Infrastruktura Klucza Publicznego
Czas trwania szkolenia:3 dni (24h)
Kod kursu:PKI
Poziom zaawansowania:
O szkoleniu Infrastruktura Klucza Publicznego
W cenie otrzymasz:
- Materiały szkoleniowe
- Certyfikat ukończenia szkolenia
- W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki
Dla kogo?
- Szkolenie adresowane jest do szerokiego grona odbiorców stykających się z zagadnieniami Infrastruktury Klucza Publicznego
- Programiści, administratorzy oraz specjaliści linii wsparcia zajmujący się tematyką podpisu elektronicznego oraz innych usług bazujących na PKI
Wymagania
- Od uczestników wymagana jest podstawowa znajomość obsługi komputera
Zalety
- Podczas warsztatów uczestnicy samodzielnie skonfigurują i uruchomią własny ośrodek certyfikacji w oparciu o otwarte oprogramowanie
- Uczestnicy przygotują i obsłużą zgłoszenia certyfikacyjne
- W trakcie szkolenia wystawione zostaną certyfikaty dla kluczy publicznych o różnym przeznaczeniu
- Uczestnicy skorzystają z usług takich jak bezpieczna poczta elektroniczna oraz połączenia z użyciem protokołu TLS wykorzystując przygotowaną infrastrukturę
- W wybranych usługach uczestnicy wykorzystają samodzielnie przygotowane karty inteligentne (smart cards) zawierające klucze i certyfikaty
- Uczestnicy poznają i wykorzystają techniki ustanawiania zaufania pomiędzy przygotowanymi ośrodkami certyfikacji
- W wersji dedykowanej szkolenie może być zrealizowane w oparciu o rozwiązania i platformy wybrane przez uczestników
- Praktyka przed teorią - wszystkie szkolenia technologiczne prowadzone są w formie warsztatowej. Konieczna teoria jest wyjaśniana na przykładzie praktycznych zadań
- Konkretne umiejętności - w ramach każdego szkolenia rozwijamy praktyczne umiejętności związane z daną technologią i tematyką
- Nauka z praktykami - wszyscy trenerzy na co dzień pracują w projektach, gwarantuje to dostęp do eksperckiej wiedzy i praktycznego know-how
Cele szkolenia
- Zapoznanie się z podstawowymi usługami ochrony informacji oraz sposobem ich wykorzystania do budowy Infrastruktury Klucza Publicznego
- Poznanie terminologii oraz aspektów prawnych obowiązujących w Polsce i Unii Europejskiej
- Omówienie wykorzystywanych w PKI algorytmów i mechanizmów kryptograficznych, ich parametrów oraz przeznaczenia
- Poznanie dobrych praktyk i zrozumienie różnych architektur wdrożeń PKI
- Praktyczne zapoznanie z usługami takimi jak podpis elektroniczny, bezpieczna poczta i protokół TLS
Program
Wprowadzenie do ochrony informacji
- Czym jest bezpieczeństwo informacji
- Podstawowe usługi ochrony informacji
- Integralność, uwierzytelnienie, niezaprzeczalność i poufność
- Podpis i jego zastosowania
- Podpis elektroniczny, biometryczny i cyfrowy
- Zaufanie i sposoby jego budowania
- Rola zaufanej trzeciej strony (trusted third party, TTP)
- Rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania (eIDAS)
- Listy statusu usług zaufania (trust service status list, TSL)
- Normy międzynarodowe i standardy przemysłowe
Algorytmy i protokoły kryptograficzne
- Funkcje skrótu: rodzina MD, rodzina SHA, SHA3
- Algorytmy symetryczne: AES, ChaCha20, 3DES
- Kody uwierzytelniające wiadomość (message authentication code, MAC)
- Krzywe eliptyczne w kryptografii: krzywe NIST, SECG i Brainpool, Curve25519, Curve448
- Algorytmy uzgadniania klucza: DH, ECDH, X25519, X448
- Algorytmy asymetryczne: RSA, ECDSA, EdDSA, Ed25519, Ed448
- Problem autentyczności klucza
- Identyfikacja, uwierzytelnienie i autoryzacja
- Podstawy notacji ASN.1
- Kodowanie DER (Distinguished Encoding Rules) i PEM (Privacy-Enhanced Mail)
- Podpis cyfrowy (digital signature)
- Generowanie kluczy, tworzenie podpisu i jego weryfikacja
- Zalecenia dotyczące parametrów algorytmów kryptograficznych
Przechowywanie i przekazywanie kluczy kryptograficznych
- Problem bezpiecznego przechowywania kluczy
- Zarządzanie kluczami
- Cykl życia kluczy
- Karty inteligentne (smart cards)
- Elementy zabezpieczające (security elements, SE)
- Sprzętowe moduły zabezpieczeń (hardware security module, HSM)
- Dostęp do urządzeń kryptograficznych (biblioteki PKCS #11, CSP)
Certyfikaty klucza publicznego
- Generowanie kluczy oraz zgłoszenia certyfikacyjnego
- Certyfikaty X.509
- Łańcuch i ścieżka certyfikacji (certificate chain, certificate path)
- Pola certyfikatów i ich ustawienia
- Ograniczanie użycia klucza
- Rozszerzenia certyfikatów
- Profile certyfikatów
- Certyfikaty atrybutów
- Certyfikaty rozszerzonej walidacji
- Certyfikaty CVC (card verifiable certificate)
- Certyfikaty kwalifikowane i niekwalifikowane
- Odcisk klucza certyfikatu
- Cykl życia certyfikatu
- Kompromitacja klucza i unieważnianie certyfikatów
- Alternatywne techniki uwierzytelniania kluczy publicznych
- Sieć zaufania (web of trust)
Wdrożenie i utrzymanie Infrastruktury Klucza Publicznego
- Polityka certyfikacji (certificate practice statement, CPS)
- Ośrodek certyfikacji (certificate authority, CA)
- Rola punktu rejestracji (registration authority, RA)
- Repozytorium certyfikatów
- Główne i pośrednie urzędy certyfikacji
- Certyfikaty skrośne (cross certificate) i zakładkowe (link certificate)
- Lista certyfikatów unieważnionych (certificate revocation list, CRL)
- Przyrostowa lista certyfikatów unieważnionych (delta CRL)
- Protokół weryfikacji statusu certyfikatu (online certificate status protocol, OCSP)
- Usługa i urząd znacznika czasu (time stamping authority, TSA)
- Ustanawianie zaufania pomiędzy ośrodkami certyfikacji
- SCEP (Simple Certificate Enrolment Protocol)
- ACME (Automatic Certificate Management Environment)
- Architektury wdrożeń PKI
- Przykładowe wdrożenia PKI
- Zalecenia ETSI
- Zalecenia grupy roboczej CA/Browser Forum
Praktyczne zastosowania Infrastruktury Klucza Publicznego
- Usługi PKI w aspekcie usług ochrony informacji
- Cyfrowe podpisywanie i weryfikacja dokumentów
- Formaty podpisów elektronicznych i ich profile, pieczęcie elektroniczne
- CMS (Cryptographic Message Syntax)
- XAdES (XML Advanced Electronic Signatures)
- PAdES (PDF Advanced Electronic Signatures)
- CAdES (CMS Advanced Electronic Signatures)
- JAdES (JSON Advanced Electronic Signatures)
- ASiC (Associated Signature Containers)
- Niezaprzeczalność podpisów cyfrowych
- Podpis zaufany i osobisty
- Bezpieczna poczta elektroniczna, podpisywanie i szyfrowanie wiadomości
- Uwierzytelnienie serwera i klienta w protokole TLS
- Profile certyfikatów TLS
- Usługi działające w oparciu o przeglądarki internetowe