Podpis elektroniczny - wdrozenie do uslugi IIS(autoryzacja i uwierzytelnianie)

[adbok]

Witam,
Mam do Was ogromna prosbe!
Potrzebuje informacji o podpisie elektronicznym = cyfrowym.

Takowy podpis w celach testowych uzyskalem w "CERTUM PCC" - http://www.certum.pl...ty_testowe.xml.
Na dzien dzisiejszy zrobilem tylko szyfrowanie i podpisywanie wiadomosci @.

* szyfrowanie poczty mailowej (np. przez Outlooka) - zrobione
* składanie zwykłego podpisu elektronicznego - zrobione

Niestety nie wiem jak wdrozyc wygenerowany certyfikat do tych uslug:
* logowanie się do systemów online przez WWW (np. konto bankowe, serwis www, administracja kontem, serwisy hostingowe),
* logowanie się do aplikacji.
* Private IPSec Client (szyfrowane VPN)
* Trusted VPN
* Commercial SSL (podstawowe potwierdzenie tożsamości przez www)

Czy macie jakies doswiadczenia w tej dziedzinie ? W internecie nie znalazlem zadnego poradnika i informacji na temat konfiguracji aplikacji i ich wspolpracy z certyfikatami

Licze na Wasza pomoc!

Pozdrawiam
adbok

[pali]

OK, ale co Ty robisz? Domyślam się, że pracę piszesz na uczelni, tak?
Te zastosowania, które wymieniłeś, to chcesz uruchomić?

Uporządkuj terminologię:
- Podpis elektroniczny, nie cyfrowy - ten termin jest z ustawy, więc nie warto stosować zamienników, bo nie wiadomo o co chodzi., a zastosowania podpisu wynikają z umocowań prawnych.
- Podpis e. nie służy do szyfrowania (zapewniania poufności) a jedynie do potwierdzenia tożsamości (niezaprzeczalność). To są dwa różne zastosowania asymetrycznych systemów krypto, choć mogą być połączone. Klucz publiczny (certyfikowany lub nie) może być użyty do szyfrowania, ale to nie mieści się w pojęciu podpisu el.

Co do reszty to mieszasz podpis elektr. z tzw. Certyfikatami SSL.
W Internecie miliony stron informacji, no ale zacznij od podstaw - porządek w tym, czego szukasz.

Aha, nie znam sie na tym, nie wdrażałem nic więcej od prostych certyfikatów.
Z podpisu elektr. korzystam poprzez osobę fizyczną, którą upoważniłem w US do podpisywania moich deklaracji podatkowych (UPL-1, OPL-1) - aby jak najszybciej zapłacić należny podatek, coby rząd miał z czego rozwijać koleje, przedszkola, żłobki, łapać pedziów etc

[andy]

Cytat:

Niestety nie wiem jak wdrozyc wygenerowany certyfikat do tych uslug:
* logowanie się do systemów online przez WWW (np. konto bankowe, serwis www, administracja kontem, serwisy hostingowe),(1)
* logowanie się do aplikacji.(2)
* Private IPSec Client (szyfrowane VPN)(3)
* Trusted VPN(4)
* Commercial SSL (podstawowe potwierdzenie tożsamości przez www)(5)

@1 - czy bank z którego korzystasz obsługuje uwierzytelnienie certyfikatem?
@2 - czy aplikacje do których chcesz się zalogować obsługują uwierzytelnienie certyfikatem?
@3 i 4 - jakiego konkretnie oprogramowania używasz (serwer, klient)
@5 - certyfikat który uzyskałeś nie jest dla stron www. Do tego trzeba wykupić oddzielny ok ~200zł/rok.

Cytat:

Czy macie jakies doswiadczenia w tej dziedzinie ? W internecie nie znalazlem zadnego poradnika i informacji na temat konfiguracji aplikacji i ich wspolpracy z certyfikatami

Wszystko zależy od danego programu czy wspiera uwierzytelnienie certyfikatem itp.

[adbok]

Juz sie poprawiam i pisze o co chodzi.
Tak jak sie domyslacie mam przygotowac prace (praktyczna na wirtualnych maszynach - 2x win xp + 1x 2k3 r2) na przedmiot "Bezpieczenstwo Systemow Informatycznych".
Mam na nich przedstawic zastosowanie wygenerowanych certyfikatow elektronicznych z CERTRUM.
Oczywiscie wszystko musze wczesniej ladnie zainstalowac i ustawic na systemach MS (IIS mozna instalowac na xp wiec ewentualna maszyna 2k3 nie jest wymagana).

Z poczta sobie poradzilem ale nie wiem co robic z reszta zadania.

@pali
dzieki za informacje.
Na szczescie nie musze robic nic zwiazanego z deklaracja podatkowa.

@andy
@1 - Inteligo, mBank - sprawdze to jutro
@2 - nie znam zadnej aplikacji do ktorej moge sie zalogowac majac certyfikat
@3 i 4 - IIS, IE8, Firefox
@5 - uzywam tylko certyfikatow testowych niekwalifikowanych.

EDIT:
@1 - A czy moge postawic swoja strone www na IIS i ustawic uwierzytelnianie certyfikatem ?

[pali]

Możesz, IIS obsługuje certyfikaty.

Ale jeszcze jest bajzel

Kilka luźnych uwag:
Kogo chcesz uwierzytelniać? Spójrz na to tak: podmiotem certyfikatu X.509 (bo o takich mówimy) może być osoba (fizyczna, prawna), usługa sieciowa, urządzenie czy np. usługa http serwera w konkretnej domenie internetowej, itd itp

Jeśli chodzi o banki, facebooki itp to najczęściej oferują one uwierzytelnienie własnej tożsamości poprzez tzw. Certyfikat SSL.
SSL (TLS) jest kombajnem, który zapewnia poufność (poprzez szyfrowanie) oraz gwarancję weryfikacji deklarowanej tożsamości (poprzez certyfikat).

Natomiast weryfikowanie tożsamości oraz uprawnień klienta tych usług (np. logującego się do aplikacji bankowej) jest osobną sprawą. Może być realizowane w ramach tzw. Certyfikatu SSL, ale może być inaczej.
Poznaj różnicę w X.509 pomiędzy uwierzytelnianiem (authentication) a autoryzacją (authorization).
No i ogólnie takie terminy jak: karta inteligentna, smart card, confidentality, availability, accountability, anonymity, non-repudiation, integrity.
Tak rzucam, abyś w google miał co wrzucić No i w pracy przyda się (rozumiem, że oprócz instalacji musisz napisać jakąś pracę?). To nie wszystko, ale jak poguglasz po tych słowach, to dojdziesz do całości wiedzy na ten temat.

SSL (TLS) działa w warstwie transportowej, stąd jeśli zrozumiesz jak to działa dla www, swobodnie zastosujesz dla vpn, ssh itp - to ta sama logika.

Aha, certyfikat niekwalifikowany czysto technicznie w zasadzie nie różni się od kwalifikowanego. Kwalifikacja jest pojęciem normatywnym, wynikającym z rozwiązań przyjętych w ustawie.

No i oprócz X.509 są takie systemy jak PGP, ale tego nie musisz do pracy włączać?

[adbok]

Pali widze ze znasz sie na tym temacie
Nie musze pisac zadnej pracy, musze "praktycznie" zastosowac i przedstawic dzialanie wymienionych wyzej sposobow autoryzacji i uwierzytelniania.

Praktycznie majac dwie maszyny z WinXP chce pokazac autoryzacje i uwierzytelnianie. miedzy nimi.

Co do PGP to bawilem sie nim pod linuxem (aby zobaczyc jak to dziala). Oczywiscie nie musze go uwzgledniac.

Interesuja mnie tylko testowe certyfikaty z Certrum i ich wdrozenie do uslugi IIS na jednej z maszyn wirtualnych.
Mysle ze najepszym do uwierzytelniania bedzie jakas usluga sieciowa.

Ale jak to dalej zrobic ?
Maszyny mam, certyfikaty mam, IIS mam - a wiedzy na temat konfiguracji brak

EDIT:
Prosze moderatorow o zmiane tematow na "Podpis elektroniczny - wdrozenie do uslugi IIS(autoryzacja i uwierzytelnianie)"
Dzieki!

[Wawelski]

Jeżeli chodzi o podpis bezpieczny, to jest problem prawny polegający na konieczności posiadania certyfikatu zgodności oprogramowania i sprzętu (§ 5. 2 Rozporządzenia w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne).

W praktyce jedynymi znanymi mi aplikacjami mającymi odpowiednie certyfikaty są programy dostarczane przez dostawców bezpiecznych podpisów.

A to oznacza, że dokument podpisany za pomocą MS Office, Adobe czy czymkolwiek innym prawnie nie są równoważne z dokumentem podpisanym odręcznie.

A co do praktycznego zastosowania - to znam dwa: e-deklaracje i Płatnik. Chociaż prawnie nie spełniają powyższych wymagań, to są to IMO jedyne praktyczne wdrożenia podpisu kwalifikowanego.

Jeżeli ktoś chce, żeby dokument był równoważny podpisanemu odręcznie - to tworzy plik (w dowolnej formie - może być pdf, może być doc czy jpg) i podpisuje go aplikacją którą dostał razem z podpisem.

[pali]

adbok,

no to moim zdaniem zacząć należałoby od instalacji najprostszej: zabezpieczenia certyfikatem serwisu HTTP.

Musisz na tym IIS:
1. utworzyć witrynę (jedna prosta strona w HTML starczy)
2. udostępnić witrynę w Internecie, pod domeną (może być subdomena np. foo.bar.pl albo i głębiej mielonka.foo.bar.pl itd aż do 127 poziomów DNS ).

Bez publicznej domeny chyba nie da rady, bo:
http://ssl.certum.pl/certyfikaty/cer...t_test_SSL.xml

Charakterystyka certyfikatu Test SSL

• weryfikacja właściciela domeny polega jedynie na sprawdzeniu, czy osoba ubiegająca się o certyfikat ma dostęp do serwera, na którym znajduje się certyfikowana domena,

Nie mam pojęcia, czy dasz radę ustawić domenę na wirtualce.
Ja bym się z tym nie pitolił i robił na normalnym komputerze.... No ale nie wiem.

Ewentualnie wykorzystać publiczną domenę na chwilę do sprawdzenia przez Certum, a potem to samo ustawić na DNS w wirtualce - ale to pitolenie się....

3. no i tu http://ssl.certum.pl/certyfikaty/cer...ertyfikatu.xml masz instrukcje; zerknąłem 5 sec w plik dla IIS 7.0 - tam posługują się Enterprise, ale to się technicznie od Commercial różni głównie wildcardami dla domen, a testowy SSL odpowiada Commercial, powinieneś dać radę

Nigdy nie instalowałem tego na IIS, ale problemów nie widzę.


Jak już to zrobisz, to może FTP zabezpieczyć? Jakiś inny FTP, może być nie od MS?

BTW podpis cyfrowy w sumie to zgrabniejsze pojęcie niż podpis elektroniczny Jaka tam niby elektronika jest? No, ale ustawa....
Podpis cyfrowy funkcjonuje w IT jako pojęcie ogólne, a podpis elektroniczny jako realizacja koncepcji ustawowej (wdrożenie podpisu cyfrowego).

@ Wawelski,
jako "praktyczne zastosowanie podpisu el." dodam możliwość złożenia w US upoważnienia OPL-1, na którym upoważniasz inną osobę fizyczną do podpisywania i składania twoich deklaracji w systemie MF.
Ja składam w ten sposób VAT-7K (główne i korekty), zapewne inne też można (nie wiem).
Upoważnionymi przeze mnie osobami fizycznymi są wybrani pracownicy PowerMedia, prowadzącego serwis ifirma.pl, z którego usług od wielu lat korzystam (i gorąco polecam).

Rozumiem twoje zastrzeżenia, to tylko taka uwaga co do możliwości tego instrumentu. Jest to obejście kosztów i komplikacji z własnym podpisem, no ale działa dobrze.
Nie polecam tylko wysyłania w ostatniej chwili (25 dnia miesiąca). Jeśli coś pójdzie nie tak i system odrzuci przesłany dokument, to deklaracja uważana jest za nie złożoną, za co grozi mandat skarbowy.
A wysłany Pocztą Polską nawet pusty dokument, oby podpisany i nadany do północy, uważany jest za złożony. Potem szybko korekta i git.

Oczywiście najlepiej byłoby jakby ten podpis kosztował parę złotych. Moim zdaniem to każdy powinien mieć publiczne internetowe ID (Indie podobno wdrażają).

[Wawelski]

Cytat:

Napisany przez pali

jako "praktyczne zastosowanie podpisu el." dodam możliwość złożenia w US upoważnienia OPL-1, na którym upoważniasz inną osobę fizyczną do podpisywania i składania twoich deklaracji w systemie MF.

Chyba UPL-1? I to musisz akurat złożyć na papierze. A dopiero potem ten ktoś może podpisywać podpisem kwalifikowanym - i są to właśnie http://e-deklaracje.gov.pl/ (czyli jedno z dwóch praktycznych zastosowań podpisu bezpiecznego, o których pisałem)

[Bartez]

O ile dobrze pamiętam, instalacja certyfikatu na IIS jest banalna. Wystarczy jedynie zainstalować certyfikat (zakładka Directory Security -> Server certificate i postępuj zgodnie z poleceniami wizarda).

Jeżeli chodzi o same certyfikaty, to wcale nie musisz mieć ich z wiarygodnych firm, wystarczy że sobie sam wygenerujesz i podpiszesz swoim kluczem (tzw. self-signed certificate).

Zastosowanie certyfikatów możesz też pokazać od drugiej strony, tak jak pali napisał. Czyli nie tylko serwer może się uwierzytelnić użytkownikowi, ale także użytkownik serwerowi. Dla każdego usera w systemie można wygenerować certyfikat z np indywidualnym CommonName i na tej podstawie sprawdzać, czy użytkownik może mieć dostęp do strony i/lub sprawdzić, czy jest tym, za kogo się podaje, jeżeli do uwierzytelniania zastosujemy jeszcze tradycyjne logowanie.

Jeszcze uwaga co do wersji IIS. W zależności od systemu dostępne są różne wersje IIS. Dla XP jest to bodajże IIS 5.1, na 2003 Server IIS 6, a na 2008 Server IIS 7. W zależności od wersji IIS szukaj rozwiązania, bo różnią się one w niektórych miejscach.

[pali]

Wawelski,
tak, pomyliłem się, papierowy UPL-1 (OPL-1 to odwołanie upoważnienia).

Bartez,
self-signed oraz te od małych dostawców, to wiadomo - przeglądarki się plują, Mozilla nieźle namieszała swoją polityką.

Masz jakieś zdanie na temat używania self-signed na swoich witrynach? Ja słyszałem tyle rozbieżnych opinii, że szczerze mówiąc nie wiem co myśleć.

adbok,
self-signed, o których rozmawiamy, zrobisz sobie za pomocą openssl (jest dla win oraz unix-like)

[andy]

Cytat:

Masz jakieś zdanie na temat używania self-signed na swoich witrynach? Ja słyszałem tyle rozbieżnych opinii, że szczerze mówiąc nie wiem co myśleć.

Używając self-signed jesteś podatny na atak MiTM bo skąd użytkownik końcowy będzie wiedział, że certyfikat faktycznie należy do witryny ?

[pali]

No tak, chyba nawet rozumiem. Przeczytałem przykładowy scenariusz, tam podano jako metodę cache-poisoning DNS, ale są i inne metody. Racja.

Ale jeśli np. robię site dla zamkniętego kręgu i userom wcześniej podaję root certificate mojego CA, to chyba już niczym to nie będzie różnić się od Thawte, CERTUM itp?
Co na to Firefox powie, nie będzie się pluł?

Możliwe, że to nie ma sensu, co mówię

[andy]

Cytat:

tam podano jako metodę cache-poisoning DNS, ale są i inne metody. Racja.

Od kiedy jest DNSSEC to ta metoda jest lekko nieaktualna bo każda odpowiedź jest podpisywana

Cytat:

Ale jeśli np. robię site dla zamkniętego kręgu i userom wcześniej podaję root certificate mojego CA, to chyba już niczym to nie będzie różnić się od Thawte, CERTUM itp?
Co na to Firefox powie, nie będzie się pluł?

Nie będzie się pluł jak dodasz root ca do magazynu certyfikatów każdemu użytkownikowi, który ma korzystać z sajta.

[Bartez]

Oczywiście self signed tylko w przypadkach, gdy uwierzytelnianie nie jest priorytetem, nie mamy krytycznych danych i dobrze chronimy swoje klucze.

Można jak najbardziej stworzyć swoje CA, ale z tego co kojarze firefox i tak się będzie plumkał, bo nie jest to zaufany CA.