Část II. PKI . Poskytovatelé certifikačních služeb . Nové směry v problematice

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

1

ELEKTRONICKÝ PODPIS –využití v bankovnictví

(jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000)

Část II.PKI. Poskytovatelé certifikačních služeb.

Nové směry v problematiceIng. Jaroslav Pinkava, CSc.

AEC spol. s r.o. Norman Czech Republic


2

Úvod

Význam PKI technologií Praxe elektronických podpisů – typy

poskytovatelů certifikačních služeb


3

Komunikační prostředky na bázi počítačových technologií Počítačové sítě LAN, VPN,...

INTERNET


4

Ekonomické přínosy

Čas, rychlost, včasnost Informovanost Kvalita řízení,...

Redukce nákladů a rozpočtů – růst efektivnosti,

zisku


5

Toky dat a jejich regulace

Vlastnosti konkrétních přenosových sítí – propustnost, rychlost, spolehlivost, adresace, formáty dat, atd. (kriterium: funkčnost a efektivnost přenosu dat, resp. archivace, zpracování,...)

Volba vhodných regulačních pravidel


6

Informační dálnice

Má také své objíždky, tunely, někde potřebuje speciální povolení k vjezdu, s křehkým zbožím musíte jet opatrněji, atd...


7

Bezpečnost informací

Ochrana obsahu, původu, nezměnitelnosti,... (kriterium: bezpečnost přenosu dat, resp. archivace, zpracování,...)

Volba vhodných regulačních pravidel: metod práce, postupů, ale i zákazů, omezení, atd.


8

Cíle informační bezpečnosti

Utajení Integrita dat Identifikace a autentizace Podpis Autorizace Ověření Kontrola přístupu Svědectví Přijetí (zprávy) Schválení Vlastnictví Odvolání (revokace)

Zúčastněné strany musí mít jistotu, že určité cíle spojené s informační bezpečnosti jsou naplněny


9

PKI – Co je to?

Komplexní název pro celou řadu činnosti (v nejjednodušší podobě je to publikování veřejných klíčů asym. kryptografie)

Cíl PKI – ustavit a ošetřovat důvěryhodné prostředí v síti

Prostředky PKI – služby řídící práci s klíči a digitálními certifikáty => šifrování, digitální podpisy


10

PKI – Public Key Infrastructure

Asymetrická kryptografie (kryptografie s veřejným klíčem)

Dvojice klíčů: veřejný a soukromý Hashovací funkce Symetrická kryptografie

(tajný klíč)


11

Komponenty PKI

Registrační autorita (RA) Certifikační autorita (CA) Řízení práce s digitálními certifikáty Adresáře (databáze certifikátů) Certifikační politika a certifikační prováděcí

směrnice (CPS) Navazující aplikace Celá řada dalších pojmů


12

Podoba digitálního certifikátu

ITU X.509 v.3 Certifikát (příklad) Subject – AEC-Distinguish Name Issuer – AEC-Distinguish Name PublicKey: Identifikátor algoritmu + parametry vlastní PublicKey Seriové číslo Platnost od-do Extensions (volitelné položky) Podpis:


13

Podoba digitálního certifikátu

Extensions (volitelné položky): KeyUssage (vždy) ExtendedKeyUssage (jen u FullCert) AltEmailAddresses (podle požadavku vlastníka) Subject KeyId (volitelná strategie) Issuer KeyId (volitelná strategie) IsCA + PathLength (jen u CA-certifikátu) AEC-Extensions: (jen u FullCerts) Policies (kvalita ověření identity) Services (jako atributový certifikát) RegAuthorityId (RaName, RaNumber, Class) CrlDistribuční bod (jen u FullCerts)


14

Práce s digitálními certifikáty

Dokumenty (normy): IETF RFC 2459 (Certificate and CRL Profile)

pkix-crmf (Certificate Request Message Format)

pkix-ipki-part4 (Certificate Policy and Certificate Practices Framework)

pkix-ldapv2(3)-schema LDAPv2(3)

pkix-ipki3cmp (Certificate Mangement protocol)

a další...


