SmartCard Forum 2008 - Čipová platforma pro evropské identifikační doklady

321 views

Published on

  • Be the first to comment

  • Be the first to like this

SmartCard Forum 2008 - Čipová platforma pro evropské identifikační doklady

  1. 1. Spojujeme software, technologie a službyČipová platforma pro evropské identifikační dokladyVýsledky projektu výzkumu a vývoje Onom@topic Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.
  2. 2. Kategorizace čipových karetPodle inteligence• Paměťové karty s jednoduchou logikou• Mikroprocesorové (smart) kartyPodle komunikačního rozhraní• Kontaktní rozhraní ISO 7816-3• Kontakní USB rozhraní ISO 7816-12• Bezkontaktní RF rozhraní na krátkou vzdálenost: ISO 14443-1 až 4Podle instrukční sady (APDU)• S pevnou instrukční sadou (podpora ISO 7816-4)• Programovatelné, s aplikačně závislou instrukční sadou (Java Card)Podle podpory kryptografie• S podporou symetrické kryptografie (DES, 3DES, AES)• S podporou RSA nebo ECCSmartCard Forum 2008 2
  3. 3. Komunikace s čipovou kartouKomunikace dvou počítačů s odlišným technickým vybavením a operačnímsystémem. Komunikace je realizována na základě aplikačního protokolu promikroprocesorové čipové karty (ISO 7816 – 4, APDU).Aplikační protokol je přenášen prostřednictvím kontaktního rozhraní (ISO7816-3), USB rozhraní (ISO 7816-12) nebo RF rozhraní (ISO 14443) čipovékarty.Aplikace na straně počítače Aplikace na straně karty 1. APDU (Command) 2. APDU (Response)SmartCard Forum 2008 3
  4. 4. Stav techniky a standardizace 1/2Základní standardy v oblasti čipových karet (ISO 7816) existují řadu let, ale nezaručují plnou kompatibilitu na aplikační úrovni a využívají poměrně archaický aplikační protokol (APDU)Rozvíjí se bezkontaktní komunikace, důležité aplikace vyžadují vyšší přenosovou rychlost a vyšší bezpečnost (standard ISO 14443 až 848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace EAC pro ICAO)SmartCard Forum 2008 4
  5. 5. Stav techniky a standardizace 2/2• Potřeba lépe definovaných služeb čipové karty (povinné APDU, povinné autentizační protokoly, eliminace chování závislých na implementaci) – tvorba evropského standardu ECC (CEN TC224 WG15)• Neexistující standard pro middleware, pouze technické specifikace (zejména) obecných kryptografických rozhraní (PKCS#11, MS CAPI, JCA) – tvorba mezinárodního standardu ISO/IEC 24727SmartCard Forum 2008 5
  6. 6. Identifikace, autentizace, ePodpis (IAS)IAS jako základ pro elektronickou administrativu vzešel z iniciativy eEurope Smart Card Charter (eESC, v rámci akčního plánu EU eEurope)IAS se stal základem European Citizen Card - čtyřdílný standard vytvářeném v rámci CENSmartCard Forum 2008 6
  7. 7. Definice ECCECC je personalizovaná čipová karta formátu ID-1 s kontaktním rozhraním ISO 7816-3 (12) nebo bezkontaktním rozhraním ISO/IEC 14443.ECC podporuje služby IAS (Identification, Authentication, Signature)Specifikaci ECC vytváří CENSmartCard Forum 2008 7
  8. 8. CEN- European Committee for StandardisationCEN charakterizuje• 30 národních členů (ČNI za ČR)• více než 60.000 expertů• vydal více než 10.000 evropských standardů• náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující expertyCEN vytváří:• evropské standardy – EN• technické specifikace – TS• informativní technické zprávy – TR• pracovní specifikace – CWAPráce CEN probíhá v technických výborechSmartCard Forum 2008 8
  9. 9. Technický výbor CEN/TC 224CEN/TC 224 Machine readable cards, related device interfaces and operations, WG15 - ECCECC hardware:CEN/TS 15480-1 Identification card systems – European Citizen Card – Part 1: Physical, electrical and transport protocol characteristicsECC IAS:CEN/TS 15480-2 Identification card systems – European Citizen Card – Part 2: Logical data structures and card servicesECC IOP middleware:CEN/TS 15480-3 Identification card systems – European Citizen Card – Part 3: ECC interoperability using an application interfaceECC profiles:CEN/TS 15480-4 Identification card systems – European Citizen Card – Part 4: Recommendation for ECC issuance, operation and useSmartCard Forum 2008 9
  10. 10. Fyzické specifikace ECC 1/2ECC musí:• integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu• obsahovat administrativní údaje držitele (jména...)• obsahovat černobílou nebo barevnou fotografii a podpis držitele• obsahovat MRZ podle doporučení ICAO 9303-1• obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)SmartCard Forum 2008 10
  11. 11. Fyzické specifikace ECC 2/2Materiál těla karty není předepsán, musí být kompatibilní s kontaktní, bezkontaktní a personalizační technologiíBiografická data na lícové straně by měla být personalizována do materiálu těla kartyPodtisk by měl obsahovat guilloches, duhový tisk, UV fluorescentní prvky, OVI a mikrotisk nebo srovnatelnou technologii na datové straněSmartCard Forum 2008 11
  12. 12. Lícová strana ECC Vlajka Název dokumentu Země Údaje o držiteli Administrativní údaje Fotografie Bezp. prvek OVF Podpis držiteleSmartCard Forum 2008 12
  13. 13. Rubová strana ECC Popis fixních polí na lícové straně čip ISO 7816 Podpis vydavatele Adresa pro zaslání ztracené karty Strojově čitelná zóna (Doc 9303 - 3)SmartCard Forum 2008 13
  14. 14. Funkce ECC• vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat uložených na kartě• oboustranná autentizace mezi kartou a terminálem, pokud požaduje aplikace• bezpečný přenos dat pomocí kontaktního a volitelně bezkontaktního rozhraní• generování elektronického podpisu• mechanismus řízení přístupu k uloženým datům• multiaplikační podporaSmartCard Forum 2008 14
  15. 15. Interoperabilita ECCElektronická interoperabilita ECC je dosažena ve 3 vrstvách:• společná sada příkazů a datových struktur (CEN/TS 15480-2)• middleware API (CEN/TS 15480-3)• definice profilů ECC (CEN/TS 15480-4)SmartCard Forum 2008 15
  16. 16. Projekt V&V Onom@topic+Cílem projektu byl návrh a vývoj kompletní HW/SW čipové platformy, která umožní evropským zemím vydávat interoperabilní čipové dokumenty pro elektronickou identifikaci, autentizaci, zaručený elektronický podpis a pro přístup k elektronickým službám.Projekt současně prakticky ověřil koncepci ECC.SmartCard Forum 2008 16
  17. 17. 2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project structure Project objectives  Split in 2 sub-projects and 9 work packages Two directions are targeted  sub-project A : European Citizen Card  sub-project B : Mobile Multi Media  provide a complete technical platform WP1 : Management and dissemination enabling the European Governments to issue WP2 : Use cases interoperable e-identity documents WP3 : Architecture WP4 : Specifications WP5 : Infrastructure and interfaces  develop a complete HW and embedded SW platform taking full profit of the enormous WP6 : Biometrics potentialities offered by the development of WP7 : Platform development premium Mobile Services WP8 : Tools and methodology WP9 : Demonstrators Duration : Q2-2005 to Q4-2007 Manpower : 305 man.year Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands Partners:SmartCard Forum 2008 17
  18. 18. Hlavní východiska projektuV rámci Evropy:• Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a elektronický podpis (Signature) – IAS podle ECC-2.• Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3)• Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO 24727 (ECC-3 podmnožina ISO)SmartCard Forum 2008 18
  19. 19. Spojujeme software, technologie a službyOperační systém čipové karty ECCOnom@Topic IAS Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.
  20. 20. Onom@topic - operační systémAplikace IAS rezidentní na čipové kartě tvoří operační systém čipové platformy Onom@Topic+.Aplikace vychází z publikovaného standardu CEN/TS 15480-2.SmartCard Forum 2008 20
  21. 21. Základní komponenty IAS• Hierarchický souborový systém podle ISO 7816- 4• Bezpečnostní architektura a služby• Příkazová sadaSmartCard Forum 2008 21
  22. 22. Souborový systém IAS• Implementace FS pomocí komponent: • root structure • application directory list array • directory list array • file list array • data blocks array • free space stricture• Typy EF: Transparent, Linear fixed• Operace v systému souborů: inicializace, vytvoření MF, vytvoření DF, vytvoření EF, smazání DF, smazání EFSmartCard Forum 2008 22
  23. 23. Bezpečnostní služby IAS• Symetric Device Authentication• Secure Messaging• Digital Signature• Client/Server Authentication• Encryption Key Decipherment• Card Verifiable Certificate Verification• Key Transport ProtocolSmartCard Forum 2008 23
  24. 24. Příkazová sada IAS• Sada příkazů pro souborový systém – CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF• Sada příkazů pro bezpečnostní služby – GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION• Sada příkazů pro komunikaci – GET RESPONSESmartCard Forum 2008 24
  25. 25. Spojujeme software, technologie a službySoftware pro interoperabilituOnom@Topic middleware Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.
  26. 26. Návrh ISO standardů pro middlewareISO/IEC FDIS 24727-1 Identification cards -- Integrated circuit card programming interfaces -- Part 1: ArchitectureISO/IEC FCD 24727-2 Identification cards -- Integrated circuit card programming interfaces -- Part 2: Generic card interfaceISO/IEC CD 24727-3 Identification cards -- Integrated circuit card programming interfaces -- Part 3: Application interfaceISO/IEC NP 24727-4 Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 4: API administrationISO/IEC NP 24727-5 Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 5: TestingSmartCard Forum 2008 26
  27. 27. ISO/IEC FDIS 24727-1 – architektura Odvozeno zPoskytovatel 1 Externí aplikace ISO 24727-3 Aplikační rozhraní (API)Poskytovatel 2 Service Access Layer (SAL) - Odvozeno z ISO 24727-3 Generické rozhraní (GCE)Poskytovatel 3 Generic Card Access Layer (GCAL) Odvozeno z ISO 24727-2 Rozhraní čipové karty (HCE)Poskytovatel 4 Aplikace rezidentní na Odvozeno z CEN kartě ICC TC224 WG15 spec. EF.DIR Recoverable data DF.CIA Application Capabilities Descriptor (Access Control List, (ISO 7816-15) Elements of Identities, Data Sets for IOP) Odvozeno z Odvozeno z ISO ISO 24727-2 24727-3SmartCard Forum 2008 27
  28. 28. Onom@Topic middleware APPLICATION LAYERSAL poskytuje standardnívysokoúrovňové aplikační SAL API závislé na jazykurozhraní, izoluje vývojáře MIDDLEWAREaplikací od technickýchdetailů čipových karet. SAL SERVICES ACCESS LAYER (SAL)vyžaduje IAS na čipové kartě CIL APICIL zajišťuje nezávislost na CARD INSTRUCTION LAYER (CIL)systému karty CTL APICTL zajišťuje nezávislost na CARD TRANSPORT LAYER (CTL)čtecím zařízení atransportním prostředí PC/SC, TCP/IP IFD 1 IFD 2 IFD 3 CARD CARD CARD Aplikace IAS podle CEN TC224/WG15 rezidentní na kartěSmartCard Forum 2008 28
  29. 29. Servisní vrstva SAL APPLICATION LAYER Servisní vrstva pracuje se seznamem aplikací na čipové kartě a poskytuje jejich služby klientským aplikacím. Rozhranní vrstvy je založeno na návrhu MIDDLEWARE standardu ISO/IEC CD 24727-3. Služby servisní vrstvy poskytují následující sady SERVICES ACCESS LAYER (SAL) funkcí: •Čtení seznamu aplikací •Čtení / aktualizace / vytváření / mazání identit •Čtení / aktualizace / vytváření / mazání CARD INSTRUCTION LAYER (CIL) kryptografických objektů •Čtení / aktualizace / vytváření / mazání množin datových objektů •Čtení přístupových omezení a podmínek pro CARD TRANSPORT LAYER (CTL) akce s danými entitami (zápis, čtení, použití) •Šifrování a dešifrování •Ověření podpisu a import veřejného klíče pro autentizaci IFD 1 IFD 2 IFD 3 •Elektronický podpis •Komplexní autentizační protokoly CARD CARD CARD •Bezpečná komunikace (Secure Messaging)SmartCard Forum 2008 29
  30. 30. Instrukční vrstva CIL APPLICATION LAYER CIL zajišťuje nezávislost na systému karty, maskuje rozdíly mezi jednotlivými typy karet kompatibilními k ISO 7816-4. Rozhraní instrukční MIDDLEWARE vrstvy jsou proprietární. CIL implementuje následující sady funkcí: SERVICES ACCESS LAYER (SAL) Souborové služby (změna adresáře, čtení parametrů souborů, čtení dat, zápis z/do souboru) CARD INSTRUCTION LAYER (CIL) Autentizační služby (ověření PIN, externí a interní autentizace) Kryptografické služby (šifrování, dešifrování, CARD TRANSPORT LAYER (CTL) elektronický podpis) Podpora zabezpečené komunikace (Secure messaging) IFD 1 IFD 2 IFD 3 CARD CARD CARDSmartCard Forum 2008 30
  31. 31. Transportní vrstva CTL, lokální a síťová CIL REQUESTSŘešení síťové CTL implementuje následující sadykomunikace v rámci funkcí:vrstvy CTL •Připojení karty •Zasílání příkazů CARD TRANSPORT LAYER (CTL) •Zpráva transakcí CARD TRANSPORT LAYER API •Čtení seznamu čteček •Čtení vlastností čtečky (motorová, PC/SC IFD NON PC/SC IFD REMOTE IFD PIN-pad, apod.) HANDLER HANDLER HANDLER •Čekání na události čteček (vložení a vyjmutí karty) TCP/IP PC/SC RESOURCE MANAGER REMOTE APPLICATION IFD HANDLER IFD 1 IFD 2 IFD 3 IFD 4 SmartCard Forum 2008 31
  32. 32. Realizace Secure Messaging APPLICATION LAYER Encipher / Decipher HSM Bezpečný kanál SM se realizuje na úrovni jednotlivých APDU callback příkazů podle ISO 7816-4. Pass Decipher response Vytvoření a použití Encipher data SAL persistentních i dočasných klíčů je ponecháno na aplikaci. Tento callback mechanismus umožňuje aplikaci Pass využít bezpečné zařízení (HSM, CIL – secures each relevant APDU SAM) pro použití klíčů prostřednictvím volání callback command response Secured Secured funkcí. Aplikace nepracuje s APDU, CTL používá vysokoúrovňové rozhraní SAL. MiddlewareSmartCard Forum 2008 32
  33. 33. Příklady užitíPro demonstraci a prokázání správnosti koncepcebyly v rámci projektu demonstrovány dvakomplexní případy užití UC1 a UC2, které integrujíinovativní technologie partnerů projektu:• čipovou kartu se systémem IAS• biometrickou autentizaci provedenou na kartě• bezpečné biometrické zařízení• vysokorychlostní bezkontaktní komunikaci VHDR• middleware kompatibilní k ECC• schéma pro interoperabilituV další prezentaci budou klíčové technologie demonstrovány na jednoduchém příkladuSmartCard Forum 2008 33
  34. 34. Zhodnocení mezinárodního projektuKlady• projekt mj. prokázal implementovatelnost koncepce ECC• všechny úkoly a cíle projektu byly týmem řešitele splněny• tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům• byly získány cenné kontakty, znalosti a dokumentaci v oblasti tvorby standardů• vývoj a výzkum přinesl nové znalosti a programové vybavení, které je základem pro komerční SW OKsmartZápory• vyšší náklady a nižší efektivita v mezinárodním týmu• závislost na plnění cílů partnerů projektuSmartCard Forum 2008 34
  35. 35. Cena Medea+ Board zanejlepší projekt roku2007Výbor MEDEA+ Board udělilběhem výročního zasedáníMEDEA+ Forum 2007v Budapešti cenu „Jean-PierreNoblanc Award for Excelence“za nejlepší projekt rokuprojektu Onom@Topic+.Tato cena byla slavnostněudělena před 350 delegáty ačleny výboru MEDEA+,reprezentujících špičkuevropských společnostív mikroelektronice. Je tohistoricky poprvé, kdy projektčipových karet obdržel tutocenu.SmartCard Forum 2008 35
  36. 36. Zhodnocení ECCECC je (pouze) technickou specifikací. Na vývoji standardů se aktivně podílí především Francie, Německo a ve 3. části ČR.ECC-2 je z hlediska interoperability čipové platformy krokem vpřed v porovnání s ISO 7816-4.ECC-3 tvoří „implementovatelnou“ podmnožinu standardu ISO 24727, díl 3 a 4, přesto vede na velmi komplexní middlewareECC-4 není dosud dokončeno, ale obsahuje cennou část Profiles for the ECCSmartCard Forum 2008 36
  37. 37. Dotazy a odpovědi Ivo Rosol ředitel vývojové divize OKsystem s.r.o. www.oksystem.cz rosol@oksystem.czSmartCard Forum 2008 37

×