digitální podpis vjj 1

Transkript

1 digitální podpis vjj 1

2 vjj 2 příklad C: \Program Files \Microsoft Office \Office15 \WinWord.exe

3 vjj 3 C: \Program Files \Microsoft Office \Office15 \WinWord.exe digitální podpis

4 vjj 4 C: \Program Files \Microsoft Office \Office15 \WinWord.exe certifikát

5 vjj 5 asymetrické šifrovací algoritmy autor privátní šifrovací klíč veřejnost certifikát potvrzení, že v certifikátu uvedený veřejný šifrovací klíč a autorova identita patří k sobě

6 vjj 6 digitální podpis xxx = hash obsahu yyy = zakódování xxx privátním klíčem zzz = obsah + yyy + certifikát autora hash obsahu =? dekódování yyy veřejným klíčem autora

7 proč digitální podpis záruka bezchybného a/nebo neškodného kódu autorská práva záruka integrity obsahu záruka identity zdroje pokud se budete ptát lháře jestli lže,... - NE - NE - ANO, ale... - ANO, ale... ověření identity zdroje - ANO pokud je certifikát vydán někým komu věříte autor (důvěryhodný) certifikační autorita (důvěryhodná) pokud jste si ověřili, že ten konkrétní certifikát skutečně vydal on vjj 7

8 vjj 8 digitálně podepsaný kód důležité jsou body s odpovědí ANO jistota - že kód nebyl, od doby kdy ho (ověřený, tj. dohledatelný) autor (podpisu) podepsal, nikým a ničím pozměněn - pro právníky jistota - pouze schválených aplikací - secure enterprise environment důvěra - důvěřuji autorovi, že mi nepodstrčí zákeřný kód - pro (naivní) konzumenty

9 vjj 9 obsah certifikátu účel tj. k čemu lze používat příslušné klíče identita majitele certifikátu identita vydavatele certifikátu platnost certifikátu (od kdy do kdy) "public key" majitele kde lze ověřit uvedené údaje to celé je digitálně podepsáno privátním klíčem vydavatele certifikátu

10 vjj 10 důvěra důvěryhodnost certifikátu? důvěryhodnost vydavatele certifikátu? způsob ověřování

11 vjj 11 Certifikační Autorita privátní podniková státní elektronické ID karty elektronické volby komunikace s úřady u nás CHYBÍ (?!?!?! Min. vnitra / NBÚ / BIS / ÚOOÚ ) komerční akreditovaná státem stát svěřuje důvěryhodnost své komunikace s občany a podniky do rukou soukromému provozovateli CA

12 vjj 12 Certifikační Autorita komerční Thawte Consulting certificate authority (CA) for X.509 certificates Thawte was founded in 1995 by Mark Shuttleworth in South Africa and was the second largest public CA on the Internet VeriSign founded in 1995 in 1999 VeriSign acquired Thawte in a stock purchase from Shuttleworth for US$575 million in 2000, Verisign acquired Network Solutions, which operated the.com,.net and.org gtlds (generic top-level domain) Symantec In 2010, Verisign sold its authentication business unit to Symantec for $1.28 billion

13 vjj 13 Certifikační Autorita akreditovaná (pod dohledem ÚOOU) zákon o elektronickém (digitálním) podpisu (č. 227/2000 Sb,... ) komerční zájmy převládají nad zdravým rozumem akreditovaná CA - I.CA, PostSignum, eidentity kvalifikovaný certifikát zaručený podpis

14 vjj 14 Timestamp Server offline?

15 získání certifikátu uživatel vygeneruje dvojici klíčů + certifikát - HOTOVO vygeneruje jen dvojici klíčů privátní klíč do souboru.pvk nebo do CSP kontejneru připraví žádost o certifikát obsahující veřejný klíč Certifikační autorita (program, instituce) ověří identitu uživatele vygeneruje a podepíše.cer CA (software) je součást Windows serveru (od W2K) vjj 15

16 vjj 16 generování klíčů a certifikátu Certificate Creation Tool: makecert -sv myprivkey.pvk mycert.cer

17 vjj 17 typ souboru *.spc Software Publisher's Certificate *.pvk odpovídající privátní klíč *.cer DER encoded binary X.509 *.p7b PKCS #7 Cryptographic Message Syntax Standard slouží k ukládání privátního klíče *.pfx PKCS #12 Personal Information Exchange slouží k ukládání privátního klíče chráněn heslem *.snk Strong Name Key Personal Information Exchange slouží k ukládání privátního klíče

18 vjj 18 v souboru *.pvk - bez hesla *.p7b - s heslem privátní klíč v CSP kontejneru registry smart card, USB token

19 vjj 19 CSP CSP Crypto Services Provider modul pro přístup ke kontejneru s šifrovacími klíči CSP moduly pro přístup ke kontejnerům v registry jsou součástí Windows CSP moduly pro přístup ke kontejnerům na čipových kartách a USB tokenech by měly být součástí driverů, protože bez nich nelze tato zařízení použít. Ale většinou jsou dodávány pouze jako součást placených balíků HW + "middleware". Součásti "middleware" bývají i nejjednodušší uživatelské utility. Často bývá "middleware" spolu s administrátorskými utilitami nedílnou součástí rozsáhlých balíků PKI softwaru s astronomickými cenami.

20 vjj 20 příklad PowerShell cd cert: dir cd.\\currentuser ls cd.\my dir fl

21 vjj 21 příklad MMC Certificates Current User + Local Computer Gemalto MiniDriver Manager

22 vjj 22 EFS certifikát uživatele příklad EFS EFS Recovery certifikát doménového administrátora PowerShell - cert: MMC - certificates PowerShell - cipher /C

23 vjj 23 podepsaný mail samples Outlook File Options Trust Center Trust Center Settings Trust Center Security Settings Change Security Settings Choose Outlook Options Permissions Sign podepsaný Office dokument Outlook File Info Protect... Add a Digital Signature

24 Signed Exe vjj 24

25 vjj 25

26 signing vjj 26

27 vjj 27 Signing Set Signer = CreateObject ("Scripting.Signer") Signer.SignFile File, mycert.cer, "My"

28 vjj 28 co Signing PE soubory (EXE, DLL,...), ale i skripty, jakékoliv soubory jak Visual Studio utilita vlastní program skript

29 vjj 29 příprava certifikátu instalace klíče do kontejneru CSP rovnou během generování certifikátu soubory s klíčem a certifikátem -> token utilita, midleware -> registry mmc.exe snap-in Certificates, My user account Cerificates Current User Personal Certificates Action All Tasks Import

30 vjj 30 Signing - 1. způsob Visual Studio.NET aplikace menu Project Application Properties, záložka Signing podepsat manifest pro distribuci pomocí ClickOnce vytvoření testovacího certifikátu (PFX) načtení existujícího souboru PFX (bez omezení) použití certifikátu a klíčů z uživatelova CSP uložiště "My" podepsat celou assembly pomocí Strong Name existující soubor SNK existující soubor PFX (Bare Format tj. bez jiných certifikátů a bez Extended Properties) New wizard default je SNK soubor obsahující privátní klíč nebude chráněn heslem explicitní zadání přípony PFX wizard se zeptá na heslo

31 vjj 46 SignTool.exe signwizard Visual Studio SDK Signing - 2. způsob \Program Files (x86)\microsoft Visual Studio 8\SDK\v2.0\Bin už ne, ale VS obsahuje Windows SDK: Windows SDK jen "command line" verze C:\Program Files\Microsoft SDKs\Windows\v7.1A\Bin C:\Program Files (x86)\windows Kits\8.0\bin\x64 i \x86 C:\Program Files (x86)\windows Kits\8.1\bin\x64 i \x86 a \arm WDK už ne C:\WinDDK\7001\bin\SelfSign

32 vjj 47

33 vjj 48

34 vjj 49

35 vjj 51 Signing - 3. způsob signtool signtool signtool sign /f mycert.pfx /p password mypgm.exe Timestamp /t URL mypgm.exe Verify /a mypgm.exe

36 vjj 52 VB script Signing - 4. způsob soubor s certifikátem k privátnímu klíči nainstalovaném na lokálním počítači "My" - defaultní uložiště klíčů Set Signer = CreateObject ("Scripting.Signer") Signer.SignFile File, mycert.cer, "My"

37 vjj 53 Signing - 4. způsob Win32 API LoadLibrary("Mssign32.dll");... GetProcAddress("SignerSignEx");... GetProcAddress("SignerTimeStampEx");... GetProcAddress("WinVerifyTrust");

38 vjj 54 Signing - 4. způsob CAPICOM.dll System.Security.Cryptography.Pkcs SignedData object, SignedCode object SignedCode.Signer.Load ("pfx file", pswd) SignedCode.FileName =... SignedCode.Sign(Signer) SignedCode.Timestamp(URL) SignedCode.Verify(true)

39 vjj 55 PowerShell script Signing - 5. způsob "My" - defaultní uložiště klíčů $file = "file fullname" $cert cert:\currentuser\my -codesigning)[0] Set-AuthenticodeSignature $file $cert

40 vjj 56 PowerShell New-SelfSignedCertificate Get-AuthenticodeSignature Set-ExecutionPolicy Get-ExecutionPolicy

41 Execution Policy Restricted nespustí žádný skript (default) AllSigned všechny skripty musí být podepsány kontroluje digitální podpisy zeptá se, zda je autor důvěryhodný (jednorázově x trvale) RemoteSigned jen remote skripty musí být podepsány kontroluje digitální podpisy zeptá se, zda je autor důvěryhodný (jednorázově x trvale) Unrestricted nekontroluje podpisy Bypass vjj 57

42 vjj 58 uživatel Windows Explorer ověření podpisu File Properties Digital Signatures autor (web, tlf, osobně,... ) aplikace Windows Explorer platný certifikát x důvěryhodný majitel

43 verification vjj 59

44 vjj 60 limited set of CAs for Windows Driver Verification Policy signtool Verify /a mypgm.exe >signtool.exe Verify /a testsigned.exe SignTool Error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. SignTool Error: File not valid: testsigned.exe Number of errors: 1

45 vjj 61 Default Authentication Verification Policy signtool Verify /pa mypgm.exe > signtool.exe Verify /pa testsigned.exe Successfully verified: testsigned.exe

46 vjj 63 X509 verification #using System.Security.Cryptography.X509Certificates; X509Certificate cert = CreateFromSignedFile( "filename" ); DWORD Version; DWORD SerialNumber[4]; ALG_ID SignatureAlgorithm; FILETIME ValidFrom; FILETIME ValidUntil; PSTR pszissuer; PSTR pszsubject; PctPublicKey *ppublickey

47 vjj 64 X509 certificate #using System.Security.Cryptography.X509Certificates; X509Certificate cert = CreateFromCertFile( "filename" ); DWORD Version; DWORD SerialNumber[4]; ALG_ID SignatureAlgorithm; FILETIME ValidFrom; FILETIME ValidUntil; PSTR pszissuer; PSTR pszsubject; PctPublicKey *ppublickey

48 je kód ze zcela spolehlivého zdroje? je kód digitálně podepsaný? je v certifikátu jako autor/distributor uveden někdo, komu důvěřuji? vydala certifikát (obecně/mně) důvěryhodná certifikační autorita nebo ho vygeneroval někdo, komu důvěřuju? kód není důvěryhodný ověřím si přímo u vydavatele certifikátu (CA, autor,...), jestli je tento certifikát platný kód je důvěryhodný vjj 65

49 vjj 66 paranoidní uživatel? bázlivý, vystrašený přehnané a nedoložené obavy o vlastní bezpečnost důsledná podniková Bezpečnostní politika

50 vjj 67 PKCS #1 #3 #5 #6 #7 #8 #10 #11 #12 #13 #14 #15 public-key cryptography standards RSA Diffie-Hellman Password-based Encryption Extended-Certificate Syntax Cryptographic Message Syntax Private-Key Information Syntax Certification Request Cryptographic Token Interface Personal Information Exchange Elliptic Curve Cryptography Pseudo-random Number Generation Cryptographic Token Information Format

51 vjj 68 osobnosti Whitfield Diffie, Martin Hellman Ronald Rivest, Adi Shamir, Len Adleman, Ross Anderson Vlastimil Klíma, Tomáš Rosa Petr Hanáček Václav Matyáš Pavel Vondruška