Embed Size (px)
DESCRIPTION
Podpis elektroniczny i inne sposoby uwierzytelniania. Robert Poznański. Laboratorium Podpisu E lektronicznego. Udział IMM w pracach standaryzacyjnych Uwierzytelnienie a identyfikacja Uwierzytelnienie w projekcie regulacji Prace standaryzacyjne prowadzone w ramach Mandatu M/460 - PowerPoint PPT Presentation
Citation preview
Podpis elektroniczny i inne sposoby uwierzytelniania
Robert PoznańskiLaboratorium Podpisu Elektronicznego
• Udział IMM w pracach standaryzacyjnych• Uwierzytelnienie a identyfikacja
– Uwierzytelnienie w projekcie regulacji– Prace standaryzacyjne prowadzone w ramach Mandatu M/460
• Wpływ prac standaryzacyjnych z podziałem na obszary funkcjonalne– Składanie i weryfikacja podpisu – Urządzenia do składania podpisu i inne urządzenia– Algorytmy kryptograficzne– Dostawcy usług zaufanych wspierający podpis elektroniczny– Dostawcy zaufanych aplikacji– Dostawcy list TSL– eIdentyfikacja
Laboratorium Podpisu Elektronicznego:
• Utworzone w 2009 roku• Kadra z obszerną wiedzą na temat podpisu
elektronicznego
• Organizacja NTIPE• Udział w projekcie biometrycznego
podpisu elektronicznego• Audyty i kontrole w obszarze podpisu
elektronicznego
• Narodowy Test Interoperacyjności Podpisu Elektronicznego 2011– 9 firm i 10 aplikacji– Pretesty: 742 przypadki testowe, 68,5% poprawnych (508)– Warsztaty: 264 przypadki testowe, 78% poprawnych (206)
• CommonSign 2012– 4 firmy i 5 aplikacji– Warsztaty: 139 przypadków testowych, 90% poprawnych (125)
• Grupy standaryzacyjne– Członkowstwo w ETSI (European Telecommunication Standards Institute)– Członkowstwo w PKN
• Zakres korzyści– Możliwość wprowadzania zmian do prac standaryzacyjnych– Propagowanie informacji dotyczących postępów prac standaryzacyjnych– Wspieranie administracji publicznej od strony standaryzacyjnej podpisu
elektronicznego
• Przykłady– Współpraca z Ministerstwem Gospodarki przy merytorycznej stronie nowelizacji
rozporządzenia o warunkach technicznych i organizacyjnych dla kwalifikowanych podmiotów […]
– Poprawki w profilu certyfikatu dla osoby fizycznej (wskazanie na certyfikat CA, numer podatkowy jako identyfikator w polu SerialNumber)
– Organizacja Narodowego Testu Interoperacyjności Podpisu Elektronicznego (Commonsign)
Identyfikacja
Uwierzytelnienie
B2A
C2B
B2B A2A
C2A
Uwierzytelniany
Potrzeby uwierzytelnianego Uwierzytelniający
Potrzeby uwierzytelniającego Mechanizm uwierzytelnienia
Biznes Upewnienie, że klient nie ryzykuje swoich pieniędzy
Kupujący Ochrona przed wyłudzeniem pieniędzy
Certyfikat witryny internetowej
Kupujący Np. Przeglądanie historii transakcji
Biznes Nakłanianie klienta do zakupów; uzyskanie pieniędzy
Uwierzytelnienie do konta; metoda tania, łatwa we wdrożeniu
Biznes Podpisywanie kontraktówUdostępnianie informacji
Biznes Podpisywanie kontraktówOdbieranie informacji
Podpis elektroniczny, pieczęć, polecona poczta elektroniczna
Urząd Wykorzystanie petenta jako interfejsu białkowego
Petent Ochrona przed wyłudzeniem danych i malwersacjamiPosiadanie historii spraw i materiałów dowodowych
Podpis elektroniczny, pieczęć elektroniczna
Petent Możliwość załatwienia sprawy bez wizyty w urzędzie
Urząd Potwierdzenie, że petent uczestniczył w sprawie
Uwierzytelnienie do konta (petent), wiarygodne logi, podpis elektroniczny, pieczęć (urząd)
Urząd Ochrona przed wyłudzeniem danych i malwersacjamiPosiadanie historii spraw i materiałów dowodowych
Urząd Ochrona przed wyłudzeniem danych i malwersacjamiPosiadanie historii spraw i materiałów dowodowych
Bezpieczna poczta elektroniczna, integracja usług.
Urząd Wykorzystanie biznesu jako interfejsu białkowego
Biznes Ochrona przed wyłudzeniem danych i malwersacjamiPosiadanie historii spraw i materiałów dowodowych
Podpis elektroniczny, pieczęć elektroniczna, konto
Biznes Możliwość załatwienia sprawy bez wizyty w urzędzie
Urząd Potwierdzenie, że biznes uczestniczył w sprawie
Uwierzytelnienie do konta
Uwierzytelnienie w projekcie regulacji
Definicja:(4) ‘authentication’ means an electronic process that allows the validation of the electronic identification of a natural or legal person; or of the origin and integrity of an electronic data4) „uwierzytelnianie” oznacza proces elektroniczny, który umożliwia weryfikację identyfikacji elektronicznej osoby fizycznej lub prawnej lub pochodzenia i integralności danych elektronicznych;
Regulacja
Pieczęć + zaawansowana
Podpis + zaawansowany
Kwalifikowany certyfikat witryny
Znacznik czasu
Usługa Przekazu elektronicznego
Uwierzytelnienie systemu
identyfikacji elektronicznej
Mechanizm Artykuł
Potrzeby uwierzytelniającego Czyje adresuje potrzeby?
Podpis elektroniczny
3, ust 6)
oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące podpisującemu do składania podpisu;
C2A
Zaawansowany podpis elektroniczny
3, ust 7)
oznacza podpis elektroniczny, który spełnia następujące wymagania:a) jest przyporządkowany wyłącznie podpisującemu;b) umożliwia ustalenie tożsamości podpisującego;c) jest składany przy użyciu danych służących do składania podpisu elektronicznego, które podpisujący może wykorzystać z dużą dozą zaufania i nad którymi ma wyłączną kontrolę; orazd) jest w taki sposób powiązany z danymi, do których się odnosi, że każda późniejsza zmiana danych jest wykrywalna
A2A, A2B, A2C,
Pieczęć elektroniczna
3, ust 20)
oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane, aby zagwarantować pochodzenie i integralność powiązanych danych
C2A, B2A
Zaawansowana pieczęć elektroniczna
3, ust 21
Jak zaawansowany podpis B2A, A2B, B2B
elektroniczny znacznik czasu
3, ust 25
oznacza dane w formie elektronicznej, które wiążą inne dane elektroniczne z określonym czasem, stanowiąc dowód na to, że te dane istniały w tym czasie; (Art. 32 wskazuje, że znacznik czasu poświadcza integralność danych)
A2B, A2A, A2C
Mechanizm Artykuł
Potrzeby uwierzytelniającego Potrzeby
Usługa przekazu elektroniczne-go
3, ust 28)
oznacza usługę umożliwiającą przesłanie danych drogą elektroniczną i zapewniającą dowody związane z posługiwaniem się przesyłanymi danymi, w tym dowód wysłania lub odbioru danych, oraz chroniącą przesyłane dane przed ryzykiem utraty, kradzieży, uszkodzenia lub wszelkiego nieupoważnionego naruszenia
A2A, A2C, A2B, B2A, C2A, B2B** Przy nieznanych kontrahentach, albo duzych kwotach preferowane będą kontakty osobiste
Kwalifikowany certyfikat uwierzytelnie-nia witryn internetowych
3, ust 30)
oznacza poświadczenie, które jest stosowane do uwierzytelniania witryn internetowych i przyporządkowuje witrynę internetową osobie, której wydano certyfikat wystawiony przez dostawcę kwalifikowanych usług zaufania i spełniający wymagania określone w załączniku IV
Kontakty C2B, kontakty C2A
Uwierzytelnie-nie systemu identyfikacji elektronicznej
6.1.d) zgłaszające państwo członkowskie gwarantuje dostępność mechanizmów uwierzytelniania online w dowolnym czasie i nieodpłatnie, tak aby wszystkie strony ufające mogły dokonać weryfikacji danych identyfikujących osobę otrzymanych w formie elektronicznej. Państwa członkowskie nie nakładają żadnych specjalnych wymagań technicznych na strony ufające posiadające siedzibę poza ich terytorium, które zamierzają dokonać takiego uwierzytelnienia. ……
A2A, C2A, B2A, A2B, C2B*, B2B**
