Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti eri osioiden antia.
Yhteenvetona voisi eri aiheista todeta, että
- Organisaatiot käyttävät yhä laajemmin erilaisia sähköisiä allekirjoituspalveluja sopimusten ja dokumenttien hallinnassa ja tämä pienentää merkittävästi työmääriä ja nopeuttaa toimintaa:
- Sähköisiä allekirjoituksia voidaan tehdä eri tasoilla:
- sijoittamalla dokumenttiin allekirjoitus vain kuvana
- allekirjoittamalla dokumentti järjestelmässä, johon tunnistadutaan tunnuksella ja salasanalla
- allekirjoittamalla dokumentti järjestelmässä, johon tunnistadutaan vahvasti
- Tuotetuissa dokumenteissa voi olla sähköinen allekirjoitus, joka osoittaa sen muuttumattomuuden ja alkuperän (ns. eSeal).
- EU/eIDAS-säännöstö eriyttää kaksi säänneltyä tasoa: Advanced ja Qualified
- Sähköisiä allekirjoituksia voidaan tehdä eri tasoilla:
- Organisaation varmenteiden hallinnassa tulisi tiedostaa ero PKI:n ja CA:n välillä:
- On helppoa asentaa esim. MS CA. Usein tämä on vain AD:n tukitoiminto, jolla IT tuottaa laite- ja henkilövarmenteita organisaation käyttöön.
- PKI:n toteutus lähtee organisaation varmennepolitiikasta ja vastuiden suunnittelusta. Kenellä on oikeus antaa yrityksen henkilölle tai laitteelle sähköinen identiteetti, mihin tämä oikeuttaa ja miten vastuuta ylläpidetään. Lähtökohtaisesti vastuu on liiketoiminnalla eikä IT:llä. Tyyppillisesti esim. pankin PKI-järjestelmän ylläpidossa vain 10-20% työstä on teknistä IT-työtä.
- SSL-varmenteiden maailmassa on selvästi kaksi eri suuntaan menevää trendiä.
- Osa selaintoimittajista on alkanut pienentää yritysten sähköisten identiteettien merkitystä näyttämällä käyttäjille DV- ja OV-varmenteet suunnilleen samalla tavalla. Kuitenkin ero on mittava: DV-varmenne antaa käyttäjälle pelkän salauksen ja OV-varmennetta varten on luotettava kolmas osapuoli (varmenteja, kuten Entrust Datacard) tarkistanut yrityksen taustan.
- Toisaalta yritykset ja esim. EU haluaa, että organisaation sivuilla kävijä näkee yrityksen sähköisen identiteetin ja voi luottaa tähän. Yrityksillä on tarve antaa asiakkailleen yhä enemmän palvelua verkon kautta, ja erityisesti isommat yritykset näkevät suuret määrät phishing-sivustoja, joilla huijarit yrittävät houkutella yrityksen asiakkailta tärkeitä tietoja. Varmentajat pyrkivät pääsemään ns. London Protocol -aloitteen avulla takaisin tilanteeseen, jossa kaikissa selaimissa näkyisi selvästi ero DV-, OV- ja EV-varmenteen välillä.
- Tällä hetkellä vain EV-tason varmenteet antavat vahvan sähköisen identiteetin siten, että se näkyy kaikissa selaimissa.
Alla on kustakin kolmesta sessiosta kirjattu aihe/esiintyjät, linkki striimiin, linkki kalvoihin sekä mahdolliset kommentit ja nostot sessiosta.
12:30 Session 1: Electronic signing, digital signing, eIDAS, PadES, …
What is the difference between an electronic signature and a digital signature? How can one create digital signatures according to EU regulations? We will look at the situation in EU and in Finland.
Presenter: Robert Hann, Sales Director, Entrust Datacard
Facilitator: Antti Larvala, Director for development eSign for Visma Solutions
Linkki striimiin: xxx
Linkki kalvoihin: xxx
Nostoja esityksestä:
Sähköisen allekirjoituksen vahvuus riippuu siitä, kuinka paljon siihen on rakennettu luotettavuutta. EU on tehnyt eIDAS -asetuksen, jota valtioiden on noudatettava. Standardointivirasto ETSI on määrittänyt tähän tekniset säännöt. Yksi suurimmista tavoitteista on federoida eri EU-valtioiden hyväksyttyjen sähköisten identiteettien järjestelmät siten, että minkä tahansa maan hyväksytyllä sähköisellä identiteetillä voi kirjautua muidenkin maiden julkisiin järjestelmiin.
eIDAS kattaa seuraavat toiminnot: 1) eID 2) eSignature (yleensä henkilöille) 3) eSeal (organisaatioille) 4) eTimeStamp 5) Qualified Web Authentication Certificate (QWAC) 6) Electonic Registered Delivery Service.
Electronic signature: Voi olla vaikka paketintuojan padiin piirretty allekirjoitus, joka vapauttaa tuojan siirtovastuusta. Ei vaadi PKI:ta. Tällä ei ole vahvaa lain voimaa, mutta riittää tilanteisiin, jossa riski ei ole merkitävä.
Advanced electronic signature: Tämän määrittää ETSI-säännöt. Allekirjoituspalvelun tuottajan pitää pystyä osoittamaan toimivansa hyvien käytänteiden mukaan. Usein helpoin tapa osoittamiseksi on sertifiointi, mutta tämä ei ole välttämätön. Määrittää myös privaattiavaimen käytön ja laitteiston, jolla sitä saa säilyttää. Menetelmässä pitää olla PKI ja Time Stamping. Tulos on tasoa ”Hyvin todennäköisesti Matti Makkonen/Yritys Oy on allekirjoittanut tämän dokumentin”.
Qualified electronic signature: Tämänkin määrittää ETSI-säännöt. Allekirjoitus on oikeudessa vahvempi, kuin kynällä allekirjoitettu. Henkilöiden osalta vaatii henkilön tunnistamisen yleensä paikan päällä. Jotkut EU:n valtiot sallivat videotunnistamisen. Vaatii allekirjoituspalvelun tuottajalta Advanced-tason lisäksi sertifioinnin ja sen ylläpitämisen. Tulos on tasoa ”Ilman epäilystä Matti Makkonen/Yritys Oy on allekirjoittanut tämän dokumentin”.
Entrust Datacard pystyy nyt tuottamaan Advanced-tason palveluja ja lähitulevaisuudessa myös Qualified-tason palveluja.
13:30 Session 2: PKI Management and Managed PKI
The technical creation of a PKI is easy: click, click, Finish. But how should the responsibilities be defined and maintained when providing managed PKI for European organizations with critical needs for compliance.
Presenter: David Terry, Business Development Director, Entrust Datacard
Facilitator: Thomas Malmberg, CEO, Mintsecurity,
( Board member / Finnish Information Security Association )
Linkki striimiin: xxx
Linkki kalvoihin: xxx
Thomas veti erittäin pirteän esittäjän ”ahdistelusession” mainioilla rooleillaan ja kysymyksillään 🙂 Dave oli alussa hieman pihalla, kun Thomas otti esimerkin SSL-varmenteista ja erityisesti EV-varmenteiden ”the green thingie” -osuudesta. Herrat eivät todellakaan olleet tavanneet aiemmin ja Dave kuuli ensi kerran kysymykset. Yhteinen sävel ammattilaisten kesken löytyi kuitenkin nopeasti.
14:30 Session 3: SSL/TLS certificates – what lies ahead?
The number of SSL certificates is increasing rapidly. Some key players advocate that only encryption is important. On the other hand, we have e.g. EU Qualified website authentication certificates (QWAC) where identity recognition is crucial. Let us hear an inside view from the CA/Browser Forum which provides guidelines for creating and using SSL/TLS certificates.
Presenter: Chris Bailey, VP Strategy and Business Development, Entrust Datacard
Current (and founding) member of the CA/Browser Forum
Facilitator: Harri Tuuva, CTO, Wesentra
Linkki striimiin: xxx
Linkki kalvoihin: xxx
xxx katso vielä kerran ja mietin mahdolliset nostot xxx
Lisätietoa: info (at) wesentra.com tai https://www.wesentra.com