Podpis elektroniczny. Konferencja Gospodarka elektroniczna w bankach 1 październik 2004, Rynia. Jerzy Zań Bank BPH SA

Transkrypt

1 Podpis elektroniczny Konferencja Gospodarka elektroniczna w bankach 1 październik 2004, Rynia Jerzy Zań Bank BPH SA

2 Agenda Podpis elektroniczny - co to właściwie jest? Podpis elektroniczny w sektorze bankowym - stan obecny Podpis elektroniczny w systemach bankowości elektronicznej Korzyści z wykorzystania podpisu elektronicznego Czy istnieją alternatywy dla "cyfrowego" podpisu elektronicznego? Czy certyfikaty kwalifikowane są naturalnym kierunkiem ewolucji podpisu elektronicznego? Najbliższa przyszłość podpisu elektronicznego w bankowości -2-

3 Podpis elektroniczny - co to właściwie jest? Geneza Rozwój kryptografii szyfrowanie symetryczne Zalety szyfrowania symetrycznego: > najprostsze, znane od wieków (np. szyfr Juliusza Cezara "podpis" = "tsgtlw") > łatwe do oprogramowania > bardzo szybkie > jeden, symetryczny klucz Ograniczenia szyfrowania symetrycznego: > dylemat bezpiecznego udostępniania klucza > ograniczenia szyfrowania (symetrycznego motorem poszukiwań nowych rozwiązań -3-

4 Podpis elektroniczny - co to właściwie jest? Geneza Opracowanie algorytmów szyfrowania niesymetrycznego (lata 70 XX wieku) Wykorzystanie pary kluczy kryptograficznych (klucz prywatny i klucz publiczny) Zalety szyfrowania niesymetrycznego: > Dokument zaszyfrowany jednym z kluczy może być odszyfrowany wyłącznie drugim kluczem > Możliwość upowszechnienia klucza publicznego Ograniczenia szyfrowania niesymetrycznego: > Skomplikowane algorytmy >Mała prędkość -4-

5 Podpis elektroniczny - co to właściwie jest? Geneza Podpis elektroniczny (cyfrowy) jest efektem zastosowania kryptografii niesymetrycznej do szyfrowania dokumentów elektronicznych: Cechy podpisu elektronicznego: > Integralność (Integrity) podpis elektroniczny (cyfrowy) > Niezaprzeczalność (Nonrepudiation) - podpis elektroniczny (cyfrowy) > Poufność (Confidentiality) - podpis elektroniczny (cyfrowy) + PTC > Uwierzytelnienie (Authentication) - podpis elektroniczny (cyfrowy) + certyfikat -5-

6 Podpis elektroniczny - co to właściwie jest? Schemat działania podpisywanie dokumentu Klucz prywatny Skrót dokumentu Szyfrowanie skrótu Podpis Start Dokument Dokument + podpis Stop -6-

7 Podpis elektroniczny - co to właściwie jest? Schemat działania kontrola poprawności podpisu Dokument Obliczanie skrótu Tak Realizacja Start Dokument + podpis Prawidłowy? Podpis Deszyfrowanie skrótu Nie Odrzut Klucz publiczny nadawcy -7-

8 Podpis elektroniczny - co to właściwie jest? Podpis elektroniczny (cyfrowy ) - jest to skrót dokumentu zaszyfrowany kluczem prywatnym nadawcy Definicje według ustawy z dnia 18 września 2001 o podpisie elektronicznym : podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny, bezpieczny podpis elektroniczny - podpis elektroniczny, który: > jest przyporządkowany wyłącznie do osoby składającej ten podpis, > jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, > jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna, -8-

9 Podpis elektroniczny w sektorze bankowym - stan obecny Sektor bankowy bardzo szybko zaadoptował nową technologię do swojej działalności Podpis elektroniczny jest szeroko obecny w poniższych dziedzinach działalności polskich banków: Rozliczenia krajowe - komunikacja z KIR (system ELIXIR) (1993 r.) Rozliczenia międzynarodowe = komunikacja pomiędzy bankami SWIFT NET (2001 r.) Komunikacja za GIIF (2003 r.) Komunikacja z klientami via Systemy Bankowości Elektronicznej (1994 r.) -9-

10 Podpis elektroniczny w systemach bankowości elektronicznej typu homebanking Banki posiadające system MultiCash ABN AMRO Bank Polska Bank BPH Bank Pekao S.A. Bankgesellschaft Berlin Polska PKO BP ING Bank Śląski Fortis Bank Polska Svenska Bank BRE Bank Raiffeisen Bank Polska Danske Bank Polska Dresdener Bank Deutsche Bank Polska Westdeutsche Landesbank Polska Wszystkie banki (14) posiadają podpis elektroniczny 10 banków posiada podpis elektroniczny na kartach chipowych Banki posiadające system VideoTEL NBP Bank BPH Bank Millenium InvestBank Rabobank Polska Deutsche Bank Polska DZ Bank Polska Kredyt Bank BGK BISE Banki Spółdzielcze Bank Pocztowy Wszystkie banki (17) posiadają podpis elektroniczny Podpis na dyskietce i karcie chipowej posiada Bank BPH -10-

11 Podpis elektroniczny w systemach bankowości internetowej System bankowości internetowej posiada 26 banków, poniżej wymienione systemy wykorzystują podpis elektroniczny: DB Internet (Deutsche Bank Polska) Pl@net (Fortis Bank Polska) ING BANK ONLINE (ING Bank Śląski) Investkonto (INVEST-BANK) Sezam (Bank BPH)* *Źródło: Wg. badania TNS OBOP (grudzień 2003 roku) -11-

12 Podpis elektroniczny w systemach bankowości elektronicznej Z czego wynika inne podejście do tematu zastosowania podpisu elektronicznego w systemach homebanking i systemach bankowości internetowej? Potrzeby grupy docelowej klientów > Detal i MSP > Klienci Korporacyjni Typu obsługiwanego systemu BE > Systemy off-line (homebanking) > Systemy internetowe Koszt obsługi rozwiązania dla klienta > Zakup czytników i kart procesorowych Akceptowalnego poziomu ryzyka vs. łatwości obsługi Znajomości dostępnych na rynku technologii Wewnętrznych polityk bezpieczeństwa -12-

13 Podpis elektroniczny w systemach bankowości elektronicznej Skłonność do akceptacji podpisu elektr. Duże przedsiębiorstwa Średnie przedsiębiorstwa Małe przedsiębiorstwa Osoby fizyczne Klienci korporacyjni (duże i średnie przedsiębiorstwa) Szukają rozwiązań dostosowanych do własnych wymogów (schematy akceptacji, podpis rozproszony ) Szukają możliwości zapewnienia jak najwyższego poziomu bezpieczeństwa finansów uwzględniając pracę w rozbudowanych strukturach organizacyjnych (duża ilość osób mających dostęp do systemów BE) Akceptują bardziej złożony sposób obsługi kosztem większego bezpieczeństwa Klienci MSP i detaliczni Potrzebują najczęściej prostego aczkolwiek bezpiecznego narzędzia do jednoosobowego zarządzania środkami, najczęściej na jednym rachunku bankowym -13-

14 Korzyści z wykorzystania podpisu elektronicznego Dla klientów Bezpieczne wykorzystania kanałów elektronicznych do komunikacji z bankiem Możliwość autoryzacji "wieloosobowej Możliwość korzystania z tzw. podpisu rozproszonego Zachowanie poufności przesyłanych informacji Kontrola dostępu do przechowywanych i przesyłanych informacji Weryfikacja odbiorcy przesyłanych informacji Gwarancja "nienaruszalności" przesyłanych informacji Dla banków Pewność realizowanych transakcji Usprawnienie operacyjnego przetwarzania zleceń klientów Łatwość weryfikacji źródła przetwarzanych zleceń i dokumentów Redukcja oszustw i nadużyć w przetwarzaniu zleceń klientów Gwarancja integralności otrzymanych od klientów zleceń i dokumentów Zgodność z obowiązującymi regulacjami prawnymi np. ustawa o przeciwdziałaniu praniu brudnych pieniędzy -14-

15 Czy istnieją alternatywy dla "cyfrowego" podpisu elektronicznego? Biometryki Skanowanie siatkówki (retinal scan) polega na skanowaniu mapy siatkówki oka za pomocą promieni podczerwonych. Jest to metoda inwazyjna i z tego powodu niepopularna. Rozpoznawanie tęczówki (iris scan). w metodzie tej używana jest zwykła kamera, co powoduje wyższy stopień jej akceptacji przez użytkowników. Odcisk palca -najtańsza obecnie biometryką. Czytniki linii daktyloskopijnych podłączane są do portów USB, RS 232, PS/2. Geometria dłoni - odbywa się za pomocą małego skanera. Problematyczna jest wielkość tego urządzenia, ze względu na swoje wymiary nie byłby chętnie akceptowany przez użytkowników. Rozpoznawanie twarzy - odbywa się przy pomocy kamery umieszczonej kilka metrów od użytkownika. Rozpoznawanie głosu -najtańszą biometryka, mikrofon jest na standardowym wyposażeniu komputerów PC. Podpis - najstarsza wykorzystywana przez człowieka biometryka. -15-

16 Czy certyfikaty kwalifikowane są naturalnym kierunkiem ewolucji podpisu elektronicznego? Argumenty za: Ustawa z 18 września 2001* - regulująca temat podpisu elektronicznego Wprowadzenie regulacji* umożliwiających elektroniczne wnoszenie podań, wniosków i wykonywanie innych czynności w relacji Obywatel - urząd drogą elektroniczną (2006). Istniejąca siec podmiotów autoryzujących (CA) 4 akredytowane centra (KIR, TP Internet, Unizeto, PWPW) Bogata oferta produktowa podmiotów autoryzujących (CA) Rozwijające się inicjatywy typu B2B, B2C, G2B itp. oparte na wykorzystaniu kwalifikowanego podpisu elektronicznego przystąpienie do UE i związany z tym transfer wiedzy oraz potrzeb klientów zaznajomionych z KPE Możliwość ograniczenia wykorzystywanych przez użytkowników ilości podpisów elektronicznych > łatwiejsze zarządzanie hasłami *Ustawa o podpisie elektronicznym z dnia 18 września 2001 r. (Dz.U nr 130 poz.1450 ) weszła w życie z dniem 16 sierpnia 2002 roku. -16-

17 Czy certyfikaty kwalifikowane są naturalnym kierunkiem ewolucji podpisu elektronicznego? Argumenty przeciw: Banki: > Korzyści z wdrożenia kwalifikowanego podpisu elektronicznego nie równoważą koniecznych wysiłków wdrożeniowych oraz ponoszonych kosztów > Implementacja kwalifikowanego podpisu elektronicznego wymaga rozbudowanej infrastruktury technologicznej Klienci: > Dokumenty prawne dotyczące kwalifikowanego podpisu elektronicznego nie są zrozumiałe dla potencjalnych użytkowników > Używanie kwalifikowanego podpisu elektronicznego jest zbyt trudne dla użytkowników i w związku z tym mogą nie chcieć go używać > Brak jasnej polityki rządu w zakresie propagacji kwalifikowanego podpisu elektronicznego > Porównanie ofert i wybór najlepszej dla siebie opcji z szerokiej oferty pakietowej podmiotów certyfikujących jest bardzo trudny > Koszt zakupu kwalifikowanego podpisu elektronicznego jest ciągle zbyt wysoki -17-

18 Czy certyfikaty kwalifikowane są naturalnym kierunkiem ewolucji podpisu elektronicznego? Cena zestawu: Certyfikat Karta kryptograficzna Czytnik kart Oprogramowanie 475,80 zł 645,00 zł 538,00 zł* Średni koszt zakupu 536,32 zł 486,78 zł Źródło informacji: *Pakiet firmy Signet nie zawiera czytnika kart -18-

19 Najbliższa przyszłość podpisu elektronicznego w bankowości Wykorzystanie do celów kontroli dostępu do systemów/modułów/tajnych danych (np. logowanie ID + hasło + PKI) Akceptacja kwalifikowanych podpisów elektronicznych certyfikowanych przez podmioty krajowe i zagraniczne Zwiększenie bezpieczeństwa integracji BE z systemami ERP/FK klienta Import danych do systemu ERP/FK podpis elektroniczny banku Eksport danych z systemu ERP/FK podpis elektroniczny systemu FK/ERP Raporty z systemów BE potwierdzane podpisem elektronicznym banku Potwierdzenia zrealizowania transakcji gotowe do przekazania w formie elektronicznej kontrahentom Integracja BE z systemami ERP/FK klienta przy wykorzystaniu technologii web-services zabezpieczanej PKI Autoryzacja w systemach FK (zmiana procesów autoryzacji zleceń przeniesienie z systemów bankowości elektronicznej do systemów ERP/FK klienta) -19-

20 Dziękuje za uwagę Jerzy Zań Bank BPH S.A