*uwierzytelnienie C2B odbywa się poprzez przekazanie pieniędzy, ale umowy typu telepraca – przydatne**Nie dostarcza informacji o roli w przedsiębiorstwie
Prace standaryzacyjne prowadzone w ramach Mandatu M/460
Zracjonalizowana platforma
standaryzacyjna podpisu
elektronicznego
Tworzenie i weryfikacja
podpisu
Urządzenia do składania
podpisu i inne
Algorytmy kryptograficzne
Dostawcy usług zaufanych (TSP)
wspierający podpis
elektroniczny
Dostawcy zaufanych aplikacji
Dostawcy list TSL
eIdentyfikacja
Wytyczne
Wymagania i polityki
bezpieczeństwa
Specyfikacje techniczne
Ocena zgodności
Testowanie zgodności i interoperacyjności
Składanie i weryfikacja podpisu•Wytyczne•Wymagania i polityki
bezpieczeństwa•Specyfikacje techniczne•Ocena zgodności•Testowanie zgodności i
interoperacyjności
Urządzenia do składania podpisu•Wytyczne•Wymagania i polityki
bezpieczeństwa•Specyfikacje techniczne•Ocena zgodności•Testowanie zgodności i
interoperacyjności
Algorytmy kryptograficzne•Wytyczne•Wymagania i polityki
bezpieczeństwa
Dostawcy usług zaufanych (TSP) wspierających podpis elektroniczny•Wytyczne•Wymagania i polityki
bezpieczeństwa•Specyfikacje techniczne•Ocena zgodności•Testowanie zgodności i
interoperacyjności
Dostawcy zaufanych aplikacji •`Wytyczne•Wymagania i polityki
bezpieczeństwa•Specyfikacje techniczne•Ocena zgodności•Testowanie zgodności i
interoperacyjności
Dostawcy list TSL•Wytyczne•Wymagania i polityki
bezpieczeństwa•Specyfikacje techniczne•Ocena zgodności•Testowanie zgodności i
interoperacyjności
Źródło - Galler Gérard. Pan European framework for electronic identification,authentication and signature.
Regulacja
Pieczęć + zaawansowana
Podpis + zaawansowany
Kwalifikowany certyfikat witryny
Znacznik czasu
Usługa Przekazu elektronicznego
Uwierzytelnienie systemu
identyfikacji elektronicznej
Wpływ prac standaryzacyjnych na systemy i usługi w Polsce
Obecnie
XAdESCAdESPAdESXMLSigPodpis potwierdzony
Standaryzacja
Dodatkowy format ASiCProfile Baseline (Polityki podpisu!)Profile eInvoicing
Działania
SDK podpisu + politykiUsługi walidacyjneTesty interoperacyjności
XAdESBES
EPES
T
C
XL
A
CAdESBES
EPES
T
C
XL
A
PAdES
BASIC
Enhanced BES
Enhanced EPES
LTV
XML
ASiCASIC-S XAdES
ASIC-S CAdES
ASIC-E XAdES
ASIC E CAdES
Polityki podpisu
XML CMS
GUI
Listy TSL
Zawartość certyfikatu
Weryfikacja
Podpis
XAdES
Baseline B
Baseline T
Baseline LT
Baseline LTA
CAdES
Baseline B
Baseline T
Baseline LT
Baseline LTA
PAdES
Baseline B
Baseline T
Baseline LT
Baseline LTA
ASiCBaseline B XAdES
Baseline B CAdES
Baseline T XAdES
Baseline T CAdES
Baseline LT XAdES
Baseline LT CAdES
Polityki podpisu
XML CMSWeryfikacja
Podpis
GUI
Listy TSL
Zawartość certyfikatu
Testy
XAdESBES
EPES
T
C
XL
A
CAdESBES
EPES
T
C
XL
A
PAdES
BASIC
Enhanced BES
Enhanced EPES
LTV
XML
ASiCASIC-S XAdES
ASIC-S CAdES
ASIC-E XAdES
ASIC E CAdES
Polityki podpisu
XML CMS
Format walidacji
Weryfikacja/Usługa
Podpis
GUI
Listy TSL
Zawartość certyfikatu
Weryfikacja/Aplikacja
XAdES
Baseline B
Baseline T
Baseline LT
Baseline LTA
CAdES
Baseline B
Baseline T
Baseline LT
Baseline LTA
PAdES
Baseline B
Baseline T
Baseline LT
Baseline LTA
ASiCBaseline B XAdES
Baseline B CAdES
Baseline T XAdES
Baseline T CAdES
Baseline LT XAdES
Baseline LT CAdES
Polityki podpisu
XML CMSWeryfikacja
Podpis
GUI
Listy TSL
Zawartość certyfikatu
SDK
Urządzenia do składania podpisu i inne urządzenia
Obecnie
CWA 14169 (SSCD)CWA 14167-1 (Systemy)CWA 14167-2:4 (HSM)FIPS 140-2 L3 (HSM)ITSEC HIGH
Standaryzacja
EN (SSCD) EN (Systemy)EN (HSM)FIPS 140-2 L3 (HSM)EN (podpis serwerowy)EN (Aplikacje do składania i weryfikacji podpisu)
Działania
Centrum oceny zgodności akredytowane przez PCA na zakres systemów i aplikacji do składania i weryfikacji podpisu.
