BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM | Petr Dolejší | Senior Solution Consultant |
OCHRANA KLÍČŮ A ZOKB Hlavní termín – kryptografické prostředky
Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v §17 „nástroj pro ochranu integrity komunikačních sítí“ •
kryptografické prostředky pro vzdálený přístup, vzdálenou správu nebo pro přístup pomocí bezdrátových technologií
v §25 „kryptografické prostředky“ •
ochrana důvěrnosti a integrity předávaných nebo ukládaných dat
•
prokázání odpovědnosti za provedené činnosti
•
systém správy klíčů (životní cyklus)
•
generování, distribuce, archivace, změny, ničení, kontroly a audit
Algoritmy v souladu s doporučením – příloha č. 3 Vyhlášky
HSM – HARDWARE SECURITY MODULE Co to vlastně je?
Specializované vysoce bezpečné zařízení pro: •
generování silných kryptografických klíčů
•
ochranu privátních klíčů
•
poskytování kryptografických služeb – el. podpis, šifrování/dešifrování, výměna klíčů, …
•
správu a archivaci kryptografických klíčů
Typické způsoby nasazení: •
sdílené pro více serverů
•
nasazení v HA architektuře
HSM – HARDWARE SECURITY MODULE Typické příklady správného využití HSM
Zabezpečení klíčů pro certifikační autority Zabezpečení klíčů pro provádění el. podpisů v systémech Archivace klíčů •
elektronická pošta – S/MIME
•
šifrování dat
•
šifrování FS, disků
Podpora šifrování v databázi Akcelerace SSL/TLS komunikace …
HSM – HARDWARE SECURITY MODULE Podporované standardy a zabezpečení Certifikace FIPS 140-2 Level-3, ISO15408 (CC) EAL4+ • • • • •
symetrické algoritmy (včetně AES) asymetrické algoritmy (1024-4096) algoritmy pro výměnu klíčů hashovací funkce generátor náhodných posloupností
Dostupné API • • •
CSP pro MS CryptoAPI/CNG Java JCE/JCA CSP PKCS#11
Detekce narušení fyzické integrity zařízení Odolnost vůči vniknutí • • •
rozdělení zařízení na přístupnou (možný servis) a nepřístupnou část neprůhledný epoxid, speciální šrouby detekce otevření – senzory světla, teploty
Detekce SW narušení •
testy integrity s automatickou reakcí (smazání dat) v případě detekce
Narušené zařízení nelze použít bez provedení továrního resetu
MOŽNOSTI UPLATNĚNÍ HSM V ORGANIZACI DMZ
Nedůvěryhodná síť
email
Důvěryhodná síť web
Aplikační servery
Databáze
Partneři
Vývoj Autentizační server
Router
FW
SW
Access Point
IDS CA
HSM
Externí uživatelé Logování / reportování (SIEM)
Mobilní zařízení uživatelů
PŘÍPADOVÁ STUDIE IMPLEMENTACE HSM MODULŮ V ČNB
ČESKÁ NÁRODNÍ BANKA
ČNB je ústřední centrální bankou České Republiky •
je součástí Evropského systému centrálních bank
•
je součástí Evropského dohledu nad finančními trhy
Vykonává tyto základní funkce •
péči o cenovou stabilitu, určuje měnovou politiku, vydává bankovky a mince
•
dohlíží na peněžní oběh, platební styk a zúčtování bank
•
vykonává dohled nad finančními trhy
•
poskytuje bankovní služby státu a veřejnému sektoru
•
vede účty organizacím a osobám napojeným na státní rozpočet
POUŽÍVÁNÍ E-PODPISU A KRYPTOGRAFIE V ČNB Příklady, kde se používají kryptografické prostředky
Pro externí subjekty •
internetové bankovnictví
•
služby zúčtovacího centra bank
•
…
Pro interní potřebu •
interní PKI infrastruktura
•
interní provozní systémy
•
integrace na externí IS státní správy
•
…
ZADÁNÍ PROJEKTU Z pohledu ICT a bezpečnosti
Zvýšení ochrany pro kritická firemní aktiva (klíče) Uplatnění pro •
certifikační autority
•
provozované informační systémy
•
podpora pro vývoj vlastních aplikací
Režim vysoké dostupnosti a bezpečnosti •
dvě vzdálené lokality
•
systém více očí
•
separace rolí pro správu
ROZSAH POŽADOVANÝCH SLUŽEB Implementace HSM modulů V ČNB
Podrobná implementační studie zavedení HSM modulů Dodávka a implementace síťových HSM modulů (FIPS 140-1 level 3 certifikace) •
v rámci veřejné zakázky vybrána technologie Thales nShield Connect 1500+ F3
Podpora migrace stávajících informačních systémů na HSM moduly •
včetně přípravy postupů migrace klíčů
Migrace stávajících interních CA na HSM moduly •
včetně podpory provozu v clusteru
Zátěžové testy a školení obsluhy Podrobná dokumentace implementace a správy řešení
IMPLEMENTACE V PROSTŘEDÍ ČNB Základní vlastnosti vybudované HSM infrastruktury
HSM infrastruktura je vybudována jako vysoce dostupná •
umístění HSM ve dvou lokalitách, podpora napojení přes nezávislé sítě
•
vybrané systémy využívají 2 HSM moduly v režimu active/active
Implementace systému více očí pro správu HSM •
používání čipových karet správců v režimu min. 2 z N pro autorizaci vybraných úkonů
Separace rolí při správě klíčů různých systémů a prostředí (PROD/TEST) Migrace stávající interní PKI infrastruktury •
včetně zachování stávajících klíčů
Vytvoření prototypů aplikací s napojením na služby HSM modulů •
pro potřeby interního vývojového týmu
PŘÍNOSY PROJEKTU
Jednotná robustní platforma pro správu klíčů •
v režimu vysoké dostupnosti
•
pro všechna používaná prostředí
Centralizace správy a dohledu nad životním cyklem klíčů •
oddělení správy klíčů pro jednotlivé systémy, systém více očí
•
napojení na dohledové systémy banky
Podpora standardních rozhraní pro napojování případných dalších systémů •
např. šifrování DB, SSL/TLS komunikace, …
HSM – HARDWARE SECURITY MODULE Shrnutí
Vysoce bezpečné zařízení pro ukládání klíčů Jedno z organizačních opatření podle ZoKB •
kryptografický prostředek - §5, odst. 1, pís. j)
Univerzální použití Dnes není výsadou pouze bank a mezinárodních korporací •
širší použití v komerční sféře především s ohledem na elektronický podpis
www.sefira.cz
