Utvärdering av säkerhetsspecifikationer för XML

Storlek: px
Starta visningen från sidan:

Download "Utvärdering av säkerhetsspecifikationer för XML"

Transkript

1 Utvärdering av säkerhetsspecifikationer för XML MATS ERICSSON Examensarbete Stockholm, Sverige 2005 TRITA-NA-E05106

2 Numerisk analys och datalogi Department of Numerical Analysis KTH and Computer Science Stockholm Royal Institute of Technology SE Stockholm, Sweden Utvärdering av säkerhetsspecifikationer för XML MATS ERICSSON TRITA-NA-E05106 Examensarbete i datalogi om 20 poäng vid Programmet för datateknik, Kungliga Tekniska Högskolan år 2005 Handledare på Nada var Henrik Eriksson Examinator var Johan Håstad

3 Utvärdering av säkerhetsspecifikationer för XML Sammanfattning Webbtjänster är nytt inom Internetbaserade tillämpningar och transaktioner. De teknologier som är basen för webbtjänster är samtliga uppbyggda på XML. Som för alla nya tekniker dyker säkerhetsfrågorna upp. För webbtjänster är det extra tydligt, eftersom information ska skickas över nätet. Nya standarder för hur dessa tjänster skall skyddas kommer fram på marknaden. Hur dessa standarder är uppbyggda hur de fungerar samt vad de har för användningsområde kommer att beskrivas i denna rapport. Rapporten innefattar en beskrivning av följande standarder: XML Signature är en specifikation som anger hur ett XML-dokument kan signeras och verifieras. XML Encryption är en specifikation som anger hur ett XML-dokument ska krypteras och dekrypteras. XKMS, XML Key Management Specification, anger hur publika nycklar registreras och distribueras, speciellt med fokus på utbyte av information mellan parter som aldrig kommunicerat med varandra tidigare. SAML, Security Assertion Markup Language, är en XML-baserad teknik för att utbyta information om autentisering och auktorisering. XACML, extensible Access Control Markup Language, bildar ett reglerverk för hur information ska kommas åt via ett nätverk. Den innehåller bland annat hantering av digitala rättigheter. Evaluation of security specifications for XML Abstract Web Services are new within Internet based applications and transactions. The four technologies that form the base for Web Services are all based on XML. A relevant concern to all new technologies is security. For Web Services, security is especially important since the information presented is transmitted over the Internet. New standards for web information protection evolve continuously. Some of these new standards and their application will be discussed in the following report. The report consists of a description of the following standards: XML Signature is a specification that states how an XML-document can be safely signed and verified. XML Encryption is a specification that states how to encrypt and decrypt XMLdocuments. XKMS, XML Key Management Specification states how public keys are registered and distributed, with careful attention paid to the exchange of information between parties which have never traded information previously. SAML, Security Assertion Markup Language is an XML-based technique to exchange information of authentication and authorization. XACML, extensible Access Control Markup Language outlines rules for how to access information via a network, including their digital rights.

4 Förord Uppdragsgivare för examensarbetet har varit CNet Svenska AB. Arbetet startade i oktober 2004 och avslutades i april 2005 och har genomförts i CNet:s lokaler i Mörby. Jag har lärt mig mycket under arbetets gång, och fått nya erfarenheter som jag i framtiden kan dra lärdom av. Jag hoppas att den rapport som jag lämnar efter mig kommer att vara till nytta för företaget i dess fortsatta arbete med XML-säkerhet. Jag vill tacka samtliga på CNet och speciellt min handledare Mathias Axling. Stockholm april 2005 Mats Ericsson

5 Förkortningar Rapporten innehåller en hel del förkortningar. Här följer en lista på dessa: AES Advanced Encrypted Standard CA Certificate Authority DES Data Encrypted Standard OASIS Organization for the Advancement of Structured Information Standards PDP Policy Decision Point PEP Policy Enforcement Point PKCS Public Key Cryptographic Standard PKI Public Key Infrastructure SAML Security Assertion Markup Language SHA-1 Secure Hash Algorithm SOAP Simple Object Access Protocol SSL Secure Socket Layer SSO Single Sign On TSL Transport Layer Security W3C World Wide Web Consortium XACML extensible Access Control Markup Language XKMS XML Key Management Specifikation XML extensible Markup Language

6 Innehållsförteckning 1 Inledning Beskrivning av området Bakgrund Webbtjänster Säkerhetsfrågor vid användning av webbtjänster Standardiseringsorganen Kryptering Symmetrisk kryptering Asymmetrisk kryptering Symmetriska krypteringsalgoritmer Asymmetriska krypteringsalgoritmer Digitala signaturer Public Key Infrastructure (PKI) Certificate Authority (CA) XML Signature Allmänt Uppbyggnad Användningsområden XML Encryption Allmänt Uppbyggnad Användningsområden XKMS Allmänt Uppbyggnad Binding Användningsområden SAML Allmänt Uppbyggnad Användningsområden Behovet av SAML XACML Allmänt Uppbyggnad... 29

7 8.3 Användningsområden Request/Response Praktiska erfarenheter XML Signature XML Encryption XML Encryption kombinerat med XML Signature Prototyp Slutsats Referenslista... 40

8 Inledning 1 Inledning Arbetet är utfört hos CNet Svenska AB som är ett företag som utvecklar och säljer XMLbaserade produkter och tjänster för digital innehållshandel och publicering. Under de senaste åren har det kommit ett flertal säkerhetsstandarder för XML som CNet tror sig kunna ha nytta av att använda i sina produkter. Dessa standarder är obeprövade och det finns ett behov av att kartlägga dem. Detta arbete är därför gjort för att på en övergripande nivå beskriva de fem på marknaden mest kända säkerhetsspecifikationer som finns för XML. Rapporten inleds med en beskrivning av området för att läsaren skall få en uppfattning om vad det finns för problem och säkerhetsbehov i Internetvärlden. Rapporten är även till för att de nya teknikerna lättare skall kunna placeras i sitt sammanhang. Därefter följer en genomgång av hur kryptering fungerar eftersom det är kryptering som ligger till grund för dessa nya tekniker. De fem olika specifikationerna redovisas därefter i detalj med uppbyggnad och användningsområde. Sist redovisas erfarenheterna av de praktiska tester som gjorts under arbetets gång samt slutsatsen av detta arbete. -1-

9 Beskrivning av området 2 Beskrivning av området 2.1 Bakgrund Vad är den viktigaste faktorn för framväxten av globaliserad teknik är det hårdvaruutvecklingen eller mjukvaruutvecklingen? Ofta är det korrekta svaret: Ingendera! Den avgörande faktorn heter i många fall standardiseringsarbete. En jumbojet och en 3G-telefon har en egenskap gemensamt de vore oanvändbara om det inte fanns standardiseringsdokument, tusentals tråkiga sidor! Och när man tänker på det sättet blir dokumenten genast lite mindre tråkiga. Inom datavärlden har standardiseringen ofta stupat på motstånd från de största företagen. Ett formaterat dokument kan till exempel ofta bara läsas av ett visst program från Microsoft, men för Internet i allmänhet och webben i synnerhet har arbetet varit framgångsrikt. Det gäller särskilt sedan XML slog igenom för tio år sedan. Ett XML-dokument kan lätt tolkas av både människor och datorer, en egenskap som gör det lätt att få standarderna accepterade. Rapporten behandlar nya säkerhetstekniker för Internettrafik och webbtjänster. Några är antagna av standardiseringsorganet W3C, andra står på kö för att bli det. Jämfört med flygtrafik och telekommunikation är Internet nästan oreglerat. Det gör behovet av säkerhetsstandarder så mycket större. I takt med att nya tekniker utvecklas kräver det nya sätt att upprätthålla den säkerhet som behövs. 2.2 Webbtjänster Webbtjänster är ett begrepp som det pratats mycket om de senaste åren. När man använder ordet tjänst så handlar det om att någon utför en uppgift åt dig. När det är fråga om webbtjänster handlar det om hur olika elektroniska tjänster kan göras tillgängliga för andra system som antingen kan vara inom eller utanför samma organisation. Det handlar alltså om att skapa en integration mellan olika system. På liknande sätt som en programmerare sätter ihop olika objekt till ett program går det att anropa olika webbtjänster som sedan kan användas tillsammans. Dessa webbtjänster är i huvudsak uppbyggda kring tre olika standarder: UDDI, Universal Description, Discovery, and Integration, som används för att upptäcka en webbtjänst. WSDL, Web Service Description Language, som används för att beskriva gränssnittet för en webbtjänst. SOAP, Simple Object Access Protocol, som talar om hur meddelanden skall skickas till webbtjänster. Gemensamt för dessa tre standarder är att de är baserade på XML. En stor fördel med detta är att de är helt språkoberoende. De är helt oberoende av plattform och programmeringsspråk vilken är en av anledningarna till att webbtjänster blivit så populära att använda. Dock finns det saker som bromsat denna utveckling och den största anledningen är säkerheten. Eftersom webbtjänster distribueras över Internet är de väldigt känsliga för attacker. Genom att SOAPmeddelanden skickas med HTTP som underliggande transportprotokoll innebär det att meddelanden kommer passera genom brandväggar utan några problem. Obehöriga personer kan olovligt få tillgång till tjänster och information och SOAP-meddelanden som skickas över oskyddade nätverk kan avlyssnas eller förfalskas. -2-

10 Beskrivning av området Dessa problem kan lösas på egen hand genom egna säkerhetssystem, vilket inte är någon bra lösning. Om alla webbtjänster hade olika metoder för hur de skulle kryptera ett meddelande skulle de inte kunna kommunicera med varandra, vilket ju var en av huvudanledningarna till att använda sig av webbtjänster. En bättre lösning vore att det fanns ett standardiserat sätt att exempelvis kryptera. Det har därför under de senaste åren kommit fram ett antal nya säkerhetsrekommendationer av vilka några blivit standarder. 2.3 Säkerhetsfrågor vid användning av webbtjänster När nya tekniker tas i bruk aktualiserar det också säkerhetsfrågorna och detta gäller framförallt då information skall skickas över nätet. Dessa nya tekniker kräver nya metoder att skydda den information som skickas. När det gäller webbtjänster är det flera typer av säkerhetsfrågor som dyker upp. Vem är det som skickat informationen? Vem ansvarar för att den mottagna informationen stämmer? Hur vet jag att ingen obehörig läst meddelandet? Webbtjänster kan även kommunicera och samarbeta med varandra, vilket gör att ytterligare säkerhetsfrågor aktualiseras. Olika tjänster kan ha olika typer av behörighet. En person som har tillgång till en tjänst kanske inte har tillgång till en annan. Det gäller därför inte enbart att skydda informationen som skall skickas till webbtjänsten, utan det kan även handla om att endast vissa användare skall ha tillgång till vissa tjänster. Detta innebär att den som skall använda tjänsten måste vara identifierad. Detta är några av de problem som måste lösas för att göra webbtjänster på nätet säkrare. Det finns redan idag möjligheter att skydda information, men oftast är inte dessa metoder tillräckliga eller har den flexibilitet som erfordras. Till exempel kan SSL användas för kryptering, men denna metod lämpar sig inte då en kedja med webbtjänster som kommunicerar skall kryptera den del i ett meddelande de själva ansvarar för. Grunden för att skapa säkra webbtjänster bygger på teknikerna för kryptering, autentisering, auktorisering och tidsmärkning som kom fram redan på 1970-talet. Detta innebär att de är väl beprövade och har bevisat att de fungerar. Men för att använda dessa till fullo krävs standardiseringsarbete och lagstiftande som ännu bara finns till hälften. Det krävs alltså nya typer av standardiserat format för meddelanden som skall skickas. Standardisering är därför en viktig del då detta skall uppnås. Det har gjort att det under de senaste åren dykt upp nya rekommenderade standarder som är till för att göra transaktioner på nätet säkrare. Gemensamt för dessa standarder är att de är uppbyggda helt av XML och de utnyttjar även att informationen som skall skickas även den är uppbyggd av XML. Möjligheten att t.ex. kunna kryptera eller signera endast en del av ett meddelande som skall skickas har tidigare varit ett problem. Tack vare att XML är så strukturerat är det nu möjligt att göra detta. Frågan är då vad det är för standarder, hur de är uppbyggda, vad de skall användas till, samt vad de fyller för behov? Eftersom dessa nya standarder är nya och obeprövade finns det ett behov av att gå igenom dessa, utreda vad det är för problem de är tänkta att lösa, samt hur bra de lyckas med detta. -3-

11 Beskrivning av området 2.4 Standardiseringsorganen När det finns saker som kan lösas på flera olika sätt så uppstår det problem. Om alla hade sin egen lösning skulle det inte gå att samverka. För att lösa dessa problem behövs det standardiseringsorgan. De standarder som beskrivs i denna rapport är framtagna av två olika organ. Det ena av dessa är Wide Web Consortium (W3C), ett internationellt konsortium som arbetar för att utveckla webbstandarder. W3C grundades 1994 och dess uppdrag är: To lead the World Wide Web to its full potential by developing protocols and guidelines that ensure long-term growth for the Web Det andra är Organization for the Advancement of Structured Information Standards (OASIS) som är ett konsortium som driver utvecklingen av e-handelsstandarder. OASIS grundades 1993 under namnet SGML Open och arbetade då med att ta fram riktlinjer för produkter som stödjer Standard Generalized Markup Language (SGML) byttes sedan namnet till OASIS för att återspegla det utökade arbetet som då även kom att innefatta XML och andra liknande standarder. -4-

12 Kryptering 3 Kryptering För att förstå hur XML-specifikationerna fungerar och hur de är uppbyggda krävs viss kunskap om kryptering. Därför följer ett kapitel där de krypteringsalgoritmer som kommer att användas beskrivs övergripande. 3.1 Symmetrisk kryptering Vid symmetrisk kryptering används samma nyckel både när man krypterar ett meddelande och när man skall dekryptera det. Detta innebär att nyckeln måste vara känd hos båda parter samt hållas hemlig för alla andra. Bild 2-1 illustrerar hur symmetrisk kryptering går till. Krypteringsformlerna är enklare än vid asymmetrisk kryptering vilket gör att det går fortare att kryptera ett meddelande. Däremot måste utbyte av nycklar ske på ett säkert sätt innan man kan kryptera meddelanden till varandra. Verifikation av avsändaren (autentisering) behövs sedan inte eftersom avsändaren måste ha haft tillgång till nyckeln. Bild 2-1 Illustration av hur symmetrisk kryptering går till 3.2 Asymmetrisk kryptering Vid asymmetrisk kryptering används två olika nycklar. En publik nyckel som kan delas ut och en privat som man håller hemlig. Dessa nycklar hänger ihop på så vis att ett meddelande som krypteras med mottagarens publika nyckel endast kan dekrypteras med mottagarens privata nyckel (bild 2-2). Problemet med distribution av hemliga nycklar försvinner därmed. Bild 2-2 Illustration av hur aymmetrisk kryptering går till Men hur skall användaren kunna verifieras? Alla har ju tillgång till den publika nyckel som behövs för krypteringen. -5-

13 Kryptering Autentisering sker genom att avsändaren tar sin privata nyckel samt meddelandet som skall skickas och skapar en signatur. Mottagaren som verifierar tar meddelandet, signaturen och avsändarens publika nyckel gör en beräkning och godkänner den eller inte. 3.3 Symmetriska krypteringsalgoritmer De vanligaste krypteringsalgoritmer som används vid symmetrisk kryptering är: DES (Data Encryption Standard) Triple DES AES (Advanced Encryption Standard) DES DES är den mest kända symmetriska algoritmen och finns definierad i [FIPS 46-3]. DES använder nycklar som är 64 bitar långa. Den minst signifikanta biten i varje byte är en paritetsbit som ser till att det är udda antal ettor i varje byte. Därför blir den effektiva nyckelstorleken 56 bitar och den totala nyckelrymden blir 2 56 olika nycklar. Meddelandet som skall krypteras delas upp i block på 8 byte som nyckeln sedan utför bitoperationer på. För att undvika att kryptera många block i rad med samma behandling, vilket kan vara känsligt för en kryptoanalys, är den vanligaste metoden CBC som beskrivs i [FIPS 81]. Den skapar med hjälp av XOR operationer en relation mellan tidigare krypterade textblock och det som skall krypteras. På detta vis åstadkommer man att samma text på två olika ställen inte får samma kryptering Triple DES En svaghet som finns med DES är dess begränsade nyckelrymd. En brute force attack kräver bara att man testar alla möjliga nycklar i DES nyckelrymd (2 56 nycklar) tills man hittar rätt. För att motverka en dylik attack behövs en större nyckelrymd. Detta gjorde att IBM tog fram en ny variant av DES där krypteringen körs i tre steg. Algoritmen kallas Triple-DES och förutsätter att nyckeln ökas till 192 bitar varav 168 bitar är effektiva. Texten som skall krypteras delas fortfarande upp i block om storlek 8 bytes. Dessa krypteras först med de första 64 bitarna ur nyckeln. Sedan dekrypteras de med de 64 mittersta bitarna ur nyckeln. Sist krypteras de med de sista 64 bitarna ur nyckeln. Bild 2-3 visar hur det går till. Bild 2-3 Visar hur Triple-DES går till. -6-

14 Kryptering AES AES är en ny symmetrisk blockalgoritm som håller på att ersätta den tidigare DES-algoritmen. AES-algoritmen bygger på det vinnande bidraget från en tävling som anordnades av National Institute of Standards and Technology (NIST) Denna blockalgoritm är snabbare än den tidigare DES algoritmen och finns i tre olika nyckelstorlekar, 128, 192 och 256 bitar. Den arbetar med blockstorlekar av 16 byte och kan i likhet med DES-algoritmen kompletteras med olika bitoperationer på texten som skall krypteras. CBC är den vanligaste och den som rekommenderas. 3.4 Asymmetriska krypteringsalgoritmer Den vanligaste algoritmen som används vid asymmetrisk kryptering är RSA RSA RSA är den mest kända algoritmen för asymmetrisk kryptering, utvecklad av Ron Rivest, Adi Shamir och Len Adleman och publicerad Teorin bakom RSA är relativt enkel. Grunderna är en trehundra år gammal matematisk sats. Säkerheten bygger på att det är mycket lätt att multiplicera två primtal men mycket krävande att faktorisera ett givet tal i sina primtalskomponenter om de ingående primtalen är stora. Det finns idag inga effektiva metoder att faktorisera ett heltal i sina primtalskomponenter. Exempelvis är 7907 och 7919 två primtal och deras produkt beräknas lätt med ett fåtal räkneoperationer till , men att faktorisera detta tal är desto svårare. Emellertid är det tänkbart att en ännu oupptäckt effektiv faktoriseringsalgoritm kan komma att knäcka RSA- en oroande tanke för bankerna. 3.5 Digitala signaturer De två vanligaste signaturmetoderna är: RSA Signatur DSA Signatur När man skall skapa en digital signatur på ett dokument används en hashfunktion. Hashfunktionens uppgift är att komprimera ett meddelande av godtycklig längd till en kontrollsumma (hash value) av fast längd. Det är inte möjligt att räkna ut det ursprungliga meddelandet med hjälp av kontrollsumman. Att det inte finns någon möjlig metod att pröva sig fram till ett meddelande från en kontrollsumma är ett allmänt vedertaget antagande som finns i akademiska kretsar. Den mest använda hashfunktionen vid signering av dokument är SHA-1, som finns specificerad i [FIPS 180-1]. Den tar emot ett godtyckligt lång byteföljd och räknar fram ett 20 byte stort värde. SHA finns i flera varianter, SHA-256 som skapar ett 32 bytes värde och SHA-512 som skapar ett 64 bytes värde. Dessa är säkrare än SHA-1 eftersom värderummet är större RSA Signature När en digital signatur skall skapas med RSA beräknar sändaren en kontrollsumma med hjälp av SHA-1 och krypterar denna summa med hjälp av sin privata nyckel. Detta krypterade värde skickas tillsammans med originaltexten till mottagaren. Mottagaren dekrypterar värdet med sändarens publika nyckel och använder samma hashalgoritm på texten -7-

15 Kryptering och får fram ett värde. Om dessa kontrollsummor stämmer överens kan man anta att sändaren är rätt person och att texten inte har blivit ändrad under överföringen DSA (Digital Signature Algorithm) DSA står för Digital Signature Algorithm och finns specificerad i [FIPS 186]. Det är den amerikanska federala myndighetens standard för digitala signaturer. DSA använder en publik och en privat nyckel på ungefär samma sätt som RSA men bygger på diskret logaritm istället för på faktorisering. Den privata nyckeln används för att signera det värde man får från SHA-1 hashfunktion på den inkommande texten medan den publika nyckeln används vid verifieringen. Vid användande av DSA går det fortare att signera ett dokument än att verifiera det. Detta kan ses som en nackdel då man oftast signerar ett dokument en gång men verifierar det flera gånger. 3.6 Public Key Infrastructure (PKI) Public Key Infrastructure är ett omfattande system som upprätthåller och behandlar krypteringsnycklar och certifikat. PKI är ett samlingsnamn för ett flertal system där publik nyckelkryptering används. Det är framför allt tre saker som PKI innefattar. Certifiering: Skapa certifikat. Verifiering: Verifiera att innehållet i ett certifikat stämmer. Revokering: Dra tillbaka certifikat som inte längre är giltiga. 3.7 Certificate Authority (CA) Certificate Authority (CA) uppgift är att utfärda och tillhandahålla identitetsinformation i form av digitala certifikat [Gokul, 2002]. För att asymmetrisk kryptering skall fungera krävs det att en publik nyckel är kopplad till en Användare. Går det inte att koppla nyckeln till en identitet är det meningslöst att kryptera eftersom man då inte kan vara säker på vems nyckel det är man använder. För att skapa en koppling mellan en användare (som kan vara en person eller ett företag) skapas ett certifikat som innehåller den informationen. Fortfarande går det inte att vara säker på att informationen som finns i ett certifikat är riktig och det behövs därför en part som kan verifiera att informationen stämmer. Denna tredje part kallas för en Certificate Authority (CA), vars uppgift är att verifiera att innehållet i certifikatet stämmer. För att skapa verifieringen signerar CAn certifikatet med sin privata nyckel. Detta innebär att de som vill kontrollera att innehållet i ett certifikat stämmer måste lita på Can och känna till CAs publika nyckel. -8-

16 XML Signature 4 XML Signature Den första standarden som beskrivs är XML Signature, det är en W3C standard som används för att signera dokument. Standarden offentliggjordes i februari 2002 som en W3C rekommendation. 4.1 Allmänt XML Signature kombinerar styrkan av digitala signaturer med flexibiliteten av XML. Med hjälp av XML-Signaturer kan man skapa en integritetsgaranti då ett dokument skickas mellan två parter, och även verifikationsinformation om författaren av ett meddelande [Rosenberg 2004]. Ett XML dokument kan signeras och sedan skickas iväg som vilket dokument som helst, men när olika delar av samma dokument kräver olika behandling så finns det inget bra sätt att gå tillväga. Det är då man kan dra fördel av XML och dess strukturerade uppbyggnad. Med XML Signature kan man på ett flexibelt sätt signera olika typer av datainformation. Det kan vara delar av ett XML-dokument, ett helt XML-dokument eller något helt annat dataformat. Den vanligaste tillämpningen är dock att signera delar av ett XML-dokument och det är då det går att utnyttja fördelarna med XML-Signaturer. En XML-signatur är i sig själv ett XML-dokument, som uppfyller alla krav som krävs för ett välformulerat XML-dokument. All information som behövs för att skapa och verifiera en signatur finns inbyggd i själva signaturrepresentationen. 4.2 Uppbyggnad Hur en XML Signatur är uppbyggd och vilka element som ingår finns beskrivet i specifikationen [XML Signature]. En XML Signature omfattas av en mängd olika element, många av dem är frivilliga men vissa är obligatoriska. För att visa Strukturen och hur en XML Signature är uppbyggd och vilka grundelement som en signatur måste innehålla visas följande exempel: <Signature ID?> <SignedInfo> <CanonicalizationMethod /> <SignatureMethod Algorithm> (<Reference URI?> (<Transforms />)? <DigestMethod Algorithm> <DigestValue /> </Reference>)+ </SignedInfo> <SignatureValue /> (<KeyInfo />)? </Signature> Signature elementet är själva rotelementet och innehåller information om den digitala signaturen. Den har ett frivilligt attribut ID som dock måste användas om man har flera signaturer i samma dokument som ska refereras till. Den har två stycken underelement SignedInfo samt SignatureValue. SignedInfo är det element som innehåller all information som behövs om vad det är som har signerats och hur det har signerats. -9-

17 XML Signature CanonicalizationMethod: Två stycken XML dokument som har exakt samma logiska utseende behöver inte representeras av samma text. Ett exempel på det visas här: <root> <root> <a >text</a> <a>text</a> <b a1="yes" a2="no"></b> <b a2="no" a1="yes" /> </root> </root> Problem kan uppstå då ett dokument skickas mellan olika operativsystem. Eftersom olika operativsystem representerar t.ex. radbrytning på olika sätt så kommer ett dokument inte få samma representation och därmed kommer signaturen inte att bli godkänd. För att komma till rätta med sådana problem används en kanoniseringsalgoritm 1 för att få en kanonisk form på XML-dokumentet. SignatureMethod innehåller attributet Algorithm. Det är den som talar om vad det är för krypteringsalgoritm som använts vid signeringen. Reference-elementet talar om var man hittar den data som har signerats genom en sökväg med hjälp av URI-attributet. En signatur kan innehålla godtyckligt antal referenser, och de kan vara antingen till en extern fil eller till en del i samma dokument. Är det ett XML-dokument som signeras är det möjligt att referera till ett specifikt XML-element i filen. Transforms används när ett XML-dokument skall signeras på ett väldigt specifikt sätt. Dessa används till att transformera dokumentet och på så sätt få fram de delar som ska signeras. Transformerna kan t.ex. vara XPath eller XSLT transfomer. DigestMethod innehåller ett attribut Algorithm som talar om vad det är för algoritm som används för att hasha det data som skall signeras. De data som skall hashas är specificerad i referens elementet. DigestValue innehåller det hashade värdet. Detta värde är kodat i Base64-format. SignatureValue: Med hjälp av algoritmen som finns i SignatureMethod signeras hela SignedInfo-elementet och det signerade värdet lagras i detta element. Detta värde är kodat i Base64-format KeyInfo är ett frivilligt element som används för att skicka information om den publika nyckel som skall användas vid verifieringen. När en XML-Signatur skapas kan den placeras i ett dokument på tre olika sätt. Enveloped Signaturen är inbäddad i XML dokumentet. <Original_document> <Signature>...</Signature> </Original_document> Enveloping Signerade filen är inbäddad i XML signaturen. <Signature> <Original_document> </Original_document> </Signature> Detached Signaturen och den signerade filen är separerade från varandra. <Signature>...</Signature> <Original_document>...</Original_document> Det är möjligt att signera flera olika källor med en och samma signatur med hjälp av <Reference>-elementen vilket innebär att en signatur kan vara både Detached och Enveloping på en och samma gång. 1 Specifikationen för hur kanonisering av ett XML-dokument går till finns på:

18 XML Signature Exempel på hur en signatur kan se ut: <Signature Id="MyFirstSignature" xmlns=" <SignedInfo> <CanonicalizationMethod Algorithm=" <SignatureMethod Algorithm=" <Reference URI=" <DigestMethod Algorithm=" <DigestValue>j6lwx3rvEPO0vKtMup4NbeVu8nk=</DigestValue> </Reference> </SignedInfo> <SignatureValue>MC0CFFrVLtRlk=...</SignatureValue> <KeyInfo> <KeyValue> <RSAKeyValue>... </RSAKeyValue> </KeyValue> </KeyInfo> </Signature> Signaturen i detta exempel har signerat det XML-dokument som finns i Reference-elementet. För att signera så har RSA använts som asymmetrisk nyckel tillsammans med SHA-1 som hashfunktion. Den innehåller även ett KeyInfo-elementet, detta är ett frivilligt element som används för att skicka med den publika nyckel som skall användas vid verifiering. Detta element beskrivs mer i nästa kapitel Frivilliga signaturelement Det finns en del element som är frivilliga men som ibland är användbara. Detta kapitel beskriver några av dem <KeyInfo> XML Signature talar inte om hur man skall få tillgång till den publika nyckeln som skall användas för att verifiera en signatur. Men det är möjligt för den som skapat signaturen att skicka med information om verifieringsnyckeln genom <KeyInfo> elementet. Syfte med detta element är att ge den information om nyckeln som krävs för att kunna verifiera signaturen. Eller den information som krävs för att hitta nyckeln som skall användas vid verifiering. Elementet är flexibelt och användaren har stor möjlighet att själv välja hur elementet skall användas. Strunta helt i elementet Tillhandahålla nyckeln direkt i XML-dokumentet Tillhandahålla nyckeln i ett certifikat Ge ett namn på en nyckel, så att mottagaren kan hitta den själv Eftersom nyckelelementet är så flexibelt och tillåter så stor variation av möjligheter att tillhanda information är alla ingående element frivilliga. Strukturen för vilka element som ett KeyInfo element kan vara uppbyggt av visas i följande exempel: -11-

19 XML Signature (<KeyInfo (id=)?> (<KeyName>)? (<KeyValue>)? (<RetrievalMethod>)? (<X509Data>)? <KeyInfo>)? KeyName innehåller ett namn på nyckeln som skall användas. Detta alternativ kan vara bra då mottagaren har en mängd nycklar men inte vet vilken av dem som skall användas. Det är då möjligt att ange ett namn på nyckeln så att mottagaren kan hitta den. KeyValue innehåller själva nyckeln. Det finns två typer av nycklar RSA och DSA och dessa är kodade i Base64 format. RetrievalMethod används för att referera till en nyckel som finns lagrad på en annan plats. X509Data består av ett certifikat som innehåller den publika nyckeln <Object> Om ytterligare information ska ingå i signaturen så läggs den in i ett <Object>-element. Denna information kan gälla vissa egenskaper om signaturen som tidsmärkning. En viktig sak man bör tänka på är att saker som finns i ett objekt inte signeras automatiskt utan måste bli refererade till från <reference>-elementet. 4.3 Användningsområden Det främsta användningsområdet för XML Signaturer är att signera dokument eller delar av ett dokument och på så sätt verifiera att det som signerats inte har ändrats. Eftersom dokumentet är signerat med sändarens privata nyckel är det möjligt för mottagaren att kontrollera att det verkligen är rätt avsändare som signerat dokumentet. Det finns även andra tillfällen när det är bra att signera delar av ett dokument. Det kan t.ex. vara bra då en person skall läsa igenom en text och godkänna innehållet i den. Om man då inte har läst igenom hela dokumentet men vill signera den del som är genomläst så är detta en bra lösning. Det är främst XML-dokument som det är tänkt att signera, men det är även fullt möjligt att signera andra typer. Det går då inte att dra nytta av alla fördelar men man får i alla fall den tydliga strukturen i form av en XML Signatur. -12-

20 XML Encryption 5 XML Encryption XML Encryption är en föreslagen standard från W3C som används för att kryptera dokument. XML Encryption är en efterföljare till XML Signature och används för att hålla information som skickas hemlig. Standarderna har stora likheter och delar en mängd begrepp och XML-element med varandra. 5.1 Allmänt Det finns flera metoder för att skicka information som inte ska kunna läsas av någon utomstående. SSL används för att få en säker förbindelse mellan två olika parter och PGP kan användas för att kryptera meddelandet till en avsedd mottagare. Det finns dock vissa situationer där det vore bra att kunna kryptera på ett lite mer flexibelt sätt. XML Encryption kan användas för att kryptera alla typer av dokument och filer men det är i likhet med XML Signature vid användande av XML-dokument som fördelarna finns. XML Encryption ger möjlighet att kryptera delar av ett dokument, även så att olika delar kan läsas av olika personer. Ett exempel då detta kan komma till användning är om en affär ska ske över nätet. Då skickas information om det som skall köpas samt kontoinformation från köparen till försäljaren vidare till banken som betalar försäljaren. Meddelandet som skickas kan därför utformas så att försäljaren inte kan se bankens information samtidigt som banken inte kan se vad det är som har inhandlats [Rosenberg 2004]. För att kryptera en text används oftast symmetriska nycklar som distribueras krypterade med mottagarens publika nyckel. Det är då endast mottagaren som kan dekryptera med sin privata nyckel och får då fram den symmetriska nyckel som skall användas för att dekryptera meddelandet. När SSL eller TSL används är dokumentet endast skyddat då det skickas mellan parterna, inte då det tagits emot och förvaras hos mottagaren. Används däremot XML Encryption så kommer meddelandet att vara säkert även då meddelandet tagits emot. En viktig sak att notera är att XML Encryption inte är ett alternativ till SSL. Om applikationen kräver att hela kommunikationen skall vara säker så ska SLL användas. Däremot är XML Encryption lämpligt om applikationen kräver en kombination av säker och inte säker kommunikation [Siddigui 2002]. 5.2 Uppbyggnad Beskrivning av hur XML Encryption är uppbyggt och vilka element som skall ingå finns beskrivet i specifikationen [XML Encryption]. XML Encryption är uppbyggd på ett liknande sätt som XML Signature och det är även en mängd olika element som de delar med varandra. För att visa hur strukturen för hur ett XML Encryption element är uppbyggt och de grundelement som ingår visas i exemplet på nästa sida: -13-

21 XML Encryption <EncryptedData Id? Type?> <EncryptionMethod/>? <ds:keyinfo> <EncryptedKey>? <AgreementMethod>? <ds:keyname>? <ds:retrievalmethod>? </ds:keyinfo>? <CipherData> <CipherValue>? <CipherReference URI?>? </CipherData> </EncryptedData> EncryptedData är själva rotelementet till den krypterade informationen. Den har ett Type attribut som talar om vad det är för typ av data som krypterats. EncryptionMethod är ett frivilligt element som används för att beskriva vad det är för krypteringsalgoritm som använts. KeyInfo används för att beskriva den nyckel som skall användas vid dekrypteringen. För att tala om att elementet tillhör XML Signatures namnrymd används prefixet ds. CipherData är ett obligatoriskt element som innehåller den krypterade texten. Antingen så innehåller den en Base64 kodad text eller så innehåller den en referens till en extern plats där den krypterade datan kan erhållas. CipherData måste antingen innehålla elementet CipherValue eller elementet CipherReference. CipherValue används om den krypterade texten skall placeras i själva krypteringen. Den krypterade texten skall vara kodad i Base64 format. CipherReference används om den krypterade texten inte läggs in i krypteringselement utan blir refererad till. Många av elementen som kan användas vid XML Encryption är frivilliga och det kan tyckas vara lite underligt, men tanken är att information om krypteringsalgoritmer och nycklar redan har växlats mellan berörda parter och det innebär att det inte är nödvändigt att ta med denna information igen. En XML kryptering kan delas in i två olika delar beroende på vad det är som krypteras. Antingen är det ett XML-dokument vilket är det vanligaste eller så är det något godtyckligt format. För att mottagaren skall veta vad det är för typ av data som krypterats används Typeattributet. När det gäller XML-dokument finns det två olika möjligheter att välja på. Antingen väljer man att kryptera ett helt element eller så krypteras endast innehållet i ett element. Är det ett XML-element som krypteras så sätts Type-attributet till: Är det innehållet i ett XML-element så används: När det är någon annan typ av dokument som krypterats kan Type-attributet sättas med hjälp av Internet Assigned Numbers Authority (IANA) 2 värden. Är det till exempel en jpeg-bild ska värdet sättas till: Genom att sätta detta värde är det lätt för den som dekrypterar meddelandet att få fram vad det är för typ av dokument. 2 IANA fastställer och håller reda på tilldelade namn och nummer på Internet

22 XML Encryption Nyckelhantering Med XML-Encryption delas alla nyckelrelaterade utfärdanden in i två delar: Utbyte av nycklar (Asymmetrisk kryptering) Använda nycklar som har utbytts tidigare (Symmetrisk kryptering) När ett meddelande skall krypteras används symmetriska nycklar. På samma sätt som vid XML Signature finns det möjlighet att skicka med nyckeln som skall användas vid dekrypteringen i ett KeyInfo-element. Det är inte särskilt klokt att skicka med nyckeln som skall användas vid dekrypteringen tillsammans med det krypterade meddelandet. Nyckeln måste på något sätt skyddas och det finns tre möjligheter att välja på: Utesluta nyckelelementet helt. Om båda parter redan har utbytt nycklar med varandra behövs inte nyckelinformationen och den kan därför uteslutas. Skicka med ett namn på dekrypteringsnyckeln. Detta kan vara bra då mottagaren har en lista med dekrypteringsnycklar som är pålitliga men inte vet vilken som skall användas. Kryptera dekrypteringsnyckeln med hjälp av asymmetrisk kryptering. För att dekryptera en nyckel används <EncryptedKey>-elementet. En stor skillnad från XML Signature är att det finns möjlighet att kryptera nyckeln som skall användas vid dekryptering av ett meddelande. Dekrypteringsnyckeln krypteras med mottagarens publika nyckel, detta medför att det endast är mottagaren som kan dekryptera nyckeln med sin privata nyckel. För att dekryptera nyckeln används <EncryptedKey>-elementet som är uppbyggt på följande sätt. <EncryptedKey Id?> <EncryptionMethod/>? <ds:keyinfo>? <CipherData> <EncryptionProperties/>? <ReferenceList>? </EncryptedKey> EncryptedKey är rotelement till den krypterade nyckeln. EncryptionMethod talar om vad det är för krypteringsalgoritm som används. KeyInfo innehåller information om dekrypteringsnyckeln. CipherData innehåller det krypterade värdet. ReferenceList kan användas i de fall där EncryptedKey elementet är ett baselement i ett XMLdokument. I sådana fall måste det finnas en referens till informationen som har krypterats av nyckeln. Den kan antingen referera till data eller till en nyckel via något av elementen. <ReferenceList> <DataReference URI?>* <KeyReference URI?>* <ReferenceList> Med hjälp av dessa referenselement går det att referera till den information som är krypterad med denna nyckel. -15-

23 XML Encryption Ett exempel på hur en färdig XML kryptering kan se ut: <EncryptedData Type= xmlns=" <EncryptionMethod Algorithm=" /> <KeyInfo xmlns=" <EncryptedKey xmlns=" <EncryptionMethod Algorithm=" /> <KeyInfo xmlns=" <KeyName>sharedKey</KeyName> </KeyInfo> <CipherData> <CipherValue>bsOoFeBbE...</CipherValue> </CipherData> </EncryptedKey> </KeyInfo> <CipherData> <CipherValue>otZSp4wWzMb...</CipherValue> </CipherData> </EncryptedData> Detta exempel innehåller både den krypterade texten samt en krypterad nyckel som skall användas för att dekryptera meddelandet. Nyckeln är krypterad med RSA, och den krypterade texten är krypterad med AES. 5.3 Användningsområden XML Encryption används för att kryptera information och det är framförallt vid kryptering av XML-dokument som den kommer till stor användning. Men det finns även andra användningsområden där det går att dra nytta av XML Encryption. Ett sådant är vid utbyte av symmetriska nycklar. Avsändaren krypterar då en nyckel med mottagarens publika nyckel och placerar den krypterade informationen i EncryptedKey-elementet. Mottagaren kan då dekryptera meddelandet och få fram den symmetriska nyckeln. Eftersom ett dokument kan innehålla flera olika krypteringar så är det möjligt att kryptera olika delar av ett dokument med flera olika krypteringsnycklar. Detta kan vara användbart vid en webbtjänst där en affär skall ske över nätet. Ett sådant meddelande kan innehålla både information om bankkonto som banken skall ha, samt information om vad det är för varor som har handlats som affären skall ha. Det är då möjligt att kryptera de olika delarna av information med olika krypteringsnycklar så att banken endast kan se kontoinformationen och affären endast kan få fram information om vad det är för varor. -16-

24 XKMS 6 XKMS XKMS (XML Key Management Specification) är en W3C standard som tagits fram i ett samarbete mellan VeriSign, Microsoft, och WebMethods. Den senaste versionen 2.0 från april 2004 räknas som en kandiderande rekommendation. 6.1 Allmänt Vid användandet av XML Encryption och XML Signature används publik nyckelkryptografi. Problemet som då uppstår är hur hanterandet av publika nycklar ska skötas. Hur skall man byta nycklar med varandra? För att underlätta denna hantering av PKI har XKMS utvecklats som utgör ett gränssnitt för utvecklaren. Det finns idag många olika standarder inom PKI-lösningar som är tillgängliga, X.509 (den mest använda), Pretty Good Privacy (PGP), Simple Public Key Infrastructure (SPKI). Frågan är då vilken av dem man skall använda och hur många av dem som måste stödjas? [Verma 2004]. Om en person A som använder X.509 skickar ett krypterat meddelande till person B som använder sig av SPKI så kommer inte person B att klara av att dekryptera det mottagna meddelandet. Om det dessutom är flera personer som är inblandade så måste alla parter ha stöd för varandras PKI-lösningar. Detta gör att situationen kommer bli ohållbar. För att underlätta detta arbete har en ny standard tagits fram, XKMS. XKMS specificerar ett gränssnitt mot PKI i XML-format. Det är en specifikation som är speciellt utformad för att passa de redan framtagna standarderna XML Encryption och XML Signature. XKMS bygger på att det finns en tredje part som båda de parter som skall utbyta nycklar med varandra har förtroende för. Denna tredje part tillhandahåller en XKMS-tjänst och ett gränssnitt som applikationerna kan anropa. Bild 5-1 visar hur två olika klienter kan kommunicera med en XKMS-Service med XML utan att behöva förstå den underliggande PKIarkitekturen. Bild 5-1: Visar hur två olika klienter kan utnyttja en XKMS Service utan att känna till den underliggande PKIn. -17-

25 XKMS Eftersom XKMS tillåter överlåtelse av förtroende till en eller flera specialiserade förtroendeservrar innebär det att system kan lita på komplexa förhållanden utan att behöva implementera en komplex PKI-arkitektur på klientplattformen där XML-processandet äger rum. Genom att låta utvecklaren överlåta förtroendebeslut till specialiserade förtroendeservrar avskärmas klientens implementation från den underliggande PKI-arkitekturen. Eftersom XKMS-tjänsten sköter all nyckelhantering behöver inte applikationerna bekymra sig för den underliggande PKI, som kan vara någon av följande: X.509 (Den mest använda) Pretty Good Privacy (PGP) Simple Public Key Infrastructure (SPKI) 6.2 Uppbyggnad Hur XKMS är uppbyggt och vilka element som ingår beskrivs i specifikationen [XML Key management Specifikation]. XKMS har två huvuddelar. X-KISS (XML Key Information Service Specification) Används för att verifiera och hitta krypteringsnycklar. X-KRSS (XML Key Registration Service Specification) Används vid registrering av krypteringsnycklar XML Key Information Service Specification (X-KISS) X-KISS är den del av XKMS som används för att hitta och verifiera nycklar. När t.ex. XML Signature används och avsändaren väljer att skicka med nyckeln som skall användas vid verifieringen så är det upp till mottagaren att bedöma om han skall lita på nyckeln som har skickats över. X-KISS tillhandahåller två tjänster för att underlätta denna process, Locate och validate Locate Den första tjänsten är till för att hitta nycklar där t.ex. den enda informationen är ett namn, och returnera den information som efterfrågas. Denna tjänst går ut på att applikationen skickar en förfrågan till XKMS-tjänsten och talar om vems nyckel samt vilket format man vill ha den returnerad på. Det kan vara bra i de fall där klienten har fått ett signerat meddelande men där inte tillräckligt med information finns för att verifiera signaturen, eller då man skall kryptera ett meddelande men man har inte den publika nyckeln till mottagaren. När den skall lokaliseras skickas ett meddelande till XKMS-servicen med elementet <LocateRequest> Validate Denna service klarar även av att verifiera kopplingen mellan en publik nyckel och den tillhörande informationen om nyckeln. Den används när man vill veta om kopplingen mellan nyckeln och namnet är trovärdig. Resultatet innehåller ett statuselement som talar om vilken status kopplingen har. Ett meddelande kan se ut på följande sätt. <ValidateRequest xmlns:ds=" xmlns:ds=" Id="Ie26380bfeb9d0c5bc526d5213a162d46" Service=" xmlns=" <RespondWith>X509Cert</RespondWith> -18-

26 XKMS <QueryKeyBinding> <ds:keyinfo> <ds:x509data> <ds:x509certificate> certificate encoded as text </ds:x509certificate> </ds:x509data> </ds:keyinfo> <KeyUsage>Signature</KeyUsage> <UseKeyWith Application="urn:ietf:rfc:2633" /> </QueryKeyBinding> </ValidateRequest> Id: varje XKMS-förfrågan som skickas måste innehålla ett slumpmässigt skapat id-värde. Service är adressen till den XKMS-service som förfrågan har skickats till. <RespondWith>: En förfrågan kan innehålla en eller flera respondwith-element som talar om i vilket format klienten vill ha nyckeln returnerad till sig. <QueryKeyBinding> innehåller den information om nyckeln som ska valideras. <KeyUsage> talar om när nyckeln kan användas. I detta exempel kan den användas vid signering. <UseKeyWith> innehåller information om vilket protokoll som nyckeln skall användas med samt vem nyckeln tillhör i det angivna protokollet. I detta exempel efterfrågas en e-post adress som skall användas med S/MIME. I detta exempel skickar klienten ett <KeyInfo>-element som innehåller ett X509 certifikat till servern och efterfrågar nyckeln till det givna certifikatet. Eftersom detta är ett ValidateRequest så skall servicen inte bara tolka certifikatet utan även verifiera ägaren till det. XKMS tjänsten tar emot meddelandet processar informationen och returnerar sedan ett resultat till klienten. Exempel på hur ett sådant resultat kan se ut: <ValidateResult xmlns:ds=" xmlns:ds=" Id="I34ef61b96f7db2250c229d37a17edfc0" Service= ResultMajor="Success" RequestId="Ie26380bfeb9d0c5bc526d5213a162d46" xmlns=" <KeyBinding Id="Icf608e9e8b07468fde1b7ee5449fe831"> <ds:keyinfo> <ds:x509data> <ds:x509certificate> certificate as text </ds:x509certificate> </ds:x509data> </ds:keyinfo> <KeyUsage>Signature</KeyUsage> <KeyUsage>Encryption</KeyUsage> <KeyUsage>Exchange</KeyUsage> <UseKeyWith Application="urn:ietf:rfc:2633" Identifier="alice@alicecorp.test" /> <Status StatusValue="Valid"> <ValidReason>Signature</ValidReason> <ValidReason>IssuerTrust</ValidReason> <ValidReason>RevocationStatus</ValidReason> <ValidReason>ValidityInterval</ValidReason> </Status> </KeyBinding> </ValidateResult> ResultMajor skall alltid finnas med i ett response-meddelande. Den skall tala om resultatet på operationen. Den kan antingen vara success som i detta fall eller innehålla ett felmeddelade. -19-

27 XKMS <KeyBinding> innehåller information om den nyckel som klienten efterfrågade. <Status>-elementet talar om status på nyckeln och informationen om den. I detta exempel är den giltig. <ValidReason> används för att tala om vad som uppfylldes för att nyckeln skulle vara godkänd. Genom X-KISS-protokollet tillåts klienten att delegera delar av eller hela ansvaret för att processa ett <ds:keyinfo>-element till en XKMS-tjänst XML Key Registration Service Specification (X-KRSS) X-KRSS definierar ett protokoll som accepterar registrering av publik nyckelinformation. Tjänsten tar emot ett <keyinfo>-element och binder information till en användare. Så fort den publika nyckeln är registrerad så kan den användas av andra tjänster som t.ex. X-KISS. X-KRSS har stöd för fyra olika typer av meddelanden. Register Revoke Reissue Recover Alla dessa meddelanden har väldigt lika uppbyggnad och på varje förfrågan returnerar XKMStjänsten ett svar som talar om resultatet på operationen Register Används för att registrera en nyckel. Det finns två olika sätt att registrera en nyckel på: Klienten skapar ett nyckelpar och skickar över den publika nyckeln tillsammans med övrig information till XKMS-tjänsten för registrering. XKMS tjänsten skapar ett nyckelpar, registrerar den publika nyckeln och skickar över den privata nyckeln till klienten. I detta fall går det att låta den privata nyckeln lagras på servern ifall den skulle försvinna. För att registrera en nyckel skickar man den publika nyckeln till registreringsservern med hjälp av <RegisterRequest>-elementet. Servern svarar på meddelandet genom att skicka tillbaka ett <RegisterResult>-meddelande som indikerar hur registreringen av nyckeln gick Revoke En publik nyckel som inte längre gäller kan tas bort genom att man skickar ett <RevokeRequest>-meddelande. Detta kan vara användbart då en person slutar på ett företag och denne inte längre skall ha tillgång till sina tidigare tjänsteverktyg Reissue Om en nyckel av någon anledning tagits bort men åter skall införas går det att skicka ett <ReissueRequest>-meddelande Recover Denna funktion är till för dem som har valt att även registrera sin privata nyckel hos XKMSservicen. Om den privata krypteringsnyckeln skulle komma bort så kommer även all krypterad information som man mottagit inte varar tillgänglig. Om den privata nyckeln är registrerad hos XKMS-tjänsten så är det möjligt att skicka ett <RecoverRequest>-meddelande och på så sätt få ett svar från tjänsten innehållande nyckeln som efterfrågas. -20-

Krypteringteknologier. Sidorna 580-582 (647-668) i boken

Krypteringteknologier. Sidorna 580-582 (647-668) i boken Krypteringteknologier Sidorna 580-582 (647-668) i boken Introduktion Kryptering har traditionellt handlat om skydda konfidentialiteten genom att koda meddelandet så att endast mottagaren kan öppna det

Läs mer

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1. XML-produkter -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: 2018-09-18 Version: 1.0 Innehållsförteckning 1. Inledning... 3 1.1. Syfte 3 1.2. Målgrupp

Läs mer

256bit Security AB Offentligt dokument 2013-01-08

256bit Security AB Offentligt dokument 2013-01-08 Säkerhetsbeskrivning 1 Syfte Syftet med det här dokumentet är att översiktligt beskriva säkerhetsfunktionerna i The Secure Channel för att på så vis öka den offentliga förståelsen för hur systemet fungerar.

Läs mer

Protokollbeskrivning av OKI

Protokollbeskrivning av OKI Protokollbeskrivning av OKI Dokument: Protokollbeskrivning av OKI Sida 1 / 17 1 Syfte Det här dokumentet har som syfte att beskriva protokollet OKI. 2 Sammanfattning OKI är tänkt som en öppen standard

Läs mer

Kryptering. Krypteringsmetoder

Kryptering. Krypteringsmetoder Kryptering Kryptering är att göra information svårläslig för alla som inte ska kunna läsa den. För att göra informationen läslig igen krävs dekryptering. Kryptering består av två delar, en algoritm och

Läs mer

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller

Kryptografi - När är det säkert? Föreläsningens innehåll. Kryptografi - Kryptoanalys. Kryptering - Huvudsyfte. Kryptografi - Viktiga roller Föreläsningens innehåll Grunder Kryptografiska verktygslådan Symmetriska algoritmer MAC Envägs hashfunktioner Asymmetriska algoritmer Digitala signaturer Slumptalsgeneratorer Kryptering i sitt sammanhang

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

Säkerhet. Säker kommunikation - Nivå. Secure e-mail. Alice wants to send secret e-mail message, m, to Bob.

Säkerhet. Säker kommunikation - Nivå. Secure e-mail. Alice wants to send secret e-mail message, m, to Bob. Säkerhet Förra gången Introduktion till säkerhet och nätverkssäkerhet Kryptografi Grunder Kryptografiska verktygslådan Symmetriska algoritmer Envägs hashfunktioner Asymmetriska algoritmer Digitala signaturer

Läs mer

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI 1/7 Kryptering Se kap. 6 HEMLIG SKRIFT STEGANOGRAFI Dolt data KRYPTOGRAFI Transformerat data - Transposition (Permutation) Kasta om ordningen på symbolerna/tecknen/bitarna. - Substitution Byt ut, ersätt.

Läs mer

Grundfrågor för kryptosystem

Grundfrågor för kryptosystem Kryptering Ett verktyg, inte en tjänst! Kryptering förvandlar normalt ett kommunikationssäkerhetsproblem till ett nyckelhanteringsproblem Så nu måste du lösa nycklarnas säkerhet! 1 Kryptering fungerar

Läs mer

Säker e-kommunikation 2009-04-22

Säker e-kommunikation 2009-04-22 Säker e-kommunikation 2009-04-22 Leif Forsman Logica 2008. All rights reserved Agenda - Inledning - Bakgrund och historik - Vilka risker och hot finns? - Vilka säkerhetslösningar finns det för att skydda

Läs mer

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering Att använda kryptering Nyckelhantering och protokoll som bygger på kryptering 1 Nyckelhantering Nycklar måste genereras på säkert sätt Nycklar måste distribueras på säkert sätt Ägaren av en nyckel måste

Läs mer

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. kenneth@ip-solutions.se. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. kenneth@ip-solutions.se. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH Att bygga VPN Kenneth Löfstrand, IP-Solutions AB kenneth@ip-solutions.se 1 IP-Solutions AB Agenda Olika VPN scenarios LAN - LAN host - host SSH 2 IP-Solutions AB IP-Solutions - Konsultverksamhet Oberoende

Läs mer

WEB SERVICES-FÖRBINDELSE

WEB SERVICES-FÖRBINDELSE WEB SERVICES-FÖRBINDELSE TJÄNSTEBESKRIVNING Aktia, Sb, Pop VERSION 1.1 OY SAMLINK AB 2 (18) 1 Allmänt... 3 2 Web Services... 4 2.1. Förkortningar och termer som används i tjänstebeskrivningen... 4 3 Avtal

Läs mer

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Föreläsning 7. DD2390 Internetprogrammering 6 hp Föreläsning 7 DD2390 Internetprogrammering 6 hp Innehåll Krypteringsöversikt (PKI) Java Secure Socket Extension (JSSE) Säkerhetsproblem 1. Vem är det man kommunicerar med Autentisering 2. Data kan avläsas

Läs mer

Grundläggande krypto och kryptering

Grundläggande krypto och kryptering Krypto, kryptometoder och hur det hänger ihop Stockholm Crypto Party 2013 Released under Creative Commons BY-NC-SA 3.0 $\ CC BY: C Innehåll Presentation av mig 1 Presentation av mig 2 3 4 5 6 7 Vem är

Läs mer

Datasäkerhet. Petter Ericson pettter@cs.umu.se

Datasäkerhet. Petter Ericson pettter@cs.umu.se Datasäkerhet Petter Ericson pettter@cs.umu.se Vad vet jag? Doktorand i datavetenskap (naturliga och formella språk) Ordförande Umeå Hackerspace Sysadmin CS 07-09 (typ) Aktiv från och till i ACC m.fl. andra

Läs mer

Metoder för sekretess, integritet och autenticering

Metoder för sekretess, integritet och autenticering Metoder för sekretess, integritet och autenticering Kryptering Att dölja (grekiska) Sekretess Algoritmen Att dölja Ordet kryptering kommer från grekiskan och betyder dölja. Rent historiskt sett har man

Läs mer

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008 Tekn.dr. Göran Pulkkis Överlärare i Datateknik Säker e-post Innehåll Principen för säker e-post Realisering av säker e-post Pretty Good Privacy (PGP) Secure / Multipurpose Internet Mail Extensions (S/MIME)

Läs mer

SSL/TLS-protokollet och

SSL/TLS-protokollet och Tekn.dr. Göran Pulkkis Överlärare i Datateknik SSL/TLS-protokollet och SSL-baserade applikationer Innehåll Secure Socket Layer (SSL) / Transport Layer Security (TLS) protokollet SSL-baserade applikationer

Läs mer

DNSSEC och säkerheten på Internet

DNSSEC och säkerheten på Internet DNSSEC och säkerheten på Internet Per Darnell 1 Säkerheten på Internet Identitet Integritet Oavvislighet Alltså 2 Asymmetrisk nyckelkryptering Handelsbanken 3 Asymmetrisk nyckelkryptering 1 Utbyte av publika

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Web Services. Cognitude 1

Web Services. Cognitude 1 Web Services 1 Web Services Hur ska tillämpningar integreras? Hur ska tillämpningar integreras (via nätet ) för att erbjuda tjänster åtkomliga på nätet? SVAR: Web Services (Enligt Microsoft, Sun, IBM etc.)

Läs mer

Introduktion till protokoll för nätverkssäkerhet

Introduktion till protokoll för nätverkssäkerhet Tekn.dr. Göran Pulkkis Överlärare i Datateknik Introduktion till protokoll för nätverkssäkerhet Innehåll Varför behövs och hur realiseras datasäkerhet? Datasäkerhetshot Datasäkerhetsteknik Datasäkerhetsprogramvara

Läs mer

DNSSec. Garanterar ett säkert internet

DNSSec. Garanterar ett säkert internet DNSSec Garanterar ett säkert internet Vad är DNSSec? 2 DNSSec är ett tillägg i Domain Name System (DNS), som säkrar DNS-svarens äkthet och integritet. Tekniska åtgärder tillämpas vilket gör att den dator

Läs mer

SSEK Säkra webbtjänster för affärskritisk kommunikation

SSEK Säkra webbtjänster för affärskritisk kommunikation SSEK Säkra webbtjänster för affärskritisk kommunikation SSEK - Bakgrund Tydliga krav från företagen och distributörerna (2001) Lägre kostnad Högre kvalité Garanterade leveranstider Elektronisk kommunikation

Läs mer

Tekniskt ramverk för Svensk e- legitimation

Tekniskt ramverk för Svensk e- legitimation Tekniskt ramverk för Svensk e- legitimation ELN-0600-v1.4 Version: 1.4 2015-08-14 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E- LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER

Läs mer

Kryptering. Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin

Kryptering. Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin Kryptering Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin Inledning Den här rapporten ska hjälpa en att få insikt och förståelse om kryptering. Vad betyder

Läs mer

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet och Epilog Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet Tumregler och utgångspunkter

Läs mer

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Datum: 2011-02-28 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn:

Läs mer

BILAGA 2 Tekniska krav Version 0.81

BILAGA 2 Tekniska krav Version 0.81 BILAGA 2 Tekniska krav Version 0.81 Sammanfattande teknisk kravbild Sambi har likt andra federativa initiativ som mål att använda följande SAMLv2 1 profiler: Implementationsprofilen egov2 2 (beskriver

Läs mer

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister

Certifikattjänsten - testbädd. Anläggningsprojekt för ett nationellt inkomstregister Certifikattjänsten - testbädd Anläggningsprojekt för ett nationellt inkomstregister 2 (9) INNEHÅLL 1 Inledning... 3 2 Testmaterial... 3 2.1 Parametrar som används i testbäddens tjänster... 3 2.2 Testbäddens

Läs mer

Tekniskt ramverk för Svensk e-legitimation

Tekniskt ramverk för Svensk e-legitimation Tekniskt ramverk för Svensk e-legitimation ELN-0600-v1.3 Version: 1.3 2015-04-29 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E-LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER 4

Läs mer

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability) Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet Säkerhetsstandarder och program brandväggar IPSEC SSH PGP SSL 11/19/01 Bengt Sahlin 1 Grundbegrepp (1/5) olika former av säkerhet administrativ:

Läs mer

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 1.0

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 1.0 Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga A Tekniska ramverk Version: 1.0 Innehållsförteckning 1 Bakgrund och syfte... 1 1.1 Definitioner 1 2 Inledning...

Läs mer

Filleveranser till VINN och KRITA

Filleveranser till VINN och KRITA Datum Sida 2017-04-25 1 (10) Mottagare: Uppgiftslämnare till VINN och KRITA Filleveranser till VINN och KRITA Sammanfattning I detta dokument beskrivs översiktligt Vinn/Kritas lösning för filleveranser

Läs mer

Specifikation av säker elektronisk kommunikation mellan aktörer i försäkringsbranschen

Specifikation av säker elektronisk kommunikation mellan aktörer i försäkringsbranschen Specifikation av säker elektronisk kommunikation mellan aktörer i försäkringsbranschen (Version 1.1) version 1.1 Sidan 1 av 25 1 Inledning...3 1.1 Bakgrund...3 1.2 Syfte...3 1.3 Notation...3 1.4 Förvaltning

Läs mer

Apotekens Service. federationsmodell

Apotekens Service. federationsmodell Apotekens Service Federationsmodell Detta dokument beskriver hur Apotekens Service samverkar inom identitetsfederationer Datum: 2011-12-12 Version: Författare: Stefan Larsson Senast ändrad: Dokumentnamn:

Läs mer

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det Behörighetssystem Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det Systemet måste kunna registrera vilka resurser, d v s data och databärande

Läs mer

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se E-legitimationer Jonas Wiman LKDATA Linköpings Kommun jonas.wiman@linkoping.se 1 Många funktioner i samhället bygger på möjligheten att identifiera personer För att: Ingå avtal Köpa saker, beställningar

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet Java Secure Sockets Extension JSSE F5 Secure Sockets EDA095 Roger Henriksson Datavetenskap Lunds universitet Secure Sockets Layer SSL Transport Layer Security - TLS Protokoll och algoritmer för säker kommunikation

Läs mer

Offentlig kryptering

Offentlig kryptering 127 Offentlig kryptering Johan Håstad KTH 1. Inledning. Denna uppgift går ut på att studera ett offentligt kryptosystem. Med detta menas ett kryptosystem där det är offentligt hur man krypterar, men trots

Läs mer

RIV Tekniska Anvisningar Kryptografi. Version ARK_

RIV Tekniska Anvisningar Kryptografi. Version ARK_ RIV Tekniska Anvisningar Kryptografi ARK_0036 Innehåll 1. Inledning... 2 1.1 Målgrupp... 2 2. Om kryptografiska inställningar... 2 2.1 Cipher suites... 2 3. Krav och rekommendationer... 3 3.1 Cipher Suites...

Läs mer

Avancerad SSL-programmering III

Avancerad SSL-programmering III Tekn.dr. Göran Pulkkis Överlärare i Datateknik Avancerad SSL-programmering III 9.2.2012 1 Innehåll Dataformatet PKCS#7 och S/MIMEstandarden Signering av S/MIME-meddelanden och verifiering av signaturer

Läs mer

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 3.0

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga A. Tekniska ramverk. Version: 3.0 Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga A Tekniska ramverk Version: 3.0 Innehållsförteckning 1 Bakgrund och syfte... 1 1.1 Definitioner 1 2 Inledning...

Läs mer

Hantera informationspaket i system för bevarande

Hantera informationspaket i system för bevarande Kompetensutveckling har erbjudits deltagare inom projektet Elektroniskt bevarande i form av en kurs i XML. Kursen har genomförts av Riksarkivet och haft en praktisk inriktning. Ett 10-tal personer deltog

Läs mer

SOA. Länkar +ll sidor om SOA h3p:// h3p://dsv.su.se/soa/

SOA. Länkar +ll sidor om SOA h3p://  h3p://dsv.su.se/soa/ SOA Länkar +ll sidor om SOA h3p://www.soaprinciples.com/p3.php h3p://dsv.su.se/soa/ Vad är SOA? h3p://www.soaprinciples.com/p3.php Standardized Service Contracts Service Loose Coupling Service Abstrac+on

Läs mer

En snabb titt på XML LEKTION 6

En snabb titt på XML LEKTION 6 LEKTION 6 En snabb titt på XML Bokstaven x i Ajax står för XML, ett mycket användbart beskrivningsspråk som gör det möjligt för Ajax-tillämpningar att hantera komplex strukturerad information. I den här

Läs mer

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA Revisionshistorik Version Datum Kommentar 0.1 2019-01-07 Etablering av dokumentet 0.2 Efter första genomgång av Cygate och SITHS PA Inledning Inom SITHS e-id finns det certifikat för olika syften som grupperas

Läs mer

Grunderna i PKI, Public Key Infrastructure

Grunderna i PKI, Public Key Infrastructure Grunderna i PKI, Public Key Infrastructure Christer Tallberg ctg07001@student.mdh.se Philip Vilhelmsson pvn05001@student.mdh.se 0 Sammanfattning I och med dagens informationssamhälle finns ett stort behov

Läs mer

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster Cipher Suites Rekommendationer om transportkryptering i e-tjänster Innehåll 1. Bakgrund och syfte... 2 2. Revisionshistorik... 2 3. Inledning... 2 3.1 Cipher suites... 2 4. Protokoll för transportkryptering...

Läs mer

PGP håller posten hemlig

PGP håller posten hemlig PGP håller posten hemlig Även den som har rent mjöl i påsen kan vilja dölja innehållet i sin e-post. Ett sätt är att kryptera den med PGP, Pretty Good Privacy, som har blivit en succé efter den inledande

Läs mer

Många företag och myndigheter sköter sina betalningar till Plusoch

Många företag och myndigheter sköter sina betalningar till Plusoch 70 80 60 ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 40 20 30 Manual 2 Installation Många företag och myndigheter sköter sina betalningar till Plusoch Bankgirot

Läs mer

Instruktion för integration mot CAS

Instruktion för integration mot CAS IT-enheten Instruktion för integration mot CAS Per Hörnblad Instruktion 2010-10-29 Sid 1 (7) Instruktion för integration mot CAS Projektnamn Instruktioner för Integration mot CAS Fastställt av Per Hörnblad

Läs mer

Christer Scheja TAC AB

Christer Scheja TAC AB Byggnadsautomation för ingenjörer Byggnadsautomation för ingenjörer VVS-tekniska föreningen, Nordbygg 2004 Christer Scheja TAC AB resentation, No 1 Internet/Intranet Ihopkopplade datornät ingen ägare Internet

Läs mer

Objektorienterad Programkonstruktion. Föreläsning 16 8 feb 2016

Objektorienterad Programkonstruktion. Föreläsning 16 8 feb 2016 Objektorienterad Programkonstruktion Föreläsning 16 8 feb 2016 Kryptering För ordentlig behandling rekommenderas kursen DD2448, Kryptografins Grunder Moderna krypton kan delas in i två sorter, baserat

Läs mer

Datasäkerhet och integritet

Datasäkerhet och integritet OH-2 v1 Kryptering Hashing Digitala signaturer Certifikat & PKI Taxonomi Säkerhet Krypteringsalgoritmer Säkerhetstjänster Hemlig nyckel (tex. DES) Publik Message nyckel diggest (tex. RSA) (tex. MD5) Hemlighetshållande

Läs mer

Primtal, faktorisering och RSA

Primtal, faktorisering och RSA 17 november, 2007 Ett Exempel N = 93248941901237910481523319394135 4114125392348254384792348320134094 3019134151166139518510341256153023 2324525239230624210960123234120156 809104109501303498614012865123

Läs mer

Elektronisk tullräkning Sid 1(9) Samverkansspecifikation. Version: 1.0 SAMVERKANSSPECIFIKATION. för. e-tullräkning

Elektronisk tullräkning Sid 1(9) Samverkansspecifikation. Version: 1.0 SAMVERKANSSPECIFIKATION. för. e-tullräkning Elektronisk tullräkning Sid 1(9) SAMVERKANSSPECIFIKATION för e-tullräkning Elektronisk tullräkning Sid 2(9) Innehållsförteckning 1 Inledning...3 1.1 Introduktion...3 2 Identifikation av parterna...4 2.1

Läs mer

RSA-kryptering och primalitetstest

RSA-kryptering och primalitetstest Matematik, KTH Bengt Ek augusti 2016 Material till kurserna SF1630 och SF1679, Diskret matematik: RSA-kryptering och primalitetstest Hemliga koder (dvs koder som används för att göra meddelanden oläsbara

Läs mer

KUNDREGISTER Sid 2(7) Teknisk specifikation

KUNDREGISTER Sid 2(7) Teknisk specifikation KUNDREGISTER Sid 1(7) Kundregister Innehållsförteckning 1 Allmänt...2 1.1 Inledning...2 1.2 Disposition...2 1.3 Ordlista...2 1.4 Referenser...2 2 Systemöversikt...3 3 Systemlösning...4 3.1 Kundregisterfiler...4

Läs mer

Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet. Säkerhet. Grundbegrepp (1/5) Modern telekommunikation 2002-11-13.

Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet. Säkerhet. Grundbegrepp (1/5) Modern telekommunikation 2002-11-13. Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet Säkerhetsstandarder och program brandväggar IPSEC SSH PGP SSL 2002-11-13 Bengt Sahlin 1 Säkerhet Olika former av säkerhet (företagsperspektiv

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Försättsblad till skriftlig tentamen vid Linköpings Universitet

Försättsblad till skriftlig tentamen vid Linköpings Universitet Försättsblad till skriftlig tentamen vid Linköpings Universitet Datum för tentamen 2010-10-08 Sal Tid 8-12 Kurskod Provkod Kursnamn/benämning TDDD36 TEN2 Projekttermin: Säkra Mobila System Institution

Läs mer

Grundläggande datavetenskap, 4p

Grundläggande datavetenskap, 4p Grundläggande datavetenskap, 4p Kapitel 4 Nätverk och Internet Utgående från boken Computer Science av: J. Glenn Brookshear 2004-11-23 IT och medier 1 Innehåll Nätverk Benämningar Topologier Sammankoppling

Läs mer

Driftsättning av DKIM med DNSSEC. Rickard Bondesson. ricbo974@student.liu.se 0730 23 95 16. Examensarbete

Driftsättning av DKIM med DNSSEC. Rickard Bondesson. ricbo974@student.liu.se 0730 23 95 16. Examensarbete Driftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 23 95 16 Agenda Epost Förfalskning av epost Åtgärder DKIM Pålitligheten inom DNS Driftsättning Tester Statistik

Läs mer

Teknisk guide för myndigheter

Teknisk guide för myndigheter Teknisk guide för myndigheter Gäller från december 2015 Sida 1 av 19 Innehållsförteckning Sammanfattning...2 1 Dokumentinformation...3 1.1 Syfte...3 1.2 Avgränsningar...3 1.3 Målgrupp...3 1.4 Begrepp och

Läs mer

Probably the best PKI in the world

Probably the best PKI in the world Probably the best PKI in the world Agenda TLS kort repetition Server- vs klient-autentisering Var passar PKI in i TLS? Asymmetrisk vs symmetrisk kryptering Vad är PKI Publik CA vs Privat CA Trust store

Läs mer

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN LABORATIONSRAPPORT Säkerhet & Sårbarhet Laborant/er: Klass: Laborationsansvarig: Martin Andersson Robin Cedermark Erik Gylemo Jimmy Johansson Oskar Löwendahl Jakob Åberg DD12 Hans Ericson Utskriftsdatum:

Läs mer

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet Krypteringstjänster LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014 Joakim Nyberg ITS Umeå universitet Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov

Läs mer

5. Internet, TCP/IP tillämpningar och säkerhet

5. Internet, TCP/IP tillämpningar och säkerhet 5. Internet, TCP/IP tillämpningar och säkerhet Syfte: Förstå begreppen förbindelseorienterade och förbindelselösa tjänster. Kunna grundläggande egenskaper hos IP (från detta ska man kunna beskriva de viktigaste

Läs mer

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna

Läs mer

Din manual NOKIA C111 http://sv.yourpdfguides.com/dref/824115

Din manual NOKIA C111 http://sv.yourpdfguides.com/dref/824115 Du kan läsa rekommendationerna i instruktionsboken, den tekniska specifikationen eller installationsanvisningarna för NOKIA C111. Du hittar svar på alla dina frågor i instruktionsbok (information, specifikationer,

Läs mer

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: 870408-6654. Skola: DSV

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: 870408-6654. Skola: DSV Gesäll provet Internetprogrammering I Författare: Henrik Fridström Personnummer: 870408-6654 Skola: DSV Val av uppgift: En e-mail applikation med kryptering Bakgrund: Som sista uppgift i kursen Internetprogrammering

Läs mer

Ändringar i utfärdande av HCC Funktion

Ändringar i utfärdande av HCC Funktion Ändringar i utfärdande av HCC Funktion Varför? I WebTrust-revisionen har SITHS fått följande anmärkningar som måste åtgärdas om vi ska följa det globala regelverket: Efter 2017-01-01 får inga giltiga certifikat

Läs mer

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt: Version 0.4 Revisionshistorik Version Datum Kommentar 0.1 2019-01-07 Etablering av dokumentet 0.2 2019-01-18 Efter första genomgång av Cygate och SITHS PA 0.3 2019-01-28 Efter andra genomgång av SITHS

Läs mer

Skydd för känsliga data

Skydd för känsliga data Skydd för känsliga data Daniel Bosk 1 Avdelningen för informations- och kommunikationssytem (IKS), Mittuniversitetet, Sundsvall. data.tex 1674 2014-03-19 14:39:35Z danbos 1 Detta verk är tillgängliggjort

Läs mer

Beställning av certifikat v 3.0

Beställning av certifikat v 3.0 Beställning av certifikat 1 (7) Dnr 2014/1651 2016-04-07 Beställning av certifikat v 3.0 2 (7) Innehållsförteckning Inledning... 3 Undvik vanliga problem... 3 Generell information... 3 Ordlista... 3 Certifikatsansökan...

Läs mer

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS Testning av Sambi Testplan Version PA12 Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24 Copyright (c) 2014 IIS Dokument kontroll Dokument information och säkerhet Skapad av Faktaansvarig Dokumentansvarig

Läs mer

Security Target (ST) för The Secure Channel (server)

Security Target (ST) för The Secure Channel (server) Security Target (ST) för The Secure Channel (server) Dokument: Security Target (ST) för The Secure Channel (server) 1 Innehållsförteckning 1 Introduktion (ASE_INT)...3 1.1 ST Referens...3 1.2 Klassificering...3

Läs mer

Kryptografi: en blandning av datavetenskap, matematik och tillämpningar

Kryptografi: en blandning av datavetenskap, matematik och tillämpningar Kryptografi: en blandning av datavetenskap, matematik och tillämpningar Björn von Sydow 21 november 2006 Kryptografins historia Fyra faser Kryptografins historia Fyra faser Antiken ca 1920 Papper och penna.

Läs mer

Tjänster för elektronisk identifiering och signering

Tjänster för elektronisk identifiering och signering Bg eid Gateway och Bg PKI Services Tjänster för elektronisk identifiering och signering En elektronisk ID-handling är förutsättningen för säker och effektiv nätkommunikation. I takt med att tjänster blir

Läs mer

PHP-klassbibliotek för automatisering av penningtransaktioner. Jonne Sundell

PHP-klassbibliotek för automatisering av penningtransaktioner. Jonne Sundell PHP-klassbibliotek för automatisering av penningtransaktioner Jonne Sundell Examensarbete Informationsteknik 2012 EXAMENSARBETE Arcada Nylands svenska yrkeshögskola Utbildningsprogram: Informationsteknik

Läs mer

Ett säkert Internet. Betalningsformer för säkra transaktioner över Internet. Författare: Anders Frånberg. Examensarbete I, 10p Vårterminen - 00

Ett säkert Internet. Betalningsformer för säkra transaktioner över Internet. Författare: Anders Frånberg. Examensarbete I, 10p Vårterminen - 00 Handelshögskolan vid Göteborgs Universitet Institutionen för Informatik Ett säkert Internet Betalningsformer för säkra transaktioner över Internet Författare: Anders Frånberg Examensarbete I, 10p Vårterminen

Läs mer

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Företagens användning av ID-tjänster och e-tjänster juridiska frågor Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman

Läs mer

Teknisk guide för brevlådeoperatörer. Annika Melin 2015-03-10 Version: 1.1

Teknisk guide för brevlådeoperatörer. Annika Melin 2015-03-10 Version: 1.1 Teknisk guide för brevlådeoperatörer Annika Melin 2015-03-10 Sida 1 av 21 Innehållsförteckning Inledning... 2 1 Dokumentinformation... 3 Syfte... 3 1.2 Avgränsningar... 3 1.3 Målgrupp... 3 1.4 Begrepp

Läs mer

Europeisk samsyn på kryptomekanismer SOGIS nya kryptolista en översikt

Europeisk samsyn på kryptomekanismer SOGIS nya kryptolista en översikt Issue 0.1 Försvarets Materielverk/CSEC 2005 Document ID Europeisk samsyn på kryptomekanismer SOGIS nya kryptolista en översikt Träffpunkt CC - 20 april 2016 Martin Bergling FMV/CSEC 1 Syfte Ge kunskap

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

En övergripande bild av SITHS

En övergripande bild av SITHS En övergripande bild av SITHS Kontakt: Jessica Nord E-post: servicedesk@inera.se Webbsida: www.siths.se 1 2 Nationell e-hälsa SITHS en pusselbit Vad används SITHS till? Fysisk ID-handling Inpassering Säker

Läs mer

Web Services och säkerhet

Web Services och säkerhet School of Mathematics and Systems Engineering Reports from MSI - Rapporter från MSI Web Services och säkerhet - en studie i tekniker för att säkra Web Services Michael Schwarz Nov 2006 MSI Report 06159

Läs mer

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala. Kapitel 10, 11 o 12: Nätdrift, Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Informationsöverföring Telenäten är digitala. PCM i lokalstationerna

Läs mer

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad?

Föreläsningens innehåll. Säker kommunikation - Nivå. IPSec. IPSec - VPN. IPSec - Implementation. IPSec - Består av vad? Säker kommunikation - Nivå HTTP FTP SMTP /Sec (a) Network level Kerberos UDP S/MIME PGP SMTP HTTP FTP SMTP SSL or TLS (b) Transport level SET HTTP Föreläsningens innehåll Säker överföring Sec SSL/TLS Distribuerad

Läs mer

Test av kryptobiblioteket

Test av kryptobiblioteket Test av kryptobiblioteket 1 Syfte Det här dokumentet är en testplan som beskriver hur kryptobibliotekets olika implementationer ska testas. Dokumentet beskriver inte de tester som redan ingår i utvecklingsprocessen

Läs mer

Webbteknik. Innehåll. Historisk återblick Teknisk beskrivning Märkspråk Standardisering Trender. En kort introduktion

Webbteknik. Innehåll. Historisk återblick Teknisk beskrivning Märkspråk Standardisering Trender. En kort introduktion Webbteknik En kort introduktion Innehåll Historisk återblick Teknisk beskrivning Märkspråk Standardisering Trender 1 Historisk återblick 89 CERN Tim Berners Lee Ett plattformsoberoende sätt att sprida

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2014/389 Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering av e-post - Elektronisk signering av dokument Fastställd av: Säkerhetschef 2014-

Läs mer

Web Services - förbindelse

Web Services - förbindelse Aktia, SP, POP Versio 1.2 02.05.2014 Tjäntebeskrivning Web Services - förbindelse 2 (13) Innehållsförteckning VERSIOLUETTELO... 3 1 ALLMÄNT... 4 2 WEB SERVICES... 4 2.1 FÖRKORTNINGAR OCH TERMER SOM ANVÄNDS

Läs mer

extensible Markup Language

extensible Markup Language Datavetenskap Opponenter: Björn Olsson Andreas Svensson Respondenter: Sanaa Al-abuhalje Afrah Al-abuhalje XML extensible Markup Language Oppositionsrapport, C-nivå 2007:06 1 Sammanfattat omdöme av examensarbetet

Läs mer

Vad man vill kunna göra. Lagra och skicka krypterad information Säkerställa att information inte manipuleras Signera sådant som man står för

Vad man vill kunna göra. Lagra och skicka krypterad information Säkerställa att information inte manipuleras Signera sådant som man står för Vad man vill kunna göra Lagra och skicka krypterad information Säkerställa att information inte manipuleras Signera sådant som man står för Teknik Symmetrisk kryptering symmetrisk kryptering Hashfunktioner

Läs mer