Upload
glen
View
62
Download
1
Embed Size (px)
DESCRIPTION
Certifikační autorita v praxi. Ing. Petr Budiš , Ph.D. Osnova přednášky. Úvod do problematiky Certifikáty Certifikační autorita – certifikační služby Certifikáty a jejich životní cyklus Legislativa Představení I.CA Časová razítka Ostatní typy certifikátů Dotazy. - PowerPoint PPT Presentation
Citation preview
Snmek 1
Certifikan autorita v praxiIng. Petr Budi, Ph.D.Osnova pednkyvod do problematikyCertifiktyCertifikan autorita certifikan sluby Certifikty a jejich ivotn cyklusLegislativaPedstaven I.CAasov raztkaOstatn typy certifiktDotazy
Cle komunikan bezpenostiDostupnostDvrnost informacneautorizovan subjekty nemaj monost pstupu k dvrnm informacmIntegrita datzabezpeen proti neautorizovan modifikaciAutentinostmonost jednoznan identifikovat odesilatele zprvyNeodmtnutelnost odpovdnostidkaz o pm odpovdnosti subjektu za odeslanou zprvuZajistit, aby procesy, zaloen na elektronick komunikaci byly minimln stejn dvryhodn a bezpen, jako bn procesy spojen s paprovou agendou.Cle komunikan bezpenostiCo je kryptografie?Kryptografie je disciplna, kter ztlesuje zsady, prostedky a metody pro ochranu urench skutenost za elem jejich skryt ped neoprvnnou stranou, zajitn jejich autentinosti, zabrnn jejich nedetekovan modifikaci, zabrnn jejich odmtnut (popen) nebo zabrnn jejich neoprvnnmu pouit.vod do problematikyElektronick podpis PodpisZaruen EP Vlastnorun podpis
Certifikt Prkaz totonostiKvalifikovan certifikt Obansk prkaz
Certifikan autorita Vydavatel prkaz totonostiAkreditovan CA Vydavatel OP
Uznvan elektronick podpis Certifikan autorita certifikan sluby Vydv certifikty (odpovdnost za oven totonosti adatele o certifikt)
Vydv seznam zneplatnnch certifikt CRL (OCSP)
Vydv seznam veejnch certifikt
Zajiuje uloen a distribuci identifikanch informac
Certifikan slubyVydvn komernch certifikt
Vydvn kvalifikovanch certifikt
Vydvn kvalifikovanch systmovch certifikt
Zizovn registranch autorit
Vydvn asovch raztek
Nabdka ipovch karet a teek
Spoluprce s klienty pi implementaci slueb
Dal sluby souvisejc s innost CA (archivace, )
Princip certifiktuCertifikt osahuje identifikaci vlastnka a veejn kl vlastnka.Certifikt je podepsn vystavitelem certifiktu (certifikan autoritou).Certifikt svazuje identitu vlastnka (pana A) a veejn kl vlastnka (veejn kl pana A).Certifikt umouje publikovat veejn kl vlastnka (pana A) certifiktu spolu s jeho identitou.Integrita (neporuenost certifiktu) je chrnna podpisem certifikan autority.Pan A
Certifikan autorita
Certifikt pana A
Veejn kl pana APodpis CAIdentita pana ACertifikt
slo certifiktu Vydavatel certifiktu Jedinen identifikace majitele Platnost certifiktu
Veejn kl majitele
Podpis CA
Proces vydn certifiktuGenerovnpru kl 6. Instalace certifiktu2. Doprava dostik registran autorit5. Zskn certifiktu4. Vydn certifiktu CA3. Oven dostina registran autoritZasln vydanho certifiktu E-mailem
loit dat pro vytven elektronickho podpisuOsobn pota
ipov karta + teka
USB token
14Proces obnovy certifiktu
ivotn cyklus certifiktu
Legislativa k EP
Smrnice Evropskho parlamentu a Rady 1999/93/ESZkon 227/2000 Sb. o elektronickm podpisu v platnm znn Nazen vldy . 495/2004 Sb., kterm se provd zkon .227/2000 Sb., o elektronickm podpisu a o zmn nkterch dalch zkonVyhlka .496/2004 Sb. k elektronickm podatelnmVyhlka z 19.7.2006 .378/2006 Kvalifikovan certifikt podpis Komern certifikt autentizace a ifrovn
Certifikan politika I.CAZkon o e-GovernmentuKlov pojmy v legislativ (1)elektronick podpis - daje v elektronick podob, kter jsou pipojen k datov zprv nebo jsou s n logicky spojen a kter slou jako metoda k jednoznanmu oven identity podepsan osoby ve vztahu k datov zprv
zaruen elektronick podpis - elektronick podpis, kter spluje nsledujc:
je jednoznan spojen s podepisujc osobou,
umouje identifikaci podepisujc osoby ve vztahu k datov zprv,
byl vytvoen a pipojen k datov zprv pomoc prostedk, kter podepisujc osoba me udret pod svou vhradn kontrolou,
je k datov zprv, ke kter se vztahuje, pipojen takovm zpsobem, e je mono zjistit jakoukoliv nslednou zmnu dat,Klov pojmy v legislativ (2)elektronick znaka - daje v elektronick podob, kter jsou pipojen k datov zprv nebo jsou s n logicky spojen a kter spluj nsledujc poadavky
jsou jednoznan spojen s oznaujc osobou a umouj jej identifikaci prostednictvm kvalifikovanho systmovho certifiktu
byly vytvoeny a pipojeny k datov zprv pomoc prostedku pro vytven elektronickch znaek, kter oznaujc osoba me udret pod svou vhradn kontrolou,
jsou k datov zprv, ke kter se vztahuj, pipojeny takovm zpsobem, e je mon zjistit jakoukoli nslednou zmnu dat
kvalifikovan asov raztko - datov zprva, kterou vydal kvalifikovan poskytovatel certifikanch slueb (CA) a kter dvryhodnm zpsobem spojuje data v elektronick podob s asovm okamikem, a zaruuje, e uveden data v elektronick podob existovala ped danm asovm okamikem
Akreditovan poskytovatel certifikancanch slueb v RAkreditaci spolenostem, kter o ni podaj a kter souasn spln poadovan podmnky, vyd MV R (dve MI R, OO)
Zskn akreditace vak pedchz pomrn dlouhodob proces konkrtnch een uvnit tchto spolenost, na jeho konci pokud je tento proces spn - dojde k zskn akreditace pehled akreditac podle MVCR:
Prvn certifikan autorita, a.s.esk pota, s.p.eIdentity, a.s.
Prvn certifikan autoritaPrvn certifikan autorita, a.s. (dle t I.CA), je akreditovanm poskytovatelem certifikanch slueb v esk republice a na Slovensku
I.CA zahjila ppravu pro svou innost ji v roce 1997 a certifikty nejprve komern a pozdji i kvalifikovan - vydv od roku 1998
Vlastn spolenost Prvn certifikan autorita byla zaloena 12.3.2001
Prvn certifikan autorita obdrela ke dni 18.3.2002 akreditaci v esk republice ve smyslu zkona .227/2000 Sb., o elektronickm podpisu v platnm znn
Prvn certifikan autorita obdrela ke dni 21.9.2006 akreditaci na Slovensku ve smyslu zkona .215/2002 Z. z., o elektronickom podpise v platnm znn
Pojem akreditovan certifikan autoritaAkreditovanm poskytovatelem certifikanch slueb se stv certifikan autorita (CA), kter zsk od sttu akreditaci :
v esk republice od MV Rna Slovensku od NB
Proces zskn akreditace je dlouhodob, odborn i finann nron a je-li spn, je zakonen vydnm = zsknm akreditace
Prvn certifikan autorita, a.s., m akreditaci v esk republice a ve Slovensk republice
Pravdpodobn tedy jako jedin certifikan autorita v Evrop m I.CA akreditaci ve dvou zemch Evropsk unie
Rozsah akreditace I.CA v R a v SRRozsah akreditace spolenosti Prvn certifikan autorita, a.s. :
Ministerstvo vnitra R zveejuje v souladu s 9 odst. 2, psm. e) zkona . 227/2000 Sb. nsledujc rozsah akreditace :
Vydvn kvalifikovanch certifikt;Vydvn kvalifikovanch systmovch certifikt;Vydvn kvalifikovanch asovch raztek.
Nrodn bezpenostn rad Slovensk republiky vydal spolenosti Prvn certifikan autorita, a.s., dne 21.z 2006 akreditaci na :
Vydvn kvalifikovanch certifikt;Vydvn kvalifikovanch asovch raztek.
Souhrnn statistiky I.CAI.CA je vznamn poskytovatel certifikanch slueb v esk republice a na Slovensku a za dobu sv psobnosti vydala nejvy poet certifikt
Jako akreditovan certifikan autorita poskytuje t sluby asov autority (kvalifikovan asov raztka)
Za dobu sv psobnosti spolenost I.CA vydala zhruba 1.400.000 certifikt komernch
Dle vydala spolenost I.CA zhruba 230.000 certifikt kvalifikovanch a certifikt kvalifikovanch systmovch (podle Zkona o EP)
I.CA eviduje cca 79.000 platnch kvalifikovanch certifikt
Poet vydanch kvalifikovanch asovch raztek se ji piblil k hranici 1.350.000 raztek za msc
I.CA je dle vznamnm dodavatelem teek ipovch karet a ipovch karet Starcos a token jako nosi pro uloen certifiktLegislativn nedoeen oblastiArchivace elektronickch dokument
Prkaznost proveden operace
Standardizovan garantovan pota
Mezinrodn uznatelnost elektronickho podpisuVyuit certifiktOblast orgn veejn mocirealizace projekt vsouladu se sttn informan politikou (eGovernment)
Finann a bankovn sektoreen bezpen komunikace mezi subjektyportlov aplikacespecializovan aplikace vyuvajc certifikty jako formu zabezpeenpenos dvrnch dat
Sfra stednch a vtch firembezpen komunikace managementu firmybezpen pstup na firemn www server kdvrnm informacm
Internetov veejnostkomunikace se sttn sprvou a samosprvou ve smyslu Zkona o EP
Vyuit certifiktpodn Pehledu o pjmech a vdajch OSV za rokpodn Evidennch list dchodovho pojitn podn Pihlek a odhlek k nemocenskmu pojitn podn Piznn dan z pjm msn podn Piznn dan z pidan hodnoty dosti o sociln dvky a rodiovsk pspvky dosti o porodn komunikace se zdravotnmi pojiovnami dosti o zasln Pehledu vykzan zdravotn pe na pojitnce za uplynul kalendn rok a ppadn tak pi reklamaci komunikace s krajskmi, mstskmi i obecnmi ady .PKI - Klasick certifikt veejnho kle
datov struktura, kter spojuje identifikaci adatele sjeho veejnm klem. Tato vazba je stvrzena elektronickm podpisem certifikan autority obsahuje jedinen slo certifiktu, jmno vydavatele certifiktu, jmno dritele certifiktu (pedmt certifiktu), platnost certifiktu a veejn kl dritele certifiktu autentizace na zklad certifiktu se provd prokazatelnm vlastnictvm soukromho kle nleejcmu kveejnmu kli uvedenmu v certifiktuPKI asov raztko
asov raztko slou jako dkaz o tom, e dan dokument existoval ped asem uvedenm vasovm raztku struktura obdobn certifiktu, kter svazuje hash z dokumentu sasem. Je elektronicky podepsno (vydvno) autoritou pro vydvn asovch raztek (Time Stamping Authority TSA)Definice:kvalifikovanm asovm raztkem je datov zprva, kterou vydal kvalifikovan poskytovatel certifikanch slueb a kter dvryhodnm zpsobem spojuje data v elektronick podob s asovm okamikem, a zaruuje, e uveden data v elektronick podob existovala ped danm asovm okamikem asov raztka vydv poskytovatel certifikanch slueb, kter nabz sluby asov autority (TSA Time Stamp Autority).
Postup zskn asovho raztka:Tvorba dosti o vydn asovho raztkaOdesln dosti o vydn asovho raztka na server asov autorityZpracovn dosti o asov raztkoPijet odpovdi od serveru asov autorityKontrola odpovdi na dost o vydn asovho raztka
Vydn asovho raztkaCo je asov raztkoasov raztko je datov zprva, kter potvrzuje existenci dokumentu v ase
Slou jako dkaz, e datov objekt, ke ktermu je pipojeno, existoval bezprostedn ped asovm dajem, uloenm v tomto asovm raztku
Zajiuje piazen aktulnho asovho daje kexistujcm datm, informacm, souborm nebo udlostem
Spojen nezpochybnitelnho asovho daje a konkrtnch dat je nezbytn zejmna pro ely jejich zptnho ovovn
asov raztko obsahuje datum a as vydn, slo asovho raztka, identifikaci tet strany, kter asov raztko vydala (poskytovatele certifikanch slueb), a otisk dat (hash), ke kterm je raztko vydno
31Kde pout asov raztkoK dokumentm ukldanm do archivu (vazba i na elektronicky podepsan dokumenty)Potvrzen o uzaven obchodu skonkrtnmi podmnkami, podpis smlouvy v elektronick podobZafixovn kurs zahraninch mn vrmci tchto obchodPotvrzen asu pedn dokumentace :pi on-line obchodovn pi soudnm dokazovanOchrana programovch kdElektronick podatelnyOven adatele o slubu, o poskytnut informacBankovnictv (Platebn pkaz, dost o vr, )
32asov raztkoVydan kvalifikovan asov raztko obsahuje minimln :
uniktn slo kvalifikovanho asovho raztkaoznaen pravidel, podle kterch bylo kvalifikovan asov raztko vydnoasov daj, jeho odchylka nepeshne 1 sekundu od UTCdata v elektronick podob - otisk (hash) dat, pro kter bylo kvalifikovan asov raztko vydnoelektronickou znaku serveru, kter kvalifikovan asov raztko vydal (TSU)
33asov raztko
RFC-3161 RFC-3628 34Zskn dvryhodnho asu
PKI atributov certifikt
atributov certifikt zobecuje mechanismus certifiktu veejnho kle
msto veejnho kle jsou v nm jin daje o driteli certifiktu (mluvme o tzv.atributech)
atributovm certifiktem aplikaci sdlujeme sv pstupov prva
AC vydv atributov autorita (AA) samotnm atributovm certifiktem nelze prokzat totonost dritele a vystavuj se na krat dobu o atributovch certifiktech pojednvRFC 3281PKI DV certifikt
DV-certifikt (DV = data validation) slou jako dkaz o dren dokumentu bezprostedn ped asem uvedenm vDV-certifiktu
tento typ certifiktu se tak nkdy oznauje jako DV-asov raztko, krom toho mohou DV-certifikty jinch typ slouit k: dkazu pravosti elektronickch podpis dkazu pravosti celho dokumentu dkazu pravosti certifiktu
DV-certifikty vydv DVCS (Data Validation Certificate Server) DV-certifikty mohou bt vbudoucnu zkladem cel oblasti, kter vsouasn dob vznik a oznauje se jako sluby elektronickho note (e-notary)Dkuji za [email protected]
CertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------
El. podpis:CAasov raztko
----------------------------------Vydal: TSASriov slo: 1234as: -----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:TSAAtributov certifiktDritel: Pepa Novk----------------------------------Vydal: Atributov autoritaSriov slo: 9876543Platnost:-----------------------------------Atributy: blabla..----------------------------------
El. podpis:AADV-certifiktDritel: Pepa Novk----------------------------------Vydal: DVCSSriov slo: 9876543Platnost:-----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:DVCSCertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------
El. podpis:CAasov raztko
----------------------------------Vydal: TSASriov slo: 1234as: -----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:TSAAtributov certifiktDritel: Pepa Novk----------------------------------Vydal: Atributov autoritaSriov slo: 9876543Platnost:-----------------------------------Atributy: blabla..----------------------------------
El. podpis:AADV-certifiktDritel: Pepa Novk----------------------------------Vydal: DVCSSriov slo: 9876543Platnost:-----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:DVCSdost o asov raztko---------------------Verze: Hash z dokumentu: SHA-1,FE3445BB2FDA..Ostatn parametry..CertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------
El. podpis:CAasov raztko
----------------------------------Vydal: TSASriov slo: 1234as: -----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:TSAAtributov certifiktDritel: Pepa Novk----------------------------------Vydal: Atributov autoritaSriov slo: 9876543Platnost:-----------------------------------Atributy: blabla..----------------------------------
El. podpis:AADV-certifiktDritel: Pepa Novk----------------------------------Vydal: DVCSSriov slo: 9876543Platnost:-----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:DVCSCertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------
El. podpis:CAasov raztko
----------------------------------Vydal: TSASriov slo: 1234as: -----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:TSAAtributov certifiktDritel: Pepa Novk----------------------------------Vydal: Atributov autoritaSriov slo: 9876543Platnost:-----------------------------------Atributy: blabla..----------------------------------
El. podpis:AADV-certifiktDritel: Pepa Novk----------------------------------Vydal: DVCSSriov slo: 9876543Platnost:-----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------
El. podpis:DVCS