Podpis elektroniczny i inne sposoby uwierzytelniania
Download
Report
Transcript Podpis elektroniczny i inne sposoby uwierzytelniania
Podpis elektroniczny i inne
sposoby uwierzytelniania
Robert Poznański
Laboratorium Podpisu Elektronicznego
• Udział IMM w pracach standaryzacyjnych
• Uwierzytelnienie a identyfikacja
– Uwierzytelnienie w projekcie regulacji
– Prace standaryzacyjne prowadzone w ramach Mandatu M/460
• Wpływ prac standaryzacyjnych z podziałem na obszary funkcjonalne
– Składanie i weryfikacja podpisu
– Urządzenia do składania podpisu i inne urządzenia
– Algorytmy kryptograficzne
– Dostawcy usług zaufanych wspierający podpis elektroniczny
– Dostawcy zaufanych aplikacji
– Dostawcy list TSL
– eIdentyfikacja
Laboratorium Podpisu Elektronicznego:
• Utworzone w 2009 roku
• Kadra z obszerną wiedzą na temat podpisu
elektronicznego
• Organizacja NTIPE
• Udział w projekcie biometrycznego
podpisu elektronicznego
• Audyty i kontrole w obszarze podpisu
elektronicznego
• Narodowy Test Interoperacyjności Podpisu Elektronicznego 2011
– 9 firm i 10 aplikacji
– Pretesty: 742 przypadki testowe, 68,5% poprawnych (508)
– Warsztaty: 264 przypadki testowe, 78% poprawnych (206)
• CommonSign 2012
– 4 firmy i 5 aplikacji
– Warsztaty: 139 przypadków testowych, 90% poprawnych (125)
• Grupy standaryzacyjne
– Członkowstwo w ETSI (European Telecommunication Standards Institute)
– Członkowstwo w PKN
• Zakres korzyści
– Możliwość wprowadzania zmian do prac standaryzacyjnych
– Propagowanie informacji dotyczących postępów prac standaryzacyjnych
– Wspieranie administracji publicznej od strony standaryzacyjnej podpisu
elektronicznego
• Przykłady
– Współpraca z Ministerstwem Gospodarki przy merytorycznej stronie nowelizacji
rozporządzenia o warunkach technicznych i organizacyjnych dla kwalifikowanych
podmiotów […]
– Poprawki w profilu certyfikatu dla osoby fizycznej (wskazanie na certyfikat CA,
numer podatkowy jako identyfikator w polu SerialNumber)
– Organizacja Narodowego Testu Interoperacyjności Podpisu Elektronicznego
(Commonsign)
Uwierzytelnienie
Identyfikacja
B2B
C2B
B2A
A2A
C2A
Uwierzytel
niany
Potrzeby uwierzytelnianego
Uwierzytel
niający
Potrzeby uwierzytelniającego
Mechanizm uwierzytelnienia
Biznes
Upewnienie, że klient nie
ryzykuje swoich pieniędzy
Kupujący
Ochrona przed wyłudzeniem
pieniędzy
Certyfikat witryny internetowej
Kupujący
Np. Przeglądanie historii
transakcji
Biznes
Nakłanianie klienta do zakupów;
uzyskanie pieniędzy
Uwierzytelnienie do konta;
metoda tania, łatwa we wdrożeniu
Biznes
Podpisywanie kontraktów
Udostępnianie informacji
Biznes
Podpisywanie kontraktów
Odbieranie informacji
Podpis elektroniczny, pieczęć,
polecona poczta elektroniczna
Urząd
Wykorzystanie petenta jako
interfejsu białkowego
Petent
Ochrona przed wyłudzeniem
danych i malwersacjami
Posiadanie historii spraw i
materiałów dowodowych
Podpis elektroniczny, pieczęć
elektroniczna
Petent
Możliwość załatwienia sprawy
bez wizyty w urzędzie
Urząd
Potwierdzenie, że petent
uczestniczył w sprawie
Uwierzytelnienie do konta
(petent), wiarygodne logi, podpis
elektroniczny, pieczęć (urząd)
Urząd
Ochrona przed wyłudzeniem
danych i malwersacjami
Posiadanie historii spraw i
materiałów dowodowych
Urząd
Ochrona przed wyłudzeniem
danych i malwersacjami
Posiadanie historii spraw i
materiałów dowodowych
Bezpieczna poczta elektroniczna,
integracja usług.
Urząd
Wykorzystanie biznesu jako
interfejsu białkowego
Biznes
Ochrona przed wyłudzeniem
danych i malwersacjami
Posiadanie historii spraw i
materiałów dowodowych
Podpis elektroniczny, pieczęć
elektroniczna, konto
Biznes
Możliwość załatwienia sprawy
bez wizyty w urzędzie
Urząd
Potwierdzenie, że biznes
uczestniczył w sprawie
Uwierzytelnienie do konta
Uwierzytelnienie w projekcie regulacji
Definicja:
(4) ‘authentication’ means an electronic process that
allows the validation of the electronic identification
of a natural or legal person; or of the origin and
integrity of an electronic data
4) „uwierzytelnianie” oznacza proces elektroniczny,
który umożliwia weryfikację identyfikacji
elektronicznej osoby fizycznej lub prawnej lub
pochodzenia i integralności danych elektronicznych;
Pieczęć +
zaawansowana
Uwierzytelnienie
systemu
identyfikacji
elektronicznej
Podpis +
zaawansowany
Regulacja
Kwalifikowany
certyfikat
witryny
Usługa Przekazu
elektronicznego
Znacznik czasu
Mechanizm
Artyk
uł
Potrzeby uwierzytelniającego
Czyje adresuje
potrzeby?
Podpis
elektroniczny
3, ust
6)
oznacza dane w formie elektronicznej dodane do innych danych
elektronicznych lub logicznie z nimi powiązane i służące
podpisującemu do składania podpisu;
C2A
Zaawansowa
ny podpis
elektroniczny
3, ust
7)
oznacza podpis elektroniczny, który spełnia następujące
wymagania:
a) jest przyporządkowany wyłącznie podpisującemu;
b) umożliwia ustalenie tożsamości podpisującego;
c) jest składany przy użyciu danych służących do składania podpisu
elektronicznego, które podpisujący może wykorzystać z dużą dozą
zaufania i nad którymi ma wyłączną kontrolę; oraz
d) jest w taki sposób powiązany z danymi, do których się
odnosi, że każda późniejsza zmiana danych jest wykrywalna
A2A, A2B, A2C,
Pieczęć
elektroniczna
3, ust
20)
oznacza dane w formie elektronicznej dodane do innych danych
elektronicznych lub logicznie z nimi powiązane, aby
zagwarantować pochodzenie i integralność powiązanych
danych
C2A, B2A
Zaawansowa
na pieczęć
elektroniczna
3, ust
21
Jak zaawansowany podpis
B2A, A2B, B2B
elektroniczny
znacznik
czasu
3, ust
25
oznacza dane w formie elektronicznej, które wiążą inne dane
elektroniczne z określonym czasem, stanowiąc dowód na to, że te
dane istniały w tym czasie; (Art. 32 wskazuje, że znacznik czasu
poświadcza integralność danych)
A2B, A2A, A2C
Mechanizm
Artyk
uł
Potrzeby uwierzytelniającego
Potrzeby
Usługa
przekazu
elektronicznego
3, ust
28)
oznacza usługę umożliwiającą przesłanie danych drogą
elektroniczną i zapewniającą dowody związane z posługiwaniem
się przesyłanymi danymi, w tym dowód wysłania lub odbioru
danych, oraz chroniącą przesyłane dane przed ryzykiem utraty,
kradzieży, uszkodzenia lub wszelkiego nieupoważnionego
naruszenia
A2A, A2C, A2B, B2A,
C2A, B2B*
* Przy nieznanych
kontrahentach, albo
duzych kwotach
preferowane będą
kontakty osobiste
Kwalifikowany
certyfikat
uwierzytelnienia witryn
internetowych
3, ust
30)
oznacza poświadczenie, które jest stosowane do uwierzytelniania
witryn internetowych i przyporządkowuje witrynę internetową
osobie, której wydano certyfikat wystawiony przez dostawcę
kwalifikowanych usług zaufania i spełniający wymagania określone
w załączniku IV
Kontakty C2B, kontakty
C2A
Uwierzytelnienie systemu
identyfikacji
elektronicznej
6.1.d)
zgłaszające państwo członkowskie gwarantuje dostępność
mechanizmów uwierzytelniania online w dowolnym czasie i
nieodpłatnie, tak aby wszystkie strony ufające mogły dokonać
weryfikacji danych identyfikujących osobę otrzymanych w formie
elektronicznej. Państwa członkowskie nie nakładają żadnych
specjalnych wymagań technicznych na strony ufające posiadające
siedzibę poza ich terytorium, które zamierzają dokonać takiego
uwierzytelnienia. ……
A2A, C2A, B2A, A2B,
C2B*, B2B**
*uwierzytelnienie C2B
odbywa się poprzez
przekazanie pieniędzy,
ale umowy typu
telepraca – przydatne
**Nie dostarcza
informacji o roli w
przedsiębiorstwie
Prace standaryzacyjne prowadzone w
ramach Mandatu M/460
Tworzenie i
weryfikacja
podpisu
eIdentyfikacja
Urządzenia do
składania
podpisu i inne
Dostawcy list
TSL
Zracjonalizowana
platforma
standaryzacyjna
podpisu
elektronicznego
Dostawcy
zaufanych
aplikacji
Algorytmy
kryptograficzne
Dostawcy usług
zaufanych (TSP)
wspierający
podpis
elektroniczny
Wytyczne
Wymagania i
polityki
bezpieczeństwa
Specyfikacje techniczne
Ocena zgodności
Testowanie zgodności i interoperacyjności
Składanie i
weryfikacja
podpisu
Urządzenia do
składania
podpisu
•Wytyczne
•Wymagania i
polityki
bezpieczeństwa
•Specyfikacje
techniczne
•Ocena zgodności
•Testowanie
zgodności i
interoperacyjności
•Wytyczne
•Wymagania i
polityki
bezpieczeństwa
•Specyfikacje
techniczne
•Ocena zgodności
•Testowanie
zgodności i
interoperacyjności
Algorytmy
kryptograficzne
•Wytyczne
•Wymagania i
polityki
bezpieczeństwa
Dostawcy usług
zaufanych (TSP)
wspierających
podpis
elektroniczny
•Wytyczne
•Wymagania i
polityki
bezpieczeństwa
•Specyfikacje
techniczne
•Ocena zgodności
•Testowanie
zgodności i
interoperacyjności
Dostawcy
zaufanych
aplikacji
•`Wytyczne
•Wymagania i
polityki
bezpieczeństwa
•Specyfikacje
techniczne
•Ocena zgodności
•Testowanie
zgodności i
interoperacyjności
Dostawcy list
TSL
•Wytyczne
•Wymagania i
polityki
bezpieczeństwa
•Specyfikacje
techniczne
•Ocena zgodności
•Testowanie
zgodności i
interoperacyjności
Źródło - Galler Gérard. Pan European framework for electronic identification,authentication and signature.
Pieczęć +
zaawansowana
Uwierzytelnienie
systemu
identyfikacji
elektronicznej
Podpis +
zaawansowany
Regulacja
Kwalifikowany
certyfikat
witryny
Usługa Przekazu
elektronicznego
Znacznik czasu
Wpływ prac standaryzacyjnych na
systemy i usługi w Polsce
Obecnie
XAdES
CAdES
PAdES
XMLSig
Podpis potwierdzony
Standaryzacja
Dodatkowy format
ASiC
Profile Baseline
(Polityki podpisu!)
Profile eInvoicing
Działania
SDK podpisu +
polityki
Usługi walidacyjne
Testy
interoperacyjności
GUI
Listy TSL
Zawartość certyfikatu
Podpis
XAdES CAdES PAdES
BES
BES
EPES
EPES
T
T
ASiC
BASIC
ASIC-S XAdES
Enhanced BES
ASIC-S CAdES
Enhanced EPES
C
C
XL
XL
A
A
Weryfikacja
ASIC-E XAdES
LTV
ASIC E CAdES
XML
Polityki podpisu
XML
CMS
GUI
Listy TSL
Zawartość certyfikatu
Podpis
XAdES CAdES PAdES
Baseline B
Baseline B
ASiC
Baseline B XAdES
Baseline B
Testy
Baseline B CAdES
Baseline T
Baseline T
Baseline T
Baseline LT
Baseline LT
Baseline LT
Baseline T XAdES
Baseline T CAdES
Baseline LT XAdES
Baseline LTA
Baseline LTA
Baseline LTA
Baseline LT CAdES
Polityki podpisu
Weryfikacja
XML
CMS
GUI
Listy TSL
Zawartość certyfikatu
Podpis
Weryfikacja/Usługa
XAdES CAdES PAdES
BES
BES
EPES
EPES
T
T
ASiC
BASIC
ASIC-S XAdES
Enhanced BES
ASIC-S CAdES
Enhanced EPES
C
C
XL
XL
A
A
ASIC-E XAdES
LTV
ASIC E CAdES
XML
Polityki podpisu
Weryfikacja/Aplikacja
XML
CMS
Format walidacji
GUI
Listy TSL
Zawartość certyfikatu
Podpis
XAdES CAdES PAdES
Baseline B
Baseline B
ASiC
Baseline B XAdES
Baseline B
Baseline B CAdES
SDK
Baseline T
Baseline T
Baseline T
Baseline LT
Baseline LT
Baseline LT
Baseline T XAdES
Baseline T CAdES
Baseline LT XAdES
Baseline LTA
Baseline LTA
Baseline LTA
Baseline LT CAdES
Polityki podpisu
Weryfikacja
XML
CMS
Urządzenia do składania podpisu i inne
urządzenia
Obecnie
CWA 14169 (SSCD)
Standaryzacja
CWA 14167-1 (Systemy)
EN (SSCD)
CWA 14167-2:4 (HSM)
EN (Systemy)
FIPS 140-2 L3 (HSM)
EN (HSM)
ITSEC HIGH
FIPS 140-2 L3 (HSM)
EN (podpis serwerowy)
EN (Aplikacje do składania
i weryfikacji podpisu)
Działania
Centrum oceny zgodności
akredytowane przez PCA
na zakres systemów i
aplikacji do składania i
weryfikacji podpisu.
Akredytacja
Certyfikacja
Produkt
HSM
Certyfikacja urządzeń
SSCD
QCSP
REM
PCA (Polskie Centrum Akredytacji)
Certyfikacja usług
TSA
…
SCVA
Certyfikacja aplikacji
Oprogramowanie CA
Algorytmy kryptograficzne
Obecnie
Rozporządzenie w sprawie
warunków technicznych i
organizacyjnych dla
kwalifikowanych
podmiotów…
Wymuszony skrót SHA1
Standaryzacja
TS 102 176-1 (Algo Paper)
Działania
Skrót SHA1 określony jako Nowelizacja
nienadający się do podpisu rozporządzenia.
elektronicznego
Nowa hierarchia urzędów
(root, QCA)
Dostawcy usług zaufanych (TSP)
wspierający podpis elektoniczny
Obecnie
Rozporządzenie w sprawie warunków
technicznych i organizacyjnych dla
kwalifikowanych podmiotów…
Rozporządzenie w sprawie w sprawie
określenia szczegółowego trybu tworzenia i
wydawania zaświadczenia certyfikacyjnego
Standaryzacja
Nowy dokument PDS
Działania
Nowe profile dla osoby fizycznej (AIA, OCSP,
semantyka SerialNumber)
Nowelizacja rozporządzeń.
Nowy model oceny zgodności
Monitorowanie standaryzacji
Uzupełnienie wymagań dla usług
związanych z podpisem
Wdrożenie systemu oceny zgodności z
wymaganiami norm
Przygotowanie do certyfikacji
oprogramowania w ramach administracji
publicznej
Przygotowanie do certyfikacji usług zaufania
w administracji publicznej
Kampania informacyjna (potencjalnie duży
wpływ zmian SerialNumber na systemy)
Dostawcy zaufanych aplikacji
Obecnie
Skrzynki podawcze
Standaryzacja
Registered E-Mail
Działania
SDK?
Proxy krajowe?
Dostawcy zaufanych aplikacji
Skrzynka podawcza
Dostawcy zaufanych aplikacji
Skrzynka podawcza – REM proxy
Dostawcy zaufanych aplikacji
Skrzynka podawcza – REM
Dostawcy List TSL
Obecnie
Publikowane przez
NBP.
Określony format
Brak wymagań dla
podmiotu
Standaryzacja
Wymagania
bezpieczeństwa dla
podmiotu
Działania
Monitorowanie prac
standaryzacyjnych
Zaangażowanie w
modernizację
aplikacji SD-DSS
eIdentyfikacja
Obecnie
Identyfikacja na podstawie
podpisu
•Kwalifikowany
•Potwierdzony profilem zaufanym
Ustawa o dowodach osobistych
Standaryzacja i projekty
Działania
Karta eID
Projekt STORK
Dołączenie uwierzytelnienia z
profilem zaufanym ePUAP do
projektu STORK
Ewolucja podpis potwierdzony
profilem zaufanym -> podpis
serwerowy/software’owy
Wydawanie certyfikatów do
uwierzytelnienia do ePUAP z
kluczami software/serwerowymi
eIdentyfikacja
ePUAP - uwierzytelnienie
eIdentyfikacja
ePUAP - uwierzytelnienie
•
•
Walidacja podpisu - propozycje
–
Wybór tylko jednego standardu podpisu jako obowiązującego w UE
–
SDK do składania/weryfikacji podpisu
–
Usługi walidacji z jednym formatem odpowiedzi walidacyjnej
Certyfikacja produktów i usług
–
•
Budowa mechanizmów certyfikacji w oparciu o PCA - albo będziemy certyfikować w
Niemczech!
Nowelizacja rozporządzenia
– Zmieni się format numeru PESEL w certyfikacie!
– Nowe algorytmy i wymiana hierarchii CA!
•
ePUAP - propozycje
– Przyłączenie ePUAP do platformy STORK
– Profil zaufany ePUAP -> podpis zaawansowany (podpis serwerowy? Klucze
software?)
•
Skrzynka podawcza - opcje
– (opcja 1) Budowa i standaryzacja krajowego proxy pomiędzy REM a skrzynką
podawczą
– (opcja2) Budowa bibliotek/narzędzi do implementacji REM (np. opensource)
– (opcja 3) Dostawa narzędzi przez dostawców prywatnych
Dziękuję za uwagę
Projekt jest współfinansowany ze środków Unii Europejskiej
w ramach Europejskiego Funduszu Społecznego