Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Biznes elektroniczny W. Bartkiewicz Wykład 6. Zaufanie i bezpieczeństwo.

Podobne prezentacje


Prezentacja na temat: "Biznes elektroniczny W. Bartkiewicz Wykład 6. Zaufanie i bezpieczeństwo."— Zapis prezentacji:

1 Biznes elektroniczny W. Bartkiewicz Wykład 6. Zaufanie i bezpieczeństwo.

2 Zaufanie i bezpieczeństwo Zaufanie i bezpieczeństwo to dwa najważniejsze elementy każdej transakcji elektronicznej. Podawane są one przy tym jako największe bariery w rozwoju biznesu elektronicznego. –Według badań przeprowadzonych przez firmy Gemius i Money.pl 13,4% badanych internautów wskazało bezpieczeństwo i wiarygodność jako czynnik motywujący do robienia zakupów przez Internet. Więcej, bo aż 40,1% osób stwierdziło, że czynnikiem takim jest cena, a 19,5% podało bezpłatną dostawę/niższe koszty dostawy. –Badania te wykazały również, iż osoby, które jeszcze nie dokonały żadnego zakupu przez Internet, jak i te, które mają już za sobą przeprowadzone transakcje, najchętniej, bo aż w 19,5% kupowałoby w sklepach specjalizujących się w konkretnej branży, ale przede wszystkim zwracaliby uwagę na bezpieczeństwo i zaufanie (49,9% badanych osób). –Klienci, którzy nie kupowali jeszcze w sklepach internetowych w 68,1% stwierdzili, że zamawiając towary zdecydowaliby się na opłatę przy odbiorze przesyłki.

3 Osoby mające problemy z bezpieczeństwem korzystania z Internetu Dane: Główny Urząd Statystyczny

4 Przedsiębiorstwa mające problemy związane z utrzymaniem bezpieczeństwa sieci lub danych Dane: Główny Urząd Statystyczny

5 Zaufanie i bezpieczeństwo Do najważniejszych aspektów w tej dziedzinie należą: –Poufność – Dane dotyczące transakcji nie mogą być widoczne dla stron trzecich. –Uwierzytelnianie – Komunikujące się strony muszą być pewne swojej tożsamości. –Integralność – Obie strony muszą być pewne, że dane transakcji nie mogą być zmodyfikowane przez innych i docierają do odbiorcy w stanie nienaruszonym. –Niezaprzeczalność – Trzeba móc udowodnić, że transakcja została prawnie zawarta i druga strona nie może uchylić się od ciążących na niej zobowiązań powstałych w jej wyniku. –Ostatni problem dotyczy przede wszystkim bezpiecznej autoryzacji płatności transakcji – zabezpieczenia autoryzacji transakcji poprzez np. powierzenie tej czynności firmom realizującym takie przedsięwzięcia (w Polsce można wybrać np. eCard lub PolCard)

6 Bezpieczeństwo sieci Bezpieczeństwo sieci oznacza ochronę jej prawidłowego działania i zachowania jej integralności w obliczu przypadkowego jej uszkodzenia lub celowego ataku. Problem bezpieczeństwa ma wiele aspektów od tajności (zdolności do zachowania tajemnicy) i integralności, aż do tzw. 3A: –uwierzytelniania (authentication) – określania swojej tożsamości w sieci i wiedzy o tym kto jest kim; –autoryzacji (authority) – działaniu użytkowników w ramach określonych uprawnień; –audytu (audit) – uprawnionego śledzenia stanu sieci, czasu i autorów jego zmian i prowadzonych w sieci działań użytkowników.

7 Bezpieczeństwo sieci – Typy zagrożeń Zagrożenia wewnętrzne: –oprogramowanie (różnego rodzaju błędy); –sprzęt komputerowy (awarie, uszkodzenia itp.); –ludzie (pomyłki, złe intencje itp.). Zagrożenia zewnętrzne: –dla transmisji danych (na przykład przechwytywanie, odczytywanie, zmiana przesyłanych danych); –dla autoryzacji (na przykład fałszywa tożsamość, podawanie nieprawdziwych danych, trudność w zidentyfikowaniu klienta); –dla dostępności (na przykład blokada dostępu do serwisu poprzez ataki z zewnątrz, przeciążenia sieci, awarie); –dla płatności (na przykład opłaty za pomocą kradzionych kart kredytowych, zakupy robione przez osoby podające nieprawdziwą tożsamość, wykorzystywanie kont bez pokrycia); –dla ochrony prywatności (gwarancja firmy związana z bezpieczeństwem danych osobowych klientów, ich numerów kart kredytowych, itp.).

8 Bezpieczeństwo sieci – Najważniejsze zagrożenia Bezpośredni atak. Atakujący ma na celu zalogowanie się do aplikacji z zamiarem posługiwania się nią jako prawowity użytkownik, lecz w ukrytych zamiarach. –Atak może obejmować wykradanie lub przełamywanie haseł, stosowanie systemu operacyjnego lub aplikacji do otwarcia furtek w zabezpieczeniach (np. poprzez wyszukiwanie luk w zabezpieczeniach), pokonywanie procedur uwierzytelniania użytkownika. –Konie trojańskie – programy wykorzystywane do włamań, udające program pożyteczny, po zainstalowaniu wykonuje dodatkowe czynności, na przykład odczytuje hasła przechwytują znaki wprowadzane na klawiaturze. –Keyllogery – oprogramowanie monitorujące proces logowania się do systemu (komputera). –Ataki typu exploit – atak lub narzędzie wykorzystujące błąd lub lukę w oprogramowaniu, na przykład metoda buffer overflow polegająca na wysyłaniu większej ilości danych niż pozwala na to rozmiar bufora odbiorcy.

9 Bezpieczeństwo sieci – Najważniejsze zagrożenia Naruszenie prawidłowego działania. Uniemożliwia sieci bądź aplikacji (np. serwerowi WWW) poprawną pracę. –Wirusy komputerowe. –DoS (abg. Denial of Service) – atak sieciowy typu exploit w wyniku którego zaatakowany system zaczyna działać nieprawidłowo. Nie jest związany z kradzieżą danych lub ich utratą, a jedynie przynoszą straty przez niedostępność usług firmy Utrata tajności. Dane przechwytywane są w trakcie transmisji, a następnie wykorzystywane do nielegalnych celów. –Urządzenia i oprogramowanie do podsłuchu w sieci lokalnej i rozległej określane są jako tzw. sniffers i datascopes. Modyfikacja danych. Dane mogą być zmodyfikowane podczas transmisji. –Np. po zakupie towaru za 1000 złotych atakujący zmieni dane tak, by wykazały one kupno towaru za jedynie 10 złotych.

10 Bezpieczeństwo sieci – Najważniejsze zagrożenia Podszywanie się. Atakujący podaje się za uprawniony serwer lub użytkownika. –Może to być np. strona WWW o podobnym URL, przeznaczona do skompromitowania danej firmy lub zbierania pieniędzy pod fałszywym szyldem. –Phishing – oszustwa wykorzystujące fikcyjne strony WWW identyczne z oryginalnymi stronami firm. –Pharming – polega na zmianie adresów DNS ( ang. Domain Name System), przez co użytkownik nieświadomie wchodzi na fałszywą stronę internetową wykorzystywaną do przechwycenia poufnych danych. –Hijacking – przechwytywanie kontroli nad połączeniem między komunikującymi się komputerami. Zbieranie informacji. Stanowi ono często wstęp do jednego z wymienionych wcześniej typów ataków. –Narzędzia skanujące mogą służyć do systematycznego przeszukiwania systemu firmy w celu wykrycia punktów komunikacyjnych pracujących w nim aplikacji, słabych punktów systemu zabezpieczeń, itp.

11 Rodzaje zagrożeń w przedsiębiorstwach w 2005 r. Dane: Główny Urząd Statystyczny

12 Bezpieczeństwo – Zagrożenia i awaryjność Błędy i awarie oprogramowania: –Oprogramowanie jest podatne na różnego rodzaju błędy. –Stosowanie stabilnego oprogramowania oraz gruntowne testy całego systemu podczas dokonywania zmian, wykorzystując ściśle określone procedury i wprowadzanie modyfikacji dopiero po uzyskaniu pozytywnych wyników przeprowadzonych na systemie rezerwowym są czynnikami zmniejszającymi prawdopodobieństwo wystąpienia błędów programowych. –Regularnie wykonywanie kopii zapasowej pomaga później w zniwelowaniu negatywnych skutków wystąpienia błędów.

13 Bezpieczeństwo – Zagrożenia i awaryjność Każda firma narażona jest również na niespodziewane awarie sprzętu komputerowego, awarie sieci elektrycznych, komunikacyjnych i komputerowych oraz systemu wysyłkowego. –W przypadku wystąpienia któregoś z wyżej wymienionych problemów zwykle nie pozostaje nic poza czekaniem na naprawę usterki i przywrócenie funkcjonalności. –Oczywiście można zaradzić tym problemom na przykład instalując dublujące się systemy, dzięki czemu awaria jednego nie spowoduje przerwania pracy całego serwisu, czy stosując odpowiednie urządzenia takie jak UPS aby podtrzymać działanie systemu na czas braku w dostawie prądu. –Zalecane jest przeanalizowanie strat, jakie mogą wystąpić w przypadku unieruchomienia witryny i zależnie od wyników oraz posiadanego budżetu podjąć odpowiednie środki zabezpieczające.

14 Bezpieczeństwo sieci – Polityka bezpieczeństwa w firmie Opracowanie polityki bezpieczeństwa polega na ustaleniu pewnych zasad zawierających cele i wymagania dotyczące bezpieczeństwa. Powinna ona obejmować takie zagadnienia, jak: –Ogólne zasady bezpieczeństwa wewnątrz organizacji; –Elementy objęte ochroną (oprogramowanie, sprzęt, dane); –Osoby odpowiedzialne za ochronę elementów; –Standardy bezpieczeństwa oraz miary sposoby oceny ich realizacji.

15 Bezpieczeństwo sieci – Polityka bezpieczeństwa w firmie Fizyczne bezpieczeństwo systemu informatycznego. Gdzie znajdują się serwery i końcówki systemu. Komu ufamy na tyle aby powierzyć ich obsługę. –Jak się okazuje w praktyce większość nadużyć dokonywana jest przez personel samych firm, a nie przez hakerów zewnętrznych. –Jeśli już mamy do czynienia z ingerencją z zewnątrz, często jest ona możliwa dzięki niefrasobliwości personelu. –Najważniejsza jest lokalizacja komputerów i organizacja dostępu oraz zarządzania systemem. –Sporządzanie kopii zapasowej bezpieczeństwa danych (ang. backup). –Gdzie przechowuje się hasła dostępu, kopie rezerwowe, kto jest odpowiedzialny za regularne zmiany haseł i inne procedury administracyjne związane z zabezpieczeniami systemu.

16 Bezpieczeństwo sieci – Polityka bezpieczeństwa w firmie Właściwa konfiguracja systemu zabezpieczeń i organizacja procesu zarządzania zabezpieczeniami systemu. –Odpowiednia polityka nadawania właściwych uprawnień poszczególnym użytkownikom systemu. –Zarządzanie zabezpieczeniami systemu w warstwie systemu operacyjnego i sieci komputerowej, w warstwie pośredniej (np. serwery WWW, serwery baz danych, środowiska aplikacyjne) oraz na poziomie samych aplikacji. –Właściwa administracja systemem zabezpieczeń (wymuszanie zmian haseł, uniemożliwianie tworzenia haseł zbyt prostych do złamania, itp.). –Prowadzenie szkoleń personelu w zakresie bezpieczeństwa i rozpoznawania zagrożeń. Oprogramowanie antywirusowe. –Najczęściej stosowane narzędzie chroniące przed bardzo intensywnie rozprzestrzeniającymi się, szczególnie za pośrednictwem Internetu, wirusami, trojanami i różnego rodzaju robakami. –Należy tutaj pamiętać o częstych aktualizacjach baz wirusów.

17 Bezpieczeństwo sieci – Polityka bezpieczeństwa w firmie Urządzenia sieciowe i oprogramowanie zabezpieczające przed atakami z sieci rozległej. Takie jak np. firewalle, proxy, itp. –Pozwalają one przede wszystkim na ustanowienie kontroli dostępu do usług systemu biznesu elektronicznego, co ma szczególne znaczenie gdy na udostępnianych na zewnątrz serwerach przechowuje się ważną informację handlową i finansową. –Zazwyczaj ogranicza się usługi przechodzące urządzenia zabezpieczające tylko do tych, które chcemy oferować naszym klientom, np. blokowane są wszystkie protokoły z wyjątkiem http i bezpiecznego http. –Blokowanie nieupoważnionym programom dostępu do sieci. –Ukrywanie szczegółów implementacji systemu informatycznego. –Kontrolowanie i obserwacja dostępu do sieci.

18 Bezpieczeństwo sieci – Polityka bezpieczeństwa w firmie Odmowa usługi. Pozwala na zastopowanie użytkowników zasypujących system fałszywymi transakcjami, i blokujących w ten sposób dostęp do usług przedsiębiorstwa innym klientom. –Jedną z praktyk tego rodzaju, stosowana w Internecie, znana jest pod nazwą spamming i polega na wysyłaniu z dużą częstością niepożądanej korespondencji do wielu użytkowników. –Zablokowanie adresów tego rodzaju użytkowników pozwala na postawić tamę pewnej części przychodzącego ruchu sieciowego. Monitorowalność. –Większość wyposażenia sieciowego pozwala na rejestrację przychodzących komunikatów i zdarzeń w systemie informatycznym (kto co zrobił i kiedy). –Prowadzenie takiego monitoringu oraz kontrola gromadzonych rejestrów, dzienników, logów, itp. jest ważnym narzędziem wykrywania ataków na system. –Mogą one również stanowić istotny materiał dowodowy dotyczących zawartych transakcji.

19 Tajność i szyfrowanie Głównym celem szyfrowania jest zapewnienie tajności danych podczas ich transmisji przez sieć publiczną, jaką jest Internet. Tajne szyfry używane były od dawna, aby zapewnić tajemnicę informacji przesyłanej niezabezpieczonymi kanałami, takimi jak poczta, fale radiowe czy publiczna sieć telekomunikacyjna. –Niektóre z najwcześniej znanych szyfrów sięgają czasy starożytnego Egiptu. –W roku 1660 Samuel Pepys wymyślał szyfry na użytek angielskich arystokratów, korespondujących z wygnanym królem Karolem. –Podczas drugiej wojny światowej celem ochrony tajemnic wojennych generowano skomplikowane szyfry z wykorzystaniem niemieckiej maszyny o nazwie Enigma. W biznesie elektronicznym zasady są podobne, choć szyfrowanie (czym zajmuje się kryptografia) musi być silniejsze, z uwagi na obecny rozwój kryptoanalizy, którą posługują się potencjalni intruzi, mający dostęp do szybkich komputerów i wyspecjalizowanego oprogramowania.

20 Szyfrowanie Algorytm szyfrowania modyfikuje przesyłane informacje informacje, wykonując na danych różnego rodzaju operacje matematyczne. Algorytm ten wbudowany może być na stałe w różnego rodzaju urządzenia szyfrujące. –Przykładami tego typu rozwiązań mogą być wspomniana wcześniej Enigma, czy też procesor Clipper skonstruowany przez siły zbrojne USA, zawierający wbudowany algorytm szyfrujący o nazwie Skipjack. –Pozwala to na szybkie wykonywanie bardzo złożonych operacji kodujących i dekodujących na dużych zbiorach danych. –Wadą tego rozwiązania jest trudność przywrócenia bezpieczeństwa w sytuacji gdy algorytm szyfrowania zostanie odkryty. Bardziej elastyczną opcję stanowi algorytm szyfrowania wyposażony w tajny klucz. –Klucz jest ciągiem cyfr zawierającym zbiór reguł sterujących algorytmem szyfrowania. –Istnieją dwa podstawowe sposoby zarządzania kluczem: kryptografia z kluczem prywatnym oraz publicznym.

21 Szyfrowanie z kluczem prywatnym W przypadku szyfrowania z kluczem prywatnym, do zaszyfrowania przesyłanych wiadomości, jak i do ich odszyfrowania używa się tego samego klucza szyfrującego. Nadawca używa go do zaszyfrowania danych, odbiorcy do odszyfrowania. Ze względu na symetrię procesu szyfrowania i rozszyfrowywania kryptografia z kluczem prywatnym określana jest również jako kryptografią symetryczną. Ustalonym standardem kryptograficznym dla szyfrowania symetrycznego jest system DES. –Polega on na zastosowaniu klucza prywatnego o długości 56 bitów (rozszerzonego do 64 bitów, poprzez dodanie 8 bitów parzystości). –Algorytm pobiera 64 bitowe bloki danych i łączy je z kluczem z wykorzystaniem operacji różnicy symetrycznej (XOR), z jednoczesnym przesuwaniem bitów.

22 Szyfrowanie z kluczem prywatnym Algorytm podstawowy DES obecnie uznaje się za zbyt prosty do złamania (istnieją obecnie urządzenia przełamujące szyfr DES w czasie kilku minut). Dlatego obecnie stosowana jest jego silniejsza wersja, tzw. potrójny algorytm DES (3DES). –Szyfruje on trzykrotnie dane źródłowe za pomocą algorytmu podstawowego DES, najpierw jednym kluczem, potem drugim, a następnie ponownie pierwszym. –Wynik uważany jest za równoważny użyciu klucza 112 (128) bitowego, co traktowane jest ciągle jako rozwiązanie bezpieczne. –Pamiętać również należy, że pojawiające się doniesienia na temat przełamywania kolejnych algorytmów szyfrujących, są zazwyczaj wynikiem zastosowania bardzo kosztownych instalacji laboratoryjnych, których koszty są niewspółmierne w stosunku do oczekiwanych korzyści ze złamania zabezpieczeń przeciętnego przedsiębiorstwa biznesu elektronicznego. –W przypadku firm o charakterze newralgicznym (np. banków) stosowane klucze mają bardzo krótkie okresy żywotności, czy wręcz zazwyczaj są jednorazowe.

23 Szyfrowanie z kluczem prywatnym Jako zalety szyfrowania symetrycznego należy wymienić jego szybkość, wydajność oraz odporność na ataki. Metoda ta nie jest jednak wolna od wad. Do podstawowych należy tutaj zaliczyć brak możliwości jednoznacznej identyfikacji nadawcy wiadomości, jak i konieczność uzgodnienia wspólnego klucza jeszcze przed rozpoczęciem wymiany danych, co wymaga jakiegoś bezpiecznego sposobu na przekazanie tajnego klucza między użytkownikami. Klucz ten powinien być przekazany najlepiej poza siecią, aby nie dostał się w ręce niepowołanych osób, co w przypadku wielu użytkowników jest znacznie utrudnione. Poza tym każdy nadawca powinien znać klucz każdego z odbiorców, a każdy odbiorca powinien mieć odmienny klucz.

24 Szyfrowanie z kluczem publicznym Szyfrowanie z kluczem publicznym (zwane również szyfrowaniem asymetrycznym) wykorzystuje dwa klucze szyfrujące – tajny klucz prywatny oraz powszechnie znany, jawny tzw. klucz publiczny. –Wiadomość zakodowana przy użyciu klucza publicznego może być rozkodowana tylko przy użyciu klucza prywatnego i vice versa. –Szyfrowanie niesymetryczne oparte jest na funkcjach matematycznych, które łatwo policzyć w jedną stronę, a trudno w drugą. –Najpopularniejszy algorytm szyfrowania niesymetrycznego RSA oparty jest na tzw. faktoryzacji, polegającej na mnożeniu przez siebie kilku dużych liczb, co jest dość łatwe, natomiast operacja odwrotna wymaga rozłożenia tego iloczynu na czynniki pierwsze co stanowi duży problem obliczeniowy, lub zastosowania logarytmu dyskretnego, którego odnalezienie również jest zadaniem bardzo trudnym.

