ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH Tomáš Vaněk ICT Security Consultant
ELEKTRONICKÝ PODPIS A JEHO VLASTNOSTI Uplatnění elektronického podpisu a časového razítka Integrita Identifikace Nepopiratelnost Fixace v čase
ELEKTRONICKÝ PODPIS Požadavky na EP vycházející ze ZoEP - 2b Zaručený / uznávaný EP musí: Zajišťovat jednoznačné spojení s podepisující osobou, Umožňit identifikaci podepisující osoby ve vztahu k datové zprávě, Být vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba, může udržet pod svou výhradní kontrolou, Být k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat Prostředkem k zajištění těchto vlastností jsou: Certifikáty Kryptografické klíče
JAK PŘEJÍT OD JEDNOTLIVÝCH APLIKACÍ Údržba Údržba Údržba Údržba PKI PKI PKI PKI Integrace Integrace Integrace Integrace Aplikace Aplikace Aplikace Aplikace
K INTEGROVANÝM ŘEŠENÍM? Aplikace Aplikace Aplikace Aplikace Integrace Integrace Integrace Integrace HSM PKI Akreditované CA Údržba
INTEGRACE ELEKTRONICKÉHO PODPISU/ZNAČKY JAKO SLUŽBY Procesy Uživatel Aplikace Přijetí podání Ověření podpisu Vystavení rozhodnutí Podpis Odeslání Služby Webové služby Webové služby PKI služby Webové služby Webové služby Databáze LDAP VA CA, TSA
Proxy / Gateway SEFIRA PBS (PLATFORMA BEZPEČNOSTNÍCH SLUŽEB) Aplikace PBS Base PBS AQ (Asynchr. fronta) PBS TX Elektronický podpis Šifrování dat CA DB TSP Proxy HSM klient Aplikace Whitelist Virtuální čipová karta HSM Souborový systém Zákaznické moduly (VMware) CC EAL4+ (VMware) AD/LDAP SEFIRA PBS SIEM
UPLATNĚNÍ PBS V PRAXI Reálné příklady Označování smluvních dokumentů využívajících dynamický biometrický podpis Označování rozhodnutí pro potřeby procesu stavebního řízení Zprostředkování jednotného kanálu pro přístup ke kvalifikovaným časovým razítkům Validace a archivace datových zpráv včetně kontroly platnosti příloh Označování a ověřování smluvní dokumentace pro e-procurement Doplnění kvalifikovaného časového razítka k podepsaným dokumentům Komunikace s partnery pomocí podepsaných emailů (SMIME) Archivace podepsaných emailových zpráv
CENTRALIZACE PKI SLUŽEB Přínosy Zavedení korporátního standardu pro práci s el. podpisem webové služby, API, asynchronní fronty, Jedno místo pro vstup a výstup dokumentů z/do PKI snížení celkové složitosti systému Centralizace bezpečnostního dohledu a správy pravidel jasná pravidla jak pro jednotlivé aplikace, tak pro uživatele Snadné zajištění bezpečnosti nových aplikací transakční i dokumentové systémy Jednotné řešení pro business critical aplikace snížení nákladů na provoz a rozvoj PKI
OVĚŘOVÁNÍ PLATNOSTI KVALIFIKOVANÝCH CERTIFIKÁTŮ On-line služba pro ověření platnosti certifikátů v rámci EU Ověřování platnosti certifikátů identifikace a porovnávání CRL listů s daným certifikátem online respondéry distribuující odpovědi protokolu OCSP vygenerování prohlášení o platnosti certifikátu evidence provedených operací Aktualizace dat a metadat manuální aktualizace dat o CA a kořenových certifikátech automatizované stahovaní CRL listů komunikační protokol OCSP a SOAP www.certreview.eu
KRYPTOGRAFICKÉ KLÍČE A JEJICH OCHRANA I když to možná nevíme, stejně je určitě používáme. ICT bezpečnost stojí na kryptografických klíčích součást kritických aktiv organizace symetrická vs. asymetrická kryptografie Správa a životní cyklus klíčů je často regulován bezpečnostní politika organizace, ISO 27000, PCI DSS, ZoEP, Klíče musí mít svého vlastníka Kde chybí vlastník, vládne anarchie Hlavní oblasti využití téměř všude kde nás napadne PKI, CA, el. podpis, šifrování dat a komunikace, šifrování souborů či úložišť, šifrování DB,
www.sefira.cz