Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

PKI, digitální podpis vs

ZveřejnilHelena Valentová

Podobné prezentace

Prezentace na téma: "PKI, digitální podpis vs"— Transkript prezentace:

1 PKI, digitální podpis vs
PKI, digitální podpis vs. elektronický podpis, aplikace, slabiny Pavel Vondruška

2 9/19/2018 Kdo by se již s touto výstrahou nesetkal ? Ale rozumíme ji správně? K pochopení souvisejících procesů a problémů slouží tato přednáška.

3 Přístup , odlišné „požadavky“
9/19/2018 Přístup , odlišné „požadavky“ Je potřeba si uvědomit, že existují různé přístupy k důvěře v certifikát, které mohou klást důraz na něco zcela jiného: Laická představa Technický pohled / IT pohled Legislativní pohled

4 Obecný princip důvěry v SSL certifikáty (zjednodušeně)
9/19/2018 Obecný princip důvěry v SSL certifikáty (zjednodušeně)

5 Kterému certifikátu důvěřujete? Resp. Váš počítač  ?
9/19/2018 Kterému certifikátu důvěřujete? Resp. Váš počítač  ? Typy: 1. Akreditovaný poskytovatel (např. I.CA. PostSignum) 2. Komerční CA: VeriSign Class 1 (v úložišti MS, Mozilla) UTN (v úložišti MS, Mozilla) 3. Interní CA (např. CA Telefónica O2 CZ) 4. SelfSigned

6 Konstrukce a validace certifikační cesty / 1.
9/19/2018 Konstrukce a validace certifikační cesty / 1. Konstrukce certifikační cesty mezi ověřovaným certifikátem a důvěryhodným certifikátem CA (singulární bod důvěry) a ověření každého certifikátu v této cestě. Oficiální standardy a doporučení pro validaci certifikátu jsou součástí doporučení X vydání (ekvivalentní k ISO/IEC ) a RFC3280. Konstrukce certifikační cesty zahrnuje vytvoření jedné nebo několika cest, které jsou nejenom formálně správně zřetězeny, ale vyhovují i dalším požadavkům, například maximální přípustné délce cesty, omezením jmen nebo certifikační politiky. Základní metodou konstrukce cesty je zřetězení jmen od důvěryhodné CA až k posuzovanému subjektu. Konkrétně to znamená, že hodnota atributu Subject Name v jednom certifikátu musí být shodná s hodnotou Issuer Name v následujícím certifikátu v cestě.

7 Konstrukce a validace certifikační cesty / 2.
9/19/2018 Konstrukce a validace certifikační cesty / 2. - Zřetězení jmen je vyhovující v případě, kdy je zaručena jedinečnost páru veřejného a privátního klíče CA. () V budoucnu je nutné počítat s procesy výměny klíčů CA (key rollover), kdy jedinečnost klíčů nebude zaručena a zřetězení jmen nevyhoví. Alternativní metodou konstrukce cesty je zřetězení identifikátorů AKID a SKID uvedených v extenzích certifikátů AKID (Authority Key Identifier) je jednoznačný identifikátor veřejného klíče CA (vystavitele certifikátu) SKID (Subject Key Identifier) je jednoznačný identifikátor certifikátu, obsahující veřejný klíč vlastníka certifikátu. Konstrukce cest pomocí zřetězení AKID a SKID je zcela analogická postupu při zřetězení jmen. Existuje několik možností pro výpočet AKID a SKID (například SHA-1).

8 2 1 Subject=Issuer Root certifikát (Subject=Issuer)
9/19/2018 Věstník MI 2003, Částka 1 Otisk certifikátu SHA-1: 6E32 893F 22A5 Vystavitel=První certifikační autorita Předmět=První certifikační autorita Veřejný klíč 00C5 8E33… Omezení délky cesty=0 identifikátor klíče předmětu =2B5A … Otisk certifikátu SHA-1: 6E32 893F 22A5 Subject=Issuer Root certifikát (Subject=Issuer) 3) Otisk certifikátu 2 Veřejný klíč 00C5 8E33… Soukromý klíč XXXX XXXX… 1 Vystavitel=První certifikační autorita Předmět=USER Veřejný klíč XXXX XXXX … identifikátor klíče úřadu =2B5A … identifikátor klíče předmětu =XXX…

9 kvalifikovane certifikaty 1 Veřejný klíč 00EB 28D7…
9/19/2018 Omezení délky cesty=3 Vystavitel=Předmět= =Korenova CA pre kvalifikovane certifikaty 1 Veřejný klíč 00EB 28D7… identifikátor klíče předmětu =30F4 … Vystavitel=CA EVPU Předmět=CA EVPU Veřejný klíč 00C2 FF5B… identifikátor klíče úřadu =57A3 … identifikátor klíče předmětu =57A3 … Vystavitel=Korenova CA pre kvalifikovane certifikaty 1 Předmět=ACA - 001/2004 Veřejný klíč 00C2 FF5B… identifikátor klíče úřadu =30F4 … identifikátor klíče předmětu =57A3 … Veřejný klíč 00C2 FF5B… Soukromý klíč XXXX XXXX… Vystavitel=CA EVPU Předmět=USER Veřejný klíč XXXX XXXX … identifikátor klíče úřadu =57A3 … identifikátor klíče předmětu =XXX…

10 Technické prosazení důvěry /1.
9/19/2018 Technické prosazení důvěry /1.

11 9/19/2018

12 Technické prosazení důvěry /2.
9/19/2018 Technické prosazení důvěry /2.

13 9/19/2018 Jak se CA chovají?

14 Technické prosazení důvěry – CRL /3.
9/19/2018 Technické prosazení důvěry – CRL /3. Jak je to se seznamy certifikátů, které byly zneplatněny? Stahují se automaticky? Pokud manuálně jak a kde? CRL Certifikační autority O2 CZ lze stáhnout z adresy : Samotná instalace je již velice jednoduchá. Nad uloženým souborem s CRL stiskněte pravé tlačítko myši a zvolte příkaz Nainstalovat seznam CRL.

15 Technické prosazení důvěry /4.
9/19/2018 Technické prosazení důvěry /4.

16 Technické prosazení důvěry /5.
9/19/2018 Technické prosazení důvěry /5. Uprostřed března 2001 se přišlo na to, že jedna z největších a nejznámějších certifikačních autorit VeriSign, Inc. vydala dva certifikáty (ve velice důvěryhodné třídě - Class 3) fyzické osobě, která se vydávala za zaměstnance Microsoftu. Jméno, na které byly certifikáty vydány, zní "Microsoft Corporation". Tyto certifikáty byly vydány a

17 Technické prosazení důvěry /6.
9/19/2018 Technické prosazení důvěry /6. Problém při ověřování certifikátů vydaných různými CA (v uzavřených systémech) by neměl být řešen na úrovni uživatelů (viz předchozí případ), ale na úrovni PKI (např. správců CA).

18 Přehled některých útoků na důvěru v SSL certifikáty
9/19/2018 Přehled některých útoků na důvěru v SSL certifikáty Distribuce Slabé procesy Délka certifikační cesty Slabý RSA modul „Rogue CA“

19 Slabé moduly pro RSA (512 bitů)
9/19/2018 Slabé moduly pro RSA (512 bitů) Stav

20 NOVÝ SOFISTIKOVANÝ ÚTOK NA DůVĚRU V SSL CERTIFIKÁTY /1.
9/19/2018 NOVÝ SOFISTIKOVANÝ ÚTOK NA DůVĚRU V SSL CERTIFIKÁTY /1. Prosinec 2008: MD5 considered harmful today - Creating a rogue CA certificate Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger

21 INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /1.
9/19/2018 INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /1.

22 INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /2.
9/19/2018 INFORMACE K ÚTOKU (vysvětlení jak probíhá, obrana) /2. Obrana Nepomáhá: Omezení certifikační cesty ("basic constraints„) Zvýšení modulu asymetrické šifry RSA (např bits) Jednoduchá obrana: Certifikační autorita nesmí používat podpisové schéma MD5/RSA Realita? Aktuálně je přibližně 14 procent SSL certifikátů podepsáno s využitím hashovací funkce MD5

23 STANDARDIZACE , PILÍŘ BEZPEČNOSTI
9/19/2018 STANDARDIZACE , PILÍŘ BEZPEČNOSTI Změna v kryptografických algoritmech, které jsou používány pro vytváření elektronického podpisu Na základě aktuálních poznatků v oblasti kryptografie a dokumentu ETSI TS V2.0.0 (ALGO Paper) Ministerstvo vnitra stanoví: Kvalifikovaní poskytovatelé certifikačních služeb ukončí vydávání kvalifikovaných certifikátů s algoritmem SHA-1 do Od budou tito poskytovatelé vydávat kvalifikované certifikáty podporující některý z algoritmů SHA-2. Zároveň je od uvedeného data stanovena minimální přípustná délka kryptografického klíče pro algoritmus RSA na 2048 bitů.

24 9/19/2018 Uznávání kvalifikovaných certifikátů vydaných poskytovateli certifikačních služeb usazenými v ostatních členských státech EU Dne bylo přijato rozhodnutí Komise 2009/767/ES, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím „jednotných kontaktních míst“ (nabylo účinnosti dne ).  Tímto dnem nastala povinnost uznávat kvalifikované certifikáty vydané poskytovateli certifikačních služeb usazenými v jiných státech EU i pro orgány veřejné moci . „Čertík“, nástroj umožňující vzájemné uznávání kvalifikovaných certifikátů Předpokladem funkčnosti je, že stát, ve kterém byl certifikát vydán, zveřejní TSL. Seznam adres všech publikovaných TSL členských států by měl být zveřejněn Evropskou komisí v „seznamu TSL“ (LOTL - List of the Lists). Ten je dostupný v lidsky čitelné podobě (human readable form) na adrese a ve strojově zpracovatelné formě (machine processable form) na adrese Pro usnadnění ověřování certifikátů z jiných členských států nechalo Ministerstvo vnitra připravit webovou aplikaci, která po nahrání souboru s certifikátem vyhodnotí na základě informací publikovaných v TSL jednotlivých členských států, zda byl tento certifikát vydán jako kvalifikovaný. Aplikace je volně dostupná na adrese

Stáhnout ppt "PKI, digitální podpis vs"

Podobné prezentace

Certifikáty a elektronické podpisy prakticky a jednoduše

Certifikáty a elektronické podpisy prakticky a jednoduše
Formáty pro zaručené elektronické podpisy Libor Dostálek.

Formáty pro zaručené elektronické podpisy Libor Dostálek.
Enterprise řešení pro elektronický podpis VerisignIT

Enterprise řešení pro elektronický podpis VerisignIT
jak to funguje ? MUDr.Zdeněk Hřib

jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.

Elektronický podpis.
© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Konference 80.let sociálního pojištění.

© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Konference 80.let sociálního pojištění.
Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #1 Můstková certifikační autorita (Bridge Certification Authority) Mgr.

Můstková certifikační autorita11. novembra 2004, Hotel Holiday Inn, Bratislava #1 Můstková certifikační autorita (Bridge Certification Authority) Mgr.
Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.

Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.
M O R A V S K O S L E Z S K Ý K R A J 1 Zavedení hash algoritmů SHA - 2 V návaznosti na oznámení Ministerstva vnitra o změně v kryptografických algoritmech,

M O R A V S K O S L E Z S K Ý K R A J 1 Zavedení hash algoritmů SHA - 2 V návaznosti na oznámení Ministerstva vnitra o změně v kryptografických algoritmech,
Šifrovaná elektronická pošta Petr Hruška

Šifrovaná elektronická pošta Petr Hruška
Elektronický podpis  Zákon č. 227/2000 Sb. o elektronickém podpisu  ve vyjmenovaných případech staví elektronický dokument opatřený bezpečnostními.

Elektronický podpis  Zákon č. 227/2000 Sb. o elektronickém podpisu  ve vyjmenovaných případech staví elektronický dokument opatřený bezpečnostními.
Absolventská práce 2002 Aplikace XML rozhraní v prostředí krajského úřadu Autor : Marek Cop Vedoucí : Ing. Petr Pavlinec 2002.

Absolventská práce 2002 Aplikace XML rozhraní v prostředí krajského úřadu Autor : Marek Cop Vedoucí : Ing. Petr Pavlinec 2002.
15 let vývoje E-Governmentu v legislativě ČR Mgr. Tomáš Lechner Vysoká škola ekonomická v Praze Národohospodářská fakulta Katedra práva.

15 let vývoje E-Governmentu v legislativě ČR Mgr. Tomáš Lechner Vysoká škola ekonomická v Praze Národohospodářská fakulta Katedra práva.
Návrh zákona o elektronických úkonech, osobních číslech a autorizované konverzi dokumentů Zdeněk Zajíček náměstek ministra vnitra Vladimír Smejkal Legislativní.

Návrh zákona o elektronických úkonech, osobních číslech a autorizované konverzi dokumentů Zdeněk Zajíček náměstek ministra vnitra Vladimír Smejkal Legislativní.
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.

Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.

Public Key Infrastructure Přednášky z Distribuovaných systémů Ing. Jiří Ledvina, CSc.
Novela zákona o elektronickém podpisu 14.4.2015. Předmět úpravy novely zákona Obsah prezentace  Dosažení kompatibility se Směrnicí 1999/93/ES:  uznávání.

Novela zákona o elektronickém podpisu Předmět úpravy novely zákona Obsah prezentace  Dosažení kompatibility se Směrnicí 1999/93/ES:  uznávání.
2005 Adobe Systems Incorporated. All Rights Reserved. 1 Adobe Řešení pro veřejnou správu Transformace služeb veřejné správy a PDF Inteligentními Dokumenty.

2005 Adobe Systems Incorporated. All Rights Reserved. 1 Adobe Řešení pro veřejnou správu Transformace služeb veřejné správy a PDF Inteligentními Dokumenty.
E-podpis ve veřejné správě ISSS 29.3.2003. Blízká budoucnost e-podpisu ve veřejné správě  Správní řád – správní orgány:  Přijímají podání s elektronickým.

E-podpis ve veřejné správě ISSS Blízká budoucnost e-podpisu ve veřejné správě  Správní řád – správní orgány:  Přijímají podání s elektronickým.
EPodpis v souvislostech. Certifikáty veřejného klíče kvalifikovaný certifikát (QC) -> zaručený elektronický podpis kvalifikovaný systémový certifikát.

EPodpis v souvislostech. Certifikáty veřejného klíče kvalifikovaný certifikát (QC) -> zaručený elektronický podpis kvalifikovaný systémový certifikát.

Podobné prezentace

Reklamy Google