Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Komputery w finansach Wykład I

Podobne prezentacje


Prezentacja na temat: "Komputery w finansach Wykład I"— Zapis prezentacji:

1 Komputery w finansach Wykład I
Podpis elektroniczny Komputery w finansach Wykład I

2 Podpis elektroniczny - definicja
Dyrektywa UE 1999/93/EC definiuje podpis elektroniczny w następujący sposób: data in electronic form which are attached to or logically associated with other electronic data and which serve as a method of authentication. Podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

3 Podstawowe pojęcia definiowane przez dyrektywę UE 1999/93/EC:
Osoba składająca podpis elektroniczny Dane służące do składania podpisu elektronicznego Dane służące do weryfikacji podpisu elektronicznego Urządzenie służące do składania podpisu elektronicznego Urządzenie służące do weryfikacji podpisu elektronicznego Certyfikat Kwalifikowany certyfikat Podmiot świadczący usługi certyfikacyjne Znakowanie czasem Poświadczenie elektroniczne

4 Ustawa o podpisie elektronicznym z dn. 18.09.2001
Celem uchwalonej przez Sejm w dniu 18 września 2001 r. ustawy o podpisie elektronicznym było stworzenie mechanizmu oraz infrastruktury organizacyjnej, które umożliwią bezpieczne i niezawodne posługiwanie się w Polsce nowoczesnymi elektronicznymi środkami łączności i przetwarzanie informacji na potrzeby czynności prawnych i w działalności gospodarczej.

5 Podpis cyfrowy Podpis cyfrowy (digital signature) ma następujące cechy: jest przyporządkowany wyłącznie do osoby składającej ten podpis, jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

6 Pierwsze sygnatury przy przesyłaniu dokumentów drogą elektroniczną
Komunikacja pomiędzy dowództwem a okrętami podwodnymi USA System polegał na dołączeniu do wiadomości ściśle określonego ciągu znaków, który potwierdzał autentyczność. Do każdej wiadomości przewidziany był inny (kolejny z listy) ciąg znaków.

7 Zalety i wady stosowania sygnatur
Brak możliwości podpisania dokumentu przesyłanego do „nieznanego" odbiorcy Konieczność generowania listy sygnatur dla każdego odbiorcy osobno Błąd w użyciu sygnatury może spowodować lawinowe błędne interpretowanie sygnatur u odbiorcy Konieczność uzgodnienia listy sygnatur pomiędzy nadawcą-odbiorcą w bezpiecznym kanale transmisyjnym Możliwość użycia sygnatury bez użycia jakichkolwiek urządzeń/komputerów itp. Brak możliwości jednoznacznej identyfikacji nadawcy Prosty algorytm do tworzenia i weryfikowania sygnatury WADY ZALETY

8

9

10 Etapy podpisywania wiadomości
1. Tworzymy skrót wiadomości - jest on od niej dużo krótszy. Kodujemy odcisk kluczem prywatnym -uzyskujemy w ten sposób podpis. 3. Podpis dołączamy do listu i wysyłamy go.

11 Szyfrowanie skrótu Klucz prywatny nadawcy Skrót dokumentu Dokument
+ podpis Dokument oryginalny

12 Etapy dekodowania wiadomości
4. Tworzy skrót wiadomości, 5. Deszyfruje podpis kluczem publicznym, 6. Porównuje dwa otrzymane skróty.

13 Podpis Certyfikat nadawcy Klucz publiczny nadawcy
Dokument Obliczamy skrót T Dokument + podpis Zgadza się? Podpis Deszyfrujemy skrót N Certyfikat nadawcy Klucz publiczny nadawcy

14 Algorytm RSA W algorytmie RSA generowanie kluczy publicznego i prywatnego polega na wykorzystaniu funkcji pary dużych liczb pierwszych.

15 Funkcja skrótu jednokierunkowość bezkolizyjność nieprzewidywalność
Algorytmy MD5 (128 bajtów) SHA-1 (160 bajtów) jednokierunkowość bezkolizyjność nieprzewidywalność

16 Przykład wiadomości podpisanej cyfrowo za pomocą pakietu PGP
Wiadomość oryginalna: Wiadomość testowa, do podpisania za pomocą pakietu PGP. Wiadomość podpisana elektronicznie: BEGIN PGP SIGNED MESSAGE Hash: SHA1 Wiadomość testowa, do podpisania za pomocą pakietu PGP. BEGIN PGP SIGNATURE Version: PGPfreeware 6.0.2i iQA/AwUBQGqqPourfDHB+0j+EQJqGgCcDW7Y7gvExqdWwGmMy2i7e1FqRIAoPsX PNQm93UbljFMZIy4ysqNrtrc =1sQp END PGP SIGNATURE

17 Przechowywanie kluczy prywatnych
Pliki binarne - klucz taki jest wówczas szyfrowany metodą symetryczną z wykorzystaniem hasła dostępu. Metoda ta wymaga od użytkownika ochrony własnego klucza, który podczas pracy najczęściej musi znajdować się na dysku komputera. Karty mikroprocesorowe - jest to zdecydowanie najbezpieczniejsza metoda przechowywania klucza. Karta taka sama generuje parę kluczy udostępniając na zewnątrz jedynie klucz publiczny. Klucz prywatny nigdy nie opuszcza karty - operacja szyfrowania danych przeprowadzana jest przez kartę (oprogramowanie wysyła dane do karty i odbiera je w postaci zaszyfrowanej). Dostęp do karty chroniony jest za pomocą kodu PIN. E-token

18 Przechowywanie kluczy publicznych
Centra Autoryzacyjne (CA) – miejsca które rozprowadzają klucze publiczne swoich klientów, potwierdzając ich autentyczność za pomocą własnych podpisów. Dzięki temu każdy zainteresowany weryfikacją autentyczności otrzymanej wiadomości, może bez problemu dokonać tego weryfikując podpis za pomocą klucza udostępnionego przez CA. Udostępnianie przez witryny WWW

19 Cechy nowoczesnego podpisu elektronicznego
Uwierzytelnianie nadawcy Niezaprzeczalność Integralność Identyfikacja Poufności Oszczędność czasu i kosztów

20 Zastosowanie podpisu elektronicznego w bankach w Polsce
System (Fortis Bank) System (PBK BPH) System ING/BSK Online (ING Bank Śląski)

21 Korzyści stosowania podpisu elektronicznego w e-bankingu.
Bezpieczeństwo Integralność Wiarygodność Niezaprzeczalność Poufność Oszczędność czasu i kosztów

22 http://www.certum.pl/pl/dokumentacja/slownik/ E-podpis
Internet Centrum Certyfikacji E-podpis Podpis elektroniczny INFO

23 PKI ( Public Key Infrastructure)
Zbiór standardów ustanawiających środki techniczne do wykorzystania kryptografii z kluczem publicznym (asymetrycznej) na potrzeby potwierdzania tożsamości, hierarchicznego składania podpisów cyfrowych i wymiany kluczy w protokołach kryptograficznych. Standardy PKI noszą różne nazwy, w zależności od autorów: np., dokumenty tworzone przez firmę RSA Data Security są publikowane pod nazwa PKCS, podczas gdy publikacje ITU-T używają oznaczenia X.509.

24 Co dają nam technologie PKI?
• Poufność przesyłanych danych, • Kontrolę dostępu, • Silną autentykację użytkowników, • Zapewnienie integralności danych, • Niezaprzeczalność dokonywanych transakcji, • Eliminację anonimowości.

25 Certyfikat PKI - pakiet danych, zawierający klucz publiczny certyfikowanego podmiotu (serwera, osoby), informacje na temat tego ostatniego (nazwa, adres). Certyfikat zawiera także podpis cyfrowy urzędu certyfikującego poświadczający prawdziwość danych oraz autentyczność klucza publicznego.

26 Czym jest certyfikat? Generowane są klucze użytkownika (szyfrujące, podpisujące), a dalszej obróbce poddawane są tylko ich części publiczne by ostatecznie móc certyfikat przekazywać osobom trzecim. Razem z wybranymi informacjami o użytkowniku/obiekcie (serwer, router, itp.) są one umieszczane np. w pliku, na karcie chipowej, e-tokenie. Z jego zawartości wyliczana jest wartość funkcji skrótu (np. MD5, SHA1). Uzyskana wartość jest następnie szyfrowana kluczem prywatnym Certificate Authority. Obie informacje (dane o użytkowniku/obiekcie i zaszyfrowana wartość skrótu) są scalane i tak uzyskany twór nosi miano certyfikatu.

27 Tworzenie certyfikatu

28 Cykl życia certyfiaktu

29 Man in the middle - atak polegający na przejmowaniu danych przesyłanych pomiędzy klientem a serwerem. Atakujący jest w tym wypadku ulokowany pomiędzy stronami połączenia i działa jako pośrednik, udając tego drugiego przed każdą ze stron. Przed atakiem tym nie da się zabezpieczyć wyłącznie za pomocą technik kryptograficznych - konieczne jest wykorzystanie dodatkowego, zewnętrznego systemu ochrony potwierdzania tożsamości, takiego jak PKI.

30 Źródła OpenSSL, http://www.openssl.org/
Apache-SSL, OpenSSH, Stunnel, RSA Data Security Public Key Cryptography Standards ITU Telecommunication Standardization Sector,


Pobierz ppt "Komputery w finansach Wykład I"

Podobne prezentacje


Reklamy Google