Jaroslav Pinkava - prosi nec 2000 Bankovní institut v 1 ELEKTRONICKÝ PODPIS – využití v bankovnictví (jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000) Část III. Normy k problematice el. podpisu. Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o. Norman Czech Republic
38
Embed
Část III. Normy k problematice el. podpisu . Normy v bankovnictví.
ELEKTRONICKÝ PODPIS – využití v bankovnictví (jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000). Část III. Normy k problematice el. podpisu . Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o. Norman Czech Republic. Úvod. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
1
ELEKTRONICKÝ PODPIS –využití v bankovnictví
(jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000)
Část III.Normy k problematice el. podpisu.
Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc.
AEC spol. s r.o. Norman Czech Republic
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
2
Úvod
Nezbytnost používání norem Existuje dnes již rozsáhlý systém norem:
Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik.
http://www.uoou.cz/normy.html
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
3
Členění norem
1) dle cesty, jakým byly tyto normy vydány, tj. fakticky dle vydávající strany.
2) dle jejich konkrétního obsahového zaměření,
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
4
Mezinárodní součinnost
El.podpisy vzniklé v jedné zemi musí být platné i v jiných zemích
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
5
Některé důležitější normy
Normy ETSI a CEN/ESSI navazující na Směrnici EU o el.podpisu
práce skupiny P1363 ISO, ANSI, FIPS NIST, IETF,... Evropa – nejnověji iniciativa NESSIE
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
6
Závěrečná zpráva EESSI
cílem dokumentu je analýza budoucích potřeb v oblasti standardizace na podporu Evropské Směrnice pro elektronický podpis.
Zpracován v červenci 1999
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
7
Závěry dokumentu EESSI
1) převzetí resp. vývoj průmyslových norem by mělo maximálně zmenšit potřebu detailizace zákonů a vyhlášek v dané oblasti;
2) normy jsou nezbytně nutné a všude, kde je to možné, je třeba preferovat odkazy na existující mezinárodní normy před vývojem nových norem;
3) požadavky v oblasti norem jsou dvojího druhu: kvalitativní a procedurální normy týkající se informační bezpečnosti a technické normy vzhledem k interoperabilitě produktů;
4) podepisovací prostředky (produkty), pokud vyhovují požadavkům Direktivy, musí projít příslušným hodnocením (shoda produktu) a certifikací akreditovanou institucí pod EN 45000 (Evropské akreditační schéma);
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
8
Závěry dokumentu EESSI
5) je třeba vytvořit společný referenční bod na základě definice výchozí množiny technologických komponent, který bude tvořit technický rámec pro ověřování kvalifikovaných elektronických podpisů využívajících asymetrickou kryptografii a digitální certifikáty;
6) vzhledem k poskytovatelům certifikačních služeb je třeba použít vhodné bezpečnostní normy:
- obecné zásady v oblasti bezpečnosti (např. BS7799 č. 1 a č. 2), - specifikace bezpečnostních požadavků vzhledem k důvěryhodným
systémům, které tito poskytovatelé používají; první požadavky v této oblasti se týkají především kryptografických modulů (např. FIPS 140-1) a využití rizikové analýzy,
- výchozí certifikační politika pro poskytovatele certifikačních služeb – je doporučováno vyjít z materiálu IETF PKIX – rfc. 2527,
- obdobně pro poskytovatele služeb v oblasti časových razítek je třeba provést specifikaci požadavků vzhledem k jejich politice;
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
9
Závěry dokumentu EESSI
7) vzhledem k produktům sloužícím k vytváření podpisů a jejich ověřování je třeba mít k dispozici následující příslušné normy:
- specifikace bezpečnostních požadavků vzhledem k důvěryhodným hardwarovým zařízením, která jsou použita jako bezpečná zařízení pro vytváření podpisů (FIPS 140-1, Common Criteria – ISO 15408),
- specifikace pro vytváření elektronických podpisů (včetně uživatelova interface) a specifikace produktů a postupů k ověřování podpisů;
8) je nezbytná koordinace jednotlivých aktivit v oblasti norem; 9) z hlediska interoperability jsou nezbytné následující normy: - technické normy pro syntaxi a kódování elektronických podpisů
(včetně vícenásobných podpisů); je doporučováno vyjít z rfc.2315, - operativní protokoly pro řízení PKI (rfc skupiny PKIX), - profily kvalifikovaných certifikátů na bázi X.509.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
10
EESSI SG
EESSI: European Electronic Signature Standardization Initiative
European Telecommunications Standards Institute
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
11
EESSI –Přehled norem
Proces a prostředí pro vytváření podpisů
Proces a prostředí pro ověření podpisů
Formáty a syntaxe podpisů
Zařízení na vytváření podpisů
Požadavky na PCS
Spolehlivý systém
Poskytovatel certifikačních služeb
Uživatel-podpis.strana
Ověřující strana
CEN E-SIGN
ETSI ESI
Kvalifikovaný certifikát
Časové značky
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
12
ETSI
Požadavky na politiku PCS vydávajících kvalifikované certifikáty;
Profil kvalifikovaných certifikátů;
Profil časových značek;
Formáty elektronických podpisů.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
13
Požadavky na politiku PCS vydávajících kvalifikované certifikáty Obsahuje úvodní paragrafy (definice základních
pojmů a jejich souvislosti) – úvod do politiky kvalifikovaných certifikátů Povinnosti a závazky Požadavky pro praktickou činnost PCS
vydávajících kvalifikované certifikáty (např. CPS, životnost klíčů, certifikátů,
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
14
Profily kvalifikovaných certifikátů- norma vychází z draftu skupiny IETF PKIX,
certifikát je označen jako QC buď v identifikátoru politiky či v příslušném QC rozšíření (extension):
• Certifikát je vydáván jako QC• Je omezena hodnota transakce pro kterou je
certifikát vydán• Je definováno období, po které je informace o
registraci certifikátu uchovávána
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
15
Profil časových značek
Jaké algoritmy a s jakými parametry mají být podporovány
V zásadě odkaz na :
draft-ietf-pkix-time-stamp-12.txt
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
16
Formáty elektronických podpisů ETSI TS 101 733
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
17
ES -C
Elect. Signature (ES) Completecertificate
andrevocationreferences
Completecertificate
andrevocation
data
Timestampover CES
Timestampover
Completecert. andrev. refs.
ES-A
Timestampover digitalsignature
Other SignedAttributes
DigitalSignature
SignaturePolicy ID
ArchiveTimestamp
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
18
1 2
Trusted ServiceProvider
Signature PolicyIssuer
3
Validation Process Valid Invalid Validation Incomplete
ES-C
Other SignedAttributes
DigitalSignature
ES-TElect. Signature (ES)
SignaturePolicy ID
SignedUser data
4
Completecertificate
andrevocationreferences
Timestampover digitalsignature
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
19
CEN\ISSS
Bezpečnostní požadavky na důvěryhodné systémy PCS, kteří vydávají kvalifikované certifikáty
Bezpečnostní požadavky na zařízení pro vytváření el. podpisu;
Uživatelský interface a operační prostředí při vytváření elektronického podpisu
Požadavky na verifikaci el. podpisu
Příručka k ověřování shody prostředků pro el. podpis a navazujících služeb
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
20
Non-Public orExtended Policies
Public UsePublic Usewith SSCD
Electronic Signature Electronic Signature
+ Validation DataElectronic Signature
+Val Data +Time stamp
Lower Level Qualified Level Higher Level
Lower Level Qualified Level
EESSI Standard
Qualified Certificate Policy
Electronic SignatureFormat
Qualified Certificate Format
Time-stampingProtocol
Security Requirementsfor Trustworthy Systems
SSCD
Qualified Certificate Profile
Time Stamping Profile
Option Within Standard
Qualified Electronic Signature with Long-term Validity
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
21
Non-Public orExtended Policies Public Use
Public Usewith SSCD
Electronic Signature Electronic Signature
+ Validation DataElectronic Signature
+Val Data +Time stamp
Lower Level Qualified Level Higher Level
Lower Level Qualified Level
EESSI Standard
Qualified Certificate Policy
Electronic SignatureFormat
Qualified Certificate Format
Time-stampingProtocol
Security Requirementsfor Trustworthy Systems
SSCD
Qualified Certificate Profile
Profile from IETF Timestamp Protocol
Option Within Standard
Electronic Signature Using Qualified Certificate
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
22
Non-Public orExtended Policies
Public UsePublic Usewith SSCD
Electronic Signature Electronic Signature
+ Validation DataElectronic Signature
+Val Data +Time stamp
Lower Level Qualified Level Higher Level
Lower Level Qualified Level
EESSI Standard
Qualified Certificate Policy
Electronic SignatureFormat
Qualified Certificate Format
Time-stampingProtocol
Security Requirementsfor Trustworthy Systems
SSCD
Qualified Certificate Profile
Time Stamping Profile
Option Within Standard
Qualified Electronic Signature
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
23
Zdroj
Prezentace György Endersz, Telia Research AB, SwedenChairman ETSI ESI Working Group: European Electronic Signature Standardisation Initiative (Barcelona September 2000)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
24
Odkazy
ETSI:http://www.etsi.org/sec/el-sign.htmSign up from Web-site to open El Sign mailing list
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
32
BIOMETRICS: TR 400 (1996)
Obsahuje tedy v zásadě určitý přehled problematiky (ovšem vývoj v této oblasti je rychlý)
Dále obsahuje určitá základní doporučení k používaná těchto metod (např. pro výběr biom. metody: sociální akceptovatelnost, snadnost manipulace, bezpečnost, náklady)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
33
SECURE BANKING OVER THE INTERNET: TR 401, March 1997
Tento dokument lze rovněž těžko nazvat normou,jeho cílem je spíše provést přehled metod pro zabezepečení dat (na internetu)
- přehled možných útoků, vlastnosti firewallů, protokoly (SSL,S-HTTP, TSL,...), zabezpečení mailů, včlenění finančních dokumentů, el. obchod (SET, Homebanking) a jen velmi stručně k PKI
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
34
CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999).
Vzhledem k úpravám respektujícím současné trendy již první modernější dokument
Obsahově pokrývá oblasti, o kterých bylo v dnešních přednáškách již hovořena. Z hlediska bankovnictví jsou nesporně významná doporučení ECBS na závěr jednotlivých paragrafů
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
35
CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999).
Příloha B obsahuje přehled certifikátů používaných v bankovnictví:
- X 509 certificate
- ISO 11 166 certificate
- UN/EDIFACT SJWG certificate
- EMV certificate- EDI 5/ETEBAC 5 certificate - TELESEC certificate
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
36
Key Recovery in Financial Systems, TR 405
Norma se zabývá problematikou Key Recovery, aktuální v době vydání normy, v současné době se díky legislativám v některých zemích upouští od používaní této metody – i když nemusí to platit všeobecně
(ale např. z našeho hlediska, tj . el.podpisu je uplatňována jednoznačně zásada nepopiratelnosti)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
37
GUIDELINES ON ALGORITHMS USAGE AND
KEY MANAGEMENT, TR 406, Sept. 1999 Průvodce současnými algoritmy: Definice Implementace Key management (celý životní cyklus klíčů) Odvolání (revokace) certifikátů Popis je opět doplněn určitými
doporučeními ECBS
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.