Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí.

ZveřejnilHynek Neduchal

Podobné prezentace

Prezentace na téma: "Platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí."— Transkript prezentace:

1 platforma pro evropskou „občanku“ OKsystem s.r.o. www.oksystem.cz Ing. Ivo Rosol, CSc. ředitel divize služeb rosol@oksystem.cz Ing. Vítězslav Vacek vedoucí projektu bezpečnosti vacek@oksystem.cz

2 2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project objectives  Two directions are targeted  provide a complete technical platform enabling the European Governments to issue interoperable e-identity documents  develop a complete HW and embedded SW platform taking full profit of the enormous potentialities offered by the development of premium Mobile Services Project structure  Split in 2 sub-projects and 9 work packages  sub-project A : European Citizen Card  sub-project B : Mobile Multi Media WP1 : Management and dissemination WP2 : Use cases WP3 : Architecture WP4 : Specifications WP5 : Infrastructure and interfaces WP6 : Biometrics WP7 : Platform development WP8 : Tools and methodology WP9 : Demonstrators Duration : Q2-2005 to Q4-2007 Manpower :305 man.year Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands

3 Komunikace s čipovou kartou 2. APDU (Response) 1. APDU (Command) Komunikační protokoly - kontaktní ISO 7816-3, USB ISO 7816-12, bezkontaktní (RF) ISO 14443 A/B + NFC + VHDR v Onom@topic+ Aplikační protokol ISO 7816-4,8 (APDU)

4 Stav techniky a standardizace v průběhu projektu 1/2 Základní standardy v oblasti čipových karet (ISO 7816) existují řadu let, ale nezaručují plnou kompatibilitu na aplikační úrovni a využívají poměrně archaický aplikační protokol (APDU) Rozvíjí se bezkontaktní komunikace, důležité aplikace vyžadují vyšší přenosovou rychlost a vyšší bezpečnost (dodatky k standardu ISO 14443 až 848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace EAC pro ICAO)

5 Stav techniky a standardizace v průběhu projektu 2/2  Potřeba lépe definovaných služeb čipové karty (povinné APDU, povinné autentizační protokoly, eliminace chování závislých na implementaci) – tvorba evropského standardu ECC (CEN TC224 WG15)  Neexistující standard pro middleware, pouze technické specifikace (zejména) obecných kryptografických rozhraní (PKCS#11, MS CAPI, JCA) – tvorba mezinárodního standardu ISO/IEC 24727

6 Hlavní východiska projektu V rámci Evropy:  Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a digitální podpis (Signature) – IAS podle ECC-2.  Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3)  Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO 24727 (ECC-3 podmnožina ISO)

7 Identifikace, autentizace, ePodpis (IAS) IAS jako základ pro elektronickou administrativu vzešel z iniciativy eEurope Smart Card Charter (eESC, v rámci akčního plánu EU eEurope) IAS se stal základem European Citizen Card - čtyřdílný standard vytvářeném v rámci CEN

8 Evropské standardizační organizace CEN – European Committee for Standardisation CENELEC - European Committee for Electrotechnical Standardisation ETSI – European Telecomunications Standards Institute CEN a ISO uzavřeli Vídeňskou dohodu o spolupráci (30% standardů v tomto režimu)

9 CEN CEN charakterizuje  30 národních členů (ČNI za ČR)  více než 60.000 expertů  vydal více než 10.000 evropských standardů  náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty CEN vytváří:  evropské standardy – EN  technické specifikace – TS  informativní technické zprávy – TR  pracovní specifikace – CWA Práce CEN probíhá v technických výborech

10 Technický výbor CEN/TC 224 CEN/TC 224 Machine readable cards, related device interfaces and operations CEN/TS 15480-1 Identification card systems – European Citizen Card – Part 1: Physical, electrical and transport protocol characteristics CEN/TS 15480-2 Identification card systems – European Citizen Card – Part 2: Logical data structures and card services CEN/TS 15480-3 Identification card systems – European Citizen Card – Part 3: ECC interoperability using an application interface CEN/TS 15480-4 Identification card systems – European Citizen Card – Part 4: Reccomendation for ECC issuance, operation and use

11 Definice ECC ECC je personalizovaná čipová karta formátu ID- 1 s kontaktním rozhraním ISO 7816-3 (12) nebo bezkontaktním rozhraním ISO/IEC 14443. ECC podporuje služby IAS (Identification, Authentication, Signature) na základě CEN/TS 15480-2

12 Fyzické specifikace ECC 1/2 ECC musí:  integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu  obsahovat administrativní údaje držitele (jména...)  obsahovat černobílou nebo barevnou fotografii a podpis držitele  obsahovat MRZ podle doporučení ICAO 9303-1  obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)

13 Fyzické specifikace ECC 2/2  Materiál těla karty není předepsán, musí být kompatibilní s kontaktní, bezkontaktní a personalizační technologií  Biografická data na lícové straně by měla být personalizována do materiálu těla karty  Podtisk by měl obsahovat guilloches, duhový tisk, UV fluorescentní prvky, OVI a mikrotisk nebo srovnatelnou technologii na datové straně

14 Lícová strana ECC

15 Rubová strana ECC

16 Funkce ECC  vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat uložených na kartě  oboustranná autentizace mezi kartou a terminálem, pokud požaduje aplikace  bezpečný přenos dat pomocí kontaktního a volitelně bezkontaktního rozhraní  generování elektronického podpisu  mechanismus řízení přístupu k uloženým datům  multiaplikační podpora

17 Interoperabilita ECC Elektronická interoperabilita ECC je dosažena ve 3 vrstvách:  společná sada příkazů a datových struktur (CEN/TS 15480-2)  middleware API (CEN/TS 15480-3)  definice profilů ECC (CEN/TS 15480-4)

18 Operační systém čipové karty ECC Onom@topic IAS

19 Onom@topic - operační systém Aplikace IAS rezidentní na čipové kartě tvoří operační systém čipové platformy Onom@topic+. Aplikace vychází z publikovaného standardu CEN/TS 15480-2.

20 Základní komponenty IAS  Hierarchický souborový systém podle ISO 7816-4  Bezpečnostní architektura a služby  Příkazová sada

21 Souborový systém IAS  Fixní počet DF a EF  Implementace pomocí 3 polí - directory list array, file list array, data blocks array  Typy EF: Transparent, Linear fixed, Linear Variable, Cyclic  Operace v systému souborů: inicializace, vytvoření MF, vytvoření DF, vytvoření EF, smazání DF, smazání EF

22 Bezpečnostní služby IAS  Symetric Device Authentication  Secure Messaging  Digital Signature  Client/Server Authentication  Encryption Key Decipherment  Card Verifiable Certificate Verification  Key Transport Protocol

23 Příkazová sada IAS  Sada příkazů pro souborový systém  CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF  Sada příkazů pro bezpečnostní služby  GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION  Sada příkazů pro komunikaci  GET RESPONSE

24 Software pro interoperabilitu Onom@topic middleware

25 Návrh ISO standardů pro middleware ISO/IEC FDIS 24727-1 Identification cards -- Integrated circuit card programming interfaces -- Part 1: Architecture ISO/IEC FCD 24727-2 Identification cards -- Integrated circuit card programming interfaces -- Part 2: Generic card interface ISO/IEC CD 24727-3 Identification cards -- Integrated circuit card programming interfaces -- Part 3: Application interface ISO/IEC NP 24727-4 Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 4: API administration ISO/IEC NP 24727-5 Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 5: Testing

26 ISO/IEC FDIS 24727-1 – architektura Aplikace rezidentní na kartě Odvozeno z CEN TC224 WG15 spec. Generic Card Access Layer (GCAL) Odvozeno z ISO 24727-2 Externí aplikace Service Access Layer (SAL) - Rozhraní čipové karty (HCE) Generické rozhraní (GCE) Aplikační rozhraní (API) Discovery data (Access Control List, Elements of Identities, Data Sets for IOP) Application Capabilities Descriptor DF.CIA (ISO 7816-15) EF.DIR Poskytovatel 1 Odvozeno z ISO 24727-3 ICC Odvozeno z ISO 24727-2 Poskytovatel 2 Poskytovatel 3 Poskytovatel 4 Odvozeno z ISO 24727-3

27 Hlavní cíle Onom@topic middleware  Kompatibilita s ISO 24727  Podpora biometrické autentizace a biometrických zařízení  Možnost síťové komunikace s čipovou kartou  Podpora šifrované komunikace s čipovou kartou (secure messaging)  Podpora vysokorychlostních bezkontaktních zařízení (VHDR)  Maximální využití existujících standardů (ISO 7816-15)

28 Servisní vrstva SAL  Služby připojení  Navázání/rušení spojení  Aplikační služby  Seznam aplikací, vytváření aplikací  Služby datových objektů  Čtení, zápis, vytváření, mazání  Kryptografické služby  Šifrování, dešifrování, hash, podpis, ověření podpisu, náhodná čísla  Služby diferenciální identit  Čtení seznamu identit, vytváření, mazání identit  Autorizační služby  Čtení přístupových práv

29 Instrukční vrstva CIL  Zajišťuje nezávislost na konkrétním typu čipové karty  Volání CIL vrstvy přestavují jakési virtuální instrukce které se přeloží do řeči dané karty  Poskytované služby:  Služby souborového systému  Autentizační služby  Kryptografické služby  Služby zabezpečené komunikace

30 Transportní vrstva CTL  Zajišťuje přenos APDU příkazů do čipové karty  Rozšiřuje PC/SC o podporu  Biometrických čteček  Síťové komunikace  Vysokorychlostních bezkontaktních zařízení  Poskytované služby:  Čtení seznamu čteček  Navázání/rušení spojení  Čekání na události  Biometrické operace  Tato architektura byla převzata do ISO 24727-4

31 Realizace šifrované komunikace  Umožňuje aplikaci uchovávat klíče v bezpečném úložišti  Aplikace není nucena sdílet klíče s middleware  Šifrování probíhá na úrovni APDU příkazů, přesto aplikace nemusí znát jejich strukturu  Middleware žádá aplikaci o zašifrování/dešifrování dat

32 Demonstrátor Rousset, Francie Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní příklady použití middleware, které integrují inovativní technologie partnerů projektu:  Čipovou kartu se systémem IAS (Gemalto, Oberthur)  Biometrickou autentizaci provedenou na kartě (Precise Biometrics)  Bezpečné biometrické zařízení (ID3, Precise Biometrics)  Vysokorychlostní bezkontaktní komunikaci VHDR (CEA Leti, NXP)  Middleware kompatibilní s ISO 24727 (OKsystem)  Systém ověření identity uživatele (Safelayer)  Síťová komunikace, ActiveX (Compuworx)

33 Zhodnocení mezinárodního projektu Klady  Všechny úkoly a cíle projektu byly týmem řešitele splněny  Tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům  Byly získány cenné kontakty, znalosti a zkušenosti v oblasti tvorby mezinárodních standardů  Vývoj a výzkum přinesl nové technologie a architekturu, která je základem pro komerční produkt OKsmart Zápory  Vyšší náklady a nižší efektivita v mezinárodním týmu  Závislost na plnění cílů partnerů projektu

34 Cena Medea+ Board za nejlepší projekt roku 2007 Výbor MEDEA+ Board udělil během výročního zasedání MEDEA+ Forum 2007 v Budapešti cenu „Jean-Pierre Noblanc Award for Excelence“ za nejlepší projekt roku projektu Onom@topic+. Tato cena byla slavnostně udělena před 350 delegáty a členy výboru MEDEA+, reprezentujících špičku evropských společností v mikroelektronice. Je to historicky poprvé, kdy projekt čipových karet obdržel tuto cenu.

Stáhnout ppt "Platforma pro evropskou „občanku“ OKsystem s.r.o. Ing. Ivo Rosol, CSc. ředitel divize služeb Ing. Vítězslav Vacek vedoucí."

Podobné prezentace

HRADLOVÁ POLE REKONFIGUROVATELNÁ ZA PROVOZU ZAŘÍZENÍ Soběslav Valach Ústav automatizace a měřicí techniky, FEKT, VUT Brno, Czech Republic.

HRADLOVÁ POLE REKONFIGUROVATELNÁ ZA PROVOZU ZAŘÍZENÍ Soběslav Valach Ústav automatizace a měřicí techniky, FEKT, VUT Brno, Czech Republic.
© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Konference 80.let sociálního pojištění.

© 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Konference 80.let sociálního pojištění.
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.

1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Norma IEC Komunikační sítě a systémy v podřízených stanicích

Norma IEC Komunikační sítě a systémy v podřízených stanicích
Průmyslová komunikace

Průmyslová komunikace
Martin Rejzl XIX. seminář Integrované dopravní systémy

Martin Rejzl XIX. seminář Integrované dopravní systémy
Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)

Požadované vybavení pro připojení a komunikaci s IS OTE (CDS)
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc +420 723 064 701 Microsoft, s.r.o. Solution.

Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
© 2010 IBM Corporation Stanislav Michelfeit, IBM IDC ČR, Služby – výzkum a výuka IT jako služba SSME - Service – Science, Management and Engineering =

© 2010 IBM Corporation Stanislav Michelfeit, IBM IDC ČR, Služby – výzkum a výuka IT jako služba SSME - Service – Science, Management and Engineering =
Systémy pro zpřístupňování VŠKP: zkušenosti, možnosti, nabídky, potřeby … Seminář Brno, 22. 11. 2006.

Systémy pro zpřístupňování VŠKP: zkušenosti, možnosti, nabídky, potřeby … Seminář Brno,
Adresářová služba Active directory

Adresářová služba Active directory
Český normalizační institut Czech Standards Institute Seminář Řízení kvality a bezpečnosti informačních systémů v souvislostech mezinárodního akreditačního.

Český normalizační institut Czech Standards Institute Seminář Řízení kvality a bezpečnosti informačních systémů v souvislostech mezinárodního akreditačního.
Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech.

Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2007 IBM Global Technology Services Zabezpečení dat v elektronických pasech.
Návrh počítačové sítě malé firmy

Návrh počítačové sítě malé firmy
Profibus FMS Fieldbus Message Specification. Průmyslová sběrnice Profibus je určena pro automatizaci výrobních linek (výroba automobilů, plnicí linky,

Profibus FMS Fieldbus Message Specification. Průmyslová sběrnice Profibus je určena pro automatizaci výrobních linek (výroba automobilů, plnicí linky,
Protokol TCP/IP a OSI model

Protokol TCP/IP a OSI model
CZ.1.07/1.4.00/21.2791 VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.

CZ.1.07/1.4.00/ VY_32_INOVACE_169_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.

Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.
JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky & Ministerstvo vnitra Ing. Jaroslav Svoboda

JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky & Ministerstvo vnitra Ing. Jaroslav Svoboda
OKsystem, spol. s r. o. Ivo Rosol ředitel vývojové divize

OKsystem, spol. s r. o. Ivo Rosol ředitel vývojové divize

Podobné prezentace

Reklamy Google