Docstoc

PowerPoint prezentace _1 MB_ - Onom_Topic+ platforma pro evropskou

Document Sample
PowerPoint prezentace _1 MB_ - Onom_Topic+ platforma pro evropskou Powered By Docstoc
					platforma pro evropskou „občanku“

                    OKsystem s.r.o.
                   www.oksystem.cz
    Ing. Ivo Rosol, CSc.      Ing. Vítězslav Vacek
    ředitel divize služeb     vedoucí projektu
    rosol@oksystem.cz         bezpečnosti
                              vacek@oksystem.cz
               2A302                 European Smart Card Platform for Citizenship
                                         and Mobile Multimedia Applications



 Project objectives                                                 Project structure
                                                                     Split in 2 sub-projects and 9 work packages
 Two directions are targeted
                                                                     sub-project A : European Citizen Card
  provide a complete technical platform
                                                                     sub-project B : Mobile Multi Media
 enabling the European Governments to issue
                                                                     WP1 : Management and dissemination
 interoperable e-identity documents                                  WP2 : Use cases
                                                                     WP3 : Architecture
  develop a complete HW and embedded SW                             WP4 : Specifications
 platform taking full profit of the enormous                         WP5 : Infrastructure and interfaces
                                                                     WP6 : Biometrics
 potentialities offered by the development of                        WP7 : Platform development
 premium Mobile Services                                             WP8 : Tools and methodology
                                                                     WP9 : Demonstrators


Duration :    Q2-2005 to Q4-2007
Manpower : 305 man.year
Countries :   Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands
         Komunikace s čipovou kartou
Komunikační protokoly - kontaktní ISO 7816-3, USB ISO 7816-12, bezkontaktní (RF)
ISO 14443 A/B + NFC + VHDR v Onom@topic+

Aplikační protokol ISO 7816-4,8 (APDU)

                              1. APDU (Command)


                              2. APDU (Response)
     Stav techniky a standardizace v
          průběhu projektu 1/2
Základní standardy v oblasti čipových karet (ISO 7816)
  existují řadu let, ale nezaručují plnou kompatibilitu
  na aplikační úrovni a využívají poměrně archaický
  aplikační protokol (APDU)
Rozvíjí se bezkontaktní komunikace, důležité aplikace
  vyžadují vyšší přenosovou rychlost a vyšší bezpečnost
  (dodatky k standardu ISO 14443 až 848kb/s, VHDR
  1.7, 3.4 a 5.1Mb/s, specifikace EAC pro ICAO)
     Stav techniky a standardizace v
          průběhu projektu 2/2
 Potřeba lépe definovaných služeb čipové karty
  (povinné APDU, povinné autentizační protokoly,
  eliminace chování závislých na implementaci) –
  tvorba evropského standardu ECC (CEN TC224
  WG15)
 Neexistující standard pro middleware, pouze
  technické specifikace (zejména) obecných
  kryptografických rozhraní (PKCS#11, MS CAPI,
  JCA) – tvorba mezinárodního standardu ISO/IEC
  24727
        Hlavní východiska projektu

V rámci Evropy:
 Definované služby (na vyšší úrovni) čipové platformy
   jsou Identifikace, Autentizace a digitální podpis
   (Signature) – IAS podle ECC-2.
 Tyto služby musí být jednoduchým, otevřeným a
   interoperabilním způsobem dostupné klientským
   aplikacím (zajišťuje middleware podle ECC-3)
 Měla by být zachována širší mezinárodní
   interoperabilita na základě definice rozumné
   implementace ISO 24727 (ECC-3 podmnožina ISO)
 Identifikace, autentizace, ePodpis (IAS)


IAS jako základ pro elektronickou administrativu vzešel
  z iniciativy eEurope Smart Card Charter (eESC, v
  rámci akčního plánu EU eEurope)
IAS se stal základem European Citizen Card - čtyřdílný
  standard vytvářeném v rámci CEN
  Evropské standardizační organizace

CEN – European Committee for
  Standardisation

CENELEC - European Committee for
  Electrotechnical Standardisation

ETSI – European Telecomunications Standards
  Institute

CEN a ISO uzavřeli Vídeňskou dohodu o
  spolupráci (30% standardů v tomto režimu)
                          CEN
CEN charakterizuje
 30 národních členů (ČNI za ČR)
 více než 60.000 expertů
 vydal více než 10.000 evropských standardů
 náklady 800 milionů EUR jsou z 80% kryty společnostmi
  poskytující experty

CEN vytváří:
 evropské standardy – EN
 technické specifikace – TS
 informativní technické zprávy – TR
 pracovní specifikace – CWA
Práce CEN probíhá v technických výborech
         Technický výbor CEN/TC 224

CEN/TC 224 Machine readable cards, related device
  interfaces and operations

CEN/TS 15480-1 Identification card systems – European Citizen Card –
  Part 1: Physical, electrical and transport protocol characteristics
CEN/TS 15480-2 Identification card systems – European Citizen Card –
  Part 2: Logical data structures and card services
CEN/TS 15480-3 Identification card systems – European Citizen Card –
  Part 3: ECC interoperability using an application interface
CEN/TS 15480-4 Identification card systems – European Citizen Card –
  Part 4: Reccomendation for ECC issuance, operation and use
                Definice ECC

ECC je personalizovaná čipová karta formátu ID-
  1 s kontaktním rozhraním ISO 7816-3 (12)
  nebo bezkontaktním rozhraním ISO/IEC
  14443.
ECC podporuje služby IAS (Identification,
  Authentication, Signature) na základě CEN/TS
  15480-2
        Fyzické specifikace ECC 1/2

ECC musí:
 integrovat čipový modul pracující v kontaktním režimu
  podle ISO 7816 a podle ISO 14443, pokud bude
  pracovat v bezkontaktním režimu
 obsahovat administrativní údaje držitele (jména...)
 obsahovat černobílou nebo barevnou fotografii a
  podpis držitele
 obsahovat MRZ podle doporučení ICAO 9303-1
 obsahovat fyzické bezpečnostní elementy alespoň třídy
  1 a 2 (3 a 4 doporučeny na národním základě)
       Fyzické specifikace ECC 2/2

Materiál těla karty není předepsán, musí být
 kompatibilní s kontaktní, bezkontaktní a
 personalizační technologií
Biografická data na lícové straně by měla být
 personalizována do materiálu těla karty
Podtisk by měl obsahovat guilloches, duhový
 tisk, UV fluorescentní prvky, OVI a mikrotisk
 nebo srovnatelnou technologii na datové
 straně
   Lícová strana ECC



 Vlajka         Název dokumentu        Země


             Údaje o držiteli
             Administrativní údaje
Fotografie

                                     Bezp.
                                     prvek OVF

  Podpis držitele
Rubová strana ECC



     Popis fixních polí na lícové straně

čip ISO 7816
                          Podpis vydavatele

               Adresa pro zaslání ztracené karty



      Strojově čitelná zóna (Doc 9303 - 3)
                  Funkce ECC

 vizuální i elektronická identifikace a autentizace
  držitele s využitím referenčních dat uložených na
  kartě
 oboustranná autentizace mezi kartou a
  terminálem, pokud požaduje aplikace
 bezpečný přenos dat pomocí kontaktního a
  volitelně bezkontaktního rozhraní
 generování elektronického podpisu
 mechanismus řízení přístupu k uloženým datům
 multiaplikační podpora
            Interoperabilita ECC

Elektronická interoperabilita ECC je dosažena ve
  3 vrstvách:
společná sada příkazů a datových struktur
  (CEN/TS 15480-2)
middleware API (CEN/TS 15480-3)
definice profilů ECC (CEN/TS 15480-4)
Operační systém čipové karty ECC


         Onom@topic IAS
    Onom@topic - operační systém

Aplikace IAS rezidentní na čipové kartě tvoří
  operační systém čipové platformy
  Onom@topic+.
Aplikace vychází z publikovaného standardu
  CEN/TS 15480-2.
       Základní komponenty IAS

Hierarchický souborový systém podle ISO
 7816-4
Bezpečnostní architektura a služby
Příkazová sada
          Souborový systém IAS

Fixní počet DF a EF
Implementace pomocí 3 polí - directory list
 array, file list array, data blocks array
Typy EF: Transparent, Linear fixed, Linear
 Variable, Cyclic
Operace v systému souborů: inicializace,
 vytvoření MF, vytvoření DF, vytvoření EF,
 smazání DF, smazání EF
         Bezpečnostní služby IAS

Symetric Device Authentication
Secure Messaging
Digital Signature
Client/Server Authentication
Encryption Key Decipherment
Card Verifiable Certificate Verification
Key Transport Protocol
              Příkazová sada IAS

 Sada příkazů pro souborový systém
   CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ
    RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE
    FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF,
    DELETE EF
 Sada příkazů pro bezpečnostní služby
   GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL
    AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL
    AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET
    RETRY COUNTER, MANAGE SECURITY ENVIRONMENT,
    PERFORM SECURITY OPERATION
 Sada příkazů pro komunikaci
   GET RESPONSE
Software pro interoperabilitu

     Onom@topic middleware
   Návrh ISO standardů pro middleware

ISO/IEC FDIS 24727-1 Identification cards -- Integrated
  circuit card programming interfaces -- Part 1:
  Architecture
ISO/IEC FCD 24727-2 Identification cards -- Integrated
  circuit card programming interfaces -- Part 2: Generic
  card interface
ISO/IEC CD 24727-3 Identification cards -- Integrated
  circuit card programming interfaces -- Part 3:
  Application interface
ISO/IEC NP 24727-4 Identification Cards -- Programming
  Interfaces for Integrated Circuit Cards -- Part 4: API
  administration
ISO/IEC NP 24727-5 Identification Cards -- Programming
  Interfaces for Integrated Circuit Cards -- Part 5: Testing
      ISO/IEC FDIS 24727-1 – architektura

                                                                             Odvozeno z
Poskytovatel 1                      Externí aplikace                         ISO 24727-3

                                                                  Aplikační rozhraní (API)
Poskytovatel 2                 Service Access Layer (SAL)
                                   -                                           Odvozeno z ISO
                                                                                  24727-2
                                                                Generické rozhraní (GCE)
Poskytovatel 3             Generic Card Access Layer (GCAL)

                                                               Rozhraní čipové karty (HCE)
Poskytovatel 4                 Aplikace rezidentní na                          Odvozeno z CEN
                                       kartě                           ICC    TC224 WG15 spec.
     EF.DIR

                                                Discovery data               DF.CIA
    Application Capabilities Descriptor      (Access Control List,        (ISO 7816-15)
                                            Elements of Identities,
                     Odvozeno z               Data Sets for IOP)             Odvozeno z ISO
                     ISO 24727-2                                                24727-3
  Hlavní cíle Onom@topic middleware

Kompatibilita s ISO 24727
Podpora biometrické autentizace a biometrických
zařízení
Možnost síťové komunikace s čipovou kartou
Podpora šifrované komunikace s čipovou kartou (secure
messaging)
Podpora vysokorychlostních bezkontaktních zařízení
(VHDR)
Maximální využití existujících standardů (ISO 7816-15)
                                  Servisní vrstva SAL
                                                       Služby připojení
                                                          Navázání/rušení spojení
             APPLICATION LAYER
                                                       Aplikační služby
                                          MIDDLEWARE      Seznam aplikací, vytváření aplikací
        SERVICES ACCESS LAYER (SAL)                    Služby datových objektů
                                                          Čtení, zápis, vytváření, mazání
        CARD INSTRUCTION LAYER (CIL)                   Kryptografické služby
                                                          Šifrování, dešifrování, hash, podpis,
        CARD TRANSPORT LAYER (CTL)
                                                          ověření podpisu, náhodná čísla
                                                       Služby diferenciální identit
IFD 1         IFD 2                    IFD 3
                                                          Čtení seznamu identit, vytváření,
CARD         CARD                      CARD
                                                          mazání identit
                                                       Autorizační služby
                                                          Čtení přístupových práv
                                 Instrukční vrstva CIL

             APPLICATION LAYER                         Zajišťuje nezávislost na
                                          MIDDLEWARE
                                                       konkrétním typu čipové karty
        SERVICES ACCESS LAYER (SAL)
                                                       Volání CIL vrstvy přestavují
                                                       jakési virtuální instrukce které se
        CARD INSTRUCTION LAYER (CIL)
                                                       přeloží do řeči dané karty
        CARD TRANSPORT LAYER (CTL)
                                                       Poskytované služby:
                                                          Služby souborového systému
                                                          Autentizační služby
IFD 1         IFD 2                    IFD 3
                                                          Kryptografické služby
CARD         CARD                      CARD
                                                          Služby zabezpečené komunikace
                                            Transportní vrstva CTL

                                                                          Zajišťuje přenos APDU příkazů do
                             CIL REQUESTS
                                                                          čipové karty
                                                                          Rozšiřuje PC/SC o podporu
                                            CARD TRANSPORT LAYER (CTL)       Biometrických čteček
              CARD TRANSPORT LAYER API                                       Síťové komunikace
                                                                             Vysokorychlostních bezkontaktních
  PC/SC IFD
  HANDLER
                    NON PC/SC IFD
                      HANDLER
                                                      REMOTE IFD
                                                       HANDLER               zařízení
                                                                          Poskytované služby:
                                                             TCP/IP




    PC/SC
  RESOURCE
  MANAGER                                                                    Čtení seznamu čteček
                                                     REMOTE APPLICATION
                                                                             Navázání/rušení spojení
IFD 1    IFD 2       IFD 3
                                                     IFD HANDLER
                                                                             Čekání na události
                                                                             Biometrické operace
                                                     IFD 4
                                                                          Tato architektura byla převzata do
                                                                          ISO 24727-4
               Realizace šifrované komunikace

                                                                            Umožňuje aplikaci uchovávat
                                           KENC
                HSM
                                           KMAC



                                         Callback
                                                                            klíče v bezpečném úložišti
                                                                            Aplikace není nucena sdílet
                Application
                                         functions

     Trusted
                                    Request for APDU
environment     Plain data             encryption
                                                                            klíče s middleware
                   Service Access Layer (SAL)
                                                                            Šifrování probíhá na úrovni
                   Card Instruction Layer (CIL)


                             CTL Proxy
                                                        Encryption keys
                                                       never leave secure   APDU příkazů, přesto aplikace
                                                            storage

                        Secured APDUs
                                                                            nemusí znát jejich strukturu
                              Network
                                                                            Middleware žádá aplikaci o
   Untrusted
 environment
                                                                            zašifrování/dešifrování dat
                             CTL Broaker
      Demonstrátor Rousset, Francie
Pro demonstraci a prokázání správnosti koncepce byly v rámci
projektu demonstrovány dva komplexní příklady použití
middleware, které integrují inovativní technologie partnerů
projektu:

 Čipovou kartu se systémem IAS (Gemalto, Oberthur)
 Biometrickou autentizaci provedenou na kartě (Precise
  Biometrics)
 Bezpečné biometrické zařízení (ID3, Precise Biometrics)
 Vysokorychlostní bezkontaktní komunikaci VHDR (CEA Leti,
  NXP)
 Middleware kompatibilní s ISO 24727 (OKsystem)
 Systém ověření identity uživatele (Safelayer)
 Síťová komunikace, ActiveX (Compuworx)
   Zhodnocení mezinárodního projektu

Klady
 Všechny úkoly a cíle projektu byly týmem řešitele splněny
 Tým řešitele získal respekt u partnerů projektu a byl přizván
   k dalším mezinárodním projektům
 Byly získány cenné kontakty, znalosti a zkušenosti v oblasti
   tvorby mezinárodních standardů
 Vývoj a výzkum přinesl nové technologie a architekturu,
   která je základem pro komerční produkt OKsmart
Zápory
 Vyšší náklady a nižší efektivita v mezinárodním týmu
 Závislost na plnění cílů partnerů projektu
Cena Medea+ Board za nejlepší projekt roku 2007

Výbor MEDEA+ Board udělil
během výročního zasedání
MEDEA+ Forum 2007
v Budapešti cenu „Jean-Pierre
Noblanc Award for Excelence“ za
nejlepší projekt roku projektu
Onom@topic+.
Tato cena byla slavnostně
udělena před 350 delegáty a
členy výboru MEDEA+,
reprezentujících špičku
evropských společností
v mikroelektronice. Je to
historicky poprvé, kdy projekt
čipových karet obdržel tuto
cenu.

				
DOCUMENT INFO
Shared By:
Categories:
Stats:
views:5
posted:6/5/2010
language:Czech
pages:34