Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o.

Podobné dokumenty
ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Bezpečný klíč pro datové schránky. Ing. Pavel Plachý

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Správa přístupu PS3-1

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Bezpečná autentizace nezaměnitelný základ ochrany

Elektronický podpis Mgr. Miroslav Pizur Bruntál

2 Popis softwaru Administrative Management Center

Metodický list č.1. Vladimír Smejkal: Grada, 1999, ISBN (a další vydání)

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

Elektronické bankovnictví. Přednáška v kurzu KBaA2 ZS 2009

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

eidas Vyšší bezpečnost elektronické komunikace v EU

Extrémně silné zabezpečení mobilního přístupu do sítě

Identifikace a autentizace pro konkrétní informační systém

Bezpečný kyberprostor potřebuje (nejen) silnou autentizaci. Ing. Petr Slaba ASKON International s.r.o.

BEZPEČNOSTNÍ PROSTŘEDKY PRO ELEKTRONICKÝ PODPIS Miloslav Špunda

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

epasy - cestovní doklady nově s otisky prstů Projekt CDBP

Identifikace a autentizace

3. Setkání ředitelů aktivita A1. RNDr. Jan Krejčí, Ph.D

Autentizační server C.A.S.E. Bezpečný a pohodlný single-sign on do interní sítě i cloud služeb.

Generování žádostí o kvalifikovaný certifikát pro uložení na eop Uživatelská příručka pro prohlížeč Internet Explorer

MĚSTSKÝ ROK INFORMATIKY KLADNO

Obec Moutnice zřízení přístupového místa Czech POINT

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Apple Safari

D7 Uživatelský manuál Konfigurace klientských stanic

Jak zjistit, jestli nejsme obětí

Elektronické certifikáty

Smlouva o dílo. č. smlouvy Objednatele: č. smlouvy Zhotovitele: OS 8003/2015

PV157 Autentizace a řízení přístupu

OKsmart a správa karet v systému OKbase

Bezpečnost internetového bankovnictví, bankomaty

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

TEZE K DIPLOMOVÉ PRÁCI

Hrozby a trendy Internetbankingu

Uživatelská dokumentace

Extrémně silné zabezpečení mobilního přístupu do sítě.

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Bezpečnost elektronických platebních systémů

Použití čipových karet v IT úřadu

Generování žádosti o certifikát Uživatelská příručka

Uživatelská dokumentace

2N Helios IP Manager Software pro konfiguraci a správu dveřních komunikátorů 2N Helios IP.

Směry rozvoje v oblasti ochrany informací KS - 7

Palmsecure. Biometrie naší ruky - otisky prstů nebo obraz krevního řečiště. FUJITSU TECHNOLOGY SOLUTIONS s.r.o. V Parku Praha 4

Programové vybavení OKsmart pro využití čipových karet

dokumentaci Miloslav Špunda

L-1 Identity solutions; Bioscrypt Division

Nařízení eidas Co? Proč? A Kdy?

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Bezpečná autentizace přístupu do firemní sítě

Postup zprovoznění aplikace Crypta 2

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

Nasazení CA Role & Compliance Manager

Autorizovaná konverze dokumentů

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Multichannel Entry Point. Technologický pohled na nové přístupy k autentizaci v přímých bankovních kanálech

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

Testovací protokol USB Token Cryptomate

Koncepce rozvoje ICT ve státní a veřejné správě. Koncepce rozvoje ICT ve státní a veřejné správě (materiál pro jednání tripartity)

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Web n walk Manager. Návod pro uživatele

I.CA SecureStore Uživatelská příručka

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

I.CA SecureStore Uživatelská příručka

Přehled autentizačních biometrických metod

Intune a možnosti správy koncových zařízení online

Plzeňská karta v praxi

Auditní stopa a věrohodnost dokumentu. Tomáš Řemelka Delivery Director ISSS 2013, Hradec Králové

Technické požadavky na místo Czech POINT vybavení pracoviště Třeština - splnění technických požadavků 100 bodů

JetFlash 220. Uživatelský manuál

Předcházení problémů s certifikátem pro podpis v aplikaci MS Verze 2.0.

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

Setkání zástupců obcí v území ORP Jihlava. 26. Ledna 2011

I s hloupým čipem lze hrát chytré divadlo. Václav Šamša vsamsa@tdp.cz

GDPR, eidas Procesní nebo technologický problém?

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnost ve světě ICT - 10

MXI řešení nabízí tyto výhody

Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

Správa přístupu PS3-2

Dokumentace. k projektu Czech POINT. Technická specifikace hardwarového a softwarového vybavení

Uživatelská dokumentace

Akreditovaná certifikační autorita eidentity

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine

Autentizace. Ing. Miloslav Hub, Ph.D. 10. října 2007

UŽIVATELSKÁ PŘÍRUČKA PRO SLUŽBU INTERNETBANKING PPF banky a.s.

