Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Transkript

1 Důvěřujte JEN PROVĚŘENÝM Pavel Dobiš, ICT Security Architect

2 Agenda Aplikace PIV v MO USA Architektura PIV Fyzická bezpečnost a PIV Informační bezpečnost a PIV

3 Co je to PIV není Pivo :o) Soubor lidí, procesů a technologií poskytující jednotnou identifikační kartu prostřednictvím nichž lze provádět bezpečnou identifikaci respektive autentizaci Fyzický přístup Logický přístup Standardizován a popsán v mnoha standardech Vzdálený přístup El. podepisování

4 PIV Standardy Standards Implementation Guide Test Guidelines FIPS 201 FIPS SP SP SP SP SP SP SP A SP B (PIV) of Federal Employees and Contractors. (PIV) of Federal Employees and Contractors (chng1) Interfaces for (4 parts): 1- End-Point PIV Card Application Namespace, Data Model and Representation 2- End-Point PIV Card Application Interface 3- End-Point PIV Client Application Programming Interface 4- The PIV Transitional Data Model and Interfaces Biometric Data Specification for Cryptographic Algorithms and Key Sizes for Guidelines for the Accreditation of (PIV) Card Issuers (PCI's) Codes for Identification of Federal and Federally-Assisted Organizations PIV Card Application and Middleware Interface Test Guidelines (SP compliance) PIV Data Model Test Guidelines

5 PIV není o jednom výrobci

6 APLIKACE PIV V USA MO

7 Ministerstvo obrany USA 4,3M zaměstnanců datových center zemí

8 Standardizovaná karta Centralizovaná bezpečnost Access Control Rule & Global PIN management Obecný kontejner (on-card buffers) Zaměstnacké ID Zdravotnické informace PIV Identita (id, obličej, otisk prstu) PKI pro autentizaci (login), el. podpis/šifrování RSA Key Pairs/ X.509 Certifikáty Další oblasti Vícenásobné Global Platform domény Plug-in podpora JAVACARD CC EAL5+ GLOBAL PLATFORM

9 Souhrn Centrální místo využíváno pro MO USA (Army, Air Force, Navy, Marines) a 25+ agentur 30M+ karet nasazeno v rámci PIVu 3.8M aktivních karet denně k přístupu k PC, ochraně u a digitálně podepsaných dokumentů 2.8M vydaných karet za rok Přes 11,000 vydaných karet denně Přes 2600 operátorských stanic v 1000 lokalitách ve 27 zemích Užívané v neklasifikovaných, ale i ve velmi citlivých prostředích Snížení počtu útoků o 46%

10 ARCHITEKTURA PIV

11 Jak vidí PIV uživatel? Uživatelský pohled Vstup do budovy Personální údaje Přístup do PC Foto Síťový a aplikační přístup Vzdálený přístup Jednotná správa

12 Architektura standardu PIV Personální systém Zaměstnanec Operátor Bezpečnostní manažer Schvalovatel PKI Certifikační autorita Fyzický přístup IDMS/LDAP Správa klíčů Logický přístup Enrollment stanice CDP Systém správy karet

13 Typické role standardu PIV Role Zaměstnanec Bezpečnostní manažer Schvalovatel Operátor Vydavatel Odpovědnost předat doklady potvrzující prokazovanou totožnost zodpovídá za bezpečnostní otázky zdůvodňuje potřeby zavedení identity a provádí její autorizaci služby podporující prokázání identity na základě schváleného požadavku provádí vydání karty s příslušnými oprávněními

14 Ověření identity a vydání karty Uživatel IDMS/LDAP Operátor Systém správy karet Bezpečnostní manažer Enrollment Schvalovatel Vydavatel

15 FYZICKÁ BEZPEČNOST A PIV

16 Autentizační metody Odolnost metody oproti hrozbám autentizační metody FASC-N zablokování padělání klonování ztráta sdílení CHUID+VIS CAK PIV+PIN PIV+PIN+BIO

17 Architektura fyzické autentizace srovnání s PIV Autentizační modul IS EKV Uživatel EKV DB identit Validační server Správce

18 PIV Autentizační modul Podporované protokoly: PIV (RS 485) Wiegand Podpora až 2 čteček Certifikováno dle FIPS Level 1 Certifikován dle PIV standardu

19 INFORMAČNÍ BEZPEČNOST A PIV

20 Architektura logické autentizace Jméno/heslo Mobil web Uživatel Soft token Web portál Internet Firewall Aplikační server PKI OTP token Call centrum Autentizační server VIP Uživatel Knowledge base IVR PSTN Firewall IVR server

21 Architektura v kontextu infrastruktury Externí zóna Demilitarizovaná zóna Interní zóna Externí uživatel RADIUS Front-end Firewall Autentizační portál Management konzole Firewall Autentizační server/appliance LDAP Interní uživatel Self-service portal

22 Autentizační mechanismy 1. Statické údaje kontaktní karty 2. ID zařízení SMS a 3. OTP EMV a tokeny 4. PKI 5. Dodatečná autentizace OOB jednorázové hesla webové tokeny, bezkontaktní karty statická hesla, bezpečnostní otázky 6. Dodatečná autentizace El. podpis

23 Přínosy PIVu Efektivní kombinace autentizačních metod a nástrojů Maximalizace uživatelského komfortu při zachování vysoké bezpečnosti Využití stávajících autentizačních nástrojů Sjednocení fyzického a logického přístupu Podpora pro Self-Enrollment

24 Jak zavádět PIV Procesně je PIV prakticky ve většině organizací již zaveden Fyzická bezpečnost Technologicky je nutné PIV zavádět po etapách Informační bezpečnost Nezávisle na fyzické bezpečnosti lze využívat i karty pro autentizaci

25 Centrální služby PKI Autentizační platforma Děkuji za pozornost Pavel Dobiš Mobilní bezpečnost Bezpečná databáze