1 Podstawy funkcjonowania podpisu elektronicznegomgr inż. Paweł Konarski ENIGMA Systemy Ochrony Informacji Sp. z o.o.

2 Plan prezentacji Co to jest podpis elektronicznyCertyfikaty i infrastruktura klucza publicznego (PKI) Weryfikacja podpisu elektronicznego Przechowywanie dokumentów podpisanych

3 Co to jest podpis elektronicznyZagadnienia prawne - podpis zwykły i bezpieczny (kwalifikowany) Podstawowe pojęcia z zakresu kryptografii Porównanie podpisu elektronicznego i odręcznego

4 Podpis elektroniczny Niniejszym przekazuję 10 zł na … Dokument Niniejszym przekazuję 100 zł na … Dokument Podpis Jana Kowalskiego Podpis Jana Kowalskiego 89473CB91E79134E82743 A2CB7939E9173BC80134 Podpis Stanisława Nowaka Podpis Stanisława Nowaka 309488E C41234D 7B B8093 Podpis jest składany przy użyciu klucza prywatnego (karty elektronicznej zawierającej klucz prywatny) Podpis jest weryfikowany przy użyciu wskazanego w nim certyfikatu; certyfikat zawiera dane osoby, która złożyła podpis (np. imię, nazwisko, adres, PESEL) Dany podpis „pasuje” tylko do jednego, konkretnego dokumentu i do jednego klucza, którym został złożony podpis może być przesyłany i składowany niezależnie od dokumentu

5 Podpis „zwykły” Znany od wielu lat, stosowany w Polsce co najmniej od początku lat 90 Dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej 13. Podpis elektroniczny. Główna funkcja – silne uwierzytelnienie odbiorca wie, że wiadomość (dokument) nie została sfałszowana, ale nie ma możliwości udowodnienia tego w sądzie

6 Kwalifikowany podpis elektronicznyUstawa z dnia 18 września 2001 r. o podpisie elektronicznym Art. 5 ust. 2. Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.

7 Podpis zwykły a podpis kwalifikowanyPodpis zwykły - uwierzytelnienie lub niezaprzeczalność w zamkniętych systemach zamknięte środowisko, małe prawdopodobieństwo celowych nadużyć, umowa cywilnoprawna Podpis kwalifikowany – niezaprzeczalność jako usługa publiczna znaczące prawdopodobieństwo celowych nadużyć konieczność precyzyjnego określenia w przepisach, kiedy podpis ma wartość dowodową i zakresu odpowiedzialności podmiotów w przypadkach brzegowych Inne procedury weryfikacji

8 Podpis elektroniczny – aspekty kryptograficzneUsługi ochrony informacji zapewniane przez podpis elektroniczny Uwierzytelnienie Integralność Niezaprzeczalność

9 Podpis elektroniczny - uwierzytelnienieDefinicja: Zapewnienie, iż użytkownik jest tym za kogo się podaje Uwierzytelnienie zwykłe: Dokumenty tożsamości, podpisy odręczne itp. Uwierzytelnienie kryptograficzne: Słabe (login/hasło) Zwykłe Algorytmy symetryczne Silne Algorytmy asymetryczne

10 Uwierzytelnienie kryptograficzne symetryczne, zwykłeKlucz K Klucz K M = Proszę przelać 100 PLN z konta A na konto B EK(h(M)) Własności: Każdy posiadacz klucza K może przygotować wiadomość Użytkownik musi ufać bankowi, gdyż może on przygotować fałszywą wiadomość i przedstawić ją w sądzie jako przygotowaną przez użytkownika Brak ochrony przed powtórzeniem wiadomości

11 Kryptosystemy asymetryczneUżytkownik dysponuje parą wzajemnie ze sobą powiązanych kluczy: Kluczem prywatnym KPRV – musi pozostać tajny Kluczem publicznym KPUB – może (powinien) być znany innym użytkownikom systemu Własnością kryptosystemów asymetrycznych jest to, że: Wiadomość zaszyfrowana za pomocą KPRV może być odszyfrowana wyłącznie za pomocą KPUB KPUB(KPRV(M))=M Wiadomość zaszyfrowana za pomocą KPUB może być odszyfrowana wyłącznie za pomocą KPRV KPRV(KPUB(M))=M

12 Uwierzytelnienie kryptograficzne asymetryczne, zwykłeKlucz UPRV Klucz UPUB M = Proszę przelać 100 PLN z konta A na konto B UPRV(h(M)) Własności: Tylko posiadacz klucza UPRV może przygotować wiadomość Użytkownik nie musi ufać bankowi, gdyż nie może on przygotować fałszywej wiadomości i przedstawić ją w sądzie jako przygotowaną przez użytkownika Brak ochrony przed powtórzeniem wiadomości

13 Algorytm RSA (1975) Klucz publiczny: Klucz prywatny: Szyfrowanie:n = p x q (p,q – liczby pierwsze) e = liczba względnie pierwsza z (p-1) x (q-1) Klucz prywatny: d, taki że e x d = 1 mod (p-1) x (q-1) Szyfrowanie: c = me mod n Deszyfrowanie: m = cd mod n

14 Bezpieczeństwo RSA (1) Uważa się, że bezpieczeństwo RSA oparte jest o złożoność problemu faktoryzacji liczb Specjalizowany układ do faktoryzacji liczb (A.Shamir, E. Tromer 2003): 512 bitowy RSA (< 10 min, 10 tys. $) 1024 bitowy RSA (< rok, 10 mln. $) Rekomendacje firmy RSA (maj 2003) : 1024 : 2048 : 3072

15 Bezpieczeństwo RSA (2)

16 Podpis elektroniczny - integralnośćDefinicja: Usługa wykrywająca modyfikacje treści wiadomości Metody realizacji: Sumy kontrolne (CRC, wynik funkcji skrótu) Możliwość podmiany wiadomości i HASH: Konieczność powiązania usługi z usługą uwierzytelnienia Wiadomość HASH

17 Podpis elektroniczny - niezaprzeczalnośćDefinicja: Użytkownik nie może wyprzeć się faktu wykonania pewnej czynności np. wysłania wiadomości Rodzaje: Niezaprzeczalność nadania Niezaprzeczalność odbioru Niezaprzeczalność odczytania ... Wymagania realizacyjne: Technologiczne: Podpis cyfrowy, realizowany przy pomocy kryptosystemów asymetrycznych Prawne: Umowy cywilne Regulacje ustawowe (Ustawa o podpisie elektronicznym) Organizacyjne: Dystrybucja kluczy

18 Porównanie podpisu elektronicznego i podpisu odręcznegoPodpis odręczny Podpis elektroniczny Cechy wspólne Przypisany jednej osobie Uniemożliwiający wyparcie się go przez autora Łatwy do weryfikacji przez osobę niezależną Łatwy do wygenerowania Różnice Trudny do przetwarzania elektronicznego Łatwy do przetwarzania elektronicznego Może być składany i transmitowany niezależnie od dokumentu Nierozłącznie związany z dokumentem Taki sam dla wszystkich dokumentów Jest funkcją dokumentu Łatwy do podrobienia Niemożliwy do podrobienia Trudny do wyłudzenia Łatwy do wyłudzenia

19 Certyfikaty i infrastruktura klucza publicznegoProblemy dystrybucji kluczy Certyfikat – metoda na bezpieczną dystrybucję kluczy publicznych Format certyfikatu i listy CRL Infrastruktura klucza publicznego (PKI) Sposoby przechowywania kluczy prywatnych i dystrybucji certyfikatów

20 Podpis cyfrowy – weryfikacja podpisuM UPRV(h(M+U)) Odszukaj Upub UPUB(UPRV(h(M+U))) h(M) Oblicz własnoręcznie h’(M+U) Taki sam ? TAK NIE Podpis niepoprawny Podpis poprawny Skąd wiemy, że do użytkownika U przypisany jest klucz UPUB ?

21 Relacja klucz-użytkownik (1)Baza danych / Serwer kluczy Użytkownik Klucz A APUB B BPUB Baza danych / Serwer kluczy Użytkownik Klucz A IPUB B BPUB (3) (1) Intruz Użytkownik (4) (2) A M IPRV(h(M+A)) Wady: Bezpieczeństwo systemu zależne wyłącznie od bezpieczeństwa serwera Działanie systemu zależne od dostępności serwera Trudne do realizacji mechanizmy unieważnienia relacji Alternatywa: Centrum Certyfikacji Kluczy

22 Centrum Certyfikacji Kluczy (1)Funkcje: Identyfikcja i uwierzytelnienie użytkowników (klasycznie) Wystawianie certyfikatów potwierdzających relację klucz-użytkownik Publikowanie informacji o unieważnieniu relacji klucz-użytkownik (listy CRL) (1) CCKPRV CCKPUB (2) U-UPUB CCKPRV(h(U-UPUB)) (3) L=A-APUB, B-BPUB, ... CCKPRV(h(L))

23 Centrum Certyfikacji Kluczy (2)Obowiązki: Ochrona klucza prywatnego CCK Publikacja klucza klucza publicznego Niezwłoczne publikowanie informacji o unieważnieniach certyfikatów Rzetelna identyfikacja i uwierzytelnienie użytkowników W tym sprawdzenie czy użytkownik dysponuje kluczem prywatnym odpowiadającym jego kluczowi publicznemu CCK ponosi odpowiedzialność finansową za niedopełnienie obowiązków

24 Weryfikacja podpisu z użyciem certyfikatówUPRV(h(M)) U Odszukaj certyfikat U-Upub Zweryfikuj podpis pod certyfikatem ca pomocą CCKpub U-UPUB CCKPRV(h(U-UPUB)) Zweryfikuj podpis pod listą CRL za pomocą CCKpub Pobierz najnowszą listę CRL Nie Weź UPUB z certyfikatu Sprawdź czy U-UPUB znajduje się w CRL Zweryfikuj podpis pod wiadomością Skąd wiemy, że do CCK przypisany jest klucz CCKPUB ? Skąd wiemy że mamy najnowszą listę CRL ?

25 Certyfikat X.509

26 CRL X.509

27 Struktury CCK - hierarchiaROOTPRV ROOTPUB CCK3 ROOT CCK2 ROOT CCK1 ROOT CCK1PRV CCK1PUB CCK2PRV CCK2PUB CCK3PRV CCK3PUB Y CCK2 Z CCK3 X CCK1 M Ścieżki certyfikacji zaczynają się od klucza publicznego ROOT-a Dla wiadomości przesłanej od X do Z mamy: ROOTPUB  CCK1ROOT  XCCK1  Certyfikat klucza CCK1PUB wystawiony przez ROOT weryfikacja M XPRV(h(M+X)) X

28 Przechowywanie kluczy prywatnychKlucze prywatne powinny być używane wyłącznie z nośnikami sprzętowymi, uniemożliwiającymi dostęp do klucza z zewnątrz, oraz wymagającymi dodatkowego uwierzytelnienia przy dostępie do klucza. Stosowane obecnie nośniki to: Karty elektroniczne Sprzętowe moduły bezpieczeństwa (HSM)

29 Dystrybucja certyfikatówNajczęściej stosowane mechanizmy dystrybucji certyfikatów: Przesyłanie certyfikatu wraz z podpisaną wiadomością/dokumentem Dystrybucja w postaci paczek certyfikatów przesyłanych przez CCK do użytkowników Repozytoria sieciowe: np. serwery LDAP

30 Weryfikacja podpisów Weryfikacja podpisu zwykłegoWeryfikacja podpisu kwalifikowanego

31 Weryfikacja podpisu zwykłego (1)Po otrzymaniu podpisanego dokumentu, odbiorca: weryfikuje podpis matematycznie sprawdza ważność certyfikatu data weryfikacji musi być zawarta w okresie ważności certyfikatu certyfikat nie może być unieważniony Unieważnienie certyfikatu weryfikuje się na podstawie „aktualnej” listy unieważnionych certyfikatów CRL przyjmuje się (za X.509) że lista CRL jest aktualna, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy CRL

32 Weryfikacja podpisu zwykłego (2)W przypadku unieważnienia certyfikatu występuje określony czas propagacji informacji o tym unieważnieniu nie jest jasno określone czy podpis jest wtedy ważny ani kto odpowiada za działania wynikające z przyjęcia ważności potencjalnie nieważnego podpisu ze względu na zakres zastosowań (uwierzytelnienie) ta niepewność nie jest zazwyczaj szkodliwa

33 Odpowiedzialność za skutki prawne podpisu kwalifikowanegoCzas złożenia podpisu Unieważnienie certyfikatu Obszar odpowiedzialności weryfikującego Obszar odpowiedzialności podpisującego Podpis jest ważny jeśli został złożony przed momentem unieważnienia Unieważnienie certyfikatu wywołuje skutki prawne od momentu unieważnienia, które znajduje się w liście CRL/ARL Niezbędne jest określenie relacji między datą złożenia podpisu a datą unieważnienia (znakowanie czasem)

34 Znakowanie czasem Usługa polegająca na dołączaniu do danych w postaci elektronicznej logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę, Ustawodawca odniósł [...] definicję [znakowania czasem, o której mowa w art. 3 pkt 16 ustawy z 2001 r. o podpisie elektronicznym] jedynie do danych w postaci elektronicznej, które są opatrzone podpisem. Tak więc, mimo iż z technicznego punktu widzenia nie stanowi problemu znakowanie czasem danych, które nie były podpisane elektronicznie, taka usługa nie jest objęta powyższą definicją.

35 Weryfikacja kwalifikowanego podpisu – co jest celem ?Uzyskanie wyniku weryfikacji, który nie może już ulec zmianie (np. w wyniku odebrania nowszej listy CRL) Poprawnie zweryfikowany Negatywnie zweryfikowany Posiadanie dowodu określonego wyniku weryfikacji

36 Weryfikacja kwalifikowanego podpisu – co mówi prawo ?Rozporządzenie i normy EU określają trzy możliwe wyniki weryfikacji podpisu: poprawnie zweryfikowany negatywnie zweryfikowany niekompletnie zweryfikowany - gdy bezpieczny podpis elektroniczny lub poświadczenie elektroniczne jest poprawne w rozumieniu specyfikacji zastosowanego algorytmu szyfrowego, ale podczas weryfikacji nie udało się potwierdzić, że kwalifikowany certyfikat lub zaświadczenie certyfikacyjne służące do jego weryfikacji oraz użyta ścieżka certyfikacji zawiera ważne w określonym czasie poświadczenia elektroniczne, w szczególności gdy kwalifikowany certyfikat służący do weryfikacji tego podpisu jest zawieszony

37 Weryfikacja kwalifikowanego podpisu – jak to robić dobrze (1) ?Aby uzyskać jednoznaczny wynik weryfikacji podpisu należy: Oznakować podpis czasem Uzyskać listy CRL i ARL, które są nowsze niż znacznik czasu Tak uzyskany wynik weryfikacji nie może już ulec zmianie i ma wartość dowodową

38 Weryfikacja kwalifikowanego podpisu – jak to robić dobrze (2) ?Unieważnienie | CRL | Wynik | i+1 | negatywnie | i+1 | poprawnie | i | negatywnie | i | poprawnie | i-1 | niekompletnie | i-1 | niekompletnie

39 Weryfikacja kwalifikowanego podpisu – wnioskiWeryfikacja kwalifikowanego podpisu elektronicznego nie odbywa tak samo jak weryfikacja podpisu zwykłego Zastosowanie oprogramowania realizującego weryfikację zwykłego podpisu do weryfikowania podpisu kwalifikowanego w niektórych sytuacjach (ściśle zależnych od nadawcy) prowadzi do błędnych wyników Do weryfikacji kwalifikowanych podpisów elektronicznych może służyć tylko oprogramowanie posiadające deklarację zgodności z wymaganiami określonymi dla bezpiecznego urządzenia do weryfikacji podpisów elektronicznych wymagania na cechy „bezpiecznego urządzenia” i ich spełnianie przez konkretne oprogramowanie odbiorca (użytkownik/audytor) powinien kontrolować

40 Przechowywanie dokumentów podpisanychJak długo jest ważny podpis elektroniczny Postać archiwalna podpisu elektronicznego

41 Jak długo jest ważny kwalifikowany podpis elektroniczny ?Jak długo jest ważny podpis kwalifikowany ? Do końca okresu ważności certyfikatu użytkownika Do końca okresu ważności zaświadczenia certyfikacyjnego Do czasu kompromitacji klucza CCK Do czasu załamania algorytmów kryptograficznych Czy można przedłużyć ważność podpisu ? Tak, wymagana jest postać archiwalna Certyfikaty Listy CRL

42 Postać archiwalna podpisuPodpis wraz z kompletem informacji pozwalających na jego weryfikację (listy CRL/ARL, zaświadczenia, certyfikaty), oznakowane czasem Postać archiwalna pozwala na utrzymanie statusu podpisu poprawnie/negatywnie zweryfikowany również po przeterminowaniu certyfikatu i zaświadczenia certyfikacyjnego

43 Konserwacja postaci archiwalnejPostać archiwalną podpisu pozwala na jego weryfikację w dowolnym terminie, pod warunkiem że wciąż jest ważny „najbardziej zewnętrzny” znacznik czasu Ważność znacznika czasu ogranicza ważność zaświadczenia certyfikacyjnego użytego do jego wyprodukowania (obecnie 5 lat) przed utratą ważności tego znacznika czasu trzeba podpis konserwować – co oznacza ponowne znakowanie czasem konserwację podpisu trzeba powtarzać cyklicznie dopóki jest istotne dla użytkownika utrzymywanie ważności podpisów pod dokumentem

44 Weryfikacja kwalifikowanego podpisu – podsumowanieOperacja dość skomplikowana Procedury działania istotnie różne od sytuacji zwykłego podpisu elektronicznego Niezbędne wspomaganie oprogramowaniem, ściśle opartym na funkcjonujących w kraju przepisach dotyczących podpisu elektronicznego Dla podpisów ważnych długoterminowo niezbędna jest archiwizacja

45 Literatura Kryptografia dla praktyków, B. ShneierHandbook of Applied Cryptography, A. Menezes Code Breakers, D.Kahn W.R.Wiewiórowski, „Podpis elektroniczny”, WPiA Uniwersytet Gdański (wersja z 15 października 2007 r.)

46 ENIGMA Systemy Ochrony Informacji Sp. z o.o.Zapraszamy do współpracy