PKI-arkkitehtuurin kansallinen selvitys Terveydenhuollon atk-päivät 27.-28.5.2002 Björn-Eric Svensson osastopäällikkö email : bjorneric.svensson@invia.fujitsu.com
Fujitsu Invian lyhyesti Pohjoismainen konserni Suomi, Ruotsi, Tanska, Norja liikevaihto 332 m, henkilöstö 2400 Kaksi divisioona eservices esolutions Toimitamme ratkaisuja ja palveluja muun muassa PKI-ja MiddleWare alueilla
PKI = Public Key Infrastructure Tarjoaa infrastruktuurin luotettavien ja tehokkaiden turvapalveluiden toteuttamiseksi: todennus Osoita kuka olet! eheys Älä muuta tietojani! luottamuksellisuus Älä urki tietojani! kiistämättömyys Pidä lupauksesi käyttöoikeudet Mitä sinulla on lupa tehdä? Siis PKI EI OLE sovellus, VAAN perustekniikka, jonka varaan sovelluksia voidaan toteuttaa
PKI ratkaisua tarvitaan kun sidosryhmille annetaan pääsy organisaation tietojärjestelmiin liiketoiminta edellyttää nykyistä varmempaa sisäisten käyttäjien tunnistamista ja todentamista tarvitaan sähköistä allekirjoitusta
PKI ja yleinen arkkitehtuuri PKI ja hakemistosuunnitelman teko johtaa yleensä it-arkkitehtuurin analyysiin Sovellusten PKI-kelpoisuus hakemistoratkaisu ja SSO kannattaa huomioida suunnitelmassa
Internet Arkkitehtuurin periaatekuva Web Sovelluspalvelin Join Engine Sanoman- Välitys (EAI) Sovellus 1. Sovellus 2. Enterprise Meta Directory Hakemisto Hakemisto Sovellus 3. Hakemisto Muut sovrllusympäristöt UNIX, W2K, yms. SSO Käyttöoikeudet PKI DATA / Todennus Mobile
Arkkitehtuurin hyödyt Sovellukset käyttävät yhteisiä palveluja sisäänkirjaantuminen, todentaminen, kanavat yhteinen hakemistoratkaisu, hakemistojen integrointi sovellusten välinen integraatio (EAI) sovelluskeskeisyys => kokonaisuuskeskeisyys Sama asia tehdään vain kertaalleen pyörää ei keksitä jokaiselle sovellukselle uudestaan sovellustoimittajalle voidaan esittää selkeät vaatimukset Sovellukset ripustetaan uuteen arkkitehtuuriin käyttöönotto tehostuu ja nopeutuu
PKI Architecture Internet UNIX User ID and Password Windows Domain VPN Server Telnet / FTP VPN PKI Opt. 1. 2. AD Challenge / Response Server VPN Client 3. CA Web Application Server Mobile Response Certificate MPKI Call Sign 4. CRL Access Rights -Roles -Views Web Portal Server Access PKI SSL 5. DATA PKI / Authentication Mobile ID-Card PKI Client
PKI tarvitsee toimivan hakemiston Varmenteiden julkaisu Sulkulistojen julkaisu Hakemisto on kriittinen komponentti varmenteella ilman sulkulistapalvelua on hyvin vähäinen arvo
Esimerkki: Kortin hankinta vakinaiselle henkilöstölle 1. Korttihake mus Matti Meikäläinen 6. R A 2. esim. henkilöstöosasto Korttihake mus Matti Meikäläinen C A 4. 5. 3. Hakemisto o
Esimerkki : Tilapäiskortin hankintaprosessi 1. Korttihake mus Matti Meikäläinen esim. henkilöstöosasto 4. R A 2. C A Hakemisto 3.
Varmenteiden sijainti CA:t toimittavat varmenteet varmennehakemistoon rajoitettu schematuki CA-tuotteissa Varmenteet replikoidaan enterprise-hakemiston henkilötietoihin esimerkiksi sähköpostia varten Varmenteita saatetaan tarvita myös sovellushakemistoissa AD, VPN, legacy-sovellukset Sulkulistojen kopiointi ei suotavaa varmenteessa viite alkuperäiseen varmennehakemistoon edellyttää (lähes) on-line toimintoa => varmennestatuspalvelu tai validointipalvelu
X.500 hakemistomalli Käyttäjä Käyttäjä DUA DAP DSA 2 DSP DSP DSA 4 Internetselaimet HTTP-LDAPyhdyskäytävä tai LDAP DSA 1 DSP DSP DISP Hakemistoverkko DSA 3 Sanasto: DSP - Directory System Proto DISP - Directory Information Shadow Protocol DAP - Directory Access Protoc DSA - Directory System Agent DUA - Directory User Agent LDAP - Lightweight Directory Access Protocol DAP LDAP DUA DUA Käyttäjä
Avainten teko Avainparien muodostus PKI-hakemisto Varmentaja (CA) Varmenteet, Varmenteiden julkaisu, Varmenteiden sulku Hakemistopalvelu Salaustyökalut Varmennnus, Todennus, Tiivisteen lasku LDAP PKI-kelpoiset sovellukset
Korkean käytettävyyden periaate PKI/hakemistoratkaisu Avainten generointi Varmenneviranomainen Crypto Työkalut Disaster standby master hakemisto Master hakemisto Replikoidut hakemistot hakemistojen hajautus Single point Management Palomuuri Round robin TCP/IP LDAP
Case : VRK Suomen kansallinen HST-palvelu Fujitsu Fujitsu Invia Invia Oyj Oyj
Suomi : HST-PKI HSTpohjaiset palvelut Aikaleimapalvelu ( ICL ) (pilotti) aikaleima X.500 Hakemisto (Elisa com.) Varmenteet Sulkulistat Varmennepalvelu ( ICL) CA ( Certification Authority ) Allekirjoittaa varmenteet ja sulkulistat ( CRLs ) Varmenteet, sulkulistat Varmenne pyynnöt varmenteet HST-korti tuotanto ( Setec ) HST-koritit Kopio X.500 hakemistosta Kuolletus pyynnöt Korttitilaukset Internet Käyttäjät PTN Sulkulista palvelu (Sonera) HelpDesk (Novo) VTJ-2000 Väestötieto RA (Registration Autority) ( Poliisi ) Hakemukset, VTJ-tarkistukset ja korttien luovutus Samanlainen arkkitehtuuri toimii myös teollisuusyrityksessä
Case : Valtioneuvosto Juurihakemiston määrittely Fujitsu Fujitsu Invia Invia Oyj Oyj
Valtioneuvoston tarve Valtioneuvoston yhteiset sovellukset ja palvelut tarvitsevat yhtenäisen hakemiston hakemistorakenteen ja ratkaisuja yhtenäistäminen PKI liittymä Fujitsu Fujitsu Invia Invia Oyj Oyj
Perustiedot HEVI/ Novo - Oracle-DB, Prosit/WM-Data, AD, Altavista/iPlanet Sandra, muut, Posti: Teamware Lotus Notes MS/Exchange Netscape, muut Sovellukset: SQL Server Oracle Lotus Notes/Intra Data warehouse Sandra Muut Varmenteet & Sulkulistat CA CA 2. Tiedon lähteet 6. VN-hakemistopalvelu 1-5. 1-5. 1-5. Roolit Juurihakemisto infrastruktuuri Sovellustiedot Varmenteet Perustiedot X.500/hakemisto työkalut 2,5. 2,3. Metahakemiston palvelut 1. Perustietojen päivitys (suora sovelluskäyttö) 2. TietotTurvajärjestelmien tiedot 3. EU-tietojen synkronointi 4. Ulkoisten tietojen synkronointi 5. Ministeriöiden tietojen synkronointi 6. Ministeriön sisäisten tietojen synkronointi Lähde : Valtioneuvoston hakemistopalvelun kehittäminen 4. JULHA Muut ministeriöt: Henkilöhakemisto TE-keskukset PTJ, KOJO, HARE, HAKE, Muut... Käyttöoikeus Turvaprojektit Kompetenssirek. EU: EUTORI EIONET Ministeriöiden sisäiset EUyhteydet Muut... Tiedon kohteet
Sovelluksen käyttö Sovellus Varmenteiden ja sulkulistojen haku Rekisteröityminen R A Rekisteröijä Hakemisto Varmennepyynnöt Varmenteiden ja sulkulistojen toimitus C A Varmentaja
Varmennehierarkia IDvarmenne Roolivarmenne Käyttöoikeus -varmenne
Hakemistohierarkia JULHA Varmenteet valtio-neuvoston käyttöön Varmenteet kansalaiskäyttö ön CA Juuri Varmenne - hakemistot Ministeriö n omat hakemistot Hallinnonalan hakemistot Lähde : Valtioneuvoston hakemistopalvelun kehittäminen
Case : HUS PKI- ja hakemistoarkkitehtuurin määrittely Fujitsu Fujitsu Invia Invia Oyj Oyj
HUSin tarve HUS = Helsingin ja Uudenmaan sairaanhoitopiiri Muodostettu 1.1.2000 Tarve : yhtenäinen PKI-arkkitehtuuri, johon uudet sovellukset voi istuttaa tuottaa valmiuksia sähköiseen asiointiin ja vahvaan todentamiseen - hankkia HUSille tietämystä PKI- ja hakemistoteknologioista Fujitsu Fujitsu Invia Invia Oyj Oyj
Henkilötiedot RA Henkkilöstöosasto HUS CA HUS:n työntekijä Korttitehdas Korttihakemu s Matti Meikäläinen PINkoodit HUSkortti korttianomus Julkinen avain Varmennetiedot Varmenne ja sulkulista Varmenne ja sulkulista HUS Hakemisto Varmenne ja sulkulista Selin Todennus Sovellus
Case : STAKES Terveydenhuollon PKI-arkkitehtuuri Fujitsu Fujitsu Invia Invia Oyj Oyj
Tarve : STAKESin tarve luoda malleja terveydenhuollon PKIarkkítehtuureille varmennepolitiikan perusvaatimusten kuvaaminen Fujitsu Fujitsu Invia Invia Oyj Oyj
TH:n PKI - keskitetty DI R TH-CA - TH-ammattilaiset (laatuvarmenne) - Oma henkilöstö - Muut käyttäjät - Palvelut Kansallinen taso Rekisteröinti Paikallinen taso Rekisteröinti Rekisteröinti
TH:n PKI - hajautus Kansallinen taso Paikallinen taso - TH-ammattilaiset (laatu- varmenne) - Oma henkilöstö - Muut käyttäjät -Palvelut DIR Paikallinen CA Paikallinen CA DIR - TH-ammattilaiset (laatu- varmenne) - Oma henkilöstö - Muut käyttäjät -Palvelut Rekisteröinti Rekisteröinti - TH-ammattilaiset (laatu- varmenne) - Oma henkilöstö - Muut käyttäjät -Palvelut DIR Paikallinen CA Paikallinen CA DIR - TH-ammattilaiset (laatu- varmenne) - Oma henkilöstö - Muut käyttäjät -Palvelut Rekisteröinti - TH-ammattilaiset (laatu- varmenne) - Oma henkilöstö - Muut käyttäjät -Palvelut DIR Paikallinen CA Paikallinen CA DIR Rekisteröinti - TH-ammattilaiset (laatu- varmenne) - Oma henkilöstö - Muut käyttäjät -Palvelut Rekisteröinti Rekisteröinti
TH:n PKI osin keskitetty DI R TH-CA - TH-ammattilaiset (laatuvarmenne) - Paikalliset CA:t - Palvelut Kansallinen taso Paikallinen taso Paikalline n CA Rekisteröinti Paikallinen CA DI R - Oma muu henkilöstö - Muut käyttäjät - Palvelut DI R Rekisteröinti Rekisteröinti Rekisteröinti
Arkkitehtuuri Kansallinen taso Paikallinen taso Terveydenhuollon valtakunnallisen PKI-arkkitehtuurin kehittäminen Kansallinen varmennepolitiikka ja toimintaohjeet paikallisille organisaaatioille Kansallisen varmentajaorganisaation perustaminen Paikallisten organisaatioiden PKItoiminnallisuuden yhteensovittaminen Tuotteistus Käyttö Toiminnallinen suunnittelu Varmenne- ja turvapolitiikka Tekninen suunnittelu Paikallinen varmentajaympäristön tekninen perustaminen ja toimintaprosessien käyttöönotto Tuotteistus Käyttö Soveltamisohje PKI-toiminnallisuuden toteutus - sovellus 1 PKI-toiminnallisuuden toteutus - sovellus 1 Ehdotus loogiseksi arkkitehtuuriksi Politiikka, prosessit, tekninen ratkaisu PKI-ympäristön toteutus (PKI-infra + sovellukset), yhteistoiminnallisuuden varmistaminen Kansallinen ja paikallinen toimintamalli tietosuojan ja tietoturvan parantamiseksi
Kansalliset tehtävät Alueelliset tehtävät Paikalliset tehtävät Paikalliset, alueelliset ja valtakunnalliset tehtävät, suositus: Kansallinen varmennepolitiikka ja ohjeistus Ammattilaisroolin hallinta Laatuvarmentajan palvelut Varmennepalvelut Sulkulistapalvelut Validointipalvelu Käyttäjä- ja työsuhdehallinta Rekisteröinti Hakemistopalvelut Rekisteröinti PIN- ja PUK-tunnusten toimituslogistiikka Varmennepolitiikka Käyttäjä- ja työsuhdehallinta Palveluntuottajien varmentaminen Luotetun arkiston varmentaminen Aikaleimapalvelut Kortinhallinta Kortin hankinta Käyttöoikeuksien myöntäminen ja hallinta Hakemistopalvelut PIN- ja PUK-tunnusten toimituslogistiikka Käyttöoikeuksien myöntäminen ja hallinta Kortin toimitus-logistiikka Kortin hankinta Validointipalvelu Kortinhallinta Sulkulistapalvelut Tilapäiskorttien käsittely
PKI:n käyttöönotossa muistettavaa Vain riittävä PKI-kelpoinen sovellusmassa takaa onnistumisen Etene portaittain (sovellukset ja infra käsikädessä) Määritä toimiva kokonaisuus Toteuta osittain ja testaa Tarkista määritykset Toteuta kokonaisuus Muuta organisaation toimintaprosesseja tarvittaessa yhtä aikaa PKI-projektin kanssa Vireillepano/käsittely/päätös sähköisesti Yhteistyö sidosryhmien kanssa Varmennepolitiikka, allekirjoitusten validointipolitiikka, Pyrittävä välttämään PKI-saarekkeita