Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Podpis według wzoru

Podpis według wzoru

Kolejne obowiązkowe zabezpieczenia to ograniczenie dostępnych zasobów (resource quotas), które zapobiegną atakom DoS. Nie pozbawione sensu według Schulmana jest również wprowadzenie pełnego rejestrowania zapytań do bazy (większość baz to umożliwia) i analizowanie wynikowych danych pod kątem potencjalnie niebezpiecznych zapytań. Jest to o wiele lepsze miejsce do poszukiwania ataków SQL injection niż strumień danych HTTP śledzony przez IDS.

Ochrona WLAN

Na sesji poświęconej sieciom bezprzewodowym interesującą analizę ataków oraz zabezpieczeń przed nimi na przykładzie własnej sieci przedstawił John Rhoton z firmy Principal. Rhoton zaprezentował wszystkie znane obecnie techniki atakowania sieci WLAN, na czele z kryptoanalizą szyfrowania protokołu WEP. Autor wspomniał przy tym prezentację przez dwóch pracowników FBI na konferencji ISSA w 2005 r., która omawiała łamanie 128-bitowego klucza WEP w zaledwie 3 min.

Według Rhotona największym zagrożeniem dla sieci WLAN nie są zaawansowane ataki kryptograficzne, a... niezdyscyplinowani użytkownicy. Nawet do najlepiej zabezpieczonej sieci przewodowej ktoś może podłączyć swoją prywatną stację bazową WLAN, otwierając tym samym dostęp do serca sieci intruzom z zewnątrz. W instytucjach korzystających z sieci bezprzewodowych zawsze pojawia się problem wyboru właściwej techniki zabezpieczeń. Według Rhotona protokoły WPA i WPA2 mające zastąpić WEP, chociaż obecnie niezłamane, nie stanowią gwarancji bezpieczeństwa. Autor analizował dwa inne rozwiązania, wykorzystywane w jego firmie do podłączenia dużej ilości klientów mobilnych do sieci szkieletowej. Pierwsze z nich to VPN overlay, czyli przeniesienie zabezpieczeń z warstwy sieci WLAN do warstw wyższych.

W przedstawionej przez Rhotona architekturze stacje dostępowe WLAN nie wymuszają na klientach żadnych zabezpieczeń, jednak klienci podłączający się do stacji bazowej mogą dostać się jedynie do bramki VPN. Rozwiązanie to rodzi dwa problemy. Pierwszy z nich to spory narzut wydajnościowy, rzędu 30% (WPA - 15%), drugi - ryzyko ataków DoS.

Rozwiązanie alternatywne to systemy hybrydowe, łączące zabezpieczenia na poziomie samej sieci i funkcje VPN, działające na sprzęcie o wysokiej wydajności. Wśród dostępnych na rynku rozwiązań są rozwiązania firmy Bluesocket, Perfigo (Cisco), Cranite, Aruba i HP ProCurve, będące wersjami OEM rozwiązań Vernier Networks.

Estonia - ponad połowa obywateli z e-podpisem

Estonia z jej 1,4 mln obywateli i ponad 850 tys. wydanych kart jest jednym z państw europejskich najbardziej zaawansowanych w zakresie używania podpisu elektronicznego. Podpis elektroniczny w Estonii został już także z powodzeniem zweryfikowany w sprawie sądowej. Państwo wydaje wszystkim obywatelom cyfrowe dowody osobiste, będące połączeniem plastikowego dokumentu drukowanego (jak nasze nowe dowody) i dokumentu elektronicznego w formie układu elektronicznego. Karta zawiera dane właściciela oraz dwa certyfikaty - jeden do kwalifikowanego podpisu elektronicznego, drugi do uwierzytelnienia. W Estonii istnieje jedna firma Sertifitseerimiskeskus (SK) wystawiająca na zlecenie rządu certyfikaty i zarządzająca krajową infrastrukturą klucza publicznego. W tym przypadku monopol okazał się zbawienny, ponieważ firma opracowała spójny system e-podpisu.

Estońscy użytkownicy podpisu elektronicznego mają do dyspozycji jedną aplikację do jego składania, ale dostępną dla wielu systemów operacyjnych (m.in. pod Windows i pod Linuxa). SK udostępnia również usługi sieciowe umożliwiające klientom wykonywanie wielu czynności za pomocą interfejsu WWW, a także wykorzystywanie tych funkcji z poziomu własnych aplikacji.

Stworzony przez SK aparat do podpisu elektronicznego obejmuje wymienione aplikacje, usługi sieciowe, biblioteki programistyczne (C i Java, dostępne dla Windows i systemów z rodziny Unix) oraz szereg standardów. Podstawą modelu estońskiego jest format DigiDoc, oparty na XML otwarty standard dokumentów cyfrowych ze zintegrowanym podpisem elektronicznym XML-DSIG. Jest to podstawowy format zapisu dokumentów podpisywanych przez aplikacje SK oraz dostępny przez SOAP interfejs webowy. Wszystkie stworzone przez SK rozwiązania są dostępne z kodem źródłowym i za darmo z liberalną licencją LGPL (można je znaleźć na stroniehttp://www.openxades.org ). W projekt jest również zaangażowana Finlandia.

Austria - e-podpis na każdej karcie

Podpis elektroniczny jest w Austrii koordynowany przez instytucję CIO i obsługiwany przez dwie firmy prywatne. Dzięki współpracy z bankami, wszystkie nowe karty bankomatowe wydawane od tego roku są wyposażone w mikroprocesor do obsługi elektronicznej tożsamości, w tym także e-podpisu. To samo dotyczy kart SIM wydawanych przez operatorów telekomunikacyjnych.

Przedstawiciel CIO Reinhard Posch zaprezentował projekt e-rządu wdrażanego obecnie w Austrii. Zgodnie z założeniami do 2007 r. 65% kontaktów z władzami ma być prowadzonych drogą elektroniczną, a docelowo wszystkie nowe ustawy mają być publikowane wyłącznie w formie elektronicznej. Podstawowym formatem stosowanym w wymianie dokumentów będzie XML i XML-DSIG dla e-podpisu.

W związku z założeniami dotyczącymi elektronicznej publikacji ustaw, które mają być podpisywane elektronicznie, Posch zaprezentował format dokumentu, który również po wydrukowaniu umożliwi weryfikację autentyczności. Format ten obejmuje odpowiednie rodzaje czcionek i układ dokumentu ułatwiający powrót do formy cyfrowej (skanowanie i OCR). Podpis cyfrowy ma być na nim obecny w postaci ciągu liczb wydrukowanych w treści dokumentu, co umożliwia weryfikację po wydrukowaniu i ponownym zeskanowaniu.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas