Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Átírás

1 Copyright 2011 FUJITSU LIMITED Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben Előadó: Erdősi Péter Máté, CISA elektronikus aláírással kapcsolatos szolgáltatási szakértő Fujitsu Akadémia

2 1 Tartalom Az információ hitelessége A kétkulcsos titkosítás Alapvető közszolgáltatások X509 tanúsítvány tartalma és típusai A hitelesítésszolgáltatókra vonatkozó szabályozás és a nyilvános szolgáltatók működése Időbélyegzés, archiválás

3 2 Az információ hitelessége Definíciók: Információ:? Hitelesítés: az állított azonosság megerősítése Hitelesség: valaminek a forrása az, amit megjelöltek és tartalma eredeti Hiteles: a forrás és a tartalom eredetisége megerősítetté vált Azonosítás vagy hitelesítés? Azonosítás (Identification) Hitelesítés (Authentication) Feljogosítás (Authorization)

4 3 A kétkulcsos titkosítás Mitől lesz kétkulcsos? Működése: Crypto (Crypto ( Message, Key 1 ),Key 2 ) = Message, ahol Titkos üzenet M crypted = Crypto ( Message, Key 1 ) és Key 1 Key 2 Ebből: Crypto (M crypted, Key 2 ) = Message Melyik a titkos és melyik a nyilvános? Mitől függ a működés hatékonysága? Üzenet hossza Titkosító algoritmus műveletigénye Biztonság

5 4 A digitális aláírás készítése

6 5 A digitális aláírás ellenőrzése

7 6 Alapvető közszolgáltatások Alapvető közszolgáltatások (Common List of Basic Public Services) négy szolgáltatási szintje

8 7 A tanúsítvány tartalma Történet: ITU (International Telecommunication Union): X509v (v2-1993, v1-1988) RFC 5280 (2008): Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Alap mezők Verzió sorozatszám algoritmusazonosító kibocsátó érvényesség alany, tulajdonos az alany nyilvános kulcsa a kibocsátó egyedi azonosítója (v2, v3) Kiterjesztések Digitális aláírás

9 8 A tanúsítvány tartalma Azonosítók: country organization, organizational unit, distinguished name qualifier, state or province name, common name serial number. Kibocsátó és alany adatai: locality, title, surname, given name, initials, pseudonym, generation qualifier

10 9 A tanúsítvány tartalma Kiterjesztések Standard Szolgáltatói kulcsazonosító (nyilvános kulcs hash-értéke, kibocsátó, sorozatszám,) Tulajdonos kulcsazonosító (nyilvános kulcs hash-értéke) Kulcshasználat digitalsignature (0), nonrepudiation (1), keyencipherment (2), dataencipherment (3), keyagreement (4), keycertsign (5), crlsign (6), encipheronly (7), (csak 4-gyel együtt használható) decipheronly (8) (csak 4-gyel együtt használható) Aláírási politika azonosító CRL disztribúciós pont

11 10 A tanúsítvány tartalma Kiterjesztések Private Kibocsátói információk hozzáférhetősége a kiterjesztésekben Tulajdonosi információk hozzáférhetősége a kiterjesztésekben Digitális aláírás Kinek az aláírása szerepel a tanúsítványban? Van-e a kibocsátónak is tanúsítványa?

12 11 A tanúsítványok típusai Tipizálási dimenziók Kihez/mihez kapcsolódik? Milyen szabvány szerint kódolt? Mire alkalmas? Kihez/mihez kapcsolódik? Természetes személy Jogi személy (cég, hivatal) Eszköz (webszerver)

13 12 A tanúsítványok típusai Milyen szabvány szerint kódolt? X509v2 PGP Mire alkalmas? Aláírás Titkosítás Hitelesítés Milyen jogi vélelem fűzhető hozzájuk? Teljes bizonyító erő Írásbeliség Bizonyítási eljárásokban való felhasználás meg nem tilthatósága

14 13 A tanúsítványkibocsátók működése Tanúsítványok kibocsátása Tanúsítványkérelem Tanúsítvány mezőinek kitöltése Tanúsítvány digitális aláírása Tanúsítvány publikálása Tanúsítványkibocsátók Nyilvános Zárt Európai Unióban elfogadott Globálisan elfogadott (?) Megbízhatóság?

15 14 A hitelesítésszolgáltatók működése Elektronikus aláírási törvény (2001. XXXV. Tv, Eat.) 6. (1): Hitelesítésszolgáltatás Időbélyegzés Aláíráslétrehozó eszközök az aláíráslétrehozó adat elhelyezése Archiválásszolgáltatás Hitelesítéssszolgáltatáson belül Azonosítja az igénylő személyét Tanúsítványt bocsát ki Nyilvántartásokat vezet Fogadja a tanúsítványokkal kapcsolatos változások adatait Nyilvánosságra hozza a szabályzatokat, az aláírásellenőrző adatokat, és a tanúsítvány aktuális állapotára vonatkozó információkat (visszavonás)

16 15 A hitelesítésszolgáltatók működése Szabályozás Működésre vonatkozó előírások Pénzügyi követelmények Tájékoztatási követelmények Minden szolgáltatóra és külön a minősített szolgáltatókra Működésre vonatkozó előírások minősített szolgáltatókra Rendelkezésre állás 99,9%, egy kiesés maximális ideje 3 óra lehet Minden bizalmi munkakörben dolgozónak munkaviszonyban kell állnia a szolgáltatóval Folyamatosan ellenőrzött minőség- és információbiztonsági irányítási rendszerrel kell rendelkezniük A bizalmi munkaköröket egymástól szét kell választani

17 16 A hitelesítésszolgáltatók működése Pénzügyi követelmények Legalább 25 millió Ft-os bankgarancia, vagy óvadék, vagy készfizető kezes Felelősségbiztosítás, a tanúsítványban vállalt ügyleti érték 5- szörösére Tájékoztatási követelmények Ügyfeleket szerződéskötés előtt teljeskörűen kell tájékoztatni Nemzeti Média- és Hírközlési Hatóságot minden 3 óránál nagyobb leállásról tájékoztatni kell Nemzeti Média- és Hírközlési Hatóságot minden tervezett változtatásról 30 nappal korábban tájékoztatni kell Szolgáltatói kulcs kompromittálódás esetén minden ügyfelet és érintett felet haladéktalanul tájékoztatni kell

18 17 Időbélyegzés Időjelzések Állított idő Tanúsított idő Pontos idő Hiteles idő Időszinkronizáció Stratum 0: atomóra, GPS óra Stratum 1: szerverek, melyek a Stratum 0-hoz szinkronizáltak Stratum 2: gépek, melyek a Stratum 1 szerverekhez szinkronizáltak Támadási formák Időátállítás Üzenet visszajátszása

19 18 Archiválás Hosszú távú hitelesség Feltételei Kriptográfia gyengülése Hosszú távú értelmezhetőség Biztonságos őrzés Támadási formák Hitelesség elveszt(et)ése Aláírás csere algoritmus kompromittálódás (új aláírás készítése jogosulatlanul) dokumentum kompromittálódás (új dokumentum beillesztése jogosulatlanul)

20 19 Köszönöm a figyelmet! Erdősi Péter Máté, CISA mailto: szakerto@erdosipetermate.hu