Bezpečnostní mechanismy

Transkript:

Digitální identita zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. 0 18.2.2009 Security 2009

Ověřování identity o co jde? nutnost prokazování identity osob není nic nového jedná se o požadavek plynoucí až z používání IT? Rozhodně ne! jednoduché prokázání identity znalost informace (např. hesla) osobní znalost ověření identity s využitím uznávané autority identifikační průkaz úředně ověřený podpis nebo kopie listiny známka na krku vojáka apod. 1 18.2.2009 Security 2009 1

Identifikace, autentizace, autorizace identifikace (vizuální kontrola vojáka) [přihlášení jménem uživatele] autentizace (znalost správného hesla své jednotky) [ověření správnosti hesla zadaného uživatelem] autorizace (vpuštění zkontrolovaného jedince do hlídaného tábora) [zpřístupnění zdrojů, ke kterým má mít uživatel přístup] Na Já hradě jsem je Bohdan žena. z Lipé, králův věrný. Správně, Stůj, Jaké kdo je vejdi heslo? tam? do hradu. 2 18.2.2009 Security 2009 2

Formy digitální identity bez možnosti dostatečného ověření identity číslo mobilu e-mailová adresa IP adresa digitální ID s autentizací podmíněnou určitou znalostí znalost hesla metoda sdíleného tajemství digitální certifikát 3 18.2.2009 Security 2009 3

Co je to digitální ID? Digitální ID se skládá ze 3 součástí: 1. soukromý klíč 2. veřejný klíč 3. digitální certifikát vydaný certifikační autoritou (CA) Soukromý a veřejný klíč společně tvoří tzv. pár klíčů vznikají současně (matematická metoda generování) používají se samostatně 4 18.2.2009 Security 2009 4

Co je to Digitální certifikát? (1) digitální certifikát je elektronický dokument vydává jej certifikační autorita (CA) v certifikátu je uvedena řada údajů: jméno majitele certifikátu e-mailová adresa majitele platnost certifikátu od do veřejný klíč majitele jméno CA, která certifikát vystavila sériové číslo certifikátu další volitelné položky (název organizace apod.) 5 18.2.2009 Security 2009 5

Co je to Digitální certifikát? (2) certifikát je digitálně podepsán CA k podpisu je užíván tzv. kořenový certifikát CA CA svým digitálním podpisem ubezpečuje, že informace uvedené v certifikátu jsou pravdivé: osvědčuje, že certifikát byl vydán skutečně té osobě, jejíž jméno je uvedeno v certifikátu (certifikát s ověřenou identitou) CA proto při vydání certifikátu ověřuje totožnost žadatele podle typu certifikátu CA vyžaduje předložení 1 (nebo i více) dokladů totožnosti 6 18.2.2009 Security 2009 6

Používání digitálního certifikátu slouží k důvěryhodnému předání veřejného klíče většinou je zasílán s elektronicky podepsanou zprávou spojuje fyzickou totožnost žadatele s totožností elektronickou vlastník může certifikát kdykoli zneplatnit ukončení použitelnosti certifikátu vyprší platnost certifikátu vlastník zruší platnost předčasně vydání následného certifikátu jednodušší postup 7 18.2.2009 Security 2009 7

Metody autentizace Jednofaktorová autentizace: jméno & heslo jednoduché hardwarové autentizační předměty Dvoufaktorová autentizace: OTP (One Time Password) čipové karty USB tokeny 8 18.2.2009 Security 2009 8

Autentizace heslem a není to málo? + + + - - - minimální nároky na uživatele nulové náklady, žádné požadavky na IT velmi snadná diskreditace jednoduché odpozorování hesla odchycení hesla speciálním programem odhadnutí hesla na základě znalosti osobnosti uživatele laxní přístup uživatele nízký stupeň bezpečnosti snaha o zvýšení bezpečnosti: delší hesla, vynucené periodické změny hesel Jméno & Heslo kombinace malých a VELKÝCH písmen, číslic a nestandardních znaků 9 18.2.2009 Security 2009 9

Hardwarová úložiště digitální ID Jednofaktorové tokeny - svou identitu prokazuji vlastnictvím tokenu např. Touch Memory čipy (Dallas) pohodlnější pro uživatele bezpečnost ale srovnatelná s používáním hesla Dvoufaktorové tokeny 1. faktor něco mám (token) 2. faktor něco znám (PIN, heslo tokenu) výrazně bezpečnější široké možnosti využití Třífaktorové tokeny 3. faktor někým jsem (biometrické prvky) dvoufaktorové tokeny je možné doplnit např. kontrolou otisku prstu 10 18.2.2009 Security 2009 10

Dvoufaktorové tokeny - OTP OTP tokeny (autentizační kalkulátory) využívají metodu jednorázových hesel jednoduchá obsluha, není potřeba klientský sw uživatel se přihlašuje: statickou částí hesla, které zná (je možné ji změnit) a dynamickou částí generovanou tokenem nové heslo je platné po velmi krátkou dobu při ztrátě tokenu nehrozí jeho zneužití token umí pouze generovat heslo, nelze do něj ukládat certifikáty, hesla apod. problém s životností baterie typický zástupce: RSA SecurID, Vasco, 11 18.2.2009 Security 2009 11

Dvoufaktorové tokeny čipové karty Procesorové čipové karty Smart Cards paměťová oblast pro ukládání chráněných dat, certifikátů, klíčů uživatel má svou digitální ID stále u sebe uložená data jsou šifrovaná přístup k funkcím karty je chráněn PINem, max. počet chybných zadání je nastavitelný v kartě je zabudovaný procesor s implementovaným kryptografickým algoritmem možnost potisku karty (personalizace), výhoda i nevýhoda připojení k počítači pomocí snímače (USB, PC Card, sériový port) nutná instalace softwarové podpory (driver, CSP, obslužné utility) 12 18.2.2009 Security 2009 12

Dvoufaktorové tokeny USB tokeny stejný princip funkce jako u Smart Cards, často je použit shodný čip výhodou je připojení tokenu přímo k USB portu - žádná čtečka není potřeba uživatel si intuitivně připne token ke svazku klíčů má jej stále při sobě implementován algoritmus RSA >> technologie digitálního podpisu podpora autentizace pomocí sdíleného tajemství (challenge response) možná ochrana přístupu pomocí User PIN a SO PIN generování RSA klíčů (1024/2048 bit) přímo v tokenu snadná přenositelnost digitálního ID 13 18.2.2009 Security 2009 13

Možnosti využití USB tokenů oblasti využití: generování asymetrických šifrovacích klíčů autentizační předmět pro přihlášení do VPN úložiště digitálních certifikátů pro e-podpis a šifrování mailů přihlašování uživatele ke stanici / doméně ukládání šifrovacích klíčů (on-line šifrování souborů na lokálním / síťovém disku) Single Sign-On (SSO) znalost PINu tokenu stačí k spouštění lokálních / síťových aplikací, přihlašování na webových stránkách, opakované vyplňování formulářů apod. tokeny ikey4000 používány pro autentizaci v projektu CZECH POINT 14 18.2.2009 Security 2009 14

Systémy správy digitálních ID masovější využívání digitálních ID se neobejde bez nástrojů pro účinnou a efektivní správu identit uživatelů např. Identity Lifecycle Manager (Microsoft), MyID (Intercede) hlavní úkoly nástrojů pro správu ID: ověření identity uživatele (Authentication) přidělení předem definovaných práv uživateli (Authorization) správa nástrojů pro řízení přístupu (Access Control) monitoring a následné auditní výstupy (Audit, Reporting) 15 18.2.2009 Security 2009 15

Digitální ID všude kolem nás prokazování identity vědomé digitální podepisování e-mailu přihlašování k operačnímu systému přístup na chráněný webový portál platební karty prokazování identity bezděčné používání mobilních telefonů věrnostní programy (supermarkety) veřejné kamerové systémy mýtné brány automatické silniční radary 16 18.2.2009 Security 2009 16

Bezpečnost digitální ID vyšší kvalita kontroly identity >>> větší míra pravomocí a oprávnění přidělených zkontrolovanému jedinci zvětšuje se také velikost průšvihu, který nastává při zdařilém pokusu o záměnu falešné identity za pravou doba, kdy se potřeba prokazování identity týkala nanejvýš příslušníků vojenské jednotky je dávno pryč civilizace 21. století vyžaduje prokazování identity častěji, než jsme si vůbec ochotni připustit 17 18.2.2009 Security 2009 17

Digitální ID máme se bát? každodenní prokazování identity je realita podstatné je, aby byla používána transparentní a pro uživatele srozumitelná pravidla nestačí soubor nařízení, zákazů a vnitřních předpisů hledejme mechanismy, které zajistí jejich bezvýjimečné dodržování a snadnou kontrolovatelnost hledání kompromisu mezi dostatečnou bezpečností a ochranou před možným zneužitím digitální ID X soukromí uživatelů, ochrana osobních údajů co poradit na závěr? zachovejme si především zdravý rozum A o tom to je :-) 18 18.2.2009 Security 2009 18

Děkuji Vám za pozornost. Martin Jelínek mjelinek@askon.cz www.askon.cz ASKON INTERNATIONAL s.r.o. 19 18.2.2009 Security 2009 19

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář