Čipová platforma pro evropské identifikační doklady

Transkript

1 Spojujeme software, technologie a služby Čipová platforma pro evropské identifikační doklady Výsledky projektu výzkumu a vývoje Onom@topic Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.

2 Kategorizace čipových karet Podle inteligence Paměťové karty s jednoduchou logikou Mikroprocesorové (smart) karty Podle komunikačního rozhraní Kontaktní rozhraní ISO Kontakní USB rozhraní ISO Bezkontaktní RF rozhraní na krátkou vzdálenost: ISO až 4 Podle instrukční sady (APDU) S pevnou instrukční sadou (podpora ISO ) Programovatelné, s aplikačně závislou instrukční sadou (Java Card) Podle podpory kryptografie S podporou symetrické kryptografie (DES, 3DES, AES) S podporou RSA nebo ECC 2

3 Komunikace s čipovou kartou Komunikace dvou počítačů s odlišným technickým vybavením a operačním systémem. Komunikace je realizována na základě aplikačního protokolu pro mikroprocesorové čipové karty (ISO , APDU). Aplikační protokol je přenášen prostřednictvím kontaktního rozhraní (ISO ), USB rozhraní (ISO ) nebo RF rozhraní (ISO 14443) čipové karty. Aplikace na straně počítače Aplikace na straně karty 1. APDU (Command) 2. APDU (Response) 3

4 Stav techniky a standardizace 1/2 Základní standardy v oblasti čipových karet (ISO 7816) existují řadu let, ale nezaručují plnou kompatibilitu na aplikační úrovni a využívají poměrně archaický aplikační protokol (APDU) Rozvíjí se bezkontaktní komunikace, důležité aplikace vyžadují vyšší přenosovou rychlost a vyšší bezpečnost (standard ISO až 848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace EAC pro ICAO) 4

5 Stav techniky a standardizace 2/2 Potřeba lépe definovaných služeb čipové karty (povinné APDU, povinné autentizační protokoly, eliminace chování závislých na implementaci) tvorba evropského standardu ECC (CEN TC224 WG15) Neexistující standard pro middleware, pouze technické specifikace (zejména) obecných kryptografických rozhraní (PKCS#11, MS CAPI, JCA) tvorba mezinárodního standardu ISO/IEC

6 Identifikace, autentizace, epodpis (IAS) IAS jako základ pro elektronickou administrativu vzešel z iniciativy eeurope Smart Card Charter (eesc, v rámci akčního plánu EU eeurope) IAS se stal základem European Citizen Card - čtyřdílný standard vytvářeném v rámci CEN 6

7 Definice ECC ECC je personalizovaná čipová karta formátu ID-1 s kontaktním rozhraním ISO (12) nebo bezkontaktním rozhraním ISO/IEC ECC podporuje služby IAS (Identification, Authentication, Signature) Specifikaci ECC vytváří CEN 7

8 CEN- European Committee for Standardisation CEN charakterizuje 30 národních členů (ČNI za ČR) více než expertů vydal více než evropských standardů náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty CEN vytváří: evropské standardy EN technické specifikace TS informativní technické zprávy TR pracovní specifikace CWA Práce CEN probíhá v technických výborech 8

9 Technický výbor CEN/TC 224 CEN/TC 224 Machine readable cards, related device interfaces and operations, WG15 - ECC ECC hardware: CEN/TS Identification card systems European Citizen Card Part 1: Physical, electrical and transport protocol characteristics ECC IAS: CEN/TS Identification card systems European Citizen Card Part 2: Logical data structures and card services ECC IOP middleware: CEN/TS Identification card systems European Citizen Card Part 3: ECC interoperability using an application interface ECC profiles: CEN/TS Identification card systems European Citizen Card Part 4: Recommendation for ECC issuance, operation and use 9

10 Fyzické specifikace ECC 1/2 ECC musí: integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu obsahovat administrativní údaje držitele (jména...) obsahovat černobílou nebo barevnou fotografii a podpis držitele obsahovat MRZ podle doporučení ICAO obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě) 10

11 Fyzické specifikace ECC 2/2 Materiál těla karty není předepsán, musí být kompatibilní s kontaktní, bezkontaktní a personalizační technologií Biografická data na lícové straně by měla být personalizována do materiálu těla karty Podtisk by měl obsahovat guilloches, duhový tisk, UV fluorescentní prvky, OVI a mikrotisk nebo srovnatelnou technologii na datové straně 11

12 Lícová strana ECC Vlajka Název dokumentu Země Fotografie Údaje o držiteli Administrativní údaje Bezp. prvek OVF Podpis držitele 12

13 Rubová strana ECC Popis fixních polí na lícové straně čip ISO 7816 Podpis vydavatele Adresa pro zaslání ztracené karty Strojově čitelná zóna (Doc ) 13

14 Funkce ECC vizuální i elektronická identifikace a autentizace držitele s využitím referenčních dat uložených na kartě oboustranná autentizace mezi kartou a terminálem, pokud požaduje aplikace bezpečný přenos dat pomocí kontaktního a volitelně bezkontaktního rozhraní generování elektronického podpisu mechanismus řízení přístupu k uloženým datům multiaplikační podpora 14

15 Interoperabilita ECC Elektronická interoperabilita ECC je dosažena ve 3 vrstvách: společná sada příkazů a datových struktur (CEN/TS ) middleware API (CEN/TS ) definice profilů ECC (CEN/TS ) 15

16 Projekt V&V Cílem projektu byl návrh a vývoj kompletní HW/SW čipové platformy, která umožní evropským zemím vydávat interoperabilní čipové dokumenty pro elektronickou identifikaci, autentizaci, zaručený elektronický podpis a pro přístup k elektronickým službám. Projekt současně prakticky ověřil koncepci ECC. 16

17 2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications Project objectives Two directions are targeted provide a complete technical platform enabling the European Governments to issue interoperable e-identity documents develop a complete HW and embedded SW platform taking full profit of the enormous potentialities offered by the development of premium Mobile Services Project structure Split in 2 sub-projects and 9 work packages sub-project A : European Citizen Card sub-project B : Mobile Multi Media WP1 : Management and dissemination WP2 : Use cases WP3 : Architecture WP4 : Specifications WP5 : Infrastructure and interfaces WP6 : Biometrics WP7 : Platform development WP8 : Tools and methodology WP9 : Demonstrators Duration : Q to Q Manpower : Countries : 305 man.year Czech Republik - France Hungary - Italy Spain Sweden - The Netherlands Partners: 17

18 Hlavní východiska projektu V rámci Evropy: Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a elektronický podpis (Signature) IAS podle ECC-2. Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3) Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO (ECC-3 podmnožina ISO) 18

19 Spojujeme software, technologie a služby Operační systém čipové karty ECC Onom@Topic IAS Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.

20 - operační systém Aplikace IAS rezidentní na čipové kartě tvoří operační systém čipové platformy Onom@Topic+. Aplikace vychází z publikovaného standardu CEN/TS

21 Základní komponenty IAS Hierarchický souborový systém podle ISO Bezpečnostní architektura a služby Příkazová sada 21

22 Souborový systém IAS Implementace FS pomocí komponent: root structure application directory list array directory list array file list array data blocks array free space stricture Typy EF: Transparent, Linear fixed Operace v systému souborů: inicializace, vytvoření MF, vytvoření DF, vytvoření EF, smazání DF, smazání EF 22

23 Bezpečnostní služby IAS Symetric Device Authentication Secure Messaging Digital Signature Client/Server Authentication Encryption Key Decipherment Card Verifiable Certificate Verification Key Transport Protocol 23

24 Příkazová sada IAS Sada příkazů pro souborový systém CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF Sada příkazů pro bezpečnostní služby GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION Sada příkazů pro komunikaci GET RESPONSE 24

25 Spojujeme software, technologie a služby Software pro interoperabilitu Onom@Topic middleware Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.

26 Návrh ISO standardů pro middleware ISO/IEC FDIS Identification cards -- Integrated circuit card programming interfaces -- Part 1: Architecture ISO/IEC FCD Identification cards -- Integrated circuit card programming interfaces -- Part 2: Generic card interface ISO/IEC CD Identification cards -- Integrated circuit card programming interfaces -- Part 3: Application interface ISO/IEC NP Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 4: API administration ISO/IEC NP Identification Cards -- Programming Interfaces for Integrated Circuit Cards -- Part 5: Testing 26

27 ISO/IEC FDIS architektura Poskytovatel 1 Poskytovatel 2 Poskytovatel 3 Poskytovatel 4 EF.DIR Externí aplikace Service Access Layer (SAL) - Generic Card Access Layer (GCAL) Aplikace rezidentní na kartě Aplikační rozhraní (API) Generické rozhraní (GCE) Odvozeno z ISO Rozhraní čipové karty (HCE) ICC Odvozeno z ISO Odvozeno z ISO Odvozeno z CEN TC224 WG15 spec. Application Capabilities Descriptor Odvozeno z ISO Recoverable data (Access Control List, Elements of Identities, Data Sets for IOP) DF.CIA (ISO ) Odvozeno z ISO

28 middleware SAL poskytuje standardní vysokoúrovňové aplikační rozhraní, izoluje vývojáře aplikací od technických detailů čipových karet. SAL vyžaduje IAS na čipové kartě APPLICATION LAYER SERVICES ACCESS LAYER (SAL) MIDDLEWARE SAL API závislé na jazyku CIL API CIL zajišťuje nezávislost na systému karty CARD INSTRUCTION LAYER (CIL) CTL zajišťuje nezávislost na čtecím zařízení a transportním prostředí CARD TRANSPORT LAYER (CTL) CTL API PC/SC, TCP/IP IFD 1 IFD 2 IFD 3 Aplikace IAS podle CEN TC224/WG15 rezidentní na kartě CARD CARD CARD 28

29 Servisní vrstva SAL IFD 1 CARD APPLICATION LAYER SERVICES ACCESS LAYER (SAL) CARD INSTRUCTION LAYER (CIL) CARD TRANSPORT LAYER (CTL) IFD 2 CARD IFD 3 CARD MIDDLEWARE Servisní vrstva pracuje se seznamem aplikací na čipové kartě a poskytuje jejich služby klientským aplikacím. Rozhranní vrstvy je založeno na návrhu standardu ISO/IEC CD Služby servisní vrstvy poskytují následující sady funkcí: Čtení seznamu aplikací Čtení / aktualizace / vytváření / mazání identit Čtení / aktualizace / vytváření / mazání kryptografických objektů Čtení / aktualizace / vytváření / mazání množin datových objektů Čtení přístupových omezení a podmínek pro akce s danými entitami (zápis, čtení, použití) Šifrování a dešifrování Ověření podpisu a import veřejného klíče pro autentizaci Elektronický podpis Komplexní autentizační protokoly Bezpečná komunikace (Secure Messaging) 29

30 Instrukční vrstva CIL APPLICATION LAYER SERVICES ACCESS LAYER (SAL) CARD INSTRUCTION LAYER (CIL) CARD TRANSPORT LAYER (CTL) MIDDLEWARE CIL zajišťuje nezávislost na systému karty, maskuje rozdíly mezi jednotlivými typy karet kompatibilními k ISO Rozhraní instrukční vrstvy jsou proprietární. CIL implementuje následující sady funkcí: Souborové služby (změna adresáře, čtení parametrů souborů, čtení dat, zápis z/do souboru) Autentizační služby (ověření PIN, externí a interní autentizace) Kryptografické služby (šifrování, dešifrování, elektronický podpis) Podpora zabezpečené komunikace (Secure messaging) IFD 1 IFD 2 IFD 3 CARD CARD CARD 30

31 Transportní vrstva CTL, lokální a síťová Řešení síťové komunikace v rámci vrstvy CTL PC/SC IFD HANDLER PC/SC RESOURCE MANAGER CIL REQUESTS CARD TRANSPORT LAYER API NON PC/SC IFD HANDLER CARD TRANSPORT LAYER (CTL) REMOTE IFD HANDLER TCP/IP CTL implementuje následující sady funkcí: Připojení karty Zasílání příkazů Zpráva transakcí Čtení seznamu čteček Čtení vlastností čtečky (motorová, PIN-pad, apod.) Čekání na události čteček (vložení a vyjmutí karty) REMOTE APPLICATION IFD 1 IFD 2 IFD 3 IFD HANDLER IFD 4 31

32 Realizace Secure Messaging APPLICATION LAYER SAL CIL secures each relevant APDU Secured command CTL Pass callback Pass callback Secured response Encipher / Decipher Encipher data Decipher response HSM Bezpečný kanál SM se realizuje na úrovni jednotlivých APDU příkazů podle ISO Vytvoření a použití persistentních i dočasných klíčů je ponecháno na aplikaci. Tento mechanismus umožňuje aplikaci využít bezpečné zařízení (HSM, SAM) pro použití klíčů prostřednictvím volání callback funkcí. Aplikace nepracuje s APDU, používá vysokoúrovňové rozhraní SAL. Middleware 32

33 Příklady užití Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní případy užití UC1 a UC2, které integrují inovativní technologie partnerů projektu: čipovou kartu se systémem IAS biometrickou autentizaci provedenou na kartě bezpečné biometrické zařízení vysokorychlostní bezkontaktní komunikaci VHDR middleware kompatibilní k ECC schéma pro interoperabilitu V další prezentaci budou klíčové technologie demonstrovány na jednoduchém příkladu 33

34 Zhodnocení mezinárodního projektu Klady projekt mj. prokázal implementovatelnost koncepce ECC všechny úkoly a cíle projektu byly týmem řešitele splněny tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům byly získány cenné kontakty, znalosti a dokumentaci v oblasti tvorby standardů vývoj a výzkum přinesl nové znalosti a programové vybavení, které je základem pro komerční SW OKsmart Zápory vyšší náklady a nižší efektivita v mezinárodním týmu závislost na plnění cílů partnerů projektu 34

35 Cena Medea+ Board za nejlepší projekt roku 2007 Výbor MEDEA+ Board udělil během výročního zasedání MEDEA+ Forum 2007 v Budapešti cenu Jean-Pierre Noblanc Award for Excelence za nejlepší projekt roku projektu Onom@Topic+. Tato cena byla slavnostně udělena před 350 delegáty a členy výboru MEDEA+, reprezentujících špičku evropských společností v mikroelektronice. Je to historicky poprvé, kdy projekt čipových karet obdržel tuto cenu. 35

36 Zhodnocení ECC ECC je (pouze) technickou specifikací. Na vývoji standardů se aktivně podílí především Francie, Německo a ve 3. části ČR. ECC-2 je z hlediska interoperability čipové platformy krokem vpřed v porovnání s ISO ECC-3 tvoří implementovatelnou podmnožinu standardu ISO 24727, díl 3 a 4, přesto vede na velmi komplexní middleware ECC-4 není dosud dokončeno, ale obsahuje cennou část Profiles for the ECC 36

37 Dotazy a odpovědi Ivo Rosol ředitel vývojové divize OKsystem s.r.o. rosol@oksystem.cz 37