digitální podpis

digitální podpis
11.5.16
vjj
1
příklad
• C:
\Program Files
\Microsoft Office
\Office15
\WinWord.exe
11.5.16
vjj
2
digitální podpis
• C:
\Program Files
\Microsoft Office
\Office15
\WinWord.exe
11.5.16
vjj
3
certifikát
• C:
\Program Files
\Microsoft Office
\Office15
\WinWord.exe
11.5.16
vjj
4
test
• E:\Documents\SECURITY\
testSigned.exe
11.5.16
vjj
5
asymetrické šifrovací algoritmy
•
autor
privátní šifrovací klíč
•
veřejnost
certifikát
•
11.5.16
potvrzení, že v certifikátu uvedený
veřejný šifrovací klíč a
autorova identita
patří k sobě
vjj
6
digitální podpis
•
•
•
•
aaa = obsah
•
•
bbb = obsah( zzz )
11.5.16
xxx = hash( aaa )
yyy = zakódování xxx privátním klíčem
zzz = aaa + yyy + certifikát autora
hash( bbb ) =? dekódování yyy
veřejným klíčem autora
vjj
7
proč digitální podpis
•
záruka bezchybného a/nebo neškodného kódu - NE
•
autorská práva
- NE
•
záruka integrity obsahu
- ANO, ale...
•
záruka identity zdroje
- ANO, ale...
•
•
pokud se budete ptát lháře jestli lže, ...
ověření identity zdroje
•
pokud je certifikát vydán někým komu věříte
•
•
•
11.5.16
- ANO
autor (důvěryhodný)
certifikační autorita (důvěryhodná)
pokud jste si ověřili, že ten konkrétní certifikát skutečně vydal on
vjj
8
digitálně podepsaný kód
•
důležité jsou body s odpovědí ANO
•
jistota
- že kód nebyl, od doby kdy ho (ověřený, tj. dohledatelný) autor
(podpisu) podepsal, nikým a ničím pozměněn
- pro právníky
•
jistota
- pouze schválených aplikací
- secure enterprise environment
•
důvěra
- důvěřuji autorovi, že mi nepodstrčí zákeřný kód
- pro (naivní) konzumenty
11.5.16
vjj
9
obsah certifikátu
•
•
•
•
•
•
účel – tj. k čemu lze používat příslušné klíče
•
to celé je digitálně podepsáno privátním klíčem
vydavatele certifikátu
11.5.16
identita majitele certifikátu
identita vydavatele certifikátu
platnost certifikátu (od kdy do kdy)
"public key" majitele
kde lze ověřit uvedené údaje
vjj
10
důvěra
•
důvěryhodnost certifikátu ?
•
důvěryhodnost vydavatele certifikátu ?
•
způsob ověřování
11.5.16
vjj
11
Certifikační Autorita
•
privátní
•
podniková
•
státní
•
11.5.16
•
•
•
•
elektronické ID karty
elektronické volby
komunikace s úřady
u nás CHYBÍ
(?!?!?! Min. vnitra / NBÚ / BIS / ÚOOÚ )
komerční
•
akreditovaná státem
•
stát svěřuje důvěryhodnost své komunikace s občany a podniky do rukou
soukromému provozovateli CA
vjj
12
Certifikační Autorita
•
komerční
•
Thawte Consulting
•
•
•
VeriSign
•
•
•
•
founded in 1995
in 1999 VeriSign acquired Thawte in a stock purchase from Shuttleworth
for US$575 million
in 2000, Verisign acquired Network Solutions, which operated the .com,
.net and .org gTLDs (generic top-level domain)
Symantec
•
11.5.16
certificate authority (CA) for X.509 certificates
Thawte was founded in 1995 by Mark Shuttleworth in South Africa and
was the second largest public CA on the Internet
In 2010, Verisign sold its authentication business unit to Symantec for
$1.28 billion
vjj
13
Certifikační Autorita
•
akreditovaná
•
zákon o elektronickém (digitálním) podpisu
(č. 227/2000 Sb, ... )
•
11.5.16
(pod dohledem ÚOOU)
komerční zájmy převládají nad zdravým rozumem
•
akreditovaná CA
•
kvalifikovaný certifikát
•
zaručený podpis
- I.CA, PostSignum, eIdentity
vjj
14
Timestamp Server
•
http://timestamp.verisign.com/scripts/timestamp.dll
•
? offline ?
11.5.16
vjj
15
získání certifikátu
•
•
uživatel
•
vygeneruje dvojici klíčů + certifikát - HOTOVO
•
•
•
vygeneruje jen dvojici klíčů
privátní klíč do souboru .PVK nebo do CSP kontejneru
připraví žádost o certifikát obsahující veřejný klíč
Certifikační autorita (program, instituce)
•
•
•
11.5.16
ověří identitu uživatele
vygeneruje a podepíše .CER
CA (software) je součást Windows serveru (od W2K)
vjj
16
generování klíčů a certifikátu
• Certificate Creation Tool:
makecert -sv
11.5.16
myPrivKey.pvk
myCert.cer
vjj
17
typ souboru
•
•
*.spc – Software Publisher's Certificate
*.pvk – odpovídající privátní klíč
•
•
*.cer – DER encoded binary X.509
*.p7b – PKCS #7
Cryptographic Message Syntax Standard
slouží k ukládání privátního klíče
*.pfx – PKCS #12
Personal Information Exchange
slouží k ukládání privátního klíče – chráněn heslem
*.snk – Strong Name Key
Personal Information Exchange
slouží k ukládání privátního klíče
•
•
11.5.16
vjj
18
privátní klíč
• v souboru
•
•
*.pvk - bez hesla
*.p7b - s heslem
• v CSP kontejneru
•
•
11.5.16
registry
smart card, USB token
vjj
19
CSP
•
CSP – Crypto Services Provider – modul pro přístup ke
kontejneru s šifrovacími klíči
•
CSP moduly pro přístup ke kontejnerům v registry jsou
součástí Windows
•
CSP moduly pro přístup ke kontejnerům na čipových
kartách a USB tokenech by měly být součástí driverů,
protože bez nich nelze tato zařízení použít.
Ale většinou jsou dodávány pouze jako součást placených
balíků HW + "middleware".
Součásti "middleware" bývají i nejjednodušší uživatelské
utility.
Často bývá "middleware" spolu s administrátorskými
utilitami nedílnou součástí rozsáhlých balíků PKI softwaru s
astronomickými cenami.
11.5.16
vjj
20
příklad PowerShell
cd cert:
dir
cd .\\CurrentUser
ls
cd .\My
dir | fl
11.5.16
vjj
21
příklad
• MMC
Certificates
Current User + Local Computer
• Gemalto MiniDriver Manager
11.5.16
vjj
22
signing
11.5.16
vjj
23
Signing
Set Signer = CreateObject
("Scripting.Signer")
Signer.SignFile File, myCert.cer, "My"
11.5.16
vjj
24
Signing
•
•
11.5.16
co
•
•
•
•
•
PE soubor (EXE, DLL, . . .),
ale i skript,
dokument
e-mail
jakýkoliv soubor
jak
•
•
•
•
Visual Studio
utilita
vlastní program
skript
vjj
25
Signed Exe
11.5.16
vjj
26
11.5.16
vjj
27
1st method - file
•
•
•
11.5.16
EFS requirements
•
•
certifikát uživatele
Recovery certifikát doménového administrátora
check for certificates in the container
•
•
PowerShell namespace cert:
MMC snap-in Certificates
file encryption
•
•
Explorer - local menu
prompt - cipher /C
vjj
28
2nd method - mail
• podepsaný mail
11.5.16
•
Outlook | File | Options | Trust Center | Trust Center
Settings…
•
•
Trust Center | E-mail Security | Settings…
•
Outlook | Options | Permissions | Sign
Change Security Settings | Choose…
vjj
29
3rd method - document
• podepsaný Word dokument
•
11.5.16
File | Protect Document | Add a Digital Signature
vjj
30
příprava certifikátu
• instalace klíče do kontejneru CSP
•
rovnou během generování certifikátu
•
soubor s klíčem a certifikátem
•
-> token
•
•
-> registry
•
•
•
11.5.16
utilita, midleware
mmc.exe
snap-in Certificates, My user account
Cerificates – Current User | Personal | Certificates
Action | All Tasks | Import…
vjj
31
4th method - Visual Studio
•
•
.NET aplikace
menu Project – Application Properties, záložka Signing
•
podepsat manifest pro distribuci pomocí ClickOnce
• vytvoření testovacího certifikátu (PFX)
• načtení existujícího souboru PFX (bez omezení)
• použití certifikátu a klíčů z uživatelova CSP uložiště "My"
•
vytvořit Strong Name pro celou assembly
•
•
•
11.5.16
existující soubor SNK
existující soubor PFX (Bare Format – tj. bez jiných certifikátů a bez
Extended Properties)
New – wizard
•
•
default je SNK– soubor obsahující privátní klíč nebude chráněn heslem
explicitní zadání přípony PFX – wizard se zeptá na heslo
vjj
32
5th method - SignTool.exe
•
> SignTool.exe signwizard
•
Visual Studio SDK
\Program Files (x86)\Microsoft Visual Studio 8\SDK\v2.0\Bin
už ne, ale VS obsahuje Windows SDK:
•
Windows SDK – jen "command line" verze
C:\Program Files\Microsoft SDKs\Windows\v7.1A\Bin
C:\Program Files (x86)\Windows Kits\8.0\bin\x64 i \x86
C:\Program Files (x86)\Windows Kits\8.1\bin\x64 i \x86 a \arm
•
WDK – už ne
C:\WinDDK\7001\bin\SelfSign
11.5.16
vjj
48
11.5.16
vjj
49
11.5.16
vjj
50
11.5.16
vjj
51
6th method - SignTool.exe
signtool
sign
/f myCert.pfx
/p password
myPgm.exe
signtool
Timestamp
/t URL
myPgm.exe
signtool
Verify
/a
myPgm.exe
11.5.16
vjj
53
7th method - VB script
• soubor s certifikátem k privátnímu klíči
nainstalovaném na lokálním počítači
• "My" - defaultní uložiště klíčů
Set Signer = CreateObject
("Scripting.Signer")
Signer.SignFile File, myCert.cer, "My"
11.5.16
vjj
54
VB script
• Win32 API
LoadLibrary("Mssign32.dll");
... GetProcAddress("SignerSignEx");
... GetProcAddress("SignerTimeStampEx");
... GetProcAddress("WinVerifyTrust");
11.5.16
vjj
55
VB script
• CAPICOM.dll
• System.Security.Cryptography.Pkcs
• SignedData object, SignedCode object
SignedCode.Signer.Load ("pfx file", pswd)
SignedCode.FileName = ...
SignedCode.Sign(Signer)
SignedCode.Timestamp(URL)
SignedCode.Verify(true)
11.5.16
vjj
56
8th method - PowerShell
• "My" - defaultní uložiště klíčů
$file = "file fullname"
$cert = @(dir cert:\CurrentUser\My
-codesigning)[0]
Set-AuthenticodeSignature $file $cert
11.5.16
vjj
57
PowerShell
New-SelfSignedCertificate
Get-AuthenticodeSignature
Set-ExecutionPolicy
Get-ExecutionPolicy
11.5.16
vjj
58
Execution Policy
•
Restricted – nespustí žádný skript (default)
•
AllSigned – všechny skripty musí být podepsány
• kontroluje digitální podpisy
• zeptá se, zda je autor důvěryhodný (jednorázově x
trvale)
•
RemoteSigned – jen remote skripty musí být podepsány
• kontroluje digitální podpisy
• zeptá se, zda je autor důvěryhodný (jednorázově x
trvale)
•
•
Unrestricted – nekontroluje podpisy
Bypass
11.5.16
vjj
59
verification
11.5.16
vjj
60
ověření podpisu
• uživatel
• Windows Explorer
• File Properties | Digital Signatures
• autor (web, tlf, osobně, ... )
• aplikace
• Windows Explorer
• platný certifikát
11.5.16
x
důvěryhodný majitel
vjj
61
limited set of CAs for Windows Driver Verification Policy
signtool
Verify
/a
myPgm.exe
>signtool.exe Verify
/a
testSigned.exe
SignTool Error: A certificate chain processed,
but terminated in a root certificate which is
not trusted by the trust provider.
SignTool Error: File not valid: testSigned.exe
Number of errors: 1
11.5.16
vjj
62
Default Authentication Verification Policy
signtool
Verify
/pa
myPgm.exe
> signtool.exe Verify
testSigned.exe
/pa
Successfully verified: testSigned.exe
11.5.16
vjj
63
X509 verification
#using System.Security.Cryptography.X509Certificates;
X509Certificate cert = CreateFromSignedFile( "filename" );
DWORD
Version;
DWORD
SerialNumber[4];
ALG_ID
SignatureAlgorithm;
FILETIME
ValidFrom;
FILETIME
ValidUntil;
PSTR
pszIssuer;
PSTR
pszSubject;
PctPublicKey *pPublicKey
11.5.16
vjj
65
X509 certificate
#using System.Security.Cryptography.X509Certificates;
X509Certificate cert = CreateFromCertFile( "filename" );
DWORD
Version;
DWORD
SerialNumber[4];
ALG_ID
SignatureAlgorithm;
FILETIME
ValidFrom;
FILETIME
ValidUntil;
PSTR
pszIssuer;
PSTR
pszSubject;
PctPublicKey *pPublicKey
11.5.16
vjj
66
edit + sign
/
verify + run
notepad $fileName
Start-Sleep –Seconds 1
$processToWatch = get-process notepad
$processToWatch.WaitForExit()
$cert = dir cert:\CurrentUser\My -codesign
Set-AuthenticodeSignature $fileName -cert $cert
$cert = Get-AuthenticodeSignature $fileName
[reflection.assembly]::LoadWithPartialName
("System.Management.Automation")
if ($cert.Status -eq "Valid") { &$fileName }
11.5.2016
vjj
67
je kód ze zcela spolehlivého zdroje ?
je kód digitálně podepsaný ?
je v certifikátu jako autor/distributor uveden
někdo, komu důvěřuji ?
vydala certifikát (obecně/mně) důvěryhodná
certifikační autorita
nebo ho vygeneroval někdo, komu důvěřuju ?
kód není
důvěryhodný
ověřím si přímo u vydavatele certifikátu (CA,
autor,...), jestli je tento certifikát platný
kód je
důvěryhodný
11.5.16
vjj
68
paranoidní uživatel ?
•
•
•
11.5.16
bázlivý, vystrašený
přehnané a nedoložené obavy o vlastní
bezpečnost
důsledná podniková Bezpečnostní politika
vjj
69
PKCS
• #1
• #3
• #5
• #6
• #7
• #8
• #10
• #11
• #12
• #13
• #14
• #15
11.5.16
public-key cryptography standards
RSA
Diffie-Hellman
Password-based Encryption
Extended-Certificate Syntax
Cryptographic Message Syntax
Private-Key Information Syntax
Certification Request
Cryptographic Token Interface
Personal Information Exchange
Elliptic Curve Cryptography
Pseudo-random Number Generation
Cryptographic Token Information Format
vjj
70
who-is-who
• svět:
• Whitfield Diffie, Martin Hellman
• Ronald Rivest, Adi Shamir, Len Adleman,
• Ross Anderson
• ČR
• Vlastimil Klíma, Tomáš Rosa
• Petr Hanáček
• Václav "Vashek" Matyáš
• Pavel Vondruška
11.5.16
vjj
71
• DSM - Data Security Management
• vydavatel: Tate Int., s.r.o.
11.5.16
vjj
72