаа харуулах биз. Хэн ч эргэлздэггүй байсан зүйлд хүн бүр эргэлздэг болов...

5 comments:

Unknown said...

Сонирхолтой л юм. :)

Unknown said...

Манайд цахим гарын үсгийн хуулийн хүрээнд PKI-д суурилсан CA, RA болон бусад бүтцийг байгуулна, дата төвд байршуулна, нууцлал, хамгаалалтыг шийднэ гэж яригдаж байснаа хуулийн төсөл буцаад чимээ намжсан. Холбогдох удирдлага, санаачлагч, шийдвэр гаргагч нар иймэрхүү мэдээлэл хэр авч, тунгааж байдаг юм бол?

Frank said...

Монголд иймэрхүү тоон CA өгдөг юм уу? Монгол цахим хуудсууд ийм баталгаажилттай байдаг уу?

Unknown said...

Монголд CA байгуулах тендер ноднин билүү яваад ялагчдаа шалгаруулсан гэсэн. Тэр нь ухаалаг иргэний үнэмлэхэнд ашиглагдана гэж байсан шүү.

Манай зарим нэг вэбүүд ашигладаг, гэхдээ гадны том компаниудынхыг ашиглаж байх шиг харагддаг.

iheree said...

Ихэвчлэн банкууд мэйл болон интернэт банк онлайн картын системүүд ssl ээр баталгаажуулсан байдаг.Манайхан ихэвчлэн thawte ээс л авцгаадаг. Монголд Datacom Magicnet Mobinet ssl reseller л хийдэг юм шиг байна лээ?