Komputery w finansach Wykład I Podpis elektroniczny Komputery w finansach Wykład I

Podpis elektroniczny - definicja Dyrektywa UE 1999/93/EC definiuje podpis elektroniczny w następujący sposób: data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication. Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Podstawowe pojęcia definiowane przez dyrektywę UE 1999/93/EC: Osoba składająca podpis elektroniczny Dane służące do składania podpisu elektronicznego Dane służące do weryfikacji podpisu elektronicznego Urządzenie służące do składania podpisu elektronicznego Urządzenie służące do weryfikacji podpisu elektronicznego Certyfikat Kwalifikowany certyfikat Podmiot świadczący usługi certyfikacyjne Znakowanie czasem Poświadczenie elektroniczne

Ustawa o podpisie elektronicznym z dn. 18.09.2001 Celem uchwalonej przez Sejm w dniu 18 września 2001 r. ustawy o podpisie elektronicznym było stworzenie mechanizmu oraz infrastruktury organizacyjnej, które umożliwią bezpieczne i niezawodne posługiwanie się w Polsce nowoczesnymi elektronicznymi środkami łączności i przetwarzanie informacji na potrzeby czynności prawnych i w działalności gospodarczej.

Podpis cyfrowy Podpis cyfrowy (digital signature) ma następujące cechy: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

Pierwsze sygnatury przy przesyłaniu dokumentów drogą elektroniczną Komunikacja pomiędzy dowództwem a okrętami podwodnymi USA System polegał na dołączeniu do wiadomości ściśle określonego ciągu znaków, który potwierdzał autentyczność. Do każdej wiadomości przewidziany był inny (kolejny z listy) ciąg znaków.

Zalety i wady stosowania sygnatur Brak możliwości podpisania dokumentu przesyłanego do „nieznanego" odbiorcy Konieczność generowania listy sygnatur dla każdego odbiorcy osobno Błąd w użyciu sygnatury może spowodować lawinowe błędne interpretowanie sygnatur u odbiorcy Konieczność uzgodnienia listy sygnatur pomiędzy nadawcą-odbiorcą w bezpiecznym kanale transmisyjnym Możliwość użycia sygnatury bez użycia jakichkolwiek urządzeń/komputerów itp. Brak możliwości jednoznacznej identyfikacji nadawcy Prosty algorytm do tworzenia i weryfikowania sygnatury WADY ZALETY

Etapy podpisywania wiadomości 1. Tworzymy skrót wiadomości - jest on od niej dużo krótszy. Kodujemy odcisk kluczem prywatnym -uzyskujemy w ten sposób podpis. 3. Podpis dołączamy do listu i wysyłamy go.

Szyfrowanie skrótu Klucz prywatny nadawcy Skrót dokumentu Dokument + podpis Dokument oryginalny

Etapy dekodowania wiadomości 4. Tworzy skrót wiadomości, 5. Deszyfruje podpis kluczem publicznym, 6. Porównuje dwa otrzymane skróty.

Podpis Certyfikat nadawcy Klucz publiczny nadawcy Dokument Obliczamy skrót T Dokument + podpis Zgadza się? Podpis Deszyfrujemy skrót N Certyfikat nadawcy Klucz publiczny nadawcy

Algorytm RSA W algorytmie RSA generowanie kluczy publicznego i prywatnego polega na wykorzystaniu funkcji pary dużych liczb pierwszych.

Funkcja skrótu jednokierunkowość bezkolizyjność nieprzewidywalność Algorytmy MD5 (128 bajtów) SHA-1 (160 bajtów) jednokierunkowość bezkolizyjność nieprzewidywalność

Przykład wiadomości podpisanej cyfrowo za pomocą pakietu PGP Wiadomość oryginalna: Wiadomość testowa, do podpisania za pomocą pakietu PGP. Wiadomość podpisana elektronicznie: BEGIN PGP SIGNED MESSAGE Hash: SHA1 Wiadomość testowa, do podpisania za pomocą pakietu PGP. BEGIN PGP SIGNATURE Version: PGPfreeware 6.0.2i iQA/AwUBQGqqPourfDHB+0j+EQJqGgCcDW7Y7gvExqdWwGmMy2i7e1FqRIAoPsX PNQm93UbljFMZIy4ysqNrtrc =1sQp END PGP SIGNATURE

Przechowywanie kluczy prywatnych Pliki binarne - klucz taki jest wówczas szyfrowany metodą symetryczną z wykorzystaniem hasła dostępu. Metoda ta wymaga od użytkownika ochrony własnego klucza, który podczas pracy najczęściej musi znajdować się na dysku komputera. Karty mikroprocesorowe - jest to zdecydowanie najbezpieczniejsza metoda przechowywania klucza. Karta taka sama generuje parę kluczy udostępniając na zewnątrz jedynie klucz publiczny. Klucz prywatny nigdy nie opuszcza karty - operacja szyfrowania danych przeprowadzana jest przez kartę (oprogramowanie wysyła dane do karty i odbiera je w postaci zaszyfrowanej). Dostęp do karty chroniony jest za pomocą kodu PIN. E-token

Przechowywanie kluczy publicznych Centra Autoryzacyjne (CA) – miejsca które rozprowadzają klucze publiczne swoich klientów, potwierdzając ich autentyczność za pomocą własnych podpisów. Dzięki temu każdy zainteresowany weryfikacją autentyczności otrzymanej wiadomości, może bez problemu dokonać tego weryfikując podpis za pomocą klucza udostępnionego przez CA. Udostępnianie przez witryny WWW

Cechy nowoczesnego podpisu elektronicznego Uwierzytelnianie nadawcy Niezaprzeczalność Integralność Identyfikacja Poufności Oszczędność czasu i kosztów

Zastosowanie podpisu elektronicznego w bankach w Polsce System Pl@net (Fortis Bank) System Sez@m (PBK BPH) System ING/BSK Online (ING Bank Śląski)

Korzyści stosowania podpisu elektronicznego w e-bankingu. Bezpieczeństwo Integralność Wiarygodność Niezaprzeczalność Poufność Oszczędność czasu i kosztów

http://www.certum.pl/pl/dokumentacja/slownik/ E-podpis Internet Centrum Certyfikacji http://www.certum.pl/pl/dokumentacja/slownik/ E-podpis http://www.ipipan.waw.pl/~marians/e-podpis/ Podpis elektroniczny http://www.computerworld.com.pl/flesz/podpiselektroniczny/ INFO

PKI ( Public Key Infrastructure) Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografii z kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości, hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołach kryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumenty tworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdy publikacje ITU-T używają oznaczenia X.509.

Co dają nam technologie PKI? • Poufność przesyłanych danych, • Kontrolę dostępu, • Silną autentykację użytkowników, • Zapewnienie integralności danych, • Niezaprzeczalność dokonywanych transakcji, • Eliminację anonimowości.

Certyfikat PKI - pakiet danych, zawierający klucz publiczny certyfikowanego podmiotu (serwera, osoby), informacje na temat tego ostatniego (nazwa, adres). Certyfikat zawiera także podpis cyfrowy urzędu certyfikującego poświadczający prawdziwość danych oraz autentyczność klucza publicznego.

Czym jest certyfikat? Generowane są klucze użytkownika (szyfrujące, podpisujące), a dalszej obróbce poddawane są tylko ich części publiczne by ostatecznie móc certyfikat przekazywać osobom trzecim. Razem z wybranymi informacjami o użytkowniku/obiekcie (serwer, router, itp.) są one umieszczane np. w pliku, na karcie chipowej, e-tokenie. Z jego zawartości wyliczana jest wartość funkcji skrótu (np. MD5, SHA1). Uzyskana wartość jest następnie szyfrowana kluczem prywatnym Certificate Authority. Obie informacje (dane o użytkowniku/obiekcie i zaszyfrowana wartość skrótu) są scalane i tak uzyskany twór nosi miano certyfikatu.

Tworzenie certyfikatu

Cykl życia certyfiaktu

Man in the middle - atak polegający na przejmowaniu danych przesyłanych pomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzy stronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron. Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technik kryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemu ochrony potwierdzania tożsamości, takiego jak PKI.

Źródła OpenSSL, http://www.openssl.org/ Apache-SSL, http://www.modssl.org/ OpenSSH, http://ww.openssh.com/ Stunnel, http://www.stunnel.org/ RSA Data Security http://www.rsalabs.com/ Public Key Cryptography Standards ITU Telecommunication Standardization Sector, http://info.itu.ch/ITU-T/