Systém GlobalPlatform

Rozměr: px
Začít zobrazení ze stránky:

Download "Systém GlobalPlatform"

Transkript

1 Systém GlobalPlatform Specifikace pro správu čipových karet Ivo Rosol ředitel divize vývoje Praha,

2 GlobalPlatform GlobalPlatform je nezisková organizace, která identifikuje, vyvíjí a publikuje specifikace (mezinárodní průmyslové defacto standardy) pro bezpečné a interoperabilní nasazení a správu aplikací na bezpečných čipových technologiích. Organizace má 3 výbory Card Committee, Device Commitee (bezdrátová multiaplikační zařízení), Systems Commitee (systémová infrastruktura- back-office). Bližší informace a specifikace lze nalézt na web adrese 2

3 Global Platform - specifikace pro správu čipových karet Specifikace GlobalPlatform (GP) pro správu čipových karet s otevřeným systémem (Java Card, MULTOS): GP umožňuje vydavatelům čipových karet vytvářet jedno i víceaplikační systémy, které mohou pružně reagovat na budoucí požadavky. Specifikace GP tak chrání nejvýznamnější část investic do systému čipových karet infrastrukturu. Čipové karty, které mají implementován systém podle specifikací GP, umožňují používat bezpečný mechanismus nahrávání a instalace aplikací na kartu a zajistit tak řízení životního cyklu multiaplikačních karet. Návrh GP předpokládá, že vydavatel nechce nutně spravovat veškerý obsah karty, zejména ten obsah, který mu nepatří. 3

4 Cíl prezentace V přednášce budou diskutovány především následující mechanismy specifikace GP v2.2: Architektura čipové karty se systémem GP Výklad základních pojmů Životní cyklus aplikace a domény Správa obsahu čipové karty Práva aplikací a domén Práva ke klíčům Bezpečnostní operace při nahrávání kódu aplikace Delegovaná správa Příklady užití GlobalPlatform pro různé modely správy čipových karet 4

5 Architektura čipové karty se systémem GP 5

6 Výklad pojmů 1/6 Bezpečnostní domény jsou privilegované (systémové) aplikace (nikoli místa v paměti, do kterých se instalují aplikace), mají nastaveno právo #0 Security Domain. Obsahují kryptografické klíče, určené pro vytvoření bezpečného kanálu a pro autorizaci operací pro správu karty. Prostřednictvím domén se provádí (inicializuje) správa obsahu karty 6

7 Výklad pojmů 2/6 Load File soubor určený k nahrání na GP kartu, který obsahuje Load File Data Block a volitelně jeden nebo více DAP bloků. Výsledkem nahrání Load File je Executable Load File rezidentní na kartě a příslušný záznam v GP registru. Load File Data Block část Load File, která obsahuje jednu nebo více aplikací, případně knihoven. Struktura není předepsána GP, pro Java Card se jedná o CAP file. Load File Data Block Hash hodnotou je SHA-1 hash Load File Data Block. Hash se používá k ověření integrity Load File Data Block před tím, než OPEN vytvoří Executable Load File. Load File Data Block Hash je povinný parametr příkazů INSTALL (for load) v případech, kdy se používá Delegated Management (Load File obsahuje Token) a/nebo když Load File obsahuje DAP blok. 7

8 Výklad pojmů 3/6 Executable Load File výsledný kontejner rezidentní na kartě pro jeden nebo více vykonavatelných aplikačních modulů (Executable Module). Může být uložen v paměti ROM, nebo EEPROM jako výsledek operací INSTALL [for load] a následných operací LOAD File Data Block. Pozor, nejedná se o spustitelnou aplikaci, není provedena instalace. Má asociováno unikátní AID. Executable Module obsahuje kód vykonatelný na kartě pro jednu aplikaci (aplet), je obsažený v Executable Load File. Pozor, nejedná se o Selectable Application. Má asociováno unikátní AID. Application Spustitelná aplikace s unikátním AID, kterou lze vybrat příkazem SELECT. Vznikne instalací Executable Module. Obecně z jednoho Executable Module může být instalováno více instancí aplikace. 8

9 Výklad pojmů 4/6 Token (pověření k delegované správě, podpis APDU pro delegovanou správu) Token se vyskytují výhradně v souvislosti s delegovanou správou (Delegated Management) nebo autorizovanou správou (Authorised Management), kdy vnější entita není vlastníkem domény. Vlastník domény s právem Token Verification vytváří pomocí svého privátního klíče (RSA 1024) Token a poskytuje ho vlastníkovi domény (která má typicky právo DELEGATED MANAGEMENT), která provádí operaci správy obsahu karty. Během vykonávání této operace je Token verifikován na kartě doménou s právem Token Verification veřejným klíčem této domény. Token může být použit na více kartách. Pro každý typ správní operace existuje typ Tokenu (LOAD, INSTALL, MAKE SELECTABLE, EXTRADITION, REGISTRY UPDATE, DELETE). Token obsahuje podpis jedné, nebo více funkcí pro správu (v podstatě podpis APDU). Token je umístěn v datové části APDU INSTALL 9

10 Výklad pojmů 5/6 DAP block (podpis kódu aplikace) DAP block je určen pro ověření autenticity Load File Data Block pomocí ověření Load File Data Block Signature, který je generován externí entitou, buď poskytovatelem aplikace, nebo kontrolní autoritou. DAP Block je TLV struktura, která je umístěna na začátku Load File (na rozdíl o Token není součástí struktury datové části APDU), obsahující AID domény a Load File Data Block Signature. Load File Data Block může být podepsán buď nesymetrickým privátním klíčem (RSA 1024), nebo 3DES2 klíčem, podpisuje se Load File Data Block Hash. Podpis v DAP Block ověřuje doména s právem DAP Verification. 10

11 Výklad pojmů 6/6 Receipt Podepsané potvrzení provedené operace správy čipové karty. Doména s právem Receipt Generation (jediná na kartě) vytváří potvrzenky správních operací při delegované správě s použitím klíče RSA 1024 nebo 3DES2. Potvrzenka se skládá z podpisu dat operace, která byla provedena, spolu s jedinečnými daty karty Card Unique Data. Potvrzenka je důkaz, že byl příkaz pro správu karty proveden. Potvrzenka (pokud je přítomna) je součástí APDU Response. 11

12 OPEN GlobalPlatform Environment OPEN je jádro systému GlobalPlatform, poskytuje prostředí a API pro aplikace pomocí následujících služeb: Nahrání kódu aplikací a s tím spojenou správu karet a paměti Instalaci aplikací nahraných na kartu Výběr aktivní aplikace a směrování příkazů na aktivní aplikaci Vlastnictví a údržba Global Platform Registry, jako základní zdroj informací pro správu karty 12

13 Správa obsahu GP karty prostřednictvím domén Správa obsahu karty se provádí prostřednictvím bezpečnostních domén. Správou obsahu rozumíme nahrávání kódu (load), instalaci aplikací, přemístění aplikace do jiné domény (extradition), změnu obsahu GP registru včetně práv aplikací a smazání obsahu karty. 13

14 Nahrání obsahu karty a instalace aplikace Nahrání (load) slouží k přidání kódu do přepisovatelné persistentní paměti (EEPROM). Nahrání může být provedeno do domény provádějící instalaci, nebo do jiné domény, pak se jedná o tzv. implicitní extradici. Instalace slouží k vytvoření vykonavatelného kódu z předem nahraného aplikačního kódu (zapíše instanci do registru GP, nastaví práva instance, spustí metodu aplikace install (Java Card), která s využitím instalačních parametrů alokuje paměť instance, vytvoří objekty instance, a registruje aplikaci v systému Java Card). Instalace může proběhnout současně s procesem nahrání, bezprostředně poté, nebo kdykoli později. Doména s právem AUTHORISED_MANAGEMENT nebo DELEGATED_MANAGEMENT může nahrát aplikaci do libovolné domény. 14

15 Aplikace v paměti čipové karty Executable Load File (package) Executable Module (applet) instance aplikace v paměti čipové karty 15

16 GlobalPlatform Registry Všechny aplikace, včetně všech domén a všechny Executable Load File musí mít záznam v GP registru. GP Registr obsahuje následující data (formát není stanoven): Data Aplikace AID aplikace, unikátní na kartě (AID aplikace může být stejné jako AID jejího Executable module) stav životního cyklu aplikace (týká se i Executable Load File/Module) paměť, která je k dispozici pro tuto aplikaci práva aplikace (App Privileges) příznak implicitní aplikace přiřazené AID Security Domain identifikace poskytovatele aplikace identifikace globální služby poskytované Global Service aplikací (například globální PIN) Data karty (uložena podobně jako data aplikací) Čítače alokace paměti pro aplikace 16

17 Poznámky k registru Aplikace nemusí znát AID své domény, je to zapsáno v registru (aplikace lze přesouvat mezi doménami, nebylo by vhodné, aby AID domény bylo zapsáno v aplikaci). Aplikace by měla znát své vlastní AID SD má také asociováno vlastní AID, nebo AID jiné SD (hierarchie SD) Datové struktury GP registru nejsou určené, jsou implementačně závislé Pokud GP podporuje volitelnou správu paměti, čítače v GP registru registrují v bajtech alokaci persistentní (EEPROM) i RAM paměti zvlášť pro kód a data. Požadavky aplikace na paměť jsou definovány v rámci příkazů INSTALL [for load] a INSTALL [for install] 17

18 Bezpečnostní domény 1/3 Bezpečnostní domény jsou privilegované (systémové) aplikace (nikoli místa v paměti, do kterých se instalují aplikace), mají nastaveno právo #0 Security Domain. Obsahují kryptografické klíče, určené pro vytvoření bezpečného kanálu a pro autorizaci operací pro správu karty. Prostřednictvím domén se provádí (inicializuje) správa obsahu karty. Podle svého určení rozeznáváme 3 typy domén - doména vydavatele, kontrolní autority a aplikační domény. Všechny typy domén provádějí práci s klíči (key management), šifrování, dešifrování, vytvoření a ověření elektronického podpisu pro vlastníky domény. Každá doména implementuje Secure Channel Protocol pro bezpečnou komunikaci mezi externím vlastníkem domény a doménou. 18

19 Bezpečnostní domény 2/3 Všechny karty mají povinnou jedinou doménu vydavatele. Poskytovatelé aplikací mohou mít svojí vlastní doménu ke správě svých aplikací, s klíči, které jsou nezávislé na vydavateli karty. APDU příkazy jsou přijímány doménou do které patří aplikace, a prostřednictvím GP Trusted Framework posílány aplikaci. Každý Load File, Executable Module má AID a přiřazené AID své Security Domain a může používat její kryptografické funkce. Každá doména je odpovědna za správu svých klíčů. Klíče domény lze využít pro aplikace této domény pro bezpečnou komunikaci při personalizaci a pro bezpečnou komunikaci při běhu aplikace (pokud aplikace nemá vlastní klíče pro SM) 19

20 Bezpečnostní domény 3/3 Dodatečné bezpečnostní domény mohou volitelně udržovat svá identifikační data pro CMS: Identifikační číslo poskytovatele (vlastníka) domény identifikátor používaný pro CMS, typicky obsahuje identifikaci vlastníka domény podle ISO 7812 Security Domain Image Number - - identifikátor používaný pro správu aplikací v rámci CMS k jednoznačné identifikaci domény na kartě Security Domain Management Data data popisující vlastnosti domény, například jaký SC protokol použít pro komunikaci s doménou. Tato data jsou vrácena v odpovědi na příkazy SELECT a GET DATA. Tato data, pokud existují, musí být k dispozici prostřednictvím příkazu GET DATA. 20

21 Doména vydavatele Doména vydavatele pracuje stejně jako ostatní domény, ale má následující speciální vlastnosti: Je první aplikace instalovaná na kartě, je povinná pro každou kartu. GP nedefinuje způsob vzniku domény vydavatele na kartě a nepředepisuje, aby byla doména vydavatele zavedena a instalována stejně jako ostatní aplikace (domény) Je asociována sama se sebou a není možné provést její extradici (asociaci s jinou doménou) Nemá svůj životní cyklus, používá (dědí) životní cyklus karty Je vybrána příkazem SELECT bez parametrů, nebo pokud není jiná aplikace s právem Card Reset, případně implicitly selectable Má právo Card Reset, pokud není jiná aplikace s tímto právem Automaticky získává právo Card Reset, pokud je smazána doména s tímto právem Má právo Final Application, pokud není jiná aplikace s tímto právem,aautomaticky získává právo Final Application, pokud je smazána doména s tímto právem Je vybrána příkazem SELECT bez parametrů Stává se implicitně vybranou aplikací, pokud je smazána implicitně vybraná aplikace Vlastní data Issuer Identification Number (identifikuje vydavatele a tím i příslušný CMS), Card Image Number (jednoznačně identifikuje kartu v CMS), Card Recognition Data (popisuje kartu pro CMS typ karty, jaký Secure Channel Protocol podporuje). Tato data musí být k dispozici prostřednictvím příkazu GET DATA. 21

22 Hierarchie domén Každý Executable Load File je zpočátku asociován s doménou, prostřednictvím které byl nahrán, může však být implicitně nebo explicitně přemístěn do jiné domény. Hierarchie domén začíná v kořenové doméně, která je asociována sama se sebou. Na počátku je jediná kořenová doména ISD. Další nezávislý kořen je možné vytvořit pomocí extradice domény s asociací sama na sebe. Aplikace musí být po instalaci personalizována a musí obdržet své aplikační klíče a personalizační data, k tomu se využívá služeb asociované domény. Aplikace (včetně domén) mohou používat kryptografické služby své asociované domény. 22

23 Vztah aplikace a asociované domény Aplikace (včetně domén) mohou používat služby asociované domény pro vytvoření Secure Cannel Session a další kryptografické služby domény pro personalizaci a při runtime. Je to výhodné, pokud aplikace nemá vlastní klíče a pokud to dovoluje bezpečnostní politika aplikace. Doména je schopna přijmout příkaz STORE DATA určený pro některou z aplikací domény. Doména příkaz rozbalí a předá aplikaci. 23

24 Klíče domény Domény obsahují kryptografické klíče pro podporu Secure Channel Protocol a pro autorizaci příkazů pro správu. Klíče mají nastaveny typ (DES/TDES/AES/HMAC/RSA, mód a formát uložení) a použití klíče. Práva ke klíčům jsou uložena v rámci přístupového byte. Přístupová práva ke klíčům uloženým v doméně jsou následující: Klíče může používat pouze doména (hodnota 01 ) Klíče mohou používat autorizovaní uživatelé různí od vlastníka, například aplikace asociované s doménou (hodnota 02 ) Klíče mohou používat libovolní autorizovaní uživatelé včetně vlastníka, tedy vlastní doména i její aplikace (hodnota 00 ) 24

25 Životní cyklus aplikace Stav INSTALLED Stav INSTALLED znamená, že vykonavatelný kód aplikace je sestaven, aplikaci je přidělena paměť a pro aplikaci je vytvořen záznam v registru GP. Zatímco záznam v registru je dostupný autentizovaným vnějším entitám, samotnou aplikaci dosud nelze vybrat. Ve stavu INSTALLED se nepředpokládá, že je aplikace personalizovaná. Stav SELECTABLE Přechod ze stavu INSTALLED do SELECTABLE je nevratný, potřebné oprávnění k provedení přechodu má doména s právem Authorised Management nebo Delegated Management. Aplikace v tomto stavu je schopna být vybrána a přijímat příkazy od externí entity. Aplikační stavy instalované aplikace jsou odpovědností aplikace a GP je nedefinuje. Stav LOCKED Přechod do stavu LOCKED je možný z jakéhokoli stavu aplikace, včetně stavů definovaných aplikací. Tento přechod většinou reprezentuje bezpečnostní opatření, které může iniciovat samotná aplikace, doména této aplikace a doména s právem Global Lock. Přechod je reverzibilní, zpětný přechod nemůže iniciovat zablokovaná aplikace, pouze přímo nebo nepřímo přiřazená doména. V kterémkoli stavu životního cyklu aplikace může být aplikace smazána. Paměťový prostor aplikace je uvolněn a příslušný záznam v registru smazán a GP nevede žádnou informaci o smazaných aplikacích (tudíž neexistuje stav DELETED). 25

26 Životní cyklus domény Stav INSTALLED Pro doménu ve stavu INSTALLED vytvořen záznam v registru GP. Zatímco záznam v registru je dostupný autentizovaným vnějším entitám, samotnou doménu dosud nelze vybrat, ani ji nelze asociovat s aplikací Stav SELECTABLE Doména ve stavu SELECTABLE je schopna být vybrána a přijímat příkazy (příkazy pro personalizaci domény), dosud ale nemá instalovány klíče. Nemůže tudíž být asociována s Executable Load File ani s aplikacemi a aplikace nemohou využívat její služby. Přechod ze stavu INSTALLED do SELECTABLE je ireverzibilní. Stav PERSONALISED Přechod ze stavu SELECTABLE do stavu PERSONALISED je ireverzibilní. Doména v tomto stavu má instalovány klíče, může být vybraná externí entitou, asociovaná s Executable Load File nebo s aplikacemi a poskytovat své služby asociovaným aplikacím. Stav LOCKED Tento přechod většinou reprezentuje bezpečnostní opatření, které může iniciovat samotná doména, asociovaná (nadřízená) doména této domény, aplikace a doména s právem Global Lock. V tomto stavu doména nemůže být použita pro delegovanou správu a instalaci aplikací. Operace DAP Verification, Extradition a další služby domény nejsou v tomto stavu dostupné. Přechod je reverzibilní, zpětný přechod může iniciovat pouze nadřízená doména, nebo aplikace a doména s právem Global Lock. V kterémkoli stavu životního cyklu domény může být doména smazána. Paměťový prostor domény je uvolněn a příslušný záznam v registru smazán a GP nevede žádnou informaci o smazaných doménách. 26

27 Práva bezpečnostních domén a aplikací Práva aplikací jsou uložena (pouze) v GP registru. Právo nastavit práva má entita, která je schopna provést příkaz INSTALL [for install], nebo INSTALL [for make selectable]. Právo změnit práva má entita schopná provést příkaz INSTALL [for registry update]. Práva pro aplikaci (doménu) se nastavují při instalaci, v datovém poli příkazu INSTALL [for install]. V APDU jsou práva mapována jednotlivými bity v rámci 3 byte. Aplikaci jednotlivých práv lze omezit prostřednictvím parametru Restrict ( Tag D9 ] v rámci příkazu INSTALL [for registry update]. Na danou doménu pak práva podléhající restrikci nelze uplatnit. Toto nastavení je ireverzibilní. 27

28 Práva bezpečnostních domén a aplikací 1/3 # Právo Popis 0 Security Domain Aplikace je Security Domain 1 DAP Verification Aplikace (pouze Doména) je schopna ověřit DAP, musí být současně nastaveno právo Security Domain. Toto právo se nastavuje pro doménu poskytovatele aplikace, která ověřením DAP ověří integritu a autenticitu nahrané aplikace. 2 Delegated Management Aplikace (pouze Doména, současně musí být nastaveno právo Security Domain) je schopna provádět delegovanou správu (provádět příkazy LOAD, INSTALL, DELETE, EXTRADITE) s autorizací jinou (na kartě jedinou) doménou, která má právo Token Verification. Doména s právem Delegated Management může provést LOAD do kterékoli domény, cílová doména může ovšem provést kontrolu DAP, pokud má právo DAP Verification. Pokud ale nemá současně právo Global Delete, může mazat pouze svoje aplikace, které jsou s ní přímo nebo nepřímo asociovány. Může přesunovat (extradition) do jiné domény pouze svoje aplikace, které jsou s ní přímo nebo nepřímo asociovány. 3 Card Lock Aplikace má právo zablokovat kartu 4 Card Terminate Aplikace má právo ukončit kartu 5 Card Reset Aplikace má právo modifikovat Historical Bytes (část ATR) 28

29 Práva bezpečnostních domén a aplikací 2/3 # Právo Popis 6 CVM Management 7 Mandated DAP Verification Aplikace má právo na správu sdíleného CVM Cardholder Verification Method globální PIN Aplikace (pouze Doména) je schopna a vyžaduje ověřit DAP pro všechny operace LOAD, musí být současně nastaveno právo Security Domain a DAP Verification. Jedná se o doménu Kontrolní autority. 8 Trusted Path Aplikace (doména) je schopna využít GlobalPlatform Trusted Environment pro komunikaci mezi aplikacemi. 9 Authorised Management Aplikace (pouze Doména) je schopna provádět samostatnou (nikoliv delegovanou) správu obsahu karty (provádět příkazy LOAD, INSTALL, DELETE, EXTRADITE ). Nepotřebuje autorizační token k této činnosti ani doménu s právem Token Verification, musí mít současně nastaveno právo Security Domain. Pokud ale nemá současně právo Global Delete, může mazat pouze svoje aplikace, které jsou s ní přímo nebo nepřímo asociovány. Doména s tímto právem může provést LOAD do kterékoli domény, cílová doména může ovšem provést kontrolu DAP, pokud má právo DAP Verification. 29

30 Práva bezpečnostních domén a aplikací 3/3 # Právo Popis 10 Token Verification Aplikace (pouze jediná Doména na kartě) je schopna ověřit Token pro delegovanou správu. Neznamená to ale, že má právo na správu obsahu karty. Externí vlastník privátního klíče vytváří Token pro delegovanou správu. 11 Global Delete Aplikace může smazat libovolný obsah karty, i když patří do jiné domény 12 Global Lock Aplikace může zamknout (dočasně zablokovat) nebo odemknout libovolnou aplikaci, i když patří do jiné domény 13 Global Registry Aplikace má přístup k libovolnému záznamu v GP Registru 14 Final Application Jediná aplikace, která je přístupná ve stavu životního cyklu CARD_LOCKED a TERMINATED 15 Global Service Aplikace poskytuje globální služby ostatním aplikacím na kartě 16 Receipt Generation Aplikace je schopna generovat potvrzenky správních operací při delegované správě. Doména má čítač potvrzení, který inkrementuje při generování každé potvrzenky (max 32767). Toto právo samotné neumožňuje provádět správní operace. 30

31 Pravidla pro přiřazení práv Pouze jediná aplikace může mít přiřazeno právo Card Reset nebo Final Application, pokud je taková aplikace smazána, právo přejde na doménu vydavatele Authorised Management a Delegated Management nemohou být nastaveny současně, ostatní práva mohou být nastavena v libovolné kombinaci V předchozích verzích GP byla pouze práva 0-7 Doména vydavatele má v počátku nastavenu množinu práv: Security Domain, Authorized Management, Global Registry, GlobalLock, Global Delete, Token Verification, Card Lock, Card Terminate, Trusted Path, CVM Management, CardReset, Final Application and Receipt Generation. 31

32 Mechanismy GP pro správu karty Kryptografická podpora GP pro správu karty zahrnuje následující mechanismy: Load File Data Block Hash - je obsahem pole příkazu INSTALL [for load] pro kontrolu integrity nahrávaného kódu Data Authentication Patern (DAP) podpis Load File Data Block pro ověření integrity a autenticity kódu Delegated Management Token podpis funkce pověření pro správu (load, install, delete ) Receipts důkaz provedení správní operace 32

33 DAP Data Authentization Patern 33

34 Load Token Load Token zajišťuje: Na kartu může být nahrán pouze kód (Load File Data Block), jehož otisk je obsažen v podepsaném Token Executable Load File a všechny obsažené moduly mohou být asociovány pouze s doménou uvedenou v Token Vydavatel Token může být pouze entita vlastnící klíče domény s právem Token Verification 34

35 Install Token Install Token zajišťuje: Může být instalován pouze Executable Module, který je součástí Executable Load File, jejichž AID je uvedeno v Token Instance aplikace bude mít uvedené AID Pro aplikaci mohou být nastavena pouze práva uvedená v Token Mohou být použity pouze parametry uvedené v Token 35

36 Load Receipt Install Token zajišťuje: Může být instalován pouze Executable Module, který je součástí Executable Load File, jejichž AID je uvedeno v Token Instance aplikace bude mít uvedené AID Pro aplikaci mohou být nastavena pouze práva uvedená v Token Mohou být použity pouze parametry uvedené v Token 36

37 Nahrání a instalace aplikace 37

38 Schéma pro delegovanou správu se 2 doménami 38

39 Schéma pro delegovanou správu se 3 doménami 39

40 Příklady užití a konfigurace domén Vydavatel karty, jediná doména, jediná aplikace, nebo více aplikací vydavatele (všechny aplikace patří vydavateli karty, který je instaluje a spravuje) Víceaplikační karta, pouze doména vydavatele, více dodavatelů aplikací (všechny aplikace autorizuje, instaluje a spravuje vydavatel karty) Víceaplikační karta, doména vydavatele, více domén dodavatelů aplikací, kontrolní autorita (aplikace autorizované kontrolní autoritou instaluje vydavatel karty do domén dodavatelů aplikací) Víceaplikační karta, doména vydavatele, více domén dodavatelů aplikací, delegovaná správa, kontrolní autorita (aplikace mohou instalovat vlastníci domén s právem Authorised Management nebo Delegated Management) 40

41 GlobalPlatform APDU seznam příkazů Příkaz OP READY INITIALIZED SECURED LOCKED TERMINAT ED AM DM SD AM DM SD AM DM SD FA SD FA SD DELETE executable Load File x x x x x x x DELETE executable Load File and x x x x x x x Application(s) DELETE Application P x P x P x x x x x DELETE Key x x x x GET DATA P P P P P P P P P P x P x GET STATUS P P P P x x x INSTALL [for load] x x x x x x x INSTALL [for install] x x x x x x x INSTALL [for load, install and x x x x x x x make selectable] INSTALL [for install and make P P x P P x P P x x x x x selectable] INSTALL [for make selectable] x x x x x x x INSTALL [for extradition] x x x x x x x INSTALL [for registry update] x x x x x x x INSTALL [for personalization] x x x x LOAD x x x x x x x PUT KEY P P P x x x x SELECT P P P P P P P P P P x x x SET STATUS P P P P x x x STORE DATA P P P x x x x 41

42 GlobalPlatform APDU Příkazy GP mají formu APDU s délkou max 255 byte. Class byte určuje, že se jedná o GP příkaz a použití a typ Secure Messaging. Parametry P1 a P2 upřesňují příkaz, například pro INSTALL hodnota P1 určuje pro co je INSTALL určen (for load, for install, for extradition, for make selectable ) Tagy objektů GP jsou rezervovány hodnoty C0 DD, E0 FD, DF 1F DF 7F, FF 1F FF 7F 42

43 Příklad - APDU příkazu INSTALL Formát APDU (short length): CLA Kód Hodnota Význam 80-8F, C0 - CF, E0 - EF Třída instrukce INS E6 Instrukce INSTALL P1 xx Referenční řídící parametr 1 P2 00, 01, Referenční řídící parametr 2 02 Lc xx Délka datového pole Data xxxx Datové pole instalační data a volitelně MAC Le 00 Budou přijata všechna návratová data 43

44 Referenční řídící parametr P1 příkazu INSTALL B8 B7 B6 B5 b B4 B3 B2 B1 Význam Poslední (nebo jediný) příkaz INSTALL Následují další příkazy INSTALL INSTALL [for registry update] INSTALL [for personalization] INSTALL [for extradition] INSTALL [for registry update] INSTALL [for install] INSTALL [for load] 44

45 Příklad 1: Datové pole příkazu INSTALL [for load] Název P/N Význam Length of Load File AID P Délka AID budoucího Executable Load File Load File AID P Hodnota AID budoucího Executable Load File Length of Security Domain AID P Délka AID domény, do které bude Load File nahrán Security Domain AID N Hodnota AID domény, do které bude Load File nahrán Length of Load File Data Block Hash Load File Data Block Hash Length of Load Parameters Field P N P Délka otisku Load File Data Block Hodnota otisku Load File Data Block Délka pole parametrů Load Parameters Field N Pole parametrů (systémové a aplikační) Length of Load Token P Délka Load Token Load Token N Load Token 45

46 Příklad 2: Datové pole příkazu INSTALL [for install] Název P/N Význam Length of Executable P Délka AID Executable Load File Load File AID Executable Load File AID N Hodnota AID Executable Load File, jehož Executable Module bude instalován Length of Executable P Délka AID Executable Module Module AID Executable Module AID N Hodnota AID Executable Module, jehož kód bude instalován Length of Application AID P Délka AID aplikace, která bude výsledkem instalace Application AID P Hodnota AID aplikace, která bude výsledkem instalace Length of Privileges P Počet byte práv, která budou nastavena pro aplikaci Privileges P Práva Length of Install P Délka pole parametrů Parameters Field Install Parameters Field P Pole parametrů (systémové a aplikační) Length of Install Token P Délka Install Token Install Token N Install Token pověření pro instalaci 46

47 Služby GP pro personalizaci aplikací Aplikace musí být po instalaci personalizována a musí obdržet své aplikační klíče a personalizační data. Aplikace mohou používat služby asociované domény pro vytvoření Secure Channel Session a další kryptografické služby domény pro personalizaci, pokud nemá aplikace vlastní klíče a pokud to dovoluje bezpečnostní politika aplikace. Doména je schopna přijmout příkaz STORE DATA určený pro některou z aplikací domény (příkazem SELECT je vybrána doména místo aplikace). Doména příkaz rozbalí a předá aplikaci jako blob Aplikace je schopna využívat kryptografické služby domény (autentizaci, SM) pro personalizaci Příkaz PUT KEY slouží k zápisu, nebo výměně kryptografických klíčů 47

48 Global platform Global Services Applications Na kartě může být přítomna jedna nebo více globálních aplikací, které jsou od ostatních aplikací odlišeny právem Global Service. Aplikace poskytující globální služby jsou instalovány do některé domény, právo Global Service je možné nastavit při instalaci aplikace (INSTALL [for install]), nebo později při aktualizaci registru (INSTALL [for registry update]). Právo na správu Global Services Applications má aplikace s právem CVM Management. Jména pro globální služby (může být více než jedno) se při instalaci nastavují pomocí Global Services Parameters, jména jsou buď rezervovaná pro GP nebo individuální (A0 FE). GP má rezervována jména 81 Secure Channel, 82 GP Cardholder Verification Method. Aplikace přistupují ke globálním službám prostřednictvím GP API. 48

49 CVM aplikace CVM aplikace, pokud je přítomna na kartě, poskytuje mechanismus pro autentizaci -Cardholder Verification Method, který mohou použít všechny aplikace. Na kartě může být vice CVM aplikací, každá může nabízet vice CV metod. GP standardizuje jednu CVM aplikaci globální PIN (Personal identification Verification), s rezervovaným identifikátorem 11. CVM nabývají následujících stavů: ACTIVE nastavena hodnota CVM a Retry Limit INVALID_SUBMISSION pokud selže CVM autentizace VALIDATED úspěšná CVM autentizace, Retry Counter je resetován BLOCKED po opakovaném selhání CVM autentizace a dosažení hodnoty Retry Limit. Zablokovaný stav nekončí koncem relace s kartou, pouze privilegovaná aplikace může odblokovat, změnit CVM hodnotu nebo Retry limit. 49

50 Ing. Ivo Rosol, CSc. OKsystem s.r.o. Na Pankráci Praha 4 tel: Otázky? Děkujeme za pozornost 50

Programové vybavení OKsmart pro využití čipových karet

Programové vybavení OKsmart pro využití čipových karet Spojujeme software, technologie a služby Programové vybavení OKsmart pro využití čipových karet Ukázky biometrické autentizace Ing. Vítězslav Vacek vedoucí oddělení bezpečnosti a čipových karet SmartCard

Více

Čipové karty úvod, Ing. Jiří Buček. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze

Čipové karty úvod, Ing. Jiří Buček. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Čipové karty úvod, Java Card Ing. Jiří Buček Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze LS 2010/11, Předn. 5. (c) Jiří Buček, 2010. Evropský sociální

Více

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s.

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s. František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s. 2 České elektronické občanské průkazy co umí dnes a jaký mají potenciál 3 Obsah

Více

Použití čipových karet v IT úřadu

Použití čipových karet v IT úřadu Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous 9. 10. 6. 2011 1 Použití bezkontaktních čipových karet Přístupové systémy

Více

OKsmart a správa karet v systému OKbase

OKsmart a správa karet v systému OKbase OKsmart a správa karet v systému OKbase Od personalizace a sledování životního cyklu karet až k bezkontaktní autentizaci a elektronickému podpisu Spojujeme software, technologie a služby Martin Primas

Více

Čipové karty Lekařská informatika

Čipové karty Lekařská informatika Čipové karty Lekařská informatika Následující kód je jednoduchou aplikací pro čipové karty, která po překladu vytváří prostor na kartě, nad kterým jsou prováděny jednotlivé operace a do kterého jsou ukládány

Více

Reverzování NFC karet

Reverzování NFC karet Reverzování NFC karet především platebních (EMV) Ondrej Mikle ondrej.mikle@gmail.com 13.9.2014 Bezkonktatní (RFID) karty 125kHz / 134.2kHz: EM4x0x, Casi Rusco, HITAG 1, HITAG 2, HITAG S, MIRO, IDTECK,

Více

Představení systému MAP

Představení systému MAP Představení systému MAP 22.11.2013 1 Obsah prezentace Důvod vzniku systému MAP Nové prvky systému MAP Kde lze MAP kartu použít? Bezpečnost systému MAP karty Architektura systému Centrální MAP autorita

Více

Reverzování NFC EMV karet. Ondrej Mikle ondrej.mikle@nic.cz 29.11.2014

Reverzování NFC EMV karet. Ondrej Mikle ondrej.mikle@nic.cz 29.11.2014 Reverzování NFC EMV karet Ondrej Mikle ondrej.mikle@nic.cz 29.11.2014 Platební karty (EMV) čip je většinou JavaCard nebo Multos kolem 64-128 kb místa bezkontaktní část komunikuje protokolem ISO 14443A

Více

db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka

db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka Deutsche Bank, pobočka Praha Verze 8.2 červenec 2009 Obsah Obsah... 1 Úvod... 2 Detailní popis... 3 Zavedení

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Bezpečnost elektronických platebních systémů

Bezpečnost elektronických platebních systémů Katedra matematiky, Fakulta jaderná a fyzikálně inženýrská, České vysoké učení technické v Praze Plán Platby kartou na terminálech/bankomaty Platby kartou na webu Internetové bankovnictví Platby kartou

Více

Manuál pro práci s kontaktním čipem karty ČVUT

Manuál pro práci s kontaktním čipem karty ČVUT Stránka 1 z 28 Manuál pro práci s kontaktním čipem Stránka 2 z 28 Obsah 1 Instalace... 3 1.1 Postup instalace minidriveru pro Windows (totožný pro PKCS#11 knihovny)... 4 2 Práce s PIN a PUK... 5 3 Správa

Více

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb E-DOKLAD Elektronický občanský průkaz STÁTNÍ TISKÁRNA CENIN, státní podnik Petr Fikar, ředitel rozvoje produktů a služeb Občanský průkaz - základní informace V ČR vydávány od 1. 1. 2012 eop bez čipu eop

Více

Certifikáty a jejich použití

Certifikáty a jejich použití Certifikáty a jejich použití Verze 1.0 Vydání certifikátu pro AIS Aby mohl AIS volat egon služby ISZR, musí mít povolen přístup k vnějšímu rozhraní ISZR. Přístup povoluje SZR na žádost OVM, který je správcem

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

EXTRAKT z mezinárodní normy

EXTRAKT z mezinárodní normy EXTRAKT z mezinárodní normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě ICS: 03.220.01; 35.240.60 Komunikační infrastruktura pro pozemní ISO 24101-2 mobilní

Více

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky Využívání čipových karet na MPSV Mgr. Karel Lux, vedoucí odd. koncepce informatiky Smart Card Forum OKsystem 22. května 2008 Krátký pohled do historie - proč právě MPSV? zvažovalo možnosti využití čipových

Více

Elektronické OP v EU. Poučíme se ze zkušeností zemí, které vydaly a používají eop? Ivo Rosol ředitel vývojové divize

Elektronické OP v EU. Poučíme se ze zkušeností zemí, které vydaly a používají eop? Ivo Rosol ředitel vývojové divize Spojujeme software, technologie a služby Elektronické OP v EU Poučíme se ze zkušeností zemí, které vydaly a používají eop? Ivo Rosol ředitel vývojové divize 1 Identifikační čipové doklady Prvním běžně

Více

Windows Server 2003 Active Directory

Windows Server 2003 Active Directory Windows Server 2003 Active Directory Active Directory ukládá informace o počítačích, uživatelích a ostatních objektech v síti. Zpřístupňuje tyto zdroje uživatelům. Poskytuje komplexní informace o organizaci,

Více

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20 ČSN ISO/IEC 7064 Information technology -- Security techniques -- Check character systems Zpracování dat. Systémy kontrolních znaků ČSN BS 7799-2 Information Security Management Systems -- Specification

Více

Prokazování dlouhodobé platnosti datových zpráv. Jihlava, 31.1.2012

Prokazování dlouhodobé platnosti datových zpráv. Jihlava, 31.1.2012 Prokazování dlouhodobé platnosti datových zpráv Jihlava, 31.1.2012 Informační systém datových schránek Aktuální data k 29.1. 2012 431 062 aktivních datových schránek 68 884 490 úspěšně odeslaných datových

Více

Správa stanic a uživatelského desktopu

Správa stanic a uživatelského desktopu Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1 Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských

Více

Management procesu I Mgr. Josef Horálek

Management procesu I Mgr. Josef Horálek Management procesu I Mgr. Josef Horálek Procesy = Starší počítače umožňovaly spouštět pouze jeden program. Tento program plně využíval OS i všechny systémové zdroje. Současné počítače umožňují běh více

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

VaV projekt TA02030435 je řešen s finanční podporou TA ČR

VaV projekt TA02030435 je řešen s finanční podporou TA ČR VaV projekt TA02030435 je řešen s finanční podporou TA ČR OIS vazby: XTC CCL Centrální clearing Centrální úroveň CIS CDIS Centrální dispečink 3 18 20 Kartové systémy PL - Personalizační linka funkce SW

Více

Nadpis. Nadpis 2. Božetěchova 2, 612 66 Brno jmeno@fit.vutbr.cz. ihenzl@fit.vutbr.cz

Nadpis. Nadpis 2. Božetěchova 2, 612 66 Brno jmeno@fit.vutbr.cz. ihenzl@fit.vutbr.cz Nadpis 1 Nadpis 2 Čipové Nadpis karty 3 Jméno Martin Příjmení Henzl VysokéVysoké učení technické učení technické v Brně,vFakulta Brně, Fakulta informačních informačních technologií technologií v Brně Božetěchova

Více

Sklady 2006. Zadávací dokumentace Verze 1.0

Sklady 2006. Zadávací dokumentace Verze 1.0 Sklady 2006 Zadávací dokumentace Verze 1.0 ApS Brno s.r.