ProduktCertyfikacjaAkredytacja
PCA (Polskie Centrum Akredytacji)
Certyfikacja urządzeń
HSM
SSCD
Certyfikacja usług
QCSP
REM
TSA
…
Certyfikacja aplikacji
SCVA
Oprogramowanie CA
Algorytmy kryptograficzneObecnie
Rozporządzenie w sprawie warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów…Wymuszony skrót SHA1
Standaryzacja
TS 102 176-1 (Algo Paper)Skrót SHA1 określony jako nienadający się do podpisu elektronicznego
Działania
Nowelizacja rozporządzenia. Nowa hierarchia urzędów (root, QCA)
Dostawcy usług zaufanych (TSP) wspierający podpis elektoniczny
ObecnieRozporządzenie w sprawie warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów…Rozporządzenie w sprawie w sprawie określenia szczegółowego trybu tworzenia i wydawania zaświadczenia certyfikacyjnego
StandaryzacjaNowy dokument PDSNowe profile dla osoby fizycznej (AIA, OCSP, semantyka SerialNumber)Nowy model oceny zgodnościUzupełnienie wymagań dla usług związanych z podpisem
DziałaniaNowelizacja rozporządzeń.Monitorowanie standaryzacjiWdrożenie systemu oceny zgodności z wymaganiami normPrzygotowanie do certyfikacji oprogramowania w ramach administracji publicznejPrzygotowanie do certyfikacji usług zaufania w administracji publicznejKampania informacyjna (potencjalnie duży wpływ zmian SerialNumber na systemy)
Dostawcy zaufanych aplikacjiObecnie
Skrzynki podawczeStandaryzacja
Registered E-MailDziałania
SDK?Proxy krajowe?
Dostawcy zaufanych aplikacjiSkrzynka podawcza
UPO
Dostawcy zaufanych aplikacjiSkrzynka podawcza – REM proxy
UPOREMproxy REM
Dostawcy zaufanych aplikacjiSkrzynka podawcza – REM
REMREMREM
SDK?
Dostawcy List TSLObecnie
Publikowane przez NBP. Określony formatBrak wymagań dla podmiotu
Standaryzacja
Wymagania bezpieczeństwa dla podmiotu
Działania
Monitorowanie prac standaryzacyjnychZaangażowanie w modernizację aplikacji SD-DSS
eIdentyfikacjaObecnie
Identyfikacja na podstawie podpisu•Kwalifikowany•Potwierdzony profilem zaufanymUstawa o dowodach osobistych
Standaryzacja i projekty
Karta eIDProjekt STORK
Działania
Dołączenie uwierzytelnienia z profilem zaufanym ePUAP do projektu STORKEwolucja podpis potwierdzony profilem zaufanym -> podpis serwerowy/software’owyWydawanie certyfikatów do uwierzytelnienia do ePUAP z kluczami software/serwerowymi
eIdentyfikacjaePUAP - uwierzytelnienie
eIdentyfikacjaePUAP - uwierzytelnienie
• Walidacja podpisu - propozycje– Wybór tylko jednego standardu podpisu jako obowiązującego w UE
– SDK do składania/weryfikacji podpisu
– Usługi walidacji z jednym formatem odpowiedzi walidacyjnej
• Certyfikacja produktów i usług– Budowa mechanizmów certyfikacji w oparciu o PCA - albo będziemy certyfikować w
Niemczech!
• Nowelizacja rozporządzenia– Zmieni się format numeru PESEL w certyfikacie!– Nowe algorytmy i wymiana hierarchii CA!
• ePUAP - propozycje– Przyłączenie ePUAP do platformy STORK – Profil zaufany ePUAP -> podpis zaawansowany (podpis serwerowy? Klucze
software?)
• Skrzynka podawcza - opcje– (opcja 1) Budowa i standaryzacja krajowego proxy pomiędzy REM a skrzynką
podawczą– (opcja2) Budowa bibliotek/narzędzi do implementacji REM (np. opensource) – (opcja 3) Dostawa narzędzi przez dostawców prywatnych
Dziękuję za uwagę
Projekt jest współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego
