Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Cyfrowe zaufanie: Cele i przeszkody

OpublikowałSzymon Klinger Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Cyfrowe zaufanie: Cele i przeszkody"— Zapis prezentacji:

1 Cyfrowe zaufanie: Cele i przeszkody
Rafał Łukawiecki Strategic Consultant, Project Botticelli Ltd Copyright 2005 © Microsoft Corp & Project Botticelli Ltd. E&OE. Ta prezentacja ma wyłącznie charakter informacyjny. Nie udziela się jakichkolwiek gwarancji i przed posłużeniem się tymi informacjami należy je zweryfikować. Można ponownie użyć tej prezentacji pod warunkiem przeczytania, zaakceptowania i stosowania się do wytycznych opisanych w polu „Komentarze” okna Plik/Właściwości.

2 Cele Przedstawienie pojęć Omówienie problemów i głównych kwestii
Przegląd dostępnej technologii Wyjaśnienie, dlaczego rządy i większe organizacje publiczne odgrywają specjalną rolę w tej dziedzinie

3 Program sesji Pojęcia związane z zaufaniem cyfrowym Wymagania wstępne
Kwestie związane z infrastrukturą PKI Zaufane sygnatury czasowe Prywatność i DRM Wnioski

4 Pojęcia związane z zaufaniem cyfrowym

5 Zasady, procedury i świadomość
Dogłębna obrona Zasady, procedury i świadomość Zabezpieczenia fizyczne Dane Aplikacja Host Sieć wewnętrzna Granica

6 Dlaczego? W odróżnieniu od świata bazującego na papierze finalizowania transakcji online nie należy opierać na ręcznych podpisach, ludzkim instynkcie i zaufaniu Tradycyjne podpisy łatwo odrzucić Trudno mówić o zaufaniu na podstawie spojrzenia na witrynę sieci Web Prywatność jest często ignorowana Uwierzytelnianie jest prawie niemożliwe

7 Co to jest zaufanie cyfrowe?
Nieformalnie: charakterystyka skomputeryzowanego środowiska będąca odpowiednikiem zaufania w świecie bazującym na papierze Brutalnie: „Wierzymy papierowi, ale nie komputerom” Formalnie: za wcześnie, by to zdefiniować

8 Efekt (braku) zaufania cyfrowego
Obecnie, w praktyce, wciąż nie możemy: Nadać mocy prawnej wiadomościom i innym cyfrowym dokumentom Dysponować niezawodnym i dającym się kontrolować systemem głosowania elektronicznego Ufać obecności online nieznanych firm Negocjować kontraktów online Odpowiednio bronić się przed szkodliwymi programami i wirusami

9 Przykład: „Awaria” infrastruktury PKI
Wprawdzie wiele organizacji dysponuje wbudowaną infrastrukturą PKI, ale wciąż nie są w stanie korzystać z podpisów cyfrowych w w zakresie większym niż eksperymentalny Z ekonomicznego punktu widzenia zabezpieczenia i brak zaufania są bardzo kosztowne, więc czy infrastruktura PKI zawiodła? Nie. Infrastruktura PKI jest dobra, ale niewystarczająca. Musimy zbudować podstawy zaufania cyfrowego.

10 Budowanie zaufania cyfrowego
Zaufanie cyfrowe wymaga połączenia następujących elementów: Uwierzytelniania tożsamości wieloma sposobami Ochrony prywatności: Sfederowanego zaufania między organizacjami Podpisów cyfrowych Oprócz technologii potrzeba wsparcia rządowego, prawnego i policyjnego

11 Wymagania wstępne

12 Wymagania prawne Wymogi podstawowego wsparcia prawnego obejmują między innymi: Uznania prawnego podpisów cyfrowych Ochrony prywatności danych Platformy do uznania usług notariatu cyfrowego (e-notariat) Platformy, na której mogą istnieć sytuacje „mieszanego zaufania” zawierające wymieszane zaufania papierowe i cyfrowe Istnienia jednego lub kilku akceptowanych środków określania tożsamości

13 Dzisiejszy problem Nawet w sytuacji, gdy istnieje uznawany prawnie podpis cyfrowy (wszystkie kraje EU uznają), następujące kwestie wciąż są problemem: Ktoś tworzy cyfrowo podpisany dokument, który przekazuje przez łańcuch osób komuś, kto używa jedynie podpisów składanych na papierze Nie wszyscy mogą (lub chcą) podawać podpisy cyfrowe Niektóre transakcje wiążą się z podpisami na papierze i cyfrowymi Rozwiązanie? E-notariat (patrz dalej)

