09:00 09:20 09:30 09:35 10:15 10:30 10:50 11:10 11:30 12:10 12:15

Transkript

1

2 Agenda 09:00 Registrace účastníků 09:20 Přivítání účastníků semináře, Vladimír Drnek 09:30 Entrust Corporate Overview, Wolfgang Kussmann 09:35 Entrust 7.0 Introduction, Pavel Marťák 10:15 Přestávka 10:30 Secure Desktop Solutions, Pavel Marťák 10:50 Web Portal Solutions, Wolfgang Kussmann 11:10 New Secure Identity Management Solution, Wolfgang Kussmann 11:30 Demo Entrust :10 Závěr 12:15 Oběd v zahradě 9/29/2003 2

3

4 Z čeho se Entrust PKI skládá? Informační Systém Appl. Servery Certifikační a bezpečnostní politika Administrátor Administrace CA RA PKI Jednotná Databáze Zdrojů SAP PKI Uživatelské prostředí VPN klient

5 PKI není pouze CA a datový repositář Rozdíl mezi PKI a pouhou CA je fatální. Implementace samotné CA neřeší: Key management - obnova, distribuce a pod Provázanost koncových aplikací Počet párů klíčů Prosazování bezpečnostní (certifikační) politiky (existence hesla chránícího uživatelský profil a jeho sílu, typ a sílu šifrovacího algoritmu, využití CRL )

6 Základní parametry Entrustu Model s více páry klíčů Automatická aktualizace klíčů Správa historie klíčů Jednotný uživatelský profil Efektivní revokační systém Vynutitelnost bezpečnostní politiky Bezpečná distribuce CA klíče Mechanismus User profile recovery

7 Základní parametry Entrustu Jednoduché promítnutí organizačních změn do PKI - export import uživatelů, change DN Hromadné zpracování dat Grafický i command-line interface Nastavování libovolných vztahů s jednotlivými CA - Trust, subordinace Podpora On line a Off line certifikačního procesu Důvěryhodný certifikační proces - SEP a PKIX Důvěryhodný registrační proces

8 Základní parametry Entrustu - Role Master user Security Officer Auditor Operator ASH Service User Administrator User Reg Service (Admin Services) Server Login

9 Páry klíčů jeden pár

10 Páry klíčů - dva páry Privátní podepisovací Archivace Veřejný verifikační Privátní dešifrovací Archivace Případná záloha páru Veřejný šifrovací

11 Entrust více párů klíčů Možnost přístupu k již zašifrovaným datům starými klíči díky uchovávané historii klíčů Možnost budoucího dodatečné ověření již podepsaných dokumentů (dat) V PKI prostředí umožňuje automatickou správy klíčů - šetří náklady, v rozsáhlých prostředích nutnost Možnost nastartovat proces výměny klíčů dle nastavení administrátora Transparentní výměna neobtěžující uživatele nutností interakce

12 Entrust verze 7 autentizační pár 00:b4:35:15:17:9e:c9:56:bd:30:ee:dc:f3:b9:93: b2:d4:c7:a2:49:07:fc:14:8b:90:c3:e9:59:cc:7a: 88:2f:44:b2:a3:d0:24:9c:75:d9:71:60:e2:53:5e: d4:46:e5:53:de:21:c8:9c:56:d7:f8:64:ba:6e:4a: 38:d6:30:9b:88:89:57:62:d3:6e:ad:b4:9b:ce:c9: 15:9e:4b:e1:29:3f:52:34:fa:32:bb:7b:e9:69:55: 80:e5:35:78:79:f5:29:7d:2a:ab:35:8c:6f:e3:22: c8:fc:ac:19:32:15:83:21:de:2c:e4:0e:ca:a4:ba: db:ce:9a:65:28:c5:dd:72:2d Exponent: (0x10001) X509v3 extensions: X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Private Key Usage Period: Not Before: Sep 22 10:50: GMT, Not After: Oct 28 15:20: GMT X509v3 Extended Key Usage: TLS Web Client Authentication, Microsoft Smartcardlogin Authority Information Access: CA Issuers - URI: X509v3 Subject Alternative Name: othername:<unsupported>

13 Entrust verze 7 nonrep pár Nepopiratelnost odpovědnosti Specifická akce stvrzena elektronickým podpisem dedikovaným párem keyusage= ,n,m,bitstring,01 ; define qcstatements extension with RFC 3039 OID ; id-qcs-pkix-qcssyntax-v1 ( ) ;qcstatements= ,n,m,der,300c300a06082b b0 1 ; define qcstatements extension with ETSI OID ; id-etsi-qcs-qccompliance ( ) qcstatements= ,n,m,der,300a e460101

14 Entrust verze 7 EFS pár Privátní EFS Veřejný EFS Šifrování Uživatel EPF Šifrování Symetrický šifrovací RND Operační System MS CAPI Dešifrování Šifrování Soubor

15 Správa klíčů - finanční náročnost NÁKLADY ENTRUST CA ŘEŠENÍ Ztráta profilu s klíči, zapomenutí hesla Profile recovery 1 minuta administrátora, z pohledu uživatele 30 sec. zadaní ID Nepřístupnost zašifrované dokumentace, nový proces registrace a výdeje certifikátu Vypršení platnosti klíčů Automaticky ošetřeno Činnost administrátora i uživatele - podle řešení 5 až 10 minut Licence Fixní Podle počtu vydaných certifikátů Aplikační synchronizace Archivace verifikačních certifikátů Automatická - Jednotný uživatelský profil Automatická Manuálně prostřednictvím přenosových formátů (PKCS#12) - Nejednotnost úložišť -> Náklady na další identity Speciální proces a dedikovaná infrastruktura Migrace uživatelů, organizační změny, změny DN Administrátor podle počtu 1min. až doba zpracování dávky. Uživatel 0 Pro jednotlivce řádově 10- ky minut administrace a uživatelovo aktivity. Hromadně => nová infratsruktura

16 Entrust - generované certifikáty Web certifikáty - S/MIME certifikáty Code signing crtifikáty IPSec zařízení EFS Autentizační a SmardCard Login SET certifikáty WAP - WTLS Timestamping Atributní certifikáty Certifikáty politik Flexible Certificate Specification

17 Entrust - kryptografické metody Symetrické šifry: DES, 3DES, CAST 128, IDEA, RC2 Asymetrická kryptografie: RSA až 6144b DSA až 1024 ECDSA 192b HASH algoritmy MD5, SHA-1 Podpora kryptografického HW.

18 Entrust - podporované standardy Kryptografické algoritmy a standardy Šifrování DES (U.S. Data Encryption Standard) podle U.S. FIPS PUB 46-2 a ANSI X3.92. CAST bloková šifra podle RFC 2144 Triple-DES podle ANSI X9.52. RC2 podle Internet Draft: A Description of the RC2(r) Encryption Algorithm, R. Rivest, 06/24/1997. DES, CAST, RC2 a Triple-DES šifrování s užitím CBC operačního režimu podle U.S. FIPS PUB 81, ANSI X3.106 a ISO/IEC Digitální podpisy RSA standard pro digitální podpisy podle PKCS#1. DSA podle Digital Signature Standard, U.S. FIPS PUB 186 a ANSI X9.30 (Part 1) Hashovací funkce SHA-1 podle U.S. FIPS PUB a ANSI X9.30 (Part 2). MD5 Message-Digest algoritmus podle RFC Správa klíčů RSA standard pro přenos klíčů podle RFC 1421 a 1423 (PEM) a PKCS#1. (Entrust/Session Toolkit) Diffie-Hellman protokol pro výměnu klíčů podle PKCS#3. (Entrust/Session Toolkit) autentizace a výměna klíčů podle ISO/IEC a US FIPS PUB 196.

19 Entrust - podporované standardy Integrita pomocí symetrických technik Message Authentication Code (MAC) podle U.S. FIPS PUB 113, ANSI X9.9, a X9.19. Generace pseudonáhodných čísel Podle ANSI X9.17 (Appendix C) Datové formáty a protokoly Formáty certifikátů a CRL Certifikáty a extenze certifikátů verze 3 podle ITU-T doporučení X.509 (1997) a všeobecného standardu ISO/IEC (1997). CRL (Certificate Revocation Lists) a extenze CRL verze 2 podle ITU-T doporučení X.509 (1997) a všeobecného standardu ISO/IEC (1997). Extenze certifikátů a CRL podle specifikace profilů IETF PKIX-1. Extenze certifikátů a CRL podle specifikace SET 1.0. Profily certifikátů a CRL podle de-facto standardů pro web browsery a servery. RSA identifikátory algoritmů a formátů veřejných klíčů podle RFC 1422 a 1423 (PEM) a PKCS#1. Formát obálek souborů Standardní formát obálek souborů založený na RFC 1421 (PEM). Bezpečné obálkování souborů podle PKCS#7 a S/MIME.

20 Entrust - podporované standardy Formát bezpečných relací (Secure Session Format) On-line GSS-API mechanismus implementace veřejných klíčů užitím Simple Public Key Mechanism (SPKM) podle RFC 2025 a SPKM autentizace entit podle FIPS 196. Protokoly adresářových služeb LDAP (Lightweight Directory Access Protocol, verze2 a 3) podle RFC PKI operační protokol podle PKIX-2. Kompatibilita s adresářovým službami typu X.500 s podporou Directory Access Protocol (DAP) a Directory System Protocol (DSP) podle ITU-T X-500 (1993) a všeobecného standardu ISO/IEC Ukládání klíčů Ukládání soukromých klíčů založené na PKCS#5 a PKCS#8. Protokol pro správu klientů Secure Exchange Protocol (SEP), založený na Generic Upper Layers Security (GULS) standardech: ITU-T doporučení X.830, X.831, X.832 a ISO/IEC , , Protokoly pro správu certifikátů podle PKIX-CMP (dříve PKIX-3). Protokol pro žádost o certifikát podporující běžné web browsery podlepkcs#10.

21 Entrust - podporované standardy Aplikační programátorská rozhraní (APIs) Entrust/Session API s vysokou úrovní bezpečnosti podle Internet Generic Security Services API (GSS-API) RFC 1508 a API pro vysokou bezpečnost store-and-forward operací založené na Independent Data Unit Protection GSS- API (IDUP-GSS-API) Internet Draft, draft-ietf-cat-idup-gss-08.txt. PKCS#11 (CRYPTOKI) hardwarové kryptografické rozhraní podporují běžné hardwarové tokeny. Podpora FIPS Level 2 a tzv. vyšší implementace kryptografického modulu. A další ;-)

22 Datový repositář Libovolný LDAP v2 nebo v3 kompatibilní Implementace protokolu X široká škála schémat, možnost vytváření struktur a vazeb DSA na celosvětové úrovni, není jen úložiště certifikátu, dokáže popsat celou organizaci Odladěno s OpenLDAP, Oracle internet directory, Novell EDir, Control Data directory,ms AD Standardně dodávané s CriticalPath ( bývalé i500)

23 Datový repositář Adresářový repositář by měl oproti CA vysoce dostupný(x.500- replikační mechanismy...)

24 Platformní pokrytí Win NT, Win 2000,Win XP, Win 95, Win 98 HP-UX Solaris AIX Tru64

25

26 Entrust/WEBConnector Vydávání Web certifikátů: uživatelské serverové code signing Jednotná mgmt. Konzole Levnější licenční podmínky na vydaný certifikát

27 Entrust/Verification server Tři základní funkce: Ochrana integrity dokumentu On Demand Timestamping Verifikace klíčů

28 Timestamping Entrust/Verification server

29 Entrust/Verification server Podpisová služba RFC 2630, Cryptographic Message Syntax, XML

30 Entrust/Verification server XKMS validační služba XML Key Management Specification XKMS

31 Entrust/Roaming server Java(TruePass) Aplikace EPF dsa TLS/SSL GSS/DH Roaming (Profile) Server

32 Entrust/AutoRA

33 Aplikační vývoj Aplikační vývoj vhodným API - GSSAPI => přenositelnost zdrojového kódu Entrust Session toolkit Entrust File toolkit Entrust IPSec negotiator toolkit Entrust Java toolkit Entrust RA toolkit Entrust Admin toolkit

34

35 Entrust/Entelligence

36 Entrust/Entelligence Integrace s uživatelským desktopem Transparentní šifrování a podepisování Správa uživatelského profilu Address book pro Off-line režim Možnost command line interface

37 Entrust/ICE Transparentní šifrování souborů v označeném adresáři Možnost store and forward mechanismu Plná vazba na PKI infratsrukturu

38 Entrust/Direct Zabezpečení HTTP komunikace client - server Silná kryptografie až 2048 b. Vazba na CRL 3 fázové potvrzení nepopiratelnosti odpovědnosti Možnost dávkového zpracovávání dat Přímá podpora elektronických formulářů Zatunelování do standardního HTTP Centrální zpráva bezpečnosti pro browsery Automatický mgmt. Klíčů Jednotný profil

39 Entrust/Express Transparentní podpora pro S/MIME Možnost využití dalších vlastností dané řešení entrust, zachování šifrované pošty, šifrování důvěrných původně nešifrovaných mailů Vazba na Key mgmt. Vazba na bezpečnostní politiku Vazba na CRL

40 Entrust/Sign On Systémový a aplikační SSO Možnost vazby na čipové karty nebo biometriku Jednotné prosazení bezpečnostní politiky již při přihlašování

41 Entrust/Entelligence - CAPI Aplikace

42 Entrust MS CAPI integrace

43 SAP SNC SSF FTP SSH Entrust GSSAPI aplikace

44 Entrust - vedoucí postavení na trhu Xcert 2.9% Microsoft 4.9% Other 6.8% GTE 7.5% Netscape 8.6% Entrust 46.08% Security Dynamics 10.3% Baltimore 13.0%... the big gorilla in PKI software revenues was clearly Entrust Technologies. With 34.6% of the overall market and 46.08% of the product market, the company is clearly a force to be reckoned with IDC s Internet Security