500 likes | 603 Views
Az Informatikai biztonság alapjai. Magyar törvények és PKI. ILBK451, 2014/2015. I. félév, ea : Kovács Zita. Bevezetés. a kézzel és géppel írott, illetve nyomtatott dokumentumok kezelése és hitelességének biztosítása régen bekerült a törvénnyel szabályozandó témák közé
E N D
Az Informatikai biztonság alapjai Magyar törvények és PKI ILBK451, 2014/2015. I. félév, ea: Kovács Zita
Bevezetés • a kézzel és géppel írott, illetve nyomtatott dokumentumok kezelése és hitelességének biztosítása régen bekerült a törvénnyel szabályozandó témák közé • életünk során nagyon sok, fontos dokumentum készül rólunk (anyakönyvi kivonat, bizonyítványok, stb) • jogi személyek esetén is, pl alapító okirat, szerződések • az informatika és a szórakoztató elektronika fejlődése következtében elterjedt az adatok tömeges elektronikus rögzítése • ezáltal a dokumentumok fizikai megjelenése alapvetően megváltozott
Bevezetés • sokkal egyszerűbbé és olcsóbbá vált például a hangfelvételek, szoftverek tömeggyártása • ezeket azonban ezáltal könnyű másolni is • a szerzői jog klasszikus szabályozási mechanizmusait alaposan át kellett dolgozni • a polgárok felismerték, hogy az állami szervezetek és magánvállalkozások egyre több adatot gyűjtenek róluk • követhetetlen volt az adatok sorsa, a kialakuló nagy adatbázisok lehetővé tették, hogy bármelyik állampolgár kapcsolatrendszerét, egészségi állapotát, szokásait és anyagi helyzetét feltérképezzék • Erősödött az igény, hogy a személyes adatok gyűjtését és felhasználását törvény szabályozza.
Büntetőjogi rendelkezések A legfontosabb informatikával kapcsolatos büntetőjogi rendelkezéseket három csoportba sorolhatjuk: • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika • Btk. 300/C. ”Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.”
Büntetőjogi rendelkezések • jogosulatlan hozzáférés, számítógépes rendszerek adatainak jogosulatlan bevitelével, módosításával, törlésével kapcsolatos eljárást is tartalmazza az előző paragrafus • Btk. 300/E. a rendszerbe való belépéshez szükséges jelszavak, kódok előállításával, megszerzésével és kereskedésével kapcsolatos bűncselekményeket fejti ki • Bűncselekmények, melyek a szellemi tulajdon tárgyát képező információ ellen irányulnak
Törvények 1. Az adatvédelem és az elektronikus szolgáltatások legmagasabb szintű, jogi szabályozása a törvényekben található. A legfontosabb releváns törvények, kormányrendeletek: • 1992. évi LXIII törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságra hozataláról. • 1995. évi LXV. tv. az államtitokról és a szolgálati titokról. • 1995. évi CXXV. tv. a Nemzetbiztonsági szolgálatokról • 1996. évi LVII. tv. a tisztességtelen piaci magatartás és versenykorlátozás tilalmáról (üzleti titok védelme). • 1996. évi CXII. tv. a hitelintézetekről és pénzügyi vállalkozásokról (banktitok, az értékpapírtitok stb.védelme)
Törvények 2. • 1997. évi CXLV. tv és az ezt módosító 2003. évi LXXXI. tv az elektronikus cégeljárásról és a cégiratok elektronikus úton történő megismeréséről • 1998. évi LXXXV. tv. A Nemzeti Biztonsági Felügyeletekről • 2001. évi XXXV. tv. az elektronikus aláírás (digitális aláírás, Hitelesítési Hatóság CA) jogi szabályozása • 2001. évi CVIII. tv. az elektronikus szolgáltatásokról • 2/2002.(IV. 26.) MeHVM irányelv a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről • 78/2010. sz. Kormányrendelet az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól
Az adatvédelmi törvény • 1992. évi LXIII tv. a személyes adatok védelméről és közérdekű adatok nyilvánosságra hozataláról • fontos és elterjedt (van köznyelvi elnevezése) • A törvény célja annak biztosítása, hogy - néhány kivételtől eltekintve – személyes adataival mindenki maga rendelkezzen és a közérdekű adatokat mindenki megismerhesse. • Hatálya csak a természetes személyek adataira terjed ki. • Informatikai biztonság szempontjából a személyes adatok védelméről szóló passzusok érdekesek, ezekkel foglalkozunk
Az adatvédelmi törvény A törvény definiálja a: • személyes adat • különleges adat • bűnügyi személyes adat • közérdekű adat • közérdekből nyilvános adat fogalmát.
