Το σύστημα «Υποδομής Δημόσιου Κλειδιού» (Public Key Infrastructure PKI) & οι υπηρεσίες ψηφιακής πιστοποίησης του ΧΑ

Transcript

1 Το σύστημα «Υποδομής Δημόσιου Κλειδιού» (Public Key Infrastructure PKI) & οι υπηρεσίες ψηφιακής πιστοποίησης του ΧΑ 1 Δεκεμβρίου 2010 Διεύθυνση Τεχνολογικών Συστημάτων & Υπηρεσιών

2 Θέματα παρουσίασης Εισαγωγή Ιστορικό Στόχος / Σκοπός Παρούσα κατάσταση Παρεχόμενες Υπηρεσίες Επόμενα Βήματα / Μελλοντικά Σχέδια Σελίδα 2

3 Εισαγωγή Ανάγκες : Παροχή εγγυήσεων ασφαλούς επικοινωνίας μεταξύ των συναλλασσόμενων μερών (ΧΑΑ & Εισηγμένες Εταιρίες) στο σύγχρονο ηλεκτρονικό περιβάλλον συναλλαγών (Internet) Διασφάλιση, κατά τη διεξαγωγή των ηλεκτρονικών συναλλαγών: User authentication Εξακριβωμένη Ταυτότητα του Αποστολέα Data confidentiality Τα δεδομένα δεν μπορούν να διαβασθούν από τρίτους Data integrity - Ακεραιότητα δεδομένων Non-repudiation O αποστολέας δεν μπορεί να αρνηθεί ότι έστειλε την συγκεκριμένη πληροφορία Σελίδα 3

4 Εισαγωγή (2) Σελίδα 4

5 To σύστημα PKICA του ΧΑ v Το ΧΑ από το Μάιο 2001 έχει εγκαταστήσει σύστημα «Υποδομής Δημόσιου Κλειδιού» (Public Key Infrastructure PKI), προκειμένου να λειτουργεί ως «εθελοντικά διαπιστευμένος» Πάροχος Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής (Certificate Authority CA provider) σύμφωνα με το ΠΔ 150/2001 και τον Κανονισμό ΕΕΤΤ 248/71/2002 v Βασικοί Συνεργάτες: Mellon Technologies, Nexus (SmartTrust), Cisco, HP, FORTHnet Σελίδα 5

6 Στόχος / Σκοπός v Παροχή υπηρεσιών ψηφιακής πιστοποίησης (Certification Authority CA services) προς εξουσιοδοτημένους χρήστες εφαρμογών (λ.χ. χρήστες εφαρμογών του Ομίλου κ.α.) με τη χρήση έξυπνων καρτών και της τεχνολογίας των «ηλεκτρονικών υπογραφών» v Παροχή υπηρεσιών ολοκλήρωσης με εφαρμογές (application integration services), είτε υπάρχουν, είτε πρόκειται να αναπτυχθούν v Παροχή υπηρεσιών εκπαίδευσης και συμβούλου προς χρήστες, σχεδιαστές και διαχειριστές των παραπάνω εφαρμογών Σελίδα 6

7 Οργάνωση υπηρεσιών PKICA Χαρακτηριστικά συστήματος PKI & υπηρεσιών CA του ΧΑ: v Κάθε συναλλασσόμενος διαθέτει δύο μοναδικά ζευγάρια «κλειδιών» (public & private key) v Ηταυτότητα του συναλλασσόμενου και τα δικαιώματα χρήσης κάθε μοναδικού ζεύγους «κλειδιών» που διαθέτει, πιστοποιούνται βάσει ειδικού «ψηφιακού πιστοποιητικού» (digital certificate) που εκδίδει και στη συνέχεια διαχειρίζεται η«αρχή Πιστοποίησης» (Certification Authority) του ΧΑ v Οσυναλλασσόμενος έχει δυνατότητα «ψηφιακής υπογραφής» ηλεκτρονικών δεδομένων και εγγράφων μέσω «διατάξεων δημιουργίας ψηφιακής υπογραφής» (Smart Card Reader & Smart Card) Σελίδα 7

8 Οργάνωση υπηρεσιών PKICA (2) Χαρακτηριστικά συστήματος PKI & υπηρεσιών CA : vτο «ψηφιακό πιστοποιητικό» είναι δημόσια πληροφορία, αντιστοιχεί στο public key ενός ζεύγους «κλειδιών» του συναλλασσομένου και πιστοποιεί συγκεκριμένες χρήσεις του private key, βάσει σχετικής πολιτικής (certificate policy) της «Αρχής Πιστοποίησης» (CA) που το εξέδωσε. v Με το public key αποκρυπτογραφούνται δεδομένα που έχουν υπογραφεί με το private key. Έτσι οσυναλλασσόμενος μπορεί να ελέγχει τη γνησιότητα μιας «ψηφιακής υπογραφής», κ.α. v Προκειμένου να εξασφαλίζεται ισχυρή ασφάλεια στο ηλεκτρονικό περιβάλλον συναλλαγών, το private key φυλάσσεται σε «ασφαλή διάταξη δημιουργίας υπογραφής» (Smart Card). Οι διατάξεις αυτές απαιτούν από το χρήστη την εισαγωγή PIN προκειμένου να παράγουν την «ψηφιακή υπογραφή» ενός data stream. Σελίδα 8

9 Οργάνωση υπηρεσιών PKICA (3) Περιεχόμενα Ψηφιακού Πιστοποιητικού (Digital Certificate) v Version Nr v Certificate Serial Nr Digital ID v Ταυτότητα Οντότητας που κατέχει το Public Key v Ημερομηνίες έναρξης και λήξης εγκυρότητας Ψηφιακού Πιστοποιητικού v Ταυτότητα του CA v Το Public Key v Ψηφιακή Υπογραφή από τον Εκδότη (CA) v Άλλα προαιρετικά Πεδία Σελίδα 9

10 Οργάνωση υπηρεσιών PKICA (4) Δημιουργία & επαλήθευση Ψηφιακής Υπογραφής v Οαποστολέας εφαρμόζει αλγόριθμο Hash στα δεδομένα και δημιουργεί το «αποτύπωμα». v Χρησιμοποιώντας το Private Key μορφοποιεί το αποτέλεσμα του προηγούμενου βήματος σε ψηφιακή υπογραφή. v Στέλνει τα δεδομένα, την υπογραφή και το πιστοποιητικό στον παραλήπτη v Οπαραλήπτης εφαρμόζει τον ίδιο αλγόριθμο Hash στα δεδομένα και ξαναδημιουργεί το «αποτύπωμα». vοπαραλήπτης εφαρμόζει το Public Key (από το Πιστοποιητικό) πάνω στην υπογραφή (Hash data) v Το αποτέλεσμα των 2 παραπάνω βημάτων πρέπει να είναι το ίδιο Σελίδα 10

11 Οργάνωση υπηρεσιών PKICA (5) Δημιουργία Ψηφιακής Υπογραφής Original Document PRIVATE Original Document One Way Function Fingerprint (Hash Algorithm) Signed Document Σελίδα 11

12 Οργάνωση υπηρεσιών PKICA (6) Επαλήθευση Ψηφιακής Υπογραφής Original Document Signed Document PUBLIC Και τα 2 αποτυπώματα πρέπει να είναι απόλυτα όμοια Σελίδα 12

13 SD Οργάνωση υπηρεσιών PKICA (7) (HERMES Server) Εισηγμένη Εταιρεία (HERMES Client) Intranet Extranet Intranet - XAA Firewall Firewall USER KIT 1. Personalized SMART Card 2. Pin Envelope & PIN 3. User s Instructions DB Server EDMS HERMES Internal Server DB Server HERMES External Server STATION KIT 1. CD with Client S/W 2. Installation Instructions & Checklist 3. Card Reader ISP2 ISP1 Internet ISP5 XA (PKI/CA Provider) ISP3 ISP4 Primary Site Secondary Site Σελίδα 13

14 Com 3 Cor ebui lder 350 SD SD SD SD 3 Com CoreBuil der 3500 Οργάνωση Υπηρεσιών PKICA (8) HERMES Server ISP1 ISP2 Internet ISP5 Εισηγμένη Εταιρεία HERMES Client XA (PKI/CA Provider) ISP3 ISP4 Extranet DS PRIMARY SITE SECONDARY SITE DS Extranet Batch Card Printer CCM CIS KGS Room PIN Printer HSM AWB RA RC SO SO RO RO I n t r a n e t CCM CIS PIN Printer I n t r a n e t HSM Intranet Ομίλου Intranet Ομίλου Σελίδα 14

15 3 Com Cor ebuilder 3500 SD SD Com 3 CoreBui lder 350 SD SD Οργάνωση υπηρεσιών PKICA (9) PIN envalope 5. PIN & Envelope Generation EXTRANET Primary Site INTRANET Primary Site HSM CIS Secondary Site CIS HSM Directory PIN Printer Internet CCM CCM 3. CM issues Certificates PIN Printer Directory Secondary Site RO 2. RA Requests Certificates to CCM RC RA AWB RO Pre pers cards SO SO 4. Certs written on Card KGS Room Σελίδα Request for Smart Card Batch Card Printer KGS

16 Παρεχόμενες υπηρεσίες Διαχείριση (έκδοση, ανάκληση/ανανέωση) αναγνωρισμένων ψηφιακών πιστοποιητικών για: «ψηφιακές ταυτότητες» (Electronic Identity Cards) οι οποίες επέχουν θέση ιδιόχειρης υπογραφής (σύμφωνα με το ΠΔ 150/2001) «ασφαλείς εξυπηρετητές εφαρμογών» (secure application servers) Σελίδα 16

17 Παρεχόμενες υπηρεσίες (2) Υπηρεσίες ψηφιακής πιστοποίησης: Λειτουργία του συστήματος HERMES (Hellenic Exchanges Remote MEssaging System), για την ηλεκτρονική υποβολή στοιχείων των Εισηγμένων Εταιρειών προς το ΧΑ Λειτουργία του συστήματος Transaction Reporting System (TRS) που επιτρέπει την υποβολή στοιχείων συναλλαγών από τις Εταιρείες Παροχής Επενδυτικών Υπηρεσιών προς την Επιτροπή Κεφαλαιαγοράς Σελίδα 17

18 Παρεχόμενες υπηρεσίες (3) Στοιχεία χρήσης υπηρεσιών που εξυπηρετούνται από την υποδομή PKICA του ΧΑ (Ιούνιος 2010): Σύστημα HERMES Αριθμός ενεργών χρηστών 332 Αριθμός ψηφιακών ταυτοτήτων 3689 Σύστημα TRS Αριθμός ενεργών χρηστών 57 Αριθμός ψηφιακών ταυτοτήτων Σελίδα 18

19 SD Μοντέλο λειτουργίας υπηρεσίας HERMES ATHENS EXCHANGE (HERMES) HERMES Subscribers HERMES USER (LISTED COMPANY) HERMES STARTER KIT WEB SERVER 1 & 2 APPLICATION SERVER 1 & 2 DATABASE SERVER 1 & 2 SECURITY CENTER ISP2 1. SmartCard 2. PIN/PUK 3. CD-ROM with Client S/W 4. Installation Instructions & Checklist 5. Card Reader ISP1 Internet ISP5 CERTIFICATION AUTHORITY (CA) ISP3 ISP4 LDAP Services REGISTRATION AUTHORITY (RA) & CERTIFICATE MANAGEMENT (CM) LDAP 1 LDAP 2 ISSUE OF CERTIFICATES OPERATION & MANAGEMENT OF PKI/CA Services Σελίδα 19

20 Επόμενα βήματα Στην παρούσα φάση, εκτελείται έργο αναβάθμισης και εκσυγχρονισμούτης υποδομής PKICA του XΑ: v Νέα πλατφόρμα Hardware (εξοπλισμός servers και HSMs) v Τελευταία έκδοση λογισμικού Certificate Manager (7.2.0) Σελίδα 20

21 Αναβάθμιση υποδομής PKICA Πλεονεκτήματα: Υλοποίηση νέων τεχνικών χαρακτηριστικών και δυνατοτήτων στην αιχμή της τεχνολογίας της υποδομής PKICA, ώστε να καταστεί δυνατό να παρέχει νέα λειτουργικότητα και να εξυπηρετήσει ποιοτικά & αποτελεσματικά, τόσο τις υφιστάμενες τεχνολογικές υπηρεσίες του ΧΑ (HERMES, TRS), όσο και νέες υπηρεσίες (λ.χ. Windows Domain Authentication, Secure Printing, InBrokerPlus κ.λπ.) Μεταφορά της διαδικασίας παραγωγής κλειδιών αναγνωρισμένων πιστοποιητικών, στην πλευρά του τελικού χρήστη Σελίδα 21

22 Αναβάθμιση υποδομής PKICA (2) Υφιστάμενες Πολιτικές Πιστοποιητικών: Αναγνωρισμένο προσωπικό πιστοποιητικό Smart-Sign Κλάσης 1 ης ταυτόσημο με ιδιόχειρη υπογραφή Προσωπικό πιστοποιητικό ταυτοποίησης Smart-Sign -Κλάσης 1 ης Πιστοποιητικό ταυτοποίησης και γνησιότητας εξυπηρετητών Smart-Server Κλάσης 1 ης Νέες Πολιτικές Πιστοποιητικών: Για encryption Κλάσης 1 ης Για Smartcard Login Authentication Κλάσης 1 ης Για εγχρήματες συναλλαγές Κλάσης 2 ης Σελίδα 22

23 Πληροφορίες v PKI/CA Services of ΑΤΗΕΧ: XA ΑΕ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ Λεωφ. Αθηνών , Αθήνα Τηλ.: Fax: PKICA-Services@helex.gr Web: v HERMES of ATHEX: hermes@ase.gr Web: v TRS of ATHEX: trs@ase.gr Web: trs.helex.gr Σελίδα 23