Labo-sessie: Gegevensbeveiliging 1
Inleiding
Dit labo zal devolgende topics behandelen: • eID card Opdracht 1: Digitaal signeren van een MS Office document (zie pagina: 5) Opdracht 2: Digitaal signeren van een OpenOffice document. (zie pagina: 5) • Backup/archiving Opdracht 3: Maak/extract een RAR archief. (zie pagina: 7) • Encryptie Opdracht 4: Maak een sleutelpaar. (zie pagina: 8) Opdracht 5: Encrypteer een archief om naar iemand door te sturen. (zie pagina: 9) Opdracht 6: Decrypteer dossier. (zie pagina: 10) Opdracht 7: Exporteer sleutelpaar en verwijder eID certificates. (zie pagina: 11)
2
eID card
Om een eID kaart te kunnen gebruiken is hetvolgende nodig: • Kaart lezer voor een intellegente Smart card (conform de ISO 7816 standaard). • eID middleware: software modules specifiek ontwikkeld voor de eID.
2.1 2.1.1
Data op de eID Zichtbare data
1. Nationaal rijksregister nummer. 2. eID kaartnummer 3. Informatie van de kaarthouder: • familie naam 1
• voornaam • geslacht • datum en geboorteplaats • nationaliteit 4. Pasfoto van de kaarthouder. 5. Handtekening van de kaarthouder.
2.1.2
Electronische data
1. Alle zichtbare data. 2. Adres van de kaarthouder. 3. Authenticatie en signature certificaat. 4. Certificate service provider. 5. Informatie nodig voor authenticatie van de kaart. 6. Informatie nodig voor de beveiliging van de electronische zichtbare data die geëcrypteerd zijn op de kaart. 7. Informatie nodig voor gequalificeerde certificaten.
2.2
Sleutel paren
De volgende sleutel paren zijn op de eID opgeslagen: • Authenticatie sleutelpaar: controleert toegang tot de data van de kaarthouder. • Digital signature sleutelpaar: plaatst een digital signature onder een elektronisch document. Omwille van security bestaat er een verschillend sleutelpaar voor authenticatie en elektronisch signeren. Voor het encrypteren bestaat er geen certificaat op de eID kaart.
2.3
Automatische registratie van eID certificaten
Als eID kaart in de kaartlezer is geplaatst, zijn de certificaten of de eID kaart automatisch gecopieerd in het Windows certificaten archief. Op deze manier kan Windows Crypto API automatisch gebruikt worden door applicaties. Een eID kaart bevat 3 certificaat types: 2
1. Het basis ”Belgium root CA” (hetzelfde voor alle eID kaarten). 2. ”Citizen CA” voor een partner certificaten instantie. 3. 2 persoonlijke certificaten: authenticatie and signature (verschillend voor elke eID kaart).
2.4
Verwijder persoonlijk certificaat
Op publiek toegankelijke PC’s is het best om uw persoonlijke certificaten te verwijderen van de Windows certificaat archieven.
Figure 1: Verwijder persoonlijke certificaten. Al de actieve certificaten kunnen worden bekeken en geselecteerd om te verwijderen.
Figure 2: Actieve certificaten.
3
3
Privacy filter
Privacy filter is a background proces dat zach gedraagt als waakhond voor al de communicatie tussen PC en eID kaart. Als deze privacy filter actief is, kunnen enkel programma’s ontwikkeld door de Belgische overheid met de eID kaart werken.
4
PKC#11 en CSP modules
Deze modules worden gebruikt door andere applicaties voor communicatie met een eID kaart. Deze modules zijn onzichtbaar (background processen), behalve indien de gebruiker de PIN code ingeeft om een document digitaal te ondertekenen of voor website authenticatie. • Applicaties die PKCS#11 module gebruiken: – Firefox, Thunderbird, Mozilla and Netscape. – Lotus Notes. • Applicaties die CryptoAPI CSP gebruiken: – Microsoft Outlook XP/2003. – Microsoft Office XP/2003. – Internet Explorer. – Adobe Reader 7. – OpenOffice.org 2.
5
Toepassingen van eID kaart • Toegang tot overheidsdiensten. • Uitwisseling van informatie met de overheid.
6
Digital signature
op de minf server onder de samba share: \\minf\pcro
4
6.1
MS Office (Word, Excel)
Opdracht 1: Digitaal signeren van een MS Office document 1. Plaats de eID kaart in de lezer. 2. Bewaar het MS Office document. 3. Tools -> Options 4. Security-tab: klik op Digital Signatures en selecteer uw signature certificate. 5. Typ uw PIN code.
Figure 3: Digitally signed MS Office document.
6.2
OpenOffice (Writer, Calc)
Opdracht 2: Digitaal signeren van een OpenOffice document. 1. Plaats de eID kaart in de lezer. 2. Bewaar het OpenOffice document. 5
3. File -> Digital Signatures 4. Klik op Add en selecteer uw signature certificate. 5. Typ uw PIN code.
Figure 4: Digitally signed OpenOffice document.
6
7
Backup/archivering
Indien u uw informatie van een project, thesis of andere belangrijke documenten wil archiveren kan u gebruik maken van verschillende mogelijke tools. Tijdens deze labo zitting zullen RAR en TAR archieven worden toegelicht. Een voorbeeld medisch dossier vind je op de minf server onder de samba share: \\minf\pcro
7.1
RAR archief
Opdracht 3: Maak/extract een RAR archief. • Copieer het medisch dossier van de minf server: \\minf\pcro • Rechter muis klik en selecteer Select to archive. • Er zijn heel wat opties die kunnen worden gebruikt in functie van de wensen van de eindgebruiker. Task 1: Maak/extract een RAR archief.
7.2
TAR archief
To read all information about tar, type man tar in a Linux command line. • Create an arachive: tar -czvf archiveName.tar.gz • Extract an archive tar -xvzf archiveName.tar.gz
Task 2: Create/extract a TAR archive.
7
8
Encryptie
Public Key Cryptography (PKC) is vandaag de dag zeer belangrijk voor encryptie - decryptie van informatie. Anderzijds bestaat er een nog betere omgeving voor veilige gegevensuitwisseling: Public Key Infrastructure (PKI). De eID kaart maakt gebruik van PKI1 .
Figure 5: Overzicht van de security tijdens dit labo.
8.1
Maak een sleutelpaar
Opdracht 4: Maak een sleutelpaar. De procedure voor een sleutelpaar aan te maken is niet zo complex. Op de labo computers staat een programmaatje: PGPkeys: • Start de aanmaak van een sleutelpaar: • Wizard wordt gestart: • Voer uw naam en email adres in. • Voer de passphrase2 in. 1 2
PKI zal hier enkel aan bod komen in funktie van de eID kaart. Is als een paswoord maar dan een zin. Bewaar deze op een zo veilig mogelijke plaats
8
Figure 6: Menu van PGP.
Figure 7: Wizard voor sleutelpaar creatie.
8.2
Encrypteer dossier
Opdracht 5: Encrypteer een archief om naar iemand door te sturen. Na het archief is opgemaakt, kunnen we dit encrypteren. Aangezien we de documenten al hebben gesigneerd met de eID kaart, volstaat enkel encryptie. Nu kunnen we het gemaakte sleutelpaar gebruiken om het archief te encrypteren: • Rechtermuis klik op het archief → PGP → Encrypt. 9
Figure 8: Wizard voor sleutelpaar creatie.
Figure 9: Wizard voor sleutelpaar creatie. • Nu vind je het geëcrypteerde archief (met de publieke sleutel).
8.3
Decrypteer archief
Opdracht 6: Decrypteer dossier. Nu kan je je private sleutel gebruiken om het archief te deëncrypteren: • Rechtermuis klik op het geëncrypteerde dossier: 10
Figure 10: Selecteer het geëncrypteerde dossier. • Typ je passphrase:
Figure 11: Selecteer het geëncrypteerde dossier.
8.4
Exporteer het sleutelpaar
Opdracht 7: Exporteer sleutelpaar en verwijder eID certificates. Om veiligheidsredenen is het geen goed idee om het sleutelpaar op een publieke machine te bewaren. Private sleutel moet echt priv´ e blijven. Om het sleutelpaar uit de PGPKeys applicatie te exporteren volg hetvolgende scenario:
11
• Rechtermuis klik:
Figure 12: Start het exporteren van het sleutelpaar. • Selecteer de private key:
Figure 13: Exporteer het sleutelpaar.
8.5
Bewaar - verwijder gevoelige data
Zowel het sleutelpaar als de eID certificaten moeten met zorg gebruikt worden: • Sleutelpaar: Bewaar het nieuw aangemaakt sleutelpaar op de eigen netwerk drive. • eID certificaten: Verwijder de gebruikte certificaten van de PC.
12
