BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Transkript

1 BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant

2 OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj pro ochranu integrity komunikačních sítí kryptografické prostředky pro vzdálený přístup, vzdálenou správu nebo pro přístup pomocí bezdrátových technologií v 25 kryptografické prostředky ochrana důvěrnosti a integrity předávaných nebo ukládaných dat prokázání odpovědnosti za provedené činnosti systém správy klíčů (životní cyklus) generování, distribuce, archivace, změny, ničení, kontroly a audit Algoritmy v souladu s doporučením příloha č. 3 Vyhlášky

3 HSM HARDWARE SECURITY MODULE Co to vlastně je? Specializované vysoce bezpečné zařízení pro: generování silných kryptografických klíčů ochranu privátních klíčů poskytování kryptografických služeb el. podpis, šifrování/dešifrování, výměna klíčů, správu a archivaci kryptografických klíčů Typické způsoby nasazení: sdílené pro více serverů nasazení v HA architektuře

4 HSM HARDWARE SECURITY MODULE Typické příklady správného využití HSM Zabezpečení klíčů pro certifikační autority Zabezpečení klíčů pro provádění el. podpisů v systémech Archivace klíčů elektronická pošta S/MIME šifrování dat šifrování FS, disků Podpora šifrování v databázi Akcelerace SSL/TLS komunikace

5 HSM HARDWARE SECURITY MODULE Podporované standardy a zabezpečení Certifikace FIPS Level-3, ISO15408 (CC) EAL4+ symetrické algoritmy (včetně AES) asymetrické algoritmy ( ) algoritmy pro výměnu klíčů hashovací funkce generátor náhodných posloupností Dostupné API CSP pro MS CryptoAPI/CNG Java JCE/JCA CSP PKCS#11 Detekce narušení fyzické integrity zařízení Odolnost vůči vniknutí rozdělení zařízení na přístupnou (možný servis) a nepřístupnou část neprůhledný epoxid, speciální šrouby detekce otevření senzory světla, teploty Detekce SW narušení testy integrity s automatickou reakcí (smazání dat) v případě detekce Narušené zařízení nelze použít bez provedení továrního resetu

6 MOŽNOSTI UPLATNĚNÍ HSM V ORGANIZACI Partneři Nedůvěryhodná síť DMZ Důvěryhodná síť web Autentizační server Aplikační servery Databáze Vývoj Router FW SW Access Point Mobilní zařízení uživatelů IDS CA HSM Externí uživatelé Logování / reportování (SIEM)

7 PŘÍPADOVÁ STUDIE IMPLEMENTACE HSM MODULŮ V ČNB

8 ČESKÁ NÁRODNÍ BANKA ČNB je ústřední centrální bankou České Republiky je součástí Evropského systému centrálních bank je součástí Evropského dohledu nad finančními trhy Vykonává tyto základní funkce péči o cenovou stabilitu, určuje měnovou politiku, vydává bankovky a mince dohlíží na peněžní oběh, platební styk a zúčtování bank vykonává dohled nad finančními trhy poskytuje bankovní služby státu a veřejnému sektoru vede účty organizacím a osobám napojeným na státní rozpočet

9 POUŽÍVÁNÍ E-PODPISU A KRYPTOGRAFIE V ČNB Příklady, kde se používají kryptografické prostředky Pro externí subjekty internetové bankovnictví služby zúčtovacího centra bank Pro interní potřebu interní PKI infrastruktura interní provozní systémy integrace na externí IS státní správy

10 ZADÁNÍ PROJEKTU Z pohledu ICT a bezpečnosti Zvýšení ochrany pro kritická firemní aktiva (klíče) Uplatnění pro certifikační autority provozované informační systémy podpora pro vývoj vlastních aplikací Režim vysoké dostupnosti a bezpečnosti dvě vzdálené lokality systém více očí separace rolí pro správu

11 ROZSAH POŽADOVANÝCH SLUŽEB Implementace HSM modulů V ČNB Podrobná implementační studie zavedení HSM modulů Dodávka a implementace síťových HSM modulů (FIPS level 3 certifikace) v rámci veřejné zakázky vybrána technologie Thales nshield Connect F3 Podpora migrace stávajících informačních systémů na HSM moduly včetně přípravy postupů migrace klíčů Migrace stávajících interních CA na HSM moduly včetně podpory provozu v clusteru Zátěžové testy a školení obsluhy Podrobná dokumentace implementace a správy řešení

12 IMPLEMENTACE V PROSTŘEDÍ ČNB Základní vlastnosti vybudované HSM infrastruktury HSM infrastruktura je vybudována jako vysoce dostupná umístění HSM ve dvou lokalitách, podpora napojení přes nezávislé sítě vybrané systémy využívají 2 HSM moduly v režimu active/active Implementace systému více očí pro správu HSM používání čipových karet správců v režimu min. 2 z N pro autorizaci vybraných úkonů Separace rolí při správě klíčů různých systémů a prostředí (PROD/TEST) Migrace stávající interní PKI infrastruktury včetně zachování stávajících klíčů Vytvoření prototypů aplikací s napojením na služby HSM modulů pro potřeby interního vývojového týmu

13 PŘÍNOSY PROJEKTU Jednotná robustní platforma pro správu klíčů v režimu vysoké dostupnosti pro všechna používaná prostředí Centralizace správy a dohledu nad životním cyklem klíčů oddělení správy klíčů pro jednotlivé systémy, systém více očí napojení na dohledové systémy banky Podpora standardních rozhraní pro napojování případných dalších systémů např. šifrování DB, SSL/TLS komunikace,

14 HSM HARDWARE SECURITY MODULE Shrnutí Vysoce bezpečné zařízení pro ukládání klíčů Jedno z organizačních opatření podle ZoKB kryptografický prostředek - 5, odst. 1, pís. j) Univerzální použití Dnes není výsadou pouze bank a mezinárodních korporací širší použití v komerční sféře především s ohledem na elektronický podpis

15