Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 1 ELEKTRONICKÝ PODPIS – využití v bankovnictví (jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000) Část III. Normy k problematice el. podpisu. Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o. Norman Czech Republic
2
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 2 Úvod 4 Nezbytnost používání norem 4 Existuje dnes již rozsáhlý systém norem: Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik. http://www.uoou.cz/normy.html
3
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 3 Členění norem 1) dle cesty, jakým byly tyto normy vydány, tj. fakticky dle vydávající strany. 2) dle jejich konkrétního obsahového zaměření,
4
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 4 Mezinárodní součinnost 4 El.podpisy vzniklé v jedné zemi musí být platné i v jiných zemích 4 Nezbytnost jednotného přístupu 4 - digitální podpisy – formáty 4 - digitální certifikáty
5
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 5 Některé důležitější normy Normy ETSI a CEN/ESSI navazující na Směrnici EU o el.podpisu 4 práce skupiny P1363 4 ISO, ANSI, FIPS NIST, IETF,... 4 Evropa – nejnověji iniciativa NESSIE
6
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 6 Závěrečná zpráva EESSI 4 cílem dokumentu je analýza budoucích potřeb v oblasti standardizace na podporu Evropské Směrnice pro elektronický podpis. 4 Zpracován v červenci 1999
7
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 7 Závěry dokumentu EESSI 1) převzetí resp. vývoj průmyslových norem by mělo maximálně zmenšit potřebu detailizace zákonů a vyhlášek v dané oblasti; 2) normy jsou nezbytně nutné a všude, kde je to možné, je třeba preferovat odkazy na existující mezinárodní normy před vývojem nových norem; 3) požadavky v oblasti norem jsou dvojího druhu: kvalitativní a procedurální normy týkající se informační bezpečnosti a technické normy vzhledem k interoperabilitě produktů; 4) podepisovací prostředky (produkty), pokud vyhovují požadavkům Direktivy, musí projít příslušným hodnocením (shoda produktu) a certifikací akreditovanou institucí pod EN 45000 (Evropské akreditační schéma);
8
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 8 Závěry dokumentu EESSI 5) je třeba vytvořit společný referenční bod na základě definice výchozí množiny technologických komponent, který bude tvořit technický rámec pro ověřování kvalifikovaných elektronických podpisů využívajících asymetrickou kryptografii a digitální certifikáty; 6) vzhledem k poskytovatelům certifikačních služeb je třeba použít vhodné bezpečnostní normy: 4 - obecné zásady v oblasti bezpečnosti (např. BS7799 č. 1 a č. 2), 4 - specifikace bezpečnostních požadavků vzhledem k důvěryhodným systémům, které tito poskytovatelé používají; první požadavky v této oblasti se týkají především kryptografických modulů (např. FIPS 140-1) a využití rizikové analýzy, 4 - výchozí certifikační politika pro poskytovatele certifikačních služeb – je doporučováno vyjít z materiálu IETF PKIX – rfc. 2527, 4 - obdobně pro poskytovatele služeb v oblasti časových razítek je třeba provést specifikaci požadavků vzhledem k jejich politice;
9
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 9 Závěry dokumentu EESSI 7) vzhledem k produktům sloužícím k vytváření podpisů a jejich ověřování je třeba mít k dispozici následující příslušné normy: 4 - specifikace bezpečnostních požadavků vzhledem k důvěryhodným hardwarovým zařízením, která jsou použita jako bezpečná zařízení pro vytváření podpisů (FIPS 140-1, Common Criteria – ISO 15408), 4 - specifikace pro vytváření elektronických podpisů (včetně uživatelova interface) a specifikace produktů a postupů k ověřování podpisů; 8) je nezbytná koordinace jednotlivých aktivit v oblasti norem; 9) z hlediska interoperability jsou nezbytné následující normy: 4 - technické normy pro syntaxi a kódování elektronických podpisů (včetně vícenásobných podpisů); je doporučováno vyjít z rfc.2315, 4 - operativní protokoly pro řízení PKI (rfc skupiny PKIX), 4 - profily kvalifikovaných certifikátů na bázi X.509.
