# Můstková certifikační autorita (Bridge Certification Authority) Mgr. Pavel Vondruška špecialista na poskytovanie certifikačných služieb ČESKÝ TELECOM, a. s. pavel. vondruska@ct. cz www. telecom. cz ( crypto-world. info ) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#2 Obsah prezentace 1) „Topologie PKI“ 2) Princip můstkové CA 3) Můstkové CA ve světě -----------------------------[A] Vondruška, P. : Navázání vztahu důvěry mezi certifikačními autoritami, Data Security Management, DSM 5/2003, Praha [B] Vondruška, P. : Vztah důvěry mezi můstkovými certifikačními autoritami, Data Security Management, DSM 6/2003, Praha [C] Vondruška, P. : Teze požadavků na účastníky Můstkové certifikační autority, Informace 1/2004, projekt „BCA Czech Telecom“ 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#3 1. „Topologie PKI“ • obecný model PKI • hierarchický model • konstrukce validační cesty • křížová certifikace • síťové PKI – mesh • propojení struktur hub-and-spoke 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#4 • CA (Certifiaction Authority) – Certifikační autorita (poskytovatel certifikačních služeb) – Poskytovatel certifikačních služeb je subjekt, který vydává certifikáty a vede jejich správu. Zejména zveřejňuje seznamy vydaných certifikátů a seznamy certifikátů, které byly zneplatněny - CRL (Certificate Revocation List). • BCA (Bridge Certification Authority) – Můstková certifikační autorita – speciální certifikační autorita, která zajišťuje navázání vztahu důvěry mezi uživateli různých CA • PKI (Public Key Infrastructure – PKI je kombinace znalostí, soubor představ, dohod, konvencí, speciálního hardware a software, aplikací, které PKI využívají, standardů, norem, prováděcích směrnic, legislativy a osob…. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#5 Obecný model PKI • „řízená důvěra“ • subjekty • certifikační cesta (viz dále) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#6 Hierarchická struktura podřízenost-nadřízenost CA • výhody • nevýhody • certifikační cesta 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#7 Konstrukce a validace certifikační cesty - Konstrukce certifikační cesty mezi ověřovaným certifikátem a důvěryhodným certifikátem CA (singulární bod důvěry) a ověření každého certifikátu v této cestě. - Oficiální standardy a doporučení pro validaci certifikátu jsou součástí doporučení X. 509. 4 vydání (ekvivalentní k ISO/IEC 9594 -8) a RFC 3280. - Konstrukce certifikační cesty zahrnuje vytvoření jedné nebo několika cest, které jsou nejenom formálně správně zřetězeny, ale vyhovují i dalším požadavkům, například maximální přípustné délce cesty, omezením jmen nebo certifikační politiky. - Základní metodou konstrukce cesty je zřetězení jmen od důvěryhodné CA až k posuzovanému subjektu. Konkrétně to znamená, že hodnota atributu Subject Name v jednom certifikátu musí být shodná s hodnotou Issuer Name v následujícím certifikátu v cestě. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#8 Konstrukce a validace certifikační cesty - - Zřetězení jmen je vyhovující v případě, kdy je zaručena jedinečnost páru veřejného a privátního klíče CA. ( ) V budoucnu je nutné počítat s procesy výměny klíčů CA (key rollover), kdy jedinečnost klíčů nebude zaručena a zřetězení jmen nevyhoví. Alternativní metodou konstrukce cesty je zřetězení identifikátorů AKID a SKID uvedených v extenzích certifikátů AKID (Authority Key Identifier) je jednoznačný identifikátor veřejného klíče CA SKID (Subject Key Identifier) je jednoznačný identifikátor certifikátu, obsahující specifický veejný klíč. Konstrukce cest pomocí zřetězení AKID a SKID je zcela analogická postupu při zřetězení jmen. Existuje několik možností pro výpočet AKID a SKID, například SHA-1 otisk veřejného klíče nebo monotónně rostoucí sekvence čísel. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#9 Křížová certifikace (jedno/ dvoustranná) • výhody • nevýhody • (křížová certifikace s „podřízenou CA“) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#10 Síťové PKI - mesh Tato struktura vzniká jednak tehdy, kdy není možné se dohodnout na vztahu podřízenosti a nadřízenosti jednotlivých CA nebo není možné takovýto vztah budovat. Akreditace CA x akreditační orgán (NBÚ SR) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#11 Propojení struktur (hub-and-spoke) Problémy, které nastávají v případě síťové struktury PKI – především propojení velkého počtu autorit a propojení různých struktur, řeší zatím nejobecnější struktura důvěry mezi autoritami – můstková certifikační autorita …. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#12 2. Princip můstkové certifikační autority • nejjednodušší BCA (uživatelské PC ) • „řízená důvěra“ • BCA – různé varianty „řízení důvěry“ v CA, princip • administrativní principy začlenění do můstkové CA 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#13 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#14 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#15 Problém při ověřování certifikátů vydaných různými CA by neměl být řešen na úrovni uživatelů (viz předchozí případ), ale na úrovni správců CA…. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#16 Základní způsoby ověřování certifikátů v můstkové CA členství CA C Dotazy na kořenový certifikát Bridge CA členství CA B členství CA A CA B CA C … (signed bridge CA) Validation authority Dotaz na status Spoléhající se strana Lokální ověření Oblast B 11. novembra 2004, Hotel Holiday Inn, Bratislava Oblast B Oblast A Můstková certifikační autorita
#17 Postup začlenění nové struktury PKI není nijak komplikovaný…. Nejprve se žádá formou registrace u můstkové autority o ověření důvěryhodnosti organizace (splnění vyhlášené certifikační politiky můstkové CA). Po ověření následuje předání rootových certifikátů ostatních CA; certifikát nové autority je distribuován všem ostatním účastnickým organizacím, jejichž důvěryhodnost již byla dříve stejným způsobem ověřena. Žadatel o vstup obdrží seznam důvěryhodných certifikátů účastnických organizací. (TSL, CTL, ZIP/Signed, …) Provedením importu doručených certifikátů se nová organizace stává plnohodnotným účastníkem a může bezprostředně zahájit bezpečnou komunikaci s ostatními účastníky. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#18 Můstková autorita zajišťuje i řadu úloh kolem implementace jednotlivých řešení, disponuje společným know-how, může zajišťovat bezpečnostní (nebo auditní) dohled nad CA atd. Nový člen může bezprostředně po přijetí začít komunikovat důvěryhodným způsobem se všemi ostatními přihlášenými účastníky – bez toho, aby musel vést zdlouhavá dvoustranná jednání či uzavírat smlouvy o vzájemném uznávání (certifikátů). Koncepce můstkové CA je založena na využití stávajících PKI a již vydaných certifikátů a tím chrání původní vynaložené investice účastníků. 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# 3. Můstkové certifikační autority ve světě – US Federal Bridge CA (FBCA) – The European Bridge-CA organised by German companies – IDA (PKICUG) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# Federální můstková certifikační autorita (The Federal Bridge Certification Authority) http: //www. cio. gov/fbca/ http: //www. cio. gov/fpkisc Z technologického hlediska jsou PKI jednotlivých entit křížově certifikovány s FBCA. Samotná CA pracuje off-line. Základní metodou šíření důležitých dat pro spoléhající subjekty je využití adresářové služby, která má zaručenou dostupnost on-line 24 x 7 x 365. Z důvodu zajištění nepřetržité dostupnosti jsou adresářové služby budovány duálně (1. dc=gov , 2. o=U. S. Government, c=US ). 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#21 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# Evropská můstková certifikační autorita (European Bridge Certification Authority) http: //www. bridge-ca. org/ Vznikla z podnětu Deutsche Telekom a Deutsche Bank v květnu roku 2000. V současné době (1. 11. 2004) združuje 90 organizací. Distribuovaná data se zazipují a elektronicky podepíšou příslušnou autoritou. Data se potom rozesílají vložená do e-mailu jako příloha. Tento e-mail je zašifrován pro příslušného příjemce a podepsán konkrétním odesílatelem. V nejbližší době se předpokládá nahrazení této metody důsledným využíváním protokolu CTL. Je to proprietární standard firmy Microsoft, který je založen na de-facto standardu firmy RSA Security - PKCS #7 (Cryptographic Message Syntax Standard). 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# Evropská můstková certifikační autorita (European Bridge Certification Authority) http: //www. bridge-ca. org/ 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# Můstková certifikační autorita IDA (Interchange of Data between Administrations, PKICUG, Bridge/Gateway CA) http: //europa. eu. int/ida/servlets/Doc? id=17261 Cílem je bezpečná komunikace a bezpečná výměna elektronicky podepsaných dokumentů mezi státními orgány jednotlivých členských zemích Společenství. Z technického hlediska se vztah důvěry zajišťuje opět především crosscertifikací certifikačních autorit jednotlivých subjektů (národních certifikačních autorit) s IDA. Předávaný seznam TSL (Trust Status List) a způsob jeho ověření je podrobně popsán v draftu standardu ETSI TS STF 220 -1 (9/2003) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
#25 CTL Certificate. Trust. List : : =SEQUENCE Version DEFAULT v 1, subject. Usage Subject Usage, list. Identifier List. Identifier OPTIONAL sequence. Number INTEGER OPTIONAL this. Update Choice. Of. Time, next. Update Choice. Of. Time, subject. Algorithm. Identifier, trusted. Subjects Trusted. Subjects, extensions OPTIONAL Definice CTL pomocí ASN 1. x Využití TSL při ověření transakce v modelu můstkové certifikační autority 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# Otázky? ? ? ? 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
# Děkuji za pozornost. Mgr. Pavel Vondruška špecialista na poskytovanie certifikačných služieb ČESKÝ TELECOM, a. s. pavel. vondruska@ct. cz www. telecom. cz ( crypto-world. info ) 11. novembra 2004, Hotel Holiday Inn, Bratislava Můstková certifikační autorita
Скачать презентацию Můstková certifikační autorita Bridge Certification Authority Mgr
c8cd71a1ae153779454be8983d86b72d.ppt