Your SlideShare is downloading. ×
  • Like
Smart Cards & Devices Forum 2012 - OKsmart a správa karet v OKbase
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Smart Cards & Devices Forum 2012 - OKsmart a správa karet v OKbase

  • 227 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
227
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. OKsmart a správa karet v systému OKbaseOd personalizace a sledování životního cyklu karet ažk bezkontaktní autentizaci a elektronickému podpisu Martin Primas vedoucí projektů informační bezpečnosti Praha, 17.5.2012 Spojujeme software, technologie a služby
  • 2. AgendaModulární systém OKbaseSpráva karet Životní cyklus karet Inicializace a personalizace karty Grafická personalizace Bezkontaktní personalizace Kontaktní personalizace Personalizační profilyOKsmart Představení produktu OKsmart Plánované novinky v OKsmart 3.0Správa klíčůSpráva certifikátů ve vývoji 2
  • 3. Modulární systém OKbaseCelofiremní modulární sytém propráci se zaměstnanciModuly pracují nad jednotnoudatovou základnouModuly lze užívat jakopředinstalované, nebo se mohouvolně konfigurovat podle potřebyzákazníkaCelkem 18 modulů, představíme si znich dva: Správa karet Správa klíčůNový modul Správa certifikátů je napočátku vývoje 3
  • 4. Správa karet v systému OKbaseSlouží k inicializaci, personalizaci asprávě životního cyklu identifikačnícha čipových karetInicializace karet Nahrání obecných dat, klíčů, aplikacíPersonalizace karet Karty je potřeba od sebe rozlišit, většinou určit jejich vazbu na konkrétního držitele Karty lze importovat (i hromadně)Personalizované karty S bezkontaktním čipem - pro docházkový nebo přístupový systém, stravování, evidenci návštěv S kontaktním čipem - pro šifrování, autentizaci a elektronický podpis (společně s programovým vybavením OKsmart) 4
  • 5. Životní cyklus karet NOVÁKaždá karta definovaně prochází REPERSONALIZACE PERSONALIZACE / IMPORTurčenými stavy životního cyklu VÝROBA ODVOLANÁAktuální stav určuje použitelnost ODVOLÁNÍ DOKONČENAkarty pro zaměstnance a uživateleOKbase ODVOLÁNÍ ODVOLÁNÍ AKTIVACEStav životního cyklu lze jednotlivěnebo hromadně měnit NEAKTIVNÍ DEAKTIVACE AKTIVNÍNový OKsmart bude podporovat REAKTIVACEzměny životního cyklu VYŘAZENÁ 5
  • 6. Inicializace a personalizace kartyPersonalizace Vlastní personalizace se provádí na základě výběru personalizačního profilu karty a zadání vstupních parametrůLze provádět jednotlivou nebo dávkovou personalizaci karet Manuálně pomocí samostatných zařízení – tiskárny a čtečky kontaktních a bezkontaktních čipových karet Automaticky s využitím podporovaných multifunkčních personalizačních periferiíUkázka Personalizace karty (také hromadná)  Tisk PIN a štítků pro karty Změny životního cyklu karty 6
  • 7. Grafické personalizaceV nejjednodušším případě vydáváme jen plastové karty s potiskemPředdefinované šablony definují vzhled kartyNa karty lze tisknout textové prvky (jména, identifikátory a jiné),grafické prvky (loga, fotografie), čárové kódy, strojově čitelné kódyLze tisknou také samolepícíštítky na kartyPotisk karet: Na zakázku v OKsystem U zákazníka  Štítky na laserové tiskárně  Na vlastní tiskárně karet 7
  • 8. Bezkontaktní personalizaceBezkontaktní čipy se využívají primárně k identifikaci a autentizaci,ale také jako předplacené jízdenky, platební peněženky, atd.Bezkontaktní personalizace definuje data z datového zdroje azpůsob jejich nahrání na bezkontaktní čipPodporován Mifare a DESFire 8
  • 9. Kontaktní personalizaceKontaktní čipy se využívají především pro šifrování (emailů, dat),autentizaci (k doméně, k aplikacím) a elektronickému podpisuHW zařízení dnes zaručují nejvyšší stupeň ochrany klíčů - klíče nelzevykopírovat, použití klíčů umožněno po dodatečné autentizaci (např.zadáním PIN kódu)Podporován Java Card, .Net,MinidriverNejvyšší integrace v OKbase proOKsmart na Java CardPři personalizaci umožněn bezpečnýtisk PIN/PUK kódů 9
  • 10. Personalizační profilyPersonalizační profil je kombinací grafické, bezkontaktní akontaktní personalizace Jednoznačně definuje všechny operace nutné pro provedení kompletní personalizace karty včetně využití společného datového zdroje a sady kryptografických klíčůDatové zdroje mohou být: Interní data OKbase  Předdefinované - připraveny pro snadné použití  Uživatelské – možné dodefinovat pro libovolná data z objektového modelu OKbase Libovolná externí data  Externí – lze definovat a importovat data, například pro personalizaci karet pro zákazníkyPro práci s klíči, které např. chrání přístup k čipům, jsou pro jejichnejvyšší bezpečnost používána HW bezpečnostní zařízení 10
  • 11. Představení produktu OKsmartSW pro integraci kryptografických čipových karet do operačníchsystémů – Windows, LinuxOKsmart se skládá z: Java Applet na kartě - čisté Java Card nelze v OS využívat Middleware - knihovny umožňující využít čipové karty v aplikacích  Knihovny: PKCS11, CSP, KSP  Využití například v aplikacích MS Outlook a Mozilla Thunderbird pro šifrování a podpis emailů, v MS Word a Adobe Acrobat pro podpis dokumentů  Využití také pro přihlášení do Windows sítě Aplikace do PC  OKsmart Manager – pro správu karty, např. pro změnu PIN, PUK, správu certifikátů, datových objektů  OKsmart File, Disk – pro šifrování dat  OKsmart Safe – pro bezpečné ukládání heselPodporovány JavaCard od předních světových výrobců: Gemalto,Oberthur Card System 11
  • 12. Plánované novinky v OKsmart 3.0Podpora Minidriver a tedy možnost využívat OKsmart karty ve Windows bez instalacedodatečného softwareZměna licenčního modelu Middleware a OKsmart Manager nebude kontrolován licencemi Licence bude na funkční OKsmart kartu, kterou zákazník získá:  Inicializovanou od OKsystem (karta může být v OKsystem rovněž personalizována včetně potisku)  Čistou Java Card, kterou si zákazník inicializuje pomocí našeho SW a nabitého kontroléru Kontrolér je administrátorská karta  Lze nabíjet kreditem, jenž se při inicializaci OKsmart karty odečítá  Chrání potřebné kryptografické klíče Ostatní aplikace – OKsmart File, Disk, Safe budou k použití zdarma a bude je možné využívat také bez karetIntegrace do OKbase Rozšířený OKsmart Manager bude bez instalace dostupný ve webovém klientu OKbase, bude spojena správa čipu OKsmart karty a práce s evidovanou kartou Podpora změn životního cyklu  Aktivace a s ní spojená vynucená změna PIN kódu umožňující nedistribuovat PIN obálky  Deaktivace neboli dočasné zablokování karty Možnost odblokování karty se zablokovaným PIN bez znalosti PUK pomocí Admin Key bezpečně umístěném na kontroléru  Odblokování PIN může probíhat u administrátora nebo vzdáleně pomocí webového klienta  Zablokovanou kartu s certifikátem pro přihlášení k Windows síti je možné vzdáleně odblokovat pomocí rozhraní Windows před přihlášením k PC 12
  • 13. Vzdálenéodblokování PINpřed přihlášenímk PC 13
  • 14. Správa klíčů v systému OKbaseMotivace: Co dělat v situaci, kdy ztratím šifrovací klíče k emailům?Hlavní služby Vytvoření klíče (online) - generování nebo uložení Obnovení klíče (citlivá operace s bezpečnostními správci - ukázka)Úložiště klíčů Všechny uživatelské klíče se nevejdou na HW zařízení, musí být v databázi Úložiště klíčů je skupina klíčů šifrovaných sadou klíčů úložiště Pro každé úložiště musí být definováni bezpečnostní správci, ti jediní mohou uživatelské klíče z úložiště obnovit – můžeme vyžadovat při obnově více bezpečnostních správců, pokud nezadají své obnovovací klíče, nebude moci uživatelské klíče získat ani administrátor systémuProfil klíče Šablona podle které lze v systému klíče vytvářet – např.: RSA klíče pro šifrování emailů, AES klíče pro šifrování pevných disků Šablona definuje libovolné textové atributy ukládané s klíčem, množinu povolených algoritmů klíče, dobu platnosti Každé úložiště může mít přiřazen libovolný počet profilů klíče Předdefinovaný profil také pro modul správy karet – záloha klíčů pro odemykání karetOperace s klíči probíhají na bezpečnostních zařízeních HW – čipová karta nebo HSM modul SW – virtuální zařízení v OKbase 14
  • 15. Správa certifikátů v systému OKbase je ve vývojiEvidence certifikátů na kartách uživatelůVydávání nových a následujících certifikátůUpozornění na vypršení certifikátůOdvolávání certifikátů a upozornění na odvolání certifikátu například při odchoduzaměstnanceNapojení na certifikační autority od MicrosoftPropojení modulů Personalizace karty ve Správě karet Automatické vydání Správa klíčů certifikátů pomocí Správy certifikátů na personalizovanou kartu Archivace šifrovacích klíčů ve Správě klíčů k vydaným certifikátům Správa Správa karet certifikátů 15
  • 16. Martin Primasvedoucí projeků informační bezpečnostiOKsystem s.r.o.Na Pankráci 125, 140 21 Praha 4www.oksystem.czprimas@oksystem.cz Otázky? Děkuji za pozornost 16