platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí projektu bezpečnosti
2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project objectives Two directions are targeted provide a complete technical platform enabling the European Governments to issue interoperable e-identity documents develop a complete HW and embedded SW platform taking full profit of the enormous potentialities offered by the development of premium Mobile Services Project structure Split in 2 sub-projects and 9 work packages sub-project A : European Citizen Card sub-project B : Mobile Multi Media WP1 : Management and dissemination WP2 : Use cases WP3 : Architecture WP4 : Specifications WP5 : Infrastructure and interfaces WP6 : Biometrics WP7 : Platform development WP8 : Tools and methodology WP9 : Demonstrators Duration : Q to Q Manpower :305 man.year Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands
Komunikace s čipovou kartou 2. APDU (Response) 1. APDU (Command) Komunikační protokoly - kontaktní ISO , USB ISO , bezkontaktní (RF) ISO A/B + NFC + VHDR v Aplikační protokol ISO ,8 (APDU)
Stav techniky a standardizace v průběhu projektu 1/2 Základní standardy v oblasti čipových karet (ISO 7816) existují řadu let, ale nezaručují plnou kompatibilitu na aplikační úrovni a využívají poměrně archaický aplikační protokol (APDU) Rozvíjí se bezkontaktní komunikace, důležité aplikace vyžadují vyšší přenosovou rychlost a vyšší bezpečnost (dodatky k standardu ISO až 848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace EAC pro ICAO)
Stav techniky a standardizace v průběhu projektu 2/2 Potřeba lépe definovaných služeb čipové karty (povinné APDU, povinné autentizační protokoly, eliminace chování závislých na implementaci) – tvorba evropského standardu ECC (CEN TC224 WG15) Neexistující standard pro middleware, pouze technické specifikace (zejména) obecných kryptografických rozhraní (PKCS#11, MS CAPI, JCA) – tvorba mezinárodního standardu ISO/IEC 24727
Hlavní východiska projektu V rámci Evropy: Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a digitální podpis (Signature) – IAS podle ECC-2. Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3) Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO (ECC-3 podmnožina ISO)
Identifikace, autentizace, ePodpis (IAS) IAS jako základ pro elektronickou administrativu vzešel z iniciativy eEurope Smart Card Charter (eESC, v rámci akčního plánu EU eEurope) IAS se stal základem European Citizen Card - čtyřdílný standard vytvářeném v rámci CEN
Evropské standardizační organizace CEN – European Committee for Standardisation CENELEC - European Committee for Electrotechnical Standardisation ETSI – European Telecomunications Standards Institute CEN a ISO uzavřeli Vídeňskou dohodu o spolupráci (30% standardů v tomto režimu)
CEN CEN charakterizuje 30 národních členů (ČNI za ČR) více než expertů vydal více než evropských standardů náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty CEN vytváří: evropské standardy – EN technické specifikace – TS informativní technické zprávy – TR pracovní specifikace – CWA Práce CEN probíhá v technických výborech
Technický výbor CEN/TC 224 CEN/TC 224 Machine readable cards, related device interfaces and operations CEN/TS Identification card systems – European Citizen Card – Part 1: Physical, electrical and transport protocol characteristics CEN/TS Identification card systems – European Citizen Card – Part 2: Logical data structures and card services CEN/TS Identification card systems – European Citizen Card – Part 3: ECC interoperability using an application interface CEN/TS Identification card systems – European Citizen Card – Part 4: Reccomendation for ECC issuance, operation and use
Definice ECC ECC je personalizovaná čipová karta formátu ID- 1 s kontaktním rozhraním ISO (12) nebo bezkontaktním rozhraním ISO/IEC ECC podporuje služby IAS (Identification, Authentication, Signature) na základě CEN/TS
Fyzické specifikace ECC 1/2 ECC musí: integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu obsahovat administrativní údaje držitele (jména...) obsahovat černobílou nebo barevnou fotografii a podpis držitele obsahovat MRZ podle doporučení ICAO obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)
Fyzické specifikace ECC 2/2 Materiál těla karty není předepsán, musí být kompatibilní s kontaktní, bezkontaktní a personalizační technologií Biografická data na lícové straně by měla být personalizována do materiálu těla karty Podtisk by měl obsahovat guilloches, duhový tisk, UV fluorescentní prvky, OVI a mikrotisk nebo srovnatelnou technologii na datové straně
Lícová strana ECC
Rubová strana ECC
Funkce ECC vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat uložených na kartě oboustranná autentizace mezi kartou a terminálem, pokud požaduje aplikace bezpečný přenos dat pomocí kontaktního a volitelně bezkontaktního rozhraní generování elektronického podpisu mechanismus řízení přístupu k uloženým datům multiaplikační podpora
Interoperabilita ECC Elektronická interoperabilita ECC je dosažena ve 3 vrstvách: společná sada příkazů a datových struktur (CEN/TS ) middleware API (CEN/TS ) definice profilů ECC (CEN/TS )
Operační systém čipové karty ECC IAS
- operační systém Aplikace IAS rezidentní na čipové kartě tvoří operační systém čipové platformy Aplikace vychází z publikovaného standardu CEN/TS
Základní komponenty IAS Hierarchický souborový systém podle ISO Bezpečnostní architektura a služby Příkazová sada
Souborový systém IAS Fixní počet DF a EF Implementace pomocí 3 polí - directory list array, file list array, data blocks array Typy EF: Transparent, Linear fixed, Linear Variable, Cyclic Operace v systému souborů: inicializace, vytvoření MF, vytvoření DF, vytvoření EF, smazání DF, smazání EF
Bezpečnostní služby IAS Symetric Device Authentication Secure Messaging Digital Signature Client/Server Authentication Encryption Key Decipherment Card Verifiable Certificate Verification Key Transport Protocol
Příkazová sada IAS Sada příkazů pro souborový systém CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF Sada příkazů pro bezpečnostní služby GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION Sada příkazů pro komunikaci GET RESPONSE
Software pro interoperabilitu middleware
Návrh ISO standardů pro middleware ISO/IEC FDIS Identification cards -- Integrated circuit card programming interfaces -- Part 1: Architecture ISO/IEC FCD Identification cards -- Integrated circuit card programming interfaces -- Part 2: Generic card interface ISO/IEC CD Identification cards -- Integrated circuit card programming interfaces -- Part 3: Application interface ISO/IEC NP Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 4: API administration ISO/IEC NP Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 5: Testing
ISO/IEC FDIS – architektura Aplikace rezidentní na kartě Odvozeno z CEN TC224 WG15 spec. Generic Card Access Layer (GCAL) Odvozeno z ISO Externí aplikace Service Access Layer (SAL) - Rozhraní čipové karty (HCE) Generické rozhraní (GCE) Aplikační rozhraní (API) Discovery data (Access Control List, Elements of Identities, Data Sets for IOP) Application Capabilities Descriptor DF.CIA (ISO ) EF.DIR Poskytovatel 1 Odvozeno z ISO ICC Odvozeno z ISO Poskytovatel 2 Poskytovatel 3 Poskytovatel 4 Odvozeno z ISO
Hlavní cíle middleware Kompatibilita s ISO Podpora biometrické autentizace a biometrických zařízení Možnost síťové komunikace s čipovou kartou Podpora šifrované komunikace s čipovou kartou (secure messaging) Podpora vysokorychlostních bezkontaktních zařízení (VHDR) Maximální využití existujících standardů (ISO )
Servisní vrstva SAL Služby připojení Navázání/rušení spojení Aplikační služby Seznam aplikací, vytváření aplikací Služby datových objektů Čtení, zápis, vytváření, mazání Kryptografické služby Šifrování, dešifrování, hash, podpis, ověření podpisu, náhodná čísla Služby diferenciální identit Čtení seznamu identit, vytváření, mazání identit Autorizační služby Čtení přístupových práv
Instrukční vrstva CIL Zajišťuje nezávislost na konkrétním typu čipové karty Volání CIL vrstvy přestavují jakési virtuální instrukce které se přeloží do řeči dané karty Poskytované služby: Služby souborového systému Autentizační služby Kryptografické služby Služby zabezpečené komunikace
Transportní vrstva CTL Zajišťuje přenos APDU příkazů do čipové karty Rozšiřuje PC/SC o podporu Biometrických čteček Síťové komunikace Vysokorychlostních bezkontaktních zařízení Poskytované služby: Čtení seznamu čteček Navázání/rušení spojení Čekání na události Biometrické operace Tato architektura byla převzata do ISO
Realizace šifrované komunikace Umožňuje aplikaci uchovávat klíče v bezpečném úložišti Aplikace není nucena sdílet klíče s middleware Šifrování probíhá na úrovni APDU příkazů, přesto aplikace nemusí znát jejich strukturu Middleware žádá aplikaci o zašifrování/dešifrování dat
Demonstrátor Rousset, Francie Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní příklady použití middleware, které integrují inovativní technologie partnerů projektu: Čipovou kartu se systémem IAS (Gemalto, Oberthur) Biometrickou autentizaci provedenou na kartě (Precise Biometrics) Bezpečné biometrické zařízení (ID3, Precise Biometrics) Vysokorychlostní bezkontaktní komunikaci VHDR (CEA Leti, NXP) Middleware kompatibilní s ISO (OKsystem) Systém ověření identity uživatele (Safelayer) Síťová komunikace, ActiveX (Compuworx)
Zhodnocení mezinárodního projektu Klady Všechny úkoly a cíle projektu byly týmem řešitele splněny Tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům Byly získány cenné kontakty, znalosti a zkušenosti v oblasti tvorby mezinárodních standardů Vývoj a výzkum přinesl nové technologie a architekturu, která je základem pro komerční produkt OKsmart Zápory Vyšší náklady a nižší efektivita v mezinárodním týmu Závislost na plnění cílů partnerů projektu
Cena Medea+ Board za nejlepší projekt roku 2007 Výbor MEDEA+ Board udělil během výročního zasedání MEDEA+ Forum 2007 v Budapešti cenu „Jean-Pierre Noblanc Award for Excelence“ za nejlepší projekt roku projektu Tato cena byla slavnostně udělena před 350 delegáty a členy výboru MEDEA+, reprezentujících špičku evropských společností v mikroelektronice. Je to historicky poprvé, kdy projekt čipových karet obdržel tuto cenu.