M O R A V S K O S L E Z S K Ý K R A J 1 Zavedení hash algoritmů SHA - 2 V návaznosti na oznámení Ministerstva vnitra o změně v kryptografických algoritmech, které jsou používány pro vytváření elektronického podpisu došlo k dohodě zástupců akreditovaných poskytovatelů certifikačních služeb, tj. České pošty s. p., EIdentity a.s. a První certifikační autority a.s. Kvalifikované certifikáty s hashovací funkcí třídy SHA-2, které začnou vydávat nejpozději od 1. ledna 2010, budou všichni tři poskytovatelé přednostně nabízet s hashovací funkcí SHA-256 v kombinaci s algoritmem RSA s délkou klíče 2048 bitů. Aplikace, ve kterých je elektronický podpis používán, musí podporovat nejpozději od 1. ledna 2010 všechny algoritmy třídy SHA-2, Poskytovatel certifikačních služeb může na základě vlastního rozhodnutí a základě požadavků svých zákazníků vydávat kvalifikované certifikáty i s některou z dalších funkcí z rodiny SHA-2, (tj. SHA-224, SHA-384 nebo SHA-512).
M O R A V S K O S L E Z S K Ý K R A J 2 Prohlášení NBÚ k využívání hashovacích funkcí Doporučuje se nadále nepoužívat hashovací funkce s výstupem menším než 160 bitů (např. hashovací funkce MD4, MD5, RIPEMD, HAVAL-128 atd.). Doporučuje se neprodleně zahájit přípravu k přechodu od hashovací funkce SHA-1 na novou generaci hashovacích funkcí třídy SHA-2 (SHA-224, SHA- 256, SHA-384 a SHA-512). Doporučuje se prozkoumat všechny bezpečnostní aplikace i kryptografické prostředky, ve kterých se využívá hashovacích funkcí a odborně posoudit vliv nejnovějších kryptoanalytických útoků na jejich bezpečnost.
M O R A V S K O S L E Z S K Ý K R A J 3 Operační systémy Linux (např. SUSE, REDHAT) Microsoft Windows Servery (Server 2003, Server 2008) Stanice (Windows 2000, Windows XP, Windows Vista, Windows 7)
M O R A V S K O S L E Z S K Ý K R A J 4 Operační systém musí být schopen ověřit platnost certifikátu, kterým je podepsán s využitím algoritmu rodiny SHA-2 Operační systémPodpora ověření certifikátu s SHA-2 Windows 2000NE Windows XP před SP3NE Windows XP po SP3Ano Windows VistaAno Windows 7Ano Windows Server 2003Ano, musí být nainstalován hotfix KB Windows Server 2008Ano Následující tabulka shrnuje podporu ověření planosti certifikátu.
M O R A V S K O S L E Z S K Ý K R A J 5 Operační systémy Microsoft Windows obsahují moduly CSP Microsoft Enhanced Cryptographic Provider v1.0 nepodporuje podepisování s využitím hash algoritmů rodiny SHA-2. Microsoft Enhanced RSA and AES Cryptographic Provider a Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) podporují podepisování s využitím hash algoritmů rodiny SHA-2. Microsoft Base Smart Card Crypto Provider využívá vlastností čipové karty, a proto podpora podepisování s využitím příslušných hash algoritmů je závislá na schopnostech čipové karty
M O R A V S K O S L E Z S K Ý K R A J 6 Moduly CSP v jednotlivých verzích operačních systémů Windows CSPXPXP SP3Vista 7S 2003S 2008 (ME_CP 1.0)Ano (ME_RSA_AES_CP_Prototype) NeAnoNe (ME_RSA_AES_CP)Ne Ano (MBSC_CP)Ano
M O R A V S K O S L E Z S K Ý K R A J 7 Výstupní formátXPXP SP3Vista PKCS#1 – SHA 2 1) NEAno PKCS#1 – SHA 2NE Ano NEAno XML DSIG – SHA 2 -.NET Framerwork 3.5 SP1 2) NEAno Podporované formáty pro předání datové zprávy a elektronického podpisu Podpora výstupních formátů pro různé verze operačního systému Windows 1)Volání CSP je možné realizovat v prostředí Microsoft.NET nebo přímým voláním Win32 API 2)XML DSIG je možné realizovat i s podporou dalších platforem např. JAVA
M O R A V S K O S L E Z S K Ý K R A J 8 Microsoft Outlook 2003 Algoritmy MD5 a SHA-1, Není možné nastavit hash algoritmy rodiny SHA-2 Microsoft Outlook 2007 je možné vybrat hash algoritmy z rodiny SHA-2 (s výjimkou algoritmu SHA-224) Microsoft Outlook
M O R A V S K O S L E Z S K Ý K R A J 9 Pro přechod na hash algoritmy z rodiny SHA-2 není naprosto nezbytný upgrade operačních systémů z Windows XP nebo Windows 2003 Server na vyšší verze Aplikace, které podepisují data, budou muset být zrevidovány a s velkou pravděpodobností upraveny pro podporu algoritmů SHA-2. Zavedení hash algoritmů z rodiny SHA-2 je komplexní proces, ve kterém do hry vstupují vlastnosti operačního systému, certifikátů, kryptografických providerů a vlastních aplikací Závěr
M O R A V S K O S L E Z S K Ý K R A J 10 Děkuji za pozornost