PKI – en del av säkerheten i SSEK SkandiaLiv 2017-04-03 22:29 PKI – en del av säkerheten i SSEK Mats Andersson, Skandia Liv IT Ordförande SSEK Säkerhetsarkitekt
Vad är PKI ? Public Key Infrastructure SkandiaLiv 2017-04-03 22:29 Vad är PKI ? Public Key Infrastructure Grunden som gör att det går att lita på certifikat Funktioner i en PKI Skapa och ge ut certifikat Erbjuda kontroll av certifikat Erbjuda möjlighet att revokera (spärra) certifikat Regelverk – hur funktionerna skall utföras Fundamentalt för att uppnå förtroende Säker kommunikation enligt SSEK bygger på PKI Begreppet PKI står för hela den infrastruktur som ska stödja användningen av certifikat. Det viktigaste i en PKI är det regelverk som styr verksamheten i de olika organisationer som utför olika funktioner enligt en PKIs regelverk och alltså ingår i en och samma PKI.
Utmaningar Sekretess Autentisering Integritet Oavvislighet SkandiaLiv 2017-04-03 22:29 Utmaningar Sekretess Autentisering Integritet Oavvislighet Information som skickas enligt SSEK skall inte vara åtkomlig av obehöriga Alltid uppfyllt i SSEK ** Identifiering av de kommunicerande parterna i SSEK Den part som publicerar en tjänst är alltid autentiserad i SSEK Den som utnyttjar en tjänst kan vara anonym Säkerställande av att ett meddelande som tas emot via SSEK är oförändrat Inte nödvändigt för att uppfylla kraven i SSEK Möjligheten att påvisa att ett visst dokument skapades av en viss organisation
Symmetrisk kryptering SkandiaLiv 2017-04-03 22:29 Symmetrisk kryptering Kryptering ger konfidentialitet genom en förvrängning av data. Har använts genom hela historien. Avsändare och mottagare har samma nyckel Exempel på algoritmer: DES, 3DES Nyckellängder: 40, 56 och 128 bitar 128 bitars nyckel betraktas som stark kryptering Problem vid distribution av nyckeln
Asymmetrisk kryptering SkandiaLiv 2017-04-03 22:29 Asymmetrisk kryptering 1000 ggr långsammare än symmetrisk. Tidsödande! Exempel: RSA Nyckellängder: 512, 1024 och 2048 bitar 1024 betraktas som stark och används för affärstransaktioner. 2048 bitars nyckel betraktas som mycket stark kryptering och används av CA 1000 ggr långsammare än symmetrisk!
Digital signatur ”Omvänd” asymmetrisk kryptering SkandiaLiv 2017-04-03 22:29 Digital signatur ”Omvänd” asymmetrisk kryptering Kryptering utförs med privata nyckeln Krypteringen utförs på meddelandets hash-värde Hash = Enkelriktad, unik representation av data SSEK meddelande
Digitalt certifikat Ett digitalt id SkandiaLiv 2017-04-03 22:29 Digitalt certifikat Ett digitalt id Publik information Public nyckel Digitalt signerat av en betrodd part Äktheten är garanterad av en betrodd part Public Key: WQEQ35S%A2FD Orgnr: 123 456 Namn: ACME Sign Cert All information i certifikatet skall vara publik! Äktheten betyder att certifikaten tillhör den organisation som certifikatet utger sig för att vara knutet till
SSEK Specifikation för Säker Elektronisk Kommunikation i försäkringsbranschen Kvitto skapas, signeras .. Part A .. och skickas över Part B Internt system Internt system TUNNEL Parterna identifierar sig Dokumentet skapas enligt specifikation Dokumentet signeras med hemlig nyckel Signaturen kontrolleras Dokumentet levereras
Den betrodda parten CA (Certificate Authority) SkandiaLiv 2017-04-03 22:29 Den betrodda parten CA (Certificate Authority) Hanterar certifikat i en PKI (Public Key Infrastructure) Validerar identitet av organisation vid beställning Skapar certifikat Revokerar certifikat En CA bygger upp sitt förtroende genom att följa sin CPS (Certificate Practice Statement)
Utgivande av Certifikat SkandiaLiv 2017-04-03 22:29 Utgivande av Certifikat Ger ut certifikatet CA (Certificate Authority) Godkänner ansökan och skickar vidare request för certifikat Skickar request för certifikat RA (Registration Authority) Användare eller organisation
Revokering CA tillhandahåller lista på revokerade certifikat SkandiaLiv 2017-04-03 22:29 Revokering CA tillhandahåller lista på revokerade certifikat CRL (certificate revocation list) Skall hämtas regelbundet och kontrolleras vid användning av certifikat