Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Komputery w finansach Wykład I
Podpis elektroniczny Komputery w finansach Wykład I
2
Podpis elektroniczny - definicja
Dyrektywa UE 1999/93/EC definiuje podpis elektroniczny w następujący sposób: data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication. Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
3
Podstawowe pojęcia definiowane przez dyrektywę UE 1999/93/EC:
Osoba składająca podpis elektroniczny Dane służące do składania podpisu elektronicznego Dane służące do weryfikacji podpisu elektronicznego Urządzenie służące do składania podpisu elektronicznego Urządzenie służące do weryfikacji podpisu elektronicznego Certyfikat Kwalifikowany certyfikat Podmiot świadczący usługi certyfikacyjne Znakowanie czasem Poświadczenie elektroniczne
4
Ustawa o podpisie elektronicznym z dn. 18.09.2001
Celem uchwalonej przez Sejm w dniu 18 września 2001 r. ustawy o podpisie elektronicznym było stworzenie mechanizmu oraz infrastruktury organizacyjnej, które umożliwią bezpieczne i niezawodne posługiwanie się w Polsce nowoczesnymi elektronicznymi środkami łączności i przetwarzanie informacji na potrzeby czynności prawnych i w działalności gospodarczej.
5
Podpis cyfrowy Podpis cyfrowy (digital signature) ma następujące cechy: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
6
Pierwsze sygnatury przy przesyłaniu dokumentów drogą elektroniczną
Komunikacja pomiędzy dowództwem a okrętami podwodnymi USA System polegał na dołączeniu do wiadomości ściśle określonego ciągu znaków, który potwierdzał autentyczność. Do każdej wiadomości przewidziany był inny (kolejny z listy) ciąg znaków.
7
Zalety i wady stosowania sygnatur
Brak możliwości podpisania dokumentu przesyłanego do „nieznanego" odbiorcy Konieczność generowania listy sygnatur dla każdego odbiorcy osobno Błąd w użyciu sygnatury może spowodować lawinowe błędne interpretowanie sygnatur u odbiorcy Konieczność uzgodnienia listy sygnatur pomiędzy nadawcą-odbiorcą w bezpiecznym kanale transmisyjnym Możliwość użycia sygnatury bez użycia jakichkolwiek urządzeń/komputerów itp. Brak możliwości jednoznacznej identyfikacji nadawcy Prosty algorytm do tworzenia i weryfikowania sygnatury WADY ZALETY
10
Etapy podpisywania wiadomości
1. Tworzymy skrót wiadomości - jest on od niej dużo krótszy. Kodujemy odcisk kluczem prywatnym -uzyskujemy w ten sposób podpis. 3. Podpis dołączamy do listu i wysyłamy go.
11
Szyfrowanie skrótu Klucz prywatny nadawcy Skrót dokumentu Dokument
+ podpis Dokument oryginalny
12
Etapy dekodowania wiadomości
4. Tworzy skrót wiadomości, 5. Deszyfruje podpis kluczem publicznym, 6. Porównuje dwa otrzymane skróty.
13
Podpis Certyfikat nadawcy Klucz publiczny nadawcy
Dokument Obliczamy skrót T Dokument + podpis Zgadza się? Podpis Deszyfrujemy skrót N Certyfikat nadawcy Klucz publiczny nadawcy
14
Algorytm RSA W algorytmie RSA generowanie kluczy publicznego i prywatnego polega na wykorzystaniu funkcji pary dużych liczb pierwszych.
15
Funkcja skrótu jednokierunkowość bezkolizyjność nieprzewidywalność
Algorytmy MD5 (128 bajtów) SHA-1 (160 bajtów) jednokierunkowość bezkolizyjność nieprzewidywalność
16
Przykład wiadomości podpisanej cyfrowo za pomocą pakietu PGP
Wiadomość oryginalna: Wiadomość testowa, do podpisania za pomocą pakietu PGP. Wiadomość podpisana elektronicznie: BEGIN PGP SIGNED MESSAGE Hash: SHA1 Wiadomość testowa, do podpisania za pomocą pakietu PGP. BEGIN PGP SIGNATURE Version: PGPfreeware 6.0.2i iQA/AwUBQGqqPourfDHB+0j+EQJqGgCcDW7Y7gvExqdWwGmMy2i7e1FqRIAoPsX PNQm93UbljFMZIy4ysqNrtrc =1sQp END PGP SIGNATURE
17
Przechowywanie kluczy prywatnych
Pliki binarne - klucz taki jest wówczas szyfrowany metodą symetryczną z wykorzystaniem hasła dostępu. Metoda ta wymaga od użytkownika ochrony własnego klucza, który podczas pracy najczęściej musi znajdować się na dysku komputera. Karty mikroprocesorowe - jest to zdecydowanie najbezpieczniejsza metoda przechowywania klucza. Karta taka sama generuje parę kluczy udostępniając na zewnątrz jedynie klucz publiczny. Klucz prywatny nigdy nie opuszcza karty - operacja szyfrowania danych przeprowadzana jest przez kartę (oprogramowanie wysyła dane do karty i odbiera je w postaci zaszyfrowanej). Dostęp do karty chroniony jest za pomocą kodu PIN. E-token
18
Przechowywanie kluczy publicznych
Centra Autoryzacyjne (CA) – miejsca które rozprowadzają klucze publiczne swoich klientów, potwierdzając ich autentyczność za pomocą własnych podpisów. Dzięki temu każdy zainteresowany weryfikacją autentyczności otrzymanej wiadomości, może bez problemu dokonać tego weryfikując podpis za pomocą klucza udostępnionego przez CA. Udostępnianie przez witryny WWW
19
Cechy nowoczesnego podpisu elektronicznego
Uwierzytelnianie nadawcy Niezaprzeczalność Integralność Identyfikacja Poufności Oszczędność czasu i kosztów
20
Zastosowanie podpisu elektronicznego w bankach w Polsce
System (Fortis Bank) System (PBK BPH) System ING/BSK Online (ING Bank Śląski)
21
Korzyści stosowania podpisu elektronicznego w e-bankingu.
Bezpieczeństwo Integralność Wiarygodność Niezaprzeczalność Poufność Oszczędność czasu i kosztów
22
http://www.certum.pl/pl/dokumentacja/slownik/ E-podpis
Internet Centrum Certyfikacji E-podpis Podpis elektroniczny INFO
23
PKI ( Public Key Infrastructure)
Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografii z kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości, hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołach kryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumenty tworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdy publikacje ITU-T używają oznaczenia X.509.
24
Co dają nam technologie PKI?
• Poufność przesyłanych danych, • Kontrolę dostępu, • Silną autentykację użytkowników, • Zapewnienie integralności danych, • Niezaprzeczalność dokonywanych transakcji, • Eliminację anonimowości.
25
Certyfikat PKI - pakiet danych, zawierający klucz publiczny certyfikowanego podmiotu (serwera, osoby), informacje na temat tego ostatniego (nazwa, adres). Certyfikat zawiera także podpis cyfrowy urzędu certyfikującego poświadczający prawdziwość danych oraz autentyczność klucza publicznego.
26
Czym jest certyfikat? Generowane są klucze użytkownika (szyfrujące, podpisujące), a dalszej obróbce poddawane są tylko ich części publiczne by ostatecznie móc certyfikat przekazywać osobom trzecim. Razem z wybranymi informacjami o użytkowniku/obiekcie (serwer, router, itp.) są one umieszczane np. w pliku, na karcie chipowej, e-tokenie. Z jego zawartości wyliczana jest wartość funkcji skrótu (np. MD5, SHA1). Uzyskana wartość jest następnie szyfrowana kluczem prywatnym Certificate Authority. Obie informacje (dane o użytkowniku/obiekcie i zaszyfrowana wartość skrótu) są scalane i tak uzyskany twór nosi miano certyfikatu.
27
Tworzenie certyfikatu
28
Cykl życia certyfiaktu
29
Man in the middle - atak polegający na przejmowaniu danych przesyłanych pomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzy stronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron. Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technik kryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemu ochrony potwierdzania tożsamości, takiego jak PKI.
30
Źródła OpenSSL, http://www.openssl.org/
Apache-SSL, OpenSSH, Stunnel, RSA Data Security Public Key Cryptography Standards ITU Telecommunication Standardization Sector,
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.