Az adatvédelmi törvény A különleges adatokat tételesen is felsorolja: • faji eredetre • nemzeti és etnikai kisebbséghez tartozásra • politikai véleményre vagy pártállásra • vallásos vagy más világnézeti meggyőződésre • érdekképviseleti tagságra • egészségi állapotra • kóros szenvedélyre • szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat.
Az adatvédelmi törvény A többi esetben csak körülírja a megfelelő fogalmat. A jövedelem és a tulajdon általában személyes adat (közszereplőknél ez nem az). Adatkezelésnek számít az adatokon végrehajtott mindenféle művelet, beleértve azok védelmét is. Személyes vagy különleges adat csak akkor kezelhető, ha ahhoz az érintett hozzájárul (vagy tv., illetve önk. rendelet írja elő). • csak meghatározott célból és csak az elengedhetetlenül szükséges mértékben végezhető • meg kell határozni az időtartamát is (ez lehet határozott vagy cél megvalósulásától függő)
Az adatvédelmi törvény • célját és a rögzített adatok körét közölni kell az érintettel • tájékoztatni kell arról, hogy melyik kötelező és melyik önkéntesen megadható adat • ha nem adja meg a kötelezően megadandó adatokat, akkor közte és az adatkezelő közötti kapcsolat meghiúsul Az adattovábbítás része az adatkezelésnek, vonatkoznak rá az általános rendelkezések. • külföldre továbbítás is előfordulhat (pl ott dolgozunk, stb) (EGT /EU, Izland, Liechtenstein, Norvégia/ országaira az a megítélés vonatkozik, mintha hazánk területén lennénk)
Az adatvédelmi törvény • EGT-n kívüli országokba adat csak akkor továbbítható, ha ahhoz az érintett hozzájárul vagy ott biztosított az átadott adatok megfelelő szintű védelme Az állampolgár bármikor tájékoztatást kérhet a személyes adatai kezeléséről. (pontosság, helyesbítés) Tájékoztatást kell kapnia arról, hogy hová és milyen céllal továbbították az adatait. Ha az adatkezelést nem tv. vagy önkormányzati rendelet írja elő, akkor kérheti adatai törlését is. (a következményeit is viselnie kell)
Az adatvédelmi törvény Az adatkezelés határideje elérkezik, vagy a célja megvalósul, akkor az adatokat meg kell semmisíteni. Ez a tv. hozta létre az adatvédelmi biztosintézményét és rendelkezett az adatvédelmi nyilvántartás szabályairól. Az adatvédelmi biztos • feladata az adatvédelmi törvény és más adatkezeléssel kapcsolatos jogszabályok megtartásának ellenőrzése • figyelemmel kíséri a terület fejlődését és szükség esetén a törvények végrehajtására, esetleg azok módosítására ajánlásokat fogad el
Az adatvédelmi törvény • kezeli az adatvédelmi nyilvántartást, amelybe a személyes adatokat kezelő köteles az adatkezelés megkezdése előtt bejelenteni az adatkezelés legfontosabb adatait • az adatkezelés megkezdése előtt ellenőrizheti az adatkezelés jogalapjának és biztonságos végrehajtása feltételeinek meglétét Az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál; a pénzügyi szervezetnél és a távközlési és közüzemi szolgáltatónál megfelelő végzettséggel rendelkező belső adatvédelmi felelőst kell kinevezni, megbízni. Ezen felül adatvédelmi és adatbiztonsági szabályzatot kell készíteni.
Az elektronikus aláírásról szóló törvény • 2001. május 29-én fogadták el • fontos a dokumentumok hitelesítése • „Az Országgyűlés – felismerve és követve az egyetemes fejlődésnek az információs társadalom felé mutató irányát, az új évezred egyik legfontosabb kihívásának eleget téve – törvényt alkot az elektronikus aláírásról annak érdekében, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetőleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban.”
Törvényi szabályozás Elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat, illetőleg dokumentum
Törvényi szabályozás • Fokozott biztonságú aláírás: elektronikus aláírás, amely megfelel a következő követelményeknek: • Alkalmas az aláíró azonosítására, és egyedülállóan hozzá köthető, • Olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll, • A dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően az iraton, illetve dokumentumon tett - módosítás érzékelhető Megjegyzés: Hitelesítés szolgáltató bocsátotta ki. Az, hogy az aláíró milyen eszközzel hozta létre az aláírást, utólag egyáltalán nem eldönthető.
Törvényi szabályozás • Minősített aláírás: "olyan - fokozott biztonságú - elektronikus aláírás, amely biztonságos aláírás-létrehozó eszközzel készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki" Megjegyzés: A minősített tanúsítványt a hitelesítés szolgáltató eleve az eszközön levő kulcshoz készítette, és így ezt a tényt magában a tanúsítványban is feltüntette.
Törvényi szabályozás • A három elektronikus aláírás csak a bizonyító erejükben és az abból következő alkalmazási körükben különbözik. • bírósági és közigazgatási hatósági eljárásokban az elektronikusan aláírt dokumentumok ugyanúgy használhatóak és ugyanolyan bizonyító erejűek, mint a hagyományosak (kivéve anyakönyvi kivonat) • (fokozott biztonságú – tanúk előtt, minősített – közjegyző hitelesíti)
Törvényi szabályozás • az elektronikus aláírás nem kötelező (kivéve jogi személyek által elektronikusan benyújtandó adóbevallásánál) • jelenleg biztonságos aláírás csak aszimmetrikus titkosító algoritmusokkal készíthető, a törvény ezt nyitva hagyja: • aláírás-ellenőrző adatról és aláírás-létrehozó adatról szól
Törvényi szabályozás • a szükséges kulcspár nyilvános felét a hitelesítés szolgáltatónál kell elhelyezni, a másik felét pedig az aláírónál • a hitelesítés szolgáltató igazolja, hogy az aláírás ellenőrző kulcs egy bizonyos jogi vagy természetes személy tulajdona • az aláírás minősítése a hitelesítés szolgáltató minősítésétől jelentősen függ • a hitelesítés szolgáltató jogot szerezhet további szolgáltatásokra (időbélyegzés, elektronikus archiválás, aláíró kulcspár generálása és a privát kulcs elhelyezése az aláírást létrehozó eszközön)
Törvényi szabályozás • az EGT valamely tagországában bejegyzett székhelyű hitelesítés szolgáltató által kibocsátott tanúsítvány egyenértékű a hazai kibocsátású tanúsítvánnyal • részletesen szabályozza a hitelesítés szolgáltatási tevékenység indításának és működésének feltételeit • a szolgáltatás megkezdését be kell jelenteni a felügyelő hatóságnak • a bejelentéshez csatolni kell a szolgáltatási szabályzatot, valamint az általános szerződési feltételeket
Törvényi szabályozás • hiteles okirat másolatával kell bizonyítani a kérelmező és alkalmazottai büntetlen előéletét és szakképzettségét • felelősségbiztosítással és megfelelő pénzügyi háttérrel kell rendelkeznie • a hitelesítés szolgáltatás tehát szakképesítéshez kötött, bizalmi tevékenység, amelyet csak a megfelelő financiális erőforrással rendelkező szervezet folytathat • ezt az állapotot működése során mindvégig fenn kell tartania • ha az aláírás nem elég biztonságos, a szolgáltatónak kell fizetnie a károkat
Törvényi szabályozás • a szolgáltató a szerződés megkötése előtt köteles tájékoztatni az igénybe vevőt • a szolgáltatás felhasználási módjáról • biztonsági fokáról • szerződés feltételeiről • minősített tanúsítvány esetén meghatározhatja a felhasználás földrajzi korlátait és az egy aláírással vállalható kötelezettség felső határát • a hitelesítés szolgáltatás hosszú távú tevékenység
Törvényi szabályozás • az aláírást dokumentumok egy részére szükség lehet jóval az aláírás után is • a digitális aláírás a tanúsítvánnyal együtt érvényes • biztosítani kell a tanúsítvány archiválását • legalább 10 évig a lejárta után, illetve a felmerült jogvita lezárásáig
Törvényi szabályozás • a hitelesítés szolgáltató a törvény erejénél fogva jogosult a szolgáltatást igénybe vevő releváns adatait kezelni • ellenőriznie kell az ügyfél személyazonosságát és az azonosítókat nyilván kell tartania • más célra nem használhatja fel, harmadik félnek nem adhatja tovább (az ügyfél beleegyezése nélkül), kivéve bűncselekmény esetén
Törvényi szabályozás • a hitelesítés szolgáltató életciklusa: megalapítástól megszűnésig • a megszűnésről legalább 60 nappal előtte tájékoztatni kell a vele szerződésben állókat, illetve a felügyelő hatóságot • a bejelentés után már nem adhat ki új tanúsítványt • a megszűnés előtt 20 nappal vissza kell vonnia az összes érvényes tanúsítványt • a nyilvántartásait és az archivált tanúsítványokat át kell adnia egy vele azonos besorolású hitelesítés szolgáltatónak (amiről értesíteni kell a felügyelő hatóságot) • a törvényben szabályozzák, hogy mi a teendő akkor, ha ennek nem tesz eleget, oly módon, hogy az ügyfeleknek a lehető legkevesebb kára keletkezzen
Törvényi szabályozás • a hitelesítés szolgáltató elhelyezheti az aláírás létrehozó eszközön az aláírást létrehozó adatot • ekkor gondoskodnia kell az aláírást létrehozó kulcs titkosságáról és az aláírást ellenőrző adat sértetlenségéről • a privát kulcsot a szolgáltatás során olyan módon kell kezelnie, hogy ne legyen visszafejthető, utána pedig meg kell semmisítenie (nem marad meg a szolgáltatónál az aláíró kulcs) • ha az ügyfél kulcsa elvész vagy megsemmisül, új kulcspárt kell kérnie
Nyilvános Kulcs Infrastruktúra Public Key Infrastructure (PKI) Nyilvános Kulcs Infrastruktúra azon hardver, szoftver, emberi erőforrások, szabályzatok, eljárások összessége, melyek szükségesek tanúsítványok létrehozására, kezelésére, terjesztésére, használatára, tárolására és visszavonására.
PKI Tanúsítványtár Hitelesítő hivatal Regisztráló szervezet From Wikipedia, the free encyclopedia
A PKI szolgáltatók felépítése • Hitelesítő hivatal – CA (certificationauthority) feladatai: • Tanúsítványkérések fogadása. • Kulcspárok generálása a különböző implementációk esetén. • A nyilvános kulcsú tanúsítványok kiállítása. • A kiadott tanúsítványok közzététele a nyilvános tanúsítványtárban. • Korábban kiadott tanúsítványok és szükség esetén kulcspárok megújítása. • Tanúsítványok visszavonása. • A visszavont tanúsítványok listájának közzététele (publikálása) a tanúsítványtárban.
CA jellemzői • A CA védelme (fizikai, logikai) alapvető fontosságú. • Egy CA kiadhat tanúsítványt felhasználók vagy más tanúsítványkiadók részére (akár mindkettő). • Felhasználó tanúsítványok esetén szavatolja, hogy a tanúsítványban szereplő publikus kulcshoz tartozó privát kulcs a tanúsítványban szereplő entitás birtokában van. Egyéb információk (pl elérhetőség, eljárásrend, felhasználhatósággal kapcsolatos infók) feltüntetésével, azok helyességét is szavatolja.
CA jellemzői • Ha a tanúsítványt egy másik CA részére állította ki, akkor aláírásával szavatol minden, az adott CA által kiállított tanúsítványért. • A CA minden tanúsítványban elhelyezi saját nevét és aláírja azt, ezáltal, ha a CA megbízható, akkor a tanúsítvány is. • A CA titkos kulcsa az alapja az összes általa aláírt tanúsítványba vetett bizalomnak, ezért a CA legfontosabb feladata a saját titkos kulcsának védelme.
A PKI szolgáltatók felépítése • Regisztrációs hivatal (RA – registrationauthority) feladata: • Az ügyfelek megbízható azonosítása. • A tanúsítványkérés összeállítása és továbbítása. • Tanúsítvány visszavonási kérések fogadása.
A PKI szolgáltatók felépítése • Tanúsítványtár • Speciális adatbázis, amely tartalmazza • a CA által kibocsátott tanúsítványokat, • a visszavont tanúsítványok listáját, • egyéb, a tanúsítványra vonatkozó adatokat. • Feladata: bármely tanúsítvány állapotáról valós időben információt szolgáltasson. • Szolgáltatásai: • Biztosítja az ügyfeleket egy adott tanúsítvány hitelességéről. • Biztosítja az ügyfeleket egy adott tanúsítvány érvényességéről.
A tanúsítványok életciklusa • A tanúsítvány kiadása. • A tanúsítvány használata. • A tanúsítvány visszavonása.
A tanúsítványok kiadásának lépései • 1. lépés: • az ügyfél kulcspárt generál • a privát kulcsot biztonságba helyezi • a nyilvános kulccsal az RA-nál, a személyazonosságának bizonyítása után elkészítteti a megfelelő tanúsítványtípushoz tartozó kérvényt • ezt a lépést gyakran szolgáltató RA végzi el • fokozott biztonságú tanúsítványok esetében a kulcspár generálása teljes egészében a biztonságos eszközön történik
A tanúsítványok kiadásának lépései • 2. lépés: • az RA elvégzi a személyazonosság ellenőrzésére az igényelt tanúsítványhoz tartozó biztonsági szint eljárásrendjében szereplő lépéseket • magánszemély esetén ez általában arcképes igazolvány, esetleg személyes kérdés megválaszolása • intézmények esetén többnyire cégbejegyzés, aláírási címpéldány, illetve egyéb hivatalos dokumentumok • ezt a lépést dokumentálni kell
A tanúsítványok kiadásának lépései • 3. lépés: • sikeres azonosítás esetén az RA az ügyfél nyilvános kulcsából, valamint a tanúsítvány kiadásához szükséges egyéb adatokból szabványos elektronikus tanúsítványkérő dokumentumot állít elő, digitális aláírásával igazolja, majd továbbküldi a CA-nak
A tanúsítványok kiadásának lépései • 4. lépés: • A CA ellenőrzi a beérkező tanúsítványkérés digitális aláírását. • 5. lépés: • A CA elkészíti a kért tanúsítványt és közzéteszi a nyilvános tanúsítványtárban.
A tanúsítvány használata • A tanúsítványok szerepe: egy adott személy, szervezet vagy szerver és egy publikus kulcs közötti kapcsolat igazolása. • Az alkalmazás működése közben olyan pontra ér, ahol valamelyik fél publikus kulcsára van szükség. (pl digitális aláírás, aszimmetrikus titkosítás, azonosítás) • Az alkalmazás ekkor valamely szabvány segítségével elkéri a szolgáltató tanúsítványtárából a tanúsítványt. Ellenőrzi a rajta lévő aláírást. Ha az nem hiteles, vagy a tanúsítvány érvénytelen, akkor az alkalmazás megakad, biztonsági intézkedés következik.
A tanúsítvány használata • Amennyiben a tanúsítvány hiteles és érvényes, az alkalmazás eldönti, hogy a kiállító hitelesítő szervezet megbízható-e vagy sem. A legtöbb PKI-t használó szoftver rendelkezik egy beépített listával a megbízhatónak megítélt hitelesítő szervezetekről. Ha a szolgáltató nincs benne ebben a listában, akkor az alkalmazás a hitelességszolgáltató aláíró tanúsítványának kiállítójához fordul. • Az alkalmazás mindaddig ismétli a 2. és a 3. lépéseket, amíg megbízható hitelességszolgáltatóhoz nem jut, vagy pedig óvintézkedésekre nem kerül sor.
A tanúsítvány visszavonása • mindenképpen visszavonásra kerülnek érvényességi idejük lejártakor • előtte a felhasználó is kezdeményezheti • például kompromittálódott, elveszett, megsérült a tanúsítványhoz tartozó privát kulcs
A tanúsítvány visszavonásának lépései • az ügyfél felismeri, hogy a privát kulcs sérült, esetleg kompromittálódott, elveszett • értesíti az RA-t • az RA ellenőrzi az ügyfél személyazonosságát, majd a tanúsítvány visszavonását kéri a CA-nál • a CA visszavonja a tanúsítványt, a művelet eredményét közzéteszi a tanúsítványtárban
A tanúsítvány visszavonása • Ha az érvényességi idő járt le és a CA úgy dönt, hogy a kulcs további használata biztonságos, akkor meghosszabbíthatja az érvényességi időt. • Ellenkező esetben a CA kezdeményezi a tanúsítvány visszavonását és a felhasználó új kulcspár generálását követően új tanúsítványért folyamodik.
A tanúsítvány visszavonásának lépései a CA kezdeményezésére • CA észreveszi, hogy az egyik kulcspárnak hamarosan lejár az érvényessége és jelzi az RA-nak • az RA értesíti az ügyfelet és felajánlja egy új kulcs elkészítésének lehetőségét vagy a kulcspár megújítását • a CA elkészíti az új kulcspárt, a régieket pedig visszavonja. Megújítás esetén bejegyzi a kulcsok mellé az új lejárati időket. • a CA értesíti az RA-t a művelet sikeres végrehajtásáról, és szükség esetén elküldi neki az új kulcsot • az RA továbbküldi az értesítőt, vagy szükség esetén az új titkos kulcsot az ügyfélnek
A tanúsítvány felépítése - szabványosítva • Verzió • Sorozatszám • Aláírási algoritmus • Aláírás-kivonatoló algoritmus • Kiállító • Érvényesség kezdete • Érvényesség vége • Tulajdonos • Nyilvános kulcs • Ujjlenyomat-algoritmus • Ujjlenyomat
Hierarchia alapú hitelesítés Kereszthitelesítés http://msdn.microsoft.com
Tanúsítványok visszavonása Visszavonási lista (CertificateRevocation List): A hitelesítés szolgáltató által kiadott tanúsítványok közül az - adott időpontban - visszavont tanúsítványokat tartalmazó, aláírt lista. • A szolgáltató előre meghatározott időközönként hozza nyilvánosságra . • A szolgáltató eseményvezérelten bocsát ki, azaz minden esetben, amikor változik egy általa kibocsátott tanúsítvány állapota új listát bocsát ki.