Bezpečný kyberprostor potřebuje (nejen) silnou autentizaci. Ing. Petr Slaba ASKON International s.r.o.

Podobné dokumenty
Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

Zákon o elektronickém podpisu

Univerzita pro obchodní partnery InfoSphere Guardium. Jan Musil 2009 IBM Corporation

Provozní manuál DNSSec pro registr.cz a e164.arpa

Praktické úlohy- zaměření specializace

KDirSign / KDirVerify, podrobny ná vod

SUPERPOČÍTAČOVÉ CENTRUM

ZPRÁVA O PRŮBĚHU ŘEŠENÍ PROJEKTU

Objektově orientované databáze

Manuál uživatele čipové karty s certifikátem

INFORMAČNÍ SYSTÉM O AREÁLU

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM

UŽIVATELSKÁ PŘÍRUČKA PRO INTERNETBANKING PPF banky a.s.

Právní a daňové aspekty vysílání pracovníků do zahraničí

RPM INTERNATIONAL INC. A JEJÍ DCEŘINÉ SPOLEČNOSTI A PROVOZNÍ SPOLEČNOSTI PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ SAFE HARBOR. ÚČINNÉ OD: 12.

3.6 Elektronizace odvětví: sociální služby, pojištění, dávky, sociálně- právní ochrana dětí

Zátěžové testování SW aplikací. Miroslav Růžovský Softec CZ, spol. s.r.o.

Projekt: Inovace oboru Mechatronik pro Zlínský kraj Registrační číslo: CZ.1.07/1.1.08/

Geometrické plány (1)

Jak se řídí IT VÁCLAV ŠPÁŇA V A C L A S P A N A. C Z

Modul Řízení objednávek.

OBEC HORNÍ MĚSTO Spisový řád

Certifikač ní politika C EZ, a. s. pro interní subjekty

SAFETICA 7 DATA LOSS PREVENTION

PODROBNÉ VYMEZENÍ PŘEDMĚTU VEŘEJNÉ ZAKÁZKY A TECHNICKÉ PODMÍNKY

Studie proveditelnosti. Marketingová analýza trhu

Sdílené služby ve veřejné správě ČR Co jsme postavili Co budeme stavět. Ondřej Felix Hlavní architekt egovermentu ČR

Cvičení 1,2 Osnova studie strategie ICT

INFORMATIKA V CHOVECH PRASAT

Návod na zřízení datové schránky právnické osoby nezapsané v obchodním rejstříku

Podíl zdrojů informací

BEC - Podnikatelskozaměstnanecká. Mgr. Ivo Škrabal

Budování aplikačních rozhraní pro obousměrnou komunikaci mezi ERMS a jejich vztah k Národnímu standardu pro komunikaci mezi ERMS.

01. Identifikační kód. 02. Kód. 03. Pojmenování (název) životní situace. 04. Základní informace k životní situaci

Server. Software serveru. Služby serveru

Všeobecné podmínky provozu sběrných míst kolektivního systému Eltma

Systém elektronického zpracování údajů o výzkumných projektech a jejich hodnocení v GA AV

UŽIVATELSKÁ PŘÍRUČKA PRO SLUŽBU INTERNETBANKING PPF banky a.s.

Nový typ osobního dokladu a jeho využití. Ing. Petr Mayer, ředitel divize transakčních služeb a systémů Atos IT Solutions and Services, s.r.o.

KVALIFIKAČNÍ DOKUMENTACE k veřejné zakázce zadávané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

účetních informací státu při přenosu účetního záznamu,

-1- N á v r h ČÁST PRVNÍ OBECNÁ USTANOVENÍ. 1 Předmět úpravy

Specifikace předmětu plnění veřejné zakázky: Poskytování mobilních hlasových a datových služeb pro potřeby Města Uherské Hradiště

Integrita dat, hash, autenticita, šifrovací algoritmus a klíč

PŘÍLOHA 5 SMLOUVY O PŘÍSTUPU KE KONCOVÝM ÚSEKŮM. Bezpečnost, ochrana majetku a osob

PŘÍLOHA 10 SMLOUVY O PŘÍSTUPU KE KONCOVÝM ÚSEKŮM. Pravidla a postupy

Návod k obsluze CC&C WA-6212-V2

1. ÚSCHOVNÉ OBJEKTY A JEJICH ZÁMKY

VÝZVA K PODÁNÍ NABÍDKY

VYHLÁŠKA ze dne. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

DOTWALKER NAVIGACE PRO NEVIDOMÉ A SLABOZRAKÉ

ICT plán školy 2015/2016

Bezpečné sdílení a správa dokumentů v on-line prostředí

Řešení počítačové sítě na Cyrilometodějském gymnáziu v Prostějově

Elektronické dokumenty. Elektronické dokumenty

Zadávací dokumentace k veřejné zakázce zadané podle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů

ORGANIZAČNÍ ŘÁD ŠKOLY

Vzdělávací program pro obchodní partnery společnosti ROCKWOOL průvodce školením

Rakouský zákon o elektronické veřejné správě (e-government)

Standardy a definice pojmů bezpečnosti informací

4 Část II Základy práce v systému. 6 Část III Úvodní obrazovka. 8 Část IV Práce s přehledy. 13 Část V Kontakty. 19 Část VI Operativa

VÝZVA K PODÁNÍ NABÍDKY A PROKÁZÁNÍ SPLNĚNÍ KVALIFIKACE VÝBĚR DODAVATELE HW A SW PRO POČÍTAČOVOU UČEBNU A INTERAKTIVNÍ VÝUKU

Palmsecure. Biometrie naší ruky - otisky prstů nebo obraz krevního řečiště. FUJITSU TECHNOLOGY SOLUTIONS s.r.o. V Parku Praha 4

Výzva k podání nabídky na veřejnou zakázku malého rozsahu s názvem Komplexní zajištění PO a BOZP pro KÚPK

Záloha a obnovení Uživatelská příručka

MAGIS ve strojírenské firmě Strojírna Vehovský s.r.o.

ISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ

Návrh individuálního národního projektu. Podpora procesů uznávání UNIV 2 systém

METODICKÉ STANOVISKO

Kvalifikační dokumentace k veřejné zakázce dle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen zákon )

S_5_Spisový a skartační řád

Abeceda elektronického podpisu

Příloha č.1 vysvětlení domácího řádu. Domácí řád Domova pro osoby se zdravotním postižením Smečno

HiPath ProCenter Office V1.0

eidas ... aneb co nám přináší nařízení EU č. 910/2014 ze dne Ing.Robert Piffl Poradce náměstka ministra

METODY A PROST EDKY PRO SNÍŽENÍ NÁKLAD A ZVÝŠENÍ VÝKONU

SEZNAM OTÁZEK PRO ŠETŘENÍ DOMÁCNOSTÍ O VYUŽÍVÁNÍ INFORMAČNÍCH TECHNOLOGIÍ (Dotazník s filtry) Kódy Otázka a odpovědi

Databáze RÚIAN a možnosti jejího využití pro geografickou podporu AČR

Standard č.9 Personální a organizační zajištění sociální služby

Provozní řád víceúčelové a školní tělocvičny v Jilemnici

TYPY SOCIÁLNÍ PRÁCE. Radka Michelová

Nabídka na dodávku systému Bezpečný dům

ZÁKLADNÍ POVINNOSTI DOPRAVCE I PRÁCI S DATY Z DIGITÁLNÍHO TACHOGRAFU

Návod k používání registračního systému ČSLH

Vnitřní pravidla stanovená poskytovatelem pro poskytování služby denní stacionáře

GIS Informačního Systému Krizového řízení - problematika datového skladu

Příručka pro uživatele ČSOB InternetBanking 24 a ČSOB BusinessBanking 24 Online s čipovou kartou v operačním systému Mac OS X

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Směrnice pro oběh účetních dokladů Obce Batňovice

Kingston DataTraveler Locker+ G3. Instalační příručka. Kingston DataTraveler Locker+ G3

MV ČR, Odbor egovernmentu. Webové stránky veřejné správy - minimalizace jejich zranitelnosti a podpora bezpečnostních prvků

ZADÁVACÍ DOKUMENTACE

Poskytovatel: Národní rada osob se zdravotním postižením ČR, o.s. Poradna pro uživatele sociálních služeb Děčín

Ing. Šárka Endrlová, starostka. Ing. Jana Dvořáková.

Generátor sítového provozu

Pravidla pro využívání lokální počítačové sítě Slovanského gymnázia v Olomouci. Preambule

Nastavení telefonu PRADA phone by LG 3.0

Vydání občanského průkazu

Transkript:

Bezpečný kyberprostor potřebuje (nejen) silnou autentizaci Ing. Petr Slaba ASKON International s.r.o.

ASKON International představení firmy 1992 založení firmy v Praze orientace na oblast IT bezpečnosti a ochrany dat 1993 zahájení spolupráce s Rainbow Technologies (USA) 1999 rozšíření nabídky o USB tokeny zaměření na autentizaci, HSM a PKI 2004 zastoupení (Authorized Gold Partner) společnosti SafeNet (USA) v ČR a SR 2010 zastoupení společnosti OpenTrust (Francie) 2011 zastoupení společnosti Ceedo (Izrael)

Agenda 1. Proč se vůbec zabývat IT bezpečností? 2. Ochrana přístupu k IS silná vícefaktorová autentizace 3. Ochrana dat šifrování 4. Ochrana transakcí a klíčů HSM

Bezpečnost? Kyberprostoru??? Dobré odpoledne, já Vás vítám u dalších zpráv...

3. Možné zneužití schránky Přijímání a posílání dokumentů skrz datové schránky má velkou právní sílu. Pomocí schránky jde totiž provádět úkony, které přísluší do kompetence statutárních zástupců firmy, jako jsou především jednatelé. Firmy si tedy musí dát velký pozor na ochranu přihlašovacích údajů. Proto není možné je mít poznamenané na kousku papírku přilepeném na okraji monitoru. Další a nejspíš i závažnější zneužití přístupových jmen a hesel hrozí od počítačových pirátů. Pokud se dostanou ke vstupním kódům například pomocí viru, mohou dovést firmu až do likvidace, například kdyby pod jejím jménem jednali s úřady.

Soukromí je přežitek 20. století

Expect us...

Agenda 1. Proč se vůbec zabývat IT bezpečností? 2. Ochrana přístupu k IS silná vícefaktorová autentizace 3. Ochrana dat šifrování 4. Ochrana transakcí a klíčů HSM

Autentizace = ověření proklamované identity Nutnost prokazování identity osob není nic nového Jedná se o požadavek plynoucí až z používání IT? Rozhodně ne! Ověření identity v reálném světě Identifikační průkaz Ověření identity v kyberprostoru Jméno a heslo Technologie založené na sdíleném tajemství např. OTP Digitální certifikát Digitální certifikát uložený v bezpečném úložišti USB token, čipová karta

Co je digitální certifikát Digitální certifikát je elektronický dokument Vydává jej certifikační autorita (CA) V certifikátu je uvedena řada údajů: Jméno majitele certifikátu e-mailová adresa majitele Platnost certifikátu od do Veřejný klíč majitele podepsaný CA Jméno CA, která certifikát vystavila Sériové číslo certifikátu Další volitelné položky (název organizace apod.) CA svým digitálním podpisem ubezpečuje, že informace uvedené v certifikátu jsou pravdivé Slouží k důvěryhodnému předání veřejného klíče

Hardwarová úložiště pro digitální identitu Jednofaktorové tokeny - svou identitu prokazuji vlastnictvím tokenu Např. Touch Memory čipy (Dallas), bezkontaktní karty Pohodlnější pro uživatele Nízká úroveň bezpečnosti srovnatelná s používáním hesla Dvoufaktorové tokeny 1. faktor něco mám (token) 2. faktor něco znám (PIN, heslo tokenu) Výrazně bezpečnější Široké možnosti využití Třífaktorové tokeny 3. faktor někým jsem (biometrické prvky) Dvoufaktorové tokeny je možné doplnit např. kontrolou otisku prstu, snímku oční duhovky či sítnice apod.

Hardwarové OTP tokeny OTP tokeny (autentizační kalkulátory) Využívají metodu jednorázových hesel (One Time Password) Jednoduchá obsluha, není potřeba klientský sw, nezávislost na HW Nové heslo je obvykle platné po velmi krátkou dobu Token umí pouze generovat přístupový kód, nelze do něj ukládat certifikáty, hesla apod. Životnost baterie až 7 let

Příklad využití OTP tokenu Bezpečnostní klíč pro datovou schránku

SAM jednotná správa autentizačních řešení SAM (SafeNet Authentication Management) Umožňuje centralizovanou správu všech používaných autentizačních metod z jednoho systému Řízení životního cyklu všech autentizačních prostředků Samoobslužný portál pro uživatele, Service Desk, Rescue Portal Pokročilé nástroje auditu a reportingu Integrace na systémy správy identity (LDAP, AD, IdM systémy...) Jednotná platforma podporující i nové trendy (cloudové služby, přístup z mobilních zařízení...) Podporuje všechny typy tokenů SafeNet SAM express (dříve Safeword 2008) Jednoduchá implementace, pouze pro OTP autentizaci Zaměřen na SMB trh

Nové trendy v oblasti autentizace Softwarové autentizátory SW OTP tokeny pro mobilní zařízení Virtuální tokeny Uložení certifikátu v zašifrovaném souboru chráněném PIN Virtuální token je svázán s konkrétním úložištěm Autentizace přístupu z mobilních zařízení iphone, ipod, Android SAM umožňuje administrovat certifikáty na zařízeních Autentizace formou služby Akvizice společnosti Cryptocard Autentizační server BlackShield Funkcionalita poskytována formou webových služeb

Gartner Magic Quadrant pro oblast autentizace Společnost SafeNet získala nejlepší hodnocení na trhu (z celkem 22 hodnocených). Společnost Cryptocard získala nejlepší hodnocení Visionaries' kvadrantu Dne 12. 3. 2012 oznámila společnost SafeNet převzetí společnosti Cryptocard 20

Agenda 1. Proč se vůbec zabývat IT bezpečností? 2. Ochrana přístupu k IS silná vícefaktorová autentizace 3. Ochrana dat šifrování 4. Ochrana transakcí a klíčů HSM

Proč chránit data šifrováním? Jediný způsob jak zajistit 100% bezpečnou ochranu dat před neoprávněným přístupem je použití dostatečně silné šifry Dalším nezbytným předpokladem je bezpečná správa životního cyklu klíčů viz dále Klasický přístup: Bezpečnostní perimetr Perimetr sice ještě existuje, ale dochází k narušování jeho hranic VPN, portál, data z internetových zdrojů, BYOD... V prostředí cloudu pojem perimetr zcela ztrácí význam Většinu incidentů spojených s únikem dat mají na svědomí vlastní zaměstnanci Potřeba oddělení odpovědností (administrace IS a bezpečnosti) Post Breach Era nejde o to zda dojde k incidentu ale kdy se tak stane. S možným incidentem je nutno dopředu počítat.

Tradiční způsob nasazení šifrovacích technologií Ostrůvky chráněných dat Fileservery Archivační média Email Notebooky Přenosná média Databáze Aplikace Dopady na bezpečnost Nasazení nesourodých kryptografických řešení Fragmentovaná správa klíčů Rozdrobené a nejednotné uplatňování bezpečnostních politik Problém s logováním, auditem a reportingem DŮSLEDKY: Zajištění bezpečnosti je velmi provozně nákladné Neefektivní řešení s bezpečnostními mezerami Omezené možnosti pro další rozvoj

Šifrovací platforma DataSecure ICAPI LKM ProtectApp ProtectDB Tokenization Manager ProtectZ ProtectFile KMIP/ APIs StorageSecure ProtectV Database Servers Mainframes File Shares Proprietary Systems Storage Web/Application Servers Cloud/Virtualization SNMP, NTP, SYSLOG DataSecure appliance provádí vlastní šifrování a správu klíčů

Problém ochrany dat v cloudu Virtuální instance Servery, aplikace, databáze ve virtualizovaném prostředí Nezabezpečené kontejnery citlivých dat Mohou být libovolně kopírovány Data v prostředí cloudu Izolace dat: Prostředky cloudu jsou sdíleny mnoha různými zákazníky Vlastnictví dat: Kopírování a replikace bez kontroly vlastníka dat (např. backup, load balancing), legální předání vyšetřovatelům v důsledku aktivit jiného zákazníka cloudu Privilegovaní uživatelé: Možnost přístupu administrátorů cloudu Virtuální storage Riziko úniku dat v důsledku logického či fyzického narušení Jsou přístupné administrátorům cloudu Riziko úniku dat chybou v konfiguraci nebo neočekávanou změnou bezpečnostních politik

ProtectV ochrana virtuálních instancí a úložišť Šifrované Volumes Šifrované VMs ProtectV Client On Premise KeySecure FIPS 140-2 L3 ProtectV Manager Šifrovaná instance AES 256 Pre-launch autentizace Centralizované politiky a správa klíčů APIs pro integraci s jimými cloud mgmt systémy

StorageSecure šifrátor NAS úložišť StorageSecure KeySecure Síťová appliance pro šifrování úložišť souborů Centralizovaná správa šifrovacích klíčů v HW Aplikace, webové služby... KeySecure web app db Mobilní uživatelé Firemní centrála StorageSecure NAS Filers Fileservery Storage Arrays Archiv (Disk a pásky)

Agenda 1. Proč se vůbec zabývat IT bezpečností? 2. Ochrana přístupu k IS silná vícefaktorová autentizace 3. Ochrana dat šifrování 4. Ochrana transakcí a klíčů HSM

HSM = Hardware Security Module Pokud používáme asymetrickou kryptografii pouze pro silnou autentizaci, můžeme ukládat privátní klíče v tokenech Pokud používáme elektronický podpis a šifrování, je nutno s privátními klíči nakládat v podstatně robustnějším prostředí Hlavní funkce HSM Generování a uložení klíčů v bezpečném HW prostředí Správa klíčů v celém jejich životním cyklu Provádění některých kryptografických operací HSM moduly jsou zpravidla velmi silně zabezpečeny před neoprávněnou manipulací (Tamper Protection) Fyzické a logické oddělení klíčů od dat a aplikací Mohou být provozovány v redundantní konfiguraci Ochrana klíčů nejen před zneužitím, ale i před ztrátou Některé citlivé operace mohou vyžadovat autentizaci několika osobami

Možné přístupy ke správě klíčů Tradiční způsob HSM

Problémy tradičního přístupu... Zdroj: Oasis

... řeší nasazení HSM Zdroj: Oasis

HSM jako PCI karta v aplikačním serveru Aplikační server Aplikace Hardware Security Module Služby využívající klíče PKCS #11 CAPI / CNG Java CSP OpenSSL XML-DIGSIG Kryptografické algoritmy Úložiště klíčů Odolnost proti mechanickému narušení Oddělení odpovědností Autentizace vybraných transakcí více osobami Služby správy klíčů Backup/Restore Řízení exportu klíčů EKM Interface Politiky FIPS 140-2 Level 3

HSM jako síťová appliance Aplikační servery Aplikace Služby využívající klíče PKCS #11 CAPI / CNG Java CSP OpenSSL XML-DIGSIG Možnost členění na Partitions Vysoká dostupnost Load Balancing FIPS 140-2 Level 3 Kryptografické algoritmy Úložiště klíčů Odolnost proti mechanickému narušení Oddělení odpovědností Autentizace vybraných transakcí více osobami Common Criteria EAL4+ Služby správy klíčů Backup/Restore Řízení exportu klíčů EKM Interface Politiky

Proč ukládat klíče do HW? Proč klíče do HW? Místo uložení klíčů je přesně definováno a vždy přesně známo. Totéž platí o fyzických zálohách HSM. Pokud jsou klíče uloženy v SW, útočníkovi stačí získat libovolnou záložní kopii. Co umožní uložení klíčů do HW? Elektronická data chráněná fyzicky v HW prostředí a fyzické zálohy umožňují použití bezpečnostních mechanismů fyzického světa pro ochranu klíčů. Aplikace využívají klíče uložené v HSM prostřednictvím klienta. Klíče proto nemusí opustit HSM. Jak jsou klíče chráněny? Aby získal přístup ke klíčům, útočník by musel: Získat fyzický přístup do místnosti kde je HSM zařízení uloženo. Lokalizovat a fyzicky ukrást HSM zařízení (typicky je uloženo v trezoru nebo odolném racku). Rozebrat zařízení bez poškození uložených klíčů (překonat aktivní ochranné mechanismy, které zničí klíče při detekci narušení) Metodami reverzního inženýrství zjistit strukturu a formát uložení klíčů v čipech.

Děkuji za pozornost. Dotazy? pslaba@askon.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář