PKI standardy i praktyka Miosz Smolarczyk Tre Standardy
- Slides: 21
PKI – standardy i praktyka Miłosz Smolarczyk
Treść • Standardy i podstawy prawne • XAd. ES 1. 3. 2 – – Struktura podpisu Rozszerzenia Weryfikacja Problemy prawne i techniczne • Nowa ustawa
Podstawy prawne • • • Ustawa o podpisie elektronicznym z dnia 18 września 2001 roku (Dz. U. Nr 130, poz. 1450) Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 roku (Dz. U. Nr 128, poz. 1094) w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego. Wkrótce nowa ustawa
Standardy • • PN-ISO/IEC 9796 X. 509, PN-ISO/IEC 9594 -8: 2006 XML Signature, XAd. ES, PKCS #7, … ISO/IEC 27001: 2005 - norma Systemu Zarządzania Bezpieczeństwem Informacji • ISO/IEC 17799: 2005 - zalecenia i najlepsze praktyki • Wiele innych…
XAd. ES • XML Advanced Electronic Signatures – Rozszerzenia XML-DSig • Aktualna wersja 1. 3. 2 • Stosowany w Administracji Publicznej
XAd. ES – podstawowy schemat
XAd. ES - rozszerzenia • XAd. ES-T (timestamp), adding timestamp field to protect against repudiation; • XAd. ES-C (complete), adding references to verification data (certificates and revocation lists) to the signed documents to allow off-line verification and verification in future (but does not store the actual data); • XAd. ES-X (extended), adding timestamps on the references introduced by XAd. ES-C to protect against possible compromise of certificates in chain in future; • XAd. ES-A (archival), adding possibility for periodical timestamping (e. g. each year) of the archived document to prevent compromise caused by weakening signature during long -time storage period.
XAd. ES - weryfikacja • Pozytywna weryfikacja niemożliwa bez wszystkich referencji (także zewnętrznych) • Przykład z życia – doręczanie dokumentu do obywatela: Decyzja (XAd. ES) UPD (XAd. ES) Decyzja (XAd. ES-A) UPD Weryfikacja UPD (XAd. ES) Decyzja (XAd. ES-A)
XAd. ES – weryfikacja
Weryfikacja c. d. „Bezpieczny podpis elektroniczny (…) wywołuje skutki prawne określone ustawą, jeżeli został złożony w okresie ważności tego certyfikatu. ”
Weryfikacja c. d. • Procedura standardowa: – Sprawdzenie integralności dokumentów – Sprawdzenie zgodności podpisu z dokumentem – Sprawdzenie ważności certyfikatu, na podstawie aktualnych CRL/ARL • X. 509: listy są aktualne, jeśli nie nastąpiła jeszcze data planowego wystawienia następnej listy. W szczególnym przypadku nieważny certyfikat może zostać zweryfikowany prawidłowo!
Weryfikacja c. d. • Procedura bezpieczna: – – Oznaczenie czasem, np. : XAd. ES-T Sprawdzenie integralności dokumentów Sprawdzenie zgodności podpisu z dokumentem Sprawdzenie ważności certyfikatu, na podstawie aktualnych (z definicji) CRL/ARL – Zwrócenie informacji o niekompletnej weryfikacji i jej statusie – Zwrócenie ostatecznego wyniku weryfikacji po zweryfikowaniu certyfikatu z użyciem list CRL/ACL następujących po znaczniku czasu – Rozszerzenie do postaci archiwalnej (w zależności od potrzeb), np. : XAd. ES-A
Inne problemy • Oparcie na zaufaniu do urządzeń i aplikacji – Czy w rzeczywistości użytkownik wie co podpisuje? • Konieczna „konserwacja” podpisów • Problemy prawne …
Nowa ustawa • Stan: odesłana do konsultacji • Założenia: upowszechnienie i obniżenie kosztów korzystania z podpisu elektronicznego • Środki: – Więcej usług certyfikacyjnych – Umożliwienie samorządom świadczenia usług niekwalifikowanych (konieczna także nowelizacja Ustawy o informatyzacji) – Zniesienie obowiązku zawierania umów na piśmie z subskrybentem
Nowa ustawa – 5 rodzajów podpisów • • • Zaawansowany - przyporządkowany wyłącznie podpisującemu i umożliwiający jego identyfikację, utworzony za pomocą środków które podpisujący ma pod wyłączną kontrolą i powiązany z danymi, do których się odnosi w taki sposób, że każda późniejsza zmiana tych danych jest wykrywalna. Kwalifikowany – zaawansowany podpis elektroniczny, weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu, złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego. Łączny – z założenia przyporządkowany grupie. Urzędowy – podpis zaawansowany, weryfikowany za pomocą ważnego certyfikatu urzędowego. Pieczęć elektroniczna – podpis zaawansowany, składany przez podpisującego nie będącego osobą fizyczną weryfikowanego przy pomocy ważnego certyfikatu systemowego.
Nowa ustawa – 4 rodzaje certyfikatów • Kwalifikowany (tak jak dotychczas) • Systemowy – przyporządkowany podpisującemu składającemu pieczęć elektroniczną • Urzędowy – kwalifikowany lub wydany przez Urząd, na potrzeby komunikacji z obywatelami • Certyfikat atrybutów - określa uprawnienia osoby wskazanej w certyfikacie.
Nowa ustawa – skutki prawne podpisu • Zaawansowany podpis elektroniczny, weryfikowany przy pomocy certyfikatu wywołuje skutek prawny, jeżeli został złożony w okresie ważności tego certyfikatu • Dane w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym wywołują skutki złożenia oświadczenia woli w formie pisemnej. • Podpis łączny wywołuje skutki reprezentacji łącznej na zasadach określonych przez właściwe przepisy, umowę albo statut.
Nowa ustawa – podpis bez podpisu? • Ilekroć dane w postaci elektronicznej zostały opatrzone imieniem, nazwiskiem i numerem PESEL osoby fizycznej przyjmuje się, iż osoba ta w celu dokonania czynności która nie wywołuje skutków prawnych, złożyła podpis dla celów identyfikacyjnych.
Datownik elektroniczny • Rozróżnienie kwalifikowanej i niekwalifikowanej usługi oznaczenia czasem • Datownik elektroniczny stanowi dowód tego, że usługa została wykonana w czasie określonym w tym datowniku. Skutki prawne stosowania datownika elektronicznego określają przepisy odrębne.
Nowa ustawa – podsumowanie • Dostosowanie do dyrektywy UE • Uhonorowanie certyfikatów zagranicznych • Upowszechnienie e-podpisu ? • Na razie brak projektów aktów wykonawczych
Dziękuję Miłosz Smolarczyk
- Standardy pracy socjalnej
- štandardy ošetrovateľskej starostlivosti
- Standardy 802
- Standardy péče o přírodu a krajinu
- Vademecum geriatrii dla lekarza praktyka gryglewska
- Gmp glp
- Praktyka zwyczaj na przykład językowy
- Wypełniony dziennik praktyk żłobek
- Dobra praktyka laboratoryjna
- Pki assessment guidelines
- Pki sertifikat
- Arquitectura pki
- Pki-025
- C[pki
- Automated key recovery
- Pki
- Nist pki
- Node-forge rsa example
- Pgp vs x509
- Boulder pki
- Pgp vs pki
- Pki advantages and disadvantages