10
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 10 EESSI SG EESSI: European Electronic Signature Standardization Initiative European Telecommunications Standards Institute
11
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 11 EESSI –Přehled norem Proces a prostředí pro vytváření podpisů Proces a prostředí pro ověření podpisů Formáty a syntaxe podpisů Zařízení na vytváření podpisů Požadavky na PCS Spolehlivý systém Poskytovatel certifikačních služeb Uživatel- podpis.strana Ověřující strana CEN E-SIGN ETSI ESI Kvalifikovaný certifikát Časové značky
12
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 12 ETSI Požadavky na politiku PCS vydávajících kvalifikované certifikáty; Profil kvalifikovaných certifikátů; Profil časových značek; Formáty elektronických podpisů.
13
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 13 Požadavky na politiku PCS vydávajících kvalifikované certifikáty 4 Obsahuje úvodní paragrafy (definice základních pojmů a jejich souvislosti) – 4 úvod do politiky kvalifikovaných certifikátů 4 Povinnosti a závazky 4 Požadavky pro praktickou činnost PCS vydávajících kvalifikované certifikáty (např. CPS, životnost klíčů, certifikátů, management certifikátů, bezepečnostní aspekty, atd.)
14
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 14 Profily kvalifikovaných certifikátů - norma vychází z draftu skupiny IETF PKIX, certifikát je označen jako QC buď v identifikátoru politiky či v příslušném QC rozšíření (extension): Certifikát je vydáván jako QC Je omezena hodnota transakce pro kterou je certifikát vydán Je definováno období, po které je informace o registraci certifikátu uchovávána
15
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 15 Profil časových značek 4 Jaké algoritmy a s jakými parametry mají být podporovány 4 V zásadě odkaz na : draft-ietf-pkix-time-stamp-12.txt
16
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 16 Formáty elektronických podpisů 4 ETSI TS 101 733
17
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 17
18
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 18
19
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 19 CEN\ISSS Bezpečnostní požadavky na důvěryhodné systémy PCS, kteří vydávají kvalifikované certifikáty Bezpečnostní požadavky na zařízení pro vytváření el. podpisu; Uživatelský interface a operační prostředí při vytváření elektronického podpisu Požadavky na verifikaci el. podpisu Příručka k ověřování shody prostředků pro el. podpis a navazujících služeb
20
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 20 Non-Public or Extended Policies Public Use with SSCD Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Lower LevelQualified Level Higher Level Lower Level Qualified Level EESSI Standard Qualified Certificate Policy Electronic Signature Format Qualified Certificate Format Time-stamping Protocol Security Requirements for Trustworthy Systems SSCD Qualified Certificate Profile Time Stamping Profile Option Within Standard Qualified Electronic Signature with Long-term Validity
21
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 21 Non-Public or Extended Policies Public Use with SSCD Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Lower Level Qualified LevelHigher Level Lower Level Qualified Level EESSI Standard Qualified Certificate Policy Electronic Signature Format Qualified Certificate Format Time-stamping Protocol Security Requirements for Trustworthy Systems SSCD Qualified Certificate Profile Profile from IETF Timestamp Protocol Option Within Standard Electronic Signature Using Qualified Certificate
22
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 22 Non-Public or Extended Policies Public Use with SSCD Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Lower Level Qualified Level Higher Level Lower Level Qualified Level EESSI Standard Qualified Certificate Policy Electronic Signature Format Qualified Certificate Format Time-stamping Protocol Security Requirements for Trustworthy Systems SSCD Qualified Certificate Profile Time Stamping Profile Option Within Standard Qualified Electronic Signature
23
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 23 Zdroj Prezentace György Endersz, Telia Research AB, Sweden Chairman ETSI ESI Working Group: European Electronic Signature Standardisation Initiative (Barcelona September 2000)
24
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 24 Odkazy 4 ETSI: http://www.etsi.org/sec/el-sign.htm Sign up from Web-site to open El Sign mailing list 4 CEN: http://www.cenorm.be/isss/workshop/e-sign 4 EESSI: http://www.ict.etsi.org/eessi/EESSI- homepage.htm ISSE Conference & Workshops: http://www.eema.org/isse
25
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 25 Nová evropská iniciativa v oblasti kryptografie 4 NESSIE (New European Schemes for Signature, Integrity, and Encryption) 4 http://cryptonessie.org http://cryptonessie.org
26
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 26 NESSIE 4 „Portfolio“ tzv. kryptografických primitivů 4 Podstatně širší než obdobný projekt AES 4 Navazuje na již získané výsledky v rámci evropských struktur
27
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 27 NESSIE 1. Blokové šifry 2. Synchronní proudové šifry 3. Samosynchronizující se proudové šifry 4. Autentizační kódy zpráv (MAC) 5. Hashovací funkce rezistantní vůči kolizím 6. Jednosměrné hashovací funkce 7. Pseudonáhodné funkce 8. Asymetrická schémata pro šifrování 9. Asymetrická schémata pro digitální podpis 10. Asymetrická schémata pro identifikaci
28
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 28 NESSIE 4 dvě bezpečnostní úrovně (normální a vysoká), 4 Blokové šifry: bloky textu 128 bitů, délky klíčů minimálně 256 bitů (vysoká bezpečnost), resp. minimálně 128 bitů (normální bezpečnost) 4 v září 2000, mají být odevzdány výchozí návrhy, 1.konference – listopad 2000
29
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 29 Normy v bankovnictví - ECBS 4 European Committee for Banking Standards: BIOMETRICS: TR 400 SECURE BANKING OVER THE INTERNET: TR 401, March 1997 obsahuje obecná bezpečnostní východiska, popis SET, velice stručně úvod k PKI CERTIFICATION AUTHORITIES: TR 402, December 1997 4 (update October 1999). 4
30
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 30 Normy v bankovnictví - ECBS 4 European Committee for Banking Standards: Key Recovery in Financial Systems, TR 405, June 1998 východiska ??(v legislativě – příklad postoje Anglie 4 GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, September 1999
31
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 31 BIOMETRICS: TR 400 (1996) 8.1Physical Biometrics 4 8.1.1Fingerprint verification 4 8.1.2Retina scanning(sken sítnice) 4 8.1.3Iris Scan6 (sken oční duhovky) 4 8.1.4Facial Recognition 4 8.1.5Hand geometry 4 8.1.6Vein Patterns 4 8.2Behavioural Biometrics 4 8.2.1Voice verification8 4 8.2.2Signature dynamics 4 8.2.3Keystroke dynamics 4 9.Usage
32
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 32 BIOMETRICS: TR 400 (1996) 4 Obsahuje tedy v zásadě určitý přehled problematiky (ovšem vývoj v této oblasti je rychlý) 4 Dále obsahuje určitá základní doporučení k používaná těchto metod (např. pro výběr biom. metody: sociální akceptovatelnost, snadnost manipulace, bezpečnost, náklady)
33
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 33 SECURE BANKING OVER THE INTERNET: TR 401, March 1997 4 Tento dokument lze rovněž těžko nazvat normou,jeho cílem je spíše provést přehled metod pro zabezepečení dat (na internetu) 4 - přehled možných útoků, vlastnosti firewallů, protokoly (SSL,S-HTTP, TSL,...), zabezpečení mailů, včlenění finančních dokumentů, el. obchod (SET, Homebanking) a jen velmi stručně k PKI
34
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 34 CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999). 4 Vzhledem k úpravám respektujícím současné trendy již první modernější dokument 4 Obsahově pokrývá oblasti, o kterých bylo v dnešních přednáškách již hovořena. Z hlediska bankovnictví jsou nesporně významná doporučení ECBS na závěr jednotlivých paragrafů
35
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 35 CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999). 4 Příloha B obsahuje přehled certifikátů používaných v bankovnictví: -X 509 certificate -ISO 11 166 certificate -UN/EDIFACT SJWG certificate -EMV certificate - EDI 5/ETEBAC 5 certificate - TELESEC certificate
36
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 36 Key Recovery in Financial Systems, TR 405 4 Norma se zabývá problematikou Key Recovery, aktuální v době vydání normy, v současné době se díky legislativám v některých zemích upouští od používaní této metody – i když nemusí to platit všeobecně (ale např. z našeho hlediska, tj. el.podpisu je uplatňována jednoznačně zásada nepopiratelnosti)
37
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 37 GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, Sept. 1999 4 Průvodce současnými algoritmy: 4 Definice 4 Implementace 4 Key management (celý životní cyklus klíčů) 4 Odvolání (revokace) certifikátů 4 Popis je opět doplněn určitými doporučeními ECBS
38
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 38 Dotazy, upřesnění ?
Podobné prezentace
