Podpis%20elektroniczny%20Miedzy%20teoria%20a%20praktyka

1
Podpis elektronicznyMiedzy teoria a praktyka
Daniel Rychcik UMK, Torun
Prezentacja dostepna w Sieci pod adresem
http//sknpk.uni.torun.pl/podpis/
2
O czym bedzie?

• Zagrozenia w Internecie
• Kryptografia
• Certyfikaty
• Urzedy certyfikacyjne
• Praktyka

3
Zagrozenia w Internecie

• Podsluchiwanie
• Falszowanie
• Zaprzeczanie

4
Kryptografia

• Symetryczna
• Asymetryczna
• Szyfrowanie
• Podpisywanie
• Weryfikacja podpisu

5
Kryptografia symetryczna

• Najprostsza, znana od wieków
• Latwa do oprogramowania
• Bardzo szybkie algorytmy
• Jeden, symetryczny klucz
• Koniecznosc ustalenia klucza
• Problem jajka i kury

6
Kryptografia asymetryczna

• Stosunkowo nowa kilkadziesiat lat
• Skomplikowane algorytmy
• Mala predkosc
• Klucz prywatny i klucz publiczny
• To, co zaszyfrujemy jednym z tych kluczy, mozemy
  odszyfrowac wylacznie drugim !
• Mozliwosc upowszechnienia klucza publicznego

7
Szyfrowanie

• Zapobiega podsluchiwaniu danych
• Szyfrujemy wiadomosc kluczem publicznym odbiorcy
• Mozna ja rozszyfrowac wylacznie kluczem prywatnym
  odbiorcy
• Zatem tylko odbiorca moze odebrac nasza przesylke

8
Podpisywanie

• Zapobiega falszowaniu danych
• Szyfrujemy wiadomosc kluczem prywatnym nadawcy
• Mozna ja rozszyfrowac wylacznie kluczem
  publicznym nadawcy
• A ten klucz jest powszechnie dostepny
• Praktyka funkcja skrótu

9
Podpisywanie c.d.
Klucz prywatny nadawcy wiadomosci
Skrót dokumentu
Szyfrujemy skrót
Dokument podpis
Dokument oryginalny
skrót dokumentu zaszyfrowanykluczem prywatnym
nadawcy
podpis cyfrowy
10
Weryfikacja podpisu
T
Dokument
Obliczamy skrót
Dokument podpis
Zgadza sie?
Podpis
Deszyfrujemy skrót
N
Klucz publiczny nadawcy
Certyfikat nadawcy wiadomosci
ponownie obliczamy funkcje skrótu i porównujemy
ja z otrzymana
11
Certyfikaty

• Niedostatki metod kryptograficznych
• Idea certyfikatu
• Urzedy certyfikacyjne
• Drzewo certyfikacji
• Lancuch certyfikatów
• Weryfikacja podpisu elektronicznego
• Odwolywanie certyfikatów

12
Niedostatki metod kryptografii

• Brak pewnosci co do autentycznosci klucza
  publicznego
• Mozliwe scenariusze oszustwa
• Falszywy klucz publiczny
• Oszustwo w czasie

13
Idea certyfikatu

• Przyklad weryfikacji prowadzacy wyklad
• Klucz publiczny potwierdzony przez zaufana
  trzecia strone
• Potwierdzenie w formie podpisu cyfrowego
• Powszechna dystrybucja certyfikatu trzeciej strony

14
Co zawiera certyfikat?

• Dokladna nazwe obiektu certyfikowanego
• Jego polozenie w hierarchii
• Podobnie dla urzedu certyfikacyjnego
• Okres waznosci certfyfikatu
• Przeznaczenie certyfikatu
• Adres WWW urzedu i CRL tego certyfikatu (o tym
  pózniej)
• Podpis cyfrowy

15
Urzad certyfikacyjny (CA)

• Instytucja zajmujaca sie potwierdzaniem
  certyfikatów
• Zadania
• Wystawianie
• Przechowywanie
• Udostepnianie
• Odwolywanie
• Rola certyfikatu CA

16
Drzewo certyfikacji

• Problemy organizacyjne
• Potrzeba hierarchii
• Ujednolicenie nazw

17
Lancuchy certyfikatów

• Certyfikaty wszystkich kolejnych poziomów (do
  najwyzszego)
• Przyspieszaja weryfikacje danych nie zmniejszajac
  bezpieczenstwa
• Zmniejszaja ilosc certyfikatów CA jakie musi
  przechowywac klient

18
Weryfikacja podpisu

• Najprostszy przypadek dwóch studentów tego
  samego wydzialu
• Ta sama struktura,rózne poziomy student prawa
  iprofesor matematyki
• Rozlaczne drzewa

19
Odwolywanie certyfikatów

• Okres waznosci certyfikatu
• Problem co, jezeli certyfikat trzeba wycofac
  przed uplywem terminu?
• (Czesciowe) rozwiazanie
• CRL

20
Praktyka

• Wystawianie certyfikatu
• Ladowanie do programu pocztowego
• Wysylanie poczty
• Odbieranie poczty
• Bezpieczne WWW
• Inne mozliwosci

21
Wystawianie certyfikatu

• Zdalne przegladarka WWW
• Lokalne urzad certyfikacyjny
• Fizyczna postac certyfikatu

22
Fizyczna postac certyfikatu
Certificate Data Version 3 (0x2) Serial
Number 3 (0x3) Signature Algorithm
md5WithRSAEncryption Issuer CPL, LTorun,
OPL, OUMEN, OUUMK, OUWMiI, CNCA_WMiI/
Emailadmin_at_ca.mat.uni.torun.pl/
unstructuredNameUrzad Certyfikacyjny WMiI
Validity Not Before Nov 10 175953 2001
GMT Not After Aug 2 175953 2004 GMT
Subject CPL, LTorun, OPL, OUMEN, OUUMK,
OUWMiI, CNmuflon/
Emailmuflon_at_mat.uni.torun.pl/unstructuredNameDan
iel Rychcik Subject Public Key Info
Public Key Algorithm rsaEncryption RSA
Public Key (1024 bit) Modulus (1024 bit)
00b4eb099dfe082b4a4eb5a0d51910
(...) Exponent 65537 (0x10001)
X509v3 extensions X509v3 Basic Constraints
CAFALSE X509v3 Key Usage
Digital Signature, Non Repudiation,
Key Encipherment, Data
Encipherment Netscape Base Url
http//ca.mat.uni.torun.pl Netscape CA
Revocation Url /crl.crl Signature Algorithm
md5WithRSAEncryption 6c02e3816bbdcc4f33
322dbce8264db9ee48 (...)
23
Instalacja certyfikatu
24
Wysylanie poczty

• Outlook Express

25
Odbieranie poczty

• Outlook Express

26
Bezpieczne WWW

• Mozliwosc weryfikacji pochodzenia stron WWW
• Autoryzacja klienta
• Zastosowania

27
Inne mozliwosci

• Szyfrowane polaczenia sieciowe (SSL)
• VPN
• Bezpieczne serwery innych uslug
• Znaczniki czasu

28
Pytania