25 Szyfrowanie z kluczem publicznym Szyfrowanie asymetryczne może być wykorzystywane do zachowania tajności komunikacji. –Wśród nadawców rozpowszechniany jest jawny i dostępny dla wszystkich zainteresowanych klucz publiczny. Może być on na przykład generowany samodzielnie za pomocą odpowiedniego oprogramowania, lub otrzymywany z tzw. centrum certyfikacji. –Klucz ten służy nadawcom do szyfrowania wiadomości. –Aby odszyfrować i odczytać zakodowane dane niezbędny jest tajny klucz prywatny znany tylko odbiorcy. Tekst jawny NADAWCA Klucz publiczny odbiorcy ODBIORCA Klucz prywatny odbiorcy Tekst zakodowany kodowanie Tekst rozkodowany dekodowanie

26 Szyfrowanie z kluczem publicznym Metoda szyfrowania niesymetrycznego zapewnia poufność przesyłanych danych oraz ich integralność. Jako wadę można tutaj wymienić niską wydajność, co raczej przekreśla zastosowanie tego rodzaju szyfrowania w przypadku dużej liczby obszernych wiadomości. Kryptografia asymetryczna stosowana jest więc przede wszystkim do kodowania krótkich wiadomości, np. do ochrony transmisji kluczy prywatnych dla szyfrowania symetrycznego, w uwierzytelnianiu użytkownika (bezpieczne przesyłanie haseł), itp. Drugim podstawowym obszarem zastosowań kryptografii asymetrycznej są podpisy cyfrowe: –Dokumenty podpisane za pomocą tajnego klucza prywatnego osoby podpisującej mogą być rozkodowywane i sprawdzane pod względem zgodności podpisu przy użyciu powszechnie znanego klucza publicznego. –Stanowi to podstawę do uwierzytelniania, integralności oraz niezaprzeczalności podpisanej informacji.

27 Podpis cyfrowy Podpis elektroniczny ma dawać gwarancję, iż wysyłana wiadomość nie została zmieniona i dotarła w oryginalnej postaci do odbiorcy. Możemy wyróżnić kilka definicje podpisu elektronicznego: –Podpis elektroniczny to ciąg danych w postaci elektronicznej, które wraz z danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. –Podpis elektroniczny, podpis cyfrowy, sygnatura cyfrowa, DSA (ang. digital signature), zaszyfrowane za pomocą klucza prywatnego nadawcy streszczenie komunikatu dodane do komunikatu jako podpis. Odbiorca może sprawdzić podpis cyfrowy, odszyfrowując go za pomocą jawnego klucza nadawcy i porównując z wynikiem zastosowania funkcji streszczającej do otrzymanego komunikatu. –Definicja podpisu cyfrowego wg. PN-I (Polska Norma) - przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę.

28 Podpis cyfrowy Jak już wspomnieliśmy procedura generowania podpisu polega na podpisaniu (zakodowaniu) wiadomości przez nadawcę swoim kluczem prywatnym. –Dla wysyłanej wiadomości generowana jest tzw. suma kontrolna, zwana także blokiem kontrolnym lub skrótem, której wartość jest wrażliwa na jakiekolwiek modyfikacje informacji źródłowej. Jeżeli w wiadomości zachodzą jakieś zmiany, zmienia się także suma kontrolna. –Skrót jest kodowany kluczem prywatnym nadawcy i dołączany do wiadomości. –Odbiorca po otrzymaniu wiadomości takim samym algorytmem generuje dla niej sumę kontrolną i porównuje ją z odszyfrowaną kluczem publicznym sumą dołączoną do otrzymanej przez niego wiadomości. –Jeżeli oba skróty są identyczne, możemy być pewnie, że wiadomość pochodzi od właściwego nadawcy i nie została zmieniona

29 Podpis cyfrowy wysyłana wiadomość algorytm haszujący skrót wiadomości szyfrowanie kluczem prywatnym podpis wysyłana wiadomość podpis odszyfrowanie kluczem publicznym odszyfrowany podpis podpis wysyłana wiadomość algorytm haszujący skrót wiadomości porównanie

30 Podpis elektroniczny – Polska Ustawa o podpisie elektronicznym –Uchwalona 18 wrze ś nia 2001 r., a weszła w życie 16 sierpnia 2002 r. –Na jej mocy podpis elektroniczny jest równoważny z podpisem odręcznym. –Polska Izba Informatyki i Telekomunikacji postuluje konieczność nowelizacji ustawy. –Błędy ujawniły się podczas prowadzonych prac nad aktami wykonawczymi do ustawy. Kto pierwszy? –11 października 2001 r. Prezydent RP złożył symboliczny elektroniczny podpis pod Ustawą. –30 września 2002 w trakcie Sesji Rady Miasta Szczecina - Przewodniczący Dominik Górski po raz pierwszy w historii Samorządu RP podpisał uchwałę Rady Miasta używając do tego podpisu elektronicznego. –1 lutego 2003 r. Premier wysłał do Marszałka Sejmu pierwszy w Polsce dokument państwowy opatrzony podpisem elektronicznym z kwalifikowanym certyfikatem.

31 Podpis elektroniczny – Polska Przyszłość e-podpisu –wg prognoz NBP na polskim rynku w ciągu najbliższych 3 lat będzie ponad 3 miliony certyfikatów - w tym 200 tysięcy kwalifikowanych. –w pierwszej kolejności stosowany będzie w sektorze bankowym, w instytucjach finansowych. Ale: –W 2004 r. zapadła decyzja o likwidacji spółki CENTRAST. –Do listopada 2004 wydano tylko 6000 certyfikatów, a np. w Estonii, gdzie e-podpis jest w nowych dowodach, aż 300 tysięcy. –Posiadanie e-dowodu budzi jednak często niepewność związaną z utratą wolności osobistej – w Finlandii pobrało 1% obywateli.

32 Zaufanie i certyfikaty Asymetryczne algorytmy szyfrowania stanowią podstawę różnego rodzaju infrastruktur klucza publicznego (PKI – Public Key Infrastructure). Powstaje jednak pytanie, czy otrzymany przez użytkownika klucz publiczny faktycznie należy do właściwej osoby, a nie do uzurpatora. Infrastruktura klucza publicznego załatwia to za pośrednictwem zaufanej strony trzeciej, która wystawia i podpisuje cyfrowo certyfikat zaświadczający o autentyczności klucza publicznego. Wydawaniem certyfikatów zajmują się specjalne firmy zwane centrami lub urzędami certyfikacji (CA – Certificate Authorities). Tego typu instytucje najczęściej przeprowadzają rejestrację i wydają certyfikaty, odnawiają, unieważniają oraz weryfikują status certyfikatu. Do firm zajmujących się wydawaniem certyfikatów można zaliczyć Thawte Consulting, VeriSign Inc., GlobalSign NV/SA, czy polskie Centrum Certyfikacji Unizeto Certum lub Centrum Certyfikacji Sygnet.

33 Zaufanie i certyfikaty Certyfikaty wykorzystywane są do zabezpieczania poczty elektronicznej, serwerów WWW jak i SSL, do podpisywania kodu stworzonego przez programistów, zabezpieczenia sieci, szyfrowania danych oraz bezpiecznego uwierzytelniania. Sam certyfikat jest w zasadzie zbiorem danych, podpisanych elektronicznie przez zaufane CA z użyciem silnie strzeżonego klucza prywatnego. Certyfikat zawiera takie informacje jak: –Identyfikacja certyfikatu (wersja, numer seryjny, nazwa i identyfikator wydającego, itp.). –Okres ważności certyfikatu. –Nazwa właściciela (użytkownika) certyfikatu. –Klucz publiczny właściciela (użytkownika) certyfikatu. –Opcjonalne rozszerzenia zależne od typu certyfikatu, jego przeznaczenia, potrzeb właściciela. –Podpis wydającego certyfikat. Podpisywanie i sprawdzanie certyfikatu jest wariantem generalnych procedur dla podpisu elektronicznego.

