PKI: egy ember, egy tanúsítvány?

Hasonló dokumentumok
2. Miért nem elég egy tanúsítvány? Ha már van tanúsítványom, miért nem használhatom akárhol?

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

Aláírási jogosultság igazolása elektronikusan

Aláírási jogosultság igazolása elektronikusan

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

Szabó Zoltán PKI termékmenedzser

Az elektronikus aláírás és gyakorlati alkalmazása

ELEKTRONIKUS ALÁÍRÁS E-JOG

PKI gyakorlati kérdések, I

Elektronikus hitelesítés a gyakorlatban

Gyakorlati problémák a PKI területén II

Gyakorlati problémák a PKI területén

Verzió: 1.7 Dátum: Elektronikus archiválási útmutató

A PKI gyakorlati problémái

1 Letagadhatatlanság és bizonyító erı

Üzletszabályzat. Advocatus Díjcsomag

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

Dr. Bakonyi Péter c.docens

Elektronikus aláírás. Gaidosch Tamás. Állami Számvevőszék

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

e-szignó Online Szolgáltatások - e-számla rendszer

Réti Kornél, Microsec Zrt. 1

PKI gyakorlati kérdések, I

Tájékoztató. a NISZ Zrt. elektronikus aláírással kapcsolatos szolgáltatásairól

Azt írom alá, amit a képernyőn látok?

Titkosítás NetWare környezetben

Biztonság a glite-ban

NyugDíjcsomag Üzletszabályzat

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

Gyakran ismétlődő kérdések az elektronikus aláírásról

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

Tájékoztató az e-szignó Hitelesítés Szolgáltató ügyfelei számára

Elektronikus rendszerek a közigazgatásban

AZ ELEKTRONIKUS ALÁÍRÁSRÓL EGYSZERŐEN. Dr. Berta István Zsolt, Microsec zrt.

Elektronikus rendszerek a közigazgatásban

Tájékoztató az e-szignó Hitelesítés Szolgáltató ügyfelei számára

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.

Minősített archiválás szolgáltatás beindítása Magyarországon

ELEKTRONIKUS ALÁÍRÁS ISMERTETŐ

Végrehajtási Iratok Elektronikus Kézbesítési Rendszere (VIEKR)

Tájékoztató az e-szignó Hitelesítés Szolgáltató ügyfelei számára

======!" ==Systems= Hitelesség az üzleti életben Budapest március 30.

MÁV INFORMATIKA. Kereskedelmi, Szolgáltató és Tanácsadó Zártkörűen Működő Részvénytársaság

Tanúsítvány létrehozása IceWarp Levelezı és Kommunikációs Szerverhez

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Elektronikus archiválás szolgáltatás

PPKE-ITK. Adatbiztonság és Kriptográfia. Mérési útmutató a. PKI és SSL. címő méréshez

S, mint secure. Nagy Attila Gábor Wildom Kft.

Adat és Információvédelmi Mesteriskola 30 MB. Dr. Beinschróth József SAJÁTOS LOGIKAI VÉDELEM: A KRIPTOGRÁFIA ALKALMAZÁSA

Evolution levelező program beállítása tanúsítványok használatához

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON

TANÚSÍTVÁNY PH. Tanúsítási igazgató:

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

e-szignó Hitelesítés Szolgáltató nem elektronikus aláírásra szolgáló tanúsítványok kibocsátására vonatkozó szolgáltatási szabályzat

FELHASZNÁLÓI ÚTMUTATÓ

Minősített csomagok mobileszközökre

Kriptográfiai alapfogalmak

Elektronikus rendszerek a közigazgatásban

Az elektronikus számlázás Elmélet, gyakorlat, változások. Budapest, február 16.

ELŐTERJESZTÉS. a Kormány részére

Az Outlook levelező program beállítása tanúsítványok használatához

TANÚSÍTVÁNY. tanúsítja, hogy a Utimaco Safeware AG által kifejlesztett és forgalmazott

PKI ALAPOK ÉS AZ E-ALÁÍRÁS MŰSZAKI HÁTTERE, (eidas) Szakmai Konferencia + WORKSHOP

ÁRLISTA. Érvényes: július 1-től visszavonásig. Zárójelben a bruttó árak olvashatók. Minősített csomagok

ÁRLISTA. Érvényes: július 6-tól visszavonásig. Zárójelben a bruttó árak olvashatók. Minősített csomagok

v 5.6 EDUCATIO Társadalmi Szolgáltató Nonprofit Kft. ÁLTALÁNOS SZERZİDÉSI FELTÉTELEK

ÁRLISTA. Érvényes: július 1-től visszavonásig. Zárójelben a bruttó árak olvashatók. Minősített csomagok

ELEKTRONIKUS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

Tájékoztató. ügyfelei számára

KRA Elektronikus aláírási szabályzat

Aláírási jogosultság igazolása elektronikusan. 2. Hogyan állapítható meg egy tanúsítvány alanyának szerepköre, jogosultsága?

e-szignó Hitelesítés Szolgáltató nem minősített tanúsítvány hitelesítési rendek

Elektronikus rendszerek a közigazgatásban Elektronikus aláíráshoz kapcsolódó alkalmazások

e-szignó Hitelesítés Szolgáltató Nem minősített tanúsítvány hitelesítési rendek ver. 4.0

1. oldal. együttes elnevezésük szerint: Szerződő Felek között, alulírott helyen és időben az alábbiak szerint:

Szolgáltatási és Archiválási Szabályzat

ÁRLISTA. Minősített csomagok

e-szignó Hitelesítés Szolgáltató Nem minősített tanúsítvány hitelesítési rendek

194/2005. (IX. 22.) Korm. rendelet

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

IT biztonság Hozzáférés-ellenőrzés és digitális aláírás I. 2016/2017 tanév

Hálózati ismeretek. Dr. Bujdosó Gyöngyi. Digitális aláírás. Kis Andrea. Debrecen

PKI gyakorlati kérdések, II

20 éve az informatikában

Magyar joganyagok - 137/2016. (VI. 13.) Korm. rendelet - az elektronikus ügyintézés 2. oldal 2. elektronikus tájékoztatás szabálya: az elektronikus üg

Szolgáltatási szabályzat nem aláírás célú tanúsítvány szolgáltatásokhoz (HSZSZ-T)

A nyilvános kulcsú algoritmusokról. Hálózati biztonság II. A nyilvános kulcsú algoritmusokról (folyt.) Az RSA. Más nyilvános kulcsú algoritmusok

ÁRLISTA. Érvényes: július 1-től visszavonásig. Zárójelben a bruttó árak olvashatók. Minősített aláíró tanúsítványok. Bronz Ezüst Arany Platina

MÁSOLATKÉSZÍTÉSI REND

Szabályzat a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre december 7.

Informatikai fejlesztések, feladatok február 07.

Tanúsítványok kezelése az ibahir rendszerben

Átírás:

PKI: egy ember, egy tanúsítvány? Dr. Berta István Zsolt <istvan.berta@microsec.hu> Endrıdi Csilla Éva <csilla@microsec.hu> Microsec Kft. http://www.microsec.hu

PKI dióhéjban (1) Minden résztvevınek van két kulcsa: magánkulcs (csak ı ismeri) nyilvános kulcs (bárki megismerheti) Ha magánkulcsunkkal kódolunk valamit, a nyilvános kulcsunkkal bárki ellenırizheti, hogy a kódolást mi végeztük el. Ezt nevezzük aláírásnak, hitelesítésnek. Ha egy nyilvános kulccsal kódolunk valamit, azt kizárólag a hozzá tartozó magánkulccsal lehet visszafejteni. Ezt nevezzük titkosításnak. Csak akkor támaszkodhatunk egy nyilvános kulcsra, ha tudjuk, hogy ki birtokolja a hozzá tartozó magánkulcsot. 2

PKI dióhéjban (2) A hitelesítés szolgáltatók olyan szereplık, akik aláírt igazolásokat állítanak ki arról, hogy egy adott nyilvános kulcs (és a hozzá tartozó magánkulcs) kihez tartozik. Ezen aláírt igazolásokat nevezzük tanúsítványnak. A tanúsítványokat általában más tanúsítványok alapján ellenırizhetjük, az ellenırzést gyökér hitelesítés szolgáltatók nyilvános kulcsára vezethetjük vissza; e kulcsokat sokan ismerik és elfogadják. Az idıbélyegzés szolgáltatók olyan aláírt igazolásokat bocsátanak ki arról, hogy egy adott dokumentum egy adott idıpontban létezett. Jogszabály bizonyító erıt rendel a minısített és a fokozott biztonságú aláírásokhoz és a minısített idıbélyegekhez. 3

A gyakorlatban ez nem ilyen egyszerő Nagyon sokféle tanúsítvány van. Egy szereplınek is gyakran több tanúsítványa van. Nehéz különbséget tenni közöttük. Hogyan találjuk meg valakinek a tanúsítványát? Gyakori, hogy hiába van már egy tanúsítványunk, amit valahol használunk, máshol valami miatt már nem használhatjuk ugyanazt; hanem új tanúsítványra van szükségünk.... miért? 4

Miért nem elég egy tanúsítvány? Érdemi okok, fontos biztonsági szempontok Egyéb okok szerencsétlen vagy hibás megoldások, szabványok, specifikációk közötti ellentmondások, elterjedt alkalmazások korlátai, furcsaságai miatt kötött kompromisszumok, különálló PKI rendszerek tervezése során nem gondolták végig ezek késıbbi összekapcsolását... 5

Lejáró/visszavont tanúsítványok A tanúsítványok nem örökké érvényesek A PKI szereplıi nem tudják tökéletesen ırizni magánkulcsukat A tanúsítványban szereplı adataik megváltozhatnak A tanúsítvány lejárta elıre tervezhetı, a visszavonása nem. Természetes, ha valakinek az érvényes tanúsítványa(i) mellett lejárt/visszavont tanúsítványai is vannak. 6

Aláírás, titkosítás, authentikáció (1) Aláírás: saját magánkulcsunkkal kódolunk, észlelhetı, ha az aláírt dokumentumot az aláírást követıen megváltoztatták, és késıbb az aláíró kiléte is bizonyítható Titkosítás: a címzett nyilvános kulcsával kódolunk, a címzett (és csak ı) a saját magánkulcsával visszafejtheti az így kódolt dokumentumot. Authentikáció: saját kilétünket igazoljuk véletlen kihívást kódolunk a magánkulcsunkkal szimmetrikus kulcsokban állapodunk meg, és egy biztonságos csatornát hozhatunk létre 7

Aláírás, titkosítás, authentikáció (2) Miért kell hozzájuk különbözı kulcspár? Authentikációkor véletlen kihívást kódolunk a magánkulccsunkkal, és az eredményét elküldjük a partnerünknek. Egy támadó így akár aláírathat vagy dekódoltathat velünk valamit. A titkosításhoz feloldásához használt kulcsot letétbe szokás helyezni. Aláíró és authentikációs kulcsot tilos és értelmetlen letétbe helyezni. Törvény tiltja, hogy az aláírókulcsot aláíráson kívül bármi másra használjuk [Eat, 13. (4)] Aláírásra, titkosításra és authentikációra külön-külön kulcspárt kell használni. 8

Tanúsítvány használatának célja A tanúsítványban az ún. Key Usage bitek jelzik, hogy a tanúsítvány (és a magánkulcs) mire való. eltérı európai és amerikai szabványok egzotikus bitkombinációk A tanúsítvány használatának célja az Extended Key Usage mezıvel szőkíthetı kód aláíró tanúsítványok, webszerver tanúsítványok, SSL, VPN tanúsítványok Egyes alkalmazások néha megkövetelnek, néha tiltanak bizonyos kombinációkat. 9

A tanúsítvány biztonsági szintje Minısített tanúsítványok (csak aláírás) erıs bizonyító erı szigorú szabályozás, sok megkötés, néhol nagyon körülményesen használható Nem minısített tanúsítványok ( fokozott ) alig van szabályozás, nehéz eldönteni, hogy mennyire biztonságos sokkal rugalmasabban használható Elıfordulhat, hogy valakinek különféle biztonsági szintő tanúsítványokra van szüksége. 10

Magánkulcs tárolása Ha a magánkulcs chipkártyán van, amíg nálam a kártya, addig más nem élhet vissza a kulcsommal. Ez szigorú korlátokat jelent. A szoftveres kulcs egy fájl, le lehet másolni. Sokkal rugalmasabban használható: biztonsági másolatot készíthetek a kulcsról több gépen egyszerre is használhatom olyan alkalmazást is tudok használni, amely nem támogatja az én kártyámat Gyakran mindkettıre szükség van... 11

