podpis elektroniczny między teorią a praktyką
DESCRIPTION
Podpis elektroniczny Między teorią a praktyką. Daniel Rychcik UMK, Toruń. Prezentacja dostępna w Sieci pod adresem: http://sknpk.uni.torun.pl/podpis/. O czym będzie?. Zagrożenia w Internecie Kryptografia Certyfikaty Urzędy certyfikacyjne Praktyka. Zagrożenia w Internecie. - PowerPoint PPT PresentationTRANSCRIPT
Podpis elektronicznyMiędzy teorią a praktyką
Daniel RychcikUMK, Toruń
Prezentacja dostępna w Sieci pod adresem: http://sknpk.uni.torun.pl/podpis/
O czym będzie?Zagrożenia w InternecieKryptografiaCertyfikatyUrzędy certyfikacyjnePraktyka
Zagrożenia w InterneciePodsłuchiwanieFałszowanieZaprzeczanie
KryptografiaSymetrycznaAsymetrycznaSzyfrowaniePodpisywanieWeryfikacja podpisu
Kryptografia symetrycznaNajprostsza, znana od wiekówŁatwa do oprogramowaniaBardzo szybkie algorytmyJeden, symetryczny kluczKonieczność ustalenia kluczaProblem jajka i kury
Kryptografia asymetrycznaStosunkowo nowa – kilkadziesiąt latSkomplikowane algorytmyMała prędkośćKlucz prywatny i klucz publiczny
To, co zaszyfrujemy jednym z tych kluczy, możemy odszyfrować wyłącznie drugim !
Możliwość upowszechnienia klucza publicznego
SzyfrowanieZapobiega podsłuchiwaniu danychSzyfrujemy wiadomość kluczem
publicznym odbiorcyMożna ją rozszyfrować wyłącznie
kluczem prywatnym odbiorcyZatem tylko odbiorca może odebrać
naszą przesyłkę
PodpisywanieZapobiega fałszowaniu danychSzyfrujemy wiadomość kluczem
prywatnym nadawcyMożna ją rozszyfrować wyłącznie
kluczem publicznym nadawcyA ten klucz jest powszechnie dostępnyPraktyka – funkcja skrótu
Podpisywanie c.d.
Dokumentoryginalny
Klucz prywatnynadawcy wiadomości
Skrótdokumentu
Szyfrujemyskrót
Dokument+ podpis
skrót dokumentu zaszyfrowanykluczem prywatnym nadawcy
podpis cyfrowy =
Weryfikacja podpisu
Dokument+ podpis
Klucz publicznynadawcy
PodpisDeszyfrujemy
skrót
Certyfikat nadawcywiadomości
DokumentObliczamy
skrót
Zgadza się?
ponownie obliczamy funkcję skrótu i porównujemy ją z otrzymaną
T
N
CertyfikatyNiedostatki metod kryptograficznych Idea certyfikatuUrzędy certyfikacyjneDrzewo certyfikacjiŁańcuch certyfikatówWeryfikacja podpisu elektronicznegoOdwoływanie certyfikatów
Niedostatki metod kryptografiiBrak pewności co do autentyczności
klucza publicznegoMożliwe scenariusze oszustwa
Fałszywy klucz publiczny Oszustwo „w czasie”
Idea certyfikatuPrzykład weryfikacji – prowadzący
wykładKlucz publiczny potwierdzony przez
zaufaną trzecią stronęPotwierdzenie w formie podpisu
cyfrowegoPowszechna dystrybucja certyfikatu
trzeciej strony
Co zawiera certyfikat? Dokładną nazwę obiektu certyfikowanego Jego położenie w hierarchii Podobnie dla urzędu certyfikacyjnego Okres ważności certfyfikatu Przeznaczenie certyfikatu Adres WWW urzędu i CRL tego certyfikatu (o
tym później) Podpis cyfrowy
Urząd certyfikacyjny (CA) Instytucja zajmująca się potwierdzaniem
certyfikatówZadania
Wystawianie Przechowywanie Udostępnianie Odwoływanie
Rola certyfikatu CA
Drzewo certyfikacjiProblemy organizacyjnePotrzeba hierarchiiUjednolicenie nazw
Łańcuchy certyfikatówCertyfikaty wszystkich kolejnych
poziomów (do najwyższego)Przyspieszają weryfikację danych nie
zmniejszając bezpieczeństwaZmniejszają ilość certyfikatów CA jakie
musi przechowywać klient
Weryfikacja podpisuNajprostszy przypadek –
dwóch studentów tego samego wydziału
Ta sama struktura,różne poziomy –student prawa iprofesor matematyki
Rozłączne drzewa
Odwoływanie certyfikatówOkres ważności certyfikatuProblem: co, jeżeli certyfikat trzeba
wycofać przed upływem terminu? (Częściowe) rozwiązanieCRL
PraktykaWystawianie certyfikatuŁadowanie do programu pocztowegoWysyłanie pocztyOdbieranie pocztyBezpieczne WWW Inne możliwości
Wystawianie certyfikatuZdalne – przeglądarka WWWLokalne – urząd certyfikacyjnyFizyczna postać certyfikatu
Fizyczna postać certyfikatuCertificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: md5WithRSAEncryption Issuer: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=CA_WMiI/ [email protected]/ unstructuredName=Urzad Certyfikacyjny WMiI Validity Not Before: Nov 10 17:59:53 2001 GMT Not After : Aug 2 17:59:53 2004 GMT Subject: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=muflon/ [email protected]/unstructuredName=Daniel Rychcik Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b4:eb:09:9d:fe:08:2b:4a:4e:b5:a0:d5:19:10: (...) Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment Netscape Base Url: http://ca.mat.uni.torun.pl Netscape CA Revocation Url: /crl.crl Signature Algorithm: md5WithRSAEncryption 6c:02:e3:81:6b:bd:cc:4f:33:32:2d:bc:e8:26:4d:b9:ee:48: (...)
Instalacja certyfikatu
Wysyłanie pocztyOutlook Express
Odbieranie pocztyOutlook Express
Bezpieczne WWWMożliwość weryfikacji pochodzenia
stron WWWAutoryzacja klientaZastosowania
Inne możliwościSzyfrowane połączenia sieciowe (SSL)VPNBezpieczne serwery innych usługZnaczniki czasu
Pytania