Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilMiroslav Kučera
1
IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006
2
IBM Global Technology Services © 2006 IBM Corporation 2 Agenda Bezpečnostní funkce, které je možno implementovat digitálními certifikáty Princip elektronického podpisu Požadavky na vytvoření a ověření zaručeného el. podpisu Zabezpečení přístupu k informacím na základě elektronického podpisu Příklad implementace elektronických certifikátů ve státní správě
3
IBM Global Technology Services © 2006 IBM Corporation 3 Bezpečnostní funkce, které je možno implementovat digitálními certifikáty Autentizace –pomocí digitálního certifikátu, vydaného důvěryhodnou třetí stranou (CA), prokazuje uživatel svoji totožnost při el. komunikaci s jiným uživatelem nebo aplikací (serverem) Důvěrnost (šifrování) –autentizace certifikátem zamezuje průniku útočníka („man in the middle“) do šifrované komunikace –použití certifikátu (resp. veřejného klíče) příjemce umožňuje šifrovat zprávu pouze pro příjemce (vlastníka privátního klíče)
4
IBM Global Technology Services © 2006 IBM Corporation 4 Integrita (elektronický podpis) –použití výtahu (hash) zprávy spolu s elektronickým podpisem odesilatele umožňuje ověřit, zda zpráva nebyla po provedení el. podpisu změněna Neodmítnutelnost odpovědnosti (elektronický podpis) –jako jediná technologie umožňuje elektronický podpis zpětně prokázat původce (držitele privátního klíče) el. podepsaného dokumentu a zajistit tak neodmítnutelnost pravosti dokumentu, resp. neodmítnutelnost provedené operace (např. v aplikaci) Bezpečnostní funkce, které je možno implementovat digitálními certifikáty
5
IBM Global Technology Services © 2006 IBM Corporation 5 Náhrada klasické formy podpisu elektronickou - zaručený elektronický podpis Vyžaduje dodržení požadavků zákona 227/2000 Sb. (novelizován zákonem č.440/2004 Sb.) a jeho prováděcích směrnic Vyžaduje archivaci dokumentů v elektronické formě, veřejných klíčů, algoritmů a pod.
6
IBM Global Technology Services © 2006 IBM Corporation 6 Elektronický podpis hash
7
IBM Global Technology Services © 2006 IBM Corporation 7 Vytvoření elektronicky podepsaného dokumentu (zaručený el. podpis) Předpoklady –Platný kvalifikovaný el. certifikát (X.509 v. 3) od akreditovaného poskytovatele certifikačních služeb –Bezpečné uložení privátního klíče, optimálně na čipové kartě Vytvoření zaručeného el. podpisu –Bezpečné technické prostředky pro provedení el. podpisu –důvěryhodné, pokud možno certifikované –? podepisuji, co je zobrazeno ? Vytvoření časového razítka –On-Line přístup k „Time-Stamp Authority“ –nebo –časové razítko si nechá vygenerovat el. podatelna
8
IBM Global Technology Services © 2006 IBM Corporation 8 Ověření elektronicky podepsaného dokumentu (zaručený el. podpis) – I. Příjem el. podepsaného dokumentu Získání kvalifikovaného el. certifikátu odesilatele –Off-line (z podepsaného dokumentu; uložený z dřívějška) nebo –Online (přístup k adresářovým službám Akreditované CA) Získání a ověření root certifikátu CA –získání certifikátu Akreditované CA, která vydala kvalifikovaný certifikát odesilatele –potvrzení důvěryhodnosti Akreditované CA
9
IBM Global Technology Services © 2006 IBM Corporation 9 Ověření elektronicky podepsaného dokumentu (zaručený el. podpis) – II. Získání a ověření CRL náležejícího k certifikátu –Off-line uložený aktuální CRL (distribuce, aktualizace!) nebo –Online přístup k Akreditované CA (LDAP, WWW, OCSP) Ověření časového razítka –získání certifikátu time-stamp autority, která vydala kvalifikovaný certifikát odesilatele –získání certifikátu nadřízené CA + potvrzení důvěryhodnosti Dlouhodobá archivace originálního el. podepsaného dokumentu –po dobu požadavku na neodmítnutelnost odpovědnosti –archivace certifikátů, CRL, kryptografických prostředků –nutnost řešit „slábnutí“ kryptografických algoritmů –! velikost archivu !=> požadavek na úsporný formát
10
IBM Global Technology Services © 2006 IBM Corporation 10 Možnosti použití zaručeného el. podpisu Příjem požadavků (informací) elektronickou poštou –zaručený el. podpis zprávy (! certifikát nelze použít pro šifrování) Zadání požadavků přímo do WWW aplikace –zaručený el. podpis požadavku (formuláře) –archivace el. podepsaných formulářů Archivační systém el. dokumentů –zaručený el. podpis archivovaných dokumentů (! dlouhodobá úschova el. certifikátů a CRL) –časová razítka
11
IBM Global Technology Services © 2006 IBM Corporation 11 Použití zaručeného el. podpisu ve veřejné správě Zpřístupnění neveřejných informací občanům –podpis žádosti o informace kvalifikovaným certifikátem Zasílání požadavků občanů na veřejnou správu –podpis požadavku kvalifikovaným certifikátem Poskytování informací od občana veřejné správě –(příklad: daňová přiznání) –el. podepsanou elektronickou poštou (S/MIME) –el. podepsaným WWW formulářem –ověření platnosti certifikátu, ověření el. podpisu, dlouhodobá archivace (původní dokument s el. podpisem)
12
IBM Global Technology Services © 2006 IBM Corporation 12 Příklad použití: Implementace PKI pro státní správu Řešení Společnost IBM vybudovala Autorizační středisko DS (Certifikační Autoritu - CA), které vydává digitální certifikáty podle standardu X.509 v. 3 pracovníkům odboru DS. Vybudování Autorizačního střediska DS zahrnovalo vypracování bezpečnostní studie, implementaci technických prostředků CA, vypracování směrnic a organizačních procedur a proškolení uživatelů. Digitální certifikáty jsou ukládány na čipové karty, které budou sloužit zároveň k identifikaci pro vstup do chráněných prostor. V rámci aplikace DS byly připraveny technické prostředky a procesy pro implementaci digitálních podpisů, takže každá kritická operace provedená v aplikaci DS může být digitálně podepsána privátním klíčem daného pracovníka. Provedené operace spolu s digitálními podpisy bude možno archivovat pro potřeby auditu.
13
IBM Global Technology Services © 2006 IBM Corporation 13 Cíle implementace autentizačních předmětů v aplikaci DS Jednoznačná identifikace uživatelů jako fyzických osob „Silná autentizace“ uživatele při přihlášení k systému Opětovná autentizace před provedením silných akcí v aplikaci DS Digitální podpis důležitých operací v databázi (nelze jej padělat, provedl buď majitel, nebo dovolil zneužití)
14
IBM Global Technology Services © 2006 IBM Corporation 14 Autentizační předmět Čipová karta Karta obsahuje digitální certifikát uživatele dle stand. X.509 Karta obsahuje privátní klíč –Klíč a celá karta chráněny heslem –Karta může provést digitální podpis privátním klíčem, ale klíč nevydá Přístup do aplikací je pro konkrétní certifikát - certifikát má pracovník jen jeden, ale může používat více aplikací
15
IBM Global Technology Services © 2006 IBM Corporation Děkuji za pozornost Ing. Stanislav Bíža Senior IT Architekt, CISA stanislav_biza@cz.ibm.com
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.