Perceptus IT Security Academy – wyklad 18.11.2015
Transkrypt
Perceptus IT Security Academy – wyklad 18.11.2015
Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Perceptus IT Security Academy Bartosz Witkowski Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Podstawy infrastruktury PKI Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Agenda Podstawy infrastruktury PKI 1 2 3 4 17.00 17.30 18.00 18.15 Infrastruktura PKI Przerwa Podstawy kryptografii Symetryczna i asymetryczna, szyfrowanie, funkcje skrótu, algorytmy i ich parametry Certyfikaty, budowa centrum certyfikacji, podpis elektroniczny i jego weryfikacja Rozejście się po salach ćwiczeniowych Warsztaty praktyczne Praktyczne uwagi z wdrażania PKI, rozpoznanie przykładowych narzędzi, stosowanie PKI w biurowych pakietach. 5 19.30 Podsumowanie Podsumowanie zagadnień, omówienie zadań na nadchodzący miesiąc Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o rozwiązanie Rozwijamy infrastrukturę techniczną i Specjalizujemy się w obszarze projektowania i zapewniamy stały dostęp do NEXUS PKI najnowocześniejszych rozwiązań. O firmie Koordynujemy proces przygotowania i wdrożenia rozwiązań dopasowując nasze rozwiązania do wymagań finansowych i organizacyjnych naszych klientów. Zapewniamy wysoki poziom świadczonych usług integratorskich. wdrażania systemów bezpieczeństwa oraz przetwarzania danych dla sektora bankowego, firm ubezpieczeniowych, jednostek samorządu terytorialnego, resortu sprawiedliwości i rynku przetwarzania danych medycznych w formie cyfrowej. www.perceptus.pl | akademia.perceptus.pl 4 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Meet The Team TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT dr. inż. Remigiusz Wiśniewski PERCEPTUS Jacek Starościc Organizator Akademii z ramienia PERCEPTUS Opiekun Akademii na uczelni UZ Bartosz Witkowski UZ/PERCEPTUS Przemysław Sobczyk Bezpieczeństwo PKI PERCEPTUS Ambasador Akademii wśród studentów www.perceptus.pl | akademia.perceptus.pl 5 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI WPROWADZENIE Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI 4000 lat temu Historia TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Analiza częstotliwości Niektóre litery są częstsze niż inne. W języku angielskim, litery E, T, A, O, N, S, R są najczęstsze. Liczenie najczęściej zaszyfrowanych znaków i mapowanie ich do statystyki alfabetu. To łamie szyfr Cezara. Japońska Purple machine: złamana przez Amerykanów 2000 lat temu Pierwsze wzmianki o szyfrowaniu Szyfr Cezara Niemiecka Engima: zlamana przez Marian Rejewskiego i Alana Turinga XVII i XIX Ulepszenia ~XVI w WW II Maszyny szyfrujące To jest prosty szyfr zamienny gdzie każda litera jest zastępowana inną: Zwiększenie wykorzystania szyfrów powodowały zwłaszcza potrzeby dyplomacji jak i wojny na przestrzeni wieków ABCDEFGHIJKLMNOPQRSTUVWXYZÅÄÖABCDEFGHIJKLMNOPQRSTUVWXYZÅÄÖ DEFGHIJKLMNOPQRSTUVWXYZÅÄÖABCDEFGHIJKLMNOPQRSTUVWXYZÅÄÖABC www.perceptus.pl | akademia.perceptus.pl 7 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Historia TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT RSA AES Algorytm RSA opublikowano w 1978 (Ron Rivest, Shamir, Adleman) Advanced Encryption Standard (AES) zamiennik DES w 2001 1976 1980-90 Update 2001 1978 Public key cryptography ECC została opisana przez Whitfield Diffie i Martina Hellman Kryptografia oparta o krzywe eliptyczne (ECC) rozwijana w latach 1980-1990 www.perceptus.pl | akademia.perceptus.pl 2016 8 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Szyfrowanie TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT 1 klucz 2 wiadomość 1 klucz 2 szyfrogram www.perceptus.pl | akademia.perceptus.pl szyfrogram wiadomość 9 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Szyfrowanie TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT szyfrowanie/deszyfrowanie Algorytm Klucz symetryczny - algorytm - klucz Zazwyczaj algorytm jest jawny i poddawany analizie. Klucz musi być utajniony! Odszyfrowanie jest lustrzanym procesem szyfrowania www.perceptus.pl | akademia.perceptus.pl Bardzo wydajny, używany do masowego kodowania . 10 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Szyfrowanie symetryczne TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Algorytmy Przykłady: DES, 3-DES, RC2, RC4, IDEA, SAFER, FEAL, Skipjack, Blowfish, AES (Rijndael) etc.. Używają stałej wielkości klucza: DES: 56 bit, RC2/RC4: 128 bit.. 3 Bezpieczeństwo 2 1 Mogą być złamane metodą brute force polegającą na próbie testowania wszystkich możliwych kluczy, lub w oparciu o różne krypto-analizy. 70 bitowy klucz : 1180591620717411303424 traktowany jest za bezpieczny. Zalety Często bardzo szybki i łatwy do zaimplementowania w sprzęcie i oprogramowaniu Wysoka wydajność! Wady Wrażliwa dystrybucja klucza! Szczególnie gdy klucz musi być bezpiecznie rozdystrybuowany do n użytkowników. Złożoność n!. www.perceptus.pl | akademia.perceptus.pl 11 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Szyfrowanie asymetryczne TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT 1 klucz 2 wiadomość 1 klucz 2 szyfrogram www.perceptus.pl | akademia.perceptus.pl szyfrogram wiadomość 12 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Szyfrowanie asymetryczne TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Algorytmy Przykłady: najczęściej RSA, ale znane: Diffie-Hellmana, ElGamal, Rabina, ECC 3 Bezpieczeństwo Koncepcja pary kluczy: Różne klucze do szyfrowania odkodowania Główny cel: Rozwiązać problem dystrybucji klucza 2 1 i Zalety Dystrybucja kluczy nie jest tajna! Możliwość niezaprzeczalności! 2n klucze asymetryczne muszą być rozłożone w społeczności n ludzi Wady Niska wydajność! DES jest 100 razy szybszy niż RSA w oprogramowaniu i 1000 razy szybszy w sprzęcie. www.perceptus.pl | akademia.perceptus.pl 13 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Key Pair Każdy użytkownik ma unikalną parę, prywatny i publiczny . Asymetryczna para kluczy TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Bezpieczeństwo klucz prywatny powinien być dostępny jedynie dla właściciela . Dystrybucja klucz publiczny dostępny dla wszystkich www.perceptus.pl | akademia.perceptus.pl Szyfrowanie Klucz publiczny zamierzonego odbiorcy jest używany do szyfrowania 14 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie Tajny NEXUS PKI Ochrona kluczy TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Ogólnie dostępne Autentyczne Jedna kopia Certyfikaty Ściśle chronione PRYWATNE PUBLICZNE www.perceptus.pl | akademia.perceptus.pl 15 Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o rozwiązanie Funkcje Odcisk Przykłady funkcji skrótu SHA-1, SHAFunkcje skrótu są wykorzystywane do tworzenia NEXUS PKI 256, MD2, MD5, RIPEMD etc "odcisku palca" w dokumencie danych, gdzie Funkcje skrótu nawet najmniejsza zmiana w dokumencie wywołuje zupełnie inny "odcisk palca„ Podpisy Jednokierunkowe Funkcje skrótu są wykorzystywane podczas tworzenia podpisów cyfrowych. Funkcje skrótu są funkcjami jednokierunkowymi www.perceptus.pl | akademia.perceptus.pl 16 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Budowa certyfikatu i powiązanie z kluczami 1 TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT 2 Po co certyfikat Po co dla klucza publicznego certyfikat? Przykład ”maskowanego ataku”: Klucze Haker tworzy parę kluczy RSA Wniosek do banku 4 Wysyła klucz publiczny do banku i twierdzi, że jest bogatym klientem 3 Wydanie poufnych danych Bank szyfruje kody do konta klienta z kluczem publicznym i wysyła wynik do hakera Po ataku… Haker odszyfrowuje kody i może opróżnić konto Skąd mam wiedzieć, że klucz publiczny należy do właściwej osoby ?? !! Oto jest pytanie. www.perceptus.pl | akademia.perceptus.pl 17 Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o Cyfrowy certyfikat jest znormalizowanym rozwiązanie Wystawca gwarantuje treść certyfikatu i sposobem aby powiązać klucz publiczny do blokuje certyfikat przed jego manipulacją tożsamości NEXUS PKI Cyfrowy certyfikat Pojęcie certyfikatu cyfrowego po raz pierwszy opisane zostało przez Loren Kohnfeldera w jego pracy licencjackiej w MIT w 1978 roku Wystawca wiąże tożsamości do klucza publicznego przez zastosowanie podpisu cyfrowego Certyfikat jest wystawiany przez urząd certyfikacji (CA) Certyfikat jest publiczny i nie zawiera tajnych informacji www.perceptus.pl | akademia.perceptus.pl 18 Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o Klucze wystawców muszą być szczególnie Przez zastosowanie klucza publicznego rozwiązanie bezpiecznie przechowywane. wystawcy podpisu, certyfikat może zostać zweryfikowany. NEXUS PKI Zaufane certyfikaty Po sprawdzeniu podpisu certyfikatu, klucz publiczny może być używany do weryfikacji uwierzytelniania lub podpisu cyfrowego Jeżeli emitentem jest podrzędny urząd certyfikacji to jego świadectwo ma być weryfikowane. (i tak dalej, aż do osiągnięcia zaufanego Root CA) Udana procedura uwierzytelniania lub weryfikacji podpisu cyfrowego oznacza, że prawdziwy nadawca jest zweryfikowany www.perceptus.pl | akademia.perceptus.pl 19 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Certyfikaty X.509 TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Format Certyfikat X.509 jest dokumentem elektronicznym o specyficznym układzie zwanym ASN.1 Standard ISO ITU-T stworzyli standard certyfikatu X.509 w ramach frameworku X.500 Wersje Specyfikacja certyfikatu X.509 została wydana w trzech wersjach: V1, V2 i V3. Do dziś głównie wykorzystywana jest Wersja 3 . Zawartość Specyfikacja X.509 opisuje certyfikat klucza publicznego, a także jego atrybuty Budowa Najważniejsze dane www.perceptus.pl | akademia.perceptus.pl 20 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Certyfikaty X.509 TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Certificate ::= SIGNED { SEQUENCE { version [0] Version DEFAULT v1, serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueIdentifier [1]IMPLICIT UniqueIdentifierOPTIONAL, -- if present, version must be v2 or v3 subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL -- if present, version must be v2 or v3 extensions [3] Extensions OPTIONAL -- If present, version must be v3 -- } } www.perceptus.pl | akademia.perceptus.pl 21 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Root CA Na początku łańcucha, zawsze jest certyfikat CA samo podpisany – główny CA Łańcuch certyfikatów TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Sub CA CA level3 Opcjonalnie, urząd certyfikacji może podpisać subordinary CA (pośrednie CA). Sub CA może podpisać kolejny certyfikat SubCA itp. Certyfikat końcowego użytkownika może być wydany przez administratora danego SubCA User Cert Certyfikat końcowego użytkownika jest weryfikowany za pomocą klucza publicznego z certyfikatu CA Certyfikaty CA mogą być wbudowane w oprogramowanie (np. Microsoft IE, Netscape Communicator). Istnieją różne repozytoria zaufanych CA. www.perceptus.pl | akademia.perceptus.pl 22 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Weryfikacja certyfikatu TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Podpis elektroniczny Certyfikat jest weryfikowany jak zwykły podpisany dokument Data ważności Nadrzędny certyfikat Jeśli sprawdzenie podpisu jest OK, to weryfikowane są pozostałe pola w certyfikacie, w tym informacja o tożsamości właściciela klucza publicznego Ponieważ certyfikat nie jest wrażliwy, to może być Zastosowanie certyfikatu Listę zaufanych wystawców wysłany wraz z danymi (na przykład podpisem cyfrowym), a odbiorca nie musi mieć listy kluczy publicznych Odwołanie certyfikatu www.perceptus.pl | akademia.perceptus.pl 23 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o Poufność Zachować to w tajemnicy! rozwiązanie Stosować szyfrowanie NEXUS PKI Podstawowe usługi bezpieczeństwa TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Integralność danych P I Nie zmieniaj moich danych! Korzystaj z podpisów cyfrowych N Dotrzymuj swoich obietnic! Korzystaj z podpisów cyfrowych Uwierzytelnianie Udowodnić, kim jesteś! Korzystać z podpisów cyfrowych Niezaprzeczalność A www.perceptus.pl | akademia.perceptus.pl 24 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Autoryzacja VS Uwierzytelnianie TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Autoryzacja Weryfikacja że dany podmiot ma prawo do korzystania z danych zasobów. Najczęściej jest to weryfikacja uprawnień w systemie, lub wygaszanie się kodem SMS, lub innymi narzędziami autoryzacji w tym PKI Uwierzytelnianie Udowodnienie tożsamości np. przez sprawdzenie że masz prawa do korzystania z jakiegoś narzędzia autoryzacji. Nie ma AUTENTYKACJI !! www.perceptus.pl | akademia.perceptus.pl 25 Wdrożenie Infrastruktury Uwierzytelnianie Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o rozwiązanie NEXUS PKI Metoda tradycyjna ID użytkownika / hasła (uwierzytelnianie słabe) Silne uwierzytelnianie Alg. asymetryczne każde uwierzytelnianie jest niepowtarzalne i nie może być odtwarzalne Uwierzytelnianie w oparciu o algorytmy asymetryczne jest najbardziej bezpieczne Skala Uwierzytelnianie można zrobić na krótkich dystansach (w komputerze) lub na dużych – w sieci (Internet) www.perceptus.pl | akademia.perceptus.pl 26 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Prosty przykład uwierzytelniania TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Losowa liczba Podpis Podpisana liczba losowa Weryfikacja Użytkownik =? Serwer www.perceptus.pl | akademia.perceptus.pl 27 Wdrożenie Infrastruktury Szyfrowanie danych Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o rozwiązanie NEXUS PKI Nowoczesne szyfrowanie Nowoczesne szyfrowanie danych jest połączeniem kodowania symetrycznego lub niesymetrycznego online / off-line Sesje Używane "on-line", gdzie dwie strony wymieniają informacje komunikacji Symetryczny "klucz sesji" jest rozprowadzany z szyfrowania asymetrycznego Używane "off-line", gdzie zaszyfrowana wiadomość (jak e-mail) jest wysyłany z jednej strony do drugiej Strumienie Algorytmy szyfrowania symetryczne są wykorzystywane do szyfrowania danych rzeczywistych ze względu na wysoką prędkość www.perceptus.pl | akademia.perceptus.pl 28 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o Wiadomość Dane wejściowe to rozwiązanie jawna wiadomość cyfrowa NEXUS PKI Przykład: Szyfrowanie TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Szyfrowanie Wiadomość jest szyfrowana kluczem symetrycznym sesji Losowa liczba W ramach sesji generowana jest losowa liczba Klucz sesyjny Na bazie losowej liczby generowany jest klucz sesyjny Kodowanie klucza Klucz sesyjny kodowany jest za pomocą klucza publicznego odbiorcy www.perceptus.pl | akademia.perceptus.pl Przekazanie bezpiecznego klucza Klucz sesji przekazany w bezpieczny sposób do odbiorcy 29 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Przykład: Rozszyfrowanie TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Wiadomość W postaci jawnej Rozszyfrowanie Odkodowanie klucza Klucz sesyjny odkodowany jest za pomocą klucza prywatnego odbiorcy Klucz sesyjny Odkodowany jest klucz sesyjny www.perceptus.pl | akademia.perceptus.pl Wiadomość jest rozszyfrowana kluczem symetrycznym sesji 30 Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o rozwiązanie Podpis cyfrowy Uwierzytelnianie Podpis cyfrowy może być wykorzystywany do wielu różnych NEXUS PKI usług Podpis cyfrowy Uwierzytelnia tożsamość zleceniodawcy. Integralność Dokument nie może być zmieniony (integralność) PODPIS Pomysłodawca nie może zaprzeczyć, wysyłając dokument (niezaprzeczalności) Niezaprzeczalność www.perceptus.pl | akademia.perceptus.pl 31 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Mechanizmy cyfrowego podpisu TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Hash Podpis LOGO Hash-algorytmy są wykorzystywane do tworzenia "odcisku palca" w dokumencie, gdzie nawet najmniejsza zmiana w dokumencie wywołuje zupełnie inny "odcisk palca„ Każdy istniejący dokument ma w rzeczywistości unikatowy „odcisk palca” (jest więcej różnych "odcisków palców" niż węgla w ziemi!) Unikalność www.perceptus.pl | akademia.perceptus.pl www.yourwebsite.com | solution powerpoint Mechanizm Podpis cyfrowy dokumentu jest obliczany poprzez szyfrowanie "odcisk palca" dokumentu z asymetrycznym kluczem prywatnym 32 32 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Wiadomość Przykład: Podpis Elektroniczny TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Dane wejściowe to jawna wiadomość cyfrowa Podpisany dokument Podpis i oryginalny dokument Skrót Wykonywana jest na dokumencie funkcja skrótu Szyfrowanie skrótu Skrót dokumentu poddawany jest szyfrowaniu kluczem prywatnym podpisującego www.perceptus.pl | akademia.perceptus.pl 33 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Przykład: Weryfikacja podpisu TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Skrót Wykonywana jest na dokumencie funkcja skrótu Podpisany dokument Podpis i oryginalny dokument Deszyfrowanie skrótu Zaszyfrowany skrót dokumentu poddawany jest deszyfracji kluczem publicznym www.perceptus.pl | akademia.perceptus.pl 34 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Pełna weryfikacja podpisu Weryfikacja kryptograficzna Weryfikacja certyfikatu Cyfrowa weryfikacja mówiąca min.: kto podpisał i czy nie zmieniono dokumentu Czyli weryfikacja czy jest ważny na moment złożenia podpisu, czy nie został odwołany zarówno podmiot jak i cała ścieżka wystawców Weryfikacja czasu podpisania Ustalenie jaka jest data podpisu + ewentualne sprawdzenie ważności znacznika czasu www.perceptus.pl | akademia.perceptus.pl 35 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Budowa klasycznego CA TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT CM KGS RA CC Główna fabryka certyfikatów: CRL, OCSP, PG, REPOZYTORIUM, HSM, moduł publikacji Moduł personalizacji kart, drukowanie PINów, graficzna personalizacja Rejestracja użytkowników i urządzeń Zarządzanie stanem certyfikatów. Funkcje helpdesk www.perceptus.pl | akademia.perceptus.pl 36 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKIPodpis Ile potrzeba kluczy TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Uwierzytelnianie nigdy nie powinny być wykorzystywane do czegokolwiek innego PIN podawany za każdym razem mogą być stosowane często bez nowego kodu PIN Szyfrowanie może być wymagana kopia zapasowa www.perceptus.pl | akademia.perceptus.pl 37 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Ile potrzeba kluczy TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT www.perceptus.pl | akademia.perceptus.pl 38 Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o rozwiązanie Zdefiniowano ISO/OSI X.509 NEXUS PKI CRL - Certificate Revocation List IETF PKIX CRL profile opisany: RFC 2459 i RFC 3280 Zapisana jako ASN.1 lista numerów seryjnych wszystkich odwołanych certyfikatów Podpisane przez emitenta CRL Opublikowano w regularnych odstępach czasu Każdy CRL określa, kiedy należy oczekiwać kolejnego CRL Publicznie dostępne do pobrania www.perceptus.pl | akademia.perceptus.pl 39 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI CRL - Certificate Revocation List TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT www.perceptus.pl | akademia.perceptus.pl 40 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Zawieszenie certyfikatu TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Przyczyny • • • Pracownik opuszcza tymczasowo biuro Rola nie jest ważna przez ograniczony czas Użytkownik końcowy kontaktuje się help deskiem, aby wyłączyć certyfikat. www.perceptus.pl | akademia.perceptus.pl 41 Wdrożenie Infrastruktury Klucza TRANSFER WIEDZY I TECHNOLOGII W BEZPIECZEŃSTWIE IT Publicznego w oparciu o z prośbą emitenta o Możliwe są instancje proxy OCSP rozwiązanie Protokół aktualnym stanie certyfikatu NEXUS PKI OCSP Zdefiniowane w IETF PKIX in RFC 2560 Obsługuje różne protokoły komunikacyjne, z których głównie stosowanym jest HTTP Format ASN.1 dla OCSPRequest i OCSPResponse Przydatne dla aplikacji klienckich (Podpisana) odpowiedz : “good”, “revoked” or “unknown” Najszybsza weryfikacja, ale nie każde CA oferuje www.perceptus.pl | akademia.perceptus.pl 42 Wdrożenie Infrastruktury Klucza Publicznego w oparciu o rozwiązanie NEXUS PKI Coffe Break