1 Komputery w finansach Wykład IPodpis elektroniczny Komputery w finansach Wykład I
2 Podpis elektroniczny - definicjaDyrektywa UE 1999/93/EC definiuje podpis elektroniczny w następujący sposób: data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication. Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
3 Podstawowe pojęcia definiowane przez dyrektywę UE 1999/93/EC:Osoba składająca podpis elektroniczny Dane służące do składania podpisu elektronicznego Dane służące do weryfikacji podpisu elektronicznego Urządzenie służące do składania podpisu elektronicznego Urządzenie służące do weryfikacji podpisu elektronicznego Certyfikat Kwalifikowany certyfikat Podmiot świadczący usługi certyfikacyjne Znakowanie czasem Poświadczenie elektroniczne
4 Ustawa o podpisie elektronicznym z dn. 18.09.2001Celem uchwalonej przez Sejm w dniu 18 września 2001 r. ustawy o podpisie elektronicznym było stworzenie mechanizmu oraz infrastruktury organizacyjnej, które umożliwią bezpieczne i niezawodne posługiwanie się w Polsce nowoczesnymi elektronicznymi środkami łączności i przetwarzanie informacji na potrzeby czynności prawnych i w działalności gospodarczej.
5 Podpis cyfrowy Podpis cyfrowy (digital signature) ma następujące cechy: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
6 Pierwsze sygnatury przy przesyłaniu dokumentów drogą elektronicznąKomunikacja pomiędzy dowództwem a okrętami podwodnymi USA System polegał na dołączeniu do wiadomości ściśle określonego ciągu znaków, który potwierdzał autentyczność. Do każdej wiadomości przewidziany był inny (kolejny z listy) ciąg znaków.
7 Zalety i wady stosowania sygnaturBrak możliwości podpisania dokumentu przesyłanego do „nieznanego" odbiorcy Konieczność generowania listy sygnatur dla każdego odbiorcy osobno Błąd w użyciu sygnatury może spowodować lawinowe błędne interpretowanie sygnatur u odbiorcy Konieczność uzgodnienia listy sygnatur pomiędzy nadawcą-odbiorcą w bezpiecznym kanale transmisyjnym Możliwość użycia sygnatury bez użycia jakichkolwiek urządzeń/komputerów itp. Brak możliwości jednoznacznej identyfikacji nadawcy Prosty algorytm do tworzenia i weryfikowania sygnatury WADY ZALETY
8
9
10 Etapy podpisywania wiadomości1. Tworzymy skrót wiadomości - jest on od niej dużo krótszy. Kodujemy odcisk kluczem prywatnym -uzyskujemy w ten sposób podpis. 3. Podpis dołączamy do listu i wysyłamy go.
11 Szyfrowanie skrótu Klucz prywatny nadawcy Skrót dokumentu Dokument+ podpis Dokument oryginalny
12 Etapy dekodowania wiadomości4. Tworzy skrót wiadomości, 5. Deszyfruje podpis kluczem publicznym, 6. Porównuje dwa otrzymane skróty.
13 Podpis Certyfikat nadawcy Klucz publiczny nadawcyDokument Obliczamy skrót T Dokument + podpis Zgadza się? Podpis Deszyfrujemy skrót N Certyfikat nadawcy Klucz publiczny nadawcy
14 Algorytm RSA W algorytmie RSA generowanie kluczy publicznego i prywatnego polega na wykorzystaniu funkcji pary dużych liczb pierwszych.
15 Funkcja skrótu jednokierunkowość bezkolizyjność nieprzewidywalnośćAlgorytmy MD5 (128 bajtów) SHA-1 (160 bajtów) jednokierunkowość bezkolizyjność nieprzewidywalność
16 Przykład wiadomości podpisanej cyfrowo za pomocą pakietu PGPWiadomość oryginalna: Wiadomość testowa, do podpisania za pomocą pakietu PGP. Wiadomość podpisana elektronicznie: BEGIN PGP SIGNED MESSAGE Hash: SHA1 Wiadomość testowa, do podpisania za pomocą pakietu PGP. BEGIN PGP SIGNATURE Version: PGPfreeware 6.0.2i iQA/AwUBQGqqPourfDHB+0j+EQJqGgCcDW7Y7gvExqdWwGmMy2i7e1FqRIAoPsX PNQm93UbljFMZIy4ysqNrtrc =1sQp END PGP SIGNATURE
17 Przechowywanie kluczy prywatnychPliki binarne - klucz taki jest wówczas szyfrowany metodą symetryczną z wykorzystaniem hasła dostępu. Metoda ta wymaga od użytkownika ochrony własnego klucza, który podczas pracy najczęściej musi znajdować się na dysku komputera. Karty mikroprocesorowe - jest to zdecydowanie najbezpieczniejsza metoda przechowywania klucza. Karta taka sama generuje parę kluczy udostępniając na zewnątrz jedynie klucz publiczny. Klucz prywatny nigdy nie opuszcza karty - operacja szyfrowania danych przeprowadzana jest przez kartę (oprogramowanie wysyła dane do karty i odbiera je w postaci zaszyfrowanej). Dostęp do karty chroniony jest za pomocą kodu PIN. E-token
18 Przechowywanie kluczy publicznychCentra Autoryzacyjne (CA) – miejsca które rozprowadzają klucze publiczne swoich klientów, potwierdzając ich autentyczność za pomocą własnych podpisów. Dzięki temu każdy zainteresowany weryfikacją autentyczności otrzymanej wiadomości, może bez problemu dokonać tego weryfikując podpis za pomocą klucza udostępnionego przez CA. Udostępnianie przez witryny WWW
19 Cechy nowoczesnego podpisu elektronicznegoUwierzytelnianie nadawcy Niezaprzeczalność Integralność Identyfikacja Poufności Oszczędność czasu i kosztów
20 Zastosowanie podpisu elektronicznego w bankach w PolsceSystem (Fortis Bank) System (PBK BPH) System ING/BSK Online (ING Bank Śląski)
21 Korzyści stosowania podpisu elektronicznego w e-bankingu.Bezpieczeństwo Integralność Wiarygodność Niezaprzeczalność Poufność Oszczędność czasu i kosztów
22 http://www.certum.pl/pl/dokumentacja/slownik/ E-podpis Internet Centrum Certyfikacji E-podpis Podpis elektroniczny INFO
23 PKI ( Public Key Infrastructure)Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografii z kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości, hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołach kryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumenty tworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdy publikacje ITU-T używają oznaczenia X.509.
24 Co dają nam technologie PKI?• Poufność przesyłanych danych, • Kontrolę dostępu, • Silną autentykację użytkowników, • Zapewnienie integralności danych, • Niezaprzeczalność dokonywanych transakcji, • Eliminację anonimowości.
25 Certyfikat PKI - pakiet danych, zawierający klucz publiczny certyfikowanego podmiotu (serwera, osoby), informacje na temat tego ostatniego (nazwa, adres). Certyfikat zawiera także podpis cyfrowy urzędu certyfikującego poświadczający prawdziwość danych oraz autentyczność klucza publicznego.
26 Czym jest certyfikat? Generowane są klucze użytkownika (szyfrujące, podpisujące), a dalszej obróbce poddawane są tylko ich części publiczne by ostatecznie móc certyfikat przekazywać osobom trzecim. Razem z wybranymi informacjami o użytkowniku/obiekcie (serwer, router, itp.) są one umieszczane np. w pliku, na karcie chipowej, e-tokenie. Z jego zawartości wyliczana jest wartość funkcji skrótu (np. MD5, SHA1). Uzyskana wartość jest następnie szyfrowana kluczem prywatnym Certificate Authority. Obie informacje (dane o użytkowniku/obiekcie i zaszyfrowana wartość skrótu) są scalane i tak uzyskany twór nosi miano certyfikatu.
27 Tworzenie certyfikatu
28 Cykl życia certyfiaktu
29 Man in the middle - atak polegający na przejmowaniu danych przesyłanych pomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzy stronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron. Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technik kryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemu ochrony potwierdzania tożsamości, takiego jak PKI.
30 Źródła OpenSSL, http://www.openssl.org/Apache-SSL, OpenSSH, Stunnel, RSA Data Security Public Key Cryptography Standards ITU Telecommunication Standardization Sector,