34 Podpisywanie certyfikatu treść certyfikatu algorytm haszujący skrót szyfrowanie podpis klucz prywatny wystawiającego CA

35 Weryfikacja certyfikatu klucz publiczny wystawiającego CA treść certyfikatu algorytm haszujący skrót podpis odkodowanie skrót porównanie

36 Typy certyfikatów Certyfikaty osobiste – wiążą nazwisko użytkownika z jego adresem e- mailowym i kluczem publicznym. Wykorzystywane są przez indywidualnych użytkowników Internetu między innymi do przesyłania bezpiecznej poczty elektronicznej lub uwierzytelniania swojej tożsamości wobec serwerów sieci WWW. Certyfikaty wydawane przez instytucje (np. przez banki) dla ustalenia tożsamości klientów. Wymagają one dodatkowych elementów, takich jak numery kont bankowych. Certyfikaty serwerów, wydawane w celu potwierdzenia tożsamości serwera WWW. Obejmują one dodatkowe dane, takie jak URL serwera, nazwę organizacji i jej klucz publiczny. Ten certyfikat pozwala co ważniejsze na wymianę kluczy szyfrujących i nawiązywanie tzw. bezpiecznych połączeń w ramach protokołu SSL. Certyfikaty producentów oprogramowania – wykorzystywane do cyfrowego podpisywania oprogramowania, również kontrolek, formantów i apletów ściąganych przez przeglądarki WWW.

37 Hierarchia zaufania Ostatnim typem certyfikatu, są certyfikaty urzędów certyfikacji, potwierdzające tożsamość Centrum Certyfikacji (CA). Potwierdza on, że wystawca certyfikatu jest godny zaufania, solidnie przeprowadza niezbędne sprawdzenia służące za podstawę wydania certyfikatu oraz potwierdza prawdziwość jego klucza publicznego. Zazwyczaj mamy więc do czynienia z pewną hierarchią zaufania, w której każda strona certyfikowana jest przez inną stojącą wyżej w tym łańcuchu.

38 SSL Koronnym przykładem środowiska zabezpieczeń komunikacyjnych, wykorzystujących rozwiązania typu PKI, a przy tym powszechnie wykorzystywanym w sieci Internet, i co za tym idzie najbardziej popularnym sposobem zabezpieczania rozwiązań e-commerce jest tzw. SSL. SSL (Secure Socket Layer) jest protokołem, który służy zapewnieniu poufności i integralności danych, umożliwia prowadzenie bezpiecznych połączeń poprzez autoryzację serwera i klienta. Jest on wbudowany w większość popularnych przeglądarek internetowych i aby umożliwić mu działanie wystarczy zaakceptować i zainstalować cyfrowy certyfikat lub identyfikator serwera.

39 SSL Podczas połączenia serwer, obsługujący SSL, odpowiada przesyłając klientowi certyfikat, potwierdzający swoją tożsamość, wraz z kluczem publicznym. Następnie przeglądarka generuje unikalny, losowy klucz, ważny tylko na czas trwania połączenia, i wysyła go, zakodowany wcześniej otrzymanym kluczem publicznym do serwera. Ustanowione połączenie staje się wtedy bezpieczne, zaszyfrowane. Aby możliwe było połączenie z serwerem firmy, która korzysta z protokołu SSL, serwer ten musi więc posiadać certyfikat świadczący o wiarygodności serwisu e-commerce. Certyfikaty SSL potwierdzają nam tożsamość firmy, autentyczność podpisu elektronicznego, autentyczność klucza publicznego adresata wiadomości, zapewniają klienta, że serwis należy do konkretnej firmy i nikt się pod nią nie podszywa.

40 Użytkownicy stosujący zabezpieczenia informatyczne Dane: Główny Urząd Statystyczny

41 Przedsiębiorstwa stosujące zabezpieczenia informatyczne w 2005 r. Dane: Główny Urząd Statystyczny


Pobierz ppt "Biznes elektroniczny W. Bartkiewicz Wykład 6. Zaufanie i bezpieczeństwo."

Podobne prezentacje


Reklamy Google