Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

1 SEID – Leveranse 1 - Sertifikatprofiler Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006.

Liknende presentasjoner


Presentasjon om: "1 SEID – Leveranse 1 - Sertifikatprofiler Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006."— Utskrift av presentasjonen:

1

2 1 SEID – Leveranse 1 - Sertifikatprofiler Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006

3 2 SEID 1 Oppgave / Leveranse: Anbefalte sertifikatprofiler for personsertifikater og Virksomhetssertifikater (  NB, unikt for Norge !!!) Versjon 1.02 Status: Godkjent Dato:

4 3 Sertifikat – Hva det dreier seg om Et dataobjekt hvis ekthet kan valideres via matematiske teknikker, og som er bærer av en brukers elektroniske ID  et elektronisk identitetsbevis Generelt: som inneholder og binder sammen –Utsteders identitet (for eksempel ZebSign, BankID osv) –en brukers identitet (”subject info”), som kan bestå av mange deler (Navn, -adresse, Fødselsnr..) –anvendelse, via nøkler som kan –a) brukes for å bevise en brukers elektronisk signerte handlinger (transaksjoner, filer, SMS, etc) –b) brukes for å bevise en brukers identitet (autentisering) ved for eksempel pålogging, –c) brukes for å etablere sesjonsnøkler for å kryptere kommunikasjon eller lagrede data (filer) –administrasjonsdata (som gyldighet, revokeringmetode (sperring), algoritmer,… ) –andre ting som –(MÅ ha ) Policy: dvs regelverk som definerer rammeverket for sertifikatet –(KAN ha ) en brukers autorisasjoner (rollesertifikat – lege/advokat/sivilingeniør/.. ) Attributtsertifikater: ref: (approved by IESG) –eller bruksbegrensinger, osv osv (extended fields  men skreddersøm kan vanskelig standardiseres) Sertifikatet er essensielt for elektronisk samhandling (eCommerce, eVoting, eInvoicing, eDitten & eDatten) Har juridisk kraft basert på lovgiving.

5 4 Sertifikatet er sentralt I dag: X.509 v3. Jons personsertifikat m/ offentlig nøkkel og ID og ID Jon - Folkeregister - Ansattregister og lignende. - Folkeregister - Ansattregister og lignende. Relasjon(er) Jons sertifikat alment tilgjengelig(?) Jons sertifikat alment tilgjengelig(?) Relasjon(er) CA Troverdig utsteder (Certifikate Authority)Sign (Entydig korrespondanse) Jons private nøkkel (kun tilgjengelig for Jon) Policy (Cert.regler) Policy (Cert.regler) Krypto algoritme Krypto algoritme Bruks - begrensing - periode Bruks - begrensing - periode Jon’s unike ID (eID) og Org. Jon’s unike ID (eID) og Org. Juridisk binding 4

6 5 X.509v3 Eksempel 1024 bits ”public” nøkkel ca 179…… (ialt et 308-sifret tall) (ialt et 308-sifret tall)

7 6 Noen begreper: Et Sertifikat er IKKE en (e)Signatur Derimot inneholder sertifikatet det som skal til for å validere en eSignatur. En signatur tilsvarer blekkunderskrift på papir, binder sammen innhold og info som dato, signators navn osv., –Signatur utføres normalt ved to prosesser: 1) ”hashing” av digitalt innhold + 2) kryptering av hashverdien. Kryptering utføres med en ”privat” nøkkel som entydig korresponderer med den ”offentlige” i sertifikatet. Sertifikatet er selv et signert objekt (signert av utsteder) En avansert signatur (Jfr. EU-direktivet) har også eksplisitt en referanse til et entydig korresponderende sertifikat. Et kvalifisert sertifikat er et personsertifikat utstedt etter definerte regler (gitt av ETSI og IETF) En kvalifisert signatur er utført med en SSCD (Secure Signature Creation Device – definert av CEN/CWA) i praksis et smartkort

8 7 Hvorfor det ? Enkelt: a) Verden er blitt digitalisert  slutt med papir, penn og blekk.  nå snakker vi om filer (enten dette er skrift, bilder, lyd, filmer osv), eller SMS osv. b) blekk fester dårlig til digitale media

9 8 eSignatur ??

10 9 Sertifikater/ CRLs CA PKI-brukere Sertifikat -katalog (X.500) (X.500) kontroll Sertifikater/CRL /OCSP ) Sertifikater/CRL /OCSP ) CA RA Personlige registreringer Personlige hemmeligheter PC/ internet e-Tjeneste-servere: - Websider /eHandel - Multimedia-distribusjon - TVAnytime E-kunder (klienter) Autentisering/ signering) Autentisering/ signering) E-kunder(klienter)Signering av SMS etc. Bruker-sfære (e-kunder og tjenesteytere) Bruker-sfære (e-kunder og tjenesteytere) PKI Kryss-sertifisering Tjenestespekter: Ende-til-ende- - Autentisering - Signering - Kryptering Offentlige Registre Digital TV/ Media Autentisering/ signering) PKI – Public Key Infrastructure? Sperre- lister (CRL/OCSP)

11 10 For hva og hvem B2G, B2C, G2C, G2B, B2G & U2 Som har behov for lovpålagte signaturer Som har behov forpliktende signaturer: –Vi snakker om Finans, Forvaltning, alskens eHandel, ePass, osv osv osv. –Nasjonalt og Internasjonalt

12 11 e-Invoicing… –Greater companies do 90% of invoicing with partner or controlled companies –The production (print + storage) of paper invoices is currently made only for compliance –The overall cost of a printed invoice varies from € 2 up to € 10 per invoice –The overall cost of an e-Invoice is less then € 0,2 Registered … –Origin authentication –Proof of delivery –Long term availability Digital Accounting –Paper based accounting is currently made only for compliance to fiscal regulation: even in SMs Enterprises the accounting is software-based –Paper was ineffective in all major accounting frauds –Digital accounting supported by a Trusted Third Party is more resilient and trustworthy… (Courtesy Riccardo Ghengini, ETSI ESI Chairman) Future opportunities

13 12 Various defacto- standards, Mostly US IETF RFC 2527 Internet X.509 PKI Certificate Policy and Certification Practices Framework Verisign (US) CP/CPS EU-directive 99/ 93 Electronic SIgnatures (Qualified Certificates) ZebSign Qualified Cert. Policy (Telenor & Post) Norw. Law 2001 ( Electronic. Sign ) Gov. Pub NoU 10:2001 ”Uten Penn og Blekk” ”Uten Penn og Blekk” Some PKI Initiatives, CA-Policies and Framework Development PRE-SEID ERA: 1998 FinEID (Finland ) SEIS S10 (Sweden) IETF RFC 3039 Qualified Certificate Profile Worldwide 2002 : ~78% av nasjonene Med el.sign lover. ETSI: Qualified CP Non-Qualified CP CEN CWA: SSCD: Signature Creation Device Time BankID

14 13 Kvalifisert Sertifikat (QC) EU-directive 99/ 93 Electronic SIgnatures Kvalifisert Sertifikat (QC) Oppdrag om definisjon av QC gitt til ETSI (European Telecommunications Standardization Institute Bygger på X.509. V3 definert av IETF Egenskaper: - Kun utstedbart til fysiske personer - Krav til fysisk oppmøte for å vise identitet (Registrering) - Primært til signaturbruk (Content Commitment / Non-Repudiation, men kan : autentisere) - Spesielle krav til utsteder - Privat signaturnøkkel kan lagres i sw eller hw (SIM / Smartkort) Mål: Interoperabelt også internasjonalt. Ønske om åpen tilgang til sertifikatkatalogene, men ikke eksplisitt krav. EU Directive 2001/115/EC, into effect on Jan  to enable self-billing and eInvoicing &VAT purposes between EU states between EU states 2004: eInvoicing - Finland - Estland - Østerrike - Belgia …………………. - siste ( ): England 200X  : Borger-ID-kort

15 14 SEID (I) Definere detaljer i sertifikatene: –Regler for eier-navn (såkalt subject) –Personnr ?  SEID II, Signaturformater  SEID III –Bruksområde (KeyUsage: Signatur, Autentisering, krypto..) –Oppdatert layout og elementer i henhold til siste oppdateringer i standarder fra ETSI og IETF, f.eks: –Qualified Certificate Statement:, –Revokerings (sperring) metode: CRL (åpen katalog) / OCSP (Lukket katalog) Bygge på etablerte std., eg., ETSI TS Ta hensyn til viktige aktører i det norske markedet.

16 15 SEID avvik fra ETSI Std.

17 16 Spesielle SEID I –diskusjonspunkter Basis sertifikatfelt / Sertifikatutvidelser Issuer: Norsk ? Sertifikatinnehavers organisasjonsnummer slik det er registrert i det norske enhetsregisteret skal angis: a) alene i attributtet serialNumber, eller b) organizationName Subject - Bankene har spesielle krav til identifikasjon (etter sine standarder - Skal personnr i folkereg oppgis ? Key Usage  jo flere nøkler jo mer admin, kan samme en nøkkel brukes til flere oppgaver? (signatur (a) alene eller i kombinasjon med autentisering (b) og hva med kryptering (c)? Avklart: QC = a eller a+b., C krever backup av nøkkel og holdes separat. (i tråd med ETSI & IETF) (for (a) vet bruker hva som signeres, men ikke for (b) – kjent svakhet – bruker kan lures.) Extended Key Usage Dette feltet anvendes bla. for SSL/TLS serversertifikater

18 17 Spesielle SEID I –diskusjonspunkter (forts) Subject Alternative Name  Konsekvenser for Sikker ePost (S/MIME) - En del Microsoft-applikasjoner krever -addresse inngår - Microsoft Outlook og Microsoft Outlook Express.) CRL Distribution Point (sperreinfo: Går på metode: CRL (ETSI Anbefaling) eller OCSP (BankID)) Authority Information Access  benyttes for OSCP (alternativ til CRL) Qualified Certificate Statement (Nytt fra ETSI 2005 !  overgangsordninger ) Kan også angi kvalifiserte signaturer.)

19 18 Norske spesialiteter (i SEID) Virksomhetssertifikater –ID = i henhold til virksomhetsregisteret (organisasjoner, kommersielle bedrifter,….)  Ingen parallell i EU, men sterkt ønske/behov og diskutert i ETSI.

20 19 Spesialiteter i EU-Direktivet: Avansert elektronisk signatur. –”Signatur med entydig binding til signator” – Tolkning: Signaturen må inkludere sertifikatet eller en referanse til det. Secure Signature Creation Device (SSCD) – (signaturfremstillingsutstyr  SEID III) med konsekvenser for SEID (I) (qCstatement) (2 mill. SSCD i Italia pr. Q1 2006)

21 20 ETSI ESI – viktige oppgaver NÅ Lage internasjonal Liste over approberte CA som utsteder QC Internasjonal harmonisering. EU = OK (  USA, Asia) Nye profiler for å dekke EU’s behov –Bl. A. fokus pt. på eInvoicing (eFaktura) i henhold til EU-direktiv. ( EU Directive 2001/115/EC, i operasjon fra Januar 2004) 3 møter pr. år, neste i Barcelona i Mars –formann, Riccardo Ghengini er advokat (Italia) Tidligere formann, Györgyi Enderz var forskningssjef hos Telia (Sverige) –Mandat fra EU-kommisjonen. –Medlemmene representerer myndigheter, telcos, universiteter og bedrifter som Microsoft –Telenor representerer Norge. Fikk i gjennom én sak forrige møte.  Det er lenge siden PKI var et rent teknisk anliggende..

22 21 Aktive ETSI Task Forces (STF) –STF International harmonisation of ETSI Electronic Signature Standards –STF Joint ESI-W3C WG on XML Advanced Electronic Signatures –STF Relying Party Access to TSP Status List –STF298 - Profiles for ETSI TS and TS Electronic Signatures Formats

23 22 Forretningselementer Post & Teletilsynet har forvaltningsansvaret for norsk offentlig PKI, Myndighetene har ellers overlatt operativ PKI til markedsaktører, (omvendt i Danmark) og med det elementene: 1.Hvem skal drive Sertifikatfabrikken (CA) som er kjernen i PKI og med det administrasjon av publikums eID (ZebSign, BankID, …) 2.Hvem skal operere Valideringsfunksjonene for signaturer? Hva med Sikkerhetsportalen…? 3.Hvilke medier skal benyttes som Nøkkel-, og sertifikatbærere ? Smartkort, Mobilen (SIM), SW.. ? STORT DISKUSJONSPUNKT: skal sertifikatkatalogene og sperreinformasjon (CRL/OCSP) være åpent tilgjengelige eller lukkede ????  Konsekvenser for nasjonal og spesielt internasjonalt samtrafikk, Forvaltningen ellers: Lovet å bistå med RA-funksjoner, Sekretariat for SEID. Foreløpig åpent mht. effekt: MinSide / Sikkerhetsportalen. Joker pga. bruksomfang: BankID.


Laste ned ppt "1 SEID – Leveranse 1 - Sertifikatprofiler Tor Hjalmar Johannessen Telenor R&D 16. Februar 2006."

Liknende presentasjoner


Annonser fra Google