Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí.

Podobné prezentace


Prezentace na téma: "Platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí."— Transkript prezentace:

1 platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí projektu bezpečnosti

2 2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project objectives  Two directions are targeted  provide a complete technical platform enabling the European Governments to issue interoperable e-identity documents  develop a complete HW and embedded SW platform taking full profit of the enormous potentialities offered by the development of premium Mobile Services Project structure  Split in 2 sub-projects and 9 work packages  sub-project A : European Citizen Card  sub-project B : Mobile Multi Media WP1 : Management and dissemination WP2 : Use cases WP3 : Architecture WP4 : Specifications WP5 : Infrastructure and interfaces WP6 : Biometrics WP7 : Platform development WP8 : Tools and methodology WP9 : Demonstrators Duration : Q to Q Manpower :305 man.year Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands

3 Komunikace s čipovou kartou 2. APDU (Response) 1. APDU (Command) Komunikační protokoly - kontaktní ISO , USB ISO , bezkontaktní (RF) ISO A/B + NFC + VHDR v Aplikační protokol ISO ,8 (APDU)

4 Stav techniky a standardizace v průběhu projektu 1/2 Základní standardy v oblasti čipových karet (ISO 7816) existují řadu let, ale nezaručují plnou kompatibilitu na aplikační úrovni a využívají poměrně archaický aplikační protokol (APDU) Rozvíjí se bezkontaktní komunikace, důležité aplikace vyžadují vyšší přenosovou rychlost a vyšší bezpečnost (dodatky k standardu ISO až 848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace EAC pro ICAO)

5 Stav techniky a standardizace v průběhu projektu 2/2  Potřeba lépe definovaných služeb čipové karty (povinné APDU, povinné autentizační protokoly, eliminace chování závislých na implementaci) – tvorba evropského standardu ECC (CEN TC224 WG15)  Neexistující standard pro middleware, pouze technické specifikace (zejména) obecných kryptografických rozhraní (PKCS#11, MS CAPI, JCA) – tvorba mezinárodního standardu ISO/IEC 24727

6 Hlavní východiska projektu V rámci Evropy:  Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a digitální podpis (Signature) – IAS podle ECC-2.  Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3)  Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO (ECC-3 podmnožina ISO)

7 Identifikace, autentizace, ePodpis (IAS) IAS jako základ pro elektronickou administrativu vzešel z iniciativy eEurope Smart Card Charter (eESC, v rámci akčního plánu EU eEurope) IAS se stal základem European Citizen Card - čtyřdílný standard vytvářeném v rámci CEN

8 Evropské standardizační organizace CEN – European Committee for Standardisation CENELEC - European Committee for Electrotechnical Standardisation ETSI – European Telecomunications Standards Institute CEN a ISO uzavřeli Vídeňskou dohodu o spolupráci (30% standardů v tomto režimu)

9 CEN CEN charakterizuje  30 národních členů (ČNI za ČR)  více než expertů  vydal více než evropských standardů  náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty CEN vytváří:  evropské standardy – EN  technické specifikace – TS  informativní technické zprávy – TR  pracovní specifikace – CWA Práce CEN probíhá v technických výborech

10 Technický výbor CEN/TC 224 CEN/TC 224 Machine readable cards, related device interfaces and operations CEN/TS Identification card systems – European Citizen Card – Part 1: Physical, electrical and transport protocol characteristics CEN/TS Identification card systems – European Citizen Card – Part 2: Logical data structures and card services CEN/TS Identification card systems – European Citizen Card – Part 3: ECC interoperability using an application interface CEN/TS Identification card systems – European Citizen Card – Part 4: Reccomendation for ECC issuance, operation and use

11 Definice ECC ECC je personalizovaná čipová karta formátu ID- 1 s kontaktním rozhraním ISO (12) nebo bezkontaktním rozhraním ISO/IEC ECC podporuje služby IAS (Identification, Authentication, Signature) na základě CEN/TS

12 Fyzické specifikace ECC 1/2 ECC musí:  integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu  obsahovat administrativní údaje držitele (jména...)  obsahovat černobílou nebo barevnou fotografii a podpis držitele  obsahovat MRZ podle doporučení ICAO  obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)

13 Fyzické specifikace ECC 2/2  Materiál těla karty není předepsán, musí být kompatibilní s kontaktní, bezkontaktní a personalizační technologií  Biografická data na lícové straně by měla být personalizována do materiálu těla karty  Podtisk by měl obsahovat guilloches, duhový tisk, UV fluorescentní prvky, OVI a mikrotisk nebo srovnatelnou technologii na datové straně

14 Lícová strana ECC

15 Rubová strana ECC

16 Funkce ECC  vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat uložených na kartě  oboustranná autentizace mezi kartou a terminálem, pokud požaduje aplikace  bezpečný přenos dat pomocí kontaktního a volitelně bezkontaktního rozhraní  generování elektronického podpisu  mechanismus řízení přístupu k uloženým datům  multiaplikační podpora

17 Interoperabilita ECC Elektronická interoperabilita ECC je dosažena ve 3 vrstvách:  společná sada příkazů a datových struktur (CEN/TS )  middleware API (CEN/TS )  definice profilů ECC (CEN/TS )

18 Operační systém čipové karty ECC IAS

19 - operační systém Aplikace IAS rezidentní na čipové kartě tvoří operační systém čipové platformy Aplikace vychází z publikovaného standardu CEN/TS

20 Základní komponenty IAS  Hierarchický souborový systém podle ISO  Bezpečnostní architektura a služby  Příkazová sada

21 Souborový systém IAS  Fixní počet DF a EF  Implementace pomocí 3 polí - directory list array, file list array, data blocks array  Typy EF: Transparent, Linear fixed, Linear Variable, Cyclic  Operace v systému souborů: inicializace, vytvoření MF, vytvoření DF, vytvoření EF, smazání DF, smazání EF

22 Bezpečnostní služby IAS  Symetric Device Authentication  Secure Messaging  Digital Signature  Client/Server Authentication  Encryption Key Decipherment  Card Verifiable Certificate Verification  Key Transport Protocol

23 Příkazová sada IAS  Sada příkazů pro souborový systém  CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF  Sada příkazů pro bezpečnostní služby  GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION  Sada příkazů pro komunikaci  GET RESPONSE

24 Software pro interoperabilitu middleware

25 Návrh ISO standardů pro middleware ISO/IEC FDIS Identification cards -- Integrated circuit card programming interfaces -- Part 1: Architecture ISO/IEC FCD Identification cards -- Integrated circuit card programming interfaces -- Part 2: Generic card interface ISO/IEC CD Identification cards -- Integrated circuit card programming interfaces -- Part 3: Application interface ISO/IEC NP Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 4: API administration ISO/IEC NP Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 5: Testing

26 ISO/IEC FDIS – architektura Aplikace rezidentní na kartě Odvozeno z CEN TC224 WG15 spec. Generic Card Access Layer (GCAL) Odvozeno z ISO Externí aplikace Service Access Layer (SAL) - Rozhraní čipové karty (HCE) Generické rozhraní (GCE) Aplikační rozhraní (API) Discovery data (Access Control List, Elements of Identities, Data Sets for IOP) Application Capabilities Descriptor DF.CIA (ISO ) EF.DIR Poskytovatel 1 Odvozeno z ISO ICC Odvozeno z ISO Poskytovatel 2 Poskytovatel 3 Poskytovatel 4 Odvozeno z ISO

27 Hlavní cíle middleware  Kompatibilita s ISO  Podpora biometrické autentizace a biometrických zařízení  Možnost síťové komunikace s čipovou kartou  Podpora šifrované komunikace s čipovou kartou (secure messaging)  Podpora vysokorychlostních bezkontaktních zařízení (VHDR)  Maximální využití existujících standardů (ISO )

28 Servisní vrstva SAL  Služby připojení  Navázání/rušení spojení  Aplikační služby  Seznam aplikací, vytváření aplikací  Služby datových objektů  Čtení, zápis, vytváření, mazání  Kryptografické služby  Šifrování, dešifrování, hash, podpis, ověření podpisu, náhodná čísla  Služby diferenciální identit  Čtení seznamu identit, vytváření, mazání identit  Autorizační služby  Čtení přístupových práv

29 Instrukční vrstva CIL  Zajišťuje nezávislost na konkrétním typu čipové karty  Volání CIL vrstvy přestavují jakési virtuální instrukce které se přeloží do řeči dané karty  Poskytované služby:  Služby souborového systému  Autentizační služby  Kryptografické služby  Služby zabezpečené komunikace

30 Transportní vrstva CTL  Zajišťuje přenos APDU příkazů do čipové karty  Rozšiřuje PC/SC o podporu  Biometrických čteček  Síťové komunikace  Vysokorychlostních bezkontaktních zařízení  Poskytované služby:  Čtení seznamu čteček  Navázání/rušení spojení  Čekání na události  Biometrické operace  Tato architektura byla převzata do ISO

31 Realizace šifrované komunikace  Umožňuje aplikaci uchovávat klíče v bezpečném úložišti  Aplikace není nucena sdílet klíče s middleware  Šifrování probíhá na úrovni APDU příkazů, přesto aplikace nemusí znát jejich strukturu  Middleware žádá aplikaci o zašifrování/dešifrování dat

32 Demonstrátor Rousset, Francie Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní příklady použití middleware, které integrují inovativní technologie partnerů projektu:  Čipovou kartu se systémem IAS (Gemalto, Oberthur)  Biometrickou autentizaci provedenou na kartě (Precise Biometrics)  Bezpečné biometrické zařízení (ID3, Precise Biometrics)  Vysokorychlostní bezkontaktní komunikaci VHDR (CEA Leti, NXP)  Middleware kompatibilní s ISO (OKsystem)  Systém ověření identity uživatele (Safelayer)  Síťová komunikace, ActiveX (Compuworx)

33 Zhodnocení mezinárodního projektu Klady  Všechny úkoly a cíle projektu byly týmem řešitele splněny  Tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům  Byly získány cenné kontakty, znalosti a zkušenosti v oblasti tvorby mezinárodních standardů  Vývoj a výzkum přinesl nové technologie a architekturu, která je základem pro komerční produkt OKsmart Zápory  Vyšší náklady a nižší efektivita v mezinárodním týmu  Závislost na plnění cílů partnerů projektu

34 Cena Medea+ Board za nejlepší projekt roku 2007 Výbor MEDEA+ Board udělil během výročního zasedání MEDEA+ Forum 2007 v Budapešti cenu „Jean-Pierre Noblanc Award for Excelence“ za nejlepší projekt roku projektu Tato cena byla slavnostně udělena před 350 delegáty a členy výboru MEDEA+, reprezentujících špičku evropských společností v mikroelektronice. Je to historicky poprvé, kdy projekt čipových karet obdržel tuto cenu.


Stáhnout ppt "Platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí."

Podobné prezentace


Reklamy Google