1 / 38

Část III. Normy k problematice el. podpisu . Normy v bankovnictví.

ELEKTRONICKÝ PODPIS – využití v bankovnictví (jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000). Část III. Normy k problematice el. podpisu . Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o.  Norman Czech Republic. Úvod.

cosmo
Download Presentation

Část III. Normy k problematice el. podpisu . Normy v bankovnictví.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. ELEKTRONICKÝ PODPIS –využití v bankovnictví(jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000) Část III. Normy k problematice el. podpisu. Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o. Norman Czech Republic Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  2. Úvod • Nezbytnost používání norem • Existuje dnes již rozsáhlý systém norem: Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik. http://www.uoou.cz/normy.html Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  3. Členění norem • 1) dle cesty, jakým byly tyto normy vydány, tj. fakticky dle vydávající strany. • 2) dle jejich konkrétního obsahového zaměření, Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  4. Mezinárodní součinnost • El.podpisy vzniklé v jedné zemi musí být platné i v jiných zemích • Nezbytnost jednotného přístupu • - digitální podpisy – formáty • - digitální certifikáty Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  5. Některé důležitější normy • Normy ETSI a CEN/ESSI navazující na Směrnici EU o el.podpisu • práce skupiny P1363 • ISO, ANSI, FIPS NIST, IETF,... • Evropa – nejnověji iniciativa NESSIE Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  6. Závěrečná zpráva EESSI • cílem dokumentu je analýza budoucích potřeb v oblasti standardizace na podporu Evropské Směrnice pro elektronický podpis. • Zpracován v červenci 1999 Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  7. Závěry dokumentu EESSI 1)   převzetí resp. vývoj průmyslových norem by mělo maximálně zmenšit potřebu detailizace zákonů a vyhlášek v dané oblasti; 2)   normy jsou nezbytně nutné a všude, kde je to možné, je třeba preferovat odkazy na existující mezinárodní normy před vývojem nových norem; 3)  požadavky v oblasti norem jsou dvojího druhu: kvalitativní a procedurální normy týkající se informační bezpečnosti a technické normy vzhledem k interoperabilitě produktů; 4)  podepisovací prostředky (produkty), pokud vyhovují požadavkům Direktivy, musí projít příslušným hodnocením (shoda produktu) a certifikací akreditovanou institucí pod EN 45000 (Evropské akreditační schéma); Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  8. Závěry dokumentu EESSI 5)  je třeba vytvořit společný referenční bod na základě definice výchozí množiny technologických komponent, který bude tvořit technický rámec pro ověřování kvalifikovaných elektronických podpisů využívajících asymetrickou kryptografii a digitální certifikáty; 6)  vzhledem k poskytovatelům certifikačních služeb je třeba použít vhodné bezpečnostní normy: • -          obecné zásady v oblasti bezpečnosti (např. BS7799 č. 1 a č. 2), • -          specifikace bezpečnostních požadavků vzhledem k důvěryhodným systémům, které tito poskytovatelé používají; první požadavky v této oblasti se týkají především kryptografických modulů (např. FIPS 140-1) a využití rizikové analýzy, • -          výchozí certifikační politika pro poskytovatele certifikačních služeb – je doporučováno vyjít z materiálu IETF PKIX – rfc. 2527, • -          obdobně pro poskytovatele služeb v oblasti časových razítek je třeba provést specifikaci požadavků vzhledem k jejich politice; Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  9. Závěry dokumentu EESSI 7)  vzhledem k produktům sloužícím k vytváření podpisů a jejich ověřování je třeba mít k dispozici následující příslušné normy: • -          specifikace bezpečnostních požadavků vzhledem k důvěryhodným hardwarovým zařízením, která jsou použita jako bezpečná zařízení pro vytváření podpisů (FIPS 140-1, Common Criteria – ISO 15408), • -          specifikace pro vytváření elektronických podpisů (včetně uživatelova interface) a specifikace produktů a postupů k ověřování podpisů; 8)  je nezbytná koordinace jednotlivých aktivit v oblasti norem; 9)  z hlediska interoperability jsou nezbytné následující normy: • -          technické normy pro syntaxi a kódování elektronických podpisů (včetně vícenásobných podpisů); je doporučováno vyjít z rfc.2315, • -          operativní protokoly pro řízení PKI (rfc skupiny PKIX), • -          profily kvalifikovaných certifikátů na bázi X.509. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  10. EESSI SG EESSI: European Electronic Signature Standardization Initiative European Telecommunications Standards Institute Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  11. EESSI –Přehled norem Poskytovatel certifikačních služeb Požadavky na PCS Spolehlivý systém Časové značky Kvalifikovaný certifikát Proces a prostředí pro vytváření podpisů Proces a prostředí pro ověření podpisů Zařízení na vytváření podpisů Formáty a syntaxe podpisů CEN E-SIGN Ověřující strana Uživatel-podpis.strana ETSI ESI Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  12. ETSI • Požadavky na politiku PCS vydávajících kvalifikované certifikáty; • Profil kvalifikovaných certifikátů; • Profil časových značek; • Formáty elektronických podpisů. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  13. Požadavky na politiku PCS vydávajících kvalifikované certifikáty • Obsahuje úvodní paragrafy (definice základních pojmů a jejich souvislosti) – • úvod do politiky kvalifikovaných certifikátů • Povinnosti a závazky • Požadavky pro praktickou činnost PCS vydávajících kvalifikované certifikáty (např. CPS, životnost klíčů, certifikátů, management certifikátů, bezepečnostní aspekty, atd.) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  14. Profily kvalifikovaných certifikátů • norma vychází z draftu skupiny IETF PKIX, certifikát je označen jako QC buď v identifikátoru politiky či v příslušném QC rozšíření (extension): • Certifikát je vydáván jako QC • Je omezena hodnota transakce pro kterou je certifikát vydán • Je definováno období, po které je informace o registraci certifikátu uchovávána Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  15. Profil časových značek • Jaké algoritmy a s jakými parametry mají být podporovány • V zásadě odkaz na : draft-ietf-pkix-time-stamp-12.txt Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  16. Formáty elektronických podpisů • ETSI TS 101 733 Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  17. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  18. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  19. CEN\ISSS • Bezpečnostní požadavky na důvěryhodné systémy PCS, kteří vydávají kvalifikované certifikáty • Bezpečnostní požadavky na zařízení pro vytváření el. podpisu; • Uživatelský interface a operační prostředí při vytváření elektronického podpisu • Požadavky na verifikaci el. podpisu • Příručka k ověřování shody prostředků pro el. podpis a navazujících služeb Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  20. Qualified Electronic Signature with Long-term Validity EESSI Standard Option Within Standard Qualified Certificate Policy Non-Public or Extended Policies Public Use Public Use with SSCD Electronic Signature Format Electronic Signature Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Qualified Certificate Format Qualified Certificate Profile Time-stamping Protocol Time Stamping Profile Security Requirements for Trustworthy Systems Lower Level Qualified Level SSCD Lower Level Qualified Level Higher Level Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  21. Electronic Signature Using Qualified Certificate EESSI Standard Option Within Standard Qualified Certificate Policy Non-Public or Extended Policies Public Use Public Use with SSCD Electronic Signature Format Electronic Signature Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Qualified Certificate Format Qualified Certificate Profile Time-stamping Protocol Profile from IETF Timestamp Protocol Security Requirements for Trustworthy Systems Lower Level Qualified Level SSCD Lower Level Qualified Level Higher Level Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  22. Qualified Electronic Signature EESSI Standard Option Within Standard Qualified Certificate Policy Non-Public or Extended Policies Public Use Public Use with SSCD Electronic Signature Format Electronic Signature Electronic Signature + Validation Data Electronic Signature +Val Data +Time stamp Qualified Certificate Format Qualified Certificate Profile Time-stamping Protocol Time Stamping Profile Security Requirements for Trustworthy Systems Lower Level Qualified Level SSCD Lower Level Qualified Level Higher Level Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  23. Zdroj • Prezentace György Endersz, Telia Research AB, SwedenChairman ETSI ESI Working Group: European Electronic SignatureStandardisation Initiative (Barcelona September 2000) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  24. Odkazy • ETSI: http://www.etsi.org/sec/el-sign.htm Sign up from Web-site to open El Sign mailing list • CEN: http://www.cenorm.be/isss/workshop/e-sign • EESSI: http://www.ict.etsi.org/eessi/EESSI-homepage.htm • ISSE Conference & Workshops: http://www.eema.org/isse Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  25. Nová evropská iniciativa v oblasti kryptografie • NESSIE (New European Schemes for Signature, Integrity, and Encryption) • http://cryptonessie.org Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  26. NESSIE • „Portfolio“ tzv. kryptografických primitivů • Podstatně širší než obdobný projekt AES • Navazuje na již získané výsledky v rámci evropských struktur Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  27. NESSIE • Blokové šifry • Synchronní proudové šifry • Samosynchronizující se proudové šifry • Autentizační kódy zpráv (MAC) • Hashovací funkce rezistantní vůči kolizím • Jednosměrné hashovací funkce • Pseudonáhodné funkce • Asymetrická schémata pro šifrování • Asymetrická schémata pro digitální podpis • Asymetrická schémata pro identifikaci Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  28. NESSIE • dvě bezpečnostní úrovně (normální a vysoká), • Blokové šifry: bloky textu 128 bitů, délky klíčů minimálně 256 bitů (vysoká bezpečnost), resp. minimálně 128 bitů (normální bezpečnost) • v září 2000, mají být odevzdány výchozí návrhy, 1.konference – listopad 2000 Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  29. Normy v bankovnictví - ECBS • European Committee for Banking Standards: BIOMETRICS: TR 400 SECURE BANKING OVER THE INTERNET: TR 401, March 1997 obsahuje obecná bezpečnostní východiska, popis SET, velice stručně úvod k PKI CERTIFICATION AUTHORITIES: TR 402, December 1997 • (update October 1999). Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  30. Normy v bankovnictví - ECBS • European Committee for Banking Standards: Key Recovery in Financial Systems, TR 405, June 1998 východiska ??(v legislativě – příklad postoje Anglie • GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, September 1999 Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  31. BIOMETRICS: TR 400 (1996) 8.1 Physical Biometrics • 8.1.1 Fingerprint verification • 8.1.2 Retina scanning (sken sítnice) • 8.1.3 Iris Scan 6 (sken oční duhovky) • 8.1.4 Facial Recognition • 8.1.5 Hand geometry • 8.1.6 Vein Patterns • 8.2 Behavioural Biometrics • 8.2.1 Voice verification 8 • 8.2.2 Signature dynamics • 8.2.3 Keystroke dynamics • 9. Usage Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  32. BIOMETRICS: TR 400 (1996) • Obsahuje tedy v zásadě určitý přehled problematiky (ovšem vývoj v této oblasti je rychlý) • Dále obsahuje určitá základní doporučení k používaná těchto metod (např. pro výběr biom. metody: sociální akceptovatelnost, snadnost manipulace, bezpečnost, náklady) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  33. SECURE BANKING OVER THE INTERNET: TR 401, March 1997 • Tento dokument lze rovněž těžko nazvat normou,jeho cílem je spíše provést přehled metod pro zabezepečení dat (na internetu) • - přehled možných útoků, vlastnosti firewallů, protokoly (SSL,S-HTTP, TSL,...), zabezpečení mailů, včlenění finančních dokumentů, el. obchod (SET, Homebanking) a jen velmi stručně k PKI Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  34. CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999). • Vzhledem k úpravám respektujícím současné trendy již první modernější dokument • Obsahově pokrývá oblasti, o kterých bylo v dnešních přednáškách již hovořena. Z hlediska bankovnictví jsou nesporně významná doporučení ECBS na závěr jednotlivých paragrafů Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  35. CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999). • Příloha B obsahuje přehled certifikátů používaných v bankovnictví: - X 509 certificate - ISO 11 166 certificate - UN/EDIFACT SJWG certificate - EMV certificate • EDI 5/ETEBAC 5 certificate • TELESEC certificate Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  36. Key Recovery in Financial Systems, TR 405 • Norma se zabývá problematikou Key Recovery, aktuální v době vydání normy, v současné době se díky legislativám v některých zemích upouští od používaní této metody – i když nemusí to platit všeobecně (ale např. z našeho hlediska, tj . el.podpisu je uplatňována jednoznačně zásada nepopiratelnosti) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  37. GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, Sept. 1999 • Průvodce současnými algoritmy: • Definice • Implementace • Key management (celý životní cyklus klíčů) • Odvolání (revokace) certifikátů • Popis je opět doplněn určitými doporučeními ECBS Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  38. Dotazy, upřesnění ? Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

More Related