Скачать презентацию platforma pro evropskou občanku OKsystem s r o Скачать презентацию platforma pro evropskou občanku OKsystem s r o

3257f97b8c2528b9dd5d4b0fec9139f8.ppt

  • Количество слайдов: 34

platforma pro evropskou „občanku“ OKsystem s. r. o. www. oksystem. cz Ing. Ivo Rosol, platforma pro evropskou „občanku“ OKsystem s. r. o. www. oksystem. cz Ing. Ivo Rosol, CSc. ředitel divize služeb [email protected] cz Ing. Vítězslav Vacek vedoucí projektu bezpečnosti [email protected] cz

2 A 302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project 2 A 302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project objectives Project structure ØTwo directions are targeted Ø Split in 2 sub-projects and 9 work packages q provide a complete technical platform enabling the European Governments to issue interoperable e-identity documents q develop a complete HW and embedded SW platform taking full profit of the enormous potentialities offered by the development of premium Mobile Services Duration : q sub-project A : European Citizen Card q sub-project B : Mobile Multi Media WP 1 : Management and dissemination WP 2 : Use cases WP 3 : Architecture WP 4 : Specifications WP 5 : Infrastructure and interfaces WP 6 : Biometrics WP 7 : Platform development WP 8 : Tools and methodology WP 9 : Demonstrators Q 2 -2005 to Q 4 -2007 Manpower : 305 man. year Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands

Komunikace s čipovou kartou Komunikační protokoly - kontaktní ISO 7816 -3, USB ISO 7816 Komunikace s čipovou kartou Komunikační protokoly - kontaktní ISO 7816 -3, USB ISO 7816 -12, bezkontaktní (RF) ISO 14443 A/B + NFC + VHDR v [email protected]+ Aplikační protokol ISO 7816 -4, 8 (APDU) 1. APDU (Command) 2. APDU (Response)

Stav techniky a standardizace v průběhu projektu 1/2 Základní standardy v oblasti čipových karet Stav techniky a standardizace v průběhu projektu 1/2 Základní standardy v oblasti čipových karet (ISO 7816) existují řadu let, ale nezaručují plnou kompatibilitu na aplikační úrovni a využívají poměrně archaický aplikační protokol (APDU) Rozvíjí se bezkontaktní komunikace, důležité aplikace vyžadují vyšší přenosovou rychlost a vyšší bezpečnost (dodatky k standardu ISO 14443 až 848 kb/s, VHDR 1. 7, 3. 4 a 5. 1 Mb/s, specifikace EAC pro ICAO)

Stav techniky a standardizace v průběhu projektu 2/2 Ø Potřeba lépe definovaných služeb čipové Stav techniky a standardizace v průběhu projektu 2/2 Ø Potřeba lépe definovaných služeb čipové karty (povinné APDU, povinné autentizační protokoly, eliminace chování závislých na implementaci) – tvorba evropského standardu ECC (CEN TC 224 WG 15) Ø Neexistující standard pro middleware, pouze technické specifikace (zejména) obecných kryptografických rozhraní (PKCS#11, MS CAPI, JCA) – tvorba mezinárodního standardu ISO/IEC 24727

Hlavní východiska projektu V rámci Evropy: Ø Definované služby (na vyšší úrovni) čipové platformy Hlavní východiska projektu V rámci Evropy: Ø Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a digitální podpis (Signature) – IAS podle ECC-2. Ø Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3) Ø Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO 24727 (ECC-3 podmnožina ISO)

Identifikace, autentizace, e. Podpis (IAS) IAS jako základ pro elektronickou administrativu vzešel z iniciativy Identifikace, autentizace, e. Podpis (IAS) IAS jako základ pro elektronickou administrativu vzešel z iniciativy e. Europe Smart Card Charter (e. ESC, v rámci akčního plánu EU e. Europe) IAS se stal základem European Citizen Card - čtyřdílný standard vytvářeném v rámci CEN

Evropské standardizační organizace CEN – European Committee for Standardisation CENELEC - European Committee for Evropské standardizační organizace CEN – European Committee for Standardisation CENELEC - European Committee for Electrotechnical Standardisation ETSI – European Telecomunications Standards Institute CEN a ISO uzavřeli Vídeňskou dohodu o spolupráci (30% standardů v tomto režimu)

CEN charakterizuje Ø 30 národních členů (ČNI za ČR) Ø více než 60. 000 CEN charakterizuje Ø 30 národních členů (ČNI za ČR) Ø více než 60. 000 expertů Ø vydal více než 10. 000 evropských standardů Ø náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty CEN vytváří: Ø evropské standardy – EN Ø technické specifikace – TS Ø informativní technické zprávy – TR Ø pracovní specifikace – CWA Práce CEN probíhá v technických výborech

Technický výbor CEN/TC 224 Machine readable cards, related device interfaces and operations CEN/TS 15480 Technický výbor CEN/TC 224 Machine readable cards, related device interfaces and operations CEN/TS 15480 -1 Identification card systems – European Citizen Card – Part 1: Physical, electrical and transport protocol characteristics CEN/TS 15480 -2 Identification card systems – European Citizen Card – Part 2: Logical data structures and card services CEN/TS 15480 -3 Identification card systems – European Citizen Card – Part 3: ECC interoperability using an application interface CEN/TS 15480 -4 Identification card systems – European Citizen Card – Part 4: Reccomendation for ECC issuance, operation and use

Definice ECC je personalizovaná čipová karta formátu ID 1 s kontaktním rozhraním ISO 7816 Definice ECC je personalizovaná čipová karta formátu ID 1 s kontaktním rozhraním ISO 7816 -3 (12) nebo bezkontaktním rozhraním ISO/IEC 14443. ECC podporuje služby IAS (Identification, Authentication, Signature) na základě CEN/TS 15480 -2

Fyzické specifikace ECC 1/2 ECC musí: Ø integrovat čipový modul pracující v kontaktním režimu Fyzické specifikace ECC 1/2 ECC musí: Ø integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu Ø obsahovat administrativní údaje držitele (jména. . . ) Ø obsahovat černobílou nebo barevnou fotografii a podpis držitele Ø obsahovat MRZ podle doporučení ICAO 9303 -1 Ø obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)

Fyzické specifikace ECC 2/2 Ø Materiál těla karty není předepsán, musí být kompatibilní s Fyzické specifikace ECC 2/2 Ø Materiál těla karty není předepsán, musí být kompatibilní s kontaktní, bezkontaktní a personalizační technologií Ø Biografická data na lícové straně by měla být personalizována do materiálu těla karty Ø Podtisk by měl obsahovat guilloches, duhový tisk, UV fluorescentní prvky, OVI a mikrotisk nebo srovnatelnou technologii na datové straně

Lícová strana ECC Lícová strana ECC

Rubová strana ECC Rubová strana ECC

Funkce ECC Ø vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat Funkce ECC Ø vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat uložených na kartě Ø oboustranná autentizace mezi kartou a terminálem, pokud požaduje aplikace Ø bezpečný přenos dat pomocí kontaktního a volitelně bezkontaktního rozhraní Ø generování elektronického podpisu Ø mechanismus řízení přístupu k uloženým datům Ø multiaplikační podpora

Interoperabilita ECC Elektronická interoperabilita ECC je dosažena ve 3 vrstvách: Ø společná sada příkazů Interoperabilita ECC Elektronická interoperabilita ECC je dosažena ve 3 vrstvách: Ø společná sada příkazů a datových struktur (CEN/TS 15480 -2) Ø middleware API (CEN/TS 15480 -3) Ø definice profilů ECC (CEN/TS 15480 -4)

Operační systém čipové karty ECC Onom@topic IAS Operační systém čipové karty ECC [email protected] IAS

Onom@topic - operační systém Aplikace IAS rezidentní na čipové kartě tvoří operační systém čipové [email protected] - operační systém Aplikace IAS rezidentní na čipové kartě tvoří operační systém čipové platformy [email protected]+. Aplikace vychází z publikovaného standardu CEN/TS 15480 -2.

Základní komponenty IAS Ø Hierarchický souborový systém podle ISO 7816 -4 Ø Bezpečnostní architektura Základní komponenty IAS Ø Hierarchický souborový systém podle ISO 7816 -4 Ø Bezpečnostní architektura a služby Ø Příkazová sada

Souborový systém IAS Ø Fixní počet DF a EF Ø Implementace pomocí 3 polí Souborový systém IAS Ø Fixní počet DF a EF Ø Implementace pomocí 3 polí - directory list array, file list array, data blocks array Ø Typy EF: Transparent, Linear fixed, Linear Variable, Cyclic Ø Operace v systému souborů: inicializace, vytvoření MF, vytvoření DF, vytvoření EF, smazání DF, smazání EF

Bezpečnostní služby IAS Ø Symetric Device Authentication Ø Secure Messaging Ø Digital Signature Ø Bezpečnostní služby IAS Ø Symetric Device Authentication Ø Secure Messaging Ø Digital Signature Ø Client/Server Authentication Ø Encryption Key Decipherment Ø Card Verifiable Certificate Verification Ø Key Transport Protocol

Příkazová sada IAS Ø Sada příkazů pro souborový systém § CREATE FILE, SELECT, READ Příkazová sada IAS Ø Sada příkazů pro souborový systém § CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF Ø Sada příkazů pro bezpečnostní služby § GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION Ø Sada příkazů pro komunikaci § GET RESPONSE

Software pro interoperabilitu Onom@topic middleware Software pro interoperabilitu [email protected] middleware

Návrh ISO standardů pro middleware ISO/IEC FDIS 24727 -1 Identification cards -- Integrated circuit Návrh ISO standardů pro middleware ISO/IEC FDIS 24727 -1 Identification cards -- Integrated circuit card programming interfaces -- Part 1: Architecture ISO/IEC FCD 24727 -2 Identification cards -- Integrated circuit card programming interfaces -- Part 2: Generic card interface ISO/IEC CD 24727 -3 Identification cards -- Integrated circuit card programming interfaces -- Part 3: Application interface ISO/IEC NP 24727 -4 Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 4: API administration ISO/IEC NP 24727 -5 Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 5: Testing

ISO/IEC FDIS 24727 -1 – architektura Odvozeno z ISO 24727 -3 Externí aplikace Poskytovatel ISO/IEC FDIS 24727 -1 – architektura Odvozeno z ISO 24727 -3 Externí aplikace Poskytovatel 1 Aplikační rozhraní (API) Poskytovatel 2 Service Access Layer (SAL) - Odvozeno z ISO 24727 -2 Generické rozhraní (GCE) Poskytovatel 3 Generic Card Access Layer (GCAL) Rozhraní čipové karty (HCE) Poskytovatel 4 EF. DIR Aplikace rezidentní na kartě Application Capabilities Descriptor Odvozeno z ISO 24727 -2 Discovery data (Access Control List, Elements of Identities, Data Sets for IOP) ICC Odvozeno z CEN TC 224 WG 15 spec. DF. CIA (ISO 7816 -15) Odvozeno z ISO 24727 -3

Hlavní cíle Onom@topic middleware ØKompatibilita s ISO 24727 ØPodpora biometrické autentizace a biometrických zařízení Hlavní cíle [email protected] middleware ØKompatibilita s ISO 24727 ØPodpora biometrické autentizace a biometrických zařízení ØMožnost síťové komunikace s čipovou kartou ØPodpora šifrované komunikace s čipovou kartou (secure messaging) ØPodpora vysokorychlostních bezkontaktních zařízení (VHDR) ØMaximální využití existujících standardů (ISO 7816 -15)

Servisní vrstva SAL ØSlužby připojení §Navázání/rušení spojení ØAplikační služby §Seznam aplikací, vytváření aplikací ØSlužby Servisní vrstva SAL ØSlužby připojení §Navázání/rušení spojení ØAplikační služby §Seznam aplikací, vytváření aplikací ØSlužby datových objektů §Čtení, zápis, vytváření, mazání ØKryptografické služby §Šifrování, dešifrování, hash, podpis, ověření podpisu, náhodná čísla ØSlužby diferenciální identit §Čtení seznamu identit, vytváření, mazání identit ØAutorizační služby §Čtení přístupových práv

Instrukční vrstva CIL ØZajišťuje nezávislost na konkrétním typu čipové karty ØVolání CIL vrstvy přestavují Instrukční vrstva CIL ØZajišťuje nezávislost na konkrétním typu čipové karty ØVolání CIL vrstvy přestavují jakési virtuální instrukce které se přeloží do řeči dané karty ØPoskytované služby: §Služby souborového systému §Autentizační služby §Kryptografické služby §Služby zabezpečené komunikace

Transportní vrstva CTL ØZajišťuje přenos APDU příkazů do čipové karty ØRozšiřuje PC/SC o podporu Transportní vrstva CTL ØZajišťuje přenos APDU příkazů do čipové karty ØRozšiřuje PC/SC o podporu §Biometrických čteček §Síťové komunikace §Vysokorychlostních bezkontaktních zařízení ØPoskytované služby: §Čtení seznamu čteček §Navázání/rušení spojení §Čekání na události §Biometrické operace ØTato architektura byla převzata do ISO 24727 -4

Realizace šifrované komunikace ØUmožňuje aplikaci uchovávat klíče v bezpečném úložišti ØAplikace není nucena sdílet Realizace šifrované komunikace ØUmožňuje aplikaci uchovávat klíče v bezpečném úložišti ØAplikace není nucena sdílet klíče s middleware ØŠifrování probíhá na úrovni APDU příkazů, přesto aplikace nemusí znát jejich strukturu ØMiddleware žádá aplikaci o zašifrování/dešifrování dat

Demonstrátor Rousset, Francie Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány Demonstrátor Rousset, Francie Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní příklady použití middleware, které integrují inovativní technologie partnerů projektu: Ø Čipovou kartu se systémem IAS (Gemalto, Oberthur) Ø Biometrickou autentizaci provedenou na kartě (Precise Biometrics) Ø Bezpečné biometrické zařízení (ID 3, Precise Biometrics) Ø Vysokorychlostní bezkontaktní komunikaci VHDR (CEA Leti, NXP) Ø Middleware kompatibilní s ISO 24727 (OKsystem) Ø Systém ověření identity uživatele (Safelayer) Ø Síťová komunikace, Active. X (Compuworx)

Zhodnocení mezinárodního projektu Klady Ø Všechny úkoly a cíle projektu byly týmem řešitele splněny Zhodnocení mezinárodního projektu Klady Ø Všechny úkoly a cíle projektu byly týmem řešitele splněny Ø Tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům Ø Byly získány cenné kontakty, znalosti a zkušenosti v oblasti tvorby mezinárodních standardů Ø Vývoj a výzkum přinesl nové technologie a architekturu, která je základem pro komerční produkt OKsmart Zápory Ø Vyšší náklady a nižší efektivita v mezinárodním týmu Ø Závislost na plnění cílů partnerů projektu

Cena Medea+ Board za nejlepší projekt roku 2007 Výbor MEDEA+ Board udělil během výročního Cena Medea+ Board za nejlepší projekt roku 2007 Výbor MEDEA+ Board udělil během výročního zasedání MEDEA+ Forum 2007 v Budapešti cenu „Jean-Pierre Noblanc Award for Excelence“ za nejlepší projekt roku projektu [email protected]+. Tato cena byla slavnostně udělena před 350 delegáty a členy výboru MEDEA+, reprezentujících špičku evropských společností v mikroelektronice. Je to historicky poprvé, kdy projekt čipových karet obdržel tuto cenu.