I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Podobné dokumenty
Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA

Služby vytvářející důvěru dle eidas a jejich uplatnění ve zdravotnictví

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS V PRAXI. Jan Tejchman Business Consultant

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Úložiště certifikátů pro vzdálené podepisování

SEMINÁŘ: KVALIFIKOVANÉ PEČETĚNÍ - NÁHRADA ELEKTRONICKÝCH ZNAČEK

EIDAS, DIGITÁLNÍ DŮVĚRA A MODERNÍ PAPERLESS. Jan Tejchman Business Consultant

Uživatelský manuál pro přístup do CS OTE Změny v certifikátech

eidas v praxi Aktuální témata

Důvěryhodný elektronický dokument optikou evropských nařízení. Jan Tejchman Senior Solution Consultant

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

ÚŘAD BEZ PRAXI. Jan Tejchman Senior Solution Consultant

Národní elektronický nástroj. Import profilu zadavatele do NEN

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

CS OTE. Dokumentace pro externí uživatele

SCS - Manuál. Obsah. Strana 1 (celkem 14) Verze 1.1

Prokazování dlouhodobé platnosti datových zpráv. Jihlava,

Enterprise Mobility Management

ČSOB Business Connector instalační příručka

Postup při registraci (autentizaci) OVM do informačního systému evidence přestupků (ISEP)

Certifikáty a jejich použití

1. DATOVÉ SCHRÁNKY OBECNÝ PŘÍSTUP K DATOVÉ SCHRÁNCE DATOVÉ ZPRÁVY... 3

Zpráva pro uživatele TSA

NÁHRADA ELEKTRONICKÝCH ZNAČEK ZKUŠENOSTI MPO

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

ČSOB Business Connector Instalační příručka

Rok informatiky 2016 SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY SZR JE NYNÍ EIDENTITA READY

Příručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Zpráva pro uživatele TSA

Plnění povinností eidas s využitím služeb I.CA. Ing. Petr Budiš. Ph.D., MBA První certifikační autorita, a.s

Uživatelský přístup do centrálního systému operátora trhu (CS OTE) - přechod z komerčních certifikátů na kvalifikované.

Průkaz státního zaměstnance jako komplexní bezpečnostní předmět

I.CA SecureStore Uživatelská příručka

Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem

I.CA SecureStore Uživatelská příručka

dne PROGRAM VEŘEJNÉ KONZULTACE Zpráva z veřejné konzultace místo konání: Ministerstvo vnitra, budova Centrotex, zasedací místnost č. 1.

PKI a čipové karty. Poskytovatel certifikačních služeb MPSV

Nová áplikáce etesty Př í přává PC ž ádátele

Služby egovernmentu. Certifikační autorita PostSignum Poštovní datová zpráva. Pavel Plachý Andrea Barešová

Správa přístupu PS3-2

Elektronická komunikace s CSÚIS. Jak to řeší Fenix

Programové vybavení OKsmart pro využití čipových karet

Elektronická evidence tržeb v KelSQL / KelEXPRESS / KelMINI

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

eidas Mgr. Dagmar Bosáková Smart Cards & Devices Forum

Bezpečnost internetového bankovnictví, bankomaty

ČSOB Business Connector

I.CA QVerifyTL aktuální stav, praktické zkušenosti. Ing. Roman Kučera První certifikační autorita, a.s

Prezentace platebního systému PAIMA

Důvěra napříč Evropou nařízení eidas. + návrh zákona o službách vytvářejících důvěru pro elektronické transakce

Elektronický podpis význam pro komunikaci. elektronickými prostředky

eidas 2015 Stav 12/2015 k nařízení EU č. 910/2014 ze dne

Použití čipových karet v IT úřadu

Uživatelská dokumentace

SSL Secure Sockets Layer

ProID+Q Uživatelská příručka

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky

Česká pošta, s.p. Certifikační autorita PostSignum

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

Max Homebanking PS uživatelský manuál rozhraní pro automatické stahování dat

Archivace Elektronických Dokumentů

Technické řešení. Poskytování časových razítek. v. 1.0

Metodický pokyn k elektronickým podpisům a pečetím pro veřejnoprávní původce

Jednotný identitní prostor Provozní dokumentace

[1] ICAReNewZEP v1.2 Uživatelská příručka

Uživatelská příručka pro zadavatele AUKČNÍ SÍŇ

Aktuální stav implementace eidas. Filip Bílek

UniSPIS Oboustranné rozhraní RŽP na e-spis

Pracovní postup náběhu do produktivního provozu

TokenME Uživatelská příručka

AIS MČ Praha 3 x Základní registry AIS MČ Praha 3 x Základní registry

Dokumenty dle eidas v praxi Michal Vejvoda

ProID+Q Uživatelská příručka

Národní elektronický nástroj. Principy práce s certifikáty v NEN

Víc než kvalifikovaná služba. SecuSign.

