eOP s čipemPorovnání realizace v ČR a Německu                      Ing. Ivo Rosol, CSc.                                   ...
Téma prezentaceSmart karty a zařízení vybavené čipy jsou všude kolem nás,nejnověji také v občanských průkazech vydávaných ...
Úloha čipu u eID dokladuHybridní doklady – kombinace klasického „papírového“ dokladu selektronickým čipem – umožňují klasi...
Kontaktní vs. RF rozhraníPro cestovní a ID doklady se obvykle využívá RF rozhraní.Důvodem je:  zvýšení spolehlivosti  jedn...
Základní kryptografické zabezpečení dokladů - BACBAC je protokol sloužící k vygenerování dočasných klíčů s nízkouentropií ...
Kryptografické zabezpečení dokladů - PACEPACE je protokol sloužící k vygenerování dočasných klíčů s vysokouentropií pro vy...
Kryptografické zabezpečení dokladůMetoda Výhoda                                             NevýhodaPA          Autenticit...
elektronický občanský průkaz                          8
Občanské průkazyOd 1. 1. 2012 je vydáván občanský průkaz se strojověčitelnými údaji (3 řádky MRZ), s čipem nebo bez čipu. ...
Vzor eOPZávazný vzor nového OP (vyobrazení) uvedený vevyhlášce č. 400/2011 Sb. neobsahuje personalizačníúdaje, s jedinou v...
Vzor a provedení   Vyhláška č. 400/2011                                Specimen            Spojujeme software, technologie...
Současné funkce čipu v eOPFunkce pro držitele:  Do kontaktního čipu lze uložit kvalifikovaný certifikátFunkce pro kontrolu...
Middleware pro eOPhttp://www.mvcr.cz/clanek/obsluzna-aplikace-eop-middleware.aspxPodporováno zatím pouze prostředí MS Wind...
Počty vydaných eOPK dnešnímu dni bylo od začátku roku vydáno asi 7.000eOP s čipem z celkem 457.000 OP, cca 1,6% z celkovéh...
Co čip eOP neobsahuje (a měl by)aplikaci eOP – data vytištěná na OP by měla být uloženana čipu a chráněna minimálně pasivn...
Bezpečnostní osobní kódPodle §8a zákona o občanských průkazech platí:  Bezpečnostní osobní kód (BOK) slouží k autentizaci ...
Chybný předpokladVolně podle Jiří Peterka: http://www.lupa.cz/clanky/nove-e-obcanky-co-nejsou-e/Původní představa MV o eOP...
Německýelektronický občanský průkaz                          18
Německý eIDOd 1. listopadu 2010 vydává Spolkové ministerstvo vnitranový identifikační dokument ve formátu plastové kartyfo...
Vlastnosti čipuRF komunikace ISO 14443 typ AISO 7816kryptografie ECC a AES, TRNGcertifikován jako SSCD podle německého zák...
Německý eID – vzhled a fyzické bezpečnostní prvky1 + 14      - vícebarevné giloše                       11           - int...
Data vytištěná na kartě  Sériové číslo (4auth. ID + 5 pseudonáhodných číslic)  Příjmení a rodné příjmení  Křestní jméno  A...
Data uložená na čipu - 1Všechna data vytištěná na kartě jsou též uložena v čipu.Data, která je možné držitelem uvolnit pro...
Data uložená na čipu - 2Pouze pro následující, zákonem určené úřady:  orgány činné v trestním řízení  celní správa  daňové...
Interní organizace dat na čipuData na čipu jsou organizována ve 3 aplikacích:  biometrická aplikace – stejný formát jako u...
Otisky prstůUložení otisků prstů žadatele je volitelná (dobrovolná)funkcepouze vyjmenované státní úřady mohou použít otisk...
HeslaCAN je 6-ti místné náhodné desítkové číslo Card Access Number, které se používá jakoheslo pro PACE k navázání SC prot...
Autentizační metody  PACE – Password Authenticated Connection Establishment  podle BSI-TR 03110. Slouží k navázání bezpečn...
On-line funkceOn-line identifikace  identifikace má vlastní 6 místný PIN  autorizační certifikát poskytovatele on-line slu...
Spojujeme software, technologie a služby   30
Aktivace on-line funkcíNově personalizovaná karta je chráněna kódy PIN a PUK(přepravní/aktivační kódy), které jsou zaslány...
Výhody on-line funkcízískání informace a jistoty o identitě poskytovatelů on-lineslužeb na základě osvědčení o registraci ...
Speciální on-line funkceOmezená informace o věku držitele  doklad místo celého data narození pouze zodpoví, zdali bylo  do...
Příklady použití DE eIDSeznam on-line aplikací na portále http://www.ccepa.de/onlineanwendungen  Zákaznický management – n...
Příklady použití DE eIDOnline ID funkce pro použití v bankomatech a nainternetu (k dispozici na vyžádání od věku 16 let)Di...
Čtečky karetDoporučené čtečky mají certifikaci podle specifikace BSI-TR03119 (10 čteček). Vláda uvolnila finanční podporu ...
SoftwareAusweisApp middleware a správce karty. Specifikace je založenana eCard API Framework, TR03112, vydané BSI (Spolkov...
InfrastrukturaProvozovatel kořenové CA – Bundesamt für Sicherheit inder Informationstechnik (BSI) Spolkový úřad proinforma...
Infrastruktura PKI – certifikáty pravostiPKI pro kontrolu pravosti – 2 úrovně, certifikáty X.509     kořenová CSCA, provoz...
Infrastruktura PKI – certifikáty přístupuPKI pro řízení přístupu, podle BSI TR 03128 - 3 úrovně, CVcertifikáty podle ISO 7...
Infrastruktura PKI – certifikáty přístupuPřístupové certifikáty pro komerční a zahraniční autentizační terminály (tj. pro ...
Infrastruktura PKI – certifikáty přístupuCV certifikáty obsahují informaci, která se uživateli zobrazípři on-line autentiz...
ZávěrVydání dokladů s čipem je pouze malá, i když lépe viditelnáčást systému. Podstatně důležitější je infrastruktura PKI,...
OKsystem s.r.o.Na Pankráci 125140 21 Praha 4tel: +420 236 072 111info@oksystem.czwww.oksystem.czwww.oksmart.czwww.okbase.c...
Upcoming SlideShare
Loading in …5
×

Smart Cards & Devices Forum 2012 - eOP s čipem

573 views
494 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
573
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smart Cards & Devices Forum 2012 - eOP s čipem

  1. 1. eOP s čipemPorovnání realizace v ČR a Německu Ing. Ivo Rosol, CSc. Smart Cards & Devices Forum 2012 Spojujeme software, technologie a služby 1
  2. 2. Téma prezentaceSmart karty a zařízení vybavené čipy jsou všude kolem nás,nejnověji také v občanských průkazech vydávaných v ČR odzačátku letošního roku. z jakého důvodu se umísťuje čip do ID dokladů k čemu slouží čip v eOP vydávané v ČR srovnání s německým eOP Spojujeme software, technologie a služby 2
  3. 3. Úloha čipu u eID dokladuHybridní doklady – kombinace klasického „papírového“ dokladu selektronickým čipem – umožňují klasickou, elektronickou nebokombinovanou inspekci dokladu.Čip v dokladu je nový bezpečnostní element, který umožňuje: zlepšit odolnost proti padělání dokladu pasivní autentizace (elektronicky podepsané údaje, včetně údajů vytištěných na dokladu) aktivní autentizace/EAC (zajištění pravosti čipu, odolnost proti kopírování) řídit přístup k údajům uloženým na čipu (EAC) uložit biometrické údaje držitele pro posílení vazby mezi dokladem a držitelem s možností automatické kontroly využití on-line služeb (elektronická identita, využití služeb IAS) Spojujeme software, technologie a služby 3
  4. 4. Kontaktní vs. RF rozhraníPro cestovní a ID doklady se obvykle využívá RF rozhraní.Důvodem je: zvýšení spolehlivosti jednoduchost obsluhy vyšší přenosová rychlostPro RF komunikaci se využívá standard ISO 14443, díl 1-4Nevýhodou RF komunikace jsou nové bezpečnostní hrozby, které se eliminují pomocí vhodně navržených kryptografických technologií a schémat.Základní hrozbou je absence vědomého vložení karty do čtečky, jako nezbytné podmínky pro použití karty.Další hrozbou je odposlouchávání komunikace mezi čtečkou a čipem (eavesdropping) a neoprávněné čtení údajů z čipu (skimming). Spojujeme software, technologie a služby 4SmartCard Forum 2008
  5. 5. Základní kryptografické zabezpečení dokladů - BACBAC je protokol sloužící k vygenerování dočasných klíčů s nízkouentropií pro vybudování bezpečného komunikačního kanálu mezi čipema terminálem (SM). Odvozuje přístupové klíče z vybraných údajů,vytištěných v strojově čitelné zóně (MRZ) – číslo dokladu (9 znaků),datum narození držitele dokladu (6 znaků) a datum konce platnostidokladu (6 znaků). Všechny tyto údaje jsou chráněny kontrolní číslicí,která umožňuje detekovat chyby při optickém čtení údajů. Spojujeme software, technologie a služby 5
  6. 6. Kryptografické zabezpečení dokladů - PACEPACE je protokol sloužící k vygenerování dočasných klíčů s vysokouentropií pro vybudování bezpečného komunikačního kanálu mezi čipema terminálem (SM) na základě znalosti sdíleného tajemství (heslasdíleného mezi personalizovaným čipem a tělem dokladu nebodržitelem). Heslo není většinou spojeno s hodnotami, které můžeútočník odhadnout (datum narození, konec platnosti dokladu): Card Access Number (CAN) logické číslo, které může být statické, nebo dynamické. Statická forma může být vytištěna na dokladu, dynamická zobrazena na displeji dokladu Personal Identification Number (PIN) krátké heslo, které je známé výhradně držiteli dokladu Machine Readable Zone (MRZ) heslo odvozené z MRZ , které je možné použít pro PACE i BAC (pro zpětnou kompatibilitu) Spojujeme software, technologie a služby 6
  7. 7. Kryptografické zabezpečení dokladůMetoda Výhoda NevýhodaPA Autenticita LDS Neodstraňuje klonování a substituci čipuAA Zabraňuje klonování a výměně čipu Vyžaduje kryptografický čip, neodstraňuje sémantiku výzvyBAC Zabraňuje neoprávněnému čtení a Vyžaduje kryptografický čip, klíče odposlouchávání komunikace mezi mají nízkou entropii (34 – 73 bitů) čipem a oprávněným terminálemPACE Náhrada BAC, odvozuje klíče s Vyžaduje kryptografický čip s vysokou entropií na základě podporou PACE sdíleného heslaEAC/EACv2 Zabraňuje neoprávněnému přístupu Vyžaduje komplexní k citlivým biometrickým údajům, infrastrukturu PKI zabraňuje klonování čipu Spojujeme software, technologie a služby 7SmartCard Forum 2008
  8. 8. elektronický občanský průkaz 8
  9. 9. Občanské průkazyOd 1. 1. 2012 je vydáván občanský průkaz se strojověčitelnými údaji (3 řádky MRZ), s čipem nebo bez čipu. Jevyroben ve formě plastové karty ve formátu ID-1 (54 x 85,6mm). OP je personalizován technologií laserovéhogravírování. Za vydání OP s čipem je stanoven správnípoplatek 500 Kč.Do čipu je přípustné nahrát pouze kvalifikované certifikáty,vydané k datům pro ověření zaručeného elektronickéhopodpisu (§17b ZoEP). Tuto službu nabízejí všichniakreditovaní poskytovatelé certifikačních služeb Spojujeme software, technologie a služby 9
  10. 10. Vzor eOPZávazný vzor nového OP (vyobrazení) uvedený vevyhlášce č. 400/2011 Sb. neobsahuje personalizačníúdaje, s jedinou výjimkou – 2D kód (neobsahuje ani MRZ,ve vyhlášce je pouze v textu určena poloha ve stanovenézóně v dolní části zadní strany). Pozice personalizačníchúdajů lze vytušit podle vyobrazených pozic návěští,s výjimkou fotografie, která žádný label nemá, takževlastně není určeno, kde má být.Kontaktní čip se nachází na zadní straně OP (určenov textu, není zmíněno kde, ani žádný odkaz na ISOstandardy, vyobrazeno je to správně).Úplný vzhled OP tedy určují až „specimeny“ Spojujeme software, technologie a služby 10
  11. 11. Vzor a provedení Vyhláška č. 400/2011 Specimen Spojujeme software, technologie a služby 11
  12. 12. Současné funkce čipu v eOPFunkce pro držitele: Do kontaktního čipu lze uložit kvalifikovaný certifikátFunkce pro kontrolu: Čip obsahuje aplikaci, která umožňuje zkontrolovat, že čip patří k tělu karty pomocí digitálního podpisu čísla dokladu.Funkce pro světlé zítřky eOP: Aplikace dále umožňuje zjistit velikost volné paměti na čipu. Spojujeme software, technologie a služby 12
  13. 13. Middleware pro eOPhttp://www.mvcr.cz/clanek/obsluzna-aplikace-eop-middleware.aspxPodporováno zatím pouze prostředí MS Windows (XP, Vista,7, Server 2003, Server 2008). Spojujeme software, technologie a služby 13
  14. 14. Počty vydaných eOPK dnešnímu dni bylo od začátku roku vydáno asi 7.000eOP s čipem z celkem 457.000 OP, cca 1,6% z celkovéhopočtu.Po počátečním boomu, kdy v lednu bylo vydáno 3.000eOP s čipem ze 150.000 OP, se čísla ustálila na asi 1.000eOP/měsíc z celkového počtu 100.000, cca 1%z celkového počtu.Správní poplatky, které jsou příjmem obcí, činínezanedbatelných 500 mil. Kč (při 1% eOP!).Počty vydaných QC na eOP nelze podle prohlášeníposkytovatelů zjistit (to je pochopitelné). Spojujeme software, technologie a služby 14
  15. 15. Co čip eOP neobsahuje (a měl by)aplikaci eOP – data vytištěná na OP by měla být uloženana čipu a chráněna minimálně pasivní autentizací,případně dalšími sofistikovanějšími mechanismyaplikaci Cestovní doklad ve formě kompatibilní kespecifikacím ICAO – vyžaduje bezkontaktní rozhraníaplikaci pro identifikaci a autentizaciaplikaci umožňující kryptografickou kontrolu pravostielektronické služby na základě ověření CV certifikátů Spojujeme software, technologie a služby 15
  16. 16. Bezpečnostní osobní kódPodle §8a zákona o občanských průkazech platí: Bezpečnostní osobní kód (BOK) slouží k autentizaci při elektronické identifikaci držitele OP při komunikaci s informačními systémy veřejné správy. BOK je kombinace 4 – 10 číslic. Občan zvolí BOK povinně při převzetí OP.Možný zmatek: pozor BOK není PIN k eOP. Spojujeme software, technologie a služby 16
  17. 17. Chybný předpokladVolně podle Jiří Peterka: http://www.lupa.cz/clanky/nove-e-obcanky-co-nejsou-e/Původní představa MV o eOP, i když nebude obsahovat čip: Nové občanky jsou totiž v jistém smyslu dvoudílné: kus plastu, velikosti platební karty, se strojově čitelnými zónami a s čipem nebo bez něj, je pouze prvním dílem průkazu. Tím druhým je obsah, uložený v základních registrech a v navazujících agendových informačních systémech. První díl občanky bude „minimalizován“ co do údajů, které obsahuje, a bude sloužit jen pro nejzákladnější identifikaci svého držitele (jak se jmenuje, jak vypadá). Především ale bude sloužit jako ukazatel (index) do druhého dílu, kde už budou obsaženy detailnější údaje: v základním registru obyvatel: jméno, příjmení, adresa místa pobytu, datum, místo a okres narození, státní občanství, čísla elektronicky čitelných identifikačních dokladů a záznam o zpřístupnění datové schránky. Údaje o adresách jsou fakticky vedeny jako odkazy do jiného základního registru (územní identifikace, adres a nemovitostí), v agendovém informačním systému evidence obyvatel: rodinný stav, vznik nebo zánik registrovaného partnerství, rodné číslo, zbavení nebo omezení způsobilosti k právním úkonům, ev. údaje o opatrovníkovi v evidenci občanských průkazů: digitální zpracování podoby občana a jeho podpisu, číslo občanského průkazu, datum vydání, datum skončení platnosti a označení úřadu, který jej vydal.ALE: OP a eOP neslouží pouze pro veřejnou správu a mimo ní není přístup ani k základním registrům, ani kBOK. Spojujeme software, technologie a služby 17
  18. 18. Německýelektronický občanský průkaz 18
  19. 19. Německý eIDOd 1. listopadu 2010 vydává Spolkové ministerstvo vnitranový identifikační dokument ve formátu plastové kartyformátu ID1 s bezkontaktním elektronickým čipem, který jeoznačován zkratkou „IDD“. Za vydání nového dokladu jestanoven poplatek 28,80 € pro osoby od 24 let s platností na10 let a 22,80€ pro osoby pod 24 let s platností na 6 let. Velikosti kreditní karty, materiál PC Bezkontaktní čip v kartě Základní infornace na portálu: http://www.personalausweisportal.de/DE/Home/home_node.html Spojujeme software, technologie a služby 19
  20. 20. Vlastnosti čipuRF komunikace ISO 14443 typ AISO 7816kryptografie ECC a AES, TRNGcertifikován jako SSCD podle německého zákona oelektronickém podpisu Spojujeme software, technologie a služby 20
  21. 21. Německý eID – vzhled a fyzické bezpečnostní prvky1 + 14 - vícebarevné giloše 11 - integrační technika barvy (Innosec Fusion®)2 + 15 - mikrotext 12+20 - laserové gravírování3 + 16 - UV – potisk 13 - taktilní vlastnosti laserového gravírování4 - OVI (opticky variabilní barvy) 17 - logo personálního dokladu5 - holografický portrét 18 - melírované vlákna6 - 3D Spolková orlice 19 - ražba na povrchové vrstvě7 - kinematické pohybové struktury 21 - sklopný obrázek laserový8 - makro písmo 22 - strojově čitelná zóna (MRZ)9 - inverze kontrastu 23 - personalizovaný bezpečnostní proužek10 - strojově kontrolovatelná struktura Spojujeme software, technologie a služby 21
  22. 22. Data vytištěná na kartě Sériové číslo (4auth. ID + 5 pseudonáhodných číslic) Příjmení a rodné příjmení Křestní jméno Akademický titul Datum a místo narození Národnost Datum konce platnosti dokladu Fotografie (jpeg2000) Podpis Přístupové číslo karty (CAN) pro PACE Barva očí Výška Datum vydání Vydavatel Adresa Náboženské nebo umělecké jméno Spojujeme software, technologie a služby 22
  23. 23. Data uložená na čipu - 1Všechna data vytištěná na kartě jsou též uložena v čipu.Data, která je možné držitelem uvolnit pro on-line funkce: Jméno a příjmení Datum a místo narození Adresa a PSČ Pseudonym akademické titulySpolečně s uvolněnými údaji je současně zaslána informaceo platnosti dokladu. Spojujeme software, technologie a služby 23
  24. 24. Data uložená na čipu - 2Pouze pro následující, zákonem určené úřady: orgány činné v trestním řízení celní správa daňové vyšetřovací jednotky spolkových zemí úřady vydávající občanské průkazy a cestovní dokladyje povoleno použít následující údaje k ověření pravosti dokladu atotožnosti jeho držitele: Digitální fotografie držitele Otisky 2 prstů - volitelně, držitel se rozhodne, zdali chce mít otisky prstů uloženy na čipu: Sériové číslo dokladu Spojujeme software, technologie a služby 24
  25. 25. Interní organizace dat na čipuData na čipu jsou organizována ve 3 aplikacích: biometrická aplikace – stejný formát jako u ePasu podle ICAO Doc 9303 part 3 eID aplikace podpisová aplikace pro kvalifikované podpisy (v ZoEP není) Spojujeme software, technologie a služby 25
  26. 26. Otisky prstůUložení otisků prstů žadatele je volitelná (dobrovolná)funkcepouze vyjmenované státní úřady mohou použít otiskyprstů a to výhradně pro identifikaciotisky nejsou uloženy v žádné databázi a po výrobě kartyjsou smazány ze systému a zůstávají pouze na kartě Spojujeme software, technologie a služby 26
  27. 27. HeslaCAN je 6-ti místné náhodné desítkové číslo Card Access Number, které se používá jakoheslo pro PACE k navázání SC protokolu mezi kartou a terminálem a dále k umožnění 3.pokusu o zadání PIN (ochrana proti DoS útoku na bezkontaktní rozhraní čipu). PACE aCAN se používá jako modernější náhrada protokolu BAC u ePasů 1. a 2. generace, kdy sevyužívala jako důkaz držení pasu a pro získání klíče pro přístup k DG1 a DG2Data z MRZ (SHA-1 (číslo dokumentu, datum narození, datum konce platnosti)) pro BACeID PIN (operační PIN) je 6 místné číslo známé pouze držiteli karty. Operační PIN můžezměnit držitel se znalostí původní hodnoty PIN, nebo autorita, která provede autentizacitermináluTransportní PIN je 5 místné číslo zaslané držiteli, nelze použít pro autentizaci držitele,pouze k nastavení operačního PINSignature PIN – pro kvalifikovaný podpis. Při vydání dokladu není nastaven. Blokuje se po3 neplatných zadáních.PUK 10 místné číslo zaslané držiteli. Odblokovává eID PIN i Signature PIN. Blokuje se pro10 neplatných zadáních. Spojujeme software, technologie a služby 27
  28. 28. Autentizační metody PACE – Password Authenticated Connection Establishment podle BSI-TR 03110. Slouží k navázání bezpečné komunikace (šifrované s kontrolou integrity) mezi čipem a terminálem a k ustanovení sdíleného tajemství mezi terminálem a čipem. TA2 – Terminal Authentication v2 podle BSI-TR 03110. TA2 slouží k autorizaci přístupového práva terminálu respektive poskytovatele služeb. Povinné pro všechna data s výjimkou DG1 a DG2. PA – Passive Authentication podle ICAO 9303 CA2 – Chip Authentication v2 podle BSI-TR 03110Tyto kryptografické protokoly umožňují přistupovat k datůmuloženým na čipu podle General Authentication Proceduredefinované v BSI-TR 03110 Spojujeme software, technologie a služby 28
  29. 29. On-line funkceOn-line identifikace identifikace má vlastní 6 místný PIN autorizační certifikát poskytovatele on-line služeb určuje maximální rozsah přístupu k údajům na kartě uživatel navíc vždy povoluje, zda poskytovateli poskytne přístup k údajům a v jakém rozsahu data jsou vždy přenášena zabezpečeným šifrovaným spojenímZaručený elektronický podpis podpis má vlastní podpisový PIN je k dispozici PIN-pad čtečka s displejem Spojujeme software, technologie a služby 29
  30. 30. Spojujeme software, technologie a služby 30
  31. 31. Aktivace on-line funkcíNově personalizovaná karta je chráněna kódy PIN a PUK(přepravní/aktivační kódy), které jsou zaslány držiteli v bezpečnostní obálce.Před prvním použitím on-line funkcí je nutno kartu aktivovat a změnitaktivační PIN na 6 místný osobní PINPo 2 neplatných zadáních PIN je nutno zadat přístupový kód CAN,personalizovaný na lícové straně dokladu. Po 3 neplatných zadáních je PINblokován.Odblokovat PIN lze zadáním kódu PUK, po 10 neplatných zadáních je PUKblokován. Resetovat PUK může pouze vydavatel (v ČR nelze).On-line funkce lze kdykoli zablokovat, telefonicky nebo osobně na úřadě. Ktomu je nutné sdělit heslo pro blokování, které bylo zasláno držiteli poštou.Podpisové certifikáty je nutno odvolat zvlášť u poskytovatele certifikačníchslužeb. Spojujeme software, technologie a služby 31
  32. 32. Výhody on-line funkcízískání informace a jistoty o identitě poskytovatelů on-lineslužeb na základě osvědčení o registraci (CV certifikátu)poskytovatele službyposkytnutí ověřené informace o identitě držitele dokladueliminace on-line útoků, zaměřených na sociální inteligencitypu phishing. Poskytovatel falešných stránek nemá CVcertifikát ověřitelný na kartě, karta tak chrání svého držitelejsou posílána pouze ta data, která je nutné získatlze zajistit ochranu nezletilých před on-line službami, které smípoužívat pouze plnoletí Spojujeme software, technologie a služby 32
  33. 33. Speciální on-line funkceOmezená informace o věku držitele doklad místo celého data narození pouze zodpoví, zdali bylo dosaženo požadovaného věku (například plnoletosti)Omezená informace o adrese pobytu doklad místo celé adresy pouze zodpoví, zdali je bydliště v požadované hierarchicky členěné lokalitě. Tato informace je uložena v DG18 – Community ID: Spolková země – 2 číslice, administrativní oblast – 1 číslice, město nebo okres – 2 číslice, obec – 3 čísliceOmezená informace o identitě – přístup pod číselnýmiidentifikátory doklad poskytne pro každou on-line službu bezvýznamovou unikátní posloupnost čísel, identifikujících držitele k této službě (např. pro internetová fóra) Spojujeme software, technologie a služby 33
  34. 34. Příklady použití DE eIDSeznam on-line aplikací na portále http://www.ccepa.de/onlineanwendungen Zákaznický management – například uzavírání pojistek přes internetový portál pojišťoven. Potvrzení stáří držitele e-ID – při nákupu produktů omezených určitou věkovou hranicí Potvrzení bydliště držitele e-ID – používá se pro slevy v rámci cestovního ruchu, které jsou určeny pouze pro občany z jiných regionů. Přístup pod bezvýznamovým identifikátorem („cookie na kartě“) – používá se pro zjednodušení přihlašovacího procesu a znovu poznání občana pro internetové aplikace, což zvyšuje bezpečnost ochrany osobních údajů. Podpisové funkce – elektronický podpis a komunikace E-mailem Online – administrativní postupy – např. přihlašování psů Bezpečné e-maily a de-maily (komunikační prostředek pro výměnu dokumentů). Spojujeme software, technologie a služby 34
  35. 35. Příklady použití DE eIDOnline ID funkce pro použití v bankomatech a nainternetu (k dispozici na vyžádání od věku 16 let)Digitální fotografie a otisky prstů pro jednoznačnouidentifikaci držiteleKvalifikovaný elektronický podpis (zaručený elektronickýpodpis založený na kvalifikovaném certifikátu, vytvořenýpomocí bezpečného zařízení pro vytváření elektronickýchpodpisů)Pokročilé bezpečnostní funkceZvláštní ochrana biometrických údajů Spojujeme software, technologie a služby 35
  36. 36. Čtečky karetDoporučené čtečky mají certifikaci podle specifikace BSI-TR03119 (10 čteček). Vláda uvolnila finanční podporu 24 M EUR procca 1,5 mil. sad s čtečkou zdarma nebo za sníženou cenu. základní čtečka, kde PIN je zadáván na klávesnici počítače (nebezpečí škodlivého kódu, keylogger). PIN je možné zadat z virtuální klávesnice na obrazovce (AusweisApp) standardní PIN-pad čtečka s klávesnicí a displejem komfortní PIN-pad čtečka s klávesnicí, displejem a kryptografickým modulem certifikovaným podle CC na úroveň zabezpečení EAL4+. Tato čtečka je povinná pro podpisové funkce, má certifikát SigG/SigV podle specifikace QES (REINERSCT Cyber Jack RFID komfort). Spojujeme software, technologie a služby 36
  37. 37. SoftwareAusweisApp middleware a správce karty. Specifikace je založenana eCard API Framework, TR03112, vydané BSI (Spolkový úřadpro informační bezpečnost). Windows XP/Vista/7, IE 6 – 9, Mozilla Firefox Linux distribuce Ubuntu, Debian a openSUSE Mac OS v přípravě Spojujeme software, technologie a služby 37
  38. 38. InfrastrukturaProvozovatel kořenové CA – Bundesamt für Sicherheit inder Informationstechnik (BSI) Spolkový úřad proinformační bezpečnostRegistrační autorita pro schvalování přístupovýchcertifikátů a služba blokování - Bundesverwaltungsamt(BVA) Spolkový úřad pro správuTechnické specifikace (BSI): BSI-TR 03110 EAC a PACE BSI-TR 03112 eCard API BSI-TR 03127 architektura BSI-TR 03130 eID serveru Spojujeme software, technologie a služby 38
  39. 39. Infrastruktura PKI – certifikáty pravostiPKI pro kontrolu pravosti – 2 úrovně, certifikáty X.509 kořenová CSCA, provozovaná Bundesamt für Sicherheit in der Informationstechnik (BSI) Spolkový úřad pro informační bezpečnost. CSCA vydává certifikáty pro výrobce dokladů, který provozuje entitu Document SignerUrčitá data uložená na čipu jsou digitálně podepsána DS připersonalizaci dokladu. Tento podpis je kontrolován pomocícertifikátů pravosti. Spojujeme software, technologie a služby 39
  40. 40. Infrastruktura PKI – certifikáty přístupuPKI pro řízení přístupu, podle BSI TR 03128 - 3 úrovně, CVcertifikáty podle ISO 7816-6 kořenová CVCA, provozovaná BSI CVCA vydává certifikáty pro několik entit Document Verifier DV DV vydávají certifikáty pro inspekční systémy (IS), autentizační terminály a podpisové terminályČip nemá vlastní hodiny reálného času pro ověření platnosticertifikátu, používá a aktualizuje proto přibližný syntetickýčas, odvozený z data vydání důvěryhodných certifikátůCVCA, DV a dále z oficiálních německých IS aautentizačních terminálů. Spojujeme software, technologie a služby 40
  41. 41. Infrastruktura PKI – certifikáty přístupuPřístupové certifikáty pro komerční a zahraniční autentizační terminály (tj. pro on-line aplikace e-business a e-government) jsou vydávány autorizačními CA (DV) nazákladě licence vydané úřadem VfB pro poskytovatele služeb. Poskytovatelé musíprokázat splnění řady požadavků zákona PAuswG, zejména: údaje o identitě poskytovatele a kontaktní detaily, včetně jména osoby odpovědné za ochranu dat údaje o společnosti a nabízených službách údaje o datech, které mají být čteny a důvod informace o použití dat, které mají být čteny realizaci bezpečnostního konceptu podle BSI TR 03130 k ochraně privátního klíče přístupového certifikátu a ochrany osobních dat přečtených z kartyVydaná licence opravňuje poskytovatele k vyžádání certifikátu od vybraného DV podobu maximálně 3 let. Spojujeme software, technologie a služby 41
  42. 42. Infrastruktura PKI – certifikáty přístupuCV certifikáty obsahují informaci, která se uživateli zobrazípři on-line autentizaci: subjectName: jméno poskytovatele služeb issuername: jméno vydavatele – autorizační CA termsOfUsage: jméno a e-mail poskytovatele služeb, důvod požadavku commCertificates: hash TLS certifikátu poskytovatele služebCertifikáty přístupu jsou vydány s platností pouze na 2 dny,nepoužívají se proto CRL. Spojujeme software, technologie a služby 42
  43. 43. ZávěrVydání dokladů s čipem je pouze malá, i když lépe viditelnáčást systému. Podstatně důležitější je infrastruktura PKI,infrastruktura služeb a celková bezpečnostní koncepce.Bez těchto předpokladů nelze považovat prostředkyvěnované na eOP s čipem za efektivně vynaložené. Spojujeme software, technologie a služby 43
  44. 44. OKsystem s.r.o.Na Pankráci 125140 21 Praha 4tel: +420 236 072 111info@oksystem.czwww.oksystem.czwww.oksmart.czwww.okbase.cz Otázky? Děkuji za pozornost Ivo Rosol rosol@oksystem.cz Spojujeme software, technologie a služby 44

×