OpenPGP en X.509 Leon Kuunders Nedsecure Consulting OpenPGP als PKI voor bedrijven.

Slides:



Advertisements
Verwante presentaties
De zin en onzin van escrow
Advertisements

Hardware voor draadloos netwerk
Visual Knowledge Building
Briefconventies 6 januari 2014
LRP PASTORALE EENHEID release 2.1 Koos Willemse.
Door goede gesprekken groeien
Autisme en Mindmap Thuis en op School
Gefaseerd migreren van Novell Netware naar Windows 2000 Server Bon Thomassen Manager R&D Azlan Training
SamenVeilig.net Het effectieve groepsbeveiligingssysteem van BySpy.
Onderwerpen Oude situatie Eerste aanpak en problemen
De kracht van SBA Business Solutions Vanuit een oplossingsgerichte gedachte, waarbij de klant altijd centraal staat, koppelen wij innovatieve producten.
E-RADEN Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.
Metadata proces april 2009 train de trainers. Waar in het werkproces metadata Binnen de organisatie zal afgesproken moeten worden van welke data er metadata.
XELION HOSTED PHONE SYSTEM
PRISM FY11 Hans van der Meer Microsoft Nederland
SSL, HTTPS en SSH Johnny Schaap.
Wat is Certipost?.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Thema-bijeenkomst 6 september 2012
6 Sleutelmanagement L.V. de Zeeuw Cryptografie en ICT.
Infografiek: vergelijken van (S)CRM apps Lien Vandervelde – 3EPM2.
Wat kunnen wij voor uw organisatie betekenen ? Even voorstellen
Jo David. programma’s Microsoft: Outlook Netscape: Messenger andere.
Enterprise Resource Planning (ERP)
Intranet Lieven Gils. Inhoud Wat is intranet? Voor wie is intranet? Het invoeren van intranet. Wat zijn de systeemvereisten? Wat is de kostprijs? Voordelen?Nadelen?
Peter Schwartz The art of the long view stappenplan
Basic Web Services Technology Matthijs Smith & Roel Arents tbv ISS 2005/2006.
De kracht van Herke ICT Group Herke is gespecialiseerd in automatisering en optimalisatie van bedrijfsprocessen in de bouw. Als marktleider in rolgebaseerde.
De kracht van HBSoftware
Wat is dat eigenlijk.  Bij een normale setup wordt van de gebruiker interactie gevraagd.  Moet het een volledige setup zijn, of mogen er delen worden.
Backup & Recovery Windows 2003 Server Onderhoud en Beheer Netwerken 4.
Functioneel Ontwerp.
Web Intake Systeem een uniek gemeentelijk project.
Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Cryptografische algoritmen en protocols (4) Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
PKIoverheid “Get connected” 27 oktober Standard Business Reporting Programma Een initiatief van de Nederlandse overheid.
CLOUD COMPUTING Wat is het? Wie zijn de aanbieders? Is het veilig? Wat kun je er mee? Robert K Bol PVGE Best.
MCSA traject Leerjaar 4 H /10 Agenda Samenvatting H1.
Social media Gemaakt door: Hassie en Sanne. 1.De rol van social media in marketing & internetstrategie De rol van social media in marketing & internetstrategie.
De Digitale Handtekening & Certipost
Media bekijken op afstand De mogelijkheden boven de €500.
Interactieve (Marketing) communicatie COLLEGE 07 SHEET 1 Interactieve (Marketing) Communicatie.
Patrick Huysmans. IEEE a IEEE b IEEE g IEEE n IEEE ac.
MEETING SYSTEMS BV VOOREFFECTIEFVERGADEREN.  Meeting Systems bv levert software als hulpmiddel om het vergaderen te ondersteunen met de volgende kenmerken:
Thesispresentatie LocQSmith project Bedrijf: Barco Purup Eskofot Johan Andries.
Snelle naslag Lync 2013 voor Office 365 © 2012 Microsoft Corporation. Alle rechten voorbehouden. Met Lync kunt u beginnen met samenwerken zonder dat u.
Ordenen van gegevens Inleiding informatiesystemen © Sander Cox.
Kennismanagement & Sociale media
Made by: BadBoysBroekhin
Online filmpjes maken. (
OMAR EZZAT SHALAAN & SALAHEddine aithakki
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
Wat is MultiBel? MultiBel is een alarmerings- en communicatiedienst. U bent in staat om met een paar simpele handelingen tot wel duizenden personen tegelijk.
?.
Let’s go! ›Beginnerspresentatie ›Starten met prospero ›Verschil CMS en web navigator ›Nieuwe content > nieuwe folder aanmaken ›Bestanden uploaden ›Linkobject.
Premium Cloud Backup Makkelijk.Veilig.Betrouwbaar.
Oracle licenties…… Hoe kunt u besparen? David Abeln
Mid-market servercampagne – Thru Partner- presentatie: Dia voor presentator: niet laten zien Spreker: Partner Titel van de presentatie: We geven u het.
Informatica Welkom! maandag 16 November Les B-6.
Zeer eenvoudig in gebruik Geschikt voor elke (sport)club of –vereniging Gecertificeerd voor NSD, een project van NOC*NSF Toekomstgerichte XML technologie.
DigEplan
Uw website beheren was nog nooit zo makkelijk... In het menu vindt u alle opties waarmee u uw site volledig kunt beheren.
Abstract I&I-conferentie Wat maakt een LeerlingVolgSysteem (LVS) tot een succes binnen de organisatie? Natuurlijk moet er worden voldaan aan tal van randvoorwaarden,
Wat is een Back-up Wat is synchroniseren Wat is een kopie maken Vragen vooraf.
Snel en goedkoop een sweater bedrukken Sinds de komst van het internet hebben zich vele interessante ontwikkelingen voorgedaan op het gebied van applicaties.
SharePoint Machtigingen In de Private en Public cloud.
Communicatie (les 1) verbaal (mondeling,praten,luisteren)
Hoe werkt bibliografische software?
End-to-end vercijfering
De architectuur van een internettoepassing bestaat meestal uit een keten van een webclient, een server en bedrijfsinformatiesystemen die gekoppeld zijn.
Transcript van de presentatie:

OpenPGP en X.509 Leon Kuunders Nedsecure Consulting OpenPGP als PKI voor bedrijven

Nedsecure Consulting / Biodata Information Technology Introductie •Het klassieke OpenPGP web of trust is niet geschikt voor bedrijven. •Het web of trust kan in een zeer flexibele hiërarchie worden omgezet. •Het OpenPGP web of trust is eigenlijk beter dan het X.509 systeem.

Nedsecure Consulting / Biodata Information Technology Historie •X.509 is bedoelt voor een hiërarchische structuur, met een CA als centraal vertrouwenspunt. •OpenPGP is ontwikkelt met de mens als centraal vertrouwenspunt.

Nedsecure Consulting / Biodata Information Technology OpenPGP Web of Trust •Alice ontmoet Bob en tekent zijn sleutel. Deze wordt daardoor voor haar geldig. •Alice tekent de sleutel van Bob met een Trusted Introducer handtekening. Hierdoor vertrouwt ze sleutels die door Bob worden getekend. Als Bob vervolgens de sleutel van Charlie tekent wordt deze automatisch geldig voor Alice. Normal Signature BobAlice Trusted Introducer Signature Normal Signature AliceBobCharlie

Nedsecure Consulting / Biodata Information Technology OpenPGP Web of Trust •Alice tekent de sleutel van Bob met een Meta Introducer handtekening. Hierdoor is Bob in staat voor Alice sleutels te tekenen als Trusted Introducer. Sleutels die door deze Trusted Introducer worden getekend worden automatisch door Alice vertrouwd. Alice Trusted Introducer Signature Charlie Normal Signature David Meta Introducer Signature Bob

Nedsecure Consulting / Biodata Information Technology OpenPGP Web of Trust •Dit waren de eenvoudigste voorbeelden. De geldigheid van sleutels en vertrouwen wordt via elke gebruiker doorgegeven waardoor een stervormige structuur ontstaat. •Of een sleutel geldig is of niet wordt bepaald vanuit het gebruikers standpunt. •Het model komt goed overeen met de menselijke handelswijze als het om vertrouwen gaat. •Het maakt op een pijnlijke manier duidelijk waarom bedrijven een hiërarchische structuur willen.

Nedsecure Consulting / Biodata Information Technology Hiërarchie en anarchie •We kijken nog eens naar het eerste voorbeeld, maar hernoemen de sleutel van Bob naar “CA”: Trusted Introducer Signature Alice CA Normal Signature Charlie

Nedsecure Consulting / Biodata Information Technology Hiërarchie en anarchie •Met deze aanpassing van de basis van een web of trust kunnen we een hiërarchische structuur opzetten. •Het is dus de eenvoudigste vorm van een OpenPGP PKI structuur en volledig conform de OpenPGP standaard. •Het X.509 model ziet er precies hetzelfde uit. In X.509 wordt de sleutel echter niet door Alice getekend, maar slaat ze hem op in haar “Trusted Root CA” folder.

Nedsecure Consulting / Biodata Information Technology Een multi-level PKI •Een eenvoudige hiërarchy is in de meeste gevallen niet flexibel genoeg. •Een extra niveau is nodig voor deze flexibiliteit. •We hernoemen de Meta Introducer en de Trusted Introducer. Alice Normal Signature David Root CA Trusted Introducer Signature Normal Signature Meta Introducer Signature User CA

Nedsecure Consulting / Biodata Information Technology Een multi-level PKI •We kunnen meerdere Sub CA‘s introduceren voor bijvoorbeeld: –Afdelingen –Buitenlandse vestigingen –Eigen / inhuur werknemers –Werknemers / partners •De beveiliging van het Root CA certificaat is belangrijk. Gebruik voor het tekenen en valideren van sleutels de eigen bedrijfs Sub CA.

Nedsecure Consulting / Biodata Information Technology OpenPGP en Cross-Certificeren •Doordat een OpenPGP sleutel meerdere handtekeningen kan bevatten is dit eenvoudiger en flexibeler uit te voeren. •Cross-certificeren kan door een Sub CA certificaat van een partner te tekenen met een Trusted Introducer handtekening van het eigen Root Certificaat. •Deze Sub CA sleutel bevat op dat moment twee handtekeningen, die van de partner en die van de eigen organisatie. •Er kan een geldigheidsduur worden meegegeven. •Het beëindigen van de cross-certificering kan door de Trusted Introducer handtekening in te trekken.

Nedsecure Consulting / Biodata Information Technology OpenPGP en Cross-Certificeren Alice Normal Signature Bob CA Trusted Introducer Signature Normal Signature Meta Introducer Signature Charlie Normal Signature David CA Trusted Introducer Signature Normal Signature Meta Introducer Signature Trusted Introducer Signature Organisatie Alpha Organisatie Beta Sub CA

Nedsecure Consulting / Biodata Information Technology Web of trust? •Op de bedrijfs PKI is geen enkele invloed van buitenaf. •Doordat vertrouwen wordt verleend vanuit het gebruikersperspectief heeft het tekenen van een sleutel allen invloed op de persoon die tekent, niet op de ander. •Als een partner besluit het Root CA certificaat te tekenen met een Meta Introducer handtekening dan worden automatisch alle sleutels van de organisatie door de partner vertrouwd. Dit kan gebeuren zonder tussenkomst van de eigen organisatie. •Het is belangrijk het importeren van sleutels in de eigen sleutelring tegen te gaan. Hierdoor kan het intrekken van sleutels moeilijker worden.

Nedsecure Consulting / Biodata Information Technology Gecentraliseerde sleutelgeneratie •De traditionele manier met OpenPGP: Sleutels worden door gebruikers aangemaakt (decentraal) •Bedrijven: Gecentraliseerd sleutels aanmaken –Beschikbaarheid: Backup sleutels •De privé sleutel kan worden teruggehaald i.h.g.v. verlies sleutel of wachtwoord. •De privé sleutel kan worden teruggehaald als een werknemer het bedrijf verlaat. –Sleutels kunnen op een veilige manier worden opgeslagen –Sleutels voldoen aan het bedrijfsbeleid –Publieke sleutels kunnen direct in de PKI kenbaar worden gemaakt.

Nedsecure Consulting / Biodata Information Technology CMR vs. CKR •CMR: Coporate Message Recovery (ADK: Additional Decryption Key) Elk bericht wordt minimaal gecodeerd voor de ontvanger en de bedrijfssleutel. –Single point of failure –Geldt alleen voor berichten die worden verstuurd, niet voor berichten die worden ontvangen –De kans zit er in dat deze sleutel zeer vaak gebruikt moet gaan worden (wachtwoord vergeten, etc...)

Nedsecure Consulting / Biodata Information Technology CMR vs. CKR •CKR: Coporate Key Recovery Van elke encryptie sleutel wordt een backup veilig opgeslagen –Omdat er voor het versleutelen van berichten en het plaatsen van een handtekening verschillende sleutels worden gebruikt blijft de integriteit van de privé sleutel gewaarborgt. –Een sleutel kan worden ingetrokken op het moment dat men de backup nodig heeft.

Nedsecure Consulting / Biodata Information Technology Publiceren van sleutels •OpenPGP biedt twee mogelijkheden: –HTTP keyservers •Tien jaar geleden geïntroduceerd •Benaderbaar met vrijwel elk OS •Extra database •Replicatie issues •Goed inzetbaar voor kleinere installaties en pilots

Nedsecure Consulting / Biodata Information Technology Publiceren van sleutels –X.500 LDAP directories •Sneller, eleganter •Ondersteuning voor onder andere Microsoft Active Directory, Siemens Dir.X, Netscape Directory, Novell NDS •Veel bedrijven hebben reeds een directory infrastructuur •Het inbedden van de PKI in de directory infrastructuur reduceert de kosten gemoeid met het onderhoud

Nedsecure Consulting / Biodata Information Technology Conclusie •Het klassieke Web of trust is voor grotere organisaties niet geschikt •Met een Web of trust kan echter een zeer flexibele hiërarchische structuur worden opgezet •Doordat OpenPGP certificaten meerdere handtekeningen kunnen bevatten is het flexibeler (en pragmatischer) •Als CA model kiezen voor een multi- level ontwerp gebruiken •Het centraal genereren van sleutels biedt duidelijke voordelen •OpenPGP sleutels kan men het beste opslaan in de X.500 directory services