Copyright 2011 FUJITSU LIMITED Elektronikus rendszerek a közigazgatásban Előadó: Erdősi Péter Máté, CISA elektronikus aláírással kapcsolatos szolgáltatási szakértő Fujitsu Akadémia
1 Copyright 2011 FUJITSU LIMITED Előadások
Tartalom Az információ hitelessége A kétkulcsos titkosítás X509 tanúsítvány tartalma és típusai A tanúsítványkibocsátók működése A hitelesítésszolgáltatókra vonatkozó szabályozás és a nyilvános szolgáltatók működése Időbélyegzés
Az információ hitelessége Definíciók: Információ:? Hitelesítés: az állított azonosság megerősítése Hitelesség: valaminek a forrása az, amit megjelöltek és tartalma eredeti Hiteles: a forrás és a tartalom eredetisége megerősítetté vált Azonosítás vagy hitelesítés? Azonosítás (Identification) Hitelesítés (Authentication) Feljogosítás (Authorization)
A kétkulcsos titkosítás Mitől lesz kétkulcsos? Működése: Crypto (Crypto ( Message, Key 1 ),Key 2 ) = Message, ahol Titkos üzenet M crypted = Crypto ( Message, Key 1 ) és Key 1 Key 2 Melyik a titkos és melyik a nyilvános? Mitől függ a működés hatékonysága? Üzenet hossza Titkosító algoritmus műveletigénye Biztonság
A digitális aláírás készítése
A digitális aláírás ellenőrzése
A tanúsítvány tartalma Történet: ITU (International Telecommunication Union): X509v3-1996 (v2-1993, v1-1988) RFC 5280 (2008): Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Alap mezők Verzió sorozatszám algoritmusazonosító kibocsátó érvényesség alany, tulajdonos az alany nyilvános kulcsa a kibocsátó egyedi azonosítója (v2, v3) Kiterjesztések Digitális aláírás
A tanúsítvány tartalma Azonosítók: country organization, organizational unit, distinguished name qualifier, state or province name, common name serial number. Kibocsátó és alany adatai: locality, title, surname, given name, initials, pseudonym, generation qualifier
A tanúsítvány tartalma Kiterjesztések Standard Szolgáltatói kulcsazonosító (nyilvános kulcs hash-értéke, kibocsátó, sorozatszám,) Tulajdonos kulcsazonosító (nyilvános kulcs hash-értéke) Kulcshasználat digitalsignature (0), nonrepudiation (1), keyencipherment (2), dataencipherment (3), keyagreement (4), keycertsign (5), crlsign (6), encipheronly (7), (csak 4-gyel együtt használható) decipheronly (8) (csak 4-gyel együtt használható) Aláírási politika azonosító CRL disztribúciós pont
A tanúsítvány tartalma Kiterjesztések Private Kibocsátói információk hozzáférhetősége a kiterjesztésekben Tulajdonosi információk hozzáférhetősége a kiterjesztésekben Digitális aláírás Kinek az aláírása szerepel a tanúsítványban? Van-e a kibocsátónak is tanúsítványa?
A tanúsítványok típusai Tipizálási dimenziók Kihez/mihez kapcsolódik? Milyen szabvány szerint kódolt? Mire alkalmas? Kihez/mihez kapcsolódik? Természetes személy Jogi személy (cég, hivatal) Eszköz (webszerver)
A tanúsítványok típusai Milyen szabvány szerint kódolt? X509v2 PGP Mire alkalmas? Aláírás Titkosítás Hitelesítés Milyen jogi vélelem fűzhető hozzájuk? Teljes bizonyító erő Írásbeliség Bizonyítási eljárásokban való felhasználás meg nem tilthatósága A közigazgatásban használható tanúsítványokra a 78/2010. Kormányrendelet tartalmaz részletes előírásokat. Kalotay Balázs
A tanúsítványkibocsátók működése Tanúsítványok kibocsátása Tanúsítványkérelem Tanúsítvány mezőinek kitöltése Tanúsítvány digitális aláírása Tanúsítvány publikálása Tanúsítványkibocsátók Nyilvános Zárt Megbízhatóság?
A hitelesítésszolgáltatók működése Elektronikus aláírási törvény (2001. XXXV. Tv, Eat.) 6. (1): Hitelesítésszolgáltatás Időbélyegzés Aláíráslétrehozó eszközök az aláíráslétrehozó adat elhelyezése Archiválásszolgáltatás Hitelesítéssszolgáltatáson belül Azonosítja az igénylő személyét Tanúsítványt bocsát ki Nyilvántartásokat vezet Fogadja a tanúsítványokkal kapcsolatos változások adatait Nyilvánosságra hozza a szabályzatokat, az aláírásellenőrző adatokat, és a tanúsítvány aktuális állapotára vonatkozó információkat (visszavonás)
A hitelesítésszolgáltatók működése Szabályozás Működésre vonatkozó előírások Pénzügyi követelmények Tájékoztatási követelmények Minden szolgáltatóra és külön a minősített szolgáltatókra Működésre vonatkozó előírások minősített szolgáltatókra Rendelkezésre állás 99,9%, egy kiesés maximális ideje 3 óra lehet Minden bizalmi munkakörben dolgozónak munkaviszonyban kell állnia a szolgáltatóval Folyamatosan ellenőrzött információbiztonsági irányítási rendszerrel kell rendelkezniük A bizalmi munkaköröket egymástól szét kell választani
A hitelesítésszolgáltatók működése Pénzügyi követelmények Legalább 25 millió Ft-os bankgarancia, vagy óvadék, vagy készfizető kezes Felelősségbiztosítás, a tanúsítványban vállalt ügyleti érték 5- szörösére Tájékoztatási követelmények Ügyfeleket szerződéskötés előtt teljeskörűen kell tájékoztatni Nemzeti Média- és Hírközlési Hatóságot minden 3 óránál nagyobb leállásról tájékoztatni kell Nemzeti Média- és Hírközlési Hatóságot minden tervezett változtatásról 30 nappal korábban tájékoztatni kell Szolgáltatói kulcs kompromittálódás esetén minden ügyfelet és érintett felet haladéktalanul tájékoztatni kell
Időbélyegzés Időjelzések Állított idő Tanúsított idő Pontos idő Hiteles idő Időszinkronizáció Stratum 0: atomóra, GPS óra Stratum 1: szerverek, melyek a Stratum 0-hoz szinkronizáltak Stratum 2: gépek, melyek a Stratum 1 szerverekhez szinkronizáltak Támadási formák Időátállítás visszajátszás
Köszönöm a figyelmet! Erdősi Péter Máté, CISA mailto: szakerto@erdosipetermate.hu