PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is....
-
Upload
truongdung -
Category
Documents
-
view
221 -
download
0
Transcript of PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is....
![Page 1: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/1.jpg)
PKI gyakorlati kérdések, II
http://www.microsec.hu
Dr. Berta István Zsolt
Microsec Kft.
![Page 2: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/2.jpg)
Mirıl fogok beszélni?
� Elektronikusan aláírt iratok hosszú távú archiválása, elektronikus archiválás szolgáltatás
� Kereszthitelesítés
2
� Kereszthitelesítés
� Attribútum tanúsítványok
![Page 3: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/3.jpg)
VIGYÁZAT!
� Ebben az eladásban új, még nem letisztult területekrıl lesz szó.
� Mások, máshol egészen mást is mondhatnak ezen területekrıl, és az is lehet, hogy „jó”.
3
ezen területekrıl, és az is lehet, hogy „jó”.
� Problémákat vetek majd fel, és a választ gyakran magam sem tudom.
� Sok mondat végén „?” lesz…
![Page 4: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/4.jpg)
4
Elektronikusan aláírt iratok hosszú távú archiválása, elektronikus archiválás szolgáltatás
![Page 5: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/5.jpg)
Mit értünk aláírás alatt?
� kötelezettségvállalás, egy dokumentum tartalmának elfogadása?
� bizonyíték ezen kötelezettségvállalásra?
5
� bizonyíték ezen kötelezettségvállalásra?� ...tinta és a papír kapcsolata...
� ...kriptográfiai mővelet...
� bizonyító erı, amivel ez a bizonyíték rendelkezik?
![Page 6: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/6.jpg)
Mitıl válhat egy aláírás érvénytelenné?
� A kötelezettségvállalás nem válik érvénytelenné. Az fordulhat elı, hogy már nem bizonyítható, hogy a kötelezettségvállalás valóban megtörtént.
� Mi okozhatja ezt?
� Ha már nem bizonyítható, hogy az aláíró tanúsítványa
6
� Ha már nem bizonyítható, hogy az aláíró tanúsítványa érvényes volt akkor, amikor az aláírás készült; (e probléma idıbélyeggel orvosolható)
� Idıbélyegzés szolgáltatók tanúsítványának lejárta;
� Idıbélyegzés szolgáltatók meghibásodása vagy a magánkulcsának kompromittálódása;
� A tudomány vagy a technológia hirtelen, ugrásszerő fejlıdése.
![Page 7: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/7.jpg)
Meddig hiteles egy elektronikus aláírás?
� „Alap” aláírás (-BES):
� amíg az aláíró tanúsítványa érvényes.
� Idıbélyeggel ellátott aláírás (-T):
� amíg az idıbélyegzı tanúsítványa érvényes
7
� amíg az idıbélyegzı tanúsítványa érvényes
� 11 évig (114/2007. GKM r.)
� Ha azt szeretnénk, hogy az elektronikus aláírás ennél tovább is ellenırizhetı maradjon (114/2007. GKM r.):
� archiválás szolgáltatás vagy
� rendszeres idıbélyegzés (-A)
![Page 8: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/8.jpg)
Hogyan válhat érvénytelenné egy aláírás?
� Ha az aláíró tanúsítványa már nem érvényes, mibıl állapítható meg, hogy az aláírás akkor készült, amikor az aláíró tanúsítványa még •aláírás
•idıbélyegzés
•aláírás
ellenırzése
•másik, erısebb
idıbélyeg
8
tanúsítványa még érvényes volt?
� Ha az idıbélyegzı tanúsítványa már nem érvényes, mibıl állapítható meg, hogy az idıbélyegzés pillanatában érvényes volt-e?
•aláírás
•az aláíró tanúsítványa
lejár vagy visszavonják
•az idıbélyegzı tanúsítványa
lejár vagy visszavonják
![Page 9: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/9.jpg)
Kriptográfiai algoritmusok elvaulása
pl: SHA-1 aláírás
9
dokumentum hash
idıbélyeg(hash+aláírás)
„archív” idıbélyeg (hash+aláírás)
![Page 10: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/10.jpg)
Hogyan ırizhetjük meg az aláírás hitelességét?
� Össze kell győjteni minden olyan információt, amely igazolja, hogy az aláíró tanúsítványa aláíráskor érvényes volt.
� Mindezt idıbélyeggel kell ellátni.� Folyamatosan figyelni kell, hogy a közeljövıben várhatóan megkérdıjelezhetıvé válik-e az idıbélyeg
10
várhatóan megkérdıjelezhetıvé válik-e az idıbélyeg hitelessége.
� Szükség esetén az összegyőjtött adatokat további idıbélyeggel kell ellátni, de elıtte csatolni kell az idıbélyeg érvényességét igazoló információkat.
� Archív aláírások (ETSI TS 101 903 - XAdES-A)� Archiválás szolgáltatás (LTANS, RFC 4810)� Jogszabály: 114/2007 GKM rendelet
![Page 11: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/11.jpg)
Elektronikusan aláírt adat archiválása
A papír alapú dokumentumokhoz hasonlóan az elektronikusan aláírt dokumentumokat is speciális körülmények között kell archiválni.
11
„Saját megırzés”pl. archív aláírás létrehozása és gondozása
Elektronikusarchiválásszolgáltató (Eat. szerinti)
![Page 12: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/12.jpg)
Archiválás szolgáltatás
� Az archiválás szolgáltató megbízható rendszerrel ellenırzi, és biztonságos módon eltárolja az archiválandó aláírást.
� Az archiválás idıtartama alatt a jogszabályi elıírások szerint folyamatosan biztosítja az archivált aláírások hitelességét.
12
hitelességét.� Ügyfelei kérésére igazolást állít ki arról, hogy egy adott aláírás érvényes.
� Ha minısített archiválás szolgáltató archivál egy aláírást, vélelmezni kell, hogy az aláírás érvényes.
� A szolgáltatást az Eat. definiálja.� A minısített archiválás szolgáltatókról a Nemzeti Hírközlési Hatóság vezet nyilvántartást.
![Page 13: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/13.jpg)
Mit csinál az archív szolgáltató?
� Rendszeresen egyre biztonságosabb aláírásokkal/idıbélyegekkel látja el az archívumot.
� A befoglaló aláírások/
...
13
idıbélyegek igazolják, hogy a tartalom azt megelızıen készült.
� A befoglalt aláírásoknak a befoglaló aláírásokon lévı idıbélyegek pillanatában érvényesnek és biztonságosnak kell lennie.
...
![Page 14: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/14.jpg)
Hogy mőködik az archív szolgáltató?
� Archív aláírások alapján
� vagy: más, hasonló elvre épülı módon
Az archív szolgáltató ugyanazt végzi, mint
14
� Az archív szolgáltató ugyanazt végzi, mint amit a „saját megırzés” keretében el lehet végezni...
� Az archív szolgáltató adhat ki Eat. szerinti igazolást...
![Page 15: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/15.jpg)
Hosszú táv, Változó környezet
� Az archiválás szolgáltató hosszú távon, hosszú ideig (20 év, 50 év, ...) kell, hogy mőködjön. Ennyi idı alatt megváltozhatnak
� a biztonságos kulcsméretek, algoritmusok;
� az elfogadott gyökér-tanúsítványok;
� a szolgáltatók hitelesítési/idıbélyegzési rendjei;
15
� a szolgáltatók hitelesítési/idıbélyegzési rendjei;
� az elektronikus aláírás ellenırzésére vonatkozó követelmények;
� az aláírások és érvényességi láncok formátumára vonatkozó specifikációk;
� az elektronikus aláírásra és az archiválásra vonatkozó jogszabályok, specifikációk.
� …
� Alapvetıen megváltozhat az aláírás fogalma, és az aláírás ellenırzésének módja.
![Page 16: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/16.jpg)
Amirıl részletesebben is beszélek…
� Követelményrendszer, minısítés
� Aláírt dokumentum vagy aláírt lenyomat archiválása?
� Az archivált e-akták bizalmassága
16
� Hogyan győjti össze az archiválás szolgáltató az aláírás ellenırzéséhez szükséges információkat, hogyan építi fel az érvényességi láncot?
� Az aláírt dokumentumok hiteles megjeleníthetıségének, értelmezhetıségének biztosítása
![Page 17: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/17.jpg)
Követelményrendszer
� Az elektronikus archiválás szolgáltatást a magyar Eat. határozza meg.
� Külföldön is ismert fogalom, de ott nem a törvényben van benne.
� Külföldön sem elterjedt jelenség.
17
� Külföldön sem elterjedt jelenség.� Új terület, nem létezik rá a hitelesítés szolgáltatáséhoz hasonlóan letisztult és elfogadott nemzetközi követelményrendszer, nem beszélhetünk (elterjedt) nemzetközi gyakorlatról sem.
� NHH ajánlások (2008)
![Page 18: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/18.jpg)
Milyen best practice-ek léteznek?
� Az archív aláírás hasonló problémát old meg, és erre léteznek letisztult nemzetközi specifikációk – pl. ETSI TS 101 903 (XAdES)
� Long-Term Archive and Notary Services
18
� Long-Term Archive and Notary Services� archív szolgáltatást céloz meg, nem archív aláírás, hanem adatbázis-alapon
� Pl.: RFC 4810 (2007)
� http://ietfreport.isoc.org/ids-wg-ltans.html
![Page 19: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/19.jpg)
Archiválás szolgáltatás ↔ Archív aláírás� Az archív szolgáltató feladata az aláírások hosszú távú
hitelességének biztosítása;� Ezt teheti például archív aláírással is, de nem feltétlenül ezt
a technológiát kell alkalmaznia.� Archív aláírás bizonyíthatja egy aláírás hitelességét, de
hosszú távon nem lesz egyszerő értelmezni egy archív aláírást.
19
aláírást.
� Nincs olyan XAdES-verzió, amelynek ez megfelelne, nincs olyan e-Szignó verzió, amely ilyen aláírást hozna létre...
� Az archív szolgáltató igazolásainak lesz jelentısége.� Döntésünk: csak befogadáskor archív aláírás, késıbb más.
XAdES-A, v1.2.2e-Szignó v3.1
idıbélyeg, vA.B.Ce-Szignó vX.Y
idıbélyeg, vD.E.Fe-Szignó vZ.Q
![Page 20: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/20.jpg)
Aláírt dokumentum/lenyomat archiválása
� Az archív szolgáltató az aláírt dokumentumot (e-aktát) archiválja.logikailag tiszta megoldás
Az Eat. kétféle archiválás szolgáltatást definiál:
20
� logikailag tiszta megoldás
� Az archív szolgáltató csak az aláírást kapja meg, az aláírt dokumentumot nem:� a bizalmasság biztosítása egyszerő ☺
� a dokumentum és az aláírás elválik egymástól �
� nem véd a hash algoritmus elavulása ellen… �
![Page 21: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/21.jpg)
Gondok a csak lenyomat archiválásával
� nem véd a dokumentum megsemmisülése ellen �
� az ügyfélnek rendszeresen foglalkoznia kell a dokumentummal �
� ha rossz lenyomat jön be, az
aláírt fájl
21
� ha rossz lenyomat jön be, az csak sokára derül ki
� az ügyfél „bukja” az archiválást, ha nem idıben küldi be a lenyomatot �
Döntés: A teljes e-akta archiválását választottuk.
hash
aláírás
archív idıbélyegek...
archív idıbélyegek...
![Page 22: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/22.jpg)
Követelmények bizalmasságra
� Az archív szolgáltató lehetıleg minél ritkábban kezelje a nyílt fájlokat, lehetıleg ne is találkozzon velük.
22
� Az archív szolgáltatónak befogadáskor ellenıriznie kell az elektronikus aláírást.
� Az archív szolgáltatónak rendszeresen idıbélyeget (és aláírást) kell elhelyeznie a dokumentumokon.
![Page 23: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/23.jpg)
Titkosítás ↔ Aláírás
� A titkosítás miatt nem lehet ellenırizni az aláírást.
� Tiszta megoldás, korlátokkal
23
korlátokkal
� Hogyan bizonyítjuk, hogy mire vonatkozik az aláírás?
� Alapvetı elvi problémák
![Page 24: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/24.jpg)
Hogyan döntöttünk?
� Feltöltéskor a nyílt e-aktán automata ellenırzi az aláírást.
� Az archív szolgáltató a titkosított e-aktát archiválja.� A titkosított e-aktát az ügyfél bármikor letöltheti, visszafejtheti.
24
visszafejtheti.� Az archív szolgáltató különleges eljárás keretében, tudja dekódolni az archivált e-aktákat.
� A nyílt e-aktára ritkán van szükség:� ha a használt hash algoritmus elavulása fenyeget.� ha valamely titkosító algoritmus elavulása fenyeget� ha az ügyfél titkosító tanúsítványa változik
� Más esetben nem fejtjük vissza az e-aktát.
![Page 25: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/25.jpg)
Miért nem CRL?
� Két külön feladat:� megbizonyosodni egy aláírás érvényességérıl(kivárási idı),
� beszerezni az aláírás érvényességét igazoló bizonyítékokat.
25
bizonyítékokat.� CRL alapján bonyolult elvégezni az ellenırzést. Rendkívül komplex problémák is megjelenhetnek.
� CRL esetén a visszavonási információk különbözı idıpillanatokból származnak, az archiválás szolgáltató nem tudja ezt befolyásolni.
� (Tapasztalat: CRL alapon általában is nehéz valós problémákat megoldani…)
![Page 26: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/26.jpg)
Az aláírás idıpontját követı CRL-ek?
RootRoot
hhétfıétfı keddkedd szerdaszerda
crlcrl
26
CA1CA1
CA2CA2
aláíróaláíró
crlcrl
crlcrl
aláírásaláírás CA2 kulcsaCA2 kulcsa
kompromittálódikkompromittálódik
??
![Page 27: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/27.jpg)
Miért OCSP?
� OCSP segítségével az ellenırzés azonnal elvégezhetı, így megoldható, hogy minden visszavonási információ közel egy idıpontból származzon.
� Ekkor sokkal egyszerőbb problémával állunk szemben.� Döntés: Az aláírásokat OCSP alapon ellenırizzük.
27
� Döntés: Az aláírásokat OCSP alapon ellenırizzük.� HSZ kulcs kompromittálódás – felelısségi problémák� Döntés: Induláskor kizárólag az általunk kibocsátott tanúsítványokat fogadjuk el, ezt késıbb kiterjesztjük más „OCSP-s” hitelesítés szolgáltatókra is.
� A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen) archiválás szolgáltatást nyújtani(3/2005 IHM r. ↔ KGYHSZ hitelesítési rend ☺)
![Page 28: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/28.jpg)
Értelmezhetıség, megjeleníthetıség
� Aláírás: kötelezettségvállalás valamely értelmes tartalom iránt.
� Az értelmes tartalom egy fájlban (pl. doc, pdf) helyezkedik el.
� Elıfordulhat, hogy (pl. 20-30 évvel) késıbb nem
28
� Elıfordulhat, hogy (pl. 20-30 évvel) késıbb nem lehet majd megjeleníteni a ma használt fájlformátumokat...
� Hiába igazoljuk, hogy milyen bitsorozatot írt alá valaki, az értelmes tartalmat kellene igazolnunk.
� Megjelenítés hitelessége (!)� Aktív tartalom, makrók (!)
![Page 29: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/29.jpg)
Összegzés
� Az elektronikusan aláírt dokumentumokat speciális körülmények között kell archiválni.
� Az archiválás bonyolult feladat, jelentıs szaktudás és drága infrastruktúra szükséges hozzá.
� A minısített archiválás szolgáltató ezeket egységesen,
29
� A minısített archiválás szolgáltató ezeket egységesen, professzionális módon oldja meg:� az archiválás szolgáltató anyagi felelısséget vállal azért, hogy az ügyfél iratai megmaradnak és hitelesek;
� az ügyfél igazolhatja, hogy kellı gondossággal járt el;� a bíróságnak vélelmeznie kell, hogy a minısített archiválás szolgáltató által archivált aláírás érvényes („házi” megoldás esetén nincs ilyen jogkövetkezmény);
� biztosíthat megjeleníthetıséget, értelmezhetıséget.
![Page 30: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/30.jpg)
30
Kereszthitelesítés
![Page 31: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/31.jpg)
Jelölések
CA2
CA2 önhitelesített tanúsítványa, amelyre más aláírásokat/tanúsítványokat visszavezethetünk
CA1 tanúsítványa, amelyet CA2 bocsátott ki
CA2 entitás és a kulcspárja
31
CA1
Alajos
CA2 bocsátott ki
Alajos végfelhasználói tanúsítványa, amelyet CA1 bocsátott ki
CA1 entitás és a kulcspárja
Alajos (végfelhasználó) entitás és a kulcspárja
![Page 32: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/32.jpg)
„Root CA”
� A tanúsítványok hitelességét a root CA-ra vezetjük vissza.� Nincsen a világon egyetlen közös root.� Az egyes felhasználói közösségek saját gyökerekkel (egy vagy
több gyökérrel) rendelkeznek:� Magyar Közigazgatás (KGYHSZ, www.kgyhsz.gov.hu),
Az egyes kereskedelmi HSZ-ek felhasználói,
32
� Az egyes kereskedelmi HSZ-ek felhasználói,� e-Cégeljárás (Microsec, Netlock),� EU tagállamok útleveleit kibocsátó rendszerek,� Windows felhasználók,� Nemzetközi bankok, multik felhasználói,� NATO� stb.
![Page 33: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/33.jpg)
Mitıl „root”?
� Önhitelesített tanúsítványa van?� Használatát jogszabály írja elı?� Biztonságosan tárolja/kezeli a magánkulcsát?� A felhasználók megbíznak benne?Könnyő rá visszavezetni tanúsítványokat, és
33
� Könnyő rá visszavezetni tanúsítványokat, és ellenırizni a visszavonási állapotot (pl. OCSP-vel)?
� Felelısséget vállal a tevékenységéért?� Felelısséget vállal mindenért, amit rá vissza lehet vezetni?
� Elterjedt, és sokan ismerik a nyilvános kulcsát?� Nagy közösség vezet vissza rá tanúsítványokat?
![Page 34: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/34.jpg)
PKI közösségek összekapcsolása
� Külön PKI közösség - külön root
� Azt szeretnénk, ha az egyik közösség elfogadhatná a másik tanúsítványait
� Láncolja maga alá a root az elfogadott
34
� Láncolja maga alá a root az elfogadott közösségek elfogadott CA-it!
![Page 35: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/35.jpg)
Kereszthitelesítés
� Def: Egy CA egy másik CA számára bocsát ki (CA) tanúsítványt.
CA1 önhitelesített tanúsítványa CA2 önhitelesített tanúsítványa
35
CA1
Alajos
CA1
A kereszthitelesítés során kibocsátott tanúsítvány
Más, ennél szőkebb/tágabb definíciók is vannak.
![Page 36: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/36.jpg)
Jogi szempontból...
� CA2 felelıs CA1 mőködéséért?
� CA2 azért felelıs, hogy CA1 kulcsa CA1 birtokában van?
� CA2 csak részben felelıs CA1 mőködéséért?
CA2
36
mőködéséért?
� És ha CA1 is tekinthetı rootnak?
� Az érintett fél meg kell, hogy bízzon a teljes lánc minden egyes elemében?
� …akkor mire jó ez az egész?
CA1
Alajos
![Page 37: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/37.jpg)
Elágazó tanúsítványlánc
CA2CA1 számára CA2 és CA3 is bocsát ki
CA3
37
CA1
Alajos
és CA3 is bocsát ki tanúsítványokat
![Page 38: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/38.jpg)
Kölcsönös kereszthitelesítés
Mindkét végfelhasználó tanúsítványa elfogadható mindkét root alapján.
38
CA1
Alajos
CA2
Bendegúz
![Page 39: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/39.jpg)
Bridge CA
Mindkét végfelhasználó tanúsítványa elfogadható mindkét root alapján.
39
CA1
Alajos
CA2
Bendegúz
Bridge CA
![Page 40: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/40.jpg)
Új gyökér
új gyökér
40
CA1
Alajos
CA2
Bendegúz
És ki mőködteti a gyökeret???
![Page 41: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/41.jpg)
Kérdések
� Melyik tanúsítványlánc az igazi?
� Mi történik, ha az egyik tanúsítványlánc megszakad?
� Egy tanúsítvány és egy aláírás egyszerre
41
� Egy tanúsítvány és egy aláírás egyszerre lehet érvényes és érvénytelen?
![Page 42: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/42.jpg)
Válaszok
� Az ellenırzés valamilyen signature policy szerint történik� root-ok,� visszavonási állapot ellenırzés,� képviseleti jogosultság,� idıbélyegek
42
� stb.� A policy szerint nem elfogadott root-okra és a csak rájuk
visszavezethetı tanúsítványokra úgy kell tekinteni, hogy azok nem léteznek.
� Nem objektív, hogy egy aláírás érvényes-e.E kérdés csak a konkrét policy kontextusában válaszolható meg.
![Page 43: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/43.jpg)
Problémák
� Nem találjuk meg a szükséges láncot� hibás vagy rosszul konfigurált alkalmazás
� Nem szándékolt láncot találunk� rosszul konfigurált alkalmazás
43
� rosszul konfigurált alkalmazás
![Page 44: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/44.jpg)
Példa
USA CsalafinsztánOroszország
44
CIA Ibrahim
Joe ügynök
KGB
Borisz ügynökJim* ügynök
![Page 45: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/45.jpg)
Megoldások
� CP-k használata, ellenırzése,
� BasicConstraints, PathLenghtConstraints
� PolicyConstraints, NamingConstraints használata
45
használata
� ...
� JÓ ELLENİRZİ-ALKALMAZÁST KELL HASZNÁLNI!
![Page 46: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/46.jpg)
Elágazó tanúsítványlánc
CA2CA1 számára CA2 és CA3 is bocsát ki
CA3
46
CA1
Alajos
és CA3 is bocsát ki tanúsítványokat
![Page 47: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/47.jpg)
Tanúsítványok visszavezetése
� CA1 tanúsítványa akkor ellenırizhetı CA3 tanúsítványa alapján, ha� CA1 tanúsítványa CA tanúsítvány
(basicConstraints, certSign KU)
� CA3 aláírása érvényes CA1 tanúsítványán
47
� CA3 aláírása érvényes CA1 tanúsítványán
� CA3 vonatkozó hitelesítési rendje ezt nem tiltja
� CA1.cer/IssuerDN = CA3.cer/SubjectDN
� Azonos SubjectDN kell, hogy szerepeljen CA1 tanúsítványaiban
� Kódolás: Azonos szöveg különbözı kódolásokkal (pl. UTF-8, ISO8859-2) azonosnak tekinthet-e? Hogyan kell komparálni két különbözı kódolású szöveget?
![Page 48: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/48.jpg)
Elágazó tanúsítványlánc
CA2 CA3
issuer: CA2subject: CA2
issuer: CA3subject: CA3
48
CA1
Alajos
issuer: CA2subject: CA1issuerUrl: ca2.hu/ca2.cerCDP: ca2.hu/ca2.crl
issuer: CA3subject: CA1issuerUrl: ca3.hu/ca3.cerCDP: ca3.hu/ca3.crl
issuer: CA1subject: felhasználóissuerUrl: ca3.hu/ca1.cerissuerUrl: ca2.hu/ca1.cerCDP: ca1.hu/ca1.crl
![Page 49: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/49.jpg)
Együttmőködés a CA-k részérıl
� CA2 nem feltétlenül tud róla, hogy CA1 számára CA3 is bocsátott ki tanúsítványt.
CA2 CA3
49
� Sıt, CA1 sem feltétlenül tud róla, hogy több helyrıl van tanúsítványa.
� CA tanúsítvány: nyilatkozat arról, hogy megbízom az adott CA-ban.
CA1
Alajos
![Page 50: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/50.jpg)
PKI modell
AB
C
50
F
E
D
I
HG
CA-k
végfelhasználók
![Page 51: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/51.jpg)
PGP modell
AB
C
51
F
E
D
I
HG
![Page 52: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/52.jpg)
PKI ↔ PGP
� PKI estén egyes entitások hitelesítés szolgáltatók, ık jogosultak tanúsítványt kibocsátani.
� PGP esetén nincs ilyen elkülönítés.
52
� PGP esetén nincs ilyen elkülönítés.
� PKI esetén egyértelmő(bb) felelısségi viszonyok állapíthatóak meg.
� A PKI jobban kontrollálható, ezért a PGP nehezen rúg labdába egy központosított környezetben.
![Page 53: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/53.jpg)
Összegzés
� Bárki lehet root, akinek önhitelesített tanúsítványa van. Kérdés, hogy ezt más elfogadja-e, használja-e.
� A „fent” és a „lent” szubjektív fogalmak, csak egy adott tanúsítványlánc kontextusában értelmezhetıek.
53
értelmezhetıek.� Csak azt lehet kontrollálni, hogy valaki kinek bocsát ki tanúsítványt, azt nem, hogy kitıl kap.
� Nem objektív, hogy egy tanúsítvány/aláírás érvényes-e. Ez is csak egy adott policy kontextusában lehet objektív. (...ha a jó a policy…)
![Page 54: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/54.jpg)
54
Attribútum tanúsítványok
![Page 55: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/55.jpg)
Attribútum
� Egy tanúsítvány alanyának/aláírójának attribútuma lehet� szerepkör,
tulajdonság,
55
� tulajdonság,
� jogosultság
� stb.
![Page 56: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/56.jpg)
Tanúsítvány és attribútum kapcsolata
� Implicit kapcsolat
� Az attribútum a tanúsítványban szerepel� subject DN (organization? title?)
� hitelesítési rend
56
� hitelesítési rend
� máshol (subjectDirectoryAttributes)
� Az attribútum az alany állításából derül ki� az alany felel a saját állításáért, így szükség esetén bíróság elé állítható
� Külön informatikai rendszer kapcsolja össze
![Page 57: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/57.jpg)
Implicit kapcsolat
� Pl. csak az léphet be a szerverre, aki egy adott rootra visszavezethetı tanúsítvánnyal rendelkezik;
� Így csak egyetlen attribútum kezelhetı, minden attribútumhoz külön root és külön
57
minden attribútumhoz külön root és külön tanúsítvány kell.
� Nehezen kapcsolható más rendszerekhez, zárt rendszerben használható;
� Nem skálázható. �
![Page 58: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/58.jpg)
Attribútum a tanúsítványban (1)
Tanúsítvány
CN=Alajos...egyetemi hallgató,a Kókler Bt. alkalmazottja,
� Bármely attribútum változik, a tanúsítványt vissza kell vonni - macerás.
� A tanúsítvány alapján az alany nem azonosítható – a „másodlagos regisztrációt” felborítja a
58
a Kókler Bt. alkalmazottja,egyéni vállalkozó,XI. kerületi lakos,cukorbeteg,az XXX párt tagja,büntetlen elıélető,stb.
felborítja a tanúsítványcsere.
� Most épp melyik jogosultsága szerint használja a tanúsítványt?
� Mi köze a HSZ-nek az attribútumokhoz?
� Biztos jó, hogy minden aláírásban benne van minden attribútum?
![Page 59: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/59.jpg)
Attribútum a tanúsítványban (2)
� Az attribútumok életciklusa nem egyezik meg a tanúsítványok életciklusával.
� Egyes attribútumok nagyon gyorsan változnak.
59
változnak.
� A PKI szabályai szerint a tanúsítványt vissza kell vonni, ha bármilyen adat megváltozik benne.
� Ha fodrászhoz megyek, mindig új személyit kell csináltatnom?
![Page 60: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/60.jpg)
Az attribútum az alany állításából derül ki
� Mi történik, ha kiderül, hogy az alany hazudik az attribútumáról?
� Felelısségre lehet vonni az alanyt? Lehet, hogy� megszökött vagy meghalt,� nem tudja megtéríteni a kárt,
60
� nem tudja megtéríteni a kárt,� nem tehetı felelıssé,� ...
� Az aláírás alapján hozott döntést vissza lehet csinálni?
� Papír alapon ugyanezen problémák merülnek fel� Sokszor mégis ez a jó megoldás, mérlegelni kell...
![Page 61: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/61.jpg)
Attribútum tanúsítvány
� Az attribútum-tanúsítvány olyan igazolás, amely egy nyilvános kulcsú tanúsítványhoz, vagy a nyilvános kulcsú tanúsítvány alanyához kapcsolódik, és alkalmas a
61
alanyához kapcsolódik, és alkalmas a nyilvános kulcsú tanúsítvány alanyához tartozó egy vagy több szerepkör, jogosultság, tulajdonság (együttesen: attribútum) igazolására.
![Page 62: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/62.jpg)
Egyértelmő hivatkozás egy alanyra/tanúsítványra?
Hogy lehet egyértelmően hivatkozni egy alanyra/tanúsítványra?1. Subject Distinguished Name2. Issuer Distinguished Name + certSerialNumber3. magával a tanúsítvánnyal vagy annak
62
3. magával a tanúsítvánnyal vagy annak lenyomatával (esetleg: a nyilvános kulcs lenyomatával)
� Az (1) az alanyra hivatkozik, így a tanúsítvány lecserélése nem zavarja meg. A másik kettı a tanúsítványra hivatkozik, így a visszavonás érinti
![Page 63: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/63.jpg)
Subject DN → alany
Microsec MÁV Info
63
CN=Kovács József,C=HU
CN=Kovács József,C=HU
Anyja neve: Nagy Margit,Szül. id: 1963. január 2.
Anyja neve: Tóth Izabella,Szül. id: 1997. december 1.
A DN csak CA-n belül egyedi, globálisan nem az, így heterogén
rendszerben nem egyedi hivatkozás.
Ugyanez igaz az issuerDN+certSerialNumber megoldásra
↔↔↔↔ X.509...?
![Page 64: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/64.jpg)
Attribútum tanúsítvány (AT)
CA
AA-α
Attribútum-kibocsátó végfelhasználói tanúsítványa
CA root tanúsítványa
64
CN=Alajos,C=HU
Nyilvános kulcsú tanúsítvány
Igazolom, hogyenneka tanúsítványnak az alanyarendelkezik az„α” attribútummal.Az igazolás 2007.okt. 17-én10 óráig érvényes.
hivatkozás,pl.: hash
![Page 65: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/65.jpg)
Ki bocsátja ki az AT-t?
� Attribute Authority (az AT-t kibocsátja) vs. Attribute Granting Authority (az attribútumról dönt)
� Általános attribútum szolgáltató
65
� Általános attribútum szolgáltató (bármilyen attribútumot igazolhat) vs. mindenki egy attribútum igazolására jogosult
![Page 66: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/66.jpg)
AA tanúsítványa
� Hogyan ismerhetı fel az AA tanúsítványa?
� Az érintett felek „ismerik”? - skálázhatóság
� Dedikált AA-root?
Spec. hitelesítési rend?
66
� Spec. hitelesítési rend?
� Honnan lehet tudni, hogy az AA mely attribútum(ok) tanúsítására jogosult?
� Hogyan történik mindez papír alapon?
![Page 67: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/67.jpg)
AT felhasználása
� Push modell� aki igazolni szeretné a saját szerepkörét, beszerzi a szükséges AT-t, és eljuttatja a befogadóhoz (pl. csatolja az aláírásához, esetleg alá is írja)
67
� a XAdES aláírásokban van helye az AT-nek
� Pull modell� aki ellenırizni szeretne egy attribútumot, az győjti be a szükséges AT-t
� ki jogosult lekérdezni az attribútumokat?
![Page 68: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/68.jpg)
AT egy aláírásban
CA1 CA2
root CA
CA-k
68
Alajos AA- α
felhasználók
dokAlajos
α(AT)
hivatkozás a tanúsítvány
hash-ével
hivatkozás az AT hash-ével
![Page 69: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/69.jpg)
AT ellenırzése
� Az AT-n aláírás van, ennek megfelelıen kell
� ellenırizni…� tanúsítványlánc felépítése,
� visszavonási állapot (az AT-re és a
69
� visszavonási állapot (az AT-re és a tanúsítványlánc elemeire),
� aláírás idıpontja
� stb.
� Policy szerint... ☺
![Page 70: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/70.jpg)
AT felépítése (ez is X.509)
� Kötelez mezık� Version� Holder (3 féle módon hivatkozhat)� Issuer (DN)� Signature
70
� Serial Number� Attributes� …
� Lehetséges kiterjesztések� CRL distribution point� No Revocation Available� Authority Information Access
� …
![Page 71: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/71.jpg)
Hogyan jelenik meg az attribútum?
� Géppel értelmezhetı megoldások� OID,
� URI,
� …
71
� …
� Ember számára értelmezhetı megoldások� szövegesen,
� DN,
� …
![Page 72: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/72.jpg)
Hol használnak attribútum tanúsítványt?
� Nemigen használnak attribútum tanúsítványt.
� Nyilvános kulcsú tanúsítványt is csak nagyon kevés helyen használnak, az attribútum tanúsítványokhoz nyilvános kulcsú
72
tanúsítványokhoz nyilvános kulcsú tanúsítványok kellenek.
� Az attribútum tanúsítványok lehetıvé tennék, hogy egy nyilvános kulcsú tanúsítványt több célra is fel lehessen használni.
![Page 73: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/73.jpg)
Összegzés
� Sok hátránya van annak, hogy az attribútumok a nyilvános kulcsú tanúsítványban szerepeljenek � attribútumok és tanúsítványok eltér életciklusa� adatvédelmi kérdések
� Az AT hivatkozik a nyilvános kulcsú tanúsítványra vagy annak alanyára, és igazolja a hozzá tartozó attribútumot.
73
annak alanyára, és igazolja a hozzá tartozó attribútumot.� nyilvános kulcsú tanúsítvány: kulcs-alany összerendelés
� AT: az alany attribútumai� Az AT-k segítségével egy nyilvános kulcsú tanúsítványt
több célra lehetne használni…� Az AT-k kibocsátása, kezelése, felhasználása stb. még
közel nem kiforrott.
![Page 74: PKI gyakorlati kérdések, II - hit.bme.hu · más „OCSP-s” hitelesítés szolgáltatókra is. A közigazgatási, „KGYHSZ-es” tanúsítványokra elvileg sem lehet (értelmesen)](https://reader030.fdocuments.net/reader030/viewer/2022020305/5cd03ea288c993924d8d9da2/html5/thumbnails/74.jpg)
74
Köszönöm a figyelmet! ☺