14 Przecinające się konteksty
Zaufanie „cyfrowe” musi naprawdę być zaufaniem między cyfrowym a tradycyjnym środowiskiem Być może należy je nazywać „zaufaniem uniwersalnym”? Oprogramowanie sprawdza podpis cyfrowy Ufasz mu – dobrze! Drukujesz raport – w porządku! Dajesz komuś raport. Czy należy mu ufać? NIE! Chyba że go ostemplujesz, podpiszesz i ewentualnie masz świadka i notariusza

15 Wymagania techniczne Na ogólnym poziomie organizacyjnym (lub rządowym) należy utworzyć i oficjalnie uznać: Infrastrukturę klucza publicznego (PKI) Format poświadczenia tożsamości i zarządzania nią Zaufaną usługę sygnatury czasowej dla podpisu cyfrowego Można ją delegować do dostawcy usług e-notariatu

16 Kwestie związane z infrastrukturą PKI

17 PKI Infrastruktura PKI powinna być technicznie zintegrowana z powszechnie używanymi przeglądarkami internetowymi (Internet Explorer itp.)* W przeciwnym wypadku zabezpieczenia mogą być (i były) wykorzystywane w nieprawidłowy sposób, co prowadzi do utraty zaufania publicznego Jest to trudny proces Ogólnoświatowy zasięg (€€€) Podporządkowanie znanych urzędów certyfikacji (polityka) Własne urzędy certyfikacji (problemy dystrybucyjne)

18 Wewnętrzna infrastruktura PKI
W wypadku zainteresowania zaufaniem jedynie wewnątrz organizacji zadanie utworzenia infrastruktury PKI jest proste Jeszcze prostsze, jeśli zintegrować infrastrukturę PKI z usługą Active Directory Automatyczna rejestracja dla wstępnego zaopatrywania Usługi certyfikacji dla ciągłego zarządzania Szczególnie proste w systemie Windows Server 2003

19 Infrastruktura PKI z partnerami
Dzielenie akceptacji własnej infrastruktury PKI z wybranymi organizacjami jest proste Nawzajem podpisać swoje główne certyfikaty lub certyfikaty jednostek organizacyjnych albo Zainstalować na klientach partnerów certyfikaty główne Uznawanie infrastruktury PKI poza tymi grupami jest znacznie trudniejsze

20 Format poświadczeń tożsamości
Jest to predefiniowana reprezentacja tekstowa, X.500 i binarna danych określających tożsamość Nazwa, data urodzenia itp. Powinna być używana konsekwentnie: W rządowych i organizacyjnych infrastrukturach PKI W identyfikatorach elektronicznych opartych na kartach inteligentnych Opcjonalnie, uwzględniając wszelkie kwestie prywatności, może zawierać unikatowy identyfikator podmiotu (pracownika, obywatela, firmy itp.) Nie jest to potrzebne ze względu na zaufanie cyfrowe, ale umożliwia ściślejszą weryfikację między rządowymi departamentami Może to nieuchronnie doprowadzić do zniszczenia prywatności

21 Zaufane sygnatury czasowe

22 Problem czasu Scenariusz: Dodatkowy problem: Rozwiązanie?
Dokument został podpisany w dniu 1 stycznia 2005 Sygnatariusz utracił klucz użyty do podpisu w dniu 1 lutego 2006 Czy podpis jest ważny, czy nie? Dodatkowy problem: Każdy może „cofnąć zegar” na swoim komputerze Rozwiązanie?

23 Zaufana usługa sygnatur czasowych (Time Stamp Authority)
Ponieważ certyfikaty są wycofywane na skutek ich utraty lub mija ich okres ważności, podpisy cyfrowe nie mogą nagle tracić ważności Zaufana usługa sygnatur czasowych może dostarczać „podpisy cyfrowe” zawierające datę i godzinę Zaświadczając, że pewien dokument był podpisany, gdy certyfikat sygnatariusza był ważny W przeciwnym wypadku łatwo w przyszłości zakwestionować podpis, anulując ważność kontraktu itp.

24 XAdES Zaawansowane podpisy elektroniczne XML (ang. XML Advanced Electronic Signatures) Specyfikacja W3C Implementuje dyrektywę 1999/93/EC Parlamentu Europejskiego i Rady z 13 grudnia 1999 w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego [EU-DIR-ESIG] Program BizTalk Server firmy Microsoft implementuje to Implementuje ideę Urzędu sygnatury czasowej Zapewnia naprawdę użyteczne podpisy Zaadaptować go: Prawnie Jako usługi

25 XAdES – typy podpisów XAdES formalizuje 6 typów podpisów i określa ich konkretne role i odpowiedzialności Bazuje na podpisie XMLDSIG w następujące sposoby: Zaawansowany podpis elektroniczny XML Zaawansowany podpis elektroniczny XML z sygnaturą czasową Zaawansowany podpis elektroniczny XML z pełną weryfikacją danych Zaawansowany podpis elektroniczny XML z rozszerzoną weryfikacją danych Zaawansowany podpis elektroniczny XML z rozszerzoną weryfikacją danych zarejestrowanych w długim okresie Zaawansowany podpis elektroniczny XML z archiwizacją danych weryfikacji

26 Usługa e-notariatu Rozwiązanie opisanego wcześniej problemu „Przecinające się konteksty” Usługa elektronicznego notariatu umożliwia współistnienie zaufania opartego na papierze i elektronicznego Dodatkowo: Zapewnia zaufane sygnatury czasowe Wydaje i cofa certyfikaty Uczestniczy w dystrybucji elektronicznych identyfikatorów

27 Słowo o archiwizacji Cyfrowa archiwizacja dokumentów papierowych jest bardzo ważna Jest konieczna, aby zapewnić innym zaufanym stronom dostęp do zapisanych dokumentów i zarządzanie nimi w celu pokonania granicy cyfrowo/papierowej E-notariusze mogą być archiwistami

28 Prywatność i DRM (Zarządzanie prawami cyfrowymi)

29 Prywatność i zaufanie Relacje między zaufaniem a prywatnością istnieją od dawna Niestety świat cyfrowej prywatności eroduje i rzadko kiedy jest dobrze chroniony Może to być czynnik ograniczający szeroką, zorientowaną publicznie adaptację systemu zaufania cyfrowego

30 Więcej na temat prywatności
Szerokie poparcie dla szyfrowania będzie stymulować większą poufność w cyfrowym świecie Dzisiaj można odnieść wrażenie, że wszyscy wysyłają kartki pocztowe bez kopert P3P (Privacy Protection Protocol) zapewnia dzisiaj pewną ograniczoną technologię WS-Privacy itp. zapewni więcej Wciąż za mało!

31 Możliwe rozwiązania problemu prywatności
Potrzebne jest prawodawstwo zabraniające przechowywania (i być może przetwarzania) danych niemających podpisu cyfrowego obywateli, których dotyczą Każdy zapis spełniający wymogi prywatności zawiera: Datę ważności Dopuszczalne/zabronione użycie danych Np.: „Nieprzeznaczony do marketingowych i”, „Nie przekazywać osobom trzecim”, „Tylko do spraw kredytowych” itp. Podpis cyfrowy oryginalnego „wystawcy” Jeśli zaistnieje domniemanie naruszenia, strona poszkodowana żąda przekazania zapisu przez domniemanego sprawcę Musi istnieć podpis cyfrowy, a jeśli go brak, sprawca będzie pociągnięty do odpowiedzialności Muszą być przestrzegane dozwolone cele - w przeciwnym wypadku sprawca będzie pociągnięty do odpowiedzialności

32 Relacje z DRM Zarządzanie prawami cyfrowymi (DRM) to konkretne zastosowanie zaufania cyfrowego „Powierz komputerowi życie swoich dokumentów” Rozsądne wykluczenia drukowania, kopiowania, przekazywania itp. Może być użyte do znacznego zwiększenia prywatności W przyszłości może nastąpić zbliżenie technologii używanych do podpisywania za pomocą DRM Na razie mało prawdopodobne

33 DRM nie załatwi wszystkiego

34 Wnioski

35 Wsparcie technologii Firma Microsoft dysponuje następującymi technologiami pozwalającymi budować cyfrowe zaufanie: Usługi certyfikatów (część systemu Windows Server 2003) Do budowania infrastruktury PKI Do wydawania i cofania certyfikatów Do budowania usługi sygnatur czasowych Identity Integration Server Do budowania zaufania między tożsamościami wydawanymi przez różne organizacje (federacje) BizTalk Server Do automatyzacji przetwarzania podpisanych cyfrowo dokumentów, w tym do obsługi podpisów XAdES WS-Federation, WS-Trust i WS-Privacy do zaufania między usługami sieci Web

36 Wnioski Budowanie cyfrowego zaufania w granicach o zamkniętym kontekście (wewnątrz firmy itp.) jest dziś możliwe i chyba godne polecenia Cyfrowe zaufanie w otwartym kontekście współistniejące z waszymi systemami to cel długoterminowy Moim zdaniem jest mało prawdopodobne, aby ten cel został osiągnięty w czasie krótszym niż 3-7 lat Obecnie wdrożone technologie informacyjne są znacznie mniej godne zaufania niż to się wydaje W ciągu kilku następnych lat pojawi się szereg przykładów oczywistych, kosztownych i żenujących naruszeń prywatności Zrozumienie cyfrowego zaufania to dobry krok, aby zasłużyć na większe zaufanie

37 Sugestie Ocenić widoczność zaufania do nas i nasze oczekiwania w tym względzie Opracować przypadek biznesowy dla środowiska z zaufaniem cyfrowym W razie potrzeby wdrożyć: Infrastrukturę PKI, Zarządzanie tożsamością i usługę sygnatury czasowej Rozważyć utworzenie wewnętrznego e-notariatu Przetestować i ocenić: Rozszerzenie wewnętrznego zaufania cyfrowego do partnerów i klientów

38 Pytania i odpowiedzi

Pobierz ppt "Cyfrowe zaufanie: Cele i przeszkody"

Podobne prezentacje

Infrastruktura kluczy publicznych

Infrastruktura kluczy publicznych
Longhorn Academy - AD Warszawa, 12 kwietnia 2007

Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Zarządzanie informacją a produktywność przedsiębiorstwa

Zarządzanie informacją a produktywność przedsiębiorstwa
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET

IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
Kongres Wolności w Internecie

Kongres Wolności w Internecie
Nowy model komunikacji z emitentami

Nowy model komunikacji z emitentami
Prezentacja na temat: Porównanie Windows XP i Windows 7

Prezentacja na temat: Porównanie Windows XP i Windows 7
Generator Wniosków o Płatność

Generator Wniosków o Płatność
Modelowanie przypadków użycia

Modelowanie przypadków użycia
1. Geneza projektu 2. Założenia i cele projektu 3. Harmonogram projektu 4. Produkty projektu 5. Założenia techniczne i wydajnościowe 6. Wizja systemu 7.

1. Geneza projektu 2. Założenia i cele projektu 3. Harmonogram projektu 4. Produkty projektu 5. Założenia techniczne i wydajnościowe 6. Wizja systemu 7.
Gmina Zawichost ul. Żeromskiego 50 27 – 630 Zawichost tel. (015) 836 46 27 fax. (015) 836 46 27 ail: IV Spotkanie informacyjne.

Gmina Zawichost ul. Żeromskiego – 630 Zawichost tel. (015) fax. (015) ail: IV Spotkanie informacyjne.
przetwarzaniu informacji

przetwarzaniu informacji
Rola komputera w przetwarzaniu informacji.

Rola komputera w przetwarzaniu informacji.
1 mgr inż. Sylwester Laskowski Opiekun Naukowy: prof. dr hab. inż. Andrzej P. Wierzbicki.

1 mgr inż. Sylwester Laskowski Opiekun Naukowy: prof. dr hab. inż. Andrzej P. Wierzbicki.
Michał Żwinis s3472.

Michał Żwinis s3472.
1 Projekt System 7/24. Białystok, 9 lipiec 2007 System 7/24 - jako przykład współpracy BIZNES - SAMORZĄD Warszawa, 7.12.2007.

1 Projekt System 7/24. Białystok, 9 lipiec 2007 System 7/24 - jako przykład współpracy BIZNES - SAMORZĄD Warszawa,
System nawigacji satelitarnej

System nawigacji satelitarnej
Platforma A2A PA2A.

Platforma A2A PA2A.
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
SSL - protokół bezpiecznych transmisji internetowych

SSL - protokół bezpiecznych transmisji internetowych

Podobne prezentacje

Reklamy Google