Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006.

Podobné prezentace


Prezentace na téma: "IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006."— Transkript prezentace:

1 IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006

2 IBM Global Technology Services © 2006 IBM Corporation 2 Agenda  Bezpečnostní funkce, které je možno implementovat digitálními certifikáty  Princip elektronického podpisu  Požadavky na vytvoření a ověření zaručeného el. podpisu  Zabezpečení přístupu k informacím na základě elektronického podpisu  Příklad implementace elektronických certifikátů ve státní správě

3 IBM Global Technology Services © 2006 IBM Corporation 3 Bezpečnostní funkce, které je možno implementovat digitálními certifikáty  Autentizace –pomocí digitálního certifikátu, vydaného důvěryhodnou třetí stranou (CA), prokazuje uživatel svoji totožnost při el. komunikaci s jiným uživatelem nebo aplikací (serverem)  Důvěrnost (šifrování) –autentizace certifikátem zamezuje průniku útočníka („man in the middle“) do šifrované komunikace –použití certifikátu (resp. veřejného klíče) příjemce umožňuje šifrovat zprávu pouze pro příjemce (vlastníka privátního klíče)

4 IBM Global Technology Services © 2006 IBM Corporation 4  Integrita (elektronický podpis) –použití výtahu (hash) zprávy spolu s elektronickým podpisem odesilatele umožňuje ověřit, zda zpráva nebyla po provedení el. podpisu změněna  Neodmítnutelnost odpovědnosti (elektronický podpis) –jako jediná technologie umožňuje elektronický podpis zpětně prokázat původce (držitele privátního klíče) el. podepsaného dokumentu a zajistit tak neodmítnutelnost pravosti dokumentu, resp. neodmítnutelnost provedené operace (např. v aplikaci) Bezpečnostní funkce, které je možno implementovat digitálními certifikáty

5 IBM Global Technology Services © 2006 IBM Corporation 5 Náhrada klasické formy podpisu elektronickou - zaručený elektronický podpis Vyžaduje dodržení požadavků zákona 227/2000 Sb. (novelizován zákonem č.440/2004 Sb.) a jeho prováděcích směrnic Vyžaduje archivaci dokumentů v elektronické formě, veřejných klíčů, algoritmů a pod.

6 IBM Global Technology Services © 2006 IBM Corporation 6 Elektronický podpis hash

7 IBM Global Technology Services © 2006 IBM Corporation 7 Vytvoření elektronicky podepsaného dokumentu (zaručený el. podpis)  Předpoklady –Platný kvalifikovaný el. certifikát (X.509 v. 3) od akreditovaného poskytovatele certifikačních služeb –Bezpečné uložení privátního klíče, optimálně na čipové kartě  Vytvoření zaručeného el. podpisu –Bezpečné technické prostředky pro provedení el. podpisu –důvěryhodné, pokud možno certifikované –? podepisuji, co je zobrazeno ?  Vytvoření časového razítka –On-Line přístup k „Time-Stamp Authority“ –nebo –časové razítko si nechá vygenerovat el. podatelna

8 IBM Global Technology Services © 2006 IBM Corporation 8 Ověření elektronicky podepsaného dokumentu (zaručený el. podpis) – I.  Příjem el. podepsaného dokumentu  Získání kvalifikovaného el. certifikátu odesilatele –Off-line (z podepsaného dokumentu; uložený z dřívějška) nebo –Online (přístup k adresářovým službám Akreditované CA)  Získání a ověření root certifikátu CA –získání certifikátu Akreditované CA, která vydala kvalifikovaný certifikát odesilatele –potvrzení důvěryhodnosti Akreditované CA

9 IBM Global Technology Services © 2006 IBM Corporation 9 Ověření elektronicky podepsaného dokumentu (zaručený el. podpis) – II.  Získání a ověření CRL náležejícího k certifikátu –Off-line uložený aktuální CRL (distribuce, aktualizace!) nebo –Online přístup k Akreditované CA (LDAP, WWW, OCSP)  Ověření časového razítka –získání certifikátu time-stamp autority, která vydala kvalifikovaný certifikát odesilatele –získání certifikátu nadřízené CA + potvrzení důvěryhodnosti  Dlouhodobá archivace originálního el. podepsaného dokumentu –po dobu požadavku na neodmítnutelnost odpovědnosti –archivace certifikátů, CRL, kryptografických prostředků –nutnost řešit „slábnutí“ kryptografických algoritmů –! velikost archivu !=> požadavek na úsporný formát

10 IBM Global Technology Services © 2006 IBM Corporation 10 Možnosti použití zaručeného el. podpisu  Příjem požadavků (informací) elektronickou poštou –zaručený el. podpis zprávy (! certifikát nelze použít pro šifrování)  Zadání požadavků přímo do WWW aplikace –zaručený el. podpis požadavku (formuláře) –archivace el. podepsaných formulářů  Archivační systém el. dokumentů –zaručený el. podpis archivovaných dokumentů (! dlouhodobá úschova el. certifikátů a CRL) –časová razítka

11 IBM Global Technology Services © 2006 IBM Corporation 11 Použití zaručeného el. podpisu ve veřejné správě  Zpřístupnění neveřejných informací občanům –podpis žádosti o informace kvalifikovaným certifikátem  Zasílání požadavků občanů na veřejnou správu –podpis požadavku kvalifikovaným certifikátem  Poskytování informací od občana veřejné správě –(příklad: daňová přiznání) –el. podepsanou elektronickou poštou (S/MIME) –el. podepsaným WWW formulářem –ověření platnosti certifikátu, ověření el. podpisu, dlouhodobá archivace (původní dokument s el. podpisem)

12 IBM Global Technology Services © 2006 IBM Corporation 12 Příklad použití: Implementace PKI pro státní správu  Řešení Společnost IBM vybudovala Autorizační středisko DS (Certifikační Autoritu - CA), které vydává digitální certifikáty podle standardu X.509 v. 3 pracovníkům odboru DS. Vybudování Autorizačního střediska DS zahrnovalo vypracování bezpečnostní studie, implementaci technických prostředků CA, vypracování směrnic a organizačních procedur a proškolení uživatelů. Digitální certifikáty jsou ukládány na čipové karty, které budou sloužit zároveň k identifikaci pro vstup do chráněných prostor. V rámci aplikace DS byly připraveny technické prostředky a procesy pro implementaci digitálních podpisů, takže každá kritická operace provedená v aplikaci DS může být digitálně podepsána privátním klíčem daného pracovníka. Provedené operace spolu s digitálními podpisy bude možno archivovat pro potřeby auditu.

13 IBM Global Technology Services © 2006 IBM Corporation 13 Cíle implementace autentizačních předmětů v aplikaci DS  Jednoznačná identifikace uživatelů jako fyzických osob  „Silná autentizace“ uživatele při přihlášení k systému  Opětovná autentizace před provedením silných akcí v aplikaci DS  Digitální podpis důležitých operací v databázi (nelze jej padělat, provedl buď majitel, nebo dovolil zneužití)

14 IBM Global Technology Services © 2006 IBM Corporation 14 Autentizační předmět  Čipová karta  Karta obsahuje digitální certifikát uživatele dle stand. X.509  Karta obsahuje privátní klíč –Klíč a celá karta chráněny heslem –Karta může provést digitální podpis privátním klíčem, ale klíč nevydá  Přístup do aplikací je pro konkrétní certifikát - certifikát má pracovník jen jeden, ale může používat více aplikací

15 IBM Global Technology Services © 2006 IBM Corporation Děkuji za pozornost Ing. Stanislav Bíža Senior IT Architekt, CISA


Stáhnout ppt "IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006."

Podobné prezentace


Reklamy Google