Agenda 09:00 Registrace účastníků 09:20 Přivítání účastníků semináře, Vladimír Drnek 09:30 Entrust Corporate Overview, Wolfgang Kussmann 09:35 Entrust 7.0 Introduction, Pavel Marťák 10:15 Přestávka 10:30 Secure Desktop Solutions, Pavel Marťák 10:50 Web Portal Solutions, Wolfgang Kussmann 11:10 New Secure Identity Management Solution, Wolfgang Kussmann 11:30 Demo Entrust 7.0 12:10 Závěr 12:15 Oběd v zahradě 9/29/2003 2
Z čeho se Entrust PKI skládá? Informační Systém Appl. Servery Certifikační a bezpečnostní politika Administrátor Administrace CA RA PKI Jednotná Databáze Zdrojů SAP PKI Uživatelské prostředí VPN klient
PKI není pouze CA a datový repositář Rozdíl mezi PKI a pouhou CA je fatální. Implementace samotné CA neřeší: Key management - obnova, distribuce a pod Provázanost koncových aplikací Počet párů klíčů Prosazování bezpečnostní (certifikační) politiky (existence hesla chránícího uživatelský profil a jeho sílu, typ a sílu šifrovacího algoritmu, využití CRL )
Základní parametry Entrustu Model s více páry klíčů Automatická aktualizace klíčů Správa historie klíčů Jednotný uživatelský profil Efektivní revokační systém Vynutitelnost bezpečnostní politiky Bezpečná distribuce CA klíče Mechanismus User profile recovery
Základní parametry Entrustu Jednoduché promítnutí organizačních změn do PKI - export import uživatelů, change DN Hromadné zpracování dat Grafický i command-line interface Nastavování libovolných vztahů s jednotlivými CA - Trust, subordinace Podpora On line a Off line certifikačního procesu Důvěryhodný certifikační proces - SEP a PKIX Důvěryhodný registrační proces
Základní parametry Entrustu - Role Master user Security Officer Auditor Operator ASH Service User Administrator User Reg Service (Admin Services) Server Login
Páry klíčů jeden pár
Páry klíčů - dva páry Privátní podepisovací Archivace Veřejný verifikační Privátní dešifrovací Archivace Případná záloha páru Veřejný šifrovací
Entrust více párů klíčů Možnost přístupu k již zašifrovaným datům starými klíči díky uchovávané historii klíčů Možnost budoucího dodatečné ověření již podepsaných dokumentů (dat) V PKI prostředí umožňuje automatickou správy klíčů - šetří náklady, v rozsáhlých prostředích nutnost Možnost nastartovat proces výměny klíčů dle nastavení administrátora Transparentní výměna neobtěžující uživatele nutností interakce
Entrust verze 7 autentizační pár 00:b4:35:15:17:9e:c9:56:bd:30:ee:dc:f3:b9:93: b2:d4:c7:a2:49:07:fc:14:8b:90:c3:e9:59:cc:7a: 88:2f:44:b2:a3:d0:24:9c:75:d9:71:60:e2:53:5e: d4:46:e5:53:de:21:c8:9c:56:d7:f8:64:ba:6e:4a: 38:d6:30:9b:88:89:57:62:d3:6e:ad:b4:9b:ce:c9: 15:9e:4b:e1:29:3f:52:34:fa:32:bb:7b:e9:69:55: 80:e5:35:78:79:f5:29:7d:2a:ab:35:8c:6f:e3:22: c8:fc:ac:19:32:15:83:21:de:2c:e4:0e:ca:a4:ba: db:ce:9a:65:28:c5:dd:72:2d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Key Usage: Digital Signature, Key Encipherment X509v3 Private Key Usage Period: Not Before: Sep 22 10:50:19 2003 GMT, Not After: Oct 28 15:20:19 2005 GMT X509v3 Extended Key Usage: TLS Web Client Authentication, Microsoft Smartcardlogin Authority Information Access: CA Issuers - URI:http://serverca/ca.cer X509v3 Subject Alternative Name: othername:<unsupported>
Entrust verze 7 nonrep pár Nepopiratelnost odpovědnosti Specifická akce stvrzena elektronickým podpisem dedikovaným párem keyusage=2.5.29.15,n,m,bitstring,01 ; define qcstatements extension with RFC 3039 OID ; id-qcs-pkix-qcssyntax-v1 (1.3.6.1.5.5.7.11.1) ;qcstatements=1.3.6.1.5.5.7.1.3,n,m,der,300c300a06082b06010505070b0 1 ; define qcstatements extension with ETSI OID ; id-etsi-qcs-qccompliance (0.4.0.1862.1.1) qcstatements=1.3.6.1.5.5.7.1.3,n,m,der,300a3008060604008e460101
