Část III. Normy k problematice el. podpisu . Normy v bankovnictví.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

1

ELEKTRONICKÝ PODPIS –využití v bankovnictví

(jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000)

Část III.Normy k problematice el. podpisu.

Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc.

AEC spol. s r.o. Norman Czech Republic


2

Úvod

Nezbytnost používání norem Existuje dnes již rozsáhlý systém norem:

Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik.

http://www.uoou.cz/normy.html


3

Členění norem

1) dle cesty, jakým byly tyto normy vydány, tj. fakticky dle vydávající strany.

2) dle jejich konkrétního obsahového zaměření,


4

Mezinárodní součinnost

El.podpisy vzniklé v jedné zemi musí být platné i v jiných zemích

Nezbytnost jednotného přístupu - digitální podpisy – formáty - digitální certifikáty


5

Některé důležitější normy

Normy ETSI a CEN/ESSI navazující na Směrnici EU o el.podpisu

práce skupiny P1363 ISO, ANSI, FIPS NIST, IETF,... Evropa – nejnověji iniciativa NESSIE


6

Závěrečná zpráva EESSI

cílem dokumentu je analýza budoucích potřeb v oblasti standardizace na podporu Evropské Směrnice pro elektronický podpis.

Zpracován v červenci 1999


7

Závěry dokumentu EESSI

1) převzetí resp. vývoj průmyslových norem by mělo maximálně zmenšit potřebu detailizace zákonů a vyhlášek v dané oblasti;

2) normy jsou nezbytně nutné a všude, kde je to možné, je třeba preferovat odkazy na existující mezinárodní normy před vývojem nových norem;

3) požadavky v oblasti norem jsou dvojího druhu: kvalitativní a procedurální normy týkající se informační bezpečnosti a technické normy vzhledem k interoperabilitě produktů;

4) podepisovací prostředky (produkty), pokud vyhovují požadavkům Direktivy, musí projít příslušným hodnocením (shoda produktu) a certifikací akreditovanou institucí pod EN 45000 (Evropské akreditační schéma);


8


5) je třeba vytvořit společný referenční bod na základě definice výchozí množiny technologických komponent, který bude tvořit technický rámec pro ověřování kvalifikovaných elektronických podpisů využívajících asymetrickou kryptografii a digitální certifikáty;

6) vzhledem k poskytovatelům certifikačních služeb je třeba použít vhodné bezpečnostní normy:

- obecné zásady v oblasti bezpečnosti (např. BS7799 č. 1 a č. 2), - specifikace bezpečnostních požadavků vzhledem k důvěryhodným

systémům, které tito poskytovatelé používají; první požadavky v této oblasti se týkají především kryptografických modulů (např. FIPS 140-1) a využití rizikové analýzy,

- výchozí certifikační politika pro poskytovatele certifikačních služeb – je doporučováno vyjít z materiálu IETF PKIX – rfc. 2527,

- obdobně pro poskytovatele služeb v oblasti časových razítek je třeba provést specifikaci požadavků vzhledem k jejich politice;


9


7) vzhledem k produktům sloužícím k vytváření podpisů a jejich ověřování je třeba mít k dispozici následující příslušné normy:

- specifikace bezpečnostních požadavků vzhledem k důvěryhodným hardwarovým zařízením, která jsou použita jako bezpečná zařízení pro vytváření podpisů (FIPS 140-1, Common Criteria – ISO 15408),

- specifikace pro vytváření elektronických podpisů (včetně uživatelova interface) a specifikace produktů a postupů k ověřování podpisů;

8) je nezbytná koordinace jednotlivých aktivit v oblasti norem; 9) z hlediska interoperability jsou nezbytné následující normy: - technické normy pro syntaxi a kódování elektronických podpisů

(včetně vícenásobných podpisů); je doporučováno vyjít z rfc.2315, - operativní protokoly pro řízení PKI (rfc skupiny PKIX), - profily kvalifikovaných certifikátů na bázi X.509.


10

EESSI SG

EESSI: European Electronic Signature Standardization Initiative

European Telecommunications Standards Institute


11

EESSI –Přehled norem

Proces a prostředí pro vytváření podpisů

Proces a prostředí pro ověření podpisů

Formáty a syntaxe podpisů

Zařízení na vytváření podpisů

Požadavky na PCS

Spolehlivý systém

Poskytovatel certifikačních služeb

Uživatel-podpis.strana

Ověřující strana

CEN E-SIGN

ETSI ESI

Kvalifikovaný certifikát

Časové značky


12

ETSI

Požadavky na politiku PCS vydávajících kvalifikované certifikáty;

Profil kvalifikovaných certifikátů;

Profil časových značek;

Formáty elektronických podpisů.


13

Požadavky na politiku PCS vydávajících kvalifikované certifikáty Obsahuje úvodní paragrafy (definice základních

pojmů a jejich souvislosti) – úvod do politiky kvalifikovaných certifikátů Povinnosti a závazky Požadavky pro praktickou činnost PCS

vydávajících kvalifikované certifikáty (např. CPS, životnost klíčů, certifikátů,

management certifikátů, bezepečnostní aspekty, atd.)


14

Profily kvalifikovaných certifikátů- norma vychází z draftu skupiny IETF PKIX,

certifikát je označen jako QC buď v identifikátoru politiky či v příslušném QC rozšíření (extension):

• Certifikát je vydáván jako QC• Je omezena hodnota transakce pro kterou je

certifikát vydán• Je definováno období, po které je informace o

registraci certifikátu uchovávána


15

Profil časových značek

Jaké algoritmy a s jakými parametry mají být podporovány

V zásadě odkaz na :

draft-ietf-pkix-time-stamp-12.txt


16

Formáty elektronických podpisů ETSI TS 101 733


17

ES -C

Elect. Signature (ES) Completecertificate

andrevocationreferences

Completecertificate

andrevocation

data

Timestampover CES

Timestampover

Completecert. andrev. refs.

ES-A

Timestampover digitalsignature

Other SignedAttributes

DigitalSignature

SignaturePolicy ID

ArchiveTimestamp


18

1 2

Trusted ServiceProvider

Signature PolicyIssuer

3

Validation Process Valid Invalid Validation Incomplete

ES-C

Other SignedAttributes

DigitalSignature

ES-TElect. Signature (ES)

SignaturePolicy ID

SignedUser data

4

Completecertificate

andrevocationreferences

Timestampover digitalsignature


19

CEN\ISSS

Bezpečnostní požadavky na důvěryhodné systémy PCS, kteří vydávají kvalifikované certifikáty

Bezpečnostní požadavky na zařízení pro vytváření el. podpisu;

Uživatelský interface a operační prostředí při vytváření elektronického podpisu

Požadavky na verifikaci el. podpisu

Příručka k ověřování shody prostředků pro el. podpis a navazujících služeb


20

Non-Public orExtended Policies

Public UsePublic Usewith SSCD

Electronic Signature Electronic Signature

+ Validation DataElectronic Signature

+Val Data +Time stamp

Lower Level Qualified Level Higher Level

Lower Level Qualified Level

EESSI Standard

Qualified Certificate Policy

Electronic SignatureFormat

Qualified Certificate Format

Time-stampingProtocol

Security Requirementsfor Trustworthy Systems

SSCD

Qualified Certificate Profile

Time Stamping Profile

Option Within Standard

Qualified Electronic Signature with Long-term Validity


21

Non-Public orExtended Policies Public Use

Public Usewith SSCD






EESSI Standard






SSCD


Profile from IETF Timestamp Protocol


Electronic Signature Using Qualified Certificate


22

Non-Public orExtended Policies

Public UsePublic Usewith SSCD






EESSI Standard






SSCD


Time Stamping Profile


Qualified Electronic Signature


23

Zdroj

Prezentace György Endersz, Telia Research AB, SwedenChairman ETSI ESI Working Group: European Electronic Signature Standardisation Initiative (Barcelona September 2000)


24

Odkazy

ETSI:http://www.etsi.org/sec/el-sign.htmSign up from Web-site to open El Sign mailing list

CEN:http://www.cenorm.be/isss/workshop/e-sign

EESSI: http://www.ict.etsi.org/eessi/EESSI-homepage.htm

ISSE Conference & Workshops:http://www.eema.org/isse


25

Nová evropská iniciativa v oblasti kryptografie NESSIE

(New European Schemes for Signature, Integrity, and Encryption)

http://cryptonessie.org


26

NESSIE

„Portfolio“ tzv. kryptografických primitivů Podstatně širší než obdobný projekt AES Navazuje na již získané výsledky v rámci

evropských struktur


27

NESSIE

1. Blokové šifry2. Synchronní proudové šifry3. Samosynchronizující se proudové šifry4. Autentizační kódy zpráv (MAC)5. Hashovací funkce rezistantní vůči kolizím6. Jednosměrné hashovací funkce7. Pseudonáhodné funkce8. Asymetrická schémata pro šifrování9. Asymetrická schémata pro digitální podpis10. Asymetrická schémata pro identifikaci


28

NESSIE

dvě bezpečnostní úrovně (normální a vysoká),

Blokové šifry: bloky textu 128 bitů, délky klíčů minimálně 256 bitů (vysoká bezpečnost), resp. minimálně 128 bitů (normální bezpečnost)

v září 2000, mají být odevzdány výchozí návrhy , 1.konference – listopad 2000


29

Normy v bankovnictví - ECBS

European Committee for Banking Standards: BIOMETRICS: TR 400 SECURE BANKING OVER THE INTERNET: TR 401,

March 1997 obsahuje obecná bezpečnostní východiska, popis SET,

velice stručně úvod k PKI CERTIFICATION AUTHORITIES: TR 402, December

1997 (update October 1999).


30

Normy v bankovnictví - ECBS

European Committee for Banking Standards:

Key Recovery in Financial Systems, TR 405, June 1998

východiska ??(v legislativě – příklad postoje Anglie

GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, September 1999


31

BIOMETRICS: TR 400 (1996)

8.1Physical Biometrics 8.1.1 Fingerprint verification 8.1.2 Retina scanning (sken sítnice) 8.1.3 Iris Scan 6 (sken oční duhovky) 8.1.4 Facial Recognition 8.1.5 Hand geometry 8.1.6 Vein Patterns 8.2 Behavioural Biometrics 8.2.1 Voice verification8 8.2.2 Signature dynamics 8.2.3 Keystroke dynamics 9. Usage


32

BIOMETRICS: TR 400 (1996)

Obsahuje tedy v zásadě určitý přehled problematiky (ovšem vývoj v této oblasti je rychlý)

Dále obsahuje určitá základní doporučení k používaná těchto metod (např. pro výběr biom. metody: sociální akceptovatelnost, snadnost manipulace, bezpečnost, náklady)


33

SECURE BANKING OVER THE INTERNET: TR 401, March 1997

Tento dokument lze rovněž těžko nazvat normou,jeho cílem je spíše provést přehled metod pro zabezepečení dat (na internetu)

- přehled možných útoků, vlastnosti firewallů, protokoly (SSL,S-HTTP, TSL,...), zabezpečení mailů, včlenění finančních dokumentů, el. obchod (SET, Homebanking) a jen velmi stručně k PKI


34

CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999).

Vzhledem k úpravám respektujícím současné trendy již první modernější dokument

Obsahově pokrývá oblasti, o kterých bylo v dnešních přednáškách již hovořena. Z hlediska bankovnictví jsou nesporně významná doporučení ECBS na závěr jednotlivých paragrafů


35

CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999).

Příloha B obsahuje přehled certifikátů používaných v bankovnictví:

- X 509 certificate

- ISO 11 166 certificate

- UN/EDIFACT SJWG certificate

- EMV certificate- EDI 5/ETEBAC 5 certificate - TELESEC certificate


36

Key Recovery in Financial Systems, TR 405

Norma se zabývá problematikou Key Recovery, aktuální v době vydání normy, v současné době se díky legislativám v některých zemích upouští od používaní této metody – i když nemusí to platit všeobecně

(ale např. z našeho hlediska, tj . el.podpisu je uplatňována jednoznačně zásada nepopiratelnosti)


37

GUIDELINES ON ALGORITHMS USAGE AND

KEY MANAGEMENT, TR 406, Sept. 1999 Průvodce současnými algoritmy: Definice Implementace Key management (celý životní cyklus klíčů) Odvolání (revokace) certifikátů Popis je opět doplněn určitými

doporučeními ECBS


38

Dotazy, upřesnění

?

Část III. Normy k problematice el. podpisu . Normy v bankovnictví.

Documents

Transcript of Část III. Normy k problematice el. podpisu . Normy v bankovnictví.