Az e-Szignó alkalmazás sebezhetőségvizsgálata
A Microsec e-Szignó aláírás létrehozó- és kezelő alkalmazás tanúsítással rendelkező, minősített aláírások létrehozására alkalmas szoftver. A szoftver tervezése és implementálása a biztonsági kritériumok különös figyelembe vételével történt. A termék a Common Criteria módszertannak megfelelően, Védelmi profil és Biztonsági előirányzat alapján készült, tanúsítását egy magyar tanúsító szervezet végezte. Az alkalmazást Magyarországon széles körben használják. A gondos tervezésnek és implementálásnak köszönhetően a szoftver hibás működésének kockázata minimális, de még így is előfordulhat, hogy speciális környezeti együttállások esetében a szoftver nem várt működést mutat.
A hallgató feladata az ASN.1 formátum és PKI célú felhasználásainak (OCSP, időbélyeg) megismerése, ezen formátumok biztonsági tesztelését elősegítő megoldások áttekintése, valamint a megismert eszközök alkalmazása az e-Szignó elektronikus aláíró és ellenőrző alkalmazáson.
A hallgató feladatának a következőkre kell kiterjednie:
- ASN1, OCSP és időbélyeg szolgáltatások szabványainak áttekintése;
- ismerje meg az e-Szignó alkalmazást;
- mutassa be a vizsgálat során alkalmazott tesztelő módszertant és eszközöket;
- alakítson ki egy architektúrát, amely az elektronikus aláírás készítése során kommunikál különböző szolgáltatókkal (időbélyeg szolgáltató, OCSP válaszadó);
- tervezze meg és folytassa le a kialakított rendszeren a biztonsági vizsgálatot;
- készítse el a sérülékenység vizsgálati jelentést;
- értelmezze és foglalja össze a vizsgálat eredményeit.