Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #1 Můstková certifikační autorita (Bridge Certification Authority) Mgr.

Slides:



Advertisements
Podobné prezentace
PLAYBOY Kalendar 2007.
Advertisements

Podpora personálních procesů v HR Vema Jaroslav Šmarda
© 2000 VEMA počítače a projektování spol. s r. o..
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
jak to funguje ? MUDr.Zdeněk Hřib
Elektronická podoba GP a ZPMZ
Elektronický podpis.
Oběh dokumentů mezi ústředními orgány státní správy k Ing. Jan Duben Vedoucí projektového týmu březen 2003.
Přednáška č. 5 Proces návrhu databáze
Diagramy případů užití.
12. září 2014 Slide N° září 2014 Slide č. 1 Sekretariát Urbact URBACT II Evropský program územní spolupráce při integrovaném a udržitelném.
Přínosy virtualizace a privátního cloudu
Technické, obchodní a právní řešení v oblasti ID karet a PKI1 Standardizace ID karet v akademickém prostředí Josef Milota Jihočeská univerzita.
EGovernment Zpracoval: Ing. Tomáš Vašica 1 Datum: Jednání implementátorů ORP Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum: 20.
Označování poplachových systémů EZS značkou CE
1 © AGIT AB Efektivní zdravotnictví v podmínkách Ústeckého kraje v Ústí n.L. Koncepce budování informačního systému v nemocnicích Ústeckého.
Global network of innovation e-government – Užití IT v sociálním pojištění E-government Užití informačních technologií v sociálním pojištění.
Základní otázky rozvoje informatizace Ing. Dana Bérová náměstkyně ministra – ředitelka sekce Jihlava,
Projekt PŘEDPOVĚĎ POČASÍ. projekt PŘEDPOVĚĎ POČASÍ.
Lenka Fialová Martina Procházková Ondřej Soukup Martin Valenta Cyril Vojáček 1.
EMAS III Změny v akreditaci a ověřování Ing. Radim Frolík.
Řízení přístupových práv uživatelů
doc. Ing. František HELEBRANT, CSc.
1 NASKL v roce 2007 Ing. Alena Fischerová Národní autorizační středisko pro klinické laboratoře při České lékařské společnosti Jana Evangelisty Purkyně.
Akreditační systém v ČR – kvalita produktů IT
Registrace podle EMAS III
Úloha informačních technologií ve státní správě Robert Hernady Senior Systems Engineer Microsoft.
Řešení elektronického docházkového systému Vema
Projekt PŘEDPOVĚĎ POČASÍ. projekt PŘEDPOVĚĎ POČASÍ.
Šifrovaná elektronická pošta Petr Hruška
Akreditace klinických laboratoří Ing. Martina Bednářová Seminář NASKL, let akreditace.
Smluvní vztahy a registrace Jaroslav Žákovčík Praha
Univerzální přípojka koncepce a realita Miroslav 30.březen 2004.
Konference SI Praha Ladislav Přívozník is:energy czech a.s.
JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky & Ministerstvo vnitra Ing. Jaroslav Svoboda
IFA, Česká republika 17. května 2011
17. března 2003 Univerzální přípojka – brána do IVS Miroslav Nováček Libor Neumann.
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Návrh zákona o elektronických úkonech, osobních číslech a autorizované konverzi dokumentů Zdeněk Zajíček náměstek ministra vnitra Vladimír Smejkal Legislativní.
STÁTNÍ INFORMAČNÍ POLITIKA Cesta k informační společnosti Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Rozvoj nehlasových služeb Současnost a budoucnost mobilních sítí
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
2005 Adobe Systems Incorporated. All Rights Reserved. 1 Adobe Řešení pro veřejnou správu Transformace služeb veřejné správy a PDF Inteligentními Dokumenty.
Úvod do klasických a moderních metod šifrování ALG082
MoReq2 Ing. Miroslav ŠIRL Hradec Králové.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý.
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Technické řešení PostSignum QCA
BIS Elektronický podpis Roman Danel VŠB – TU Ostrava.
ASN.1: Cryptographic files CMS + S/MIME Zdeněk Říha.
Profesní čipové karty Mgr. Lada Hrůzová Vedoucí projektu Konference ISSS, 24. – 25. březen 2003, KC Aldis Hradec Králové.
EHealth v Plzeňském kraji , Žďár nad Sázavou Krajský úřad Plzeňského kraje, Odbor informatiky.
ELEKTRONICKÝ PODPIS Jiří Suchomel tel.: Přihlášení na:Tester kraj Heslo:ecibudrap.
Proces akreditace a certifikace systémů managementu a produktů.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Aplikace MS2014+ Portál IS KP14+.
Informační bezpečnost VY_32_INOVACE _BEZP_17.  obdoba klasického podpisu, jež má zaručit jednoznačnou identifikaci osoby v prostředí digitálního světa.
Prezentace – X33BMI Petr PROCHÁZKA
ASN.1: Cryptographic files CMS + S/MIME
Koncepce bezpečnosti v infrastruktuře systémů veřejné správy
Aplikace MS2014+ Portál IS KP14+.
PKI, digitální podpis vs
Důvěra v certifikáty Pavel Vondruška
Mikulášská kryptobesídka 2004 Praha, Hotel STEP,
Elektronický (digitální) podpis
Aplikace MS2014+ Portál IS KP14+.
Transkript prezentace:

