Umíte efektivně spravovat požadavky (nejen) na IT služby?
SmartCard Forum 2008 - Čipová platforma pro evropské identifikační doklady
1. Spojujeme software, technologie a služby
Čipová platforma pro evropské identifikační doklady
Výsledky projektu výzkumu a vývoje Onom@topic
Ivo Rosol
ředitel vývojové divize, OKsystem s.r.o.
2. Kategorizace čipových karet
Podle inteligence
• Paměťové karty s jednoduchou logikou
• Mikroprocesorové (smart) karty
Podle komunikačního rozhraní
• Kontaktní rozhraní ISO 7816-3
• Kontakní USB rozhraní ISO 7816-12
• Bezkontaktní RF rozhraní na krátkou vzdálenost: ISO
14443-1 až 4
Podle instrukční sady (APDU)
• S pevnou instrukční sadou (podpora ISO 7816-4)
• Programovatelné, s aplikačně závislou instrukční sadou
(Java Card)
Podle podpory kryptografie
• S podporou symetrické kryptografie (DES, 3DES, AES)
• S podporou RSA nebo ECC
SmartCard Forum 2008 2
3. Komunikace s čipovou kartou
Komunikace dvou počítačů s odlišným technickým vybavením a operačním
systémem. Komunikace je realizována na základě aplikačního protokolu pro
mikroprocesorové čipové karty (ISO 7816 – 4, APDU).
Aplikační protokol je přenášen prostřednictvím kontaktního rozhraní (ISO
7816-3), USB rozhraní (ISO 7816-12) nebo RF rozhraní (ISO 14443) čipové
karty.
Aplikace na straně počítače Aplikace na straně karty
1. APDU (Command)
2. APDU (Response)
SmartCard Forum 2008 3
4. Stav techniky a standardizace 1/2
Základní standardy v oblasti čipových karet (ISO
7816) existují řadu let, ale nezaručují plnou
kompatibilitu na aplikační úrovni a využívají
poměrně archaický aplikační protokol (APDU)
Rozvíjí se bezkontaktní komunikace, důležité
aplikace vyžadují vyšší přenosovou rychlost a
vyšší bezpečnost (standard ISO 14443 až
848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace
EAC pro ICAO)
SmartCard Forum 2008 4
5. Stav techniky a standardizace 2/2
• Potřeba lépe definovaných služeb čipové karty
(povinné APDU, povinné autentizační protokoly,
eliminace chování závislých na implementaci) –
tvorba evropského standardu ECC (CEN TC224
WG15)
• Neexistující standard pro middleware, pouze
technické specifikace (zejména) obecných
kryptografických rozhraní (PKCS#11, MS CAPI,
JCA) – tvorba mezinárodního standardu
ISO/IEC 24727
SmartCard Forum 2008 5
6. Identifikace, autentizace, ePodpis (IAS)
IAS jako základ pro elektronickou administrativu
vzešel z iniciativy eEurope Smart Card Charter
(eESC, v rámci akčního plánu EU eEurope)
IAS se stal základem European Citizen Card -
čtyřdílný standard vytvářeném v rámci CEN
SmartCard Forum 2008 6
7. Definice ECC
ECC je personalizovaná čipová karta formátu ID-1
s kontaktním rozhraním ISO 7816-3 (12) nebo
bezkontaktním rozhraním ISO/IEC 14443.
ECC podporuje služby IAS (Identification,
Authentication, Signature)
Specifikaci ECC vytváří CEN
SmartCard Forum 2008 7
8. CEN- European Committee for Standardisation
CEN charakterizuje
• 30 národních členů (ČNI za ČR)
• více než 60.000 expertů
• vydal více než 10.000 evropských standardů
• náklady 800 milionů EUR jsou z 80% kryty
společnostmi poskytující experty
CEN vytváří:
• evropské standardy – EN
• technické specifikace – TS
• informativní technické zprávy – TR
• pracovní specifikace – CWA
Práce CEN probíhá v technických výborech
SmartCard Forum 2008 8
9. Technický výbor CEN/TC 224
CEN/TC 224 Machine readable cards, related
device interfaces and operations, WG15 - ECC
ECC hardware:
CEN/TS 15480-1 Identification card systems – European Citizen Card
– Part 1: Physical, electrical and transport protocol
characteristics
ECC IAS:
CEN/TS 15480-2 Identification card systems – European Citizen Card
– Part 2: Logical data structures and card services
ECC IOP middleware:
CEN/TS 15480-3 Identification card systems – European Citizen Card
– Part 3: ECC interoperability using an application interface
ECC profiles:
CEN/TS 15480-4 Identification card systems – European Citizen Card
– Part 4: Recommendation for ECC issuance, operation and
use
SmartCard Forum 2008 9
10. Fyzické specifikace ECC 1/2
ECC musí:
• integrovat čipový modul pracující v kontaktním
režimu podle ISO 7816 a podle ISO 14443,
pokud bude pracovat v bezkontaktním režimu
• obsahovat administrativní údaje držitele
(jména...)
• obsahovat černobílou nebo barevnou fotografii a
podpis držitele
• obsahovat MRZ podle doporučení ICAO 9303-1
• obsahovat fyzické bezpečnostní elementy
alespoň třídy 1 a 2 (3 a 4 doporučeny na
národním základě)
SmartCard Forum 2008 10
11. Fyzické specifikace ECC 2/2
Materiál těla karty není předepsán, musí být
kompatibilní s kontaktní, bezkontaktní a
personalizační technologií
Biografická data na lícové straně by měla být
personalizována do materiálu těla karty
Podtisk by měl obsahovat guilloches, duhový tisk,
UV fluorescentní prvky, OVI a mikrotisk nebo
srovnatelnou technologii na datové straně
SmartCard Forum 2008 11
12. Lícová strana ECC
Vlajka Název dokumentu Země
Údaje o držiteli
Administrativní údaje
Fotografie
Bezp.
prvek OVF
Podpis držitele
SmartCard Forum 2008 12
13. Rubová strana ECC
Popis fixních polí na lícové straně
čip ISO 7816
Podpis vydavatele
Adresa pro zaslání ztracené karty
Strojově čitelná zóna (Doc 9303 - 3)
SmartCard Forum 2008 13
14. Funkce ECC
• vizuální i elektronická identifikace a autentizace
držitele s využitím referenčních dat uložených na
kartě
• oboustranná autentizace mezi kartou a
terminálem, pokud požaduje aplikace
• bezpečný přenos dat pomocí kontaktního a
volitelně bezkontaktního rozhraní
• generování elektronického podpisu
• mechanismus řízení přístupu k uloženým datům
• multiaplikační podpora
SmartCard Forum 2008 14
15. Interoperabilita ECC
Elektronická interoperabilita ECC je dosažena ve 3
vrstvách:
• společná sada příkazů a datových struktur
(CEN/TS 15480-2)
• middleware API (CEN/TS 15480-3)
• definice profilů ECC (CEN/TS 15480-4)
SmartCard Forum 2008 15
16. Projekt V&V Onom@topic+
Cílem projektu byl návrh a vývoj kompletní
HW/SW čipové platformy, která umožní
evropským zemím vydávat interoperabilní čipové
dokumenty pro elektronickou identifikaci,
autentizaci, zaručený elektronický podpis a pro
přístup k elektronickým službám.
Projekt současně prakticky ověřil koncepci ECC.
SmartCard Forum 2008 16
17. 2A302 European Smart Card Platform for Citizenship
and Mobile Multimedia Applications
Project structure
Project objectives Split in 2 sub-projects and 9 work packages
Two directions are targeted
sub-project A : European Citizen Card
sub-project B : Mobile Multi Media
provide a complete technical platform WP1 : Management and dissemination
enabling the European Governments to issue WP2 : Use cases
interoperable e-identity documents WP3 : Architecture
WP4 : Specifications
WP5 : Infrastructure and interfaces
develop a complete HW and embedded SW
platform taking full profit of the enormous WP6 : Biometrics
potentialities offered by the development of WP7 : Platform development
premium Mobile Services WP8 : Tools and methodology
WP9 : Demonstrators
Duration : Q2-2005 to Q4-2007
Manpower : 305 man.year
Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands
Partners:
SmartCard Forum 2008 17
18. Hlavní východiska projektu
V rámci Evropy:
• Definované služby (na vyšší úrovni) čipové
platformy jsou Identifikace, Autentizace a
elektronický podpis (Signature) – IAS podle
ECC-2.
• Tyto služby musí být jednoduchým, otevřeným a
interoperabilním způsobem dostupné klientským
aplikacím (zajišťuje middleware podle ECC-3)
• Měla by být zachována širší mezinárodní
interoperabilita na základě definice rozumné
implementace ISO 24727 (ECC-3 podmnožina
ISO)
SmartCard Forum 2008 18
19. Spojujeme software, technologie a služby
Operační systém čipové karty ECC
Onom@Topic IAS
Ivo Rosol
ředitel vývojové divize, OKsystem s.r.o.
20. Onom@topic - operační systém
Aplikace IAS rezidentní na čipové kartě tvoří
operační systém čipové platformy
Onom@Topic+.
Aplikace vychází z publikovaného standardu
CEN/TS 15480-2.
SmartCard Forum 2008 20
21. Základní komponenty IAS
• Hierarchický souborový systém podle ISO 7816-
4
• Bezpečnostní architektura a služby
• Příkazová sada
SmartCard Forum 2008 21
22. Souborový systém IAS
• Implementace FS pomocí komponent:
• root structure
• application directory list array
• directory list array
• file list array
• data blocks array
• free space stricture
• Typy EF: Transparent, Linear fixed
• Operace v systému souborů: inicializace,
vytvoření MF, vytvoření DF, vytvoření EF,
smazání DF, smazání EF
SmartCard Forum 2008 22
23. Bezpečnostní služby IAS
• Symetric Device Authentication
• Secure Messaging
• Digital Signature
• Client/Server Authentication
• Encryption Key Decipherment
• Card Verifiable Certificate Verification
• Key Transport Protocol
SmartCard Forum 2008 23
24. Příkazová sada IAS
• Sada příkazů pro souborový systém
– CREATE FILE, SELECT, READ BINARY, UPDATE
BINARY, READ RECORD, UPDATE RECORD,
APPEND RECORD, ACTIVATE FILE, DEACTIVATE
FILE, TERMINATE DF, TERMINATE EF, DELETE EF
• Sada příkazů pro bezpečnostní služby
– GENERATE ASYMETRIC KEY PAIR, GET
CHALLEGE, INTERNAL AUTHENTICATE,
EXTERNAL AUTHENTICATE, MUTUAL
AUTHENTICATE, VERIFY, CHANGE REFERENCE
DATA, RESET RETRY COUNTER, MANAGE
SECURITY ENVIRONMENT, PERFORM SECURITY
OPERATION
• Sada příkazů pro komunikaci
– GET RESPONSE
SmartCard Forum 2008 24
25. Spojujeme software, technologie a služby
Software pro interoperabilitu
Onom@Topic middleware
Ivo Rosol
ředitel vývojové divize, OKsystem s.r.o.
26. Návrh ISO standardů pro middleware
ISO/IEC FDIS 24727-1 Identification cards --
Integrated circuit card programming interfaces --
Part 1: Architecture
ISO/IEC FCD 24727-2 Identification cards --
Integrated circuit card programming interfaces --
Part 2: Generic card interface
ISO/IEC CD 24727-3 Identification cards --
Integrated circuit card programming interfaces --
Part 3: Application interface
ISO/IEC NP 24727-4 Identification Cards --
Programming Interfaces for Integrated Circuit
Cards -- Part 4: API administration
ISO/IEC NP 24727-5 Identification Cards --
Programming Interfaces for Integrated Circuit
Cards -- Part 5: Testing
SmartCard Forum 2008 26
27. ISO/IEC FDIS 24727-1 – architektura
Odvozeno z
Poskytovatel 1 Externí aplikace ISO 24727-3
Aplikační rozhraní (API)
Poskytovatel 2 Service Access Layer (SAL)
- Odvozeno z ISO
24727-3
Generické rozhraní (GCE)
Poskytovatel 3 Generic Card Access Layer (GCAL) Odvozeno z ISO
24727-2
Rozhraní čipové karty (HCE)
Poskytovatel 4 Aplikace rezidentní na Odvozeno z CEN
kartě ICC TC224 WG15 spec.
EF.DIR
Recoverable data DF.CIA
Application Capabilities Descriptor (Access Control List, (ISO 7816-15)
Elements of Identities,
Data Sets for IOP)
Odvozeno z Odvozeno z ISO
ISO 24727-2 24727-3
SmartCard Forum 2008 27
28. Onom@Topic middleware
APPLICATION LAYER
SAL poskytuje standardní
vysokoúrovňové aplikační
SAL API závislé na jazyku
rozhraní, izoluje vývojáře MIDDLEWARE
aplikací od technických
detailů čipových karet. SAL
SERVICES ACCESS LAYER (SAL)
vyžaduje IAS na čipové kartě
CIL API
CIL zajišťuje nezávislost na
CARD INSTRUCTION LAYER (CIL)
systému karty
CTL API
CTL zajišťuje nezávislost na CARD TRANSPORT LAYER (CTL)
čtecím zařízení a
transportním prostředí
PC/SC, TCP/IP
IFD 1 IFD 2 IFD 3
CARD CARD CARD
Aplikace IAS podle CEN
TC224/WG15 rezidentní
na kartě
SmartCard Forum 2008 28
29. Servisní vrstva SAL
APPLICATION LAYER Servisní vrstva pracuje se seznamem aplikací na
čipové kartě a poskytuje jejich služby klientským
aplikacím. Rozhranní vrstvy je založeno na návrhu
MIDDLEWARE standardu ISO/IEC CD 24727-3.
Služby servisní vrstvy poskytují následující sady
SERVICES ACCESS LAYER (SAL) funkcí:
•Čtení seznamu aplikací
•Čtení / aktualizace / vytváření / mazání identit
•Čtení / aktualizace / vytváření / mazání
CARD INSTRUCTION LAYER (CIL) kryptografických objektů
•Čtení / aktualizace / vytváření / mazání množin
datových objektů
•Čtení přístupových omezení a podmínek pro
CARD TRANSPORT LAYER (CTL)
akce s danými entitami (zápis, čtení, použití)
•Šifrování a dešifrování
•Ověření podpisu a import veřejného klíče pro
autentizaci
IFD 1 IFD 2 IFD 3 •Elektronický podpis
•Komplexní autentizační protokoly
CARD CARD CARD •Bezpečná komunikace (Secure Messaging)
SmartCard Forum 2008 29
30. Instrukční vrstva CIL
APPLICATION LAYER CIL zajišťuje nezávislost na systému karty,
maskuje rozdíly mezi jednotlivými typy karet
kompatibilními k ISO 7816-4. Rozhraní instrukční
MIDDLEWARE vrstvy jsou proprietární.
CIL implementuje následující sady funkcí:
SERVICES ACCESS LAYER (SAL)
Souborové služby (změna adresáře, čtení
parametrů souborů, čtení dat, zápis z/do
souboru)
CARD INSTRUCTION LAYER (CIL)
Autentizační služby (ověření PIN, externí a interní
autentizace)
Kryptografické služby (šifrování, dešifrování,
CARD TRANSPORT LAYER (CTL)
elektronický podpis)
Podpora zabezpečené komunikace (Secure
messaging)
IFD 1 IFD 2 IFD 3
CARD CARD CARD
SmartCard Forum 2008 30
31. Transportní vrstva CTL, lokální a síťová
CIL REQUESTS
Řešení síťové CTL implementuje následující sady
komunikace v rámci funkcí:
vrstvy CTL •Připojení karty
•Zasílání příkazů
CARD TRANSPORT LAYER (CTL)
•Zpráva transakcí
CARD TRANSPORT LAYER API •Čtení seznamu čteček
•Čtení vlastností čtečky (motorová,
PC/SC IFD NON PC/SC IFD REMOTE IFD
PIN-pad, apod.)
HANDLER HANDLER HANDLER
•Čekání na události čteček (vložení a
vyjmutí karty)
TCP/IP
PC/SC
RESOURCE
MANAGER
REMOTE APPLICATION
IFD HANDLER
IFD 1 IFD 2 IFD 3
IFD 4
SmartCard Forum 2008 31
32. Realizace Secure Messaging
APPLICATION LAYER
Encipher /
Decipher
HSM Bezpečný kanál SM se realizuje
na úrovni jednotlivých APDU
callback
příkazů podle ISO 7816-4.
Pass
Decipher response
Vytvoření a použití
Encipher data
SAL persistentních i dočasných klíčů
je ponecháno na aplikaci. Tento
callback
mechanismus umožňuje aplikaci
Pass
využít bezpečné zařízení (HSM,
CIL – secures each relevant APDU SAM) pro použití klíčů
prostřednictvím volání callback
command
response
Secured
Secured
funkcí.
Aplikace nepracuje s APDU,
CTL používá vysokoúrovňové
rozhraní SAL.
Middleware
SmartCard Forum 2008 32
33. Příklady užití
Pro demonstraci a prokázání správnosti koncepce
byly v rámci projektu demonstrovány dva
komplexní případy užití UC1 a UC2, které integrují
inovativní technologie partnerů projektu:
• čipovou kartu se systémem IAS
• biometrickou autentizaci provedenou na kartě
• bezpečné biometrické zařízení
• vysokorychlostní bezkontaktní komunikaci
VHDR
• middleware kompatibilní k ECC
• schéma pro interoperabilitu
V další prezentaci budou klíčové technologie
demonstrovány na jednoduchém příkladu
SmartCard Forum 2008 33
34. Zhodnocení mezinárodního projektu
Klady
• projekt mj. prokázal implementovatelnost koncepce ECC
• všechny úkoly a cíle projektu byly týmem řešitele
splněny
• tým řešitele získal respekt u partnerů projektu a byl
přizván k dalším mezinárodním projektům
• byly získány cenné kontakty, znalosti a dokumentaci v
oblasti tvorby standardů
• vývoj a výzkum přinesl nové znalosti a programové
vybavení, které je základem pro komerční SW OKsmart
Zápory
• vyšší náklady a nižší efektivita v mezinárodním týmu
• závislost na plnění cílů partnerů projektu
SmartCard Forum 2008 34
35. Cena Medea+ Board za
nejlepší projekt roku
2007
Výbor MEDEA+ Board udělil
během výročního zasedání
MEDEA+ Forum 2007
v Budapešti cenu „Jean-Pierre
Noblanc Award for Excelence“
za nejlepší projekt roku
projektu Onom@Topic+.
Tato cena byla slavnostně
udělena před 350 delegáty a
členy výboru MEDEA+,
reprezentujících špičku
evropských společností
v mikroelektronice. Je to
historicky poprvé, kdy projekt
čipových karet obdržel tuto
cenu.
SmartCard Forum 2008 35
36. Zhodnocení ECC
ECC je (pouze) technickou specifikací. Na vývoji
standardů se aktivně podílí především Francie,
Německo a ve 3. části ČR.
ECC-2 je z hlediska interoperability čipové
platformy krokem vpřed v porovnání s ISO
7816-4.
ECC-3 tvoří „implementovatelnou“ podmnožinu
standardu ISO 24727, díl 3 a 4, přesto vede na
velmi komplexní middleware
ECC-4 není dosud dokončeno, ale obsahuje
cennou část Profiles for the ECC
SmartCard Forum 2008 36
37. Dotazy a odpovědi
Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
www.oksystem.cz
rosol@oksystem.cz
SmartCard Forum 2008 37