Bezpiecze ństwo systemów komputerowych.

Transkrypt

1 Ustawa o podpisie cyfrowym. Infrastruktura klucza publicznego PKI. Bezpiecze ństwo systemów komputerowych. Ustawa o podpisie cyfrowym. Infrastruktura klucza publicznego PKI. Autor: Wojciech Szymanowski Seminarium 2004 PP, SKiSR 1

2 Plan prezentacji Wstęp Wykorzystane mechanizmy i ich zastosowanie Infrastruktura klucza publicznego PKI Wartość prawna podpisu cyfrowego Karty elektroniczne zastosowanie w podpisie cyfrowym Urzędy certyfikacji w Polsce Seminarium 2004 PP, SKiSR 2

3 Definicja Podpis cyfrowy - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.[4] Seminarium 2004 PP, SKiSR 3

4 Definicje (2) Bezpieczny podpis elektroniczny, to podpis elektroniczny, który: jest przyporządkowany wyłącznie do osoby składającej ten podpis (funkcja identyfikacyjna), jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego (funkcja ostrzegawcza - proces i forma składania podpisu niosą ze sobą ostrzeżenie, że złożenie podpisu niesie za sobą określone konsekwencje), jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna (funkcja identyfikacyjna). [4] Seminarium 2004 PP, SKiSR 4

5 Wykorzystywane mechanizmy Kryptografia klucza publicznego Podpisy cyfrowe Certyfikaty cyfrowe Seminarium 2004 PP, SKiSR 5

6 Kryptografia klucza publicznego (1) Szyfrowanie asymetryczne (RSA, DSS) Para kluczy: publiczny i tajny Seminarium 2004 PP, SKiSR 6

7 Kryptografia klucza publicznego (2) Seminarium 2004 PP, SKiSR 7

8 Kryptografia klucza publicznego (3) Bezpieczeństwo: Konieczność weryfikacji źródła pochodzenia klucza publicznego zapotrzebowanie na dodatkowe mechanizmy kontroli Seminarium 2004 PP, SKiSR 8

9 Podpisy cyfrowe (1) Mechanizmy: Kryptografia klucza publicznego Funkcja skrótu Funkcje: Jednoznaczna identyfikacja źródła transakcji Kontrola nienaruszalności treści transakcji Seminarium 2004 PP, SKiSR 9

10 Podpisy cyfrowe (2) Seminarium 2004 PP, SKiSR 10

11 Podpisy cyfrowe (3) Bezpieczeństwo: Problem sfałszowanego klucza publicznego ten sam problem, co przy szyfrowaniu - zapotrzebowanie na dodatkowe mechanizmy kontroli Seminarium 2004 PP, SKiSR 11

12 Certyfikaty cyfrowe (1) Funkcje certyfikatów: Potwierdzanie autentyczności kluczy publicznych przez stronę trzecią wydawcę certyfikatu Seminarium 2004 PP, SKiSR 12

13 Certyfikaty cyfrowe (2) Mechanizm działania certyfikatu: Podpisanie danych użytkownika (klucz publiczny + opis) przez wydawcę certyfikatu - certyfikat Weryfikacja certyfikatu deszyfracja kluczem publicznym wydawcy certyfikatu Seminarium 2004 PP, SKiSR 13

14 Certyfikaty cyfrowe (3) Seminarium 2004 PP, SKiSR 14

15 Certyfikaty cyfrowe (4) Ograniczony czas życia certyfikatu: Unieważnienie certyfikatu Wygaśniecie daty ważności Ujawnienie klucza prywatnego Odnawianie certyfikatu Seminarium 2004 PP, SKiSR 15

16 Infrastruktura klucza publicznego PKI (1) PKI (Public Key Infastructure) zbiór sprzętu, oprogramowania, reguł oraz procedur niezbędnych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym [1] Funkcje zapewnienie zarządzania kluczami oraz certyfikatami stosowanymi w kryptografii klucza publicznego Seminarium 2004 PP, SKiSR 16

17 Infrastruktura klucza publicznego PKI (2) Podstawowe elementy: CA (Certification Authorities - wydawca certyfikatów), przydziela i odbiera certyfikaty. ORA (Organizational Registration Authorities - ciało organizacyjne rejestracji) poręcza za powiązania pomiędzy kluczami publicznymi, tożsamością posiadaczy certyfikatów oraz innymi atrybutami. Posiadacze certyfikatów, którym wydawane są certyfikaty i którzy mogą podpisywać dokumenty cyfrowe. Klienci, którzy zatwierdzają cyfrowe podpisy oraz ich ścieżki certyfikowania prowadzące od znanych publicznych kluczy zaufanych CA. Katalogi przechowujące i udostępniające certyfikaty oraz listy certyfikatów unieważnionych (CRL - Certificate Revocation List). Seminarium 2004 PP, SKiSR 17

18 Infrastruktura klucza publicznego PKI (3) Standardy: Standard X powszechnie akceptowana podstawa infrastruktury PKI, definiująca formaty danych oraz procedury związane z dystrybucją kluczy publicznych za pomocą certyfikatów cyfrowo podpisanych przez CA Aktualne wydania standardów definiuje certyfikat X.509 w wersji 3 oraz CRL w wersji 2 Seminarium 2004 PP, SKiSR 18

19 Infrastruktura klucza publicznego PKI Funkcje systemów PKI: (4) Generowanie kluczy - w zależności od przyjętej strategii CA para kluczy prywatny/publiczny może być generowana albo lokalnie przez użytkownika, albo przez CA. W tym drugim przypadku klucze mogą zostać dostarczone użytkownikowi w zaszyfrowanym pliku albo w postaci fizycznej (inteligentna karta albo karta PCMCIA). Rejestracja - proces, za pomocą którego dana jednostka przedstawia się CA - bezpośrednio lub za pośrednictwem Urzędu Rejestracji (Registration Authority - RA), zanim CA wyda jej certyfikat lub certyfikaty. Seminarium 2004 PP, SKiSR 19

20 Infrastruktura klucza publicznego PKI (5) Funkcje systemów PKI (c.d.): Certyfikowanie - proces, w którym CA wydaje certyfikat dla klucza publicznego danej jednostki, a następnie zwraca jej ten certyfikat, albo udostępnia go publicznie w katalogu certyfikatów. Uaktualnianie kluczy. Wszystkie pary kluczy muszą być regularnie uaktualniane (to znaczy zastępowane nowymi parami), wydawane muszą być także nowe certyfikaty. Proces ten ma miejsce w dwóch przypadkach: normalnym - po upłynięciu terminu ważności klucza, oraz wyjątkowym - jeśli klucz został ujawniony i musi być zmieniony. Seminarium 2004 PP, SKiSR 20

21 Infrastruktura klucza publicznego PKI (6) Funkcje systemów PKI (c.d.): Historia kluczy - użytkownicy muszą mieć dostęp do danych generowanych wcześniejszą wersją klucza Składowanie i odtwarzanie kluczy kopie zapasowe na wypadek awarii Obsługa cechy niezaprzeczalności pary kluczy do szyfrowania mogą być składowane i powielane. Natomiast para do podpisywania jest zawsze jedna. Seminarium 2004 PP, SKiSR 21

22 Infrastruktura klucza publicznego PKI Funkcje systemów PKI (c.d.) (7) Certyfikowanie przechodnie obsługa certyfikacji jeden do jednego między dwoma CA, oraz obsługa wielopoziomowego, hierarchicznego modelu CA Seminarium 2004 PP, SKiSR 22

23 Wartość prawna podpisu cyfrowego (1) Ustawa o podpisie cyfrowym: podstawowe uregulowanie w prawie polskim dotyczące problematyki podpisu elektronicznego (cyfrowego) możliwość posługiwania się podpisem cyfrowym mającym wartość prawną Seminarium 2004 PP, SKiSR 23

24 Wartość prawna podpisu cyfrowego (2) Kwalifikowany bezpieczny podpis cyfrowy Certyfikat spełniający warunki określone w ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w ustawie to certyfikat kwalifikowany. [3] O kwalifikowanym bezpiecznym podpisie elektronicznym można mówić wtedy, gdy użyto przy jego składaniu kwalifikowanego certyfikatu wydanego przez kwalifikowany podmiot certyfikacyjny, wpisany do odpowiedniego rejestru.[3] Seminarium 2004 PP, SKiSR 24

25 Wartość prawna podpisu cyfrowego (3) Oświadczenie woli złożone w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu jest równoważne z oświadczeniem woli złożonym w formie pisemnej. [3] Seminarium 2004 PP, SKiSR 25

26 Wartość prawna podpisu cyfrowego (4) Niedociągnięcia w ustawie: Zgodnie z ustawą certyfikat wydawany jest zawsze na określony czas. Po upływie tego okresu traci ważność, a to oznacza, że z chwilą utraty ważności przez certyfikat nie można powoływać się na domniemanie z art.6 ustęp 3, że dana osoba złożyła ten podpis. Taki zapis ustawy powinien być jak najszybciej zmieniony, gdyż sprzeciwia się zasadzie bezpieczeństwa i pewności obrotu gospodarczego.[3] Seminarium 2004 PP, SKiSR 26

27 Karty elektroniczne zastosowanie w podpisie cyfrowym (1) Karta elektroniczna [5] Urządzenie, zazwyczaj o kształcie karty kredytowej, z wbudowanym układem elektronicznym (chipem). Może mieć też kształt sygnetu, breloczka, itp. Służy jako przenośna pamięć lub do celów obliczeniowych. Może być stosowane jako bezpieczny nośnik informacji (np. kluczy prywatnych, certyfikatów) Do komunikacji z kartą niezbędny jest czytnik kart Seminarium 2004 PP, SKiSR 27

28 Karty elektroniczne zastosowanie w podpisie cyfrowym (2) Funkcje: Przechowywanie klucza prywatnego (certyfikatu) w bezpiecznym miejscu Podpisywanie wiadomości Szyfrowanie/deszyfrowanie danych za pomocą klucza prywatnego (zaimplementowane alg. RSA, DSA) Generacja pary kluczy: prywatny, publiczny (klucz prywatny nigdy nie wydostaje się poza kartę) Seminarium 2004 PP, SKiSR 28

29 Karty elektroniczne zastosowanie w podpisie cyfrowym (3) Rodzaje kart elektronicznych: nośnik certyfikatów urządzenie kryptograficzne Seminarium 2004 PP, SKiSR 29

30 Karty elektroniczne zastosowanie w podpisie cyfrowym (4) Karta jako nośnik certyfikatów: zawiera tylko sam kod certyfikatu wszystkie operacje na kluczu prywatnym wykonywane są na zewnątrz karty, co znacznie podnosi ryzyko przechwycenia i ujawnienia klucza prywatnego Seminarium 2004 PP, SKiSR 30

31 Karty elektroniczne zastosowanie w podpisie cyfrowym (5) Karta jako urządzenie kryptograficzne: oprócz certyfikatu, dodatkowo zawiera moduł kryptograficzny, który umożliwia dokonywanie wszystkich operacji na kluczu prywatnym wewnątrz karty klucz prywatny nigdy nie wydostaje się na zewnątrz większe bezpieczeństwo Seminarium 2004 PP, SKiSR 31

32 Karty elektroniczne zastosowanie w podpisie cyfrowym (6) Bezpieczeństwo dostępu do kart elektronicznych: Autoryzacja za pomocą kodu PIN (przechowywany na karcie lub w bazie na zewnątrz operacje w trybie offline lub online) niemożliwość kopiowania karty (najważniejsze dane zapisane są układzie scalonym i zabezpieczone przed odczytem - ma do nich dostęp tylko procesor) Seminarium 2004 PP, SKiSR 32

33 Karty elektroniczne zastosowanie w podpisie cyfrowym (7) Wady kart elektronicznych: Brak możliwości natychmiastowego zablokowania karty (w przypadku zgubienia lub kradzieży) wówczas ochrona karty przed złodziejem związana jest wyłącznie z tajnością numeru PIN Jeśli go zna ma on dostęp do transakcji offline np. odszyfrowanie jakiegoś tekstu Seminarium 2004 PP, SKiSR 33

34 Karty elektroniczne zastosowanie w podpisie cyfrowym (8) Ceny [9]: Kompletne zestawy (czytnik + karta + oprogramowanie) - od 215 PLN netto Karta UniProtect PKI - od 136 PLN netto ( Seminarium 2004 PP, SKiSR 34

35 Urzędy certyfikacji w Polsce 2. Centrum Certyfikacji Unizeto CERTUM Ośrodek certyfikacji PolCert 4. Centrum Certyfikacji Signet - Seminarium 2004 PP, SKiSR 35

36 Podsumowanie Możliwości podpisu cyfrowego Podpisywanie umów na odległość (mających wartość prawną) gwarantuje otrzymanie dokumentu od konkretnej osoby, stanowi dowód nadania i otrzymania dokumentu, stwarza możliwość składania wniosków, podań, odwołań w formie elektronicznej, przesyłanie wszelkich dokumentów urzędowych (ZUS, Urząd Skarbowy) Weryfikacja przesyłanych danych pod względem integralności Seminarium 2004 PP, SKiSR 36

37 Bibliografia 1. Infrastruktura klucza publicznego i podpisy elektroniczne Ośrodek certyfikacji PolCert biuletyn 3. Ustawa o podpisie elektronicznym 4. Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. 2001r. nr 130 poz ) 5. Centrum Certyfikacji Signet Unicard grupa firm Serwis o bankowości i finansach elektronicznych 8. Centrum Certyfikacji Unizeto CERTUM Podpis elektroniczny - Seminarium 2004 PP, SKiSR 37

38 Pytania Seminarium 2004 PP, SKiSR 38