Transcript X.509-varmenteisiin perustuvan varmennepalvelu-tuotantoketjun kokoaminen

X.509-varmenteisiin perustuvan
varmennepalvelutuotantoketjun kokoaminen
Diplomityöseminaari 9.3.2004
Diplomityön tekijä: Arne Broman
Valvoja: TkT Heikki Sundquist, Novo Group Oyj
Esityksen sisällysluettelo
• Työn taustatietoja
• Diplomityön tutkimusaihe
• Käytetyt työmenetelmät
• PKI-tekniikka
• Johtopäätökset
• Tulevaisuuden tutkimuskohteita
Työn taustatietoja
• Internetistä muodostumassa virtuaalinen reaalimaailma
• Verkkoteknologia ja sen tarjoamat sovellutukset vaikuttavat yhä
voimakkaammin päivittäiseen elämäämme
• Reaalimaailman hyväksytyt toimintamallit on kyettävä toteuttamaan
myös julkisissa tietoverkoissa (todentaminen, kiistämättömyys,
luottamuksellisuus)
Meistä on tultava e-kansalaisia
Työn taustatietoja
Ei-kasvokkain tapahtuvan asioinnin
haasteita
• Tunnistaminen - Jussi on alkuperäinen lähettäjä
• Valtuuksien tarkistaminen - Jussilla on oikeus
• Kiistämättömyys - Jussi on todistettavasti tehnyt
vastaanotetun materiaalin
• Eheys - materiaali ei ole muuttunut matkalla
• Salaus - materiaalia ei voi lukea kuin Jussi ja vastaanottaja
• Aikaleima - koska materiaali on toimitettu/vastaanotettu
Työn taustatietoja
Fyysinen ja digitaalinen identiteetti
Fyysinen maailma Digitaalinen maailma
Certificate
v3
2394940
John Doe
01010101
00001010
Passi
Todentaminen
Digitaalinen X.509-varmenne
Kiistämättömyys
Allekirjoitus
Digitaalinen allekirjoitus
Luottamuksellisuus
Sinetöinti
Tiedon salaus
Työn taustatietoja
Sähköisen identiteetin luonti
•
•
•
•
•
•
Rekisteröinti
Henkilötietojen luovutus varmentajalle
Henkilötietojen tarkastaminen
Sopimuksen allekirjoitus
X.509-varmenteen sisältävän toimikortin luovutus
Fyysisestä identiteetistä sähköinen identiteetti
Diplomityön tutkimusaihe
• Tavoitteena X.509-varmenteisiin perustuvan varmennepalvelutuotantoketjun ohjelmistojen tekninen vertailu ja kokoaminen
Käyttäjä:
Varmenne-kortti
& PIN-koodi
PIN
Rekisteröijä
Sähköiset palvelut:
Kortti
Internet
verkkokauppa sähköposti
tietojärjestelmät...
Varmentaja
Hakemisto:
Kortinvalmistaja
Varmenteen
käyttöönotto
henkilötiedot
julkinen avain
Turvattu
viestintä
Suojaamaton
internet yhteys
Palveluun kuuluu myös tekninen tuki eli
Helpdesk, sekä sulkulistapalvelu
kadonneille korteille.
Käytetyt työmenetelmät
Perehtyminen aihetta käsittelevään:
• Kirjallisuuteen
• Standardointiin
• Käytännön testaukset X.509-varmenneohjelmistoilla
PKI-tekniikka
Avainten hallinta vahvuutena PKI:ssä
Eksponentiaalinen ja lineaarinen
CA/Exchange
Kaikki yhteydet käyttävät
symmetrisiä avaimia
Kaikki yhteydet käyttävät
asymmetrisiä avaimia
PKI-tekniikka
X.509-varmenne
• Varmentajan julkaisema (CA)
• Varmenne sitoo julkisen avaimen tiettyyn henkilöön
• Varmenne julkisesti saatavilla hakemistosta (yleensä)
• Varmenteen tietorakenne :
• Versio
• Varmenteen sarjanumero
• Allekirjoitusalgoritmi (CA)
• Julkaisija (CA)
• Voimassaolo
• Käyttäjän nimi
• Julkinen avain
• Lisämääritykset
• CA:n allekirjoitus
X.509v3
esim. 10938
(MD-5, SHA-1)
nimi, varmennepolitiikka, jne.
09.03.2004-09.03.2005
nimi, syntymäaika, jne.
RSA, pituus esim. 1024-bittiä
esim. key usage
“sinetöi” edelliset tiedot
PKI-tekniikka
Käytännön testaukset CA-ohjelmistoilla:
• Käytännön testaukset X.509-varmenneohjelmistoilla
• Kolme varteenotettavaa toimittajaa:
1) Entrust/PKI,
2) Baltimore Unicert
3) iD2 (SmartTrust) Certificate Manager
• Pääpaino ohjelmiston soveltuvuudessa ulkoistettuun CApalvelutoimintamalliin
• Toimikorttituki oleellinen (HST-yhteensopivuus)
Johtopäätökset
Vertailun voittaja ja toimintaedellytykset:
•
•
•
•
•
•
•
•
iD2 (SmartTrust) Certificate Manager
Sopii parhaiten ajateltuun liiketoimintamalliin
Ainoa tuote jossa HST-yhteensopivuus
Valmiit rajapinnat laajamittaiseen korttivalmistukseen
Paras skaalautuvuus
Pohjoismainen markkinajohtaja
Teknologisesti edistyksellisin tuote
Markkinat eivät vielä kypsiä ulkoistetulle CAtoiminnalle
• Varmenteiden menekki vaatimatonta
Tulevaisuuden tutkimuskohteita
Sovellukset avainasemassa:
•
•
•
•
•
Sovellukset määräävät varmenteiden menestyksen
Single-sign-on
Windows 2000 integraatio (VPN, email, logon, levykryptaus)
WWW-pohjaiset verkkosovellutukset
Integrointi olemassa oleviin tietojärjestelmiin
(terveydenhuolto)