Smart Cards & Devices Forum 2013 - Mobile financial servicesOKsystem
This document discusses mobile financial services and payments. It begins by outlining different types of mobile payments like in-shop, online, P2P, loyalty programs, and ticketing. It then discusses three emerging models for point of sale mobile payments: in the device, in the cloud, and hybrid approaches. Several companies adopting each model are described like PayPal, Google Wallet, and Square. The document also discusses new related services like offers, discounts, and social aspects. Finally, it provides an overview of Bitcoin, how the blockchain works, mining incentives, and challenges.
Smart Cards & Devices Forum 2013 - Cards going mobileOKsystem
Mobile payments are evolving in three key ways: 1) the role of mobile is expanding as phones and devices replace plastic cards; 2) implementation requires educating cardholders and merchants on new contactless and digital payment options; 3) convergence is occurring as payments integrate with other services in virtual wallets across devices. MasterCard is leading this change by enabling mobile wallets and partnerships to increase adoption through convenience and choice for consumers.
This document introduces Gemalto and their solution called Armored Office. It discusses how static passwords are no longer enough for security and compliance with regulations. Armored Office provides a solution for strong authentication and encryption to securely access networks and data from any device. It offers a single credential to log in to endpoints, access networks remotely, and encrypt files/emails. The target market is security-sensitive organizations for executives and users with access to sensitive information. It aims to protect data and enable secure access from any device while meeting compliance requirements.
Smart Cards & Devices Forum 2013 - Security on mobileOKsystem
The document discusses how mobile devices can be leveraged for strong identity authentication in a more convenient, secure, and cost-effective way than traditional authentication methods. It analyzes traditional authenticators like passwords, hardware and paper tokens, biometrics, smart cards, and PKI certificates. It then outlines how mobile devices, which are always with users and connected, can be provisioned with additional authenticators and used for multi-factor authentication for a variety of identity use cases including physical and logical access, VPN access, and cloud applications. The conclusion is that mobile represents the next generation of identity and authentication should leverage its capabilities.
Smart Cards & Devices Forum 2013 - Wi-fi protected setupOKsystem
The document summarizes Wi-Fi Protected Setup (WPS) and discusses vulnerabilities in its use of a static PIN for device authentication. It describes how WPS and similar Bluetooth protocols use bit commitment and splitting the PIN to enable mutual authentication, but how this opens them to online and offline brute force attacks. It then proposes a "Swamp Walk" approach for the access point to transition to after initial connection attempts to restore security by reintroducing exponential complexity to the PIN cracking problem.
Smart Cards & Devices Forum 2013 - [NFC@Telefonica CZ] Near Future CasesOKsystem
Telefónica Czech Republic has been a leader in NFC adoption, being the first to launch NFC-enabled transport payments in 2009 and merchant payments in 2013. They see the NFC SIM card as uniquely positioned to serve as a "one card to rule them all" for various use cases like payments, transportation, loyalty programs, IDs and access control due to its online and multi-application capabilities. Telefónica is developing a "SIM.me" identity service that stores personal information and credentials on the SIM, enabling it to securely authenticate users for remote services and authorize transactions like document signing through a mobile device.
Smart Card and Strong Cryptography for instant securityOKsystem
- OKsystem is a Prague-based software company with over 200 employees that provides cryptography and smart card solutions.
- They offer products like BABEL for encrypted messaging, OKsmart for smart card usage, and OKbase for key management, certificate management, and card management.
- Their solutions provide strong encryption using proven algorithms like AES and Diffie-Hellman to securely transmit and store encrypted messages and keys.
Smart Cards & Devices Forum 2013 - Mobile financial servicesOKsystem
This document discusses mobile financial services and payments. It begins by outlining different types of mobile payments like in-shop, online, P2P, loyalty programs, and ticketing. It then discusses three emerging models for point of sale mobile payments: in the device, in the cloud, and hybrid approaches. Several companies adopting each model are described like PayPal, Google Wallet, and Square. The document also discusses new related services like offers, discounts, and social aspects. Finally, it provides an overview of Bitcoin, how the blockchain works, mining incentives, and challenges.
Smart Cards & Devices Forum 2013 - Cards going mobileOKsystem
Mobile payments are evolving in three key ways: 1) the role of mobile is expanding as phones and devices replace plastic cards; 2) implementation requires educating cardholders and merchants on new contactless and digital payment options; 3) convergence is occurring as payments integrate with other services in virtual wallets across devices. MasterCard is leading this change by enabling mobile wallets and partnerships to increase adoption through convenience and choice for consumers.
This document introduces Gemalto and their solution called Armored Office. It discusses how static passwords are no longer enough for security and compliance with regulations. Armored Office provides a solution for strong authentication and encryption to securely access networks and data from any device. It offers a single credential to log in to endpoints, access networks remotely, and encrypt files/emails. The target market is security-sensitive organizations for executives and users with access to sensitive information. It aims to protect data and enable secure access from any device while meeting compliance requirements.
Smart Cards & Devices Forum 2013 - Security on mobileOKsystem
The document discusses how mobile devices can be leveraged for strong identity authentication in a more convenient, secure, and cost-effective way than traditional authentication methods. It analyzes traditional authenticators like passwords, hardware and paper tokens, biometrics, smart cards, and PKI certificates. It then outlines how mobile devices, which are always with users and connected, can be provisioned with additional authenticators and used for multi-factor authentication for a variety of identity use cases including physical and logical access, VPN access, and cloud applications. The conclusion is that mobile represents the next generation of identity and authentication should leverage its capabilities.
Smart Cards & Devices Forum 2013 - Wi-fi protected setupOKsystem
The document summarizes Wi-Fi Protected Setup (WPS) and discusses vulnerabilities in its use of a static PIN for device authentication. It describes how WPS and similar Bluetooth protocols use bit commitment and splitting the PIN to enable mutual authentication, but how this opens them to online and offline brute force attacks. It then proposes a "Swamp Walk" approach for the access point to transition to after initial connection attempts to restore security by reintroducing exponential complexity to the PIN cracking problem.
Smart Cards & Devices Forum 2013 - [NFC@Telefonica CZ] Near Future CasesOKsystem
Telefónica Czech Republic has been a leader in NFC adoption, being the first to launch NFC-enabled transport payments in 2009 and merchant payments in 2013. They see the NFC SIM card as uniquely positioned to serve as a "one card to rule them all" for various use cases like payments, transportation, loyalty programs, IDs and access control due to its online and multi-application capabilities. Telefónica is developing a "SIM.me" identity service that stores personal information and credentials on the SIM, enabling it to securely authenticate users for remote services and authorize transactions like document signing through a mobile device.
Smart Card and Strong Cryptography for instant securityOKsystem
- OKsystem is a Prague-based software company with over 200 employees that provides cryptography and smart card solutions.
- They offer products like BABEL for encrypted messaging, OKsmart for smart card usage, and OKbase for key management, certificate management, and card management.
- Their solutions provide strong encryption using proven algorithms like AES and Diffie-Hellman to securely transmit and store encrypted messages and keys.
Umíte efektivně spravovat požadavky (nejen) na IT služby?
SmartCard Forum 2008 - Identifikační čipové doklady
1. Spojujeme software, technologie a služby
Identifikační čipové doklady s biometrickými prvky
Technické řešení bezpečnosti
Ivo Rosol
ředitel vývojové divize, OKsystem s.r.o.
2. ID doklady s čipem
Technologie mikroprocesorových čipových karet
se standardně používá zejména v oblastech:
• SIM karet systému GSM
• platebních karet systému EMV
V současné době nastupuje plošná aplikace v
oblastech:
• cestovních a identifikačních dokladů
• fyzického a logického přístupu a zaručeného
elektronického podpisu
Workshop - normy pro identifikaci osob 2
3. Kontaktní vs. RF rozhraní
Pro cestovní a ID doklady se obvykle využívá RF
rozhraní. Důvodem je:
• zvýšení spolehlivosti
• jednoduchost obsluhy
• vyšší přenosová rychlost
Nevýhodou jsou nové bezpečnostní hrozby, které
se eliminují pomocí vhodně navržených
kryptografických technologií a schémat.
Workshop - normy pro identifikaci osob 3
4. RF komunikace u ID dokladů
ID doklady s RF přenosem nemají vlastní zdroj
energie, kterou musí čerpat z pole antény
čtecího zařízení. Tato energie sice pokrývá
spotřebu čipu, nestačí ale na aktivní vysílání.
Pro RF komunikaci se využívá standard ISO
14443, díl 1-4
Workshop - normy pro identifikaci osob 4
5. RF komunikace u ID dokladů
Pro napájení karet vysílá terminál nosný sinusový
signál o frekvenci 13,56 MHz, pole čtečky 1,5
A/m < H < 7,5 A/m.
Pro vysílání dat čtečkou na kartu jsou data
kódována modifikovanou Millerovou metodou,
výsledek je poté amplitudově modulován na
nosný signál s hloubkou modulace 100 %.
Rychlosti přenosu jsou 106, 212, 424 a 848
kbit/s
Workshop - normy pro identifikaci osob 5
6. RF komunikace u ID dokladů
Pro přenos dat z čipu do čtečky čip pasivně
„vysílá“ data s využitím zátěžové modulace.
Anténa čtečky a karty tvoří VF transformátor,
kde změny zátěže sekundárního okruhu (karty)
se promítají do primárního okruhu (čtečky) a
jsou interpretovány jako 0 a 1 „vysílané“ kartou.
Data jsou kódována metodou Manchester, a
modulována na zátěžovou subnosnou 848 kHz
Workshop - normy pro identifikaci osob 6
7. Útoky na RF komunikaci
Radiový přenos:
• komunikace s pasem (do 25 cm) – útok postrčením
• lze odposlouchávat relaci oprávněné čtečky (jednotky m)
• aktivní komunikace se čtečkou (desítky m)
• lze poznat, že v poli čtečky je pas, nikoli jiné RFID zařízení, neboť
lze vybrat aplikaci ICAO s kódem A0 00 00 02 47 10 01
Workshop - normy pro identifikaci osob 7
8. Útok na UID
ISO 14443 specifikuje antikolizní mechanismus pro výběr čipu v
elektromagnetickém poli čtečky na základě UID (jednoznačného
čísla čipu). Při inicializaci vyšle čtečka REQ. Každý čip v poli čtečky
v závislosti na hodnotě svého UID vysílá nebo naslouchá vysílání
ostatních. Čtečka může zvolit čip, se kterým chce komunikovat,
případně odeslat příkaz HALT.
Statické UID se běžně využívá v běžných RFID aplikacích (přístupové
systémy....). V případě e-pasů by ale mohlo vést k trasování pasu,
proto je nahrazeno dynamickým UID, které je konstantní pouze po
dobu relace.
UID pasivně „vysílá“ čip, ale aktivně jej zopakuje čtečka (odposlech 10
m)
Workshop - normy pro identifikaci osob 8
9. Kryptografické zabezpečení dokladů
Metoda P/V Výhoda Nevýhoda
PA P Autenticita LDS Neodstraňuje klonování a
substituci čipu
MRZ V Důkaz, že pasová knížka a Neodstraňuje současné
LDS patří k sobě kopírování LDS a pasové knížky
AA V Zabraňuje klonování a Vyžaduje kryptografický čip
výměně čipu
BAC V Zabraňuje neoprávněnému Vyžaduje kryptografický čip
čtení a odposlouchávání
komunikace mezi čipem a
oprávněným terminálem
EAC v Zabraňuje neoprávněnému Vyžaduje komplexní
přístupu k citlivým infrastrukturu PKI
biometrickým údajům
ENC V Zabezpečuje citlivé Vyžaduje komplexní správu klíčů
biometrickým údajům
Workshop - normy pro identifikaci osob 9
10. Objekty a klíče uložené na čipu
• MF
– DF-LDS
• KENC (klíč pro BAC, bezpečná paměť)
• KMAC (klíč pro BAC, bezpečná paměť)
• KPrAA (privátní klíč pro AA, bezpečná paměť)
• KPubCVCA(veřejný klíč NVA pro TA, bezpečná paměť)
• EF-COM (verze LDS, seznam DG)
• EF-SOD (otisky DG, podpis, CDS)
• EF-DG1 (MRZ)
• EF-DG2 (fotografie)
• EF-DG3 (otisky prstů)
• EF-DG14 (data pro autentizaci čipu v rámci EAC)
• EF-DG15 (data pro AA)
Workshop - normy pro identifikaci osob 10
11. BAC
Současný pas obsahuje osobní údaje (na datové
stránce, ve strojově čitelné zóně MRZ a na čipu
v DG1), a méně citlivé biometrické osobní údaje
(fotografie na datové stránce a na čipu v DG2),
které jsou přístupné i z jiných zdrojů.
Tyto méně citlivé údaje jsou chráněny základním
řízením přístupu BAC – Basic Access Control.
BAC zaručuje, že inspekční systém má fyzický
přístup k (otevřenému) pasu
Workshop - normy pro identifikaci osob 11
12. Údaje z MRZ pro BAC
číslo pasu datum narození konec platnosti
včetně výplně a kontrolní číslice a kontrolní číslice
a kontrolní číslice
Workshop - normy pro identifikaci osob 12
13. Odvození klíčů pro BAC
c=1 pro ENC
číslo pasu datum narození konec platnosti
c=2 pro MAC
Hash
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Ka Kb N/A
S pomocí Ka pro šifrování a Kb pro MAC se s využitím 3DES algoritmu
provede vzájemná autentizace, odvodí klíče relace pro SM a vytvoří SM
relace
Workshop - normy pro identifikaci osob 13
14. Slabiny BAC
• Symetrické klíče jsou odvozeny z dat MRZ,
nikoli z náhodného materiálu (seed)
• Struktura MRZ značně redukuje entropii
• je možný databázový („slovníkový“) útok
Protiopatření:
• používat náhodně generovaná čísla pasů
• používat alfanumerická čísla pasů
Workshop - normy pro identifikaci osob 14
15. Pasivní autentizace
Data uložená v čipu jsou kryptograficky
zabezpečena „elektronickým podpisem“
vydavatele pasu (DS - Document Signer)
uloženým SOD. Tento podpis je možné ověřit s
pomocí certifikátu DS, který vydává CSCA.
Pro každou datovou skupinu DGx se spočítá
hodnota otisku (hash) a uloží do objektu
LDSSecurityObject, který je součástí podepsané
CMS zprávy.
Workshop - normy pro identifikaci osob 15
16. Ověření PA
Pro české pasy se používá podpisové schéma
založené na RSA s délkou modulu DS 2048 bitů
a kódováním EMSA_PSS dle PKCS#1. Modul
klíče CSCA je 3072 bitů.
Certifikáty CSCA se vyměňují mezi státy s
využitím důvěryhodných diplomatických služeb.
Certifikáty DS jsou (nepovinně) uloženy v CMS
zprávě uvnitř SOD, nebo vym+ňovány
bilaterálně nebo publikovány v adresářových
službách ICAO.
Workshop - normy pro identifikaci osob 16
17. PKI pro PA
Země A (ČR) Bilater. výměna Země B
(MZv)
CSCA CVCA
MV NIMS
(NCA) (NVA)
STC DS DS DS
Cizinecká policie
IS IS IS
ICAO
PKD
Workshop - normy pro identifikaci osob 17
18. Útok klonováním čipu
Doklad chráněný pouze BAC a PA lze kompletně
zkopírovat, včetně SOD (klonování čipu).
• Ohrožení inspekčních systémů při klonování
čipů a například následné modifikaci fotografie
(JPEG 2000 buffer overrun)
• Zničení čipu v MV troubě a použití čipu
klonovaného z jiného pasu, nebo pouze vložení
RF čipové karty
Workshop - normy pro identifikaci osob 18
19. Aktivní autentizace
AA znemožňuje kompletní klonování čipu
• AA je založena na autentizaci čipu s využitím
podpisového schématu založeného na RSA podle ISO
9796-2. Klíče jsou vygenerovány při personalizaci,
soukromý klíč je uložen v bezpečné paměti čipu, veřejný
klíč je uložen v DG15 a chráněn Pasivní autentizací
• Operační systém čipu žádným způsobem neumožní
kopírovat soukromý klíč
Workshop - normy pro identifikaci osob 19
20. Aktivní autentizace
AA využívá protokol výzva-odpověď mezi čipem a IS:
• IS zašle čipu náhodně vygenerovanou výzvu V s
požadavkem na její podepsání privátním klíčem
• Čip vygeneruje náhodnou hodnotu U, spočítá otisk
h= SHA-1(V||U) a vrátí kryptogram s=RSA(h)
• IS ověří podpis pomocí veřejného klíče z DG15
Workshop - normy pro identifikaci osob 20
21. Přepojovací útok na AA
Při ponechání pasu v recepci hotelu lze kompletně
číst a zkopírovat obsah pasu.
S kopií pasu lze při překročení hranice provést
rellay attack – po BAC provést přesměrování z
falešného pasu na AA provedenou pasem na
recepci hotelu. K tomu se využije například IP
kanál a internet.
Workshop - normy pro identifikaci osob 21
22. Zneužití AA sémantikou výzvy
Pokud inspekční systém místo náhodné výzvy V
použije výzvu s nějakým významem, získá
„podpis“ čipu k této výzvě.
Například V=H(SignIS(MRZ||Datum||Čas||Místo))
čip vrátí SignICC(V||U), ověřitelný důkaz, že čip
(držitel pasu) byl v Datum:Čas v daném místě
Workshop - normy pro identifikaci osob 22
23. EAC – rozšířené řízení přístupu
Budoucí cestovní a identifikační doklady budou obsahovat novou
generaci bezpečnostního mechanismu, zejména v souvislosti se
zavedením otisků prstů.
• Pasy vydávané členskými státy EU po 28.6. 2009 (v ČR po 1.5.
2008) budou obsahovat velmi citlivé biometrické osobní údaje -
otisky prstů, které nejsou běžně dostupné z jiných zdrojů a budou
chráněny rozšířeným řízením přístupu EAC – Extended Access
control. Tato ochrana je podle rozhodnutí Evropské komise K (2005)
409 povinná a její řešení musí být v souladu s Nařízením Rady EU
č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v
cestovních dokladech vydávaných členskými státy (dále EAC)
• ICAO v současné době nemá formální standard pro EAC
• Evropská komise a ICAO odkazují na technickou zprávu TR-03110
německého BSI „Advanced Security Mechanism for Machine
Readable Travel Documents – Extended Access Control
• Členské státy přijmou společnou Certifikační politiku, kterou
vypracovala skupina EC - Article 6, BIG
Workshop - normy pro identifikaci osob 23
24. EAC
EAC – rozšířené řízení přístupu. EAC je využito
místo AA, používá kvalitnější klíče pro restart
SM, neumožňuje trasovat čip a řídí přístup k
DG3 případně DG4
EAC se skládá ze dvou pokročilých
kryptografických mechanismů:
• Autentizace čipu (pasu) a
• Autentizace Terminálu (Inspekčního systému)
Workshop - normy pro identifikaci osob 24
25. Autentizace čipu
• Alternativou k Aktivní autentizaci, zaručuje, že čip není
klonován (kopie kompletního datového obsahu čipu,
včetně podpisu SoD)
• Zabraňuje útoku formou sémantiky výzvy, která
umožňuje získat ověřitelné trasování pasu (kdy a kde se
vyskytoval uživatel pasu)
• Umožňuje vygenerovat SM klíče s vysokou entropií,
které nejsou odvozeny ze strojově čitelné zóny čipu
• Využívá algoritmus Diffie-Hellman (nebo ECDH) pro
určení symetrických klíčů unikátních pro tuto relaci
• Autenticita čipu je ověřena implicitně z faktu, že čip je
schopen využívat SM klíče, tudíž klíčový materiál použitý
pro DH nebo ECDH byl autentický
Workshop - normy pro identifikaci osob 25
26. Autentizace terminálu
• Využívá PKI pro autentizaci a autorizaci IS
• Založeno na protokolu výzva-odpověď
• Sémantika výzvy neznamená nebezpečí
• Veškerá komunikace probíhá v rámci bezpečné
komunikace založené na SM v módu Encrypt-
then-Authenticate a šifrovacích klíčích s
vysokou entropií (3DES2)
Workshop - normy pro identifikaci osob 26
27. PKI 2 pro EAC
Země A (ČR) Země B
CVCA Křížová certifikace CVCA
MV
(NVA) (NVA)
DV (VA) DV (VA) DV (VA) DV (VA)
IS IS IS IS IS IS IS IS
Cizinecká policie
Workshop - normy pro identifikaci osob 27
28. PKI pro EAC - CVCA
• Každá země zřizuje právě jednu Národní verifikační autoritu - CVCA
(Country Verifying Certification Authority)
• CVCA je kořenová certifikační autorita, může být součástí infrastruktury
CSCA, musí mít jiné klíčové páry než CSCA
• Tvoří singulární bod důvěry pro všechny pasy (MRTD) vydávané domácí
zemí (veřejný klíč CVCA uložen v DG14 chráněné PA)
• Vydává certifikáty pro Autority pro ověřování dokumentů (DV) ve vlastní
zemi i pro cizí země, tím umožňuje přístup k chráněným datům pasů pro
inspekční systémy
• Nastavuje na nejvyšší úrovni přístupová práva k chráněným údajům pasů
pro jednotlivé země
• Relativně často (vzhledem k životnosti pasu) mění svoje klíče (6 měsíců – 3
roky), k tomuto účelu vydává spojovací certifikáty (link certificate), které
umožní jednotlivým pasům aktualizovat si veřejný klíč CVCA
• CVCA může být provozována stejnou organizací jako CSCA – vydavatelem
cestovních dokladů (u nás MV)
Workshop - normy pro identifikaci osob 28
29. PKI pro EAC - DV
• Každá země, která chce číst chráněná data z pasů (domácích i ostatních
zemí) musí provozovat alespoň jednu VA - Verifikační autoritu – (DV -
Document Verifier)
• VA ve skutečnosti neprovádí ověřování pasů, ale je certifikační autoritou,
která vydává certifikáty pro inspekční systémy – IS
• VA je správcem domény inspekčních systémů ve své zemi, vydává jim
certifikáty umožňující přístup k chráněným údajům pasů
• VA je autorizován k vydávání certifikátů pro „své“ IS na základě certifikátu
od NVA
• VA musí požádat o certifikát od NVA každé země, jejíž pasy mají být
kontrolovány IS v doméně VA (například pro kontrolu německých pasů musí
česká VA požádat německou NVA o vydání certifikátu, který bude
opravňovat českou VA k vydání certifikátů pro české IS ke kontrole
německých pasů)
• Doba platnosti certifikátů VA je 14 dnů – 3 měsíce
• VA může omezit práva a dobu platnosti certifikátů pro své IS
• VA je typicky provozována organizací zodpovědnou za kontrolu cestovních
dokladů (u nás Policie ČR)
Workshop - normy pro identifikaci osob 29
30. PKI pro EAC - IS
• Inspekční systém dostává certifikáty pouze od
VA své země
• IS musí mít samostatný certifikát pro pasy každé
země, kterou kontroluje
• Certifikáty IS mají velmi krátkou dobu platnosti
(1 den až 1 měsíc) kvůli teoretické možnosti
krádeže IS
• IS provádí vlastní kontrolu pasů s využitím
Extended Access Control
Workshop - normy pro identifikaci osob 30
31. PKI pro EAC - certifikáty
• Všechny certifikáty v rámci EAC PKI (NVA, VA,
IS)musí být ověřitelné čipem pasu – CVC Card
Verifiable Certificate
• Všechny certifikáty v řetězu musí mít stejný
algoritmus elektronického podpisu, délky klíčů a
doménové parametry
• Spojovací certifikáty NVA umožňují měnit klíče,
případně další parametry podpisového
schématu
Workshop - normy pro identifikaci osob 31
32. Obsah certifikátu
Certifikáty jsou typu CVC, kódovány metodou TLV
(Tag-Length-Value)
Data obsažená v certifikátu:
• Označení certifikační autority
• Veřejný klíč
• Označení držitele
• Autorizace držitele
• Efektivní datum certifikátu (od:)
• Datum konce platnosti certifikátu (do:)
• „Podpis“ certifikační autority
Workshop - normy pro identifikaci osob 32
33. Doby platnosti certifikátů
Subjekt Minimum Maximum
CVCA certificate – 6 měsíců 3 roky
osvědčení
vnitrostátního
kontrolního subjektu
DV certificate – 2 týdny 3 měsíce
osvědčení subjektu
ověřujícího platnost
dokladů
IS certificate – 1 den 1 měsíc
osvědčení kontrolního
systému
Workshop - normy pro identifikaci osob 33
34. Ověřování certifikátů
• IS musí zaslat čipu řetěz certifikátů, který začíná
spojovacími certifikáty, certifikátem VA a končí
certifikátem IS
• Čip si musí interně aktualizovat klíče NVA na
základě spojovacích certifikátů
• Čip musí odmítnout certifikáty po době platnosti.
Čip nemá hodiny reálného času, používá odhad
času, který si aktualizuje při každé hraniční
kontrole na nejvyšší efektivní datum ověřených
certifikátů NVA, VA a domovských IS.
Workshop - normy pro identifikaci osob 34
35. Kódování přístupových práv
76 543210
Všechny ------
xx Role
certifikáty NVA
11 ------
obsahuji
Certificate ------
10 VA domácí
Holder
01 ------ VA cizí
Authorisation: IS
00 ------
-- xxxxxx
11000011 – NVA
Práva
01000011 – 0000--
-- DV rezervováno
00000001 – IS duhovka
-- ----1-
00000001 efektivní práva
-- -----1 Otisk prstu
Workshop - normy pro identifikaci osob 35
36. Spojovací certifikát
Spojovací certifikát (Link certificate) umožňuje:
• Přenos důvěry od původního veřejného klíče
CVCA k novému klíči
• Změnu algoritmů, délek klíčů a parametrů
Principiálně osvědčuje původním soukromým
klíčem nový veřejný klíč v certifikátu.
Workshop - normy pro identifikaci osob 36
37. Interoperabilita vyžaduje testy
Probíhají mezinárodní testy konformity čipů a OS,
testy křížové interoperability čipů + OS a čteček
(IS) a testy interoperability PKI pro EAC.
Praha bude hostit 7. – 12. 9. 2008 celosvětovou
akci pořádanou MV ČR – testy, konferenci a
výstavu technologií a služeb pro cestovní
doklady , viz http://www.e-passports2008.org
Workshop - normy pro identifikaci osob 37
38. Závěr
Cestovní doklady s čipem a biometrickými doklady jsou
nejen novou, velmi významnou aplikací, ale současně i
celosvětovou „laboratoří“, která přináší velký pokrok ve
vývoji čipové technologie, aplikované kryptografie, tvorby
standardů a testů.
Zprovoznění celé infrastruktury pro cestovní doklady a EAC
je dosud bezprecedentní celosvětovou implementací PKI
a zdá se, že cestovní a budoucí identifikační doklady
jsou onou dlouho očekávanou „killer application“,
nezbytnou pro rozvoj dalších identifikačních a
autorizačních čipových dokladů, PKI a infrastruktury pro
e-government.
Workshop - normy pro identifikaci osob 38
39. Dotazy a odpovědi
Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
www.oksystem.cz
rosol@oksystem.cz
Workshop - normy pro identifikaci osob 39