15

Certifikační autorita

Zodpovídá za spolehlivost práce s digitálními certifikáty

Uživatelé PKI musí být registrováni z hlediska své totožnosti, aby ostatní mohli této totožnosti důvěřovat

CA pracuje v PKI jako důvěryhodný agent Podpis CA na DC


16

Nepopiratelnost

Dvě dvojice klíčů (protichůdnost požadavků):

První konstruována tak, aby umožnila zálohování a obnovu

Druhá dvojice – pro nepopiratelnost podpisu nemůže být samozřejmě soukromý klíč zálohován


17

Sklad certifikátů

Mechanismus LDAP Obsahuje aktuální digitální certifikáty a

CRL (Certificate Revocation List) – seznam odvolaných certifikátů


18

Řízení práce s dig. certifikáty

Žádost o certifikát (příjem – RA, ověření totožnosti, zpracování)

Odvolání certifikátu, zveřejnění adekvátních informací


19

Křížová certifikace CA

Cross-certification Bilaterální – bezpečná výměna veřejných

klíčů dvou CA Porovnání certifikačních politik RFC2527


20


21

Praxe elektronických podpisů a PKI

Rodící se problematika Počátky nové éry e-obchod, e-government, e-bankovnictví,

e-...


22

Elektronický podpis není podpis

Bruce Schneier: Why Digital Signatures Are Not Signatures , Crypto-Gram 11/2000.

Podstata dig.podpisu

Já a můj počítač nejsme jedno a totéž

Důvěryhodný počítač s důvěryhodným softwarem

Zajímavý je tedy právní aspekt – je třeba prokazovat úmysl podepsat


23

Kriteria pro kvalitu PKI

Flexibilita, interoperabilita řešení Bezpečnost CA/RA Snadnost použití (user friendly) Snadnost úprav vzhledem např. k změnám

počtu uživatelů, konfiguracím atd. Podpora bezpečnostní politiky organizace


24

Problémy k řešení

Legislativa Normy Evaluace a certifikace podpisových

prostředků Připravenost uživatelské sféry Implementace PKI


25

Typy poskytovatelů certifikačních služeb

Pojem poskytovatele certifikačních služeb (Směrnice EU): rozumíme tím entitu nebo právnickou či fyzickou osobu, která vydává certifikáty nebo poskytuje jiné služby spojené s elektronickými podpisy;


26

Typy poskytovatelů certifikačních služeb

Základním je certifikační autorita, další typy poskytovatelů zahrnují obvykle bezprostředně navazující činnosti (registrace uživatelů, správa certifikátů, archivace, atd.). Konečně sem patří typy poskytovatelů určitým způsobem rozšiřující základní služby certifikačních autorit. Jsou to např. časové autority, atributové autority, notářské autority, atd.).


27

Archivační autorita

zatím málo frekventovaný pojem. Archivační autority, jak již název říká, budou mít za úkol archivovat související elektronické dokumenty pro dlouhá období. Toto souvisí např. s právě vydanou evropskou normou pro formáty elektronických podpisů (Electronic Signature Formats, May 2000) – viz dále.


28

Atributová autorita

entita, která vydává tzv. atributové certifikáty.

Atributový certifikát je vlastně digitálně podepsaná množina atributů. Atributový certifikát má strukturu obdobnou jeako certifikát veřejného klíče, hlavním rozdílem je to, že AC neobsahuje žádný veřejný klíč.


29


je často výhodnější umístit autorizující informace do odděleného certifikátu

AC může obsahovat atributy které se týkají např. členství v určité skupině, ohledně role uživatele, bezpečnostních prověření resp. dalších informací vztahujících se ke kontrole přístupu.


30


V praxi je potom často třeba souběžně použít oba certifikáty, tj. jak CVK tak i AC. Je totiž třeba ověřit, zda příslušným vlastníkem AC je skutečně osoba, která dává požadavek na přístup.

CVK je něco jako digitální průkaz totožnosti, identifikuje jeho držitele a platí dlouhou dobu, není jednoduché tento průkaz získat. Naproti tomu AC je něco jako vstupní vizum, obvykle ho vydává jiná autorita a neplatí po tak dlouhou dobu.


31

Notářská autorita

Důvěryhodná třetí strana, která verifikuje správnost určitých specifických dat ji poskytnutých. Provádí notářskou službu v tom smyslu, že vytváří nepopiratelný důkaz o platnosti a správnosti tvrzení entity, že je vlastníkem určitých dat, o platnosti a statutu (z hlediska revokace) digitálního certifikátu entity, resp. o platnosti a správnosti jiného podpisu entity.


32

Autorita časových značek

služba, která umožňuje umístit prokazatelně v čase existenci digitálního dokumentu, tvoří tedy složku služeb prováděných s cílem zajistit nepopiratelnost. Požadavky, které jsou s tímto cílem zasílány důvěryhodné třetí straně přichází v určitém specifikovaném formátu, který je již definován příslušnými mezinárodními normami.


33

Autorita časových značek

AČR tedy vytváří prostředek sloužící k důkazu existence v určitém časovém okamžiku. To lze použít např. k ověření zda digitální podpis provedený k určité zprávě byl vytvořen předtím než odpovídající certifikát byl odvolán a tedy lze i odvolaný certifikát veřejného klíče použít k ověření příslušného elektronického podpisu. AČR také může indikovat časový moment ve kterém byl doručen určitý dokument Lze takto také např. dokumentovat, kdy proběhla určitá transakce


34

Autorita časových značek-požadavky1. Musí používat důvěryhodný časový zdroj.2. Musí vložit důvěryhodnou hodnotu času

do každého časového razítka.3. Každé nově časové razítko musí v sobě

obsahovat monotónně rostoucí celé číslo.4. Časové razítko musí být vytvořeno ihned

po obdržení příslušného požadavku, jakmile to lze.


35

Autorita časových značek -požadavky5. V každém časovém razítku musí být obsažen

identifikátor, který jednoznačně určuje bezpečnostní politiku, na jejímž základě bylo příslušné časové razítko vytvářeno.

6. Časové razítko se vytváří pouze pro otisk časového momentu (hash)

7. Ověřit typ použité hashovací funkce a ověřit, že délka hashe odpovídá příslušnému algoritmu.

8. Neověřovat zaslaný otisk jiným způsobem (než ověření jeho délky).


36

Autorita časových značek -požadavky9. Nevkládat libovolný identifikační znak entity,

která zaslala požadavek, do časové značky.10. Podepisovat každou časovou značku klíčem, který

byl vygenerován výlučně pro tyto účely a vyznačit tuto vlastnost na certifikátu příslučného klíče.

11. Vložit další informace do časové značky, pokud to obsahuje příslušný požadavek, využít k tomu příslušná rozšíření (tato rozšíření musí být samozřejmě podporována příslušnou AČR, v opačném případě je výstupem hlášená chyba).


37

Obsah činnosti AČR:

a) žádající entita zasílá příslušný požadavek na AČR (TimeStampReq).

b) AČR zasílá příslušnou odpověď (TimeStampResp)

Po obdržení odpovědi žádající entita ověří chybový stav odpovědi a ověří různá pole v časové značce a samozřejmě také platnost digitálního podpisu této časové značky. Speciálně musí také ověřit, že to co bylo časově „označkováno“ odpovídá tomu co bylo s tímto požadavkem zasláno.


38

Formáty elektronických podpisů

Basic Electronic Signature (BES), tato forma zahrnuje digitální podpis a případnou další informaci, kterou poskytla podepisující osoba.

Partial Electronic Signature (PES), tato forma přidává časovou značku a další informace (např. Certifikáty) k BES, tak aby byly učiněny výchozí kroky k dlouhodobé platnosti podpisu


39

Formáty elektronických podpisů

Complete Electronic Signature (CES), tato přidává k PES kompletní sadu dat, která podporují platnost elektronického podpisu (např. informaci, která se dotýká případného zneplatnění všech použitých certifikátů).


40

Praxe CA

Verisign, Thawte, Xcert Globalsign ČR: I.CA, Trustcert (AEC), KPNQuest


41

Dokumenty CA

Certifikační politika Certifikační prováděcí směrnice Rfc.2527


42

Významné světové firmy

RSA Security Inc. BSAFE – nástroje pro šifrování KEON – řešení pro e-business

Entrust Technologies Entrust PKI (v.5.0)

Baltimore Unicert PKI


43

Norman Security Suite

Původní řešení české firmy AEC spol. s r.o. Nyní prodáváno ve světě (norská firma

Norman ASA, akvizice vývojové části AEC)


44


základní vlastnosti, slouží k ochraně

-elektronické pošty-informací a dat přenášených po Internetu-proti přístupu neoprávněných osob do počítače-dat uložených na počítači, serveru či notebooku-elektronického převodu peněz-elektronického nákupu nebo prodeje-soukromých sítí vytvořených na veřejné počítačové síti


45


Modulární řešení, rozhraní C-PKI -Kryptografické jádro C-PKI (moduly pro centrální správu

klíčového hospodářství a pro správu celého systému NSS)-Protection (moduly určené pro zabezpečení dat uložených v rámci LAN / WAN sítí, na pracovních stanicích nebo noteboocích)-Communication (moduly určené pro zabezpečení komunikace mezi jednotlivými počítači v síti nebo mezi sítěmi, ať už se jedná o elektronickou poštu, přenos souborů nebo vzdálený přístup k serverům, připojení k Internetu nebo vytvoření VPN (virtuálních privátních sítí, Virtual Private Network).


46

Dotazy, upřesnění

?

Date post:	13-Jan-2016
Category:	Documents
Upload:	kurt
View:	36 times
Download:	9 times

Část II. PKI . Poskytovatelé certifikačních služeb . Nové směry v problematice

Documents