Hol van letétben a magánkulcs? A titkosító tanúsítványokhoz tartozó magánkulcsot letétbe szokás helyezni, hogy ha a kulcs megsemmisül, ne vesszen el a kulccsal titkosított összes adat. Szervezeti titkosító tanúsítványok esetén általában a szervezet is hozzáférhet a dolgozói magánkulcsához. A szervezet ekkor ragaszkodhat hozzá, hogy más szervezet ne férjen hozzá ehhez a magánkulcshoz. Ha valaki több szervezet nevében is használ titkosító tanúsítványt, lehet, hogy különbözı tanúsítványokra van szüksége. 12

Személyes adatok a tanúsítványban A tanúsítványban szerepel a tanúsítvány alanyának a neve, de ez álnév is lehet. Az álneves aláírás elvileg egyenértékő a nem álnevessel Sok helyen (pl. a közigazgatásban) mégsem fogadnak el álneves tanúsítványt Ha más adat szerepel a tanúsítványban... a befogadó fél hogyan találja meg ezen információkat? a befogadó fél elfogadja a hitelesítés szolgáltató állítását? 13

Szerepkör a tanúsítványban Gyakran nem valakinek a nevérıl, hanem szerepkörérıl, jogosultságáról, tulajdonságáról kell meggyızıdnünk Hogy állapítható ez meg? Biztos, hogy jó, ha a szerepkör a tanúsítványból derül ki? minden szerepkörhöz külön tanúsítvány szükséges? különben honnan tudom, hogy mikor melyik szerepkörömben használom a tanúsítványomat? különben bármelyik szerepköröm megváltozik, vissza kell vonni a tanúsítványt? különben minden aláírásomból kiderül, hogy pontosan milyen szerepköreim, jogosultságaim vannak? A tanúsítvány a kulcspár és az entitás összetartozását igazolja, másra lehetıleg ne használjuk. 14

Melyik gyökeret használjuk? A tanúsítványt elfogadó fél valamely gyökér alapján ellenırzi a tanúsítvány érvényességét. Melyik gyökeret, gyökereket használja? A jogilag elfogadott [Eat] szerinti gyökereket? Mely hazai és mely külföldi gyökerek tartoznak ide? Az ellenırzı alkalmazás által elfogadott gyökereket? Biztos, hogy ez jó megoldás??? A PKI közösség saját gyökerét? Ha rosszul csinálják (egy tanúsítvány csak egy gyökérhez tartozhat), az elszigetelıdéshez vezet... 15

Visszavonási információk elérhetısége A tanúsítványt elfogadó félnek ellenıriznie kell a tanúsítvány visszavonási állapotát. A különféle tanúsítványok esetén különbözı módon, és különbözı rugalmassággal érhetıek el a visszavonási információk. Példa: archiválás szolgáltatás a jogszabály szerint 3 napon belül össze kell győjteni minden visszavonási információt sok hitelesítés szolgáltató esetén akár hónapok is eltelhetnek, amíg a szükséges visszavonási listák megjelennek... 16

Miért nem elég egy tanúsítvány? A PKI alapvetı elveibıl következik pl.: lejáró/visszavont tanúsítványok aláírás, titkosítás, authentikáció biztonsági szintek Sok más ok hibáknak, illetve a PKI gyermekbetegségeinek a következménye 17

Összefoglalás Vegyük figyelembe, hogy a szereplık tanúsítványai változnak, a tanúsítványok nem örökké érvényesek Különítsük el az aláíró, titkosító és authentikációs tanúsítványokat, funkciókat Hangsúlyt kell fektetnünk a szabványos tanúsítványok használatára (és megkövetelésére) Meg kell határoznunk, hogy milyen biztonsági szintő tanúsítványokat fogad el a rendszer Végig kell gondolnunk, hogy hogyan kerülünk majd kapcsolatba más PKI-re épülı rendszerekkel Ne mossuk össze a tanúsítványt a szereplı jogosultságaival Kerüljük, hogy a tanúsítványban az alany nevén kívül bármilyen más információ szerepeljen 18

PKI: egy ember, egy tanúsítvány? Dr. Berta István Zsolt <istvan.berta@microsec.hu> Endrıdi Csilla Éva <csilla@microsec.hu> Microsec Kft. http://www.microsec.hu

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés