Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski Konferencja i3 Wrocław, 2 grudnia 2010
Plan wystąpienia PKI Infrastruktura Klucza Publicznego Zastosowania certyfikatów X.509 Jak to działa PIONIER PKI informacje ogólne cel projektu zakres działania rozwiązanie wyniki projektu perspektywy rozwojowe Podsumowanie 2/ 31
PKI Infrastruktura Klucza Publicznego Definicja: Ogół zagadnień technicznych, operacyjnych i organizacyjnych umożliwiających realizacje różnych usług ochrony informacji przy zastosowaniu kryptografii klucza publicznego i certyfikatów klucza publicznego Budowa PKI: Urząd Rejestracji (RA) -weryfikacja danych użytkownika, a następnie jego rejestracja Urząd Certyfikacji (CA) - wydawanie certyfikatów cyfrowych Repozytoria kluczy, certyfikatów oraz List Unieważnionych Certyfikatów (CRL) Usługi dodatkowe: OCSP, TSA, portal informacyjny Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski, Wrocław, 2.12.2010 3/ 31
Zastosowania certyfikatów X.509 Certyfikaty w infrastrukturze gridówobliczeniowych Certyfikaty w eduroam Certyfikaty w sieciach VPN Certyfikaty w serwerach WWW (SSL) Certyfikaty w serwerach poczty elektronicznej Certyfikaty indywidualne (pracownicy, studenci) Certyfikaty do podpisywania kodu oprogramowania Certyfikaty atrybutów Znacznik czasu Uwierzytelnianie w sieci XMPP Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski, Wrocław, 2.12.2010 4/ 31
Jak to działa (1) W uwierzytelnianie na podstawie certyfikatów zaangażowane są trzy strony: strona uwierzytelniana, posiadająca certyfikat wystawiony przez urząd certyfikacji (CA) strona uwierzytelniająca, uznająca zaufanie CA urząd certyfikacji, wystawiający certyfikaty (tzw. Zaufana Strona Trzecia) Strona uwierzytelniająca ufa wszystkim mającym ważny certyfikat wystawiony przez CA uznane za zaufane. Podstawą działania są relacje zaufania między podmiotami. 5/ 31
Jak to działa (2) 6/ 31
Jak to działa podpis, szyfrowanie 7/ 31
Projekt Pionier PKI - cel projektu Projekt wdrożenia infrastruktury klucza publicznego dla użytkowników sieci PIONIERmiał na celu opracowanie struktury zaufanych centrów certyfikacji dla sieci PIONIER oraz opracowanie jednolitych procedur wystawiania certyfikatów. Projekt miał charakter pilotażowo-wdrożeniowy Projekt określił polityki certyfikacji oraz procedury postępowania certyfikacyjnego dla Urzędów Certyfikacji o różnych poziomach zaufania Projekt daje szkielet PIONIER PKI (podstawowa struktura) oraz narzędzia do uruchomienia/tworzenia własnego CA i przyłączenia do Pionier PKI 8/ 31
Projekt Pionier PKI - zakres działania Zadania Pionier PKI: wystawianie certyfikatów użytkownikom usług obliczeniowych wystawianie certyfikatów użytkownikom i uczestnikom krajowych i międzynarodowych projektów wystawianie certyfikatów pracownikom i użytkownikom usług udostępnianych w ramach sieci PIONIER oraz przez uczelnie: eduroam sieci VPN bezpieczny dostęp do usług WWW poczta elektroniczna systemy biblioteczne wystawianie certyfikatów dla serwerów usług 9/ 31
Projekt Pionier PKI - etapy prac Zadania projektowe podzielono na: analityczne(analiza potrzeb oraz stanu obecnego) badawczo-rozwojowe(określenie podstaw teoretycznych dla całego projektu, zdefiniowanie struktury ośrodków CA/RA, ich obszary działania, przestrzenie nazw, powiązania funkcyjne oraz zakresy kompetencji) wdrożeniowe(uruchomienie centrów certyfikacyjnych tworzących infrastrukturę klucza publicznego: Root-CA, CA oraz RA) zadania dokumentacyjne (raporty z wyników analiz, badań oraz testów oprogramowania, dokumenty zawierające polityki certyfikacji oraz procedury postępowania certyfikacyjnego) 10/ 31
Projekt Pionier PKI - struktura (1) 11/ 31
Projekt Pionier PKI - struktura (2) Infrastruktura: Główny Urząd Certyfikacji (Root-CA) 3 Pośrednie Urzędy Certyfikacji (Sub-Root-CA). Sub-Root-CA ustanawiają poziomy zaufania oraz ograniczają zastosowania certyfikatów. sieć końcowych Urzędów Certyfikacji (CA) sieć Urzędów Rejestracji odpowiedzialnych za weryfikację wniosków o wydanie certyfikatu (RA). RA rozlokowane są możliwie blisko potencjalnych użytkowników. Możliwość włączania CA spełniających założenia przyjętych polityk -rozbudowa sieci PKI. 12/ 31
Projekt Pionier PKI - elementy CP (1) -klucze prywatne dla certyfikatów końcowych muszą mieć długość co najmniej 2048 bitów, -klucze prywatne Root-CA, Sub-Root-CA przechowywane są na kartach kryptograficznych, -nie ograniczać od góry długości klucza (mimo wiedzy, że przy zbyt długich kluczach mogą występować kłopoty po stronie aplikacji klienckich), -nie dopuszcza się używania algorytmów MD5, używanie algorytmu SHA-1 zostanie ograniczone czasowo, zalecanym algorytmem jest SHA-2, -czas ważności certyfikatu nie może być dłuższy niż 3 lata, -czas ważności certyfikatu Root CA oraz Sub-Root-CAto 20 lat, mechanizm kontrasygnaty przy operacjach na poziomie Root CA oraz Sub-Root-CA 13/ 31
Projekt Pionier PKI - elementy CP (2) - każda polityka musi mieć swój OID, OID powinien być publikowany w certyfikacie, -informacja o odbiorcy usługi (użytkowniku końcowym) musi być podana w dokumencie Polityki (CP) dla każdego CA oraz Root CA, -procedura weryfikacja użytkownika końcowego (możliwość otrzymania certyfikatu pseudoanonimowego ), -CA będą obsługiwane przez dedykowane stacje robocze znajdujące się w zamkniętym pomieszczeniu z ograniczonym dostępem, -CA będą przechodziły audyty zgodności z politykami PIONIER PKI (początkowy audyt oraz regularne okresowe audyty 14/ 31
PIONIER PKI - wdrożenie Wybrano oprogramowanie PKI: Root CA, Sub-RootCA : CA, RA: OCSP: TSA: TRS: OpenSSL+ własne UI EJBCA (by PrimeKey) OCSP (by PrimeKey) SignServer(by PrimeKey) OTRS (OpenTroubleRequestSystem) Cechy rozwiązania: Własne interfejsy użytkownika Integracja interfejsów oraz usług dodatkowych w jednym portalu Przezroczystość dla użytkownika CA catch-all Architektura HA dla OCSP oraz portalu użytkownika (rozproszenie) Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski, Wrocław, 2.12.2010 15 15/ 31
PIONIER PKI - sprzęt Serwer (praca on-line) Stacja robocza (praca off-line) Wirualizacja: VMware, VirtualBox, Solaris Containers 16/ 31
PIONIER PKI - węzeł lokalny 17/ 31
PIONIER PKI -publikowanie 18/ 31
PIONIER PKI - oprogramowanie RA (1) 19/ 31
PIONIER PKI - oprogramowanie RA (2) 20/ 31
PIONIER PKI - oprogramowanie RA (3) 21/ 31
PIONIER PKI - oprogramowanie CA (1) 22/ 31
PIONIER PKI - oprogramowanie CA (2) 23/ 31
PIONIER PKI - oprogramowanie CA (3) 24/ 31
PIONIER PKI - oprogramowanie TRS (1) 25/ 31
PIONIER PKI - oprogramowanie TRS (2) 26/ 31
PIONIER PKI - perspektywy rozwojowe Edukacja oraz propagacja rozwiązań - po stronie użytkowników końcowych - administratorów usług - po stronie kierowników projektów (harmonizacja) Włączanie kolejnych CA (budowa skutecznie działającej sieci) Wystąpienie do organizacji zewnętrznych o akredytowanie (uznanie, podpisanie) PIONIER PKI, przez co uzyska się zaufanie wewnątrz większych organizacji Uruchomienie usługi znakowania dokumentów czasem 27/ 31
Podsumowanie Po osiągnięciu celów projektu 1. Zwiększenie bezpieczeństwa użytkowników poprzez mechanizmy kryptografii klucza publicznego 2. Użytkownicy sieci PIONIER będą mieli możliwość korzystania ze struktury zaufanych CA w zastosowaniu do swoich usług 3. Użytkownicy (jednostki) będą mogły włączać się do struktury PKI uzyskując status zaufania Dlaczego PIONIER PKI Własna infrastruktura (niezależna od stron trzecich) Możliwość elastycznego dopasowywania do pojawiających się potrzeb Harmonizacja z innymi usługami oraz projektami realizowanymi w skali PIONIER Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski, Wrocław, 2.12.2010 28/ 31
Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski Konferencja i3 Wrocław, 2 grudnia 2010
Przyszłość : Zespół d.s. PIONIER PKI Eksploatacja własnej infrastruktury wymaga jej pielęgnacji. 1. Funkcje nadrzędne i kontrolne w PIONIER PKI. 2. Monitorowanie sieci Urzędów Certyfikacji PIONIER PKI PKI(analiza działalności i potrzeb w rejonach działalności CA) 3. Przeprowadzanie audytów istniejących Urzędów Certyfikacji. 4. Monitorowanie zmian w standardach oraz uwarunkowaniach formalnych (uregulowaniach prawnych) i wydawanie zaleceń Urzędom Certyfikacji. 5. Zatwierdzanie polityk nowych Urzędów Certyfikacji oraz zmian w istniejących Urzędach Certyfikacji. 6. Obsługa centralnych usług (OCSP, portal, TRS, ) 7. Działalność popularyzacyjna (szkolenia wewnętrzne, szkolenia zewnętrzne, konferencje) 8. Współpraca z organizacjami zewnętrznymi 9. Spotkania robocze 30/ 31
Przyszłość : Zespół d.s. PIONIER PKI W trakcie projektu funkcje Zespołu d.s. POINIER PKI pełnili członkowie zespołu projektowego. Po zakończeniu projektu powinien zostać wyznaczony organ (zespół osób) nadzorujący działanie PIONIER PKI. Zespół d.s. PIONIER PKI widziany jako grupa zadaniowa w ramach zespołu bezpieczeństwa/pionier CERT. Początkowo proponuje się by zespół składał się z 8 osób (po 2 osoby z 4 różnych MAN ów). 31/ 31