PKI AtBusiness. Kokonaisprojektit Konsultointi CP/CPS Sovelluskehitys Mobile PKI RSA, Baltimore, iplanet, W2K Hakemistot



Samankaltaiset tiedostot
Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

PKI Käytännön kokemukset ja SWOT-analyysi

Tutkimus web-palveluista (1996)

atbusiness Tietoturvatorstai

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

-kokemuksia ja näkemyksiä

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

Tietoturvan haasteet grideille

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Tietoturvan haasteet grideille

Varmennekuvaus. Väestörekisterikeskuksen varmentajan varmenteita varten. v1.2

Yritysturvallisuuden perusteet

Data Security 2003, Tieturi

Terveydenhuollon ATK päivät TURKU

Varmennejärjestelmä ja kertakirjautuminen miksi ja miten?

PKI-arkkitehtuurin kansallinen selvitys Terveydenhuollon atk-päivät

PKI- ja hakemistotarpeet pacsissa

Varmennekuvaus. Väestörekisterikeskuksen kansalaisvarmenne. v. 1.0

Verkottunut suunnittelu

VARSINAIS-SUOMEN SAIRAANHOITOPIIRIN VARMENNEPOLITIIKKA

Varmenteet mobiilimaailmassa

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Soneran varmennepalvelut Asiakkaan vastuut

Sonera CA. Varmennepolitiikka Sonera Class 1 -varmenne. Voimassa lähtien Versio 2.5

Varmennekuvaus. Väestörekisterikeskuksen kansalaisvarmenne. v. 1.0

Sonera CA. Varmennepolitiikka Sonera Mobiilivarmenne. Voimassa lähtien Versio 1.2. Varmennepolitiikan OID-tunnus:

Varmennekuvaus. Väestörekisterikeskuksen kansalaisvarmenne. v. 1.9.

Elisa Varmenne Elisa Oyj VARMENNUSKÄYTÄNTÖ Elisa Mobile-ID varmentajan varmenne

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

VARMENNEKUVAUS. Väestörekisterikeskuksen kansalaisvarmenne v. 1.1

Danske Bank konserni Varmennepolitiikka

VARMENNEKUVAUS. Väestörekisterikeskuksen sosiaali- ja. terveydenhuollon palveluvarmennetta varten Varmennekuvaus

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

VARMENNEKUVAUS. Väestörekisterikeskuksen tilapäisvarmenne. v. 1.4

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Varmennekuvaus. Väestörekisterikeskuksen tilapäisvarmenne. v. 1. 4

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen?

Sähköinen allekirjoitus

Miksi ABLOY CLIQ etähallintajärjestelmä?

REKISTERÖINTIOHJE 1 (8) Väestörekisterikeskus Asiakkaat. Rekisteröintiohje

Jan Hursti, Kehityspäällikkö, Isoworks Oy. Turvallista pilvipalvelua keskisuurille yrityksille

Hyökkäysten havainnoinnin tulevaisuus?

REKISTERÖINTIOHJE 1 (8) Väestörekisterikeskus Digitaaliset palvelut. Rekisteröintiohje

Varmennekuvaus. Väestörekisterikeskuksen palveluvarmennetta varten

Määräys. 1 Soveltamisala

TeliaSonera Identity and Access Management

Väestörekisterikeskuksen vaatimukset organisaation rekisteröijälle ja rekisteröintipisteelle varmennetoiminnassa

Terveydenhuollon ATK-päivät

Varmennuskäytännön tiivistelmä

Varmennekuvaus. Väestörekisterikeskuksen sosiaali- ja terveydenhuollon ammattihenkilöiden tilapäisvarmenne. v. 1.0

Alueellisista palveluista kansallisen tason ratkaisuihin

Kieku-tietojärjestelmä Työasemavaatimukset sla-

OP-POHJOLA-RYHMÄ VARMENNEPOLITIIKKA LIIKETOIMINTAPALVELUIDEN JUURIVARMENTAJA. OP-Pohjola Root CA Versio 1.0 Voimassa 6.2.

WS-AINEISTOPALVELUT-VARMENTEET Varmenteen hankinta- ja uusintaohjeet Sähköposti-kanava

Varmennekuvaus. Väestörekisterikeskuksen organisaatiovarmenne. v. 1.0

TEO:n TOIMINTA KANSALLISENA VARMENTAJANA

Web Services - yhteys

Ehdotus Sosiaali- ja terveydenhuollon sähköisen asioinnin arkkitehtuuriksi - terveydenhuollon PKI-arkkitehtuuri

OP-PALVELUT OY VARMENNEPOLITIIKKA. OP-Pohjola Services CA Versio 1.0 Voimassa lähtien OID:

MOBIILIASIOINTIVARMENNE

Helppo ottaa käyttöön, helppo käyttää Basware Virtual Printer

Sonera CA. Varmennuskäytäntö. Voimassa lähtien Versio 2.5. Varmenteet yrityskäyttöön

SONERA ID MOBIILIASIOINTIVARMENNE VARMENNUSKÄYTÄNTÖ. Versio Voimassa lähtien

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella. Terveydenhuollon ATK-päivät

VARMENNEKUVAUS. Väestörekisterikeskuksen organisaatiovarmenne v. 1.1

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

Turvallinen kommunikaatioalusta: Ohjeita PKI-infrastruktuurin toteuttamiselle

Väestörekisterikeskuksen vaatimukset sosiaali- ja terveydenhuollon rekisteröijälle ja rekisteröintipisteelle varmennetoiminnassa

SAMLINK CUSTOMER CA Varmenneperiaatteet WS-AINEISTOPALVELUT VARMENTEITA VARTEN OID: v.1.0

Sonera CA. Varmennepolitiikka Sonera Class 2 -varmenne. Voimassa lähtien Versio 2.2

Samlink Customer CA - Varmenneperiaatteet

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

Langattomien verkkojen tietosuojapalvelut

Tietoturvatekniikka Ursula Holmström

Virkamiehen asiointikortti. Tietoyhteiskunnan luotettava palvelukeskus

OP-PALVELUT OY VARMENNEPOLITIIKKA. OP-Pohjola WS CA Versio 1.0 Voimassa lähtien OID:

REKISTERÖINTIOHJE 1 (10) Väestörekisterikeskus Digitaaliset palvelut. Rekisteröintiohje

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

Turvaa vihdoin hallitusti sähköpostit, asiakas- ja kumppaniviestintä sekä tietosisällöt

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Julkishallinnon tietoturvatoimittaja

Sähköinen asiointi hallinnossa ja HST-järjestelmä. Joensuun yliopisto Tietojenkäsittelytieteen laitos Laudaturseminaari Tapani Reijonen 21.3.

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Elisa Varmenne Elisa Oyj VARMENNUSKÄYTÄNTÖ Elisa Mobile-Id varmentajan varmenne

- Jarjestelmaasiantuntija Markku Jaatinen

SAMLINK CUSTOMER CA Varmennuskäytäntö

Mobiilivarmenteen käyttö Helsingin yliopistossa. Ville Tenhunen, Juha Ojaluoma

Kieku-tietojärjestelmä Työasemavaatimukset

Tietoturvallisuuden ja tietoturvaammattilaisen

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

WEB SERVICES -YHTEYS

Transkriptio:

Data Security 2001, Tieturi 9.10.2001 Jari.Pirhonen@atbusiness.com Senior Security Consultant, CISSP AtBusiness Communications Oyj www.atbusiness.com Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 1 PKI AtBusiness Ensimmäinen PKI-projekti 1997 PKI-asiakkaita: isot yritykset, pankit, teleoperaattorit, varmennepalvelun tarjoajat Certall, TIEKE Osaaminen Kokonaisprojektit Konsultointi CP/CPS Sovelluskehitys Mobile PKI RSA, Baltimore, iplanet, W2K Hakemistot Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 2 1

Termit hallussa? Varmentaja (CA) (1) ohjelmisto (2) ohjelmisto, laitteet, tilat, henkilöresurssit, toimintatavat, Luotettu kolmas osapuoli (TTP) varmennepalvelu, joka toimii laadukkaasti ja luotettavasti Varmenneviranomainen varmentaja viranomaisstatuksella Rekisteröijä (RA) (1) ohjelmisto (2) taho, joka todentaa hakijan ja hakemuksen oikeellisuuden Varmennepolitiikka (CP) dokumentti, joka kuvaa varmenteet ja sallitut käyttötavat Varmennekäytäntölausuma (CPS) dokumentti, joka kuvaa varmentajan toimintaa, luotettavuutta ja vastuita Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 3 PKI julkisen avaimen järjestelmä Varmenteen mitätöinti Varmenteen julkaisu CP/CPS Varmenteen vanheneminen Varmenteen uusiminen? Varmentaja Avainten luonti? Backup? Varmenteen luonti Hakemisto Rekisteröijä Varmenteen arkistointi Hakijan verifiointi Sovellukset Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 4 2

Näkyvyys Hype? 1999 RSA Konferenssi Entrust IPO Baltimore ostaa Cybertrustin Verisign IPO Identrus perustetaan Verisign perustetaan 1994 RSA Konferenssi PKI + PMI toimittajat PKI sulautuu näkymättömäksi Gartner 2/2001 PGP Julkisen avaimen salausmenetelmä Lait sähköisestä allekirjoituksesta Toimikorttilukijat vakiona Aika Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 5 Näkyvyys Seuraava hype-aalto? Roaming PKI XML PKI PMI Wireless PKI W2K PKI Gartner 2/2001 Aika Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 6 3

Halvalla ja nopeasti? Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 7 Järkevästi ja turvallisesti? D O K U M E N T O I N T I Vaatimukset: sovellukset, käyttäjät, tietoturva, lait, toipuminen, vastuuhenkilöt, varmenteiden elinkaari, Laitetilat, kassakaapit, turvamoduulit, palomuurit, IDS, Käyttöpolitiikat ja toimintatavat Varmenneprofiilit Varmennepolitiikat ja varmennuskäytännöt Tietoturvapolitiikat ja toimintatavat Vastuiden eriyttäminen Asennussuunnittelu, asennusdokumentit Ylläpito, valvonta, arkistointi Muutosten hallinta ja valvonta Auditointi Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 8 4

Varmenteet yritykselle 1. Oma varmentaja 2. Oma varmentaja palveluna 3. Kaupallinen varmentaja, omat varmenteet 4. Luotetaan yleisesti käytössä oleviin varmenteisiin Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 9 Oma varmentaja Työläin Toimintatavat suunniteltavissa vapaasti, mahdollisuus integroida olemassa oleviin prosesseihin Tietoturvallisuus omassa kontrollissa Vaatii omia henkilöresursseja Laitetilojen erikoisjärjestelyt Ylläpidon erikoisjärjestelyt Koulutus Oma brändi Laajentaminen helppoa Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 10 5

Oma varmentaja palveluna Vähemmän työläs Nopeampi käyttöönotto Kohtuullinen kontrolli toimintatapoihin Oma brändi Vähemmän omia henkilöresursseja Luottosuhde palveluntarjoajaan Tilat ja ylläpito palveluna Sopimukset monimutkaisia Palvelujen laajentaminen työläämpää Varmentajan siirtäminen omaan hallintaan myöhemmin voi olla mahdotonta Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 11 Kaupallinen varmentaja Helppo Melko nopea käyttöönotto Toimintamalli annettuna Ei omaa brändiä Ei omia tiloja, resursseja Mahdollisuus vaikuttaa varmenteen sisältöön? Sopimukset yksinkertaisempia Luottosuhde palvelutarjoajaan Palvelujen laajentaminen hankalaa Varmentajan siirtäminen omaan hallintaan myöhemmin mahdotonta Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 12 6

Luotetaan yleisiin varmenteisiin Nopea käyttöönotto Toimintamalli annettuna Ei omaa brändiä Yleinen varmenne => luottosuhde määriteltävä muualla Ei omia resursseja Ei sopimuksia Ei kontrollia varmennettaviin Luottosuhde palvelutarjoajaan Integrointivaikeudet? Joustamaton Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 13 Toimikortti? Hyvä väline, mutta ei välttämätön PKI:lle Vaihtoehtoina muut tokenit, levy, kännykkä PKI-sääntö numero 1: suojaa salaiset avaimet! Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 14 7

Projektin haasteita Projektointi (20/80) Yhteensopivuusongelmat Sovellusten PKI-ominaisuudet Luottamussuhteet ja vastuut Kustannukset Asenteet (suunnittelu, asennukset, ylläpito, ) PKI:n integrointi nykyisiin prosesseihin PKI sovelluskehitys Yleinen turvatason nosto Laatuvarmenteet Yleiskäyttöinen vai sovelluskohtainen ratkaisu! Standardi-clientit vai erityinen PKI-client? W2K Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 15 Ympäristö CA CA HSM D/B LDAP, DAP Hakemisto CAO CA HSM D/B CA HSM D/B APM LDAP Batch ARM RA HSM D/B RA HSM D/B RA HSM D/B OCSP Sovellukset WEB RAO RAO RAO GW E-mail Selain VPN Käyttäjät Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 16 8

Yleisiä kompastuskiviä Varmenneprofiilit Skandimerkit Turvamoduulit Hakemisto Asennukset Toimikortit ja lukijat Operointi, ylläpito, valvonta, varmistukset Yhteensopivuusongelmat Valmissovellusten PKI-tuki Kustannukset Sopimukset Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 17 Yllättäviä kustannuksia? Palomuurit, IDS Turvamoduulit Turvaräkit, kassakaapit Toimikorttien hallinta Asennustyöt Integrointityöt Rekisteröintipisteet Lisähenkilökunta: ylläpito, rekisteröinti, tuki, Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 18 9

Vinkkejä Hyvin määritelty on puoliksi tehty Älä haukkaa kaikkea kerralla - pilotoi! Varmista palvelutoimittajien osaamistaso Huomioi sopimuksissa PKI:n erityistarpeet Muista, että PKI-projekti on infrastruktuuriprojekti Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 19 PKI:n hyödyntäminen VPN-yhteydet Käyttäjätunnistus Sähköpostin salaus ja allekirjoitus Web-formien allekirjoitus Tiedostosalaus Tietoliikenneverkon komponenttien varmentaminen Omat sovellukset Web-selaimet ja palvelimet, VPN-tuotteet ja eräät sähköpostiohjelmat ensimmäisiä kunnolla PKI:tä tukevia sovelluksia Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 20 10

PKI:n lupauksia Yhtenäinen, luotettava tunnistus kaikille käyttäjille, palveluille ja verkkokomponenteille Ennalta tuntemattoman käyttäjän hyväksyminen Mobiili identiteetti Useita palveluja yhdellä tunnisteella Helppokäyttöisyys Kaiken verkkoliikenteen salaus Luotettava sähköposti Laillisesti pätevät digitaaliset allekirjoitukset Verkossa solmittujen sopimusten kiistämättömyys Skaalautuvuus Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 21 PKI kannattaa, jos Ymmärrät PKI:n mahdollisuudet ja rajoitukset Tiedät varmasti, miksi PKI:ta tarvitset ja mitä sillä saavutat Projektin takana on yritysjohdon tuki ja tarvittavat resurssit Käyttötarpeet oikeuttavat tarvittaviin panostuksiin Ei ole kiire Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 22 11

PKI SWOT Vahvuudet Perusta sähköisille palveluille Tunnustettu tekniikka Helppokäyttöisyys (kuluttajalle) Monikäyttöisyys Sähköinen allekirjoitus Riittävä turvataso Mahdollisuudet Sähköiset palvelut Verkkopalvelut Yhteistyö, innostus Rooli/attribuuttivarmenteet Globaali yhteistyö TIEKE 3/2001 Heikkoudet Tuotteiden yhteensopimattomuus Standardien keskeneräisyys Monimutkaisuus (kehittäjälle) Teknologiakeskeisyys Laiteriippuvuus Kuluttajat eivät tarvitse PKI:tä Kuluttajapaketin puuttuminen Uhat Paikalliset ratkaisut Algoritmeista löydetään heikkouksia Lisääntyneet turvallisuusvaatimukset Kriittistä käyttäjämassaa ei saavuteta PKI:lle löytyy vaihtoehto Loppukäyttäjän ympäristö liian vaikea Päätelaitteiden runsaus Business-vaatimukset unohdetaan Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 23 PKI toimittajat Haastajat Johtajat Equifax IBM/Tivoli Microsoft Baltimore Verisign Entrust iplanet RSA Gartner 5/2001 DST CertCo escotia UniSecurity Niche Certicom Cylink Arcanus Visionäärit Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 24 12

PKI + PMI + XML Tunnistus, valtuutus (PMI) SAML, XACML Hallinta (PKI) XKMS Entrust + encommerce Baltimore + SelectAccess RSA + Securant Allekirjoitus XML-DSig Viestinvälitys SOAP Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 25 PKI + XKMS XML XML Rekisteröinti SOAP Validointi Avainten generointi Salaus Tulkkaus Allekirjoitukset Allekirjoituksen tark. XKMS Palvelut PKIX SPKI PGP X-KRSS, X-KISS Varmenteen haku Varmenteen käsittely Varmenteen voimassaolo Luottamusketjun käsittely Mitätöinnin tarkistus Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 26 13

Mobile PKI Avaimet SWIM-kortilla (WIM+SIM) Kortilla viittaukset varmenteeseen (LDAP URL) Saman PINin takana mahdollisesti useita varmenteita WTLS 3, signtext, PKI Portaali Vaatii uudet puhelimet, SWIM-kortit, palvelut, Toimiva, yhteensopiva kortinlukija WAP-autentikointi? web-palvelut Digi-TV työasema Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 27 Summa summarum Projektit ovat haasteellisia, halvalla ja hätäilemällä ei saa aikaan hyvää ratkaisua PKI:lle ei ole todellisia vaihtoehtoja näköpiirissä Etene askel kerrallaan, kerää tietämystä ja kokemuksia Kehitys kehittyy (XML, WAP), täydellistä ratkaisua voi odottaa voi ikuisesti Copyright 2001 AtBusiness Communications Oyj / Jari Pirhonen 24.9.2001 Page: 28 14

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute