AZ ELEKTRONIKUS ALÁÍRÁSOK

Slides:



Advertisements
Hasonló előadás
Oszthatósággal kapcsolatos feladatok pszeudokódban.
Advertisements

Algebrai struktúrák.
Hitelesített bizonylatok és számlák – pillanatok alatt
Az információbiztonság
Adatvédelem, adatbiztonság
Digitális aláírás, személyazonosítás E-önkormányzat október 11. Sikolya Zsolt vezető tanácsadó eGov Kft.
Elektronikus aláírás Balogh Zsolt György egyetemi docens
IPSec.
Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.
Varga László netTeam – Magyarország Kft. Budapest, november 23. Az elektronikus ügyintézés jogszabályi háttere és gyakorlata.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
A törvényességi felügyelettel összefüggő írásbeli kapcsolattartás
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Elektronikus archiválórendszer fejlesztése PKI alapokon Készítette: Kollár Balázs november 11.
Prímtesztelés Témavezető: Kátai Imre Komputeralgebra Tanszék Nagy Gábor:
Euklidészi gyűrűk Definíció.
Algebrai struktúrák 1.
Csoport részcsoport invariáns faktorcsoport részcsoport
Gyűrűk Definíció. Az (R, +, ·) algebrai struktúra gyűrű, ha + és · R-en binér műveletek, valamint I. (R, +) Abel-csoport, II. (R, ·) félcsoport, és III.
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem Pethő Attila 2008/9 II. félév.
Elektronikus aláírás, időbélyegzés, elektronikus hitelesítés
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem
A digitális aláírás technológiája
Adatvédelem, adatbiztonság
Digitális Aláírás ● A rejtjelező algoritmusokon alapuló protokollok közé tartozik a digitális aláírás is. ● Itt is rejtjelezés történik, de nem az üzenet.
Elektronikus dokumentumok
Az elektronikus aláírás állami elismerése
eEgészség – Digitális Aláírás (TTP) státusz a projekt 11. hetében „A digitális aláírás egészségügyben való alkalmazhatóságát lehetővé tévő módosítandó.
1 eEgészség – Digitális Aláírás Előadás a projekt lezárásához „Megbízható harmadik fél szolgáltatás, a digitális aláírás bevezetése az egészségügyi ágazatban”
Az OKJ bevezetésének, a szakmai vizsgáztatásnak jogszabályi háttere.
Dátum Tőkepiaci közzétételek a PSZÁF honlapján (Tájékoztató a tőkepiacról szóló évi CXX. tv. 34.§ (4) bekezdés d) pontjának végrehajtására felkészülésről)
A tőkepiaci közzétételek elektronikus hitelesítése június 12. dr
Az RSA algoritmus Fóti Marcell.
Az elektronikus aláírás
Krasznay Csaba BME Informatikai Központ
Hosszú távú hiteles archiválás elektronikus aláírás segítségével Krasznay Csaba BME Informatikai Központ.
A felnőttképzéshez kapcsolódó jogszabályok változásai
Digitális aláírás.
Elektronikus aláírás, azonosítás, hitelesítés
Vektorterek Definíció. Legyen V Abel-csoport, F test, továbbá
Adatbázis kezelés.
Internet, Elektronikus levelezés
INTÉZMÉNYI KÖR NYILVÁNTARTÁS AKKREDITÁCIÓ ENGEDÉLYEZÉS.
Szabályozási Rendszerek 2014/2015, őszi szemeszter Előadás Automatizálási tanszék.
Algebrai struktúrák: csoport, gyűrű, test. RSA Cryptosystem/ Titkosítási rendszer Rivest, Shamir, Adelman (1978) RSA a neten leggyakrabban használt.
Dodekaéder Hamilton köre
Többdimenziós valószínűségi eloszlások
Dr. Bakonyi Péter c.docens
Kulcs, kulcspár, hash… titkosítási (hangos) kisszótár Harsán Péter szervező mérnök alapító tag Hétpecsét Információbiztonsági Egyesület.
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
SZÁMADÓ Elektronikus számlák befogadása, e-dokumentumok a cégek gyakorlatában Csiba András Kornis György Számadó Kft 1.Elektronikus számla.
Kártékony programok analízise 1 CrySyS Lab projektek.
Rövid áttekintés a MOK/HEFOP kártyák használhatóságáról Készítette: Nádor Szabolcs,
Elektronikus számlázás jogi szabályozása, kontírozás dr. Kovács Ferenc APEH Ügyfélkapcsolati és Tájékoztatási főosztály osztályvezető.
BITCOIN. Bitcoin 2009-ben jelent meg Ingyenes, nyílt forráskódú kliens Nincs központi bank, P2P rendszer
Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.
26/09/20161 Elektronikus számlázás ellenőrzési tapasztalatai Czöndör Szabolcs Elektronikus Kereskedelem Ellenőrzési Osztály.
Elektronikus Számlakibocsátók Egyesület Elektronikus számlázás – 2015 Mi történjen 2008 és 2015 között? Barsi András, Mitnyik Béla.
Elektronikus aláírás és iratkezelés
ELEKTRONIKUS ALÁÍRÁS E-JOG.
Elektronikus számlázás - technológiai tapasztalatok
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem
A szakmai vizsgákat követő adatszolgáltatás digitális aláírással
Az elektronikus aláírás
2018. március 3. B épület E1 előadó
Az elektronikus aláírás
Az elektronikus aláírás
2019. március 2. B épület E1 előadó
IT hálózat biztonság Összeállította: Huszár István
IT hálózat biztonság Összeállította: Huszár István
Előadás másolata:

AZ ELEKTRONIKUS ALÁÍRÁSOK BIZTONSÁGÁRÓL

Probléma /elektronikus üzenet aláírása/ A üzenetet küld B-nek. B hogyan képes kimutatni: az üzenet A-tól származik eredet igazolhatósága, az üzenet „aláírását” követően nem változott sértetlenség igazolhatósága Elektronikus üzenet (utólagos) letagadása „Nem én írtam alá az üzenetet.” „Nem az én magán kulcsommal írták alá az üzenetet.” „Az én magán kulcsommal írta valaki más alá az üzenetet, miután illetéktelenül megszerezte azt tőlem.”

Jogszabályi háttér 1999/93/EK Irányelv 2001. évi XXXV. törvény az elektronikus aláírásról 15/2001. MehVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről 16/2001. MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről 151/2001. kormányrendelet A Hírközlési Felügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 20/2001. MeHVM rendelet a Hírközlési Felügyeletnek az elektronikus aláírással összefüggő minősítéssel és nyilvántartással kapcsolatos tevékenységért fizetendő díjakról 2/2002. MeHVM rendelet a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről 7/2002. MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatási szakértői nyilvántartásba vételről

Az elektronikus dokumentumok fajtái bármely fajta elektronikus eszköz útján érzékelhető adat, melyet elektronikus aláírással láttak el. ( hang, kép, szoftver is) Elektronikus dokumentum Elektronikus irat: olyan elektronikus dokumentum, melynek funkciója az, hogy szöveget közöljön és más adat legfeljebb ennek illusztrálására, hatósági azonosítására (pl. fejléc) szerepel benne. (csak szöveg) Elektronikus irat Elektronikus okirat Elektronikus okirat: olyan elektronikus irat, mely nyilatkozattételt, illetőleg nyilatkozat elfogadását, vagy nyilatkozat kötelezőnek elismerését foglalja magában. (szöveges nyilatkozat)

Az elektronikus aláírások fajtái elektronikus dokumentumhoz azonosítás céljából végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt elektronikus adat, illetőleg dokumentum. Elektronikus aláírás Fokozott biztonságú elektronikus aláírás : elektronikus aláírás+ a)  alkalmas az aláíró azonosítására és egyedülállóan az aláíróhoz köthető, b)   olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll, c)  a dokumentum tartalmához olyan módon kapcsolódik, hogy minden – az aláírás elhelyezését követõen az iraton, illetve dokumentumon tett – módosítás érzékelhető. Fokozott biztonságú elektronikus aláírás Minősített elektronikus aláírás Minősített elektronikus aláírás : fokozott biztonságú elektronikus aláírás + a)  biztonságos aláírás-létrehozó eszközzel készült („BALE”) ; b)  hitelesítése céljából minősített tanúsítványt bocsátottak ki.

Elektronikus aláírás készítésének és ellenőrzésének folyamata HSz Aláíró (Feladó) magán kulcs aláírás-létrehozó adat Szabványos lenyomat készítő algoritmus (Hash) Kódoló algoritmus Elektronikus irat Lenyomat Generálás Elektronikus aláírás Nyilvános csatorna Továbbítás Ellenőrzés Szabványos lenyomat készítő algoritmus (Hash) Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Aláírás ellenőrző (Címzett) Megegyezik? nyilvános kulcs aláírás-ellenőrző adat Hiteles, érvényes?

Elektronikus aláírás készítésének és ellenőrzésének folyamata Aláíró (Feladó) BALE magán kulcs aláírás-létrehozó adat Szabványos lenyomat készítő algoritmus (Hash) Kódoló algoritmus Elektronikus irat Lenyomat Generálás Elektronikus aláírás HSz Nyilvános csatorna Továbbítás Ellenőrzés Szabványos lenyomat készítő algoritmus (Hash) Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Aláírás ellenőrző (Címzett) Megegyezik? nyilvános kulcs aláírás-ellenőrző adat Hiteles, érvényes?

CEN Workshop Aggrement, 14170, v2.1.0. 2003.05: Sec. Requirements for Signature Creation Application

Elektronikus aláírás készítésének és ellenőrzésének veszélyei (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Veszély: Iratok aláírása hamisítható: - A magán kulcs generálási hibájának következtében egy támadó rekonstruálni tudja azt, más nevében aláírhat. - Az aláírás-létrehozó adatot (magán kulcsot) egy támadó illetéktelenül megismeri (nyilv.adatból, működés közbeni fizikai folyamatokból, vagy kiolvasási technikákkal). - Az elektronikus irat és aláírás hibás összerendelése miatt aláírt iratot módosíthat. Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése Elektronikus aláírás HSz Nyilvános csatorna Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Szabványos, biztonságosnak tekinthető digitális aláíró algoritmusok RSA (Rivest-Shamir-Adleman) Az alapot képező matematikai probléma: Két nagy prím számot (p,q) összeszorozni “könnyű”, de a szorzatukat faktorizálni (törzstényezőkre bontani, n=p*q) “nehéz”. Alap művelet: szorzás modulo n DSA (Digital Signature Algorithm) Az alapot képező matematikai probléma: Egy véges testben /GF(p)/ egy q által meghatározott multiplikatív részcsoportban hatványozni “könnyű”, de ennek inverz művelete, a diszkrét logaritmus képzés “nehéz”.) Alap művelet: szorzás GF(q) felett. ECDSA (Elliptic Curve analogue of DSA) Az alapot képező matematikai probléma: Speciális tulajdonságoknak eleget tevő elliptikus görbék pontjaira definiálható az összeadás fogalma, melyre nézve a görbe pontjai csoportot alkotnak. Ezen művelet többszörös alkalmazása – a skaláris szorzás – viszonylag “könnyű”, míg ennek inverz művelete – a diszkrét logaritmus képzés – “nehéz”. Alap művelet: elliptikus görbék pontjainak összeadása.

Az EESSI-SG (European Electronic Signature Standardisation Initiative Steering Group) felügyelete alatt dolgozó Algoritmus csoport (ALGO) által meghatározott követelmények Egy aláírás-készlet a következő elemekből áll: · aláíró algoritmus a paramétereivel, · kulcsgeneráló algoritmus, · feltöltési eljárás, · kriptográfiai hash-függvény. RSA, DSA, EC

R. S. A. Faktorizálási fordulópontok Az m javasolt mérete 512 3 M prím moduláris hatványozás m: modulus, m=p*q e:nyilvános kulcs d: titkos kulcs Faktorizálási fordulópontok Az m javasolt mérete 512 3 M prím 768 240 M prím 1024 7500 Mprím

Az EESSI-SG (European Electronic Signature Standardisation Initiative Steering Group) felügyelete alatt dolgozó Algoritmus csoport (ALGO) által meghatározott követelmények RSA algoritmus esetén: a modulus n = pq bithossza (ModLen) legalább 1020 bit legyen p és q megközelítőleg azonos hosszú: 0.5 < | log2p – log2q | < 30 megfelelően nagyszámú prímszám közül függetlenül kell a két prímet választani, és ezek eloszlása megfelelően egyenletes kell legyen: a véletlen választás, ill. egy véletlen generátor induló értékének legalább 128 bit szabadsági fokúnak kell lennie; a prímtesztnél a hiba valószínűsége (tehát annak valószínűsége, hogy p, vagy q mégis összetett szám) kisebb mint 2-60 legyen.

Az EESSI-SG (European Electronic Signature Standardisation Initiative Steering Group) felügyelete alatt dolgozó Algoritmus csoport (ALGO) által elfogadott aláírás-készletek listája: RSA Az aláírás-készlet: · aláíró algoritmus a paramétereivel, · kulcsgeneráló algoritmus, · feltöltési eljárás, · kriptográfiai hash-függvény. /RSA/ n:min 1020 bit, rsagen, emsa-pkcs1-v1_5, emsa-pss sha1, ripemd160

Az EESSI-SG (European Electronic Signature Standardisation Initiative Steering Group) felügyelete alatt dolgozó Algoritmus csoport (ALGO) által elfogadott aláírás-készletek listája: DSA Az aláírás-készlet: · aláíró algoritmus a paramétereivel, · kulcsgeneráló algoritmus, · feltöltési eljárás, · kriptográfiai hash-függvény. p:min 1020 bit, q: min 160 bit dsagen1, sha1

Az EESSI-SG (European Electronic Signature Standardisation Initiative Steering Group) felügyelete alatt dolgozó Algoritmus csoport (ALGO) által elfogadott aláírás-készletek listája: ECDSA, vagy EVGDSA Az aláírás-készlet: · aláíró algoritmus a paramétereivel, · kulcsgeneráló algoritmus, · feltöltési eljárás, · kriptográfiai hash-függvény. 160,10,200 bit, ecgen1, ecgen2, sha1, ripemd160

DSA: 1. p = a prime modulus, where 2L-1 < p < 2L for 512 = < L = <1024 and L a multiple of 64 2. q = a prime divisor of p - 1, where 2159 < q < 2160 3. g = h(p-1)/q mod p, where h is any integer with 1 < h < p - 1 such that h(p-1)/q mod p > 1 (g has order q mod p) 4. x = a randomly or pseudorandomly generated integer with 0 < x < q 5. y = gx mod p 6. k = a randomly or pseudorandomly generated integer with 0 < k < q pThe signature of a message M is the pair of numbers r and s computed according to the equations below: r = (gk mod p) mod q and s = (k-1(SHA(M) + xr)) mod q. w = (s')-1 mod q u1 = ((SHA(M')w) mod q u2 = ((r')w) mod q v = (((g)ul (y)u2) mod p) mod q. M,r,s  M’,r’, s' v=r’ ???

XTR (Efficient Compact Subgroup Trace representation) www.ecstr.com Más algoritmusok: Hátizsák algoritmus, multiplikatív hátizsák algoritmus; XTR (Efficient Compact Subgroup Trace representation) www.ecstr.com Egyesíti az RSA, ECL előnyeit (gyorsaság, kis memória igény, kis méretek) Erőssége a DLP-n alapul (Diszkrét Logaritmus Probléma) NTRU www.ntru.com Rácsredukción alapul Még rövidebb programkód, paraméterméretek

Hash függvények M ismeretében nehéz M’, hogy H(M)=H(M’) Blokkos rejtjelzés alapokon tetszőleges hosszú M üzenetre h=H(M) M ismeretében h=H(M) könnyű h ismeretében M nehéz, hogy h=H(M) (preimage-resistant) M ismeretében nehéz M’, hogy H(M)=H(M’) Nehéz M1, M2, hogy H(M1)=H(M2) (collision-resistant) Md2, Md4, Md5, SHA-1 (160 bit),RIPEMD

Hash függvények Hash-elendő üzenet: X= x1+ x1+… xL f(t,x,y,z) = (x AND y) OR (~x AND z) (0 <= t <= 19) f(t,x,y,z) = x XOR y XOR z (20 <= t <= 39) f(t,x,y,z) = (x AND y) OR (x AND z) OR (y AND z) (40 <= t <= 59) f(t,x,y,z) = x XOR y XOR z (60 <= t <= 79). Konstansok: K(t) = 5a827999 (0 <= t <= 19) K(t) = 6ed9eba1 (20 <= t <= 39) K(t) = 8f1bbcdc (40 <= t <= 59) K(t) = ca62c1d6 (60 <= t <= 79). SHA-1: FIPS PUB 180-1

Elektronikus aláírás készítésének és ellenőrzésének veszélyei (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Veszély: Iratok aláírása hamisítható: - A magán kulcs generálási hibájának következtében egy támadó rekonstruálni tudja azt, más nevében aláírhat. - Az aláírás-létrehozó adatot (magán kulcsot) egy támadó illetéktelenül megismeri (működés közbeni fizikai folyamatokból, vagy kiolvasási technikákkal). - Az elektronikus irat és aláírás hibás összerendelése miatt aláírt iratot módosíthat. Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése Elektronikus aláírás HSz Nyilvános csatorna Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Mértékadó követelmények a BALE-re CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) CC: Common Criteria (Közös szempontok az informatikai biztonság értékelésére) SSCD-PP: Secure Signature Creation Device Protection Profile (BALE-re kidolgozott konkrét követelményrendszer)

Funkcionális követelmények a BALE-re CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) A felhasználói adatok védelme /Function of User Data Protection/ FDP_ACC.1 Részleges hozzáférés ellenőrzés FDP_ACF.1 Biztonsági jellemzőkön alapuló hozzáférés ellenőrzés FDP_RIP.1 Részleges maradvány információ védelem FDP_SDI.2 A tárolt adatok sértetlenségének figyelése és beavatk. FDP_UIT.1 Az adatcsere sértetlensége

Funkcionális követelmények a BALE-re CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) Azonosítás és hitelesítés /Function of Identification and Authentication / FIA_AFL.1 A hitelesítési hiba kezelése FIA_ATD.1 A felhasználói jellemzők meghatározása FIA_UID.1 Az azonosítás időzítése FIA_UAU.1 A hitelesítés időzítése

Funkcionális követelmények a BALE-re CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) Biztonság kezelés /Function of Security Management / FMT_MOF.1 A biztonsági funkciók viselkedésének kezelése FMT_MSA.1 A biztonsági jellemzők kezelése FMT_MSA.2 Biztonságos biztonsági jellemzők FMT_MSA.3 Statikus jellemző inicializálás FMT_MTD.1 A biztonsági funkciók adatainak kezelése FMT_SMR.1 Biztonsági szerepkörök

Funkcionális követelmények a BALE-re CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) A biztonsági funkciók megbízható védelme /Function of Protection of the TSF / FPT_AMT.1 Az absztrakt gép tesztelése FPT_EMSEC.1 A BALE kisugárzása FPT_FLS.1 A biztonságos állapot megőrzése hiba esetén FPT_PHP.1 A fizikai támadások passzív észlelése FPT_PHP.3. A fizikai támadásokkal szembeni ellenálló képesség FPT_TST.1 A biztonsági funkciók tesztelése

Funkcionális követelmények a BALE-re CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) Kriptográfiai támogatás /Function of Cryptographic Support/ FCS_CKM.1 Kriptográfiai kulcs generálás FCS_CKM.4 Kriptográfiai kulcs megsemmisítés FCS_COP.1 Kriptográfiai eljárás

Garanciális követelmények a BALE-re 7. CC: SSCD-PP Beágyazott SW (alap + alkalmazói) (Aláíró) alkalmazás Operációs rendszer IC (integrált áramkör) A sebezhetőség felmérése Assurance Vulnerability Assessment AVA_MSU.3 A nem biztonságos állapotok elemzése és vizsgálata AVA_SOF.1 Az értékelés tárgya biztonsági funkciónak erősségértékelése AVA_VLA.4 Nagy felkészültségű támadásnak ellentálló /MSU: Misuse; SOF:Strenght of TOE Security Functions; VLA: Vulnerability Analysis/

Az SSCD Védelmi profil néhány biztonsági követelménye (26 funkc k.) Kulcskezelés (kulcsgenerálás, kulcsmegsemmisítés, ...), Biztonsági jellemzőkön alapuló hozzáférés ellenőrzés, a biztonsági funkciók és szerepkörök adatainak kezelése,... maradvány információ védelem, adatok sértetlenségének biztosítása, adat-csere sértetlenség, az aláírás-létrehozó adat (magánkulcs), valamint a hitelesítő adat (PIN kód) megismerését lehetővé tévő áramfelvételek, kisugárzások analizásának megakadályozása, ... A fizikai támadások észlelése, ezekkel szembeni ellenállás, Megbízható csatorna kiépítési lehetősége, mely logikailag különbözik a többi kommunikációs csatornától, egyúttal biztosítja végpontok garantált azonosítását és a továbbított adatok illetéktelen felfedés és módosítás elleni védelmét, valamint amely a továbbítás során megvédi az alkalmazások és az intelligens kártya között kicserélt adatokat, ...

Elektronikus aláírás készítésének és ellenőrzésének folyamata (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése Veszély: Az adott aláíró nevében érvényes aláírások hamisíthatók: Ok: - Rosszul működő regisztráció: hamis adatokkal más személy nevében, „hiteles” tanúsítvány szerezhető be. A HSz magán kulcsa kompromittálódik: HSz nevében „hiteles” tanúsítványok hamisíthatók. BALE Elektronikus aláírás Nyilvános csatorna HSz Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Elektronikus aláírás készítésének és ellenőrzésének folyamata (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése Veszély: Utólagos jogvita esetén nem dönthető el az aláírás érvényessége. Ok: -A kiadott tanúsítványok, visszavonási listák nem kellő ideig történő tárolása -Az informatikai rendszer rendelkezésre állásának hiányosságai következtében a visszavonás-kezelés, illetve a visszavonás státusz szolgáltatásokban időnként fennakadások, kiesések adódnak. BALE Elektronikus aláírás Nyilvános csatorna HSz Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Szabályozandók (policy) Certificate Practise Statement Regisztráció módja, megbízhatósága Érvényességi periódus Kulcs-csere, vagy csak tanúsítvány csere Revocation gyakorisága Cross certification Archiválás, backup, belső rezsim, titkos kulcs tárolása Tanúsítvány tartalma, stb

X509 v3 tanúsítvány Verziószám Tanúsítvány sorozatszáma Aláíró algoritmus Kibocsátó Érvényességi időtartam Elektronikus aláírás a kibocsátó (HSz) magán kulcsával Tulajdonos Tulajdonos nyilvános kulcsa Kibocsátó egyedi azonosítója (opc) Tulajdonos egyedi azonosítója (opc) Kiterjesztések (opc.) A kibocsátó elektronikus aláírása

Visszavonási lista Vissza-vonás-kezelés folyamat Tanú-sítvány státusz adatbázis Visszavonás-kezelés szolgáltatás Visszavonás státusz szolgáltatás Státusz kérelem válasz Státusz változásra vonatkozó kérelmek/ válaszok

Időbélyegzés szolgáltató (HSz) Idő-paraméter generálása Kérelem helyesség ellenőrzés Időbélyeg generálása HSz aláíró magán kulcs Digitális lenyomat HSz tanúsítvány (opcionális) Tanúsítvány visszavonási lista Sorozatszám Adatok Politika M E G B Í Z H A T Ó I D Ő F O R Á S Felhasználói interfész Időbélyeg kérelem Időbélyeg válasz Időbélyegzés szolgáltató (HSz) Időbélyeg kiszá-mítása

Elektronikus aláírás készítésének és ellenőrzésének követelményei (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése CEN/ISSS/E-Sign;AreaD1 CW1 14167/1: Security Requirements for Trustworthy systems - 16/2001 + 2/2002 MeHVM irányelv: a minősített el. aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről HSM: CEN 14167-2 WG: Cryptographic Module for CSP Signing Operation – Protection Profile (CMCSO-PP, HSM-PP) Elektronikus aláírás Nyilvános csatorna HSz Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Elektronikus aláírás készítésének és ellenőrzésének folyamata (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése BALE Elektronikus aláírás Nyilvános csatorna HSz Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Elektronikus aláírás készítésének és ellenőrzésének követelményei (Feladó) magán kulcs aláírás-létrehozó adat Elektronikus irat készítése Aláíró alkalmazás indítása Kódoló algoritmus Lenyomat készítése Elektronikus aláírás CWA 14170: Security Requirements for Signature Creation Systems CWA 14171: Procedures for Electronic Signature Verification Nyilvános csatorna HSz 35 funkcionális, 60 biztonsági követelmény Elektronikus irat megtekintése/ további feldolgozása Dekódoló algoritmus Lenyomat Lenyomat Tanúsítvány Ellenőrző alkalmazás nyilvános kulcs aláírás-ellenőrző adat Aláírás ellenőrző (Címzett) Hiteles, érvényes?

Felelősséget viselő résztvevők az elektronikus aláírás rendszerben: A jogbiztonság érvényesüléséhez egyértelművé kell tenni a felelősségeket (amelyek akár bíróság előtt is érvényesíthetőek). A rendszerek tervezésénél a résztvevőknek egyértelmű felelősséget kell vállalniuk. Felelősséget viselő résztvevők az elektronikus aláírás rendszerben: Aláírók Aláírás ellenőrzők Hitelesítés-szolgáltatók (HSz) Biztonságos aláírás-létrehozó eszközt (BALE) kibocsátó gyártók Elektronikus aláírási terméket forgalmazó gyártók Aláírás-létrehozó környezet kialakításáért felelős szervezetek Aláírás-ellenőrző környezet kialakításáért felelős szervezetek Felügyelet (Hírközlési Főfelügyelet, HIF) (aláírási eszközöket, aláírási termékeket, illetve szolgáltatókat minősítő) Tanúsító szervezetek

Megkülönböztető fogalmak a biztonságosság szempontjából Biztonságos aláírás-létrehozó eszköz /BALE/ olyan ALE, mely: meghatározott követelményeknek eleget tesz, és Az NHH (egy minősítési eljárás után) nyilvántartásba vett Minősített hitelesítés-szolgáltató /MHSz/ olyan HSz, mely: meghatározott követelményeknek eleget tesz, és a HIF (egy minősítési eljárás után) nyilvántartásba vett Minősített tanúsítvány olyan tanúsítvány, mely: meghatározott követelményeknek (és szabványnak) eleget tesz (köztük, hogy tartalmazza annak megjelölését, hogy a tanúsítvány minősített), minősített HSz által került kibocsátásra

Vége