Bezpieczeństwo i szyfrowanie poczty elektronicznej z wykorzystaniem certyfikatów kwalifikowanych i niekwalifikowanych Krzysztof Bińkowski / ISSA Polska Warszawa 2008.05.28
Agenda Czy nasza poczta jest bezpieczna? Czy szyfrować? Podpis elektroniczny certyfikat kwalifikowany Certyfikat niekwalifikowany SMARTCARD jako bezpieczny nośnik certyfikatów Szyfrowanie emaili Thawte
Wprowadzenie Czy zawartość naszej poczty jest bezpieczna? Czy ktoś czyta nasza pocztę? GMAIL fenomen czy zagrożenie? Bezpieczeństwo naszej poczty zależy od : zaufania do Administratora Zaufania do firmy hostującej usługę email Zabezpieczenia klienta poczty elektronicznej i archiwum poczty
Czy szyfrować pocztę?
Ochrona poczty elektronicznej Szyfrowanie i podpisywanie poczty S/MIME Server email IMAPS SSL Server poczty /www
Certyfikat kwalifikowany Definicja wg UNIZETO Co to jest certyfikat kwalifikowany? Certyfikat spełniający wymagania Ustawy o podpisie elektronicznym, * wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne. Podpis elektroniczny weryfikowany za pomocą certyfikatu kwalifikowanego oraz złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego, jest równoważny podpisowi własnoręcznemu. Wymagania ustawy i przepisów wykonawczych dotyczą m.in. poziomu zabezpieczeń sprzętu, niepowtarzalności pewnych danych i metod obsługi klientów. Certyfikat kwalifikowany może być wydany jedynie osobie fizycznej. Definicja wg KIR "Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny." Art. 3 Ustawy o podpisie elektronicznym.* Podstawowe własności podpisu elektronicznego: Unikalność - każdy elektroniczny dokument posiada unikalny podpis cyfrowy ściśle z nim związany. Integralność - jakakolwiek zmiana dokumentu podpisanego cyfrowo zostanie natychmiast wykryta w momencie weryfikacji podpisu. Niezaprzeczalność - tylko osoba posiadająca klucz prywatny korespondujący z kluczem publicznym wykorzystanym do weryfikacji podpisu mogła wygenerować podpis pod dokumentem. * http://www.certum.pl/upload_module/downloads/unizeto/rozporzadzenia/ustawazdnia_18.09.2001.pdf
Certyfikat kwalifikowany - zastosowanie Certyfikat kwalifikowany można wykorzystywać między innymi do: kontaktów drogą elektroniczną z Zakładem Ubezpieczeń Społecznych (ZUS), np.:podpisania wniosku o wydanie zaświadczenia o niezaleganiu ze składkami na ubezpieczenie społeczne, podpisania deklaracji, nadawania mocy prawnej dokumentom w kontaktach prawnych przez Internet (np. upoważnienia elektroniczne w ZUS), pozyskiwania wypisów elektronicznych dotyczących wszystkich podmiotów gospodarczych wpisanych do Krajowego Rejestru Sądowego (KRS) (pdi.cors.gov.pl), podpisywania urzędowej korespondencji z podmiotami administracji publicznej za pośrednictwem elektronicznej skrzynki podawczej, składania e-deklaracji podatkowych (www.e-deklaracje.gov.pl), zawierania umów cywilno-prawnych w formie elektronicznej, wystawiania faktur w formie elektronicznej, uczestniczenia w aukcjach i przetargach elektronicznych (np. www.e-przetarg.pl), podpisywania raportów do Generalnego Inspektora Informacji Finansowej (GIIF), zgłaszania drogą elektroniczną zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), składania e-deklaracji do Ubezpieczeniowego Funduszu Gwarancyjnego (UFG).
Certyfikat kwalifikowany Wystawcy w Polsce, Lista podmiotów w kolejności rejestracji ich w rejestrze: UNIZETO TECHNOLOGIES http://www.certum.pl POLSKA WYTWÓRNIA PAPIERÓW WARTOŚCIOWYCH http://www.sigillum.pl/ TP INTERNET http://www.signet.pl/ już nie istnieje KRAJOWA IZBA ROZLICZENIOWA http://www.kir.pl
Certyfikat kwalifikowany - koszt
Certyfikat kwalifikowany - DEMO Aplikacja SZAFIR KIR http://www.kir.com.pl/systems/kir/_files_/aplikacje_i_dokume nty_do_pobrania/szafir_demo_1_0_3_build_165.exe
Certyfikat niekwalifikowany zastosowanie szyfrowanie poczty elektronicznej, szyfrowanie plików, podpisywanie danych, w tym poczty elektronicznej (jednak z mniejszą mocą prawną, niż w przypadku certyfikatu kwalifikowanego).
Certyfikat niekwalifikowany Podpisywanie wiadomości poczty elektronicznej, które zapewniają nam: integralność - która daje nam pewność, że wiadomość nie została zmienione w drodze do odbiorcy niezaprzeczalność - gwarantuje nam iż został on podpisany przez właściwą osobę posiadającą klucz prywatny autentyczność zapewnia, iż nadawca jest tą osobą, za kogo się podaje Szyfrowanie wiadomości oraz jej załączników poufność gwarantuje nam, że wiadomość zostanie odczytana tylko przez właściwą osobę
Certyfikat niekwalifikowany Rodzaje: Testowy - UNIZETO, COMODO, inni Własne PKI, CA niezaufane Darmowy Thawte Komercyjne Unizeto,KIR,Sigillum, Thawte,VeriSign
Certyfikat niekwalifikowany - cechy http://www.certum.pl/certum/certum,pz_cechy_nqc_zaufanych.xml
Certyfikat niekwalifikowany - koszt http://www.certum.pl/certum/cert,oferta_cennik.xml
PKI Wymagania Rozwiązanie Poufność Autentyczność Integralność Szyfrowanie Funkcja skrótu, podpis cyfrowy Funkcja skrótu, podpis cyfrowy Niezaprzeczalność Podpis cyfrowy, znaczniki czasu
PKI - zadania Klucze Generowanie Ochrona Certyfikaty Zaufanie CA Trusted root CA Lista certyfikatów unieważnionych CRL Weryfikacja ważności certyfikatu
E-Mail Standards MIME - Multipurpose Internet Mail Extension Secure MIME (S/MIME) Pretty Good Privacy (PGP) MIME Object Security Services (MOSS) permits user identification outside of the X.509 Standard Privacy-Enhanced Mail (PEM) Message Security Protocol (MSP) / military s PEM
Dwa modele zaufania Web of trust - każdy każdemu PGP Zaufanie do CA nadrzędnej instytucji - PKI
S/MIME Message Encryption and Decryption 1. Message is encrypted with session key. 2. Session key is encrypted with recipient s public key. 3. After encrypted message is received, recipient decrypts session key with the recipient s private key. 4. Message is decrypted with session key. http://www.microsoft.com/technet/security/guidance/cryptographyetc/certs.mspx
Smart Cards Client Authentication Interactive Logon Remote Access Authentication Custom Applications Smart Cards Secure E-mail Signing Certificate Requests Code Signing
Smart Cards Smart cards: Have a built-in processor Are programmable Provide secure storage for private keys Isolate security-critical operations from the computer Smart cards provide storage for: The private key The public key The associated certificate
Smartcard GemPlus Schlumberger Siemens Windows for Smart Cards (ATMEL,Infineon) Rodzimi producenci np. Cryptotech Kryteria wyboru: musi być dostarczany CSP dla Windows,Linux pojemność 8,16K (ile certyfikatów) wsparcie dla certyfikatów kwalifikowanych dodatkowa funkcjonalność
Configure Outlook 2002 for Secure E-mail Messages Option Signing and Encryption certificates Hash algorithms Encryption algorithms Outgoing e-mail default settings Configuration choices Any Secure Email certificate in the user s certificate store SHA1: Strongest MD5: Weakest 3DES RC2 (128-bit or 64-bit) DES RC2 (40-bit) Encrypt outgoing messages Sign outgoing messages Send plaintext signed messages Request secure receipts for signed messages
Darmowy podpis elektroniczny do zabezpieczania poczty elektronicznej na przykładzie THAWTE http://www.wss.pl/articles/7641.aspx Thawte WOT Notary ( Web Of Trust ) Spis treści Spis treści Do czego służy podpis elektroniczny niekwalifikowany? Jak działa podpis elektroniczny? Jak uzyskać swój własny podpis elektroniczny? Dlaczego THAWTE? Rejestracja konta w systemie THAWTE Żądanie wystawienia certyfikatu Instalacja wydanego certyfikatu Backup (export certyfikatu do pliku) Instalacja i konfiguracja certyfikatu w programie pocztowym Uzyskanie certyfikatu z imieniem i nazwiskiem, przystąpienie do społeczności THAWTE WOT Podsumowanie
Certyfikaty darmowe wydane przez Thawte
Dziękuję za uwagę Pytania? Kontakt : K.Binkowski@issa.org.pl lub Krzysztof.Binkowski@gmail.com