ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH | Tomáš Vaněk | ICT Security Consultant |
ELEKTRONICKÝ PODPIS A JEHO VLASTNOSTI Uplatnění elektronického podpisu a časového razítka
Integrita
Identifikace
Nepopiratelnost
Fixace v čase
ELEKTRONICKÝ PODPIS Požadavky na EP vycházející ze ZoEP - §2b
Zaručený / uznávaný EP musí: •
Zajišťovat jednoznačné spojení s podepisující osobou,
•
Umožňit identifikaci podepisující osoby ve vztahu k datové zprávě,
•
Být vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba, může udržet pod svou výhradní kontrolou,
•
Být k datové zprávě, ke které se vztahuje, připojen takovým způsobem,
že je možno zjistit jakoukoliv následnou změnu dat
Prostředkem k zajištění těchto vlastností jsou: •
Certifikáty
•
Kryptografické klíče
JAK PŘEJÍT OD JEDNOTLIVÝCH APLIKACÍ …
Údržba
Údržba
PKI Integrace Aplikace
Údržba
PKI Integrace
Aplikace
Údržba
PKI Integrace
Aplikace
PKI Integrace
Aplikace
… K INTEGROVANÝM ŘEŠENÍM?
Aplikace
Aplikace
Integrace
Aplikace
Integrace
Integrace
Aplikace
Integrace
PKI HSM
Akreditované CA Údržba
INTEGRACE ELEKTRONICKÉHO PODPISU/ZNAČKY JAKO SLUŽBY
Uživatel
Procesy
Přijetí podání
Ověření podpisu
Aplikace Vystavení rozhodnutí
Podpis
Odeslání
Služby
Webové služby
Webové služby
Databáze
PKI služby
LDAP
Webové služby
VA
CA, TSA
Webové služby
SEFIRA PBS (PLATFORMA BEZPEČNOSTNÍCH SLUŽEB) PBS Base
PBS TX Elektronický podpis
Aplikace
Aplikace
Souborový systém
Proxy / Gateway
PBS AQ
CA
(Asynchr. fronta)
Šifrování dat
DB
TSP Proxy HSM klient Whitelist
Virtuální čipová karta
Zákaznické moduly (VMware)
…
HSM
AD/LDAP
CC EAL4+ (VMware)
SEFIRA PBS
SIEM
UPLATNĚNÍ PBS V PRAXI Reálné příklady
Označování smluvních dokumentů využívajících dynamický biometrický podpis Označování rozhodnutí pro potřeby procesu stavebního řízení Zprostředkování jednotného kanálu pro přístup ke kvalifikovaným časovým razítkům Validace a archivace datových zpráv včetně kontroly platnosti příloh Označování a ověřování smluvní dokumentace pro e-procurement
Doplnění kvalifikovaného časového razítka k podepsaným dokumentům Komunikace s partnery pomocí podepsaných emailů (SMIME) Archivace podepsaných emailových zpráv …
CENTRALIZACE PKI SLUŽEB Přínosy
Zavedení korporátního standardu pro práci s el. podpisem •
webové služby, API, asynchronní fronty, …
Jedno místo pro vstup a výstup dokumentů z/do PKI •
snížení celkové složitosti systému
Centralizace bezpečnostního dohledu a správy pravidel •
jasná pravidla jak pro jednotlivé aplikace, tak pro uživatele
Snadné zajištění bezpečnosti nových aplikací •
transakční i dokumentové systémy
Jednotné řešení pro business critical aplikace •
snížení nákladů na provoz a rozvoj PKI
OVĚŘOVÁNÍ PLATNOSTI KVALIFIKOVANÝCH CERTIFIKÁTŮ On-line služba pro ověření platnosti certifikátů v rámci EU
Ověřování platnosti certifikátů •
identifikace a porovnávání CRL listů s daným certifikátem
•
online respondéry distribuující odpovědi protokolu OCSP
•
vygenerování prohlášení o platnosti certifikátu
•
evidence provedených operací
Aktualizace dat a metadat •
manuální aktualizace dat o CA a kořenových certifikátech
•
automatizované stahovaní CRL listů
•
komunikační protokol – OCSP a SOAP
www.certreview.eu
KRYPTOGRAFICKÉ KLÍČE A JEJICH OCHRANA „I když to možná nevíme, stejně je určitě používáme.“
ICT bezpečnost stojí na kryptografických klíčích •
součást kritických aktiv organizace
•
symetrická vs. asymetrická kryptografie
Správa a životní cyklus klíčů je často regulován •
bezpečnostní politika organizace, ISO 27000, PCI DSS, ZoEP, …
Klíče musí mít svého vlastníka •
Kde chybí vlastník, vládne anarchie
Hlavní oblasti využití – téměř všude kde nás napadne •
PKI, CA, el. podpis, šifrování dat a komunikace, šifrování souborů či úložišť, šifrování DB, …
www.sefira.cz