SmartCard Forum 2008 - Programové vybavení OKsmart

293 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
293
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

SmartCard Forum 2008 - Programové vybavení OKsmart

  1. 1. Spojujeme software, technologie a služby Programové vybavení OKsmart pro využití čipových karet Ukázky biometrické autentizace Ing. Vítězslav Vacek vedoucí oddělení bezpečnosti a čipových karetSmartCard Forum 2008 1
  2. 2. Komunikace dvou počítačůAplikace na straně počítače Aplikace na straně karty ISO, USB, RF komunikace 1. APDU (požadavek) 2. APDU (odpověď)Komunikace dvou počítačů s odlišným technickým vybavením a operačnímsystémem. Komunikace je realizována na základě aplikačního protokolu promikroprocesorové čipové karty (ISO 7816 – 4, APDU).Zatímco syntaxe „společného jazyka“ je dána, jeho implementace a sémantikazasílané zprávy je specifická pro každý typ nativní, nebo programovatelnékarty. Potřebujeme softwarového „tlumočníka“, který zprostředkuje komunikacimezi aplikací na straně počítače a aplikací na straně PC - middleware.SmartCard Forum 2008 2
  3. 3. Middleware – prostředník komunikace Aplikace Aplikační rozhraní Middleware (integrační vrstva) Operační systém Hardwarové rozhraní Čtečka Aplikace na čipové kartě Čipová kartaSmartCard Forum 2008 3
  4. 4. Hlavní funkce middleware• Poskytnout standardizované rozhraní směrem k aplikaci• Zpřístupnit služby poskytované čipovou kartou• Zajistit autentizaci uživatele• Bezpečným způsobem nakládat s autentizačními údaji – V případě autentizace pomocí PINu je to podpora Pinpad čtečky – V případě biometrické autentizace je to podpora systému Match-On-CardSmartCard Forum 2008 4
  5. 5. OKsmartOKsmart je softwarové řešení pro transparentní integraci kryptografických čipových karet různých výrobců do prostředí systémů Windows (Linux)• Čipová karta – Nativní čipová karta (Cryptoflex, GPK,...) – Čipová karta se systémem Java Card (nutný applet implementující OS čipové karty)• Middleware (standardizovaná rozhraní) – Microsoft CSP (Cryptographic Service Provider) – PKCS#11 (RSA Laboratories) – JCE (Java Cryptography Extension)• Uživatelské aplikace – OKsmart Format (nahrání OS čipové karty, personalizace čipové karty) – OKsmart Manager (správa certifikátů, datových objektů a PINů) – OKsmart Disk (šifrování logického disku ve Windows) – OKsmart Safe (automatické přihlašování do aplikací) – OKsmart File (šifrování souborů)SmartCard Forum 2008 5
  6. 6. Architektura systémových knihoven Aplikace Aplikace OKsmart Aplikace třetích stranAplikační rozhraní Knihovny standardizovaných rozhraní CSP PKCS#11 JCE MiddlewareGenerické rozhraní Instrukční vrstva + ISO 7816-15 ISO 7816-15 SCARD Uživatelské Komunikační rozhraní knihovny SCIFD SCUIFyzické rozhraní Cardware Java Card appletSmartCard Forum 2008 6
  7. 7. OKsmartHlavní přínosy:• Široká podpora kryptografických rozhraní(PKCS#11, MS CAPI, JCE, v budoucnu ISO 24727)• Podpora více druhů čipových karet od různých výrobců• Čipová karta splňuje standard ISO 7816-15 – Dává možnost použít čipovou kartu se software splňující tento standard – Na kartu je možné vedle OKsmart přidat další aplikaci• Podpora PC/SC 2.0 – čtečky s klávesnicí a displejem PINpad• Transparentní funkce aplikací (MSIE, Firefox, Outlook, Lotus Notes...)• Modulární architektura – Přidání nového typu čipové karty znamená úpravu jediného modulu – Všechny prvky uživatelského rozhraní v samostatném modulu, možné změnit vzhled oken – Pružná reakce na budoucí potřeby a požadavky od zákazníků• Sada uživatelských aplikacíSmartCard Forum 2008 7
  8. 8. OKsmart Format• Administrační nástroj který připravuje kartu pro použití s OKsmart – V případě nativní čipové karty dojde k vytvoření sytému souborů a nastavení přístupových práv pro soubory a kryptografické operace – V případě Java Card se nejprve nahraje applet implementující kompletní funkčnost čipové karty (jakýsi firmware) a poté se stejným způsobem vytvoří systém souborů a nastaví přístupová práva pro soubory a kryptografické operace• Administrátor má možnost zvolit následující parametry čipové karty – Počet a velikost klíčů na čipové kartě – Předpokládanou velikost certifikátu – Alokovat místo na datové objekty které mohou obsadit zbytek volného místa nebo nechat nějaké místo volné pro další aplikaci na čipové kartě• Vytvoření struktury dle ISO 7816-15 – Popis autentizačních objektů (PIN) – Popis privátních a veřejných klíčů – Popis certifikátů – Popis datových objektůSmartCard Forum 2008 8
  9. 9. Vydání certifikátuSmartCard Forum 2008 9
  10. 10. OKsmart Manager Nástroj pro správu čipové karty• Prohlížení obsahu čipové karty• Import klíčů včetně certifikátu• Import/export datových objektů• Změna PINu, odblokování PINu• Nastavení implicitního certifikátu pro přihlášení do domény• Informace o čipové kartě – Počet a velikost alokovaný slotů pro klíče – Počet volných a obsazených klíčových slotů – Místo alokované pro datové objekty – Volné místo pro datové objektySmartCard Forum 2008 10
  11. 11. OKsmart Disk Nástroj pro šifrování logického disku ve Windows• Obsah celého virtuálního disku je uložen v jediném šifrovaném souboru• Šifrování lze zvolit buď na základě certifikátu na čipové kartě nebo na základě hesla• Při použití čipové karty se disk automaticky odpojí po vysunutí kartySmartCard Forum 2008 11
  12. 12. OKsmart File Nástroj pro šifrování jednotlivých souborů• Umožňuje zašifrovat soubor certifikáty více uživatelů (šifrování souboru pro skupinu uživatelů)• Zašifrovaný soubor je ve standardním formátu PKCS#7• Integrace do průzkumníka Windows (rozšiřuje standardní menu při poklepání pravým tlačítkem)• K dispozici je i verze spustitelná z příkazové řádkySmartCard Forum 2008 12
  13. 13. OKsmart Safe Nástroj pro ukládání citlivých údajů na čipovou kartu• Přihlašování do internetových nebo intranetových portálů pomocí údajů uložených na čipové kartě• Přihlašování do aplikací• Automatická detekce oken pro vkládání přihlašovacích údajů (systém automaticky detekuje spuštění aplikace nebo zobrazení specifické stránky v prohlížeči)• Ukládání poznámekSmartCard Forum 2008 13
  14. 14. Přihlášení k doméně AD Doménový Dotaz na kontrolér uživatele Požadavek na autentizaci certifikátu Active certifikát uživatele Directory uživatelské jméno časová značka podpis Ověření platnosti certifikátu Přidělení TGT Certifikační autoritaSmartCard Forum 2008 14
  15. 15. Onom@topic+ Demonstrační software• Slouží pouze k demonstraci funkčnosti middleware vytvořeného během výzkumného projektu• Použité rozhraní SAL je kompatibilní s mezinárodním standardem ISO 24727• CTL transportní vrstva navržená v OKsystem použitá v demonstračním software je nyní součástí ISO 24727 dílu 4• Ukázka digitálního podpisu chráněného pomocí ověření otisku prstu – Obraz otisku je sejmut a zpracován přímo ve čtecím zařízení – Obraz otisku se neposílá do PC ale přímo do čipové karty – Karta disponuje technologií Match-On-Card, tedy vlastní porovnání sejmutého obrazu a vzoru se provádí přímo na čipu kartySmartCard Forum 2008 15
  16. 16. Budoucnost OKsmart• Podpora biometrické autentizace pomocí ověření otisku prstu – Podpora biometrických čteček které jsou schopné autonomě zpracovat otisk prstu, transformovat jej do formátu vhodném pro zpracování na čipové kartě a poslat jej přímo do karty – Podpora karet se systémem Match-On-Card• Applet pro Java Card kompatibilní se standardem ECC-2 – Podpora biometrické autentizace – Podpora protokolu vzájemné symetrické autentizace – Podpora secure messaging (online šifrovaná komunikace s čipovou kartou)• Kompletní implementace SAL rozhraní dle ISO 24727• Podpora čipových karet s velikostí paměti EEPROM až 128 kB• Card Management System – Personalizace a potisk čipových karet – Správa karet a certifikátů – Součást modulárního systém OKbaseSmartCard Forum 2008 16
  17. 17. Kontakt: Vítězslav Vacek: vacek@oksystem.cz OKsmart na webu: www.oksystem.cz www.oksmart.czSmartCard Forum 2008 17

×