Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
1
ELEKTRONICKÝ PODPIS –využití v bankovnictví
(jednodenní seminář, Bankovní institut vysoká škola, a.s., 7.12.2000)
Část III.Normy k problematice el. podpisu.
Normy v bankovnictví. Ing. Jaroslav Pinkava, CSc.
AEC spol. s r.o. Norman Czech Republic
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
2
Úvod
Nezbytnost používání norem Existuje dnes již rozsáhlý systém norem:
Jaroslav Pinkava: Přehled norem pro elektronický podpis a související okruhy problematik.
http://www.uoou.cz/normy.html
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
3
Členění norem
1) dle cesty, jakým byly tyto normy vydány, tj. fakticky dle vydávající strany.
2) dle jejich konkrétního obsahového zaměření,
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
4
Mezinárodní součinnost
El.podpisy vzniklé v jedné zemi musí být platné i v jiných zemích
Nezbytnost jednotného přístupu - digitální podpisy – formáty - digitální certifikáty
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
5
Některé důležitější normy
Normy ETSI a CEN/ESSI navazující na Směrnici EU o el.podpisu
práce skupiny P1363 ISO, ANSI, FIPS NIST, IETF,... Evropa – nejnověji iniciativa NESSIE
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
6
Závěrečná zpráva EESSI
cílem dokumentu je analýza budoucích potřeb v oblasti standardizace na podporu Evropské Směrnice pro elektronický podpis.
Zpracován v červenci 1999
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
7
Závěry dokumentu EESSI
1) převzetí resp. vývoj průmyslových norem by mělo maximálně zmenšit potřebu detailizace zákonů a vyhlášek v dané oblasti;
2) normy jsou nezbytně nutné a všude, kde je to možné, je třeba preferovat odkazy na existující mezinárodní normy před vývojem nových norem;
3) požadavky v oblasti norem jsou dvojího druhu: kvalitativní a procedurální normy týkající se informační bezpečnosti a technické normy vzhledem k interoperabilitě produktů;
4) podepisovací prostředky (produkty), pokud vyhovují požadavkům Direktivy, musí projít příslušným hodnocením (shoda produktu) a certifikací akreditovanou institucí pod EN 45000 (Evropské akreditační schéma);
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
8
Závěry dokumentu EESSI
5) je třeba vytvořit společný referenční bod na základě definice výchozí množiny technologických komponent, který bude tvořit technický rámec pro ověřování kvalifikovaných elektronických podpisů využívajících asymetrickou kryptografii a digitální certifikáty;
6) vzhledem k poskytovatelům certifikačních služeb je třeba použít vhodné bezpečnostní normy:
- obecné zásady v oblasti bezpečnosti (např. BS7799 č. 1 a č. 2), - specifikace bezpečnostních požadavků vzhledem k důvěryhodným
systémům, které tito poskytovatelé používají; první požadavky v této oblasti se týkají především kryptografických modulů (např. FIPS 140-1) a využití rizikové analýzy,
- výchozí certifikační politika pro poskytovatele certifikačních služeb – je doporučováno vyjít z materiálu IETF PKIX – rfc. 2527,
- obdobně pro poskytovatele služeb v oblasti časových razítek je třeba provést specifikaci požadavků vzhledem k jejich politice;
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
9
Závěry dokumentu EESSI
7) vzhledem k produktům sloužícím k vytváření podpisů a jejich ověřování je třeba mít k dispozici následující příslušné normy:
- specifikace bezpečnostních požadavků vzhledem k důvěryhodným hardwarovým zařízením, která jsou použita jako bezpečná zařízení pro vytváření podpisů (FIPS 140-1, Common Criteria – ISO 15408),
- specifikace pro vytváření elektronických podpisů (včetně uživatelova interface) a specifikace produktů a postupů k ověřování podpisů;
8) je nezbytná koordinace jednotlivých aktivit v oblasti norem; 9) z hlediska interoperability jsou nezbytné následující normy: - technické normy pro syntaxi a kódování elektronických podpisů
(včetně vícenásobných podpisů); je doporučováno vyjít z rfc.2315, - operativní protokoly pro řízení PKI (rfc skupiny PKIX), - profily kvalifikovaných certifikátů na bázi X.509.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
10
EESSI SG
EESSI: European Electronic Signature Standardization Initiative
European Telecommunications Standards Institute
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
11
EESSI –Přehled norem
Proces a prostředí pro vytváření podpisů
Proces a prostředí pro ověření podpisů
Formáty a syntaxe podpisů
Zařízení na vytváření podpisů
Požadavky na PCS
Spolehlivý systém
Poskytovatel certifikačních služeb
Uživatel-podpis.strana
Ověřující strana
CEN E-SIGN
ETSI ESI
Kvalifikovaný certifikát
Časové značky
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
12
ETSI
Požadavky na politiku PCS vydávajících kvalifikované certifikáty;
Profil kvalifikovaných certifikátů;
Profil časových značek;
Formáty elektronických podpisů.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
13
Požadavky na politiku PCS vydávajících kvalifikované certifikáty Obsahuje úvodní paragrafy (definice základních
pojmů a jejich souvislosti) – úvod do politiky kvalifikovaných certifikátů Povinnosti a závazky Požadavky pro praktickou činnost PCS
vydávajících kvalifikované certifikáty (např. CPS, životnost klíčů, certifikátů,
management certifikátů, bezepečnostní aspekty, atd.)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
14
Profily kvalifikovaných certifikátů- norma vychází z draftu skupiny IETF PKIX,
certifikát je označen jako QC buď v identifikátoru politiky či v příslušném QC rozšíření (extension):
• Certifikát je vydáván jako QC• Je omezena hodnota transakce pro kterou je
certifikát vydán• Je definováno období, po které je informace o
registraci certifikátu uchovávána
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
15
Profil časových značek
Jaké algoritmy a s jakými parametry mají být podporovány
V zásadě odkaz na :
draft-ietf-pkix-time-stamp-12.txt
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
16
Formáty elektronických podpisů ETSI TS 101 733
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
17
ES -C
Elect. Signature (ES) Completecertificate
andrevocationreferences
Completecertificate
andrevocation
data
Timestampover CES
Timestampover
Completecert. andrev. refs.
ES-A
Timestampover digitalsignature
Other SignedAttributes
DigitalSignature
SignaturePolicy ID
ArchiveTimestamp
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
18
1 2
Trusted ServiceProvider
Signature PolicyIssuer
3
Validation Process Valid Invalid Validation Incomplete
ES-C
Other SignedAttributes
DigitalSignature
ES-TElect. Signature (ES)
SignaturePolicy ID
SignedUser data
4
Completecertificate
andrevocationreferences
Timestampover digitalsignature
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
19
CEN\ISSS
Bezpečnostní požadavky na důvěryhodné systémy PCS, kteří vydávají kvalifikované certifikáty
Bezpečnostní požadavky na zařízení pro vytváření el. podpisu;
Uživatelský interface a operační prostředí při vytváření elektronického podpisu
Požadavky na verifikaci el. podpisu
Příručka k ověřování shody prostředků pro el. podpis a navazujících služeb
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
20
Non-Public orExtended Policies
Public UsePublic Usewith SSCD
Electronic Signature Electronic Signature
+ Validation DataElectronic Signature
+Val Data +Time stamp
Lower Level Qualified Level Higher Level
Lower Level Qualified Level
EESSI Standard
Qualified Certificate Policy
Electronic SignatureFormat
Qualified Certificate Format
Time-stampingProtocol
Security Requirementsfor Trustworthy Systems
SSCD
Qualified Certificate Profile
Time Stamping Profile
Option Within Standard
Qualified Electronic Signature with Long-term Validity
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
21
Non-Public orExtended Policies Public Use
Public Usewith SSCD
Electronic Signature Electronic Signature
+ Validation DataElectronic Signature
+Val Data +Time stamp
Lower Level Qualified Level Higher Level
Lower Level Qualified Level
EESSI Standard
Qualified Certificate Policy
Electronic SignatureFormat
Qualified Certificate Format
Time-stampingProtocol
Security Requirementsfor Trustworthy Systems
SSCD
Qualified Certificate Profile
Profile from IETF Timestamp Protocol
Option Within Standard
Electronic Signature Using Qualified Certificate
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
22
Non-Public orExtended Policies
Public UsePublic Usewith SSCD
Electronic Signature Electronic Signature
+ Validation DataElectronic Signature
+Val Data +Time stamp
Lower Level Qualified Level Higher Level
Lower Level Qualified Level
EESSI Standard
Qualified Certificate Policy
Electronic SignatureFormat
Qualified Certificate Format
Time-stampingProtocol
Security Requirementsfor Trustworthy Systems
SSCD
Qualified Certificate Profile
Time Stamping Profile
Option Within Standard
Qualified Electronic Signature
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
23
Zdroj
Prezentace György Endersz, Telia Research AB, SwedenChairman ETSI ESI Working Group: European Electronic Signature Standardisation Initiative (Barcelona September 2000)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
24
Odkazy
ETSI:http://www.etsi.org/sec/el-sign.htmSign up from Web-site to open El Sign mailing list
CEN:http://www.cenorm.be/isss/workshop/e-sign
EESSI: http://www.ict.etsi.org/eessi/EESSI-homepage.htm
ISSE Conference & Workshops:http://www.eema.org/isse
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
25
Nová evropská iniciativa v oblasti kryptografie NESSIE
(New European Schemes for Signature, Integrity, and Encryption)
http://cryptonessie.org
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
26
NESSIE
„Portfolio“ tzv. kryptografických primitivů Podstatně širší než obdobný projekt AES Navazuje na již získané výsledky v rámci
evropských struktur
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
27
NESSIE
1. Blokové šifry2. Synchronní proudové šifry3. Samosynchronizující se proudové šifry4. Autentizační kódy zpráv (MAC)5. Hashovací funkce rezistantní vůči kolizím6. Jednosměrné hashovací funkce7. Pseudonáhodné funkce8. Asymetrická schémata pro šifrování9. Asymetrická schémata pro digitální podpis10. Asymetrická schémata pro identifikaci
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
28
NESSIE
dvě bezpečnostní úrovně (normální a vysoká),
Blokové šifry: bloky textu 128 bitů, délky klíčů minimálně 256 bitů (vysoká bezpečnost), resp. minimálně 128 bitů (normální bezpečnost)
v září 2000, mají být odevzdány výchozí návrhy , 1.konference – listopad 2000
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
29
Normy v bankovnictví - ECBS
European Committee for Banking Standards: BIOMETRICS: TR 400 SECURE BANKING OVER THE INTERNET: TR 401,
March 1997 obsahuje obecná bezpečnostní východiska, popis SET,
velice stručně úvod k PKI CERTIFICATION AUTHORITIES: TR 402, December
1997 (update October 1999).
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
30
Normy v bankovnictví - ECBS
European Committee for Banking Standards:
Key Recovery in Financial Systems, TR 405, June 1998
východiska ??(v legislativě – příklad postoje Anglie
GUIDELINES ON ALGORITHMS USAGE AND KEY MANAGEMENT, TR 406, September 1999
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
31
BIOMETRICS: TR 400 (1996)
8.1Physical Biometrics 8.1.1 Fingerprint verification 8.1.2 Retina scanning (sken sítnice) 8.1.3 Iris Scan 6 (sken oční duhovky) 8.1.4 Facial Recognition 8.1.5 Hand geometry 8.1.6 Vein Patterns 8.2 Behavioural Biometrics 8.2.1 Voice verification8 8.2.2 Signature dynamics 8.2.3 Keystroke dynamics 9. Usage
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
32
BIOMETRICS: TR 400 (1996)
Obsahuje tedy v zásadě určitý přehled problematiky (ovšem vývoj v této oblasti je rychlý)
Dále obsahuje určitá základní doporučení k používaná těchto metod (např. pro výběr biom. metody: sociální akceptovatelnost, snadnost manipulace, bezpečnost, náklady)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
33
SECURE BANKING OVER THE INTERNET: TR 401, March 1997
Tento dokument lze rovněž těžko nazvat normou,jeho cílem je spíše provést přehled metod pro zabezepečení dat (na internetu)
- přehled možných útoků, vlastnosti firewallů, protokoly (SSL,S-HTTP, TSL,...), zabezpečení mailů, včlenění finančních dokumentů, el. obchod (SET, Homebanking) a jen velmi stručně k PKI
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
34
CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999).
Vzhledem k úpravám respektujícím současné trendy již první modernější dokument
Obsahově pokrývá oblasti, o kterých bylo v dnešních přednáškách již hovořena. Z hlediska bankovnictví jsou nesporně významná doporučení ECBS na závěr jednotlivých paragrafů
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
35
CERTIFICATION AUTHORITIES: TR 402, December 1997( October 1999).
Příloha B obsahuje přehled certifikátů používaných v bankovnictví:
- X 509 certificate
- ISO 11 166 certificate
- UN/EDIFACT SJWG certificate
- EMV certificate- EDI 5/ETEBAC 5 certificate - TELESEC certificate
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
36
Key Recovery in Financial Systems, TR 405
Norma se zabývá problematikou Key Recovery, aktuální v době vydání normy, v současné době se díky legislativám v některých zemích upouští od používaní této metody – i když nemusí to platit všeobecně
(ale např. z našeho hlediska, tj . el.podpisu je uplatňována jednoznačně zásada nepopiratelnosti)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
37
GUIDELINES ON ALGORITHMS USAGE AND
KEY MANAGEMENT, TR 406, Sept. 1999 Průvodce současnými algoritmy: Definice Implementace Key management (celý životní cyklus klíčů) Odvolání (revokace) certifikátů Popis je opět doplněn určitými
doporučeními ECBS
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
38
Dotazy, upřesnění
?
Top Related