Entrust verze 7 EFS pár Privátní EFS Veřejný EFS Šifrování Uživatel EPF Šifrování Symetrický šifrovací RND Operační System MS CAPI Dešifrování Šifrování Soubor
Správa klíčů - finanční náročnost NÁKLADY ENTRUST CA ŘEŠENÍ Ztráta profilu s klíči, zapomenutí hesla Profile recovery 1 minuta administrátora, z pohledu uživatele 30 sec. zadaní ID Nepřístupnost zašifrované dokumentace, nový proces registrace a výdeje certifikátu Vypršení platnosti klíčů Automaticky ošetřeno Činnost administrátora i uživatele - podle řešení 5 až 10 minut Licence Fixní Podle počtu vydaných certifikátů Aplikační synchronizace Archivace verifikačních certifikátů Automatická - Jednotný uživatelský profil Automatická Manuálně prostřednictvím přenosových formátů (PKCS#12) - Nejednotnost úložišť -> Náklady na další identity Speciální proces a dedikovaná infrastruktura Migrace uživatelů, organizační změny, změny DN Administrátor podle počtu 1min. až doba zpracování dávky. Uživatel 0 Pro jednotlivce řádově 10- ky minut administrace a uživatelovo aktivity. Hromadně => nová infratsruktura
Entrust - generované certifikáty Web certifikáty Email - S/MIME certifikáty Code signing crtifikáty IPSec zařízení EFS Autentizační a SmardCard Login SET certifikáty WAP - WTLS Timestamping Atributní certifikáty Certifikáty politik Flexible Certificate Specification
Entrust - kryptografické metody Symetrické šifry: DES, 3DES, CAST 128, IDEA, RC2 Asymetrická kryptografie: RSA až 6144b DSA až 1024 ECDSA 192b HASH algoritmy MD5, SHA-1 Podpora kryptografického HW.
Entrust - podporované standardy Kryptografické algoritmy a standardy Šifrování DES (U.S. Data Encryption Standard) podle U.S. FIPS PUB 46-2 a ANSI X3.92. CAST bloková šifra podle RFC 2144 Triple-DES podle ANSI X9.52. RC2 podle Internet Draft: A Description of the RC2(r) Encryption Algorithm, R. Rivest, 06/24/1997. DES, CAST, RC2 a Triple-DES šifrování s užitím CBC operačního režimu podle U.S. FIPS PUB 81, ANSI X3.106 a ISO/IEC 10116. Digitální podpisy RSA standard pro digitální podpisy podle PKCS#1. DSA podle Digital Signature Standard, U.S. FIPS PUB 186 a ANSI X9.30 (Part 1) Hashovací funkce SHA-1 podle U.S. FIPS PUB 180-1 a ANSI X9.30 (Part 2). MD5 Message-Digest algoritmus podle RFC 1321. Správa klíčů RSA standard pro přenos klíčů podle RFC 1421 a 1423 (PEM) a PKCS#1. (Entrust/Session Toolkit) Diffie-Hellman protokol pro výměnu klíčů podle PKCS#3. (Entrust/Session Toolkit) autentizace a výměna klíčů podle ISO/IEC 9798-3 a US FIPS PUB 196.
Entrust - podporované standardy Integrita pomocí symetrických technik Message Authentication Code (MAC) podle U.S. FIPS PUB 113, ANSI X9.9, a X9.19. Generace pseudonáhodných čísel Podle ANSI X9.17 (Appendix C) Datové formáty a protokoly Formáty certifikátů a CRL Certifikáty a extenze certifikátů verze 3 podle ITU-T doporučení X.509 (1997) a všeobecného standardu ISO/IEC 9594-8 (1997). CRL (Certificate Revocation Lists) a extenze CRL verze 2 podle ITU-T doporučení X.509 (1997) a všeobecného standardu ISO/IEC 9594-8 (1997). Extenze certifikátů a CRL podle specifikace profilů IETF PKIX-1. Extenze certifikátů a CRL podle specifikace SET 1.0. Profily certifikátů a CRL podle de-facto standardů pro web browsery a servery. RSA identifikátory algoritmů a formátů veřejných klíčů podle RFC 1422 a 1423 (PEM) a PKCS#1. Formát obálek souborů Standardní formát obálek souborů založený na RFC 1421 (PEM). Bezpečné obálkování souborů podle PKCS#7 a S/MIME.
Entrust - podporované standardy Formát bezpečných relací (Secure Session Format) On-line GSS-API mechanismus implementace veřejných klíčů užitím Simple Public Key Mechanism (SPKM) podle RFC 2025 a SPKM autentizace entit podle FIPS 196. Protokoly adresářových služeb LDAP (Lightweight Directory Access Protocol, verze2 a 3) podle RFC 1777. PKI operační protokol podle PKIX-2. Kompatibilita s adresářovým službami typu X.500 s podporou Directory Access Protocol (DAP) a Directory System Protocol (DSP) podle ITU-T X-500 (1993) a všeobecného standardu ISO/IEC 9594. Ukládání klíčů Ukládání soukromých klíčů založené na PKCS#5 a PKCS#8. Protokol pro správu klientů Secure Exchange Protocol (SEP), založený na Generic Upper Layers Security (GULS) standardech: ITU-T doporučení X.830, X.831, X.832 a ISO/IEC 11586-1, 11586-2, 11586-3. Protokoly pro správu certifikátů podle PKIX-CMP (dříve PKIX-3). Protokol pro žádost o certifikát podporující běžné web browsery podlepkcs#10.
Entrust - podporované standardy Aplikační programátorská rozhraní (APIs) Entrust/Session API s vysokou úrovní bezpečnosti podle Internet Generic Security Services API (GSS-API) RFC 1508 a 1509. API pro vysokou bezpečnost store-and-forward operací založené na Independent Data Unit Protection GSS- API (IDUP-GSS-API) Internet Draft, draft-ietf-cat-idup-gss-08.txt. PKCS#11 (CRYPTOKI) hardwarové kryptografické rozhraní podporují běžné hardwarové tokeny. Podpora FIPS 140-1 Level 2 a tzv. vyšší implementace kryptografického modulu. A další ;-)
Datový repositář Libovolný LDAP v2 nebo v3 kompatibilní Implementace protokolu X.500 - široká škála schémat, možnost vytváření struktur a vazeb DSA na celosvětové úrovni, není jen úložiště certifikátu, dokáže popsat celou organizaci Odladěno s OpenLDAP, Oracle internet directory, Novell EDir, Control Data directory,ms AD Standardně dodávané s CriticalPath ( bývalé i500)
Datový repositář Adresářový repositář by měl oproti CA vysoce dostupný(x.500- replikační mechanismy...)
Platformní pokrytí Win NT, Win 2000,Win XP, Win 95, Win 98 HP-UX Solaris AIX Tru64
Entrust/WEBConnector Vydávání Web certifikátů: uživatelské serverové code signing Jednotná mgmt. Konzole Levnější licenční podmínky na vydaný certifikát
Entrust/Verification server Tři základní funkce: Ochrana integrity dokumentu On Demand Timestamping Verifikace klíčů
Timestamping Entrust/Verification server
Entrust/Verification server Podpisová služba RFC 2630, Cryptographic Message Syntax, XML
Entrust/Verification server XKMS validační služba XML Key Management Specification XKMS
Entrust/Roaming server Java(TruePass) Aplikace EPF dsa TLS/SSL GSS/DH Roaming (Profile) Server
Entrust/AutoRA
Aplikační vývoj Aplikační vývoj vhodným API - GSSAPI => přenositelnost zdrojového kódu Entrust Session toolkit Entrust File toolkit Entrust IPSec negotiator toolkit Entrust Java toolkit Entrust RA toolkit Entrust Admin toolkit
Entrust/Entelligence
Entrust/Entelligence Integrace s uživatelským desktopem Transparentní šifrování a podepisování Správa uživatelského profilu Address book pro Off-line režim Možnost command line interface
Entrust/ICE Transparentní šifrování souborů v označeném adresáři Možnost store and forward mechanismu Plná vazba na PKI infratsrukturu
Entrust/Direct Zabezpečení HTTP komunikace client - server Silná kryptografie až 2048 b. Vazba na CRL 3 fázové potvrzení nepopiratelnosti odpovědnosti Možnost dávkového zpracovávání dat Přímá podpora elektronických formulářů Zatunelování do standardního HTTP Centrální zpráva bezpečnosti pro browsery Automatický mgmt. Klíčů Jednotný profil
Entrust/Express Transparentní podpora pro S/MIME Možnost využití dalších vlastností dané řešení entrust, zachování šifrované pošty, šifrování důvěrných původně nešifrovaných mailů Vazba na Key mgmt. Vazba na bezpečnostní politiku Vazba na CRL
Entrust/Sign On Systémový a aplikační SSO Možnost vazby na čipové karty nebo biometriku Jednotné prosazení bezpečnostní politiky již při přihlašování
Entrust/Entelligence - CAPI Aplikace
Entrust MS CAPI integrace
SAP SNC SSF FTP SSH Entrust GSSAPI aplikace
Entrust - vedoucí postavení na trhu Xcert 2.9% Microsoft 4.9% Other 6.8% GTE 7.5% Netscape 8.6% Entrust 46.08% Security Dynamics 10.3% Baltimore 13.0%... the big gorilla in PKI software revenues was clearly Entrust Technologies. With 34.6% of the overall market and 46.08% of the product market, the company is clearly a force to be reckoned with... -- IDC s Internet Security