Podpis elektroniczny Między teorią a praktyką

1 Podpis elektroniczny Między teorią a praktykąDaniel Ryc...
Author: Jarek Błaszyk
0 downloads 1 Views

1 Podpis elektroniczny Między teorią a praktykąDaniel Rychcik UMK, Toruń Prezentacja dostępna w Sieci pod adresem:

2 O czym będzie? Zagrożenia w Internecie Kryptografia CertyfikatyUrzędy certyfikacyjne Praktyka

3 Zagrożenia w InterneciePodsłuchiwanie Fałszowanie Zaprzeczanie

4 Kryptografia Symetryczna Asymetryczna Szyfrowanie PodpisywanieWeryfikacja podpisu

5 Kryptografia symetrycznaNajprostsza, znana od wieków Łatwa do oprogramowania Bardzo szybkie algorytmy Jeden, symetryczny klucz Konieczność ustalenia klucza Problem jajka i kury

6 Kryptografia asymetrycznaStosunkowo nowa – kilkadziesiąt lat Skomplikowane algorytmy Mała prędkość Klucz prywatny i klucz publiczny To, co zaszyfrujemy jednym z tych kluczy, możemy odszyfrować wyłącznie drugim ! Możliwość upowszechnienia klucza publicznego

7 Szyfrowanie Zapobiega podsłuchiwaniu danychSzyfrujemy wiadomość kluczem publicznym odbiorcy Można ją rozszyfrować wyłącznie kluczem prywatnym odbiorcy Zatem tylko odbiorca może odebrać naszą przesyłkę

8 Podpisywanie Zapobiega fałszowaniu danychSzyfrujemy wiadomość kluczem prywatnym nadawcy Można ją rozszyfrować wyłącznie kluczem publicznym nadawcy A ten klucz jest powszechnie dostępny Praktyka – funkcja skrótu

9 Podpisywanie c.d. Klucz prywatny nadawcy wiadomości Skrót dokumentu Szyfrujemy skrót Dokument + podpis Dokument oryginalny skrót dokumentu zaszyfrowany kluczem prywatnym nadawcy podpis cyfrowy =

10 Weryfikacja podpisu T Dokument Obliczamy skrót Dokument + podpis Zgadza się? Podpis Deszyfrujemy skrót N Certyfikat nadawcy wiadomości Klucz publiczny nadawcy ponownie obliczamy funkcję skrótu i porównujemy ją z otrzymaną

11 Certyfikaty Niedostatki metod kryptograficznych Idea certyfikatuUrzędy certyfikacyjne Drzewo certyfikacji Łańcuch certyfikatów Weryfikacja podpisu elektronicznego Odwoływanie certyfikatów

12 Niedostatki metod kryptografiiBrak pewności co do autentyczności klucza publicznego Możliwe scenariusze oszustwa Fałszywy klucz publiczny Oszustwo „w czasie”

13 Idea certyfikatu Przykład weryfikacji – prowadzący wykładKlucz publiczny potwierdzony przez zaufaną trzecią stronę Potwierdzenie w formie podpisu cyfrowego Powszechna dystrybucja certyfikatu trzeciej strony

14 Co zawiera certyfikat? Dokładną nazwę obiektu certyfikowanegoJego położenie w hierarchii Podobnie dla urzędu certyfikacyjnego Okres ważności certfyfikatu Przeznaczenie certyfikatu Adres WWW urzędu i CRL tego certyfikatu (o tym później) Podpis cyfrowy

15 Urząd certyfikacyjny (CA)Instytucja zajmująca się potwierdzaniem certyfikatów Zadania Wystawianie Przechowywanie Udostępnianie Odwoływanie Rola certyfikatu CA

16 Drzewo certyfikacji Problemy organizacyjne Potrzeba hierarchiiUjednolicenie nazw

17 Łańcuchy certyfikatówCertyfikaty wszystkich kolejnych poziomów (do najwyższego) Przyspieszają weryfikację danych nie zmniejszając bezpieczeństwa Zmniejszają ilość certyfikatów CA jakie musi przechowywać klient

18 Weryfikacja podpisu Najprostszy przypadek – dwóch studentów tego samego wydziału Ta sama struktura, różne poziomy – student prawa i profesor matematyki Rozłączne drzewa

19 Odwoływanie certyfikatówOkres ważności certyfikatu Problem: co, jeżeli certyfikat trzeba wycofać przed upływem terminu? (Częściowe) rozwiązanie CRL

20 Praktyka Wystawianie certyfikatu Ładowanie do programu pocztowegoWysyłanie poczty Odbieranie poczty Bezpieczne WWW Inne możliwości

21 Wystawianie certyfikatuZdalne – przeglądarka WWW Lokalne – urząd certyfikacyjny Fizyczna postać certyfikatu

22 Fizyczna postać certyfikatuCertificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: md5WithRSAEncryption Issuer: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=CA_WMiI/ unstructuredName=Urzad Certyfikacyjny WMiI Validity Not Before: Nov 10 17:59: GMT Not After : Aug 2 17:59: GMT Subject: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=muflon/ Rychcik Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b4:eb:09:9d:fe:08:2b:4a:4e:b5:a0:d5:19:10: (...) Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment Netscape Base Url: Netscape CA Revocation Url: /crl.crl 6c:02:e3:81:6b:bd:cc:4f:33:32:2d:bc:e8:26:4d:b9:ee:48:

23 Instalacja certyfikatu

24 Wysyłanie poczty Outlook Express

25 Odbieranie poczty Outlook Express

26 Bezpieczne WWW Możliwość weryfikacji pochodzenia stron WWWAutoryzacja klienta Zastosowania

27 Inne możliwości Szyfrowane połączenia sieciowe (SSL) VPNBezpieczne serwery innych usług Znaczniki czasu

28 Pytania