eidas od Rozporządzenia do technicznej implementacji

Podobne dokumenty
eidas Standardy de iure i de facto oraz rozwiązania niestandardowe

Dziennik Urzędowy Unii Europejskiej

Elektroniczna identyfikacja jak to zrobić w Polsce. Daniel Wachnik

ARIADNA - Dostosowanie Profilu Zaufanego do unijnych wymogów rozporządzenia eidas

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

(Tekst mający znaczenie dla EOG)

Europejska Agenda Cyfrowa

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna

DECYZJE. (Tekst mający znaczenie dla EOG)

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

POPRAWKI PL Zjednoczona w różnorodności PL 2012/0146(COD) Projekt sprawozdania Marita Ulvskog (PE507.

Kwadrans na temat. przygotował Kazimierz Schmidt

Nowe aspekty bezpieczeństwa transakcji elektronicznych. Michał Tabor, CISSP, Ekspert PIIT

Kancelaria Prawna Cieśla & Cieśla. Podpis elektroniczny - kiedy oświadczenie woli wyrażone w formie elektronicznej wywołuje skutki prawne?

Nowe aspekty bezpieczen stwa transakcji elektronicznych. Michał Tabor, CISSP, Ekspert PIIT

Tytuł prezentacji. Naukowa i Akademicka Sieć Komputerowa Transgraniczny Węzeł eidas Commonsign październik 2016 r. WIEDZA I TECHNOLOGIA

Normy zharmonizowane z dyrektywą maszynową

Podpis elektroniczny Teoria i praktyka. Stowarzyszeni PEMI

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej

PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych

Stan normalizacji w zakresie wyrobów cementowych. mgr. inż. Piotr Zapolski

W Polsce do 31 grudnia 1993 roku obowiązywał system normalizacji obligatoryjnej. W okresie od 1994 do 31 grudnia 2002 roku obowiązywał system

E-identyfikacja idealny scenariusz kontra skuteczność. Grzegorz Wójcik Prezes Zarządu Autenti

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Rozwój komunikacji elektronicznej i usług zaufania w społeczeństwie cyfrowym - od konwencji UNCITRAL z 2005 do rozporządzenia eidas z 2014

ISO 20771, czyli pierwsza międzynarodowa norma dotycząca tłumaczeń prawnych

Kodeks Cyfrowy. zakres regulacji / wstępna koncepcja /

Normy a prawo. Dr inż. Grażyna Ożarek. UKSW, Warszawa, Listopad 2015 mgr Artur Staśkiewicz

Węzeł Krajowy. Krzysztof Biniek. Zapraszam na prezentację

Normalizacja dobrowolna i bezpieczeństwo

Andrzej Ruciński XX FORUM TELEINFORMATYKI

Bezpieczeństwo procesów biznesowych w oparciu o identyfikację elektroniczną i usługi zaufania. Michał Tabor, CISSP, Ekspert PIIT

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) NR

Elektroniczny obrót gospodarczy i jego bezpieczeństwo Wykład nr 7. Dr Sylwia Kotecka-Kral CBKE WPAiE UWr

Rola i znaczenie Szczegółowych Specyfikacji Technicznych w procesie inwestycyjnym. Stanisław Styk SBI Biuro Inżynierskie Polskie Drogi ONICO S.A.

Rekomendacja zespołu ds. metod uwierzytelniania (ZMU) powołanego Decyzją Nr 2/2015 Przewodniczącego KRMC. Warszawa, r.

Stare i nowe podejście legislacyjne do harmonizacji technicznej dla potrzeb wspólnego rynku w Unii Europejskiej

Komercjalizacja usług elektronicznej identyfikacji i zaufania

Informacja o infrastrukturze klucza publicznego Certum

Informacja o infrastrukturze klucza publicznego Certum

POPRAWKI PL Zjednoczona w różnorodności PL 2012/0146(COD) Projekt sprawozdania Marita Ulvskog (PE v01-00)

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

DECYZJA DELEGOWANA KOMISJI (UE) / z dnia r.

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Wyzwania prawne nowoczesnego e-commerce - w UE i poza UE

e-administracja Uniwersytet Jagielloński Wydział Prawa i Administracji mgr inż.piotr Jarosz

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Regulamin Kwalifikowanych Usług Zaufania CERTUM PCC

Podpis elektroniczny. ale nie od strony X.509 schematu dla certyfikatów kluczy publicznych służącego do budowania hierarchicznej struktury PKI

Uwarunkowania certyfikacyjne ERTMS w Polsce

Bezpieczeństwo w

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Korzyści z dobrowolnej certyfikacji na Znak Zgodności z Polską Normą

Data sporządzenia 11 maja 2016 r.

Śląski Konwent Informatyków i Administracji Samorządowej

PARLAMENT EUROPEJSKI Komisja Rolnictwa i Rozwoju Wsi

Wymiar prawny eid w Polsce

Jednym z podstawowych obowiązków państwa jest zapewnienie bezpieczeństwa jego obywateli. Zapewnienie bezpieczeństwa pod względem pożarowym obiektów i

SYSTEM DOBROWOLNEJ NORMALIZACJI

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

(Tekst mający znaczenie dla EOG)

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

1 z , 12:45

ADMINISTRACJA ELEKTRONICZNA. Autor: Jacek Janowski

E-DOWÓD FUNKCJE I KONSTRUKCJA. Maciej Marciniak

Prezentacja Jednostki Certyfikującej Głównego Instytutu Górnictwa W Katowicach

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

Authenticated Encryption

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Warszawa, dnia 7 października 2013 r. Poz ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 24 września 2013 r.

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

(Tekst mający znaczenie dla EOG)

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

DEKLARACJA KOŃCOWA EFPE 2013 DOTYCZĄCA NOWYCH UNIJNYCH RAM PRAWNYCH DLA USŁUG ZAUFANIA

NORMALIZACJA W OBSZARZE

Uwagi do projektów rozporządzeń związanych z platformą epuap

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Oznaczenie CE a certyfikacja dobrowolna konkurencja czy synergia

PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

(Tekst mający znaczenie dla EOG)

Prawo gospodarcze i cywilne dla kadr sądów powszechnych apelacji łódzkiej i warszawskiej

IMPLEMENTACJA EUROKODÓW KONSTRUKCYJNYCH DO ZBIORU POLSKICH NORM: HISTORIA I STAN OBECNY

I. O P I S S Z K O L E N I A

Zmiany normalizacyjne w obszarze bezpieczeństwa przeciwwybuchowego. mgr inż. Wojciech Kwiatkowski

Ochrona danych osobowych

(Tekst mający znaczenie dla EOG)

Potwierdzanie tożsamości w cyfrowym świecie VII Konferencja i Narodowy Test Interoperacyjności Podpisu Elektronicznego CommonSign 2017

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 338 ust. 1,

Oświadczenie o infrastrukturze klucza publicznego Data: Status: Obowiązujący PWPW S.A. Wersja 1.1. Page

UCHWAŁA NR 2105/39/2018 KRAJOWEJ RADY BIEGŁYCH REWIDENTÓW. z dnia 10 kwietnia 2018 r.

Ustawa o zmianie ustawy o transporcie kolejowym stan zaawansowania. Rafał Iwański Ministerstwo Infrastruktury

Informacja o infrastrukturze klucza publicznego Certum QCA

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Wdrożenie rozporządzenia eidas w Polsce

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

L 299/18 Dziennik Urzędowy Unii Europejskiej

Transkrypt:

eidas od Rozporządzenia do technicznej implementacji Tomasz Mielnicki, PKN KT 172, Gemalto CommonSign 2015 Warszawa, 21-22 października

Czym zajmuje się KT 172? Komitet Techniczny ds. Identyfikacji Osób, Podpisu Elektronicznego, Kart Elektronicznych oraz Powiązanych z nimi Systemów i Działań Współpraca międzynarodowa: komitet lustrzany" CEN TC/224 (polscy reprezentanci w WG15, 17, 18 głównie Gemalto Polska i PWPW) komitet ISO/IEC JTC1/SC 17 Cards and personal identification Trwa opracowywanie polskich wersji językowych norm dot. e- podpisu (seria PN-EN 419211 profile zabezpieczeń). KT 172 jest w trakcie przejęcia (z KT 11) współpracy z podkomitetem ETSI ESI (Electronic Signatures and Infrastuctures) Normy objęte mandatem M/460 będą miały status Polskiej Normy.

Rozporządzenie eidas: postęp Wrzesień 2014: rozporządzenie eidas wchodzi w życie. 1 lipica 2016: rozporządzenie eidas wchodzi do stosowania wcześniejsze prawo dla e-podpisów przestaje obowiązywać 29 września 2018: Obowwiązkowe wzajemne uznawanie eid: Zasady Dyrektywy 99/93/EC Zasady Rozporządzenia eidas 2014 2015 2016 2017 2018 2019 Notyfikacja środków identyfikacji (eid) 3 Wrzesień 2015: przyjęcie 4 aktów wykonawczych dot. interoperacyjności, poziomów wiarygodności, formatów e-podpisu i pieczęci, zaufanych list Publikacja pierwszej listy notyfikowanych eid Dobrowolne uznawanie eid Obowiązkowe uznawanie

Rozporządzenie eidas - przegląd Rozporządzenie eidas eid Usługi zaufania E-podpisy E-pieczęci Znacznik czasu Interoperacyjność E-doręczenie Uwierzytelnienie witryn Techniczne specyfikacje mają być określone w aktach podrzędnych, ale... 4

... to nie takie proste Rodzaje aktów podrzędnych Wdrażające Obowiązkowe Z terminem Merytoryczne (Substantive) Delegujące Opcjonalne Bez terminu Odwołujące (Referencing) Najważniejsze akty dla eid Poziomy wiarygodności, interoperacyjność, współpraca, notyfikacja (obowiązkowe, merytoryczne, z terminem -> przyjętę Najważniejsze akty dla e-podpisu Formaty e-podpisu i pieczęci -> (obowiązkowe, odwołujące się, z terminem) -> przyjęty Certyfikacja podpis na karcie i serwerze (obowiązkowy, odwołujący się, bez terminu) -> oczekujący

Standardy i technologie Rozporządzenie eidas eid Podpis tokenowy Podpis serwerowy eid eidas Token (TR3110) FIDO Mobile ID Token PKI X.509 eidas Token (TR Sign) Sole Control Comp. TSCM/ HSM OTP/ OATH Inne... Podpis serwerowy wymaga nowego podejścia do wyłącznej kontroli oraz uwierzytelnienia (jak dla każdej usługi on-line )

Poziom wiarygodności Charakterystyka i konstrukcja Uwierzytelnienie eid Levels of Assurance dilemas Średni dwa czynniki uwierzytelniania należące do różnych kategorii można zakładać, iż jest on stosowany jedynie przez osobę, do której należy, lub pod jej kontrolą Wysoki Poziom średni oraz: ochrona przed powielaniem i manipulacją oraz przed atakującymi dysponującymi wysokim potencjałem ataku może być niezawodnie chroniony przez osobę, do której należy, przed wykorzystaniem przez innych Uwierzytelnienie dynamiczne jest mało prawdopodobne, aby takie działania jak zgadywanie, podsłuchiwanie, odtwarzanie lub manipulowanie komunikacji przez atakującego o umiarkowanym potencjale ataku mogło zachwiać mechanizmami uwierzytelniania Poziom średni oraz: jest mało prawdopodobne, aby takie działania jak zgadywanie, podsłuchiwanie, odtwarzanie lub manipulowanie komunikacji przez atakującego o wysokim potencjale ataku mogło zachwiać mechanizmami uwierzytelniania Przynajmniej Common Criteria definiuje wysoki potencjał ataku (VAN.5) Certyfikowany bezpieczny element to domniemana zgodność z poziomem wysokim 7

Profile zabezpieczeń podpisu serwerowego PP SAP/SAD WG17 ANSSI? Tekst roboczy Certyfikacja? WG17 ANSSI?? PP TSCM Tekst roboczy Certyfikacja PP CEN - PP SAP/SAD = EN 419 241-2 - PP TSCM = EN 419 241-3 - PP HSM Generic = EN 419 221-5 PP HSM WG17 Tekst roboczy ANSSI Certyfikacja? Q2 Q3 Q4 Q1 Q2 Q3 Q4 2015 2016 IA Art. 30 Tekst roboczy Referencja w tekście? Za późno! x Teks przyjęty Certyfikacja jest obowiązkowa, ale......nie ma terminu przyjęcia aktu wykonawczego ani norm. 8

Co jeśli nie będzie profili zabezpieczeń dla certyfikacji serwerowego QSCD? Rozporządzenie mówi: Komisja sporządza [...] listę norm dotyczących oceny bezpieczeństwa produktów informatycznych [...]. Certyfikacja [...] opiera się na następujących elementach: [a] [...] procedurze oceny bezpieczeństwa, przeprowadzanej zgodnie z jedną z norm dotyczących oceny bezpieczeństwa produktów informatycznych uwzględnionych na liście sporządzonej [...]; lub [b] procedurze innej niż procedura, o której mowa w lit. a), pod warunkiem że w procedurze tej stosuje się porównywalne poziomy bezpieczeństwa i podmiot publiczny lub prywatny, o którym mowa w ust. 1, zgłosi tę procedurę Komisji. Procedura ta może zostać zastosowana wyłącznie w razie braku norm, o których mowa w lit. a), lub gdy procedura oceny bezpieczeństwa, o której mowa w lit. a), wciąż trwa 9

Co to jest podpis serwerowy? Czym jest podpis serwerowy Klucze (podpisującego) przechowywane na serwerze (w chmurze) Utrzymanie wyłącznej kontroli i bezpieczeństwa Rozwiązanie równoległe do podpisu tokenowego Podpis serwerowy nie ma na celu obniżenia poziomu bezpieczeństwa zastąpienia tokenów/kart elektroncznych Wnosi nowe możliwości... Większą przyjazność dla użytkownika Brak middleware Łatwiejsze utrzymanie, automatyzacja procesów,...... oraz nowe zagrożenia Wyłączna kontrola: CEN WG17 definiuje protokół SAP ( Signature Activation Protocol ) Nowe zagrożenia: - bypass authentication - bypass sole control - unauthorised signature - non-qualified signature transformed into Qualified - weak key generation and binding to usage or identity -... eid / Uwierzytelnienie Internet Serwer (TSCM) Komponent wyłącznej kontroli Pytanie przy okazji: czy uwierzytelnienie i wyłączna kontrola (SAP) mogą być delegowana przez TSP trzeciej stronie? HSM 10

Podsumowanie Brak w eidas precyzyjnych standardów technicznych dla obszaru eid Nie wszystkie standardy dla e-podpisu mogą być na czas Proces legislacyjny: postęp, ale: - definicje poziomów wiarygodności eid niejasno rozróżniają poszczególne poziomy - proces certyfikacji bezpieczeństwa urządzeń do składania podpisu serwerowego niejasny - podpis serwerowy to duża szansa, ale wnosi też nowe zagrożenia - niejasne powiązanie eid i podpisu serwerowego 11

DZIĘKUJĘ ZA UWAGĘ

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres