Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech.

ZveřejnilJonáš Konečný

Podobné prezentace

Prezentace na téma: "Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech."— Transkript prezentace:

1 Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech ISSS 2007 2. dubna 2007

2 IBM Global Technology Services © Copyright IBM Corporation 2007 2 Agenda Bezpečnostní prvky, popisované v této přednášce, jsou platné pro elektronické pasy vydávané od 1.9.2006 do současnosti. Nejsou popsány plánované bezpečnostní prvky, např. Extended Access Control.  Vysvětlení pojmu elektronický pas  Uložení RFID čipu  Prvky strojově čitelné zóny (MRZ)  Základní řízení přístupu (BAC)  Elektronický podpis dat v pasu  Aktivní autentizace (AA)

3 IBM Global Technology Services © Copyright IBM Corporation 2007 3 Druhy elektronických pasů  Od 1.9.2006 jsou v ČR vydávány cestovní doklady (pasy) s bezkontaktním čipem jako nosičem biometrických údajů.  Cestovní doklady občanů České republiky  Uprchlické pasy -Osoby, které v ČR získaly status uprchlíka  Cizinecké pasy -Osoby, které mají v ČR povolení k trvalému pobytu  Diplomatické pasy -Vydávány MZV představitelům českého státu  Služební pasy - Vydávány MZV osobám, které cestují do zahraničí ve věcech České republiky

4 IBM Global Technology Services © Copyright IBM Corporation 2007 4 Elektronický pas - pojmy  Elektronický pas = cestovní doklad s biometrickými prvky uloženými v RFID čipu.  Nosičem biometrických údajů je RFID čip s rozhraním dle specifikace ISO/IEC 14443 –Čip má vlastní operační systém a provádí kryptografické operace. –Na čipu je souborová struktura s oddělenými datovými skupinami (úložiště údajů držitele, biometrických dat, kryptografických informací apod.) –Data Groups DG1 až DG16 –Řízení přístupu k jednotlivým datovým skupinám na bázi asymetrické kryptografie a digitálních certifikátů.  Standardy elektronických pasů vydává ICAO –International Civil Aviation Organization. –Mezinárodní organizace pro civilní letectví při OSN.

5 IBM Global Technology Services © Copyright IBM Corporation 2007 5 Uložení RFID čipu v pasu  Bezkontaktní čip s anténou je u českých pasů vložen do stránky s tištěnými datovými údaji, která byly přesunuta z posledního listu pasu na začátek pasu.  Stránka s datovými údaji je tvořena polykarbonátovou vrstvou, do které je zalit čip a do níž je laserem glavírována černobílá fotografie držitele pasu.

6 IBM Global Technology Services © Copyright IBM Corporation 2007 6 RFID čip s anténou RFID čip anténa

7 IBM Global Technology Services © Copyright IBM Corporation 2007 7 Datová stránka a Machine Readable Zone (MRZ) MRZ = Machine Readable Zone = strojově čitelná zóna Datová stránka v pasu obsahuje strojově čitelnou zónu (MRZ), umístěnou na spodní straně stránky, ze které čtečka pasu čte údaje o držiteli pasu: –Typ dokumentu –Vydavatelský stát –Jméno držitele –Číslo pasu –Občanství držitele pasu –Datum narození –Pohlaví –Doba platnosti pasu (datum expirace) –… řada dalších znaků, které slouží pro kontrolní výpočty správnosti dat

8 IBM Global Technology Services © Copyright IBM Corporation 2007 8 Datová stránka a Machine Readable Zone (MRZ) Machine Readable Zone (MRZ) Data z MRZ jsou uložena v DG1 Kódovaná fotografie držitele je uložena v DG2 Uložení dat v čipu

9 IBM Global Technology Services © Copyright IBM Corporation 2007 9 Zabezpečení dat v čipu elektronického pasu Mechanismy zabezpečení dat:  Základní řízení přístupu (Basic Access Control – BAC) –Šifrování dat v čipu elektronického pasu brání jejich neoprávněnému čtení bez vědomí držitele pasu.  Elektronický podpis dat uložených v čipu –Data v čipu jsou elektronicky podepsána, takže není možné je změnit, aniž by to bylo čtečkou pasů detekováno.  Aktivní autentizace (AA) –Mechanismus aktivní autentizace brání kopírování čipu. –Volitelné

10 IBM Global Technology Services © Copyright IBM Corporation 2007 10 Základní řízení přístupu (BAC)  Brání neoprávněnému čtení dat z čipu bez vědomí držitele pasu  Data v čipu jsou šifrována symetrickým klíčem. Klíč je vypočítán z údajů vytištěných na datové stránce ve strojově čitelné zóně (MRZ): –Číslo pasu (9 znaků) –Datum narození držitele pasu (6 číslic) –Datum ukončení platnosti pasu (6 číslic)  Při čtení dat z pasu jsou nejprve opticky přečtena data z MRZ. Z těchto dat je vypočítán symetrický klíč, kterým jsou následně dešifrována data z čipu.  Data z čipu je možno číst pouze tehdy, pokud je pas přiložen datovou stránkou na čtečku pasu. Tento mechanismus chrání pas před čtením dat z čipu bez vědomí jeho držitele.

11 IBM Global Technology Services © Copyright IBM Corporation 2007 11 Základní řízení přístupu (BAC) Inspekční systém (zjednodušeně čtečka pasů) 10011101111001 S9850007< 790313160920

12 IBM Global Technology Services © Copyright IBM Corporation 2007 12 Elektronický podpis dat uložených v čipu  Data, uložená v čipu, jsou elektronicky podepsána při výrobě elektronického pasu. Každá výrobce elektronických pasů má svůj certifikát, tzv. Document Signer (DS).  Výrobce elektronických pasů má certifikát DS podepsán národní Certifikační Autoritou (Country Signing CA – CSCA)  V případě pozdější změny dat v čipu zjistí inspekční systém (zjednodušeně čtečka pasů), že data uložená v čipu nemají platný podpis a proto nejsou důvěryhodná.

13 IBM Global Technology Services © Copyright IBM Corporation 2007 13 Elektronický podpis dat uložených v čipu Data Group 1 (MRZ) Data Group 2 (Encoded Face) Data uložená v čipu Hash DG_1 Hash DG_2 Digitální hash Elektronický podpis Národní certifikační autorita (CSCA) Výrobce cestovních dokladů (DS) Certifikát DS Elektronický podpis Data Group …Hash DG_...

14 IBM Global Technology Services © Copyright IBM Corporation 2007 14 Aktivní autentizace (AA)  Volitelný mechanismus, který umožňuje zjistit, zda data z čipu nebyla zkopírována do jiného čipu, tedy zda inspekční systém (čtečka pasů) komunikuje s originálním čipem.  Při výrobě elektronického pasu je do čipu uložen privátní klíč, který nelze z čipu číst.  Veřejný klíč k privátnímu klíči je uložen v datové zóně DG15 a je zahrnut do elektronicky podepsaných dat (viz předchozí slide).  Pokud jsou data z čipu zkopírována, jsou zkopírována včetně veřejného klíče v DG15. Útočník nemůže tento veřejný klíč změnit, protože je elektronicky podepsán. Nemůže ani zkopírovat korespondující privátní klíč (ten čip nikdy neopustí).  Čtečka pasů pomocí podepsané zprávy ověřuje, zda je v čipu privátní klíč korespondující s veřejným klíčem v DG15. Pokud není, nejedná se o originální čip.  Tento mechanismus je pouze volitelný a není implementován ve všech státech EU (proto se v tisku objevují zprávy o úspěšném kopírování čipů).

15 Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Otázky ? Děkuji za pozornost stanislav_biza@cz.ibm.com

Stáhnout ppt "Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech."

Podobné prezentace

Enterprise řešení pro elektronický podpis VerisignIT

Enterprise řešení pro elektronický podpis VerisignIT
jak to funguje ? MUDr.Zdeněk Hřib

jak to funguje ? MUDr.Zdeněk Hřib
Elektronický podpis.

Elektronický podpis.
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.

Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
SVNIT Přednáška M. Horáková

SVNIT Přednáška M. Horáková
© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Konference 80.let sociálního pojištění.

© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Konference 80.let sociálního pojištění.
Czech POINT Český Podací Ověřovací Informační Národní Terminál Seminář Plzeň Luděk Šafář Projektový manažer.

Czech POINT Český Podací Ověřovací Informační Národní Terminál Seminář Plzeň Luděk Šafář Projektový manažer.
Občanské průkazy k 1.1.2012 Porada konaná dne 17.1.2012.

Občanské průkazy k Porada konaná dne
Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)

Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)
Global network of innovation 18.10.2004e-government – Užití IT v sociálním pojištění E-government Užití informačních technologií v sociálním pojištění.

Global network of innovation e-government – Užití IT v sociálním pojištění E-government Užití informačních technologií v sociálním pojištění.
Www.drms.cz 18. - 19. 10. 2011. Střednědobé uložení digitálních dokumentů a jejich autenticita (Miroslav Čejka, GORDIC spol. s r.o.) www.drms.cz.

Střednědobé uložení digitálních dokumentů a jejich autenticita (Miroslav Čejka, GORDIC spol. s r.o.)
Akreditační systém v ČR – kvalita produktů IT

Akreditační systém v ČR – kvalita produktů IT
Zabezpečení emergentních přístupů do systému IZIP

Zabezpečení emergentních přístupů do systému IZIP
EU peníze školám“ Projekt DIGIT – digitalizace výuky na ISŠTE Sokolov reg.č. CZ.1.07/1.5.00/34.0496 III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.

EU peníze školám“ Projekt DIGIT – digitalizace výuky na ISŠTE Sokolov reg.č. CZ.1.07/1.5.00/ III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.
Šifrovaná elektronická pošta Petr Hruška

Šifrovaná elektronická pošta Petr Hruška
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.

Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Evidence obyvatel.

Evidence obyvatel.
OKsystem, spol. s r. o. Ivo Rosol ředitel vývojové divize

OKsystem, spol. s r. o. Ivo Rosol ředitel vývojové divize
Mezinárodní kontrolní režimy

Mezinárodní kontrolní režimy
OBLAST VYDÁVÁNÍ POVOLENÍ. Povolování obchodu s vojenským materiálem upravuje § 6 až 13 zákona č. 38/1994 Sb. § 6 - vydává se právnické osobě se sídlem.

OBLAST VYDÁVÁNÍ POVOLENÍ. Povolování obchodu s vojenským materiálem upravuje § 6 až 13 zákona č. 38/1994 Sb. § 6 - vydává se právnické osobě se sídlem.

Podobné prezentace

Reklamy Google