1 / 20

Bezpečnosť a dôveryhodnosť elektronického bankovníctva

Bezpečnosť a dôveryhodnosť elektronického bankovníctva. Ing. Zuzana Rigová KKMI. Elektronické bankovníctvo (EB). (EB) – klasické bankové služby realizované elektronickou formou Kvalitatívne zmeny v bankovom sektore Nárast počtu klientov (PS, FO) Rozvoj IT vs. (EB). Rozdelenie EB.

liza
Download Presentation

Bezpečnosť a dôveryhodnosť elektronického bankovníctva

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnosť a dôveryhodnosť elektronického bankovníctva Ing. Zuzana Rigová KKMI

  2. Elektronické bankovníctvo (EB) • (EB) – klasické bankové služby realizované elektronickou formou • Kvalitatívne zmeny v bankovom sektore • Nárast počtu klientov (PS, FO) • Rozvoj IT vs. (EB)

  3. Rozdelenie EB • Formy vzdialeného prístupu • Platobné karty • Homebanking (HB) • Phonebanking • GSM banking • Internet banking (IB) • Možnosti, ktoré klientom ponúkajú • Pasívne • Aktívne

  4. Otázka bezpečnosti a dôveryhodnosti EK • Spôsob bezpečnej a dôveryhodnej EK • Fyzická ochrana vs. logická • Bezpečnostné funkcie (EK): • Dôvernosť (šifrovanie) • Autentifikácia (heslo, PIN, EP, biometria) • Integrita (digitálny odtlačok) • Neodmietnuteľnosť

  5. Šifrovanie prenášaných údajov • Kryptológia • Kryptografia • Kryptoanalýza • Šifrovanie, šifrovací algoritmus a kľúč • Metódy šifrovania • Symetrické šifrovanie (šifrovanie tajným kľúčom) • Asymetrické šifrovanie (metóda verejného kľúča)

  6. Symetrické šifrovanie (algoritmus DES)

  7. Asymetrické šifrovanie (algoritmus RSA)

  8. Elektronický podpis • Asymetrické šifrovanie (v obrátenom poradí)

  9. Zabezpečený prenos: Kombinácia šifrovania a EP

  10. Integrita prijatej správy • Hash funkcia – hash=digitálny odtlačok správy • Zmena 1 bitu správy = rozdielny hash správy • EP = výpočet digitálneho odtlačku správy a jeho zašifrovanie súkromným kľúčom na podpisovanie

  11. Certifikáty (EC) a Certifikačné autority (CA) • (CA) – inštitúcia, ktorá vystavuje certifikáty používané na identifikáciu majiteľa verejného šifrovacieho kľúča. Svojou funkciou sa podobá na štátneho notára. • (EC)– elektronický dokument podpísaný súkromným kľúčom certifikačnej autority. Obsahuje verejný kľúč majiteľa certifikátu a ďalšie údaje týkajúce sa certifikátu ako aj držiteľa certifikátu – sériové číslo certifikátu, meno majiteľa, typ certifikátu, meno CA, elektronický podpis CA, dobu platnosti certifikátu a prípadne aj nejaké ďalšie údaje. CA svojím podpisom na certifikáte potvrdzuje, že majiteľom verejného kľúča obsiahnutého v certifikáte je skutočne ten, kto je v popise certifikátu uvedený.

  12. Certifikačné služby VUB, a.s. • PKI (Public key infrastructure) • spôsob bezpečnej a dôveryhodnej EK • využitie výhody asymetrického šifrovania, EP a elektronických certifikátov • Informačno komunikačný systém na automatický manažment kľúčov (vydávanie a správa elektronických certifikátov a kľúčov) • Spĺňa všetky podmienky bezpečnosti

  13. Bezpečnosť a autentizácia prenášaných údajov • Šifrovanie (symetrické, asymetrické – prenos súkromného kľúča) • Rôzne úrovne zabezpečenia: • Identifikačné číslo (ID) • PIN • Heslo • Potvrdzovanie transakcií: • Jednorázové heslá • Záložné otázky • SMS autorizácia • Elektronický podpis (EP)

  14. EC a CA VUB a.s. • (EC) - Elektronické potvrdenky (zväzujú elektronický podpis s jeho verejným kľúčom), sú súčasťou každej správy • Potvrdzujú platnosť verejného kľúča držiteľa • Informácie o vlastníkovi, type certifikátu, platnosti • Obsahujú digitálny podpis certifikačnej autority (CA) • Podpisový certifikát + pár kľúčov • Šifrovací certifikát + pár kľúčov

  15. Úložisko EC a kľúčov Úroveň zabezpečenia: • SW – disketa, pevný disk • HW – čipová karta, USB token iKey

  16. Základné pojmy • Asymetrické šifrovanie – používa dva rôzne kľúče – verejný a súkromný (tajný). Súkromný kľúč je známy výlučne vlastníkovi kľúča, verejný kľúč je známy verejnosti. Tento pár kľúčov je komplementárny v tom zmysle, že to, čo sa zašifruje jedným z týchto kľúčov, je možné dešifrovať iba druhým kľúčom z tejto dvojice a naopak. • Autentifikácia – rozpoznanie a jednoznačná identifikácia osoby podpisujúcej určitý dokument. Potvrdenie, že odosielateľ je skutočne tá osoba, za ktorú sa vydáva. • Certifikačná autorita – inštitúcia, ktorá vystavuje certifikáty používané na identifikáciu majiteľa verejného šifrovacieho kľúča. Svojou funkciou sa podobá na štátneho notára. • Certifikát– elektronický dokument podpísaný súkromným kľúčom certifikačnej autority. Obsahuje verejný kľúč majiteľa certifikátu a ďalšie údaje týkajúce sa certifikátu ako aj držiteľa certifikátu – sériové číslo certifikátu, meno majiteľa, typ certifikátu, meno CA, elektronický podpis CA, dobu platnosti certifikátu a prípadne aj nejaké ďalšie údaje. CA svojím podpisom na certifikáte potvrdzuje, že majiteľom verejného kľúča obsiahnutého v certifikáte je skutočne ten, kto je v popise certifikátu uvedený.

  17. Certifikát transakcie – potvrdzuje, že daná transakcia sa naozaj uskutočnila, a tým znemožňuje popretie tejto transakcie v budúcnosti. • Certifikačná politika (CP) - Pomenovaný zoznam pravidiel, ktoré označujú použiteľnosť certifikátu v príslušnej skupine alebo triede aplikácií, zdieľajúcimi spoločné bezpečnostné požiadavky. • Celistvosť certifikátu - Neporušiteľnosť certifikátu. • Časová pečiatka – potvrdenie, že nejaký dokument existoval v danom čase. • Digitálny podpis - Jedinečná digitálna identifikácia entity, ktorá sa využíva na autentifikáciu zdroja, integrity dát a nepopierateľnosť. Digitálny podpis využíva Súkromný kľúč, ktorému korešponduje príslušný Verejný kľúč, matematickú funkciu známu ako „message digest “ a princípy asymetrickej kryptografie. • Elektronický podpis – digitálny odtlačok správy vygenerovaný odosielateľom, sa zašifruje pomocou asymetrického algoritmu šifrovania, pričom odosielateľ digitálny odtlačok zašifruje (podpíše) svojím tajným kľúčom. Výsledkom tohto postupu je elektronický podpis. Niekedy sa (ako synonymum) používa aj pojem „digitálny podpis“.

  18. Digitálna obálka – tajný kľúč pre symetrické šifrovanie (napr. pomocou DES algoritmu) sa zašifruje pomocou RSA algoritmu verejným kľúčom adresáta správy. Najprv sa musí dešifrovať tento tajný kľúč pre symetrické dešifrovanie (pomocou tajného kľúča adresáta pre asymetrické šifrovanie), aby sa potom pomocou tohto kľúča mohol dešifrovať obsah samotnej správy. • Digitálny odtlačok – digitálny odtlačok je súhrn, zhrnutie správy. Digitálny odtlačok je pevnej dĺžky (nezávislej od dĺžky správy) a vypočíta sa pomocou tzv. hash funkcie. • Dôvernosť správy– utajenie obsahu pred nepovolanou osobou. • Súkromný kľúč - Súkromná časť dvojice asymetrických kľúčov. Používa sa na podpisovanie a dešifrovanie správ. • Verejný kľúč - Verejná časť dvojice asymetrických kľúčov. Používa sa na šifrovanie a overovanie správ. • Registračná autorita (RA) - Komponent PKI infraštruktúry, používaný na posúvanie schválených žiadostí o vydanie certifikátu do CA.

  19. Registračné miesto - Priestory, v ktorých sa prijímajú a schvaľujú žiadosti o certifikáty. Registračné miesto obsluhuje registračný operátor. • Integrita správy – skutočnosť, že poslaný dokument sa dostal k adresátovi v nepozmenenej podobe, t.j. že to, čo odosielateľ odoslal, je skutočne to, čo prijímateľ dostal. • Metóda verejného kľúča (anglicky Public Key Infrastructure – PKI) – pozri Asymetrické šifrovanie. • Nepopierateľnosť – nepopierateľnosť znemožňuje podpisujúcemu tvrdiť, že podpis nie je jeho a že to nebol on, kto daný dokument podpísal a odoslal. Odosielateľ nemôže neskôr poprieť, že on poslal daný dokument. • Symetrické šifrovanie – správa sa šifruje aj dešifruje pomocou toho istého kľúča, čiže odosielateľ (na šifrovanie správy) aj prijímateľ (na dešifrovanie správy) používajú ten istý kľúč, ktorý musí byť samozrejme tajný (neprístupný tretej strane).

More Related