Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 1 ELEKTRONICKÝ PODPIS – využití v bankovnictví (jednodenní seminář, Bankovní institut vysoká škola, a.s., ) Část III. Normy k problematice el. podpisu. Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o.  Norman Czech Republic

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 2 Úvod 4 Nezbytnost používání norem 4 Existuje dnes již rozsáhlý systém norem: Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 3 Členění norem  1) dle cesty, jakým byly tyto normy vydány, tj. fakticky dle vydávající strany.  2) dle jejich konkrétního obsahového zaměření,

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 4 Mezinárodní součinnost 4 El.podpisy vzniklé v jedné zemi musí být platné i v jiných zemích 4 Nezbytnost jednotného přístupu 4 - digitální podpisy – formáty 4 - digitální certifikáty

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 5 Některé důležitější normy  Normy ETSI a CEN/ESSI navazující na Směrnici EU o el.podpisu 4 práce skupiny P ISO, ANSI, FIPS NIST, IETF,... 4 Evropa – nejnověji iniciativa NESSIE

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 6 Závěrečná zpráva EESSI 4 cílem dokumentu je analýza budoucích potřeb v oblasti standardizace na podporu Evropské Směrnice pro elektronický podpis. 4 Zpracován v červenci 1999

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 7 Závěry dokumentu EESSI 1) převzetí resp. vývoj průmyslových norem by mělo maximálně zmenšit potřebu detailizace zákonů a vyhlášek v dané oblasti; 2) normy jsou nezbytně nutné a všude, kde je to možné, je třeba preferovat odkazy na existující mezinárodní normy před vývojem nových norem; 3) požadavky v oblasti norem jsou dvojího druhu: kvalitativní a procedurální normy týkající se informační bezpečnosti a technické normy vzhledem k interoperabilitě produktů; 4) podepisovací prostředky (produkty), pokud vyhovují požadavkům Direktivy, musí projít příslušným hodnocením (shoda produktu) a certifikací akreditovanou institucí pod EN (Evropské akreditační schéma);

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 8 Závěry dokumentu EESSI 5) je třeba vytvořit společný referenční bod na základě definice výchozí množiny technologických komponent, který bude tvořit technický rámec pro ověřování kvalifikovaných elektronických podpisů využívajících asymetrickou kryptografii a digitální certifikáty; 6) vzhledem k poskytovatelům certifikačních služeb je třeba použít vhodné bezpečnostní normy: 4 - obecné zásady v oblasti bezpečnosti (např. BS7799 č. 1 a č. 2), 4 - specifikace bezpečnostních požadavků vzhledem k důvěryhodným systémům, které tito poskytovatelé používají; první požadavky v této oblasti se týkají především kryptografických modulů (např. FIPS 140-1) a využití rizikové analýzy, 4 - výchozí certifikační politika pro poskytovatele certifikačních služeb – je doporučováno vyjít z materiálu IETF PKIX – rfc. 2527, 4 - obdobně pro poskytovatele služeb v oblasti časových razítek je třeba provést specifikaci požadavků vzhledem k jejich politice;

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 9 Závěry dokumentu EESSI 7) vzhledem k produktům sloužícím k vytváření podpisů a jejich ověřování je třeba mít k dispozici následující příslušné normy: 4 - specifikace bezpečnostních požadavků vzhledem k důvěryhodným hardwarovým zařízením, která jsou použita jako bezpečná zařízení pro vytváření podpisů (FIPS 140-1, Common Criteria – ISO 15408), 4 - specifikace pro vytváření elektronických podpisů (včetně uživatelova interface) a specifikace produktů a postupů k ověřování podpisů; 8) je nezbytná koordinace jednotlivých aktivit v oblasti norem; 9) z hlediska interoperability jsou nezbytné následující normy: 4 - technické normy pro syntaxi a kódování elektronických podpisů (včetně vícenásobných podpisů); je doporučováno vyjít z rfc.2315, 4 - operativní protokoly pro řízení PKI (rfc skupiny PKIX), 4 - profily kvalifikovaných certifikátů na bázi X.509.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 10 EESSI SG EESSI: European Electronic Signature Standardization Initiative European Telecommunications Standards Institute

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 11 EESSI –Přehled norem Proces a prostředí pro vytváření podpisů Proces a prostředí pro ověření podpisů Formáty a syntaxe podpisů Zařízení na vytváření podpisů Požadavky na PCS Spolehlivý systém Poskytovatel certifikačních služeb Uživatel- podpis.strana Ověřující strana CEN E-SIGN ETSI ESI Kvalifikovaný certifikát Časové značky

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 12 ETSI  Požadavky na politiku PCS vydávajících kvalifikované certifikáty;  Profil kvalifikovaných certifikátů;  Profil časových značek;  Formáty elektronických podpisů.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 13 Požadavky na politiku PCS vydávajících kvalifikované certifikáty 4 Obsahuje úvodní paragrafy (definice základních pojmů a jejich souvislosti) – 4 úvod do politiky kvalifikovaných certifikátů 4 Povinnosti a závazky 4 Požadavky pro praktickou činnost PCS vydávajících kvalifikované certifikáty (např. CPS, životnost klíčů, certifikátů, management certifikátů, bezepečnostní aspekty, atd.)

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 14 Profily kvalifikovaných certifikátů - norma vychází z draftu skupiny IETF PKIX, certifikát je označen jako QC buď v identifikátoru politiky či v příslušném QC rozšíření (extension): Certifikát je vydáván jako QC Je omezena hodnota transakce pro kterou je certifikát vydán Je definováno období, po které je informace o registraci certifikátu uchovávána

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 15 Profil časových značek 4 Jaké algoritmy a s jakými parametry mají být podporovány 4 V zásadě odkaz na : draft-ietf-pkix-time-stamp-12.txt

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 16 Formáty elektronických podpisů 4 ETSI TS

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 17

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 18

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 19 CEN\ISSS  Bezpečnostní požadavky na důvěryhodné systémy PCS, kteří vydávají kvalifikované certifikáty  Bezpečnostní požadavky na zařízení pro vytváření el. podpisu;  Uživatelský interface a operační prostředí při vytváření elektronického podpisu  Požadavky na verifikaci el. podpisu  Příručka k ověřování shody prostředků pro el. podpis a navazujících služeb

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 20 Non-Public or Extended Policies Public Use with SSCD Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Lower LevelQualified Level Higher Level Lower Level Qualified Level EESSI Standard Qualified Certificate Policy Electronic Signature Format Qualified Certificate Format Time-stamping Protocol Security Requirements for Trustworthy Systems SSCD Qualified Certificate Profile Time Stamping Profile Option Within Standard Qualified Electronic Signature with Long-term Validity

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 21 Non-Public or Extended Policies Public Use with SSCD Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Lower Level Qualified LevelHigher Level Lower Level Qualified Level EESSI Standard Qualified Certificate Policy Electronic Signature Format Qualified Certificate Format Time-stamping Protocol Security Requirements for Trustworthy Systems SSCD Qualified Certificate Profile Profile from IETF Timestamp Protocol Option Within Standard Electronic Signature Using Qualified Certificate

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 22 Non-Public or Extended Policies Public Use with SSCD Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Lower Level Qualified Level Higher Level Lower Level Qualified Level EESSI Standard Qualified Certificate Policy Electronic Signature Format Qualified Certificate Format Time-stamping Protocol Security Requirements for Trustworthy Systems SSCD Qualified Certificate Profile Time Stamping Profile Option Within Standard Qualified Electronic Signature

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 23 Zdroj  Prezentace György Endersz, Telia Research AB, Sweden Chairman ETSI ESI Working Group: European Electronic Signature Standardisation Initiative (Barcelona September 2000)

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 24 Odkazy 4 ETSI: Sign up from Web-site to open El Sign mailing list 4 CEN: 4 EESSI: homepage.htm  ISSE Conference & Workshops:

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 25 Nová evropská iniciativa v oblasti kryptografie 4 NESSIE (New European Schemes for Signature, Integrity, and Encryption) 4

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 26 NESSIE 4 „Portfolio“ tzv. kryptografických primitivů 4 Podstatně širší než obdobný projekt AES 4 Navazuje na již získané výsledky v rámci evropských struktur

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 27 NESSIE 1. Blokové šifry 2. Synchronní proudové šifry 3. Samosynchronizující se proudové šifry 4. Autentizační kódy zpráv (MAC) 5. Hashovací funkce rezistantní vůči kolizím 6. Jednosměrné hashovací funkce 7. Pseudonáhodné funkce 8. Asymetrická schémata pro šifrování 9. Asymetrická schémata pro digitální podpis 10. Asymetrická schémata pro identifikaci

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 28 NESSIE 4 dvě bezpečnostní úrovně (normální a vysoká), 4 Blokové šifry: bloky textu 128 bitů, délky klíčů minimálně 256 bitů (vysoká bezpečnost), resp. minimálně 128 bitů (normální bezpečnost) 4 v září 2000, mají být odevzdány výchozí návrhy, 1.konference – listopad 2000

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 29 Normy v bankovnictví - ECBS 4 European Committee for Banking Standards: BIOMETRICS: TR 400 SECURE BANKING OVER THE INTERNET: TR 401, March 1997 obsahuje obecná bezpečnostní východiska, popis SET, velice stručně úvod k PKI CERTIFICATION AUTHORITIES: TR 402, December (update October 1999). 4

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 30 Normy v bankovnictví - ECBS 4 European Committee for Banking Standards: Key Recovery in Financial Systems, TR 405, June 1998 východiska ??(v legislativě – příklad postoje Anglie 4 GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, September 1999

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 31 BIOMETRICS: TR 400 (1996) 8.1Physical Biometrics Fingerprint verification Retina scanning(sken sítnice) Iris Scan6 (sken oční duhovky) Facial Recognition Hand geometry Vein Patterns 4 8.2Behavioural Biometrics Voice verification Signature dynamics Keystroke dynamics 4 9.Usage

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 32 BIOMETRICS: TR 400 (1996) 4 Obsahuje tedy v zásadě určitý přehled problematiky (ovšem vývoj v této oblasti je rychlý) 4 Dále obsahuje určitá základní doporučení k používaná těchto metod (např. pro výběr biom. metody: sociální akceptovatelnost, snadnost manipulace, bezpečnost, náklady)

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 33 SECURE BANKING OVER THE INTERNET: TR 401, March Tento dokument lze rovněž těžko nazvat normou,jeho cílem je spíše provést přehled metod pro zabezepečení dat (na internetu) 4 - přehled možných útoků, vlastnosti firewallů, protokoly (SSL,S-HTTP, TSL,...), zabezpečení mailů, včlenění finančních dokumentů, el. obchod (SET, Homebanking) a jen velmi stručně k PKI

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 34 CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999). 4 Vzhledem k úpravám respektujícím současné trendy již první modernější dokument 4 Obsahově pokrývá oblasti, o kterých bylo v dnešních přednáškách již hovořena. Z hlediska bankovnictví jsou nesporně významná doporučení ECBS na závěr jednotlivých paragrafů

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 35 CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999). 4 Příloha B obsahuje přehled certifikátů používaných v bankovnictví: -X 509 certificate -ISO certificate -UN/EDIFACT SJWG certificate -EMV certificate - EDI 5/ETEBAC 5 certificate - TELESEC certificate

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 36 Key Recovery in Financial Systems, TR Norma se zabývá problematikou Key Recovery, aktuální v době vydání normy, v současné době se díky legislativám v některých zemích upouští od používaní této metody – i když nemusí to platit všeobecně (ale např. z našeho hlediska, tj. el.podpisu je uplatňována jednoznačně zásada nepopiratelnosti)

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 37 GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, Sept Průvodce současnými algoritmy: 4 Definice 4 Implementace 4 Key management (celý životní cyklus klíčů) 4 Odvolání (revokace) certifikátů 4 Popis je opět doplněn určitými doporučeními ECBS

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. 38 Dotazy, upřesnění ?