Kryptografia w systemach HEUTHES
Charakterystyka
Oprogramowanie kryptograficzne firmy HEUTHES umożliwia wykonywanie wszystkich działań związanych ze stosowaniem kryptografii w określonej organizacji (takiej jak bank, przedsiębiorstwa przemysłowe, organizacje wojskowe). Dzięki szyfrowaniu dane nabierają takich cech, jak nienaruszalność, poufność, niezaprzeczalność.
W skład oprogramowania kryptograficznego firmy HEUTHES wchodzą biblioteki zawierająca funkcje kryptograficzne wykorzystywane przez aplikacje stosujące szyfrowanie (deszyfrowanie) danych oraz Centrum Autoryzacji Kluczy (CAK) zapewniające centralne zarządzanie i certyfikację (autoryzację) kluczy oraz konfigurowanie kart chipowych lub kluczy sprzętowych HASP.
W swoim oprogramowaniu kryptograficznym firma HEUTHES wykorzystuje algorytmy szyfrowania z kluczem publicznym (RSA) oraz kluczem symetrycznym (IDEA). Oba są dobrze opisane w literaturze poświęconej kryptografii i są najlepszymi z dostępnych.
Zasady działania
Działania związane ze stosowaniem kryptografii przy wykorzystaniu oprogramowania kryptograficznego firmy HEUTHES, obejmują:
- Zarządzanie kluczami.
- Szyfrowanie i deszyfrowanie danych.
- Podpisywanie przesyłek podpisem cyfrowym i sprawdzanie podpisu.
Klucze są liczbami, na podstawie których funkcje kryptograficzne dokonują zaszyfrowania lub odszyfrowania danych. Działania związane z zarządzaniem nimi stanowią podstawę stosowania kryptografii w określonej organizacji. Do działań tych należą:
- tworzenie par kluczy,
- podpisywanie kluczy publicznych,
- usuwanie kluczy,
- wymiana kluczy publicznych.
Każdy użytkownik posługuje się parą kluczy, kluczem publicznym oraz kluczem prywatnym, a ogólny sposób ich wykorzystania jest następujący:
użytkownik szyfrujący dane, używa klucza publicznego osoby, dla której dane te są przeznaczone (klucz publiczny umożliwia wyłącznie zaszyfrowanie danych, a odwrotny proces — odszyfrowanie tych danych, nie jest już możliwy przy użyciu tego samego klucza),
użytkownik deszyfrujący dane używa klucza prywatnego, stanowiącego parę z kluczem publicznym, według którego przesyłka została zakodowana (deszyfrowanie danych może odbywać się wyłącznie w ten sposób).
Klucz publiczny, jak wynika z nazwy, jest powszechnie znany i nie podlega ochronie, co sprawia, że operację zaszyfrowania danych może przeprowadzić praktycznie dowolna osoba. Natomiast klucz prywatny powinien być mocno chroniony i przechowywany w miejscu niedostępnym, gdyż odszyfrowanie danych powinno być możliwe tylko przez ściśle określoną osobę (właściciela tego klucza). Ujawnienie (tzw. “skompromitowanie”) klucza prywatnego powoduje, że zaszyfrowane dane mogą zostać rozkodowane przez osoby niepowołane, co niweczy sens szyfrowania.
Rozwiązanie polegające na stosowaniu par kluczy (publicznego i prywatnego) jest wygodne, gdyż eliminuje konieczność ochrony klucza według którego następuje kodowanie danych. Dzięki temu dany pracownik jest zobowiązany do ochrony tylko jednego klucza (swojego prywatnego), łatwiej jest ustalić miejsce skompromitowania klucza (i osobę za to odpowiedzialną), mniejsze są także szkody w przypadku ujawnienia klucza, gdyż jest to tylko jeden klucz (pozostałe klucze będące w dyspozycji pracownika, używane do szyfrowania danych, są kluczami publicznymi, a więc nie podlegającymi ochronie).
W celu zwiększenia bezpieczeństwa używania kryptografii, stosuje się certyfikowanie kluczy publicznych. Każdy klucz publiczny może mieć wiele podpisów. Jednym z nich powinien być podpis klucza nadrzędnego wykonany przy pomocy programu służącego do centralnego zarządzania kluczami - Centrum Autoryzacji Kluczy (CAK) - który jest składnikiem oprogramowania kryptograficznego firmy HEUTHES. Podpis ten jest konieczny do tego, aby przy użyciu danego klucza można było używać funkcji kryptograficznych, gdyż wzór tego podpisu zapisywany jest w specjalnych kluczach sprzętowych lub na kartach chipowych (czynność wykonywana centralnie), które następnie rozsyłane są do poszczególnych oddziałów organizacji i umieszczane w złączu portu równoległego komputera korzystającego z oprogramowania kryptograficznego. Dzięki temu oprogramowanie kryptograficzne jest w stanie sprawdzić, czy dany klucz publiczny posiada autoryzację CAK. Jeżeli jej nie posiada, to szyfrowanie nie będzie możliwe.
Podpisywanie przesyłek i sprawdzanie podpisu
Po wygenerowaniu odpowiedniej ilości par kluczy oraz autoryzowaniu i rozesłaniu kluczy publicznych do oddziałów organizacji, można przystąpić do szyfrowania i deszyfrowania danych. Szyfrowanie danych polega na zakodowaniu danych z użyciem funkcji kryptograficznych i odpowiedniego klucza prywatnego, natomiast ich odszyfrowanie na dekodowaniu z użyciem funkcji kryptograficznych i klucza publicznego stanowiącego parę z kluczem prywatnym wykorzystanym do zakodowania danych.
Ponieważ klucz publiczny jest powszechnie znany i każdy może przygotować przesyłkę z zaszyfrowanymi danymi, powstaje niebezpieczeństwo, że zawierać ona będzie fałszywe dane mające na celu wprowadzenie odbiorcy w błąd. Rozwiązaniem tego problemu jest sygnowanie zaszyfrowanego zbioru danych elektronicznym podpisem, który jednoznacznie pozwoli zidentyfikować nadawcę. W praktyce nadawca podpisuje przesyłkę swoim kluczem prywatnym (który jest tajny), natomiast odbiorca jest w stanie zweryfikować autentyczność podpisu przy pomocy klucza publicznego nadawcy (podpisu nie można odczytać wprost, można go jedynie zweryfikować przy pomocy klucza publicznego nadawcy).
Realizowane funkcje
Podsumowując przedstawioną zasadę działania kryptografii, można stwierdzić, że oprogramowanie kryptograficzne firmy HEUTHES®, pozwala realizować następujące funkcje, związane z zarządzaniem kluczami oraz bezpośrednim szyfrowaniem danych:
- zarządzanie kluczami,
- szyfrowanie i deszyfrowanie pliku (w tym szyfrowanie dla kilku odbiorców),
- podpisanie pliku i sprawdzenie podpisu pod otrzymaną przesyłką.
Zalety
Oprogramowanie kryptograficzne firmy HEUTHES posiada szereg zalet, które sprawiają, że dane przechowywane i przesyłane w ramach określonej organizacji są maksymalnie chronione przed niepowołanym dostępem oraz przed fałszowaniem. Do najważniejszych cech tego oprogramowania należy zaliczyć:
- wykorzystanie silnych algorytmów kryptograficznych,
- wymuszanie centralnej autoryzacji kluczy,
- umożliwienie podpisywania przesyłek elektronicznych, co pozwala na jednoznaczną identyfikację nadawcy.
CAK HEUTHES
Charakterystyka ogólna
CAK (Centrum Autoryzacji Kluczy) HEUTHES zajmuje się zarządzeniem kluczami publicznymi klientów. Zadanie jego polega na zbieraniu kluczy publicznych wygenerowanych przez użytkowników systemów HEUTHES. Pracownik obsługujący CAK, weryfikuje przesłane klucze publiczne, po czym podpisuje zebrane klucze kluczem głównym i rozsyła już podpisane klucze z powrotem do użytkowników. Użytkownicy kluczy publicznych dopiero po certyfikacji swojego klucza przez CAK, mogą dokonywać transakcji z bankiem.
Do centralnego zarządzania kluczami CAK wykorzystuje kryptografię firmy HEUTHES opartą na algorytmach szyfrowania z kluczem publicznym (RSA), oraz kluczem symetrycznym (IDEA). Oba algorytmy są dobrze opisane w literaturze poświęconej kryptografii i są to najlepsze z dostępnych algorytmów.
Kryptografia z kluczem publicznym oznacza, że każdy jej użytkownik posiada dwa klucze: publiczny i prywatny. Klucz publiczny powinien być znany, gdyż za jego pomocą są szyfrowane przesyłki do właściciela klucza, jak również odbywa się sprawdzanie, czy odebrana przesyłka była wysłana przez właściwą osobę (podpis elektroniczny). Klucz prywatny powinien być jak najmocniej chroniony. Umożliwia on odszyfrowanie przesyłki lub podpisanie przesyłki przeznaczonej dla innej osoby.
Każdy użytkownik powinien chronić swój klucz prywatny przed ujawnieniem. Klucze publiczne natomiast można łączyć w większe “partie” i udostępniać innym.
ISOF-CAK
Charakterystyka
Bezpieczeństwo komunikacji z serwerami ISOF podczas pracy w sieci rozległej jest zapewniane przez protokół TLS 1.3 z wykorzystaniem algorytmu ECDHE-RSA (Elliptic Curve Cryptography Diffie-Hellman). Protokół ten wykorzystuje 256-bitowe klucze symetryczne do zapewnienia poufności przesyłanych przez Internet danych oraz asymetryczne klucze RSA 2048 bity do zapewnienia integralności i autentyczności tych danych. Systemy wymagają także, żeby łączący się z nimi użytkownicy identyfikowali się również kluczem prywatnym, którego publiczna część jest certyfikowana przez CAK i zarejestrowana w serwerze. Próba połączenia z przeglądarki nie mającej dostępu do takiego klucza zostanie odrzucona. Podstawą działania jest możliwość automatycznej weryfikacji autentyczności zastosowanych w systemie kluczy. Służy do tego certyfikat klucza publicznego CAK. Opisane powyżej klucze: prywatny i CAK mogą mieć postać danych cyfrowych zapisanych na dysku komputera oraz na tokenie kryptograficznym, będącym fizycznym urządzeniem wkładanym do portu USB i zawierającym w sobie oba klucze.
Forward Secrecy
HEUTHES przywiązuje dużą wagę do kwestii szyfrowania tzw. przyszłej tajemnicy (ang. Forward Secrecy), z wykorzystaniem standardowego algorytmu Diffie-Hellman (DHE) i jego zoptymalizowanej wersji ECDHE (Elliptic Curve Cryptography Diffie-Hellman). Forward Secrecy dotyczy możliwości odszyfrowania nagranego ruchu sieciowego (np. przez PRISM) po uzyskaniu dostępu do klucza prywatnego. W systemach z obsługą Forward Secrecy nie jest to możliwe. Wszystkie usługi internetowe firmy HEUTHES uzyskują w niezależnych testach najwyższe wyniki poziomu bezpieczeństwa serwerów WWW w zakresie wsparcia Forward Secrecy.
Token kryptograficzny USB
Charakterystyka
Firma HEUTHES oferuje token USB ePass 2003, będący kryptograficznym zabezpieczeniem pracy w systemach. Bezpieczeństwo komunikacji z serwerami jest zapewniane przez protokół TLS 1.2 z wykorzystaniem algorytmu ECDHE-RSA (Elliptic Curve Cryptography Diffie-Hellman). Serwis systemu wymaga także, żeby łączący się z nim klient identyfikował się również kluczem prywatnym, którego publiczna część jest certyfikowana przez centrum autoryzacji (CA) firmy HEUTHES i zarejestrowana w serwerze systemu. Próba połączenia z przeglądarki nie mającej dostępu do takiego klucza zostanie odrzucona.
Tokeny stosowane przez HEUTHES są uniwersalne. Niekwalifikowane certyfikaty wygenerowane przez CA HEUTHES mogą być wykorzystywane do podpisu cyfrowego dokumentów, poczty elektronicznej i faktur. Token kryptograficzny to fizyczne urządzenie USB zawierające w sobie procesor pozwalający na wygenerowanie kluczy publicznego i prywatnego oraz ich certyfikację, a także podpis cyfrowy.
Podstawowe cechy i zalety tokena USB:
- brak możliwości skopiowania;
- umożliwienie pracy systemów na dowolnym komputerze;
- wykorzystanie najnowszych technologii stosowanych w kartach z chipem ale w odróżnieniu od nich, dzięki USB, nie wymagające drogiego czytnika;
- przy każdorazowym otwarciu systemu konieczność znajomości kodu PIN;
- wszelkie operacje kryptograficzne na kluczu prywatnym są wykonywane w tokenie, co uniemożliwia próby 'przechwycenia' go z zewnątrz;
- odporność na przypadkowe zniszczenie, awarie dysku twardego czy reinstalację systemu Windows;
- próby otwarcia powodują zniszczenie tokena;
- praca bez baterii z zasilaniem poprzez port USB;
- poręczność (wielkość breloczka do kluczy).
Komputer użytkownika powinien posiadać: Microsoft Windows lub Linux Fedora/Ubuntu, port magistrali USB, sterowniki. Token działa z przeglądarkami Firefox, Chrome oraz Internet Explorer.
Token ePass 2003 wkładany do portu USB zapewnia wysoki poziom bezpieczeństwa dzięki wsparciu algorytmów kryptograficznych RSA 512/1024/2048 bitów, ECDSA 192/256 bitów, DES/3DES, AES 128/192/256 bitów, SHA-1/SHA-256 oraz jest certyfikowany w zakresie spełnienia wymogów Common Criteria EAL 5+.
Zapytaj o więcej szczegółów! Wyślij zapytanie ›