Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech.

Podobné prezentace


Prezentace na téma: "Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech."— Transkript prezentace:

1 Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech ISSS dubna 2007

2 IBM Global Technology Services © Copyright IBM Corporation Agenda Bezpečnostní prvky, popisované v této přednášce, jsou platné pro elektronické pasy vydávané od do současnosti. Nejsou popsány plánované bezpečnostní prvky, např. Extended Access Control.  Vysvětlení pojmu elektronický pas  Uložení RFID čipu  Prvky strojově čitelné zóny (MRZ)  Základní řízení přístupu (BAC)  Elektronický podpis dat v pasu  Aktivní autentizace (AA)

3 IBM Global Technology Services © Copyright IBM Corporation Druhy elektronických pasů  Od jsou v ČR vydávány cestovní doklady (pasy) s bezkontaktním čipem jako nosičem biometrických údajů.  Cestovní doklady občanů České republiky  Uprchlické pasy -Osoby, které v ČR získaly status uprchlíka  Cizinecké pasy -Osoby, které mají v ČR povolení k trvalému pobytu  Diplomatické pasy -Vydávány MZV představitelům českého státu  Služební pasy - Vydávány MZV osobám, které cestují do zahraničí ve věcech České republiky

4 IBM Global Technology Services © Copyright IBM Corporation Elektronický pas - pojmy  Elektronický pas = cestovní doklad s biometrickými prvky uloženými v RFID čipu.  Nosičem biometrických údajů je RFID čip s rozhraním dle specifikace ISO/IEC –Čip má vlastní operační systém a provádí kryptografické operace. –Na čipu je souborová struktura s oddělenými datovými skupinami (úložiště údajů držitele, biometrických dat, kryptografických informací apod.) –Data Groups DG1 až DG16 –Řízení přístupu k jednotlivým datovým skupinám na bázi asymetrické kryptografie a digitálních certifikátů.  Standardy elektronických pasů vydává ICAO –International Civil Aviation Organization. –Mezinárodní organizace pro civilní letectví při OSN.

5 IBM Global Technology Services © Copyright IBM Corporation Uložení RFID čipu v pasu  Bezkontaktní čip s anténou je u českých pasů vložen do stránky s tištěnými datovými údaji, která byly přesunuta z posledního listu pasu na začátek pasu.  Stránka s datovými údaji je tvořena polykarbonátovou vrstvou, do které je zalit čip a do níž je laserem glavírována černobílá fotografie držitele pasu.

6 IBM Global Technology Services © Copyright IBM Corporation RFID čip s anténou RFID čip anténa

7 IBM Global Technology Services © Copyright IBM Corporation Datová stránka a Machine Readable Zone (MRZ) MRZ = Machine Readable Zone = strojově čitelná zóna Datová stránka v pasu obsahuje strojově čitelnou zónu (MRZ), umístěnou na spodní straně stránky, ze které čtečka pasu čte údaje o držiteli pasu: –Typ dokumentu –Vydavatelský stát –Jméno držitele –Číslo pasu –Občanství držitele pasu –Datum narození –Pohlaví –Doba platnosti pasu (datum expirace) –… řada dalších znaků, které slouží pro kontrolní výpočty správnosti dat

8 IBM Global Technology Services © Copyright IBM Corporation Datová stránka a Machine Readable Zone (MRZ) Machine Readable Zone (MRZ) Data z MRZ jsou uložena v DG1 Kódovaná fotografie držitele je uložena v DG2 Uložení dat v čipu

9 IBM Global Technology Services © Copyright IBM Corporation Zabezpečení dat v čipu elektronického pasu Mechanismy zabezpečení dat:  Základní řízení přístupu (Basic Access Control – BAC) –Šifrování dat v čipu elektronického pasu brání jejich neoprávněnému čtení bez vědomí držitele pasu.  Elektronický podpis dat uložených v čipu –Data v čipu jsou elektronicky podepsána, takže není možné je změnit, aniž by to bylo čtečkou pasů detekováno.  Aktivní autentizace (AA) –Mechanismus aktivní autentizace brání kopírování čipu. –Volitelné

10 IBM Global Technology Services © Copyright IBM Corporation Základní řízení přístupu (BAC)  Brání neoprávněnému čtení dat z čipu bez vědomí držitele pasu  Data v čipu jsou šifrována symetrickým klíčem. Klíč je vypočítán z údajů vytištěných na datové stránce ve strojově čitelné zóně (MRZ): –Číslo pasu (9 znaků) –Datum narození držitele pasu (6 číslic) –Datum ukončení platnosti pasu (6 číslic)  Při čtení dat z pasu jsou nejprve opticky přečtena data z MRZ. Z těchto dat je vypočítán symetrický klíč, kterým jsou následně dešifrována data z čipu.  Data z čipu je možno číst pouze tehdy, pokud je pas přiložen datovou stránkou na čtečku pasu. Tento mechanismus chrání pas před čtením dat z čipu bez vědomí jeho držitele.

11 IBM Global Technology Services © Copyright IBM Corporation Základní řízení přístupu (BAC) Inspekční systém (zjednodušeně čtečka pasů) S <

12 IBM Global Technology Services © Copyright IBM Corporation Elektronický podpis dat uložených v čipu  Data, uložená v čipu, jsou elektronicky podepsána při výrobě elektronického pasu. Každá výrobce elektronických pasů má svůj certifikát, tzv. Document Signer (DS).  Výrobce elektronických pasů má certifikát DS podepsán národní Certifikační Autoritou (Country Signing CA – CSCA)  V případě pozdější změny dat v čipu zjistí inspekční systém (zjednodušeně čtečka pasů), že data uložená v čipu nemají platný podpis a proto nejsou důvěryhodná.

13 IBM Global Technology Services © Copyright IBM Corporation Elektronický podpis dat uložených v čipu Data Group 1 (MRZ) Data Group 2 (Encoded Face) Data uložená v čipu Hash DG_1 Hash DG_2 Digitální hash Elektronický podpis Národní certifikační autorita (CSCA) Výrobce cestovních dokladů (DS) Certifikát DS Elektronický podpis Data Group …Hash DG_...

14 IBM Global Technology Services © Copyright IBM Corporation Aktivní autentizace (AA)  Volitelný mechanismus, který umožňuje zjistit, zda data z čipu nebyla zkopírována do jiného čipu, tedy zda inspekční systém (čtečka pasů) komunikuje s originálním čipem.  Při výrobě elektronického pasu je do čipu uložen privátní klíč, který nelze z čipu číst.  Veřejný klíč k privátnímu klíči je uložen v datové zóně DG15 a je zahrnut do elektronicky podepsaných dat (viz předchozí slide).  Pokud jsou data z čipu zkopírována, jsou zkopírována včetně veřejného klíče v DG15. Útočník nemůže tento veřejný klíč změnit, protože je elektronicky podepsán. Nemůže ani zkopírovat korespondující privátní klíč (ten čip nikdy neopustí).  Čtečka pasů pomocí podepsané zprávy ověřuje, zda je v čipu privátní klíč korespondující s veřejným klíčem v DG15. Pokud není, nejedná se o originální čip.  Tento mechanismus je pouze volitelný a není implementován ve všech státech EU (proto se v tisku objevují zprávy o úspěšném kopírování čipů).

15 Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Otázky ? Děkuji za pozornost


Stáhnout ppt "Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech."

Podobné prezentace


Reklamy Google