Elektronikus rendszerek a közigazgatásban Előadó: Erdősi Péter Máté, CISA elektronikus aláírással kapcsolatos szolgáltatási szakértő
Fujitsu Akadémia Copyright 2011 FUJITSU LIMITED
Előadások
Kalotay Balázs
1
Copyright 2011 FUJITSU LIMITED
Tartalom Az információ hitelessége A kétkulcsos titkosítás X509 tanúsítvány tartalma és típusai A tanúsítványkibocsátók működése
A hitelesítésszolgáltatókra vonatkozó szabályozás és a nyilvános szolgáltatók működése Időbélyegzés Kalotay Balázs
Az információ hitelessége Definíciók:
Információ: ?
Hitelesítés: az állított azonosság megerősítése
Hitelesség: valaminek a forrása az, amit megjelöltek és tartalma eredeti
Hiteles: a forrás és a tartalom eredetisége megerősítetté vált
Azonosítás vagy hitelesítés?
Azonosítás (Identification)
Hitelesítés (Authentication)
Feljogosítás (Authorization)
Kalotay Balázs
A kétkulcsos titkosítás Mitől lesz kétkulcsos?
Működése:
Crypto (Crypto ( Message, Key1) ,Key2) = Message, ahol Titkos üzenet Mcrypted = Crypto ( Message, Key1) és Key1 ≠ Key2
Melyik a titkos és melyik a nyilvános?
Mitől függ a működés hatékonysága?
Üzenet hossza
Titkosító algoritmus műveletigénye
Biztonság
Kalotay Balázs
A digitális aláírás készítése
Kalotay Balázs
A digitális aláírás ellenőrzése
Kalotay Balázs
A tanúsítvány tartalma Történet:
ITU (International Telecommunication Union): X509v3 - 1996 (v2 - 1993, v1 - 1988)
RFC 5280 (2008): Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Alap mezők
Verzió
sorozatszám
algoritmusazonosító
kibocsátó
érvényesség
alany, tulajdonos
az alany nyilvános kulcsa
a kibocsátó egyedi azonosítója (v2, v3)
Kiterjesztések Digitális aláírás Kalotay Balázs
A tanúsítvány tartalma Azonosítók:
country
organization,
organizational unit,
distinguished name qualifier,
state or province name,
common name
serial number.
Kibocsátó és alany adatai:
locality, title, surname, given name, initials, pseudonym, generation qualifier
Kalotay Balázs
A tanúsítvány tartalma Kiterjesztések
Standard
Szolgáltatói kulcsazonosító (nyilvános kulcs hash-értéke, kibocsátó, sorozatszám,)
Tulajdonos kulcsazonosító (nyilvános kulcs hash-értéke)
Kulcshasználat
digitalSignature (0),
nonRepudiation (1),
keyEncipherment (2),
dataEncipherment (3),
keyAgreement (4),
keyCertSign (5),
cRLSign (6),
encipherOnly (7), (csak 4-gyel együtt használható)
decipherOnly (8) (csak 4-gyel együtt használható)
Aláírási politika azonosító CRL disztribúciós pont Kalotay Balázs
A tanúsítvány tartalma Kiterjesztések
Private
Kibocsátói információk hozzáférhetősége a kiterjesztésekben
Tulajdonosi információk hozzáférhetősége a kiterjesztésekben
Digitális aláírás
Kinek az aláírása szerepel a tanúsítványban?
Van-e a kibocsátónak is tanúsítványa?
Kalotay Balázs
A tanúsítványok típusai Tipizálási dimenziók
Kihez/mihez kapcsolódik?
Milyen szabvány szerint kódolt?
Mire alkalmas?
Kihez/mihez kapcsolódik?
Természetes személy
Jogi személy (cég, hivatal)
Eszköz (webszerver)
Kalotay Balázs
A tanúsítványok típusai Milyen szabvány szerint kódolt?
X509v2 PGP
Mire alkalmas?
Aláírás Titkosítás Hitelesítés
Milyen jogi vélelem fűzhető hozzájuk?
Teljes bizonyító erő Írásbeliség Bizonyítási eljárásokban való felhasználás meg nem tilthatósága
A közigazgatásban használható tanúsítványokra a 78/2010. Kormányrendelet tartalmaz részletes előírásokat. Kalotay Balázs
A tanúsítványkibocsátók működése Tanúsítványok kibocsátása
Tanúsítványkérelem
Tanúsítvány mezőinek kitöltése
Tanúsítvány digitális aláírása
Tanúsítvány publikálása
Tanúsítványkibocsátók
Nyilvános
Zárt
Megbízhatóság?
Kalotay Balázs
A hitelesítésszolgáltatók működése Elektronikus aláírási törvény (2001. XXXV. Tv, Eat.) 6.§ (1):
Hitelesítésszolgáltatás
Időbélyegzés
Aláíráslétrehozó eszközök az aláíráslétrehozó adat elhelyezése
Archiválásszolgáltatás
Hitelesítéssszolgáltatáson belül
Azonosítja az igénylő személyét
Tanúsítványt bocsát ki
Nyilvántartásokat vezet
Fogadja a tanúsítványokkal kapcsolatos változások adatait
Nyilvánosságra hozza a szabályzatokat, az aláírásellenőrző adatokat, és a tanúsítvány aktuális állapotára vonatkozó információkat (visszavonás)
Kalotay Balázs
A hitelesítésszolgáltatók működése Szabályozás
Működésre vonatkozó előírások
Pénzügyi követelmények
Tájékoztatási követelmények
Minden szolgáltatóra és külön a minősített szolgáltatókra
Működésre vonatkozó előírások minősített szolgáltatókra
Rendelkezésre állás 99,9%, egy kiesés maximális ideje 3 óra lehet
Minden bizalmi munkakörben dolgozónak munkaviszonyban kell állnia a szolgáltatóval
Folyamatosan ellenőrzött információbiztonsági irányítási rendszerrel kell rendelkezniük
A bizalmi munkaköröket egymástól szét kell választani
Kalotay Balázs
A hitelesítésszolgáltatók működése Pénzügyi követelmények
Legalább 25 millió Ft-os bankgarancia, vagy óvadék, vagy készfizető kezes
Felelősségbiztosítás, a tanúsítványban vállalt ügyleti érték 5szörösére
Tájékoztatási követelmények
Ügyfeleket szerződéskötés előtt teljeskörűen kell tájékoztatni
Nemzeti Média- és Hírközlési Hatóságot minden 3 óránál nagyobb leállásról tájékoztatni kell
Nemzeti Média- és Hírközlési Hatóságot minden tervezett változtatásról 30 nappal korábban tájékoztatni kell
Szolgáltatói kulcs kompromittálódás esetén minden ügyfelet és érintett felet haladéktalanul tájékoztatni kell
Kalotay Balázs
Időbélyegzés Időjelzések
Állított idő
Tanúsított idő
Pontos idő
Hiteles idő
Időszinkronizáció
Stratum 0: atomóra, GPS óra
Stratum 1: szerverek, melyek a Stratum 0-hoz szinkronizáltak
Stratum 2: gépek, melyek a Stratum 1 szerverekhez szinkronizáltak
Támadási formák
Időátállítás
visszajátszás
Kalotay Balázs
Köszönöm a figyelmet!
Erdősi Péter Máté, CISA
mailto:
[email protected]
Kalotay Balázs
