certifikační autorita v praxi

Snmek 1

Certifikan autorita v praxiIng. Petr Budi, Ph.D.Osnova pednkyvod do problematikyCertifiktyCertifikan autorita certifikan sluby Certifikty a jejich ivotn cyklusLegislativaPedstaven I.CAasov raztkaOstatn typy certifiktDotazy

Cle komunikan bezpenostiDostupnostDvrnost informacneautorizovan subjekty nemaj monost pstupu k dvrnm informacmIntegrita datzabezpeen proti neautorizovan modifikaciAutentinostmonost jednoznan identifikovat odesilatele zprvyNeodmtnutelnost odpovdnostidkaz o pm odpovdnosti subjektu za odeslanou zprvuZajistit, aby procesy, zaloen na elektronick komunikaci byly minimln stejn dvryhodn a bezpen, jako bn procesy spojen s paprovou agendou.Cle komunikan bezpenostiCo je kryptografie?Kryptografie je disciplna, kter ztlesuje zsady, prostedky a metody pro ochranu urench skutenost za elem jejich skryt ped neoprvnnou stranou, zajitn jejich autentinosti, zabrnn jejich nedetekovan modifikaci, zabrnn jejich odmtnut (popen) nebo zabrnn jejich neoprvnnmu pouit.vod do problematikyElektronick podpis PodpisZaruen EP Vlastnorun podpis

Certifikt Prkaz totonostiKvalifikovan certifikt Obansk prkaz

Certifikan autorita Vydavatel prkaz totonostiAkreditovan CA Vydavatel OP

Uznvan elektronick podpis Certifikan autorita certifikan sluby Vydv certifikty (odpovdnost za oven totonosti adatele o certifikt)

Vydv seznam zneplatnnch certifikt CRL (OCSP)

Vydv seznam veejnch certifikt

Zajiuje uloen a distribuci identifikanch informac

Certifikan slubyVydvn komernch certifikt

Vydvn kvalifikovanch certifikt

Vydvn kvalifikovanch systmovch certifikt

Zizovn registranch autorit

Vydvn asovch raztek

Nabdka ipovch karet a teek

Spoluprce s klienty pi implementaci slueb

Dal sluby souvisejc s innost CA (archivace, )

Princip certifiktuCertifikt osahuje identifikaci vlastnka a veejn kl vlastnka.Certifikt je podepsn vystavitelem certifiktu (certifikan autoritou).Certifikt svazuje identitu vlastnka (pana A) a veejn kl vlastnka (veejn kl pana A).Certifikt umouje publikovat veejn kl vlastnka (pana A) certifiktu spolu s jeho identitou.Integrita (neporuenost certifiktu) je chrnna podpisem certifikan autority.Pan A

Certifikan autorita

Certifikt pana A

Veejn kl pana APodpis CAIdentita pana ACertifikt

slo certifiktu Vydavatel certifiktu Jedinen identifikace majitele Platnost certifiktu

Veejn kl majitele

Podpis CA

Proces vydn certifiktuGenerovnpru kl 6. Instalace certifiktu2. Doprava dostik registran autorit5. Zskn certifiktu4. Vydn certifiktu CA3. Oven dostina registran autoritZasln vydanho certifiktu E-mailem

loit dat pro vytven elektronickho podpisuOsobn pota

ipov karta + teka

USB token

14Proces obnovy certifiktu

ivotn cyklus certifiktu

Legislativa k EP

Smrnice Evropskho parlamentu a Rady 1999/93/ESZkon 227/2000 Sb. o elektronickm podpisu v platnm znn Nazen vldy . 495/2004 Sb., kterm se provd zkon .227/2000 Sb., o elektronickm podpisu a o zmn nkterch dalch zkonVyhlka .496/2004 Sb. k elektronickm podatelnmVyhlka z 19.7.2006 .378/2006 Kvalifikovan certifikt podpis Komern certifikt autentizace a ifrovn

Certifikan politika I.CAZkon o e-GovernmentuKlov pojmy v legislativ (1)elektronick podpis - daje v elektronick podob, kter jsou pipojen k datov zprv nebo jsou s n logicky spojen a kter slou jako metoda k jednoznanmu oven identity podepsan osoby ve vztahu k datov zprv

zaruen elektronick podpis - elektronick podpis, kter spluje nsledujc:

je jednoznan spojen s podepisujc osobou,

umouje identifikaci podepisujc osoby ve vztahu k datov zprv,

byl vytvoen a pipojen k datov zprv pomoc prostedk, kter podepisujc osoba me udret pod svou vhradn kontrolou,

je k datov zprv, ke kter se vztahuje, pipojen takovm zpsobem, e je mono zjistit jakoukoliv nslednou zmnu dat,Klov pojmy v legislativ (2)elektronick znaka - daje v elektronick podob, kter jsou pipojen k datov zprv nebo jsou s n logicky spojen a kter spluj nsledujc poadavky

jsou jednoznan spojen s oznaujc osobou a umouj jej identifikaci prostednictvm kvalifikovanho systmovho certifiktu

byly vytvoeny a pipojeny k datov zprv pomoc prostedku pro vytven elektronickch znaek, kter oznaujc osoba me udret pod svou vhradn kontrolou,

jsou k datov zprv, ke kter se vztahuj, pipojeny takovm zpsobem, e je mon zjistit jakoukoli nslednou zmnu dat

kvalifikovan asov raztko - datov zprva, kterou vydal kvalifikovan poskytovatel certifikanch slueb (CA) a kter dvryhodnm zpsobem spojuje data v elektronick podob s asovm okamikem, a zaruuje, e uveden data v elektronick podob existovala ped danm asovm okamikem

Akreditovan poskytovatel certifikancanch slueb v RAkreditaci spolenostem, kter o ni podaj a kter souasn spln poadovan podmnky, vyd MV R (dve MI R, OO)

Zskn akreditace vak pedchz pomrn dlouhodob proces konkrtnch een uvnit tchto spolenost, na jeho konci pokud je tento proces spn - dojde k zskn akreditace pehled akreditac podle MVCR:

Prvn certifikan autorita, a.s.esk pota, s.p.eIdentity, a.s.

Prvn certifikan autoritaPrvn certifikan autorita, a.s. (dle t I.CA), je akreditovanm poskytovatelem certifikanch slueb v esk republice a na Slovensku

I.CA zahjila ppravu pro svou innost ji v roce 1997 a certifikty nejprve komern a pozdji i kvalifikovan - vydv od roku 1998

Vlastn spolenost Prvn certifikan autorita byla zaloena 12.3.2001

Prvn certifikan autorita obdrela ke dni 18.3.2002 akreditaci v esk republice ve smyslu zkona .227/2000 Sb., o elektronickm podpisu v platnm znn

Prvn certifikan autorita obdrela ke dni 21.9.2006 akreditaci na Slovensku ve smyslu zkona .215/2002 Z. z., o elektronickom podpise v platnm znn

Pojem akreditovan certifikan autoritaAkreditovanm poskytovatelem certifikanch slueb se stv certifikan autorita (CA), kter zsk od sttu akreditaci :

v esk republice od MV Rna Slovensku od NB

Proces zskn akreditace je dlouhodob, odborn i finann nron a je-li spn, je zakonen vydnm = zsknm akreditace

Prvn certifikan autorita, a.s., m akreditaci v esk republice a ve Slovensk republice

Pravdpodobn tedy jako jedin certifikan autorita v Evrop m I.CA akreditaci ve dvou zemch Evropsk unie

Rozsah akreditace I.CA v R a v SRRozsah akreditace spolenosti Prvn certifikan autorita, a.s. :

Ministerstvo vnitra R zveejuje v souladu s 9 odst. 2, psm. e) zkona . 227/2000 Sb. nsledujc rozsah akreditace :

Vydvn kvalifikovanch certifikt;Vydvn kvalifikovanch systmovch certifikt;Vydvn kvalifikovanch asovch raztek.

Nrodn bezpenostn rad Slovensk republiky vydal spolenosti Prvn certifikan autorita, a.s., dne 21.z 2006 akreditaci na :

Vydvn kvalifikovanch certifikt;Vydvn kvalifikovanch asovch raztek.

Souhrnn statistiky I.CAI.CA je vznamn poskytovatel certifikanch slueb v esk republice a na Slovensku a za dobu sv psobnosti vydala nejvy poet certifikt

Jako akreditovan certifikan autorita poskytuje t sluby asov autority (kvalifikovan asov raztka)

Za dobu sv psobnosti spolenost I.CA vydala zhruba 1.400.000 certifikt komernch

Dle vydala spolenost I.CA zhruba 230.000 certifikt kvalifikovanch a certifikt kvalifikovanch systmovch (podle Zkona o EP)

I.CA eviduje cca 79.000 platnch kvalifikovanch certifikt

Poet vydanch kvalifikovanch asovch raztek se ji piblil k hranici 1.350.000 raztek za msc

I.CA je dle vznamnm dodavatelem teek ipovch karet a ipovch karet Starcos a token jako nosi pro uloen certifiktLegislativn nedoeen oblastiArchivace elektronickch dokument

Prkaznost proveden operace

Standardizovan garantovan pota

Mezinrodn uznatelnost elektronickho podpisuVyuit certifiktOblast orgn veejn mocirealizace projekt vsouladu se sttn informan politikou (eGovernment)

Finann a bankovn sektoreen bezpen komunikace mezi subjektyportlov aplikacespecializovan aplikace vyuvajc certifikty jako formu zabezpeenpenos dvrnch dat

Sfra stednch a vtch firembezpen komunikace managementu firmybezpen pstup na firemn www server kdvrnm informacm

Internetov veejnostkomunikace se sttn sprvou a samosprvou ve smyslu Zkona o EP

Vyuit certifiktpodn Pehledu o pjmech a vdajch OSV za rokpodn Evidennch list dchodovho pojitn podn Pihlek a odhlek k nemocenskmu pojitn podn Piznn dan z pjm msn podn Piznn dan z pidan hodnoty dosti o sociln dvky a rodiovsk pspvky dosti o porodn komunikace se zdravotnmi pojiovnami dosti o zasln Pehledu vykzan zdravotn pe na pojitnce za uplynul kalendn rok a ppadn tak pi reklamaci komunikace s krajskmi, mstskmi i obecnmi ady .PKI - Klasick certifikt veejnho kle

datov struktura, kter spojuje identifikaci adatele sjeho veejnm klem. Tato vazba je stvrzena elektronickm podpisem certifikan autority obsahuje jedinen slo certifiktu, jmno vydavatele certifiktu, jmno dritele certifiktu (pedmt certifiktu), platnost certifiktu a veejn kl dritele certifiktu autentizace na zklad certifiktu se provd prokazatelnm vlastnictvm soukromho kle nleejcmu kveejnmu kli uvedenmu v certifiktuPKI asov raztko

asov raztko slou jako dkaz o tom, e dan dokument existoval ped asem uvedenm vasovm raztku struktura obdobn certifiktu, kter svazuje hash z dokumentu sasem. Je elektronicky podepsno (vydvno) autoritou pro vydvn asovch raztek (Time Stamping Authority TSA)Definice:kvalifikovanm asovm raztkem je datov zprva, kterou vydal kvalifikovan poskytovatel certifikanch slueb a kter dvryhodnm zpsobem spojuje data v elektronick podob s asovm okamikem, a zaruuje, e uveden data v elektronick podob existovala ped danm asovm okamikem asov raztka vydv poskytovatel certifikanch slueb, kter nabz sluby asov autority (TSA Time Stamp Autority).

Postup zskn asovho raztka:Tvorba dosti o vydn asovho raztkaOdesln dosti o vydn asovho raztka na server asov autorityZpracovn dosti o asov raztkoPijet odpovdi od serveru asov autorityKontrola odpovdi na dost o vydn asovho raztka

Vydn asovho raztkaCo je asov raztkoasov raztko je datov zprva, kter potvrzuje existenci dokumentu v ase

Slou jako dkaz, e datov objekt, ke ktermu je pipojeno, existoval bezprostedn ped asovm dajem, uloenm v tomto asovm raztku

Zajiuje piazen aktulnho asovho daje kexistujcm datm, informacm, souborm nebo udlostem

Spojen nezpochybnitelnho asovho daje a konkrtnch dat je nezbytn zejmna pro ely jejich zptnho ovovn

asov raztko obsahuje datum a as vydn, slo asovho raztka, identifikaci tet strany, kter asov raztko vydala (poskytovatele certifikanch slueb), a otisk dat (hash), ke kterm je raztko vydno

31Kde pout asov raztkoK dokumentm ukldanm do archivu (vazba i na elektronicky podepsan dokumenty)Potvrzen o uzaven obchodu skonkrtnmi podmnkami, podpis smlouvy v elektronick podobZafixovn kurs zahraninch mn vrmci tchto obchodPotvrzen asu pedn dokumentace :pi on-line obchodovn pi soudnm dokazovanOchrana programovch kdElektronick podatelnyOven adatele o slubu, o poskytnut informacBankovnictv (Platebn pkaz, dost o vr, )

32asov raztkoVydan kvalifikovan asov raztko obsahuje minimln :

uniktn slo kvalifikovanho asovho raztkaoznaen pravidel, podle kterch bylo kvalifikovan asov raztko vydnoasov daj, jeho odchylka nepeshne 1 sekundu od UTCdata v elektronick podob - otisk (hash) dat, pro kter bylo kvalifikovan asov raztko vydnoelektronickou znaku serveru, kter kvalifikovan asov raztko vydal (TSU)

33asov raztko

RFC-3161 RFC-3628 34Zskn dvryhodnho asu

PKI atributov certifikt

atributov certifikt zobecuje mechanismus certifiktu veejnho kle

msto veejnho kle jsou v nm jin daje o driteli certifiktu (mluvme o tzv.atributech)

atributovm certifiktem aplikaci sdlujeme sv pstupov prva

AC vydv atributov autorita (AA) samotnm atributovm certifiktem nelze prokzat totonost dritele a vystavuj se na krat dobu o atributovch certifiktech pojednvRFC 3281PKI DV certifikt

DV-certifikt (DV = data validation) slou jako dkaz o dren dokumentu bezprostedn ped asem uvedenm vDV-certifiktu

tento typ certifiktu se tak nkdy oznauje jako DV-asov raztko, krom toho mohou DV-certifikty jinch typ slouit k: dkazu pravosti elektronickch podpis dkazu pravosti celho dokumentu dkazu pravosti certifiktu

DV-certifikty vydv DVCS (Data Validation Certificate Server) DV-certifikty mohou bt vbudoucnu zkladem cel oblasti, kter vsouasn dob vznik a oznauje se jako sluby elektronickho note (e-notary)Dkuji za [email protected]

CertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------

El. podpis:CAasov raztko

----------------------------------Vydal: TSASriov slo: 1234as: -----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------

El. podpis:TSAAtributov certifiktDritel: Pepa Novk----------------------------------Vydal: Atributov autoritaSriov slo: 9876543Platnost:-----------------------------------Atributy: blabla..----------------------------------

El. podpis:AADV-certifiktDritel: Pepa Novk----------------------------------Vydal: DVCSSriov slo: 9876543Platnost:-----------------------------------Hash z dokumentu: SHA-1,FE3445BB2FDA...----------------------------------

El. podpis:DVCSCertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------





El. podpis:DVCSdost o asov raztko---------------------Verze: Hash z dokumentu: SHA-1,FE3445BB2FDA..Ostatn parametry..CertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------





El. podpis:DVCSCertifiktPedmt: Pepa Novk----------------------------------Vydal:Certifikan autoritaSriov slo: 1234567Platnost:-----------------------------------Veejn kl: FAABBE45BB2FDA...----------------------------------





El. podpis:DVCS

certifikační autorita v praxi

Documents