Скачать презентацию Използване на електронен подпис и смарт карти под Скачать презентацию Използване на електронен подпис и смарт карти под

4df5232bc7d6b0cfcf9cbcea1a215787.ppt

  • Количество слайдов: 30

Използване на електронен подпис и смарт карти под Linux Асоциация за информационна сигурност www. Използване на електронен подпис и смарт карти под Linux Асоциация за информационна сигурност www. iseca. org Сдружение свободен софтуер www. fsa-bg. org Николай Недялков n. [email protected] org Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Използване на електронен подпис и смарт карти под Linux n Теоретична обосновка n Какво Използване на електронен подпис и смарт карти под Linux n Теоретична обосновка n Какво е електронен подпис ? n Какво е смарт карта ? n Практическа сесия n Подготовка на Linux за работа със смарт карти n Приложение на смарт картите и електронен подпис Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Какво е електронен подпис ? n Технология на ел. подпис – инфраструктура на публичния Какво е електронен подпис ? n Технология на ел. подпис – инфраструктура на публичния ключ n Доставчик на удостоверителни услуги n Сигурност и надеждност на електронен подпис Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Смарт карти n Дефиниция n Класификация n Четци и терминали n Java. Card смарт Смарт карти n Дефиниция n Класификация n Четци и терминали n Java. Card смарт карти n Програмиране n Приложения n Развитие Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Дефиниция n Пластична карта с големина на кредитна карта, с вградени микропроцесор и памет Дефиниция n Пластична карта с големина на кредитна карта, с вградени микропроцесор и памет Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Класификация n Контактни и безконтактни смарт карти n Микропроцесорни и “паметни” n ISO/IEC 7816 Класификация n Контактни и безконтактни смарт карти n Микропроцесорни и “паметни” n ISO/IEC 7816 смарт карти стандарт n Част 1 – дефинира физическите характеристики на картата n Част 2 – дефинира размера и контактните точки на картата n Част 3 – дефинира електрическите сигнали и протоколи за предаване на информация – T 0, T 1, . . Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Класификация (2) n ISO/IEC 7816 смарт карти стандарт n Част 4 – Дефинира n Класификация (2) n ISO/IEC 7816 смарт карти стандарт n Част 4 – Дефинира n формата за обменяне на съобщения между интерфейса и картата n методи за достъп до файловете и данните на картата n методи за сигурен обмен на съобщения n методи за използване на алгоритмите, които поддържа картата Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Принципна схема на смарт карта Microsoft. NET Framework Overview Асоциация за информационна сигурност – Принципна схема на смарт карта Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Четци и терминали n Четци n Просто устроени устройства n Външни n Прикачат се Четци и терминали n Четци n Просто устроени устройства n Външни n Прикачат се към RS 232, parallel, USB портове n Интегрирани n в клавиатура n в PCMCIA слотове n във флопидисково устройство n За карти с криптографски възможности се използва най-често захранване от PS/2, USB или вътрешни батерии Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Четци и терминали n Терминали n По-сложни устройства от четците n Компютър, който може Четци и терминали n Терминали n По-сложни устройства от четците n Компютър, който може да се програмира например на Java n Проектирани главно за извършване на n платежни транзакции n схеми за разплащания с електронни пари n Възможност за стриктен контрол и обновяване на софтуера на смарт карти Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

ISO 7816 смарт карти n Стандартен интерфейс за комуникация n APDU пакети {CLS, INS, ISO 7816 смарт карти n Стандартен интерфейс за комуникация n APDU пакети {CLS, INS, P 1, P 2, Lc, Data, Le, SW 1, SW 2} n команди SELECT FILE, READ BINARY, READ RECORD n Йерархична файлова система n Dedicated(DF) и Elementary (EF) файлове n права на достъп - четене, писане, изтриване - CHV 1, CHV 2 n файлове с PIN кодове - възможност за специфичен PIN код за дадено поддърво на файловата система Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Примери на APDU команда за RSA подписване n Изпращат се block type 1, padding, Примери на APDU команда за RSA подписване n Изпращат се block type 1, padding, SHA 1 OID и SHA 1 хеш 80 2 C FF FF 04 80 8 C C 3 37 00 01 82 81 00 00 01 FF FF FF FF FF FF FF AA команда XXX – CF E 1 E 4 15 9 B C 9 6 C D 2 87 85 F 0 2 A 13 FF FF FF 64 E 2 FF FF FF 7 A A 7 FF FF FF 4 E 43 FF FF FF 75 DF FF FF FF 15 B 4 FF FF FF F 0 0 C FF FF FF D 6 FF FF FF 43 FF FF FF 92 FF FF 00 0 B FF FF BA 09 n Резултат 130 байта – дължина и 128 байта RSA сигнатура 81 62 8 A CE 12 1 A D 6 00 4 C F 8 21 C 2 7 C 8 B A 2 E 1 5 D B 7 28 D 7 5 F E 8 F 6 A 3 3 D 9 A D 5 F 9 3 D 6 F 5 A 86 C 0 0 D 8 E 75 B 1 D 4 B 0 AB 8 C EF 8 B CD EF 61 F 4 D 0 BA 65 B 2 C 2 18 E 4 94 6 D 21 DE 44 11 AA 2 F CD 0 C 09 AF 26 12 F 6 C 3 93 2 D 38 60 DE DC EA 63 D 8 36 2 C DE DE FF DC 32 5 B 6 F E 8 4 A 89 B 6 C 6 D 1 9 A 89 AE 81 6 F 12 EB D 0 96 E 8 94 A 7 29 0 A D 5 9 F DB AF F 4 E 7 E 9 CA 98 D 9 Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org A 7 91 1 B 1 C DA B 8 FF 5 F 57 05 08 33

Примери на APDU команди n Избиране на master файла – 3 F 00 n Примери на APDU команди n Избиране на master файла – 3 F 00 n Select команда 80 A 4 00 00 02 3 F 00 n Резултат (FCI – file control information) 6 F 25 81 02 00 00 82 01 38 83 02 3 F 00 85 03 03 00 00 86 06 00 00 00 84 0 B 43 4 F 53 34 33 31 72 65 76 41 32 o%. . . 8. . ? . . . . COS 4 31 rev. A 2 n Верифициране на PIN код n CHV 1 проверка на код 1234 с padding 80 20 00 01 08 31 32 33 34 FF FF SW 1=90 SW 2=00 статус код Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

PKCS#11 стандарт n PKCS#11 е стандартно API за достъп до криптографски модули като смарт PKCS#11 стандарт n PKCS#11 е стандартно API за достъп до криптографски модули като смарт карти, HSM и други n Някои от основните концепции, които са в основата на PKCS#11 n Слот – мястото, където се поставя смарт карта n Token – ‘нещото’, което се слага в слота. Най-често смарт карти n Обект – ключове, сертификати, данни, сесиини обекти и др. n Сесия – преди каквато и да е операция с картата е нужно да се отвори сесия Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

PKCS#11 стандарт (2) n Някои от основните концепции, които са в основата на PKCS#11 PKCS#11 стандарт (2) n Някои от основните концепции, които са в основата на PKCS#11 n Операция – подписване, криптиране, хеширане, такива които се състоят от множество извиквания на функции n Пример: C_Sign. Init(), C_Sign. Update(), C_Sign. Final(). n Първата функция стартира операцията, а 3 -та я звършва n Само една операция може да се извършва в даден момент в сесията, но token-а позволява отварянето на множество сесии Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

PKCS#11 стандарт (3) Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. PKCS#11 стандарт (3) Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

PKCS#15 стандарт n Стандарт за разположение и представяне на n частни и публични ключове PKCS#15 стандарт n Стандарт за разположение и представяне на n частни и публични ключове n PIN кодове и сертификати n Използва се профил n съдържа размера на различните типове файлове за ключове и сертификати Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

PKCS #15 стандарт (2) n Профил на смарт карта MF DF(PKCS 15) Token. Info PKCS #15 стандарт (2) n Профил на смарт карта MF DF(PKCS 15) Token. Info ODF AODFs Other DFs Pr. KDFs CDFs Objects Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Java. Card смарт карти n APDU интерфейс n Липсва файлова система n Пространството се Java. Card смарт карти n APDU интерфейс n Липсва файлова система n Пространството се разделя между аплети n Аплетите се изпълняват върху Java. Card Runtime Environment n Осигурява firewall между аплетите, реализира Java. Card OS n Аплетите се пишат на стандартна Java среда n Биват конвертирани в CAP файлове (converted applet) n Разбиват се на APDU скриптове, чрез които се upload-ват на картата Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Java. Card смарт карти (2) n Аплетите могат да бъдат селектирани n Обработват входящия Java. Card смарт карти (2) n Аплетите могат да бъдат селектирани n Обработват входящия APDU трафик и да връщат съответен резултат n Работят докато не бъде селектиран друг аплет и текущия деселектиран n Има само примитивни типове n byte, short, int n Няма garbage collector n Heap-ът е EEPROM памет n Transient масиви – за временна памет, валидна до deselect на текущия аплет или reset на картата Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Java. Card смарт карти (3) n Транзакции по отношение промените в heap-а n ограничен Java. Card смарт карти (3) n Транзакции по отношение промените в heap-а n ограничен буфер n не се поддържат вложени транзакции n Опростен RMI за комуникация с програма върху CAD устройството (card acceptance device) n За връзка между отделните аплети се използват Shareable интерфейси n Между аплетите от един и същ пакет няма firewall n В CLS байта на APDU пакет може да се укаже използване на MAC код за надеждност, а самите данните могат да бъдат криптирани Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Java. Card смарт карти (4) n Global. Platform API служи за upload на нови Java. Card смарт карти (4) n Global. Platform API служи за upload на нови аплети n Реализира се от Card. Manager аплет n Могат да се дефинират няколко security домейна n Всеки има комплект от три ключа за установяване на сигурна връзка n Комплектът ключове за домейна на Card. Manager аплета се записва от производителя на картата n PKI аплет реализира PKI функционалността n софтуерът се сертифицира, напр. по FIPS-140 ниво 2 Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Приложен софтуер n PCSCLite n Реализира преноса на APDU пакети към четеца и обратно Приложен софтуер n PCSCLite n Реализира преноса на APDU пакети към четеца и обратно n Работи с множество четци n Win. SCard съвместимо API n Open. SC n Форматиране на смарт карта и достъп до PKCS#15 файлови система n PKCS#11 модул Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Приложен софтуер (2) n M. U. S. C. L. E (Movement for the use Приложен софтуер (2) n M. U. S. C. L. E (Movement for the use of smart cards in Linux environment) framework n подобен на PKCS#11 n унифициран достъп до PKI смарт карти n модули за карти с файлова система (напр. Schlumberger Crypto. Flex) n Muscle Applet за Java карти, PKCS#11 модул Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Приложения n Автентикация и оторизация n Стандарти за разплащания n EMV (Europay, Mastercard, Visa) Приложения n Автентикация и оторизация n Стандарти за разплащания n EMV (Europay, Mastercard, Visa) n протокол за изпълнение на платежни транзакции n специфицира интерфейс на взаимодействие между карти, терминали и риск мениджмънт процедури n CEPS (Common E-Purse Specification) n Портмонето често е аплет върху картата, за всяка поддържана валута се пази отделно информация n Употреба в обществени и частни услуги n Други Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Проекти на CITI n Skey OTP Calculator n Smartcard-enabled Kerberos client n Smartcard-enabled SSH Проекти на CITI n Skey OTP Calculator n Smartcard-enabled Kerberos client n Smartcard-enabled SSH client n Smartcard Filesystem (SCFS) n Smartcard Secure Cryptographic Filesystem (SC-CFS) n Web. Card web сървър на Schlumberger Cyberflex Access Java Card n Ограничен TCP/IP стек n Поддържа само HTTP Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Развитие n Използване, като идентификационен n n документ Съхранение на медицинско досие Управление и Развитие n Използване, като идентификационен n n документ Съхранение на медицинско досие Управление и контрол на различни информационни системи Множество приложения в социалния и обществен живот Извършване на плащания посредством n банки n Интернет n терминали n др. институции Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Практическа сесия 1. Изискване към операционната система и 2. 3. 4. 5. 6. хардуера Практическа сесия 1. Изискване към операционната система и 2. 3. 4. 5. 6. хардуера на компютъра Инсталиране на четец за смарт карти Инсталиране на софтуера за ползване на издадено удостоверение за електронен подпис върху смарт карта Настройка на Netscape 7. 1 за работа със SSL Настройка на Netscape 7. 1 за работа с електронна поща Промяна на потребителски ПИН код (User Pin) * Пълно ръководство – http: //www. stampit. org/soft/ stampit_usermanual_linux_bg_v 1. 4. pdf Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Ресурси и полезни връзки n http: //www. citi. umich. edu/projects/smar n n n tcard/ Ресурси и полезни връзки n http: //www. citi. umich. edu/projects/smar n n n tcard/ http: //www. opensc. org/ http: //www. rsasecurity. com/ http: //www. linuxnet. com/ http: //pcsclite. alioth. debian. org/ http: //java. sun. com/products/javacard/ http: //www. smartcardsupply. com/ Content/Cards/7816 standard. htm Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org

Използване на електронен подпис и смарт карти под Linux Въпроси? Microsoft. NET Framework Overview Използване на електронен подпис и смарт карти под Linux Въпроси? Microsoft. NET Framework Overview Асоциация за информационна сигурност – www. iseca. org