X.500-as katalógus szolgáltatások (directory service) hitelesítési szolgáltatásokhoz biztosít keretetrendszert

Hasonló dokumentumok
e-szignó Hitelesítés Szolgáltató Microsec e-szignó Tanúsítvány telepítése Mac OS X Snow Leopard operációs rendszeren

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Elektronikus rendszerek a közigazgatásban

Nyilvános kulcsú rendszerek a gyakorlatban

Titkosítás NetWare környezetben

Sapientia Egyetem, Matematika-Informatika Tanszék.

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Minősített tanúsítvány, visszavonási lista és időbélyeg profildefiníciók

Elektronikus hitelesítés a gyakorlatban

Minősített tanúsítvány, visszavonási lista és időbélyeg profildefiníciók

Biztonság a glite-ban

Educatio Társadalmi Szolgáltató Közhasznú Társaság. elektronikus aláíráshoz kapcsolódó hitelesítés szolgáltatásának tanúsítványprofilja. v 3.

TARTALOMJEGYZÉK. 1. Bevezetés... 3

Kliens authentikálás és Form Signing

Data Security: Protocols Integrity

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

Általános Időbélyegzési Rend

Kliens authentikálás és Form Signing

Magyar Telekom fokozott e- Szignó. nem-minősített hitelesítés szolgáltatás. Standard Üzleti Tanúsítvány. Fokozott Személyi Tanúsítvány

TANÚSÍTVÁNY. tanúsítja, hogy a Polysys Kft. által kifejlesztett és forgalmazott

Dr. Bakonyi Péter c.docens

A SZABÁLYZAT CÉLJA...

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. Pénztár v aláíró alkalmazás

TANÚSÍTVÁNY. InfoScope Informatikai és Szolgáltató Kft. által kifejlesztett. mysigno API 3.1 elektronikus aláírás alkalmazás fejlesztő készlet v3.

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. IngridSigno Feldolgozó Modul aláíró alkalmazás

IT biztonság Hozzáférés-ellenőrzés és digitális aláírás I. 2016/2017 tanév

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

Hitelesítés elektronikus aláírással BME TMIT

Hosszú távú hiteles archiválás elektronikus aláírás segítségével. Krasznay Csaba BME Informatikai Központ


TANÚSÍTVÁNY. tanúsítja, hogy a Utimaco Safeware AG által kifejlesztett és forgalmazott

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

TANÚSÍTVÁNY HUNGUARD tanúsítja, SafeNet Inc. ProtectServer Gold

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 8. óra. Kocsis Gergely, Kelenföldi Szilárd

PKI, Névtár Hitelesítés

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

S, mint secure. Nagy Attila Gábor Wildom Kft.

PKI: egy ember, egy tanúsítvány?

VBD , VBD

TANÚSÍTVÁNY PH. Tanúsítási igazgató:

ELEKTRONIKUS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

A NYILVÁNOS KULCSÚ INFRASTRUKTÚRA ALAPJAI ÉS ÖSSZETEVŐI BASICS AND COMPONENTS OF PUBLIC KEY INFRASTRUCTURE SPISÁK ANDOR

Szolgáltatási Utasítás. láncolt, nem minősített hitelesítésszolgáltatás

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-DS10F1_TANF-SW) MELLÉKLETE

IT biztonság Hozzáférés-ellenőrzés és digitális aláírás I. 2014/2015 tanév

TANÚSÍTVÁNY. tanúsítja, hogy az. Eracom Technologies Group, Eracom Technologies Australia, Pty. Ltd által előállított és forgalmazott

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

TANÚSÍTVÁNY. Időbélyegzés szolgáltatás keretén belül: Időbélyegző aláíró kulcsok generálására, tárolására, időbélyegző aláírására;

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

A nyilvános kulcsú infrastruktúra önálló kialakításának szükségessége

HBONE tábor 2005 november Mohácsi János

Az Outlook levelező program beállítása tanúsítványok használatához

Szabó Zoltán PKI termékmenedzser

TANÚSÍTVÁNY. tanúsítja, hogy a. MÁV INFORMATIKA Kft. által kifejlesztett és forgalmazott. DSign UI 1.6. aláíró alkalmazás

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet

TANÚSÍTVÁNY. tanúsítja, hogy az. SDA Stúdió Kft. által kifejlesztett

Aláírási jogosultság igazolása elektronikusan

TANÚSÍTVÁNY. Időbélyegzés szolgáltatás keretén belül: Időbélyegző aláíró kulcsok generálására, tárolására, időbélyegző aláírására;

TANÚSÍTVÁNY. Időbélyegzés szolgáltatás keretén belül: Időbélyegző aláíró kulcsok generálására, tárolására, időbélyegző aláírására;

TANÚSÍTVÁNY. nshield 500, nshield 500 for nethsm, és nshield Lite

Aláírási jogosultság igazolása elektronikusan

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz

Biztonságos hálózati kommunikáció

Kriptográfia Tizenegyedik előadás Digitális aláírások, kölcsönös és egyirányú hitelesítés, a DSA

A nyilvános kulcsú algoritmusokról. Hálózati biztonság II. A nyilvános kulcsú algoritmusokról (folyt.) Az RSA. Más nyilvános kulcsú algoritmusok

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONAL BOOKING PLATFORMON

A PKI gyakorlati problémái

ELEKTRONIKUS TANÚSÍTVÁNY HASZNÁLATA A REGIONAL BOOKING PLATFORMON

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

NetLock Ügyfél Tájékoztató (ÜT)

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

Elektronikus aláírás. Gaidosch Tamás. Állami Számvevőszék

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON

NYILVÁNOS KULCSÚ INFRASTRUKTÚRA ARCHITEKTÚRÁK PUBLIC KEY INFRASTRUCTURE MODELS

PKI gyakorlati kérdések, II

TANÚSÍTVÁNY. tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott

PKI gyakorlati kérdések, I

Kereskedelmi, Szolgáltató és Tanácsadó Kft. PDF dokumentumok hitelességének ellenőrzése

Kriptográfia Tizedik előadás SHA, Whirlpool, HMAC és CMAC

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

ELEKTRONIKUS ALÁÍRÁS E-JOG

GIROLOCK2 ROOT_CA ÉS ÜZEMI CA TANÚSÍTVÁNY IMPORTÁLÁSI SEGÉDLET

Sapientia Egyetem, Matematika-Informatika Tanszék.

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

Alkalmazás rétegbeli protokollok:

Tanúsítási jelentés. Hung-TJ

Ez a tanúsítvány típus a Matáv mint fokozott biztonságú hitelesítés-szolgáltató által

Mosolygó Ferenc. Értékesítési Konzultáns.

e-szignó Hitelesítés Szolgáltató eidas Rendelet szerinti weboldal-hitelesítő tanúsítvány hitelesítési rendek ver. 2.4 Hatálybalépés:

e-szignó Hitelesítés Szolgáltató eidas rendelet szerinti weboldal-hitelesítő tanúsítvány hitelesítési rendek ver. 2.2 Hatálybalépés:

Az intézményi hálózathoz való hozzáférés szabályozása

PKI alapok. Általános felépítés, működés. A PKI rendszer általános felépítését az alábbi ábra mutatja be:

Átírás:

Kriptográfia Tizenkettedik elıadás X.509 tanúsítványok Németh L. Zoltán SZTE, Számítástudomány Alapjai Tanszék 2007 ısz X.509 Hitelesítési szolgáltatások X.509 Authentication Service a megvalósítás alapja a nyilvános kulcsú titkosítás és a digitális aláírások egyetlen algoritmust sem köt ki a szabvány, de az RSA-t javasolja az X.509 tanúsítványok széles körben elterjedtek: HTTPS S/MIME (Secure Multipurpose Internet Mail Extensions) IPSec SSL/TLS SET (Secure Electronic Transaction) X.509 Hitelesítési szolgáltatások X.509 Authentication Service része part az ITU-T (International Telecommunication Union Telecommunication Standardization Sector) X.500-as katalógus szolgáltatások (directory service) szabványának. X.500: hogyan tároljunk (osztott) szervereken adatbázist a felhasználók adatairól hitelesítési szolgáltatásokhoz biztosít keretetrendszert a katalógusban nyilvános kulcs tanúsítványokat (public-key certificates) tárolhatunk, azaz a nyilvános kulcs hitelességét egy hitelesítés szolgáltató (certification authority, CA) aláírása igazolhatja. hitelesítési protokollokat is definiál: egy utas (one-way) két utas (two-way) és három utas (tree-way) autentikációt. Az X.509 tanúsítványok adatai V, version: verzió szám (1, 2, vagy 3) SN, serial number: sorszám egyedi (a CA-n belül), azonosítja a tanúsítványt Signature Algorithm: az aláíró algoritmus azonosítója a Issuer: kibocsátó CA neve (X.500 szerint) Validity: érvényességi idı, tól ig dátum Subject: a tanúsítvány alanya, azaz a tulajdonos (X.500) neve Subject Public Key Info: az alany nyilvános kulcsának adatai (algoritmus, paraméterek, maga a kulcs) Issuer unique identifier: opcionális, csak a v2-tıl Subject unique identifier: opcionális, csak a v2-tıl Extension fields: kiterjesztések, csak v3-ban Signature: a többi mezı hash értékének az aláírása

Az X.509 tanúsítványok és a visszavonási listák (Revocation Lists) mezıi Hogyan juthatunk valakinek a tanusítványhoz? a hitelesítés szolgáltató feladata ellenırizni a hitelesítésért hozzá forduló felhasználók azonosságát miután hitelesítette ıket tanúsítványt bocsát ki az ellenırzött adatok és a nyilvános kulcs összetartozásáról a tanúsítványt mindenki ellenırizni tudja, aki hozzáfér a CA nyilvános kulcsához mivel csak a CA tud a magánkulcsával aláírni csak ı tud a nyilvános kulcsával ellenırizhetı tanúsítványt kibocsátani ezért ha az ellenırzés sikeres, a tanúsítvány igazolja a benne foglalt nyilvános kulcs hitelességét mivel a tanúsítványt nem lehet hamisítani, azokat bátran tárolhatjuk egy publikus katalógusban, vagy elküldhetjük titkosítéás nélkül is Példa egy X.509 tanúsítványra, amit maga a kibocsátó írt alá: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5withrsaencryption Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/emailAddress=server-certs@thawte.com Validity: Not Before: Aug 1 00:00:00 1996 GMT Not After : Dec 31 23:59:59 2020 GMT Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Server CA/emailAddress=server-certs@thawte.com Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:d3: :87:0d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: md5withrsaencryption 07:fa: 70:47 CA hierarchia ha a kommunikáló feleknek ugyanaz a hitelsítés szolgáltatójuk (és feltétellezük, hogy a CA-juk nyilvános kulcsában biztosak), akkor tudják egymás tanúsítványait ellenırizni de sok felhasználó esetén egyetlen CA nem praktikus ezért a CA-knak hierarhikus rendben egymást kell hitelesíteniük. Minden CA hitelesíti a kliensit/leszármazottait (forward certification) és az ısét (backward certification) minden kliensnek meg kell bíznia az ısének tanúsítványaiban így lehetıvé válik bármely CA felhesználó számára minden ugyanabban a hiererchiában szereplı CA tanúsítványának az ellenırzésére Jelölés: CA<<A>> jelölje A-nak a CA által aláírt tanúsítványát

A CA hierarchia használata A az alábbi lánc szerint ellenırziheti B tanúsítványát: X<<W>> W<<V>> V<<Y>> Y<<Z>> Z<<B>> X.509 hitelesítési eljárások (Authentication Procedures) Az X.509 három alternatív hitelesítési eljárást is kínál, ezek: Egy utas hitelesítés (One-Way Authentication) Két utas hitelesítés (Two-Way Authentication) Három utas hitelesítés (Three-Way Authentication) mind a nyilvános kulcsú aláírásokon (public-key signatures) alapszanak Tanúsítvány visszavonás Certificate Revocation a tanúsítványoknak meghatározott érvényességi idejük van de szükség lehet ennél korábbi visszavonásukra, pl. ha a felhasználó magánkulcsa kompromittálódott vagy elveszett a felhasználót, már nem hitelesíti az adott CA a CA tanúsítványai kompromittálódtak Minden CA egy listát köteles vezetni az általa kiadott, érvényességük lejárta elıtt visszavont tanúsítványokról: ez a CA tanúsítvány visszavonási listája (Certificate Revocation List, CRL) a tanúsítvány ellenırzéséhez, annak a CA tanúsítvány visszavonási listájával való összevetése is hozzátartozik! Egy utas autentikáció 1 db üzenet: (A->B) melyben ellenırizhetı: A identitása, és hogy valóban A feladó az üzenet címzettje valóban B az üzenet integritása és eredetisége (azaz nem visszajátszás) az üzenetben szereplni kell: egy idıbélyegnek: t A, egy nonce-nak: r A, B azonosítójának: ID B, melyeket A ír alá az üzenetben további info is küldhetı B-nek pl. egy kapcsolatkulcs K ab (persze titkosítva)

Két utas autentikáció Három utas autentikáció 2 db üzenet (A->B és B->A) mely az elızın túl biztosítja: B identitását, és hogy a válasz B-tıl jött a válasz címzettje valóvan A a válasz integritását és eredetiségét a válasz (B->A) tartalmazza az A elızı nonce-ját: r A egy idıbélyeget: t B A azonosítóját: ID A és egy másik nonce-ot B-tıl: r B és még más is lehet a válaszbban pl: K ba 3 üzenet (A->B, B->A, A->B) melyek kölcsönös hitelesítést biztosítanak szinkronizált órák nélkül a két utas autentikáció és még egy A-> B üzenet, melyben A visszaküldi B-nek az r B nonce-ot aláírva így nem kell az idıbéylegeket ellenırizni, vagy bennük megbízni a kibocsátott nonce-ok ellenırzésével a visszajátszás kivédhetı X.509 autentikáviós eljárások X.509 3. verzió a gyakorlat során felismerték, hogy a tanúsítványban több adatot is rögzíteni kell, pl. email/url, hézirend részletek (policy details), felhasználhatósági megszorítások (usage constraints) de ahelyett, hogy konkrétan elneznénk a használható új mezıket célszerőnbb általánosan kiterjesztésként (extension) definiálni ıket egy kiterjesztés az alábbiakból áll: a kiterjesztés azonosítója (extension identifier) a kritikusság indikátor (criticality indicator) Ha egy kiterjesztés kritikus, akkor az azt nem ismerı protokollok sem fogadhatják el a tanúsítványt! a kiterjesztés értéke (extension value)

Néhány fontos tanúsítvány kiterjesztés kulcs és házirend információk pl. a kulcs azonosítója (több kulcsa lehet egy felhasználónak vagy CA-nak, a magánkulcs hamarabb lejárhat stb.) a házirend mondja meg, hogy a kulcs mire használható, pl. csak adott összegnél kisebb vásárlás esetén fogadható el, csak e-mail aláírására jó, szoftver hitelesítésére is alkalmas, stb. a tanúsítvány alanyának és kibocsátójának jellemzıi alternatív nevek támogatása, beosztás, más formátumok stb. a tanúsítvány út korlátozások korlátozások, melyekkel egy CA egy másik CA tanúsítványait használhatja pl. a legyegyszerőbb extension mezı, hogy a tanúsítvány birtokosa CA-e vagy sem (ez kritikus mezı) Hogyan szerezhetsz saját X.509 tanúsítványt? a hitelesség szolgáltatóra azért van szükség, hogy valóban felelısséget is vállaljon az általa történt hitelesítésekért ezért a hitelesítés általában a tanúsítvány hatáskörétıl függıen pénzbe kerül Magyarországon a hitelesítés szolgáltatók felügyeletét a Nemzeti Hírközlési Hatóság látja el, webhelyén www.nhh.hu megtalálható valamennyi Magyarországon bejegyzett, tanúsítvány kiadásával foglalkozó cég fontosabb adata. Avagy ingyenes tanúsítvány igényelhetı a CaCert-tıl: www.cacert.org az e-mail címedet tudod hitelesíteni, majd már hitelesített személyek személyes találkozás során, 2 igazolvány alapján rendelhetik a nevedet is a tanúsítványhoz PKI, Public Key Infrastructure a PKIX modell Felhasznált irodalom William Stallings: Cryptography and Network Security, 4th Edition, Prentice Hall, 2006. (Chapter 14) Lawrie Brown elıadás fóliái (Chapter 14) KIKERES Fogalomtár 3.0 www.fogalomtar.hu

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés