Protokół TLS w finansach i bankowości

TLS to standardowe rozwinięcie protokołu SSL używane w Internecie. Zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, jak również klienta. Szczególne znaczenie odgrywa z bezpiecznych transakcjach bankowych. Obecnie dostęp do bankowości elektronicznej jest możliwy wyłącznie z przeglądarek wspierających protokół TLS w najwyższej wersji. Podobne zasady wprowadza Ministerstwo Finansów, które w październiku ubiegłego roku, zamieściło na swojej stronie internetowej informację, mówiącą o zmianie sposobu komunikacji z usługą WebServices bramki testowej e-Deklaracje.

Dotychczasowy protokół TLS w wersji 1.0 został zastąpiony przez TLS 1.2. Nagła zmiana spowodowała liczne problemy z wysyłaniem wymaganych dokumentów przez użytkowników końcowych, dlatego Ministerstwo podjęło decyzję o przywróceniu dotychczasowej wersji TLS 1.0. Zaistniała sytuacja ukazała potrzebę dostosowania się użytkowników końcowych oraz dostawców oprogramowania do zmian. Ponowne podniesienie wersji protokołu do TLS 1.2 planowane jest na połowę 2017 r.

Opisany problem dotyczy zarówno przystosowania końcowych stacji roboczych (wymagana odpowiednia wersja systemu operacyjnego, przeglądarki), oprogramowania oraz systemów odpowiedzialnych za wymianę informacji z Ministerstwem lub bankami wymagającymi bezpiecznego protokołu TLS 1.2, jak również urządzeń mobilnych.

Należy pamiętać, że bezpieczeństwo połączenia zależy też od zestawu algorytmów szyfrujących (ang. cipher suites) wykorzystywanych w połączeniu. Dodatkowo konieczne jest korzystanie z aktualnych bibliotek – implementacji protokołu TLS, w których często pojawiają się podatności. Z uwagi na funkcjonalności zwiększające bezpieczeństwo i wydajność, które pojawiły się w TLS 1.2 klienci powinni nawiązywać połączenia z wykorzystaniem najnowszej wersji protokołu.

Porównanie wersji protokołu TLS

TLS 1.0
Opracowany w 1999 roku jako aktualizacja dla protokołu SSL 3.0 zawierającego liczne podatności. Jest podatny na atak BEAST umożliwiający np. kradzież ciasteczka z sesji HTTP zabezpieczonej protokołem TLS.
TLS 1.1
Opublikowany w 2006 roku. Zawiera poprawki w implementacji trybu CBC: bezpieczne wektory inicjalizacyjne IV i obsługę błędów dopełnień (ang. padding errors).
TLS 1.2
Opublikowany w 2008 roku. W tej wersji dodano funkcjonalności zwiększające bezpieczeństwo i wydajność: wykorzystanie algorytmu SHA-256 zamiast MD5-SHA-1 w funkcji pseudolosowej oraz wsparcie dla szyfrów typu AEAD (ang. Authenticated Encryption with Associated Data). Szyfry te mają zastosowanie w trybach GCM oraz CCM, ich wykorzystanie zabezpiecza przed atakiem „Lucky Thirteen”. Dodatkowo tryb GCM cechuje się wysoką wydajnością.

Protokół TLS 1.2 a systemy SAP

Systemy SAP również wymagają dostosowań oraz kompleksowej weryfikacji konfiguracji, aby już przed ostateczną zmianą protokołu szyfrującego zapewnić jego pełne wsparcie oraz prawidłową komunikacje. Systemy SAP realizujące połączenia do systemów zewnętrznych, wspierających wyłącznie TLS wersji 1.2, wymagają weryfikacji wersji komponentów takich jak:

  • Kernel (SAPSSL) – SAPSSL jest zintegrowaną częścią ICM (Internet Connection Manager) odpowiedzialną za obsługę sesji NetWeaver Kernel. Konfiguracja realizowana jest za pomocą parametrów profili SAP.
  • CommonCryptoLib – biblioteka wywoływana przez SAPSSL.
  • IAIK JCE & JSSE (tylko dla SAP AS JAVA) – komponent odpowiedzialny za połączenia wychodzące.

Systemy SAP, które nie posiadają odpowiednich wersji wspominanych komponentów, nie będą mogły nawiązać połączenia poprzez protokół komunikacyjny TLS 1.2. Wykonanie aktualizacji komponentów do wymaganych wersji oraz wczytanie wprowadzonej konfiguracji z profili SAP, wymaga ponownego uruchomienia systemu, a co za tym idzie – niedostępności systemu.

Zarządzanie bezpieczeństwem IT jest procesem
Confidentiality/Poufność, Integrity/Integralność, Availability/Dostępność (CIA), są stabilnymi filarami tego procesu. Jeżeli któryś z nich ulega z czasem degradacji, wówczas proces zarządzania bezpieczeństwem IT może szybko runąć w gruzach. Administratorzy bezpieczeństwa muszą zatem dbać o to, aby filary bezpieczeństwa były solidne. Bezpieczeństwo protokołów komunikacyjnych jest tym bardziej istotne,  że ich złamanie może prowadzić zarówno do podsłuchania, zmiany treści, jak i przerwania komunikacji pomiędzy systemami IT, czyli zniszczenia każdego z filarów bezpieczeństwa. To może mieć katastrofalne konsekwencje dla procesów biznesowych i ich właścicieli.
Dariusz Kurkiewicz, Lider Zespołu Wdrożeniowego SAP, All for One Poland

Nowy standard = większe bezpieczeństwo

Z upływem czasu protokół szyfrujący TLS w wersji 1.2 będzie wymagany przez coraz większą liczbę rozwiązań z branży IT. Przystosowanie administrowanych systemów do nowego standardu jest tylko kwestią czasu. Warto zatem zweryfikować aktualny stan systemów IT oraz dużo wcześniej dostosować je do nadchodzących wymagań. Zyskujemy przez to nie tylko pełną kompatybilność z zewnętrznymi rozwiązaniami, ale przede wszystkim pełne bezpieczeństwo przesyłanych danych.

Bezpieczeństwo IT

BCC (aktualnie All for One Poland) realizuje usługi związane z dziedziną szeroko pojętego bezpieczeństwa IT. Nasz zespół certyfikowanych konsultantów ds. zabezpieczeń jest w stanie przybrać rolę grupy hakerów (pentesterów) i sprawdzić zabezpieczenia firmy, czyli wykonać tak zwane testy penetracyjne (pentesty). Wykonujemy również audyty konfiguracji pod kątem ustawień bezpieczeństwa, hardeningu, dobrych praktyk i innych wytycznych oraz metodologii.