ASN.1: Cryptographic files CMS + S/MIME

Slides:



Advertisements
Podobné prezentace
Certifikáty a elektronické podpisy prakticky a jednoduše
Advertisements

Formáty pro zaručené elektronické podpisy Libor Dostálek.
SHA-2 v externí doméně CS Jan Forejt Generální řediteslví cel 12. zasedání Trade Contact Group 29. července 2010, Praha.
Elektronický podpis.
Zákon č. 22/ 1997 sb. o technických požadavcích na výrobky
NAŘÍZENÍ KOMISE (ES) č. 2042/2003 ze dne 20. listopadu 2003.
Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.
Technická normalizace v České republice 1.Tvorba českých technických norem 2.Mezinárodní spolupráce 3.Postavení českých technických norem.
M O R A V S K O S L E Z S K Ý K R A J 1 Zavedení hash algoritmů SHA - 2 V návaznosti na oznámení Ministerstva vnitra o změně v kryptografických algoritmech,
Elektronický podpis v EU a v České republice
Akreditační systém v ČR a v EU
15 let vývoje E-Governmentu v legislativě ČR Mgr. Tomáš Lechner Vysoká škola ekonomická v Praze Národohospodářská fakulta Katedra práva.
Regulační prostředí Mediální právo České republiky.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
Energetická legislativa Příprava zákona o výkupu energie z obnovitelných zdrojů a kogenerace Poděbrady 19. března 2003 Ing. Miroslav DOSTÁL Česká energetická.
Novela zákona o elektronickém podpisu Předmět úpravy novely zákona Obsah prezentace  Dosažení kompatibility se Směrnicí 1999/93/ES:  uznávání.
Integrovaná prevence a omezování znečištění (IPPC) v České republice
Úvod do klasických a moderních metod šifrování ALG082
Sekce elektronických komunikací a poštovních služeb Konference ISSS, 24. – 25. březen 2003, KC Aldis Hradec Králové Jaromír Šiška, CSc. náměstek ministra.
EPodpis v souvislostech. Certifikáty veřejného klíče kvalifikovaný certifikát (QC) -> zaručený elektronický podpis kvalifikovaný systémový certifikát.
E-Podatelna v praxi Vysočina, krajský úřad Odbor informatiky Petr Pavlinec
Business Consulting Services Internet ve státní správě a samosprávě 2003 © 2003 IBM Corporation Elektronické daňové podání Pavel Rozsypal IBM Česká republika,
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Šifrovací algoritmy EI4. DES – Data Encryption Standard  Soukromý klíč  56 bitů  Cca 7,2 x klíčů  Rozluštěn v roce 1997.
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Novelizace zákona o elektronickém podpisu – vliv na praxi Ing. Petr.
Identita Pojem virtuální identity Identifikace a elektronický podpis
Technické řešení PostSignum QCA
BIS Elektronický podpis Roman Danel VŠB – TU Ostrava.
ASN.1: Cryptographic files CMS + S/MIME Zdeněk Říha.
OBLAST VYDÁVÁNÍ POVOLENÍ. Povolování obchodu s vojenským materiálem upravuje § 6 až 13 zákona č. 38/1994 Sb. § 6 - vydává se právnické osobě se sídlem.
Hybridní kryptosystémy
Webová aplikace MS PRAHA.
David PETR, Kateřina VOISOVÁ
Podnikání na Internetu letní semestr 2004 Jana Holá IX.
Nesplněné legislativní závazky Ministerstva zdravotnictví s ohledem na členství České republiky v Evropské unii.
Webová aplikace IS KP14+ Ing. Bohumila Kubíková
Aplikace MS2014+ Portál IS KP14+.
Proces akreditace a certifikace systémů managementu a produktů.
JUDr. Václav Urban Odbor živností Tržní řády Zákonné zmocnění k vydání 11 TRŽNÍ ŘÁDY.
Návrh nařízení Evropského parlamentu a Rady o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu (eIDAS) Lucie.
Aplikace MS2014+ Portál IS KP14+.
Aplikace MS2014+ Portál IS KP14+. URL aplikace IS KP pro korektní fungování aplikace je nezbytně nutné dodržovat.
Elektronick ý podpis v Lotus Notes Josef Honc, M-COM LAN solution
WEBOVÁ APLIKACE MS2014+ Praha Ing. Petr Šústal, MPA.
Webová aplikace IS KP14+ Ing. Jitka Zdvíhalová Seminář pro SC 2.5 Snížení energetické náročnosti v sektoru bydlení 37.Výzva – Energetické úspory v bytových.
Informační bezpečnost VY_32_INOVACE _BEZP_17.  obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa.
Certifikace informačních systémů veřejné správy (ISVS) ve smyslu zákona č. 365/2000 Sb. - atest-
Elektronický podpis a podepisování při přeshraničním styku Odbor koncepce a koordinace ISVS Elektronický podpis a podepisování při přeshraničním styku.
Aplikace MS2014+ Portál IS KP14+. URL aplikace IS KP pro korektní fungování aplikace je nezbytně nutné dodržovat.
Elektronické podávání v rámci daňového řízení; dopady nařízení eIDAS 9
Aplikace Monitorovací systém
Prokazování shody, certifikace
Ing. Martin Kořínek eGoncentrum ORP Nový Bydžov
Osvědčení o bezpečnosti provozovatele dráhy a osvědčení dopravce
Praha, Mgr. Ljubomir Džingozov
PVS - Elektronická podání a Úřední desky
Právní aspekty výkonu Fyzioterapie
Brno, Ing. Lenka Skopalíková
Aplikace MS2014+ Portál IS KP14+.
Aplikace Monitorovací systém
Marie Dorušková, Lenka Kmeťová
Aplikace Monitorovací systém
Praha, Mgr. Martina Brandejsová
PKI, digitální podpis vs
Důvěra v certifikáty Pavel Vondruška
Tomáš Fliegl Odbor vysokých škol
Elektronický (digitální) podpis
Aplikace MS2014+ Portál IS KP14+.
Transkript prezentace:

ASN.1: Cryptographic files CMS + S/MIME Zdeněk Říha

ASN.1 – PKCS#7 / CMS Source: RFC 5652

ASN.1 - PKCS#7 / CMS Source: RFC 5652

PKCS#7 Sample  France.p7s

ASN.1 – PKCS#8 Source: PKCS#8

S/MIME Secure email Digitally signed and/or encrypted Allows hierarchical signatures/encryptions Combines MIME (structure of email) and CMS/PKCS#7 (for data protection) For digital signatures 2 possible ways to code the signature Normal email + signature (detached) as “attachment” Transparent signature Email readable also in email clients not supporting S/MIME Everything in a single CMS/PKCS#7 Opaque signatures Email not readable in email clients not supporting S/MIME

S/MIME: Transparent signature Email headers Body as usual: text/HTML + text/plain + attachments … Signature as one of the attachments  test_smime_transparent.eml

S/MIME: Transparent signature Base64 encoded DER encoded CMS SignedData Source: RFC 5751

S/MIME: Opaque signature Email headers CMS data  test_smime_opaque.eml

S/MIME: Opaque signature Base64 encoded DER encoded CMS SignedData (includes data AND signature) Source: RFC 5751

ETSI recommendation Source: ETSI TS 102 176-1 V2.0.0 (2007-11) Recommended signature schemes Starting date: 2006

Česká republika & EU & ETSI SMĚRNICE 1999/93/EC EVROPSKÉHO PARLAMENTU A RADY ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy ČR Zákon č. 227/2000 Sb. o elektronickém podpisu Několikrát novelizován Podzákonné předpisy Nařízení vlády č. 495/2004 Sb, kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů Vyhláška č. 496/2004 Sb. k elektronickým podatelnám Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb

Česká republika & EU & ETSI Vyhláška č. 378/2006 Sb. „používá důvěryhodné systémy a postupy, které splňují požadavky standardu pro tyto systémy, který je uveden v bodu 1 přílohy č. 1 této vyhlášky“ 1. CWA 14167-1 – Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures – Part 1: System Security Requirements. „Security requirements for TWSs also include a minimum set of requirements to be fulfilled by the signature algorithms and their parameters allowed for use by CSPs. These requirements are provided in [ALGO].“ [ALGO] ETSI SR 002 176 - Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures.

Stanovisko MV ČR „V návaznosti na směrnici ES č. 1999/93/EC o zásadách Společenství pro elektronické podpisy a v ní obsažený princip vzájemného uznávání kvalifikovaných certifikátů vydaných v kterémkoliv členském státu EU je nezbytné vycházet z dokumentu ALGO paper, který stanoví, že od 1. 1. 2010 je algoritmus SHA-1 „unusable“ a je tedy nezbytné ukončit jeho používání pro oblast elektronického podpisu a zahájit přechod na bezpečnější algoritmy třídy SHA-2. Česká republika patří k těm členským státům, ve kterých je tento přechod rozložen do delšího časového období. Je však nezbytné jej realizovat, a tak zachovat důvěru uživatelů v bezpečnost elektronického podpisu.“ poskytovatelé certifikačních služeb přestanou vydávat kvalifikované certifikáty s algoritmem SHA-1 nejpozději do 31. 12. 2009, poskytovatelé certifikačních služeb zahájí vydávání kvalifikovaných certifikátů s hashovací funkcí třídy SHA-2 nejpozději 1. 1. 2010 (mohou tak však učinit kdykoliv dříve); tato změna se samozřejmě týká i vydávání kořenových certifikátů, kterými poskytovatel certifikačních služeb označuje jím vydané certifikáty, aplikace, ve kterých je elektronický podpis používán, musí podporovat nejpozději od 1. 1. 2010 všechny algoritmy třídy SHA-2, podpora algoritmu SHA-1 musí být v aplikacích zachována minimálně do 31.12.2010 Zdroj: MV ČR

Dohoda českých akreditovaných CA „Kvalifikované certifikáty s hashovací funkcí třídy SHA-2, které začnou vydávat nejpozději od 1. ledna 2010, budou všichni tři poskytovatelé přednostně nabízet s hashovací funkcí SHA-256 v kombinaci s algoritmem RSA s délkou klíče 2048 bitů. Poskytovatel certifikačních služeb může na základě vlastního rozhodnutí a základě požadavků svých zákazníků vydávat kvalifikované certifikáty i s některou z dalších funkcí z rodiny SHA-2, tj. SHA-224, SHA-384 nebo SHA-512.“ Ministerstvo vnitra nemá námitek proti této dohodě. Tvůrce aplikací pracujících se zaručeným elektronickým podpisem založeném na kvalifikovaném certifikátu je však nutné upozornit, že je nezbytné vytvořit prostředí pro akceptování všech čtyř hashovacích funkcí rodiny SHA-2, a to i s ohledem na akceptaci kvalifikovaných certifikátů vydaných v jiných členských státech EU Zdroj: MV ČR

Akreditované CA První certifikační autorita, a. s. Česká pošta, s. p., eIdentity a. s., Zdroj: MV ČR

Poslední změny zákona „Za elektronický podpis splňující požadavky odstavce 1 se považuje rovněž zaručený elektronický podpis založený na kvalifikovaném certifikátu vydaném poskytovatelem certifikačních služeb usazeném v některém z členských států Evropské unie, byl-li kvalifikovaný certifikát vydán v rámci služby vedené v seznamu důvěryhodných certifikačních služeb, jako služba, pro jejíž poskytování je poskytovatel certifikačních služeb akreditován, nebo jako služba, nad jejímž poskytováním je vykonáván dohled.“ Zdroj: § 11 zákona 227/2000 Sb.

Jak na to v praxi Každá země EU vydává seznam důvěryhodných certifikačních služeb TSL: Trusted Services List Ne každá země však takový seznam digitálně podepisuje … Seznam je k dispozici mimo jiné na http://tsl.gov.cz/ Řada odkazů na lidsky čitelné a strojově zpracovatelně (XML) TSL seznamy zemí EU

Seznam TSL

Služba MV ČR: CertIQ Určí, zda certifikát byl vydán jako kvalifikovaný v nějaké zemi EU