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

Odesílání citlivých dat prostřednictvím šifrovaného u s elektronickým podpisem standardem S/MIME

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Zpráva pro uživatele CA

eneschopenka technické řešení Pavel Borkovec ČSSZ, Křížová 25, Praha Architekt, Asseco Central Europe

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Zpracoval Datum Verze Popis změn

v programu Úvod Funkcionality modulu Pro zprovoznění modulu potřebujete Aktivace modulu v programu...

LETEM SVĚTEM egovernmentem. Roman Vrba, ředitel odboru egovernmentu MV ČR

Národní elektronický nástroj. Metodika při připojování individuálních elektronických nástrojů (včetně elektronických tržišť veřejné správy) k NEN

etoken 5110CC IDPrime MD3840 IDPrime MD840 (MD841)

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Zpráva pro uživatele CA

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

ProID+Q Uživatelská příručka

Kvalifikované služby dle eidas

1. Integrační koncept

Transkript:

Technické řešení služby I.CA RemoteSeal Ing. Filip Michl První certifikační autorita, a.s. 5. 4. 2018

Agenda Úvod ARX CoSign vs. DocuSign Signature Appliance Architektura Zřízení služby Aktivace služby Klientská komponenta Proces opečetění dat Automatické prodloužení služby Webové rozhraní Bezpečnost

Úvod I.CA RemoteSeal služba pro vzdálené vytváření Kvalifikovaných elektronických pečetí Nejvyšší možná forma elektronické pečetě, vyžadující: Kvalifikovaný certifikát pro elektronické pečetě (QcStatement 6.2) Privátní klíč vygenerovaný a uchovávaný v certifikovaném QSealCD zařízení. Zajištění bezpečného způsobu autentizace uživatele vůči QSealCD zařízení za účelem použití privátního klíče.

DocuSign Signature Appliance alias ARX CoSign ARX (Algorithmic Research) CoSign v8.2 Společnost ARX koupena v roce 2015 společností DocuSign Produkt nadále prodáván pod názvem DocuSign Signature Appliance v8.2

DocuSign Signature Appliance alias ARX CoSign Zařízení certifikováno jako QSealCD viz https://ec.europa.eu/futurium/en/content/compilation-member-states-notificationsscds-and-qscds Certifikace (resp. specifikovaný Security Target) umožňuje využít zařízení jako HSM modul pro vytváření kvalifikované pečeti na dálku pouze při splnění podmínky: Zařízení musí být provozováno Kvalifikovaným poskytovatelem služeb vytvářejících důvěru. Zařízení generuje, uchovává a používá privátní klíče takovým způsobem, že je nelze v otevřené podobě exportovat. Zařízení poskytuje REST API over HTTPS pro realizaci pečetění a potřebný management. Dvojici zařízení je možné provozovat v režimu High Availability. Zařízení je certifikováno dle Common Criteria for Information Technology Security Evaluation, version 3.1 revision 4 s úrovní záruk EAL4+

Architektura

Architektura popis komponent systému RSeC RemoteSeal Client klientská komponenta určená pro integraci do volající aplikace, typicky do spisové služby. RSeS RemoteSeal Server základní aplikační server provozovaný I.CA, který realizuje první vrstvu autentizace volající aplikace a udržuje evidenci provedených transakcí (opečetění). DSA DocuSign Signature Appliance certifikovaný QSealCD HSM modul. RSeActivationUtil Aktivační utilita sloužící k aktivaci RSeC pomocí tzv. aktivační karty.

Zřízení služby Probíhá návštěvou oprávněné osoby klienta na Registrační autoritě (RA). Před návštěvou RA není potřeba generovat žádnou žádost. Oprávněná osoba si odnáší aktivační kartu, na které je: Prvotní autentizační certifikát včetně privátního klíče Pečetící certifikát (pouze veřejná část klíče) V tuto chvíli je aktivační karta resp. privátní klíč autentizačního certifikátu jediná možnost, jak dešifrovat autentizační údaje k DSA.

Aktivace RemoteSeal Clienta Oprávněná osoba spustí dodávanou utilitu RSeActivationUtil

RSeActivationUtil Po vložení aktivační karty a stisku tlačítka Další utilita: Naváže oboustranně autentizovaný HTTPS kanál s RemoteSeal serverem. Automaticky vytvoří a odešle ke zpracování žádost o vydání následného certifikátu k prvotnímu autentizačnímu certifikátu. Po vydání následného certifikátu je tento automaticky získán z CA. Provede přešifrování kryptogramu autentizačních údajů k DSA uloženého na RSeS, kvůli zajištění přístupu i pomocí následného certifikátu. Následný certifikát včetně privátního klíče vyexportuje utilita do aktivačního souboru. Obsah aktivačního souboru je šifrován tak, že jej není možné použít jinak než v RSeC. Uživatel tento aktivační soubor následně načte do aplikace volající RSeC (typicky do spisové služby).

RSeActivationUtil technické parametry Jednoduchá Windows GUI utilita. Nemusí být spouštěna na stejném PC, na kterém je provozován RSeC. Vyžaduje:.NET 4.0

RSeC - Architektura RemoteSeal Client Klientská komponenta sloužící k zadávání transakcí (požadavků na opečetění dat) do systému RemoteSeal. Nativní C++ jádro Distribuováno ve formě: JAR pro Java.NET assembly pro.net V případě zájmu možno volat přímo nativní jádro.

RSeC Podporované formáty podpisu CAdES-B-B, CAdES-B-T Dle normy EN 319 122, ve variantách: Interní Externí PAdES-B-B, PAdES-B-T Dle normy EN 319 142, ve variantách: Neviditelný Viditelný Text/Obrázek/Text+Obrázek + volitelně obrázek na pozadí Podepisovaná data (business obsah) nikdy neopouští volající systém (komponentu RSeC)!

Proces opečetění dat Dokument k opečetění, parametry požadovaného opečetění, číslo jednací, aktivační soubor Spisová služba RSeC Opečetěný dokument klient I.CA TSA I.CA RemoteSeal I.CA RemoteSeal RSeS + DSA

Proces opečetění dat Spisová služba Dokument k opečetění, parametry požadovaného opečetění, číslo jednací, aktivační soubor Opečetěný dokument RSeC Příprava podpisu, výpočet hashe Rozšifrování autentizačních údajů Žádost o opečetění klient I.CA Získání časového razítka Získání aktuálního pečetícího certifikátu Kryptogram autentizačních údajů Autentizace, hash k opečetění Kryptogram hashe TSA Ověření žádosti, založení pečetící transakce Ověření autentizace, opečetění hashe privátním klíčem I.CA RemoteSeal RSeS + DSA

Automatické prodloužení služby RSeC disponuje funkcionalitou automatické obnovy autentizačního certifikátu. Před koncem platnosti autentizačního certifikátu je automaticky vytvořena žádost o následný certifikát, která je odeslána na I.CA. V rámci odeslání žádosti je veřejný klíč zaregistrován na RSeS a dojde k přešifrování autentizačních dat k DSA pro umožnění přístupu pomocí následného certifikátu. Po vydání následného autentizačního certifikátu je tento stažen a automaticky se začne využívat pro autentizaci k RSeS. Celý tento proces se děje zcela automatizovaně a transparentně vůči volající aplikaci a probíhá jako součást operace opečetění dat. Z hlediska volající aplikace stačí zajistit, aby došlo cca 1x za 14 dní k opečetění libovolného dokumentu.

Automatické vydání následného pečetícího certifikátu Před koncem platnosti pečetícího certifikátu dojde prostřednictvím RSeC k vygenerování nového klíčového páru v DSA a vygenerování a opečetění žádosti o následný certifikát původním pečetícím certifikátem. Tato žádost je zpracována v I.CA standardní cestou. Po vydání certifikátu provede RSeC registraci certifikátu do DSA a RSeS a tento se tímto okamžikem začne automaticky používat pro vytváření kvalifikovaných elektronických pečetí. Tento proces je plně automatický a z volající aplikace transparentní. Z hlediska volající aplikace stačí zajistit, aby došlo cca 1x za 14 dní k opečetění libovolného dokumentu

Webové uživatelské rozhraní Webové uživatelské rozhraní umožňuje oprávněné osobě klienta: Procházet a prohledávat seznam provedených opečetění Hledat např.: dle data, hashe dokumentu nebo čísla jednacího Prohlížet detailní informace zda a kdy a jakým certifikátem byl daný dokument opečetěn.

Bezpečnost DSA je včetně svého řešení autentizace certifikováno jako řešení pro vytváření Kvalifikované elektronické pečetě. Přesto I.CA RemoteSeal přidává další bezpečnostní prvky: Zamezení potenciální možnosti zkopírování autentizačních údajů do DSA mezi návštěvou RA a aktivací služby díky bezpečné aktivační čipové kartě. Zakládání transakcí na RSeS prostřednictvím oboustranně autentizovaného HTTPS kanálu pro zpřístupnění zašifrovaným autentizačních dat k DSA. Runtime kontrola integrity klientské komponenty RSeC (i RSeActivationUtil). Zabezpečení komunikačního kanálu RSeC-DSA pomocí techniky Certificate Pinning. Kontrola integrity konfigurace RSeC proti neoprávněným změnám. Možnost zpětné kontroly seznamu opečetěných dokumentů.

Závěr Děkuji za pozornost. Ing. Filip Michl michl@ica.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář