Infrastruktura veřejných klíčů (PKI) – nové řešení pro Hradeckou lesní a dřevařskou společnost a.s.

HLDS se podařilo odstranit časově náročné zpracování papírových dokumentů a zajistit veškerý styk s obchodními partnery elektronicky.

Situace

Termín „elektronický podpis“ je dnes skloňován ve všech pádech. Jak ale jeho využití vypadá v praxi? Skutečně využíváme všechny možnosti, které nám moderní bezpečnostní technologie přinášejí? Soudobé a perspektivní způsoby užívání IT předpokládají, že podporu ze strany infrastruktury veřejných klíčů (Public Key Infrastructure, PKI) budou při své každodenní činnosti potřebovat prakticky všichni uživatelé sítě. Proto k projektu vybudování PKI přistoupila i Hradecká lesní a dřevařská společnost a.s. (http://www.hlds.cz ) a k řešení si vybrala firmu Infinity a.s. (http://www.infinity.cz ).

Profil zákazníka

Hradecká lesní a dřevařská společnost a.s. (dále jen HLDS a.s.) působí na trhu prodeje a přepravy dřeva již od roku 1994. Společnost se vždy snažila využívat informační systém co nejefektivněji a vždy kladla důraz na zavádění nových technologií. Proto se HLDS rozhodla odstranit časově náročné zpracování papírových dokumentů a zajistit veškerý styk s obchodními partnery elektronicky. To vše do konce roku 2003. K naplnění tohoto požadavku bylo nutno vybudovat důvěryhodnou infrastrukturu veřejných klíčů (PKI).

Charakter řešení

Prioritním cílem projektu byla snaha o maximální využití stávajících prostředků. Na serverech společnosti byla zprovozněna hierarchická certifikační autorita firmy Microsoft, která je součástí standardní distribuce operačního systému Windows 2000. Certifikační autorita může vydávat certifikáty pro klienty vnitřní sítě i pro subjekty mimo HLDS a.s. Byly rovněž využity služby pro distribuci klíčů v Microsoft Exchange 2000 serveru. Tato technologie nahradila Microsoft Exchange Server v.5.5, který nesplňoval požadavky na integraci do adresářových služeb. Na serverech a 20 klientech je použit specializovaný software firmy ActivCard, zajišťující kryptografickou bezpečnost s použitím čteček a šifrovacích karet.

Co získají uživatelé?

V následujícím přehledu jsou stručně popsány funkce PKI využívané koncovými uživateli. Bezpečná pošta Pro zajištění bezpečné pošty je použito e-mail klientů podporujících standard S/MIME zahrnutý např. v Outlook, Outlook Express. Certifikáty jsou vyžadovány cestou WWW prohlížeče a následně instalovány do email aplikací. S použitím certifikátů je zaručeno soukromí uživatelů a prokazování jejich identity u e-mailových zpráv a jejich příloh. Tato vlastnost je velmi důležitá pro výměnu citlivých dokumentů např. smluv. Certifikáty mohou být získávány ze specializovaného úložiště v Microsoft Exchange Serveru nebo v Active Directory.

Bezpečný WWW

Vytvořená firemní certifikační autorita zajišťuje vydávání certifikátů do všech populárních prohlížečů a rovněž vydává certifikáty pro WWW servery. S pomocí certifikátů je poskytnuta vysoká záruka za bezpečné zpracování informací pomocí kryptografických mechanismů v protokolu SSL. Veškerá komunikace mezi serverem a prohlížečem může být šifrována.

Přidaná hodnota

Uživatele používají čtečku s kartou a klientský software firmy ActivCard (http://www.activcard.fr ), který jim umožňuje bezpečné přihlašování do systému Windows 2000/XP. Dále je na kartě bezpečné úložiště statických hesel pro přístup např. k WWW stránkám jiných systémů. Tato funkce má tu přednost, že si uživatelé nemusí pamatovat velké množství hesel a stačí jim znát pouze jeden přístupový PIN na kartu. Partneři mohou využít tuto vlastnost pro přímý přístup k portálu společnosti HLDS a.s. (http://www.hlds.cz/b2b.html ).

Řešení i pro partnery

Pro partnery společnosti byl vytvořen produktový balíček pro práci s elektronickým podpisem, jehož součástí je čtečka, karta a komplexní software. Partner dostává inicializovanou kartu s potřebnými údaji. Vydávání a registrace karet probíhá na specializované stanici s operačním systémem Windows XP. Pro naplnění rozšiřujících požadavků uživatelů na šifrování souborů je součástí partnerského „balíčku“ doplňkový šifrovací software od firmy Finmatica/MSI pod názvem SecurityBox (http://www.securitybox.net ). S jeho pomocí je řešeno šifrování souborů a adresářů na lokálních discích uživatelů.

Přínosy

Zavedení elektronického podepisování dokumentů přispělo ke snížení administrativních nákladů při práci s dokumenty ve firmě a u partnerů. Do budoucna HLDS a.s. očekává nárůst produktivity práce plynoucí z vyšší míry záruk bezpečné komunikace ve vnitřní síti a v Internetu. Další významný faktor je zkrácení celého cyklu oběhu papírových dokumentů. Zatímco před zavedením řešení trval přenos smlouvy klasickou poštou několik dnů, dnes tato operace zabere řádově minuty. Rychlost je poznat zejména při čtvrtletním zpracování velkého objemu smluv.

Při výběru řešitele PKI hledala společnost HLDS a.s. stabilní a solidní firmu, která má zkušenosti z prostředí technologií firmy Microsoft. Firma Infinity splnila tato očekávání a byla schopna pružně reagovat i na rozšíření zadávacích požadavků v průběhu řešení. Během projektu byl zajištěn vzdálený dohled infrastruktury PKI pracovníky firmy Infinity pomocí VPN. Výsledné řešení opírající se o vícefunkční karty se v praxi velmi osvědčilo – všichni zaměstnanci HLDS a.s. například používají elektronickou bezkontaktní kartu ke vstupu do budovy, což je výsledek přesahující původní cíle řešení. Partneři společnosti mají přístup k firemnímu portálu pomocí ověřených bezpečnostních technologií. Díky tomu mají rychlejší přístup ke know-how HLDS a.s. a mohou také podepisovat elektronické dokumenty při vzájemné komunikaci. HLDS a.s. očekává, že aplikované řešení zvýší konkurenceschopnost společnosti prostřednictvím snížení nákladů a zejména zrychlením oběhu dokumentů uvnitř společnosti i mezi společností a jejími partnery.