Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
9/29/2003 2
Agenda
09:00 Registrace účastníků09:20 Přivítání účastníků semináře, Vladimír Drnek09:30 Entrust Corporate Overview, Wolfgang Kussmann09:35 Entrust 7.0 Introduction, Pavel Marťák10:15 Přestávka10:30 Secure Desktop Solutions, Pavel Marťák10:50 Web Portal Solutions, Wolfgang Kussmann11:10 New Secure Identity Management Solution , Wolfgang Kussmann11:30 Demo Entrust 7.012:10 Závěr12:15 Oběd v zahradě
Z čeho se Entrust PKI skládá ?
SAP
Appl.Servery
Administrace
Administrátor
JednotnáDatabáze Zdrojů
CA RA
PKI
PKI
InformačníSystém
Uživatelsképrostředí
VPN klient
Certifikačnía bezpečnostní
politika
PKI není pouze CA a datový repositář
Rozdíl mezi PKI a pouhou CA je fatální. Implementace samotné CA neřeší:
•Key management - obnova, distribuce a pod
•Provázanost koncových aplikací
•Počet párů klíčů
•Prosazování bezpečnostní (certifikační) politiky (existence hesla chránícího uživatelský profil a jeho sílu, typ a sílu šifrovacího algoritmu, využití CRL …)
Základní parametry Entrustu
• Model s více páry klíčů• Automatická aktualizace klíčů• Správa historie klíčů• Jednotný uživatelský profil• Efektivní revokační systém• Vynutitelnost bezpečnostní
politiky• Bezpečná distribuce CA klíče• Mechanismus „User profile
recovery“
Základní parametry Entrustu
• Jednoduché promítnutí organizačních změn do PKI -export import uživatelů, „change DN“
• Hromadné zpracování dat• Grafický i command-line interface• Nastavování libovolných vztahů s jednotlivými CA - Trust,
subordinace• Podpora On line a Off line certifikačního procesu• Důvěryhodný certifikační proces - SEP a PKIX• Důvěryhodný registrační proces
Základní parametry Entrustu - Role
• Master user• Security Officer• Auditor• Operator• ASH Service• User Administrator• User Reg Service (Admin Services) • Server Login
Páry klíčů – jeden pár
Páry klíčů - dva páry
Privátnípodepisovací
Veřejnýverifikační
Privátnídešifrovací
Veřejnýšifrovací
Archivace
Archivace
Případná záloha páru
Entrust – více párů klíčů
• Možnost přístupu k již zašifrovaným datům starými klíči díky uchovávané historii klíčů
• Možnost budoucího dodatečné ověření již podepsaných dokumentů (dat)
• V PKI prostředí umožňuje automatickou správy klíčů -šetří náklady, v rozsáhlých prostředích nutnost
• Možnost nastartovat proces výměny klíčů dle nastavení administrátora
• Transparentní výměna neobtěžující uživatele nutností interakce
Entrust verze 7 – autentizační pár
00:b4:35:15:17:9e:c9:56:bd:30:ee:dc:f3:b9:93:b2:d4:c7:a2:49:07:fc:14:8b:90:c3:e9:59:cc:7a:88:2f:44:b2:a3:d0:24:9c:75:d9:71:60:e2:53:5e:d4:46:e5:53:de:21:c8:9c:56:d7:f8:64:ba:6e:4a:38:d6:30:9b:88:89:57:62:d3:6e:ad:b4:9b:ce:c9:15:9e:4b:e1:29:3f:52:34:fa:32:bb:7b:e9:69:55:80:e5:35:78:79:f5:29:7d:2a:ab:35:8c:6f:e3:22:c8:fc:ac:19:32:15:83:21:de:2c:e4:0e:ca:a4:ba:db:ce:9a:65:28:c5:dd:72:2d
Exponent: 65537 (0x10001)X509v3 extensions:
X509v3 Key Usage:Digital Signature, Key EnciphermentX509v3 Private Key Usage Period:Not Before: Sep 22 10:50:19 2003 GMT, Not After: Oct 28 15:20:19 2005 GMTX509v3 Extended Key Usage:TLS Web Client Authentication, Microsoft SmartcardloginAuthority Information Access:CA Issuers - URI:http://serverca/ca.cer
X509v3 Subject Alternative Name:othername:<unsupported>
Entrust verze 7 – nonRep pár
• Nepopiratelnost odpovědnosti• Specifická akce stvrzena elektronickým podpisem
dedikovaným páremkeyusage=2.5.29.15,n,m,BitString,01; define qcstatements extension with RFC 3039 OID; id-qcs-pkix-QCSSyntax-v1 (1.3.6.1.5.5.7.11.1);qcstatements=1.3.6.1.5.5.7.1.3,n,m,DER,300C300A06082B06010505070B0
1; define qcstatements extension with ETSI OID; id-etsi-qcs-QcCompliance (0.4.0.1862.1.1)qcstatements=1.3.6.1.5.5.7.1.3,n,m,DER,300A3008060604008E460101
Entrust verze 7 – EFS pár
MS CAPI
EPF
PrivátníEFS
VeřejnýEFS
Symetrickýšifrovací
Soubor
UživatelŠifrování
RND
Šifrování
Šifrování
Operační System
Dešifrování
Správa klíčů - finanční náročnost
NÁKLADY ENTRUST CA ŘEŠENÍ
Ztráta profilu s klíči, zapomenutí hesla
Profile recovery – 1 minuta administrátora, z pohledu uživatele 30 sec. zadaní ID
Nepřístupnost zašifrované dokumentace, nový proces registrace a výdeje certifikátu
Vypršení platnosti klíčů Automaticky ošetřeno Činnost administrátora i uživatele - podle řešení 5 až 10 minut
Licence Fixní Podle počtu vydaných certifikátů
Aplikační synchronizace Automatická - Jednotný uživatelský profil
Manuálně prostřednictvím přenosových formátů (PKCS#12) - Nejednotnost úložišť -> Náklady na další identity
Archivace verifikačních certifikátů
Automatická Speciální proces a dedikovaná infrastruktura
Migrace uživatelů, organizační změny, změny DN
Administrátor podle počtu 1min. až doba zpracování dávky. Uživatel 0
Pro jednotlivce řádově 10-ky minut administrace a uživatelovo aktivity. Hromadně => nová infratsruktura
Entrust - generované certifikáty
• Web certifikáty• Email - S/MIME certifikáty• Code signing crtifikáty• IPSec zařízení• EFS• Autentizační a SmardCard Login• SET certifikáty
• WAP - WTLS
• Timestamping
• Atributní certifikáty
• Certifikáty politik
• Flexible Certificate Specification
Entrust - kryptografické metody
•Symetrické šifry:DES, 3DES, CAST 128, IDEA, RC2
•Asymetrická kryptografie:RSA až 6144bDSA až 1024ECDSA 192b
•HASH algoritmyMD5, SHA-1
•Podpora kryptografického HW.
Entrust - podporované standardyKryptografické algoritmy a standardy ŠifrováníDES (U.S. Data Encryption Standard) podle U.S. FIPS PUB 46-2 a ANSI X3.92.
CAST bloková šifra podle RFC 2144Triple-DES podle ANSI X9.52.
RC2 podle Internet Draft: „A Description of the RC2(r) Encryption Algorithm“, R. Rivest, 06/24/1997.DES, CAST, RC2 a Triple-DES šifrování s užitím CBC operačního režimu podle U.S. FIPS PUB 81, ANSIX3.106 a ISO/IEC 10116.
Digitální podpisyRSA standard pro digitální podpisy podle PKCS#1.DSA podle Digital Signature Standard, U.S. FIPS PUB 186 a ANSI X9.30 (Part 1)
Hashovací funkceSHA-1 podle U.S. FIPS PUB 180-1 a ANSI X9.30 (Part 2).MD5 Message-Digest algoritmus podle RFC 1321.
Správa klíčůRSA standard pro přenos klíčů podle RFC 1421 a 1423 (PEM) a PKCS#1.(Entrust/Session Toolkit) Diffie-Hellman protokol pro výměnu klíčů podle PKCS#3.
(Entrust/Session Toolkit) autentizace a výměna klíčů podle ISO/IEC 9798-3 a US FIPS PUB 196.
Entrust - podporované standardy
Integrita pomocí symetrických technikMessage Authentication Code (MAC) podle U.S. FIPS PUB 113, ANSI X9.9, a X9.19.
Generace pseudonáhodných číselPodle ANSI X9.17 (Appendix C)
Datové formáty a protokoly Formáty certifikátů a CRLCertifikáty a extenze certifikátů verze 3 podle ITU-T doporučení X.509 (1997) a všeobecného standarduISO/IEC 9594-8 (1997).CRL (Certificate Revocation Lists) a extenze CRL verze 2 podle ITU-T doporučení X.509 (1997) avšeobecného standardu ISO/IEC 9594-8 (1997).
Extenze certifikátů a CRL podle specifikace profilů IETF PKIX-1.Extenze certifikátů a CRL podle specifikace SET 1.0.
Profily certifikátů a CRL podle de-facto standardů pro web browsery a servery.RSA identifikátory algoritmů a formátů veřejných klíčů podle RFC 1422 a 1423 (PEM) a PKCS#1.
Formát obálek souborůStandardní formát obálek souborů založený na RFC 1421 (PEM).Bezpečné obálkování souborů podle PKCS#7 a S/MIME.
Entrust - podporované standardy
Formát bezpečných relací (Secure Session Format)On-line GSS-API mechanismus implementace veřejných klíčů užitím Simple Public Key Mechanism(SPKM) podle RFC 2025 a SPKM autentizace entit podle FIPS 196.
Protokoly adresářových služebLDAP (Lightweight Directory Access Protocol, verze2 a 3) podle RFC 1777.
PKI operační protokol podle PKIX-2.Kompatibilita s adresářovým službami typu X.500 s podporou Directory Access Protocol (DAP) a DirectorySystem Protocol (DSP) podle ITU-T X-500 (1993) a všeobecného standardu ISO/IEC 9594.
Ukládání klíčůUkládání soukromých klíčů založené na PKCS#5 a PKCS#8.
Protokol pro správu klientůSecure Exchange Protocol (SEP), založený na Generic Upper Layers Security (GULS) standardech: ITU-Tdoporučení X.830, X.831, X.832 a ISO/IEC 11586-1, 11586-2, 11586-3.Protokoly pro správu certifikátů podle PKIX-CMP (dříve PKIX-3).Protokol pro žádost o certifikát podporující běžné web browsery podlePKCS#10.
Entrust - podporované standardy
Aplikační programátorská rozhraní (APIs)Entrust/Session API s vysokou úrovní bezpečnosti podle Internet Generic Security Services API (GSS-API)RFC 1508 a 1509.API pro vysokou bezpečnost store-and-forward operací založené na Independent Data Unit Protection GSS-API (IDUP-GSS-API) Internet Draft, draft-ietf-cat-idup-gss-08.txt.PKCS#11 (CRYPTOKI) hardwarové kryptografické rozhraní podporují běžné hardwarové tokeny. PodporaFIPS 140-1 Level 2 a tzv . vyšší implementace kryptografického modulu.
A další ;-)
Datový repositář
• Libovolný LDAP v2 nebo v3 kompatibilní • Implementace protokolu X.500 - široká škála
schémat, možnost vytváření struktur a vazeb DSA na celosvětové úrovni, není jen úložiště certifikátu, dokáže popsat celou organizaci
• Odladěno s OpenLDAP, Oracle internet directory,Novell EDir, Control Data directory,MS AD …
• Standardně dodávané s CriticalPath ( bývalé i500)
Datový repositář
• Adresářový repositář by měl oproti CA vysoce dostupný(X.500- replikační mechanismy ...)
Platformní pokrytí
• Win NT, Win 2000,Win XP, Win 95, Win 98• HP-UX • Solaris• AIX • Tru64
Entrust/WEBConnector
•Vydávání Web certifikátů:•uživatelské•serverové•code signing
•Jednotná mgmt. Konzole•Levnější licenční podmínky na vydaný certifikát
Entrust/Verification server
•Tři základní funkce:•Ochrana integrity dokumentu „On Demand“•Timestamping•Verifikace klíčů
Entrust/Verification server
•Timestamping
Entrust/Verification server
•Podpisová služba•RFC 2630, Cryptographic Message Syntax,•XML
Entrust/Verification server
•XKMS validační služba•XML Key Management Specification – XKMS
Entrust/Roaming server
Roaming (Profile) Server
Java(TruePass) AplikacedSAEPF
TLS/SSL
GSS/DH
Entrust/AutoRA
Aplikační vývoj• Aplikační vývoj vhodným API - GSSAPI
=> přenositelnost zdrojového kódu• Entrust Session toolkit• Entrust File toolkit• Entrust IPSec negotiator toolkit• Entrust Java toolkit• Entrust RA toolkit• Entrust Admin toolkit
Entrust/Entelligence
Entrust/Entelligence
•Integrace s uživatelským desktopem
•Transparentní šifrování a podepisování
•Správa uživatelského profilu
•Address book pro Off-line režim
•Možnost command line interface
Entrust/ICE
•Transparentní šifrování souborů v označeném adresáři•Možnost store and forward mechanismu•Plná vazba na PKI infratsrukturu
Entrust/Direct
•Zabezpečení HTTP komunikace client - server•Silná kryptografie až 2048 b.•Vazba na CRL•3 fázové potvrzení nepopiratelnosti odpovědnosti•Možnost dávkového zpracovávání dat•Přímá podpora elektronických formulářů•Zatunelování do standardního HTTP•Centrální zpráva bezpečnosti pro browsery•Automatický mgmt. Klíčů•Jednotný profil
Entrust/Express
•Transparentní podpora pro S/MIME•Možnost využití dalších vlastností dané řešení entrust, zachování šifrované pošty, šifrování důvěrných původně nešifrovaných mailů•Vazba na Key mgmt.•Vazba na bezpečnostní politiku•Vazba na CRL
Entrust/Sign On
•Systémový a aplikační SSO•Možnost vazby na čipové karty nebo biometriku•Jednotné prosazení bezpečnostní politiky již při přihlašování
Entrust/Entelligence - CAPI
Aplikace
Entrust – MS CAPI integrace
Entrust – GSSAPI aplikace•SAP
•SNC•SSF
•FTP•SSH
Entrust - vedoucí postavení na trhu
“... the big gorilla in PKI software revenues was clearly Entrust Technologies. With 34.6% of the overall market and 46.08% of the product market, the company is clearly a force to be
reckoned with ...”-- IDC’s Internet Security
Baltimore13.0%
GTE7.5%
Xcert2.9%
Other6.8%
Security Dynamics10.3%
Netscape8.6%
Microsoft4.9%
Entrust46.08%