Szkolenie: Infrastruktura Klucza Publicznego

Czym jest bezpieczeństwo informacji

Podstawowe usługi ochrony informacji

Integralność, uwierzytelnienie, niezaprzeczalność i poufność

Podpis i jego zastosowania

Podpis elektroniczny, biometryczny i cyfrowy

Zaufanie i sposoby jego budowania

Rola zaufanej trzeciej strony (trusted third party, TTP)

Rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania (eIDAS)

Listy statusu usług zaufania (trust service status list, TSL)

Normy międzynarodowe i standardy przemysłowe

Funkcje skrótu: rodzina MD, rodzina SHA, SHA3

Algorytmy symetryczne: AES, ChaCha20, 3DES

Kody uwierzytelniające wiadomość (message authentication code, MAC)

Krzywe eliptyczne w kryptografii: krzywe NIST, SECG i Brainpool, Curve25519, Curve448

Algorytmy uzgadniania klucza: DH, ECDH, X25519, X448

Algorytmy asymetryczne: RSA, ECDSA, EdDSA, Ed25519, Ed448

Mechanizm kapsułkowania kluczy (key encapsulation mechanism, KEM)

Kryptografia postkwantowa (post-quantum cryptography, PQC)

Algorytmy postkwantowe: ML-KEM, ML-DSA i SLH-DSA

Problem autentyczności klucza

Identyfikacja, uwierzytelnienie i autoryzacja

Podstawy notacji ASN.1

Kodowanie DER (Distinguished Encoding Rules) i PEM (Privacy-Enhanced Mail)

Podpis cyfrowy (digital signature)

Generowanie kluczy, tworzenie podpisu i jego weryfikacja

Zalecenia dotyczące parametrów algorytmów kryptograficznych

Problem bezpiecznego przechowywania kluczy

Zarządzanie kluczami

Cykl życia kluczy

Karty inteligentne (smart cards)

Elementy zabezpieczające (security elements, SE)

Sprzętowe moduły zabezpieczeń (hardware security module, HSM)

Dostęp do urządzeń kryptograficznych (biblioteki PKCS #11, CSP)

Generowanie kluczy oraz zgłoszenia certyfikacyjnego

Certyfikaty X.509

Łańcuch i ścieżka certyfikacji (certificate chain, certificate path)

Pola certyfikatów i ich ustawienia

Ograniczanie użycia klucza

Rozszerzenia certyfikatów

Profile certyfikatów

Certyfikaty atrybutów

Certyfikaty rozszerzonej walidacji

Certyfikaty CVC (card verifiable certificate)

Certyfikaty kwalifikowane i niekwalifikowane

Odcisk klucza certyfikatu

Cykl życia certyfikatu

Kompromitacja klucza i unieważnianie certyfikatów

Alternatywne techniki uwierzytelniania kluczy publicznych

Sieć zaufania (web of trust)

Polityka certyfikacji (certificate practice statement, CPS)

Ośrodek certyfikacji (certificate authority, CA)

Rola punktu rejestracji (registration authority, RA)

Repozytorium certyfikatów

Główne i pośrednie urzędy certyfikacji

Certyfikaty skrośne (cross certificate) i zakładkowe (link certificate)

Lista certyfikatów unieważnionych (certificate revocation list, CRL)

Przyrostowa lista certyfikatów unieważnionych (delta CRL)

Protokół weryfikacji statusu certyfikatu (online certificate status protocol, OCSP)

Usługa i urząd znacznika czasu (time stamping authority, TSA)

Ustanawianie zaufania pomiędzy ośrodkami certyfikacji

SCEP (Simple Certificate Enrolment Protocol)

ACME (Automatic Certificate Management Environment)

Architektury wdrożeń PKI

Przykładowe wdrożenia PKI

Zalecenia ETSI

Zalecenia grupy roboczej CA/Browser Forum

Migracja do kryptografii postkwantowej, certyfikaty hybrydowe (hybrid certificates)

Usługi PKI w aspekcie usług ochrony informacji

Cyfrowe podpisywanie i weryfikacja dokumentów

Formaty podpisów elektronicznych i ich profile, pieczęcie elektroniczne

CMS (Cryptographic Message Syntax)

XAdES (XML Advanced Electronic Signatures)

PAdES (PDF Advanced Electronic Signatures)

CAdES (CMS Advanced Electronic Signatures)

JAdES (JSON Advanced Electronic Signatures)

ASiC (Associated Signature Containers)

Niezaprzeczalność podpisów cyfrowych

Podpis zaufany i osobisty

Bezpieczna poczta elektroniczna, podpisywanie i szyfrowanie wiadomości

Uwierzytelnienie serwera i klienta w protokole TLS

Profile certyfikatów TLS

Usługi działające w oparciu o przeglądarki internetowe