9/29/2003 2

Agenda

09:00 Registrace účastníků09:20 Přivítání účastníků semináře, Vladimír Drnek09:30 Entrust Corporate Overview, Wolfgang Kussmann09:35 Entrust 7.0 Introduction, Pavel Marťák10:15 Přestávka10:30 Secure Desktop Solutions, Pavel Marťák10:50 Web Portal Solutions, Wolfgang Kussmann11:10 New Secure Identity Management Solution , Wolfgang Kussmann11:30 Demo Entrust 7.012:10 Závěr12:15 Oběd v zahradě

Z čeho se Entrust PKI skládá ?

SAP

Appl.Servery

Administrace

Administrátor

JednotnáDatabáze Zdrojů

CA RA

PKI

PKI

InformačníSystém

Uživatelsképrostředí

VPN klient

Certifikačnía bezpečnostní

politika

PKI není pouze CA a datový repositář

Rozdíl mezi PKI a pouhou CA je fatální. Implementace samotné CA neřeší:

•Key management - obnova, distribuce a pod

•Provázanost koncových aplikací

•Počet párů klíčů

•Prosazování bezpečnostní (certifikační) politiky (existence hesla chránícího uživatelský profil a jeho sílu, typ a sílu šifrovacího algoritmu, využití CRL …)

Základní parametry Entrustu

• Model s více páry klíčů• Automatická aktualizace klíčů• Správa historie klíčů• Jednotný uživatelský profil• Efektivní revokační systém• Vynutitelnost bezpečnostní

politiky• Bezpečná distribuce CA klíče• Mechanismus „User profile

recovery“

Základní parametry Entrustu

• Jednoduché promítnutí organizačních změn do PKI -export import uživatelů, „change DN“

• Hromadné zpracování dat• Grafický i command-line interface• Nastavování libovolných vztahů s jednotlivými CA - Trust,

subordinace• Podpora On line a Off line certifikačního procesu• Důvěryhodný certifikační proces - SEP a PKIX• Důvěryhodný registrační proces

Základní parametry Entrustu - Role

• Master user• Security Officer• Auditor• Operator• ASH Service• User Administrator• User Reg Service (Admin Services) • Server Login

Páry klíčů – jeden pár

Páry klíčů - dva páry

Privátnípodepisovací

Veřejnýverifikační

Privátnídešifrovací

Veřejnýšifrovací

Archivace

Archivace

Případná záloha páru

Entrust – více párů klíčů

• Možnost přístupu k již zašifrovaným datům starými klíči díky uchovávané historii klíčů

• Možnost budoucího dodatečné ověření již podepsaných dokumentů (dat)

• V PKI prostředí umožňuje automatickou správy klíčů -šetří náklady, v rozsáhlých prostředích nutnost

• Možnost nastartovat proces výměny klíčů dle nastavení administrátora

• Transparentní výměna neobtěžující uživatele nutností interakce

Entrust verze 7 – autentizační pár

00:b4:35:15:17:9e:c9:56:bd:30:ee:dc:f3:b9:93:b2:d4:c7:a2:49:07:fc:14:8b:90:c3:e9:59:cc:7a:88:2f:44:b2:a3:d0:24:9c:75:d9:71:60:e2:53:5e:d4:46:e5:53:de:21:c8:9c:56:d7:f8:64:ba:6e:4a:38:d6:30:9b:88:89:57:62:d3:6e:ad:b4:9b:ce:c9:15:9e:4b:e1:29:3f:52:34:fa:32:bb:7b:e9:69:55:80:e5:35:78:79:f5:29:7d:2a:ab:35:8c:6f:e3:22:c8:fc:ac:19:32:15:83:21:de:2c:e4:0e:ca:a4:ba:db:ce:9a:65:28:c5:dd:72:2d

Exponent: 65537 (0x10001)X509v3 extensions:

X509v3 Key Usage:Digital Signature, Key EnciphermentX509v3 Private Key Usage Period:Not Before: Sep 22 10:50:19 2003 GMT, Not After: Oct 28 15:20:19 2005 GMTX509v3 Extended Key Usage:TLS Web Client Authentication, Microsoft SmartcardloginAuthority Information Access:CA Issuers - URI:http://serverca/ca.cer

X509v3 Subject Alternative Name:othername:<unsupported>

Entrust verze 7 – nonRep pár

• Nepopiratelnost odpovědnosti• Specifická akce stvrzena elektronickým podpisem

dedikovaným páremkeyusage=2.5.29.15,n,m,BitString,01; define qcstatements extension with RFC 3039 OID; id-qcs-pkix-QCSSyntax-v1 (1.3.6.1.5.5.7.11.1);qcstatements=1.3.6.1.5.5.7.1.3,n,m,DER,300C300A06082B06010505070B0

1; define qcstatements extension with ETSI OID; id-etsi-qcs-QcCompliance (0.4.0.1862.1.1)qcstatements=1.3.6.1.5.5.7.1.3,n,m,DER,300A3008060604008E460101

Entrust verze 7 – EFS pár

MS CAPI

EPF

PrivátníEFS

VeřejnýEFS

Symetrickýšifrovací

Soubor

UživatelŠifrování

RND

Šifrování

Šifrování

Operační System

Dešifrování

Správa klíčů - finanční náročnost

NÁKLADY ENTRUST CA ŘEŠENÍ

Ztráta profilu s klíči, zapomenutí hesla

Profile recovery – 1 minuta administrátora, z pohledu uživatele 30 sec. zadaní ID

Nepřístupnost zašifrované dokumentace, nový proces registrace a výdeje certifikátu

Vypršení platnosti klíčů Automaticky ošetřeno Činnost administrátora i uživatele - podle řešení 5 až 10 minut

Licence Fixní Podle počtu vydaných certifikátů

Aplikační synchronizace Automatická - Jednotný uživatelský profil

Manuálně prostřednictvím přenosových formátů (PKCS#12) - Nejednotnost úložišť -> Náklady na další identity

Archivace verifikačních certifikátů

Automatická Speciální proces a dedikovaná infrastruktura

Migrace uživatelů, organizační změny, změny DN

Administrátor podle počtu 1min. až doba zpracování dávky. Uživatel 0

Pro jednotlivce řádově 10-ky minut administrace a uživatelovo aktivity. Hromadně => nová infratsruktura

Entrust - generované certifikáty

• Web certifikáty• Email - S/MIME certifikáty• Code signing crtifikáty• IPSec zařízení• EFS• Autentizační a SmardCard Login• SET certifikáty

• WAP - WTLS

• Timestamping

• Atributní certifikáty

• Certifikáty politik

• Flexible Certificate Specification

Entrust - kryptografické metody

•Symetrické šifry:DES, 3DES, CAST 128, IDEA, RC2

•Asymetrická kryptografie:RSA až 6144bDSA až 1024ECDSA 192b

•HASH algoritmyMD5, SHA-1

•Podpora kryptografického HW.

Entrust - podporované standardyKryptografické algoritmy a standardy ŠifrováníDES (U.S. Data Encryption Standard) podle U.S. FIPS PUB 46-2 a ANSI X3.92.

CAST bloková šifra podle RFC 2144Triple-DES podle ANSI X9.52.

RC2 podle Internet Draft: „A Description of the RC2(r) Encryption Algorithm“, R. Rivest, 06/24/1997.DES, CAST, RC2 a Triple-DES šifrování s užitím CBC operačního režimu podle U.S. FIPS PUB 81, ANSIX3.106 a ISO/IEC 10116.

Digitální podpisyRSA standard pro digitální podpisy podle PKCS#1.DSA podle Digital Signature Standard, U.S. FIPS PUB 186 a ANSI X9.30 (Part 1)

Hashovací funkceSHA-1 podle U.S. FIPS PUB 180-1 a ANSI X9.30 (Part 2).MD5 Message-Digest algoritmus podle RFC 1321.

Správa klíčůRSA standard pro přenos klíčů podle RFC 1421 a 1423 (PEM) a PKCS#1.(Entrust/Session Toolkit) Diffie-Hellman protokol pro výměnu klíčů podle PKCS#3.

(Entrust/Session Toolkit) autentizace a výměna klíčů podle ISO/IEC 9798-3 a US FIPS PUB 196.

Entrust - podporované standardy

Integrita pomocí symetrických technikMessage Authentication Code (MAC) podle U.S. FIPS PUB 113, ANSI X9.9, a X9.19.

Generace pseudonáhodných číselPodle ANSI X9.17 (Appendix C)

Datové formáty a protokoly Formáty certifikátů a CRLCertifikáty a extenze certifikátů verze 3 podle ITU-T doporučení X.509 (1997) a všeobecného standarduISO/IEC 9594-8 (1997).CRL (Certificate Revocation Lists) a extenze CRL verze 2 podle ITU-T doporučení X.509 (1997) avšeobecného standardu ISO/IEC 9594-8 (1997).

Extenze certifikátů a CRL podle specifikace profilů IETF PKIX-1.Extenze certifikátů a CRL podle specifikace SET 1.0.

Profily certifikátů a CRL podle de-facto standardů pro web browsery a servery.RSA identifikátory algoritmů a formátů veřejných klíčů podle RFC 1422 a 1423 (PEM) a PKCS#1.

Formát obálek souborůStandardní formát obálek souborů založený na RFC 1421 (PEM).Bezpečné obálkování souborů podle PKCS#7 a S/MIME.

Entrust - podporované standardy

Formát bezpečných relací (Secure Session Format)On-line GSS-API mechanismus implementace veřejných klíčů užitím Simple Public Key Mechanism(SPKM) podle RFC 2025 a SPKM autentizace entit podle FIPS 196.

Protokoly adresářových služebLDAP (Lightweight Directory Access Protocol, verze2 a 3) podle RFC 1777.

PKI operační protokol podle PKIX-2.Kompatibilita s adresářovým službami typu X.500 s podporou Directory Access Protocol (DAP) a DirectorySystem Protocol (DSP) podle ITU-T X-500 (1993) a všeobecného standardu ISO/IEC 9594.

Ukládání klíčůUkládání soukromých klíčů založené na PKCS#5 a PKCS#8.

Protokol pro správu klientůSecure Exchange Protocol (SEP), založený na Generic Upper Layers Security (GULS) standardech: ITU-Tdoporučení X.830, X.831, X.832 a ISO/IEC 11586-1, 11586-2, 11586-3.Protokoly pro správu certifikátů podle PKIX-CMP (dříve PKIX-3).Protokol pro žádost o certifikát podporující běžné web browsery podlePKCS#10.

Entrust - podporované standardy

Aplikační programátorská rozhraní (APIs)Entrust/Session API s vysokou úrovní bezpečnosti podle Internet Generic Security Services API (GSS-API)RFC 1508 a 1509.API pro vysokou bezpečnost store-and-forward operací založené na Independent Data Unit Protection GSS-API (IDUP-GSS-API) Internet Draft, draft-ietf-cat-idup-gss-08.txt.PKCS#11 (CRYPTOKI) hardwarové kryptografické rozhraní podporují běžné hardwarové tokeny. PodporaFIPS 140-1 Level 2 a tzv . vyšší implementace kryptografického modulu.

A další ;-)

Datový repositář

• Libovolný LDAP v2 nebo v3 kompatibilní • Implementace protokolu X.500 - široká škála

schémat, možnost vytváření struktur a vazeb DSA na celosvětové úrovni, není jen úložiště certifikátu, dokáže popsat celou organizaci

• Odladěno s OpenLDAP, Oracle internet directory,Novell EDir, Control Data directory,MS AD …

• Standardně dodávané s CriticalPath ( bývalé i500)

Datový repositář

• Adresářový repositář by měl oproti CA vysoce dostupný(X.500- replikační mechanismy ...)

Platformní pokrytí

• Win NT, Win 2000,Win XP, Win 95, Win 98• HP-UX • Solaris• AIX • Tru64

Entrust/WEBConnector

•Vydávání Web certifikátů:•uživatelské•serverové•code signing

•Jednotná mgmt. Konzole•Levnější licenční podmínky na vydaný certifikát

Entrust/Verification server

•Tři základní funkce:•Ochrana integrity dokumentu „On Demand“•Timestamping•Verifikace klíčů

Entrust/Verification server

•Timestamping

Entrust/Verification server

•Podpisová služba•RFC 2630, Cryptographic Message Syntax,•XML

Entrust/Verification server

•XKMS validační služba•XML Key Management Specification – XKMS

Entrust/Roaming server

Roaming (Profile) Server

Java(TruePass) AplikacedSAEPF

TLS/SSL

GSS/DH

Entrust/AutoRA

Aplikační vývoj• Aplikační vývoj vhodným API - GSSAPI

=> přenositelnost zdrojového kódu• Entrust Session toolkit• Entrust File toolkit• Entrust IPSec negotiator toolkit• Entrust Java toolkit• Entrust RA toolkit• Entrust Admin toolkit

Entrust/Entelligence

Entrust/Entelligence

•Integrace s uživatelským desktopem

•Transparentní šifrování a podepisování

•Správa uživatelského profilu

•Address book pro Off-line režim

•Možnost command line interface

Entrust/ICE

•Transparentní šifrování souborů v označeném adresáři•Možnost store and forward mechanismu•Plná vazba na PKI infratsrukturu

Entrust/Direct

•Zabezpečení HTTP komunikace client - server•Silná kryptografie až 2048 b.•Vazba na CRL•3 fázové potvrzení nepopiratelnosti odpovědnosti•Možnost dávkového zpracovávání dat•Přímá podpora elektronických formulářů•Zatunelování do standardního HTTP•Centrální zpráva bezpečnosti pro browsery•Automatický mgmt. Klíčů•Jednotný profil

Entrust/Express

•Transparentní podpora pro S/MIME•Možnost využití dalších vlastností dané řešení entrust, zachování šifrované pošty, šifrování důvěrných původně nešifrovaných mailů•Vazba na Key mgmt.•Vazba na bezpečnostní politiku•Vazba na CRL

Entrust/Sign On

•Systémový a aplikační SSO•Možnost vazby na čipové karty nebo biometriku•Jednotné prosazení bezpečnostní politiky již při přihlašování

Entrust/Entelligence - CAPI

Aplikace

Entrust – MS CAPI integrace

Entrust – GSSAPI aplikace•SAP

•SNC•SSF

•FTP•SSH

Entrust - vedoucí postavení na trhu

“... the big gorilla in PKI software revenues was clearly Entrust Technologies. With 34.6% of the overall market and 46.08% of the product market, the company is clearly a force to be

reckoned with ...”-- IDC’s Internet Security

Baltimore13.0%

GTE7.5%

Xcert2.9%

Other6.8%

Security Dynamics10.3%

Netscape8.6%

Microsoft4.9%

Entrust46.08%