Ochrona transmisji danych w systemach HEUTHES
CAK HEUTHES dla systemów bankowych
Ochrona transmisji danych jest realizowana przy użyciu oprogramowania kryptograficznego firmy HEUTHES, które umożliwia wykonywanie wszystkich działań związanych ze stosowaniem kryptografii w określonej organizacji (takiej jak firmy, banki, przedsiębiorstwa przemysłowe, organizacje wojskowe). Dzięki szyfrowaniu dane nabierają takich cech, jak nienaruszalność, poufność, niezaprzeczalność.
W skład oprogramowania kryptograficznego firmy HEUTHES wchodzą biblioteki zawierająca funkcje kryptograficzne wykorzystywane przez aplikacje stosujące szyfrowanie (deszyfrowanie) danych oraz Centrum Autoryzacji Kluczy (CAK) zapewniające centralne zarządzanie i certyfikację (autoryzację) kluczy oraz konfigurowanie kart chipowych lub kluczy sprzętowych HASP. W swoim oprogramowaniu kryptograficznym firma HEUTHES wykorzystuje algorytmy szyfrowania z kluczem publicznym (RSA) oraz kluczem symetrycznym (IDEA). Oba są dobrze opisane w literaturze poświęconej kryptografii i są najlepszymi z dostępnych.
Działania związane ze stosowaniem kryptografii przy wykorzystaniu oprogramowania kryptograficznego firmy HEUTHES, obejmują:
- Zarządzanie kluczami.
- Szyfrowanie i deszyfrowanie danych.
- Podpisywanie przesyłek podpisem cyfrowym i sprawdzanie podpisu.
Klucze są liczbami, na podstawie których funkcje kryptograficzne dokonują zaszyfrowania lub odszyfrowania danych. Działania związane z zarządzaniem nimi stanowią podstawę stosowania kryptografii w określonej organizacji. Do działań tych należą:
- tworzenie par kluczy,
- podpisywanie kluczy publicznych,
- usuwanie kluczy,
- wymiana kluczy publicznych.
Każdy użytkownik posługuje się parą kluczy, kluczem publicznym oraz kluczem prywatnym, a ogólny sposób ich wykorzystania jest następujący:
- użytkownik szyfrujący dane, używa klucza publicznego osoby, dla której dane te są przeznaczone (klucz publiczny umożliwia wyłącznie zaszyfrowanie danych, a odwrotny proces — odszyfrowanie tych danych, nie jest już możliwy przy użyciu tego samego klucza),
- użytkownik deszyfrujący dane używa klucza prywatnego, stanowiącego parę z kluczem publicznym, według którego przesyłka została zakodowana (deszyfrowanie danych może odbywać się wyłącznie w ten sposób).
Klucz publiczny, jak wynika z nazwy, jest powszechnie znany i nie podlega ochronie, co sprawia, że operację zaszyfrowania danych może przeprowadzić praktycznie dowolna osoba. Natomiast klucz prywatny powinien być mocno chroniony i przechowywany w miejscu niedostępnym, gdyż odszyfrowanie danych powinno być możliwe tylko przez ściśle określoną osobę (właściciela tego klucza). Ujawnienie (tzw. “skompromitowanie”) klucza prywatnego powoduje, że zaszyfrowane dane mogą zostać rozkodowane przez osoby niepowołane, co niweczy sens szyfrowania.
Rozwiązanie polegające na stosowaniu par kluczy (publicznego i prywatnego) jest wygodne, gdyż eliminuje konieczność ochrony klucza według którego następuje kodowanie danych. Dzięki temu dany pracownik jest zobowiązany do ochrony tylko jednego klucza (swojego prywatnego), łatwiej jest ustalić miejsce skompromitowania klucza (i osobę za to odpowiedzialną), mniejsze są także szkody w przypadku ujawnienia klucza, gdyż jest to tylko jeden klucz (pozostałe klucze będące w dyspozycji pracownika, używane do szyfrowania danych, są kluczami publicznymi, a więc nie podlegającymi ochronie).
W celu zwiększenia bezpieczeństwa używania kryptografii, stosuje się certyfikowanie kluczy publicznych. Każdy klucz publiczny może mieć wiele podpisów. Jednym z nich powinien być podpis klucza nadrzędnego wykonany przy pomocy programu służącego do centralnego zarządzania kluczami - Centrum Autoryzacji Kluczy (CAK) - który jest składnikiem oprogramowania kryptograficznego firmy HEUTHES. Podpis ten jest konieczny do tego, aby przy użyciu danego klucza można było używać funkcji kryptograficznych, gdyż wzór tego podpisu zapisywany jest w specjalnych kluczach sprzętowych lub na kartach chipowych (czynność wykonywana centralnie), które następnie rozsyłane są do poszczególnych oddziałów organizacji i umieszczane w złączu portu równoległego komputera korzystającego z oprogramowania kryptograficznego. Dzięki temu oprogramowanie kryptograficzne jest w stanie sprawdzić, czy dany klucz publiczny posiada autoryzację CAK. Jeżeli jej nie posiada, to szyfrowanie nie będzie możliwe.
Po wygenerowaniu odpowiedniej ilości par kluczy oraz autoryzowaniu i rozesłaniu kluczy publicznych do oddziałów organizacji, można przystąpić do szyfrowania i deszyfrowania danych. Szyfrowanie danych polega na zakodowaniu danych z użyciem funkcji kryptograficznych i odpowiedniego klucza prywatnego, natomiast ich odszyfrowanie na dekodowaniu z użyciem funkcji kryptograficznych i klucza publicznego stanowiącego parę z kluczem prywatnym wykorzystanym do zakodowania danych.
Ponieważ klucz publiczny jest powszechnie znany i każdy może przygotować przesyłkę z zaszyfrowanymi danymi, powstaje niebezpieczeństwo, że zawierać ona będzie fałszywe dane mające na celu wprowadzenie odbiorcy w błąd. Rozwiązaniem tego problemu jest sygnowanie zaszyfrowanego zbioru danych elektronicznym podpisem, który jednoznacznie pozwoli zidentyfikować nadawcę. W praktyce nadawca podpisuje przesyłkę swoim kluczem prywatnym (który jest tajny), natomiast odbiorca jest w stanie zweryfikować autentyczność podpisu przy pomocy klucza publicznego nadawcy (podpisu nie można odczytać wprost, można go jedynie zweryfikować przy pomocy klucza publicznego nadawcy).
Podsumowując przedstawioną zasadę działania kryptografii, można stwierdzić, że oprogramowanie kryptograficzne firmy HEUTHES®, pozwala realizować następujące funkcje, związane z zarządzaniem kluczami oraz bezpośrednim szyfrowaniem danych:
- zarządzanie kluczami,
- szyfrowanie i deszyfrowanie pliku (w tym szyfrowanie dla kilku odbiorców),
- podpisanie pliku i sprawdzenie podpisu pod otrzymaną przesyłką.
Oprogramowanie kryptograficzne firmy HEUTHES posiada szereg zalet, które sprawiają, że dane przechowywane i przesyłane w ramach określonej organizacji są maksymalnie chronione przed niepowołanym dostępem oraz przed fałszowaniem. Do najważniejszych cech tego oprogramowania należy zaliczyć:
- wykorzystanie silnych algorytmów kryptograficznych,
- wymuszanie centralnej autoryzacji kluczy,
- umożliwienie podpisywania przesyłek elektronicznych, co pozwala na jednoznaczną identyfikację nadawcy.
TOKEN KRYPTOGRAFICZNY USB
Firma HEUTHES oferuje token USB ePass 2003, będący kryptograficznym zabezpieczeniem pracy w systemach. Bezpieczeństwo komunikacji z serwerami jest zapewniane przez protokół TLS 1.3 z wykorzystaniem algorytmu ECDHE-RSA (Elliptic Curve Cryptography Diffie-Hellman). Serwis systemu wymaga także, żeby łączący się z nim klient identyfikował się również kluczem prywatnym, którego publiczna część jest certyfikowana przez centrum autoryzacji (CA) firmy HEUTHES i zarejestrowana w serwerze systemu. Próba połączenia z przeglądarki nie mającej dostępu do takiego klucza zostanie odrzucona.
Tokeny stosowane przez HEUTHES są uniwersalne. Niekwalifikowane certyfikaty wygenerowane przez CA HEUTHES mogą być wykorzystywane do podpisu cyfrowego dokumentów, poczty elektronicznej i faktur. Token kryptograficzny to fizyczne urządzenie USB zawierające w sobie procesor pozwalający na wygenerowanie kluczy publicznego i prywatnego oraz ich certyfikację, a także podpis cyfrowy.
Podstawowe cechy i zalety tokena USB:
- brak możliwości skopiowania;
- umożliwienie pracy systemów na dowolnym komputerze;
- wykorzystanie najnowszych technologii stosowanych w kartach z chipem ale w odróżnieniu od nich, dzięki USB, nie wymagające drogiego czytnika;
- przy każdorazowym otwarciu systemu konieczność znajomości kodu PIN;
- wszelkie operacje kryptograficzne na kluczu prywatnym są wykonywane w tokenie, co uniemożliwia próby 'przechwycenia' go z zewnątrz;
- odporność na przypadkowe zniszczenie, awarie dysku twardego czy reinstalację systemu Windows;
- próby otwarcia powodują zniszczenie tokena;
- praca bez baterii z zasilaniem poprzez port USB;
- poręczność (wielkość breloczka do kluczy).
Komputer użytkownika powinien posiadać: Microsoft Windows lub Linux Fedora/Ubuntu, port magistrali USB, sterowniki. Token działa z przeglądarkami Firefox, Chrome oraz Internet Explorer.
Token ePass 2003 wkładany do portu USB zapewnia wysoki poziom bezpieczeństwa dzięki wsparciu algorytmów kryptograficznych RSA 512/1024/2048 bitów, ECDSA 192/256 bitów, DES/3DES, AES 128/192/256 bitów, SHA-1/SHA-256 oraz jest certyfikowany w zakresie spełnienia wymogów Common Criteria EAL 5+.