Perceptus IT Security Academy

Transkrypt

1 Perceptus IT Security Academy Bartosz Witkowski

2 Zawansowana infrastruktura PKI na przykładzie nexus CM

3 Agenda Zaawansowana infrastruktura PKI na bazie nexus CM Infrastruktura nexus PKI Budowa centrum certyfikacji, personalizacja, klienci Przerwa Rozejście się po salach ćwiczeniowych Warsztaty praktyczne Praktyczne zajęcia na bazie nexus CM Podsumowanie Podsumowanie zagadnień, omówienie zadań na nadchodzący miesiąc

4 PERCEPTUS Meet The Team dr. inż. Remigiusz Wiśniewski Opiekun Akademii na uczelni UZ/PERCEPTUS Bartosz Witkowski Bezpieczeństwo PKI Jacek Starościc Organizator Akademii z ramienia PERCEPTUS UZ Przemysław Sobczyk Ambasador Akademii wśród studentów PERCEPTUS 4

5 WPROWADZENIE

6 Firma prywatna Centrala w Sztokholmie - 15 biur w 7 krajach +/- 200 pracowników Liczne referencje we wszystkich obszarach 30 mln rocznych przychodów Rozbudowana sieć partnerska 6

7 Bankowość Najważniejsi klienci Zaufane Centra Przemysł 7

8 Architektura systemu Przemysł 8

9 Formatowanie Na karcie oraz w CA Jak zapewniony jest transport klucza prywatnego Produkcja kart Rozdzielanie zastosowań kluczy Użycie klucza mocno powiązane z użyciem certyfikatu Generowanie kluczy w CA Funkcje skrótu są wykorzystywane podczas tworzenia podpisów cyfrowych. Wymienność producentów kart Przy zachowaniu odpowiednich konfiguracji 9

10 Bankowość nexus Personal 10

11 PKCS#11 Uniwersalny niezależny od języka programowania Interfejsy kryptograficzne CSP Dedykowany dla Widnows JCE Dedykowany dla Java 11

12 Administracja Autoryzacja 2FA 2x SSL(TLS) Podpis pod zmianami Role i uprawnienia Model uprawnień oparty o role: SO RO Dziennik zdarzeń Podpisywany dziennik zdarzeń i logów. 12

13 Security Officer (SO) Role oficerów management of CA keys, certificates and policies user management audit each change requires two SO signatures Registration Officer (RO) user and device registration certificate issuing smart card/token personalisation batch personalisation delayed publication revocation, suspension, reinstatement key recovery 13

14 Użytkownicy Zarządzanie użytkownikami oraz rolami AWB U D Domeny Logiczne odseparowanie poszczególnych definicji oraz obowiązków w rozproszonych organizacjach Procedury Poszczególne definicja fabryki certyfaiktów P C Drzewo CA Pełne zarządzanie certyfikatami CA i SubCA, podpisanie zewnętrznych CA, publikacja danych itp 14

15 AWB 15

16 RA Client Registration Authority 16

17 CC Client Certificate Controller 17

18 Integracja z HSM Wparcie wiodących producentów Utimaco SafeGuard CryptoServer series LAN/PCI/PCIexpress AEP Systems Sureware Keyper Bull Trustway HSM4 Eracom ProtectServer Orange Thales/nCipher nshield series Thales/nCipher nethsm series Thales WebSentry4 PCI & Ethernet SafeNet Luna SA W zasadzie każdy HSMs z PKCS#11 lub JCE interface 18

19 Integracja z HSM 19

20 Integracja z AD Dane CA Certyfikat CRL User Certyfikat Centralne repozytorium danych użytkowników. Pełna konfiguracja na poziomie szablonu Globalna publikacja Certyfikatu CA Miejsca globalnej publikacji listu CRL dla każdego z CA Miejsce wymiany informacji o certyfikatach użytkowników. - GAL - Exchange 20

21 nexus CM Skalowalność CA Nie trzeba na maszynie duplikować wszystkich funkcji Powiadomienia Pilnowanie terminów ważności certyfikatów. Opcją portal SelfService Dziennik zdarzeń - 2 x ssl - Podpisy - Wszystkie akcje do podglądu logi Monitorowanie poszczególnych modułów systemu 21

22 nexus CM 22

23 nexus CM 23

24 nexus CM 24

25 nexus CM 25

26 nexus CM 26

27 Coffe Break