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #1 Můstková certifikační autorita (Bridge Certification Authority) Mgr. Pavel Vondruška špecialista na poskytovanie certifikačných služieb ČESKÝ TELECOM, a.s. ( crypto-world.info )

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #2 Obsah prezentace 1)„Topologie PKI“ 2)Princip můstkové CA 3)Můstkové CA ve světě [A] Vondruška,P.: Navázání vztahu důvěry mezi certifikačními autoritami, Data Security Management, DSM 5/2003, Praha [B] Vondruška,P.: Vztah důvěry mezi můstkovými certifikačními autoritami, Data Security Management, DSM 6/2003, Praha [C] Vondruška,P.: Teze požadavků na účastníky Můstkové certifikační autority, Informace 1/2004, projekt „BCA Czech Telecom“

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #3 1.„Topologie PKI“ obecný model PKI hierarchický model konstrukce validační cesty křížová certifikace síťové PKI – mesh propojení struktur hub-and-spoke

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #4 CA (Certifiaction Authority) – Certifikační autorita (poskytovatel certifikačních služeb) –Poskytovatel certifikačních služeb je subjekt, který vydává certifikáty a vede jejich správu. Zejména zveřejňuje seznamy vydaných certifikátů a seznamy certifikátů, které byly zneplatněny - CRL (Certificate Revocation List). BCA (Bridge Certification Authority) – Můstková certifikační autorita –speciální certifikační autorita, která zajišťuje navázání vztahu důvěry mezi uživateli různých CA PKI (Public Key Infrastructure –PKI je kombinace znalostí, soubor představ, dohod, konvencí, speciálního hardware a software, aplikací, které PKI využívají, standardů, norem, prováděcích směrnic, legislativy a osob….

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #5 Obecný model PKI „řízená důvěra“ subjekty certifikační cesta (viz dále)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #6 Hierarchická struktura podřízenost-nadřízenost CA výhody nevýhody certifikační cesta

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #7 -Konstrukce certifikační cesty mezi ověřovaným certifikátem a důvěryhodným certifikátem CA (singulární bod důvěry) a ověření každého certifikátu v této cestě. -Oficiální standardy a doporučení pro validaci certifikátu jsou součástí doporučení X vydání (ekvivalentní k ISO/IEC ) a RFC Konstrukce certifikační cesty zahrnuje vytvoření jedné nebo několika cest, které jsou nejenom formálně správně zřetězeny, ale vyhovují i dalším požadavkům, například maximální přípustné délce cesty, omezením jmen nebo certifikační politiky. -Základní metodou konstrukce cesty je zřetězení jmen od důvěryhodné CA až k posuzovanému subjektu. Konkrétně to znamená, že hodnota atributu Subject Name v jednom certifikátu musí být shodná s hodnotou Issuer Name v následujícím certifikátu v cestě. Konstrukce a validace certifikační cesty

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #8 -Zřetězení jmen je vyhovující v případě, kdy je zaručena jedinečnost páru veřejného a privátního klíče CA. ( ) -V budoucnu je nutné počítat s procesy výměny klíčů CA (key rollover), kdy jedinečnost klíčů nebude zaručena a zřetězení jmen nevyhoví. -Alternativní metodou konstrukce cesty je zřetězení identifikátorů AKID a SKID uvedených v extenzích certifikátů -AKID (Authority Key Identifier) je jednoznačný identifikátor veřejného klíče CA -SKID (Subject Key Identifier) je jednoznačný identifikátor certifikátu, obsahující specifický veejný klíč. -Konstrukce cest pomocí zřetězení AKID a SKID je zcela analogická postupu při zřetězení jmen. Existuje několik možností pro výpočet AKID a SKID, například SHA-1 otisk veřejného klíče nebo monotónně rostoucí sekvence čísel. Konstrukce a validace certifikační cesty

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #9 Křížová certifikace (jedno/ dvoustranná) výhody nevýhody (křížová certifikace s „podřízenou CA“)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #10 Tato struktura vzniká jednak tehdy, kdy není možné se dohodnout na vztahu podřízenosti a nadřízenosti jednotlivých CA nebo není možné takovýto vztah budovat. Akreditace CA x akreditační orgán (NBÚ SR) Síťové PKI - mesh

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #11 Problémy, které nastávají v případě síťové struktury PKI – především propojení velkého počtu autorit a propojení různých struktur, řeší zatím nejobecnější struktura důvěry mezi autoritami – můstková certifikační autorita …. Propojení struktur (hub-and-spoke)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #12 nejjednodušší BCA (uživatelské PC ) „řízená důvěra“ BCA – různé varianty „řízení důvěry“ v CA, princip administrativní principy začlenění do můstkové CA 2.Princip můstkové certifikační autority

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #13

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #14

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #15 Problém při ověřování certifikátů vydaných různými CA by neměl být řešen na úrovni uživatelů (viz předchozí případ), ale na úrovni správců CA….

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #16 členství Bridge CA CA C členství CA A CA B CA C … (signed bridge CA) Validation authority CA B Spoléhající se strana Dotaz na status Spoléhající se strana Dotazy na kořenový certifikát členství Oblast B Oblast A Oblast B Spoléhající se strana Lokální ověření Základní způsoby ověřování certifikátů v můstkové CA

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #17 Postup začlenění nové struktury PKI není nijak komplikovaný…. Nejprve se žádá formou registrace u můstkové autority o ověření důvěryhodnosti organizace (splnění vyhlášené certifikační politiky můstkové CA). Po ověření následuje předání rootových certifikátů ostatních CA; certifikát nové autority je distribuován všem ostatním účastnickým organizacím, jejichž důvěryhodnost již byla dříve stejným způsobem ověřena. Žadatel o vstup obdrží seznam důvěryhodných certifikátů účastnických organizací. (TSL, CTL, ZIP/Signed, …) Provedením importu doručených certifikátů se nová organizace stává plnohodnotným účastníkem a může bezprostředně zahájit bezpečnou komunikaci s ostatními účastníky.

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #18 Můstková autorita zajišťuje i řadu úloh kolem implementace jednotlivých řešení, disponuje společným know-how, může zajišťovat bezpečnostní (nebo auditní) dohled nad CA atd. Nový člen může bezprostředně po přijetí začít komunikovat důvěryhodným způsobem se všemi ostatními přihlášenými účastníky – bez toho, aby musel vést zdlouhavá dvoustranná jednání či uzavírat smlouvy o vzájemném uznávání (certifikátů). Koncepce můstkové CA je založena na využití stávajících PKI a již vydaných certifikátů a tím chrání původní vynaložené investice účastníků.

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #19 3.Můstkové certifikační autority ve světě – US Federal Bridge CA (FBCA) – The European Bridge-CA organised by German companies – IDA (PKICUG)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava # Z technologického hlediska jsou PKI jednotlivých entit křížově certifikovány s FBCA. Samotná CA pracuje off-line. Základní metodou šíření důležitých dat pro spoléhající subjekty je využití adresářové služby, která má zaručenou dostupnost on-line 24 x 7 x 365. Z důvodu zajištění nepřetržité dostupnosti jsou adresářové služby budovány duálně (1. dc=gov, 2. o=U.S. Government, c=US ). Federální můstková certifikační autorita (The Federal Bridge Certification Authority)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #21

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #22 Vznikla z podnětu Deutsche Telekom a Deutsche Bank v květnu roku V současné době ( ) združuje 90 organizací. Distribuovaná data se zazipují a elektronicky podepíšou příslušnou autoritou. Data se potom rozesílají vložená do u jako příloha. Tento je zašifrován pro příslušného příjemce a podepsán konkrétním odesílatelem. V nejbližší době se předpokládá nahrazení této metody důsledným využíváním protokolu CTL. Je to proprietární standard firmy Microsoft, který je založen na de-facto standardu firmy RSA Security - PKCS #7 (Cryptographic Message Syntax Standard). Evropská můstková certifikační autorita (European Bridge Certification Authority)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #23 Evropská můstková certifikační autorita (European Bridge Certification Authority)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava # Cílem je bezpečná komunikace a bezpečná výměna elektronicky podepsaných dokumentů mezi státními orgány jednotlivých členských zemích Společenství. Z technického hlediska se vztah důvěry zajišťuje opět především cross- certifikací certifikačních autorit jednotlivých subjektů (národních certifikačních autorit) s IDA. Předávaný seznam TSL (Trust Status List) a způsob jeho ověření je podrobně popsán v draftu standardu ETSI TS STF (9/2003) Můstková certifikační autorita IDA (Interchange of Data between Administrations, PKICUG, Bridge/Gateway CA)

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #25 CTL CertificateTrustList ::=SEQUENCE Version Version DEFAULT v1, subjectUsage Subject Usage, listIdentifierListIdentifierOPTIONAL sequenceNumberINTEGEROPTIONAL thisUpdateChoiceOfTime, nextUpdateChoiceOfTime, subjectAlgorithm AlgorithmIdentifier, trustedSubjectsTrustedSubjects, extensionsextensionsOPTIONAL Definice CTL pomocí ASN 1. x Vyu ž ití TSL při ověření transakce v modelu m ů stkové certifikační autority

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #26 ??? Otázky?

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #27 Děkuji za pozornost. Mgr. Pavel Vondruška špecialista na poskytovanie certifikačných služieb ČESKÝ TELECOM, a.s. ( crypto-world.info )