Transcript Sertifikavimo

Lietuvos Respublikos
Vidaus reikalų ministerija
Naujos asmens tapatybės kortelės ir
nacionalinio sertifikavimo centro
galimybės elektroninėje erdvėje
E3P susirinkimas
2009 m. sausio 15 d.
Turinys
• Naujoji asmens tapatybės kortelė
• Sertifikavimo paslaugų tiekėjas ir sertifikatai
• Sertifikatų ir el. tapatybės paslaugos
• Paslaugų ir el. tapatybės plėtros planai
Naujoji Asmens tapatybės kortelė
Asmens tapatybės kortelė
Naujos kartos kortelės atsiradimo prielaidos
• Europinis kontekstas
• Asmens tapatybės kortelės įstatymas
• Paslaugos elektroninėje erdvėje
Asmens tapatybės kortelė
Naujose Asmens tapatybės kortelėse integruoti kontaktinis ir
bekontaktis lustai.
• Kontaktiniame luste įrašomi asmens atpažinimo elektroninėje
erdvėje sertifikatas ir kvalifikuotas sertifikatas, kuriuos
sudarys Gyventojų registro tarnyba prie Lietuvos Respublikos
vidaus reikalų ministerijos.
• Bekontaktėje laikmenoje fiksuojami asmens biometriniai
duomenys: piliečio veido atvaizdas ir pirštų atspaudai, kurie
leidžia lengviau apsaugoti kortelę nuo klastojimo bei sumažins
galimybę ja pasinaudoti kitiems asmenims.
Infrastruktūros sukūrimo projektas
• Sertifikavimo centro infrastruktūra
– Darbinė, atsarginė, testavimo aplinkos
• Integracija su Asmens dokumentų išdavimo ir
kitomis sistemomis
• Išorinis paslaugų portalas, pasirašymo
programinė įranga ir OpenID
• Auditas ir dokumentacija kvalifikuoto paslaugų
teikėjo registracijai
• Mokymai ir viešinimas
Sertifikavimo paslaugų teikėjas ir
sertifikatai
Funkcinis pasidalinimas
Sertifikatai
• Asmens atpažinimo sertifikatas
• Asmens kvalifikuotas sertifikatas el. parašui
sukurti
• Vidiniai tarnybiniai ir infrastruktūros
sertifikatai
Asmens sertifikato duomenys
• Duomenys
– Vardas, pavardė
– Asmens kodas
– Gimimo data
– Lytis
– Pilietybė
• Galioja 3 metus
• 2KBit dydžio raktai
Sertifikatų paslaugos
Sertifikatų kontrolės paslaugos
• Atšauktų sertifikatų sąrašai (CRL)
• Atšauktų sertifikatų sąrašo papildymai
(deltaCRL)
• Interaktyvus statuso kontrolės protokolas
(OCSP)
• Sertifikavimo tarnybos informacija (AIA)
• Visos kontrolės paslaugos prieinamos
išoriniame interneto portale
Sertifikatų parametrai
Tarnyba
Sertifikato
Raktų dydžiai
galiojimas
Išduodamų
sertifikatų
galiojimas
Privataus rakto
atnaujinimas
Šakninė
18 metų
4 Kbit
12 metų
9 metai
Nuostatų
12metų
2 Kbit
6 metai
6 metai
Darbinė
6 metai
2 Kbit
3 metai
3 metai, arba
priklausomai
nuo CRL dydžio
CRL parametrai
Tarnyba
CRL tipas
Galiojimas
Persidengimas
Šakninė
Pilnas
3 mėn.
3 sav.
Nuostatų
Pilnas
3 mėn.
3 sav.
Darbinė
Pilnas
7 d.
3 d.
Delta
24 val.
3 d.
Sertifikavimo tarnybų DN vardai
DN
parametras
C=
O=
OU=
CN=
Reikšmė
LT
Gyventoju registro tarnyba prie LR VRM - i.k.
188756767
Nacionalinis sertifikavimo centras (NSC)
Nacionalinis sertifikavimo centras (RootCA)
arba
Nacionalinis sertifikavimo centras (PolicyCA)
arba
Nacionalinis sertifikavimo centras (IssuingCA)
Realizacija
• Microsoft Windows Server 2003 Certificate Server
• Kriptografiniai įrenginiai nCIPHER HSM
– Sertifikavimo tarnybų raktai ir sertifikatai
– OCSP sertifikatai ir raktai
– Audito žurnalo sertifikatai ir raktai
• Saugios sertifikatų laikmenos sertifikuotos EAL4
• Daugiasluoksnė architektūra
• Aukšto prieinamumo užtikrinimo priemonės
Sertifikavimo tarnybos hierarchija
Offline Security Vault
NSC Root CA
NSC Policy CA
Online
(primary datacenter)
Offline
(secondary datacenter)
NSC
Issuing CA
NSC Issuing CA
Certificate for
LT resident
NSC System
Certificate
Certificate for
Government
Servant
Saugi sertifikato laikmena
• Tarnybinės administratorių kortelės
– Idpendant, JCOP21 v2.3.1 72 Kb
• Asmens tapatybės kortelė
– Kontaktinis lustas Samsung S3CC91C
– Bekontaktis lustas Gemalto & NXP
Semiconductors, eTravel EAC v1.1, 80Kb
Išorinis interneto portalas
•
•
•
•
•
Bendra informacija apie sertifikavimo tarnybą
Taisyklių ir veiklos nuostatų dokumentai
CRL ir deltaCRL, AIA failai
Informaciją apie mano sertifikatus
OpenID portalas
El. parašo programa
• El. dokumento, pasirašyto el. parašu,
formavimo ir tikrinimo programa
• El. dokumento formatas atitinka LAD
reikalavimus
• Kvalifikuotas el. parašas XAdES-EPES
• Metaduomenų struktūra GeDOC
• .ADOC formatas = Archive Document
SIGNA BETA
ADOC
Elektroninės tapatybės
infrastruktūros paslaugos
Klasikinis autentifikavimas (1)
Klasikinis autentifikavimas (2)
OpenID autentifikavimas
• Atviras decentralizuotas autentifikavimo
standartas
• Populiarėja pasaulyje
• OpenID tiekėjai:
– AOL, BBC, Google, IBM, Microsoft, MySpace, Yahoo,
VeriSign ...
• Identifikatorius URL adreso formatu
• 1 el. tapatybė : N el. paslaugų
• OpenID protokolas nepriklauso nuo galutinio
autentifikavimo realizacijos
VRM OpenID
• Anoniminiai identifikatoriai
– https://openid.vrm.lt/user/a/<id>
– Vartotojai kuria patys
– Profilio informacija = “Anoniminė” informacija
• Identifikatoriai, pagrįsti sertifikatais
–
–
–
–
https://openid.vrm.lt/user/<id>
Sukuriami ir atnaujinami, jungiantis su sertifikatais
Profilio informacija = Sertifikato informacija
Vartotojai negali keisti OpenID profilio informacijos
Protokolai
• OpenID Authentication 2.0
– Patvirtinamas identitetas
• Simple Registration Protocol (SREG)
– Įprasti interneto vartotojo atributai - vardas,
pavardė, el. paštas ...
– OpenID informaciją veda pats vartotojas
• Attribute Exchange (AX)
– Praplėsta atributų struktūra - asmens kodas, ...
– OpenID informacija paimama iš sertifikato
VRM OpenID vartotojo registracija
OpenID integracija
• Interneto svetainės turi įdiegti OpenID
– Bibliotekos (http://wiki.openid.net/Libraries)
– Duomenų bazės ir kitą infrastruktūrą pagal poreikį
• Suformuluoti reikalavimus profilio
informacijos gavimui
• Suformuluoti reikalavimus identifikatorių tipui
OpenID scenarijai
• Internetinis dienoraštis (Blog)
–
–
–
–
Reikalinga informacija: slapyvardis, el. paštas
Tipinis protokolas: SREG
Tinka: anoniminis identifikatorius
Netinka: sertifikatais paremtas identifikatorius
• Paslaugų teikėjų savitarnos puslapiai
–
–
–
–
Reikalinga: vardas, pavardė, asmens kodas
Protokolas: AX
Tinka: sertifikatais paremtas identifikatorius
Netinka: anoniminis identifikatorius
Tolimesnė plėtra ir integracijos
Artimiausia perspektyva
• Integracija el. valdžios paslaugose
– Atpažinimo sertifikatai arba OpenID
– www.evaldzia.lt, Viešosios paslaugos gyventojams
– Ypatinga svarba: VMI EDS, SODRA EDAS, RC el.
paslaugos
• Integracija komercinėse el. paslaugose
• Internet bankininkystė
• Telekomunikacija, energetika, draudimas
• Kvalifikuoto sertifikato pripažinimas esamose DVS
• Integracija su PKI tarpininkais
Kas toliau
•
•
•
•
Valstybės tarnautojų pažymėjimai
Papildomos el. paslaugos išoriniame portale
Įsiliejimas į EU eID infrastruktūra
Tarptautinis pripažinimas ir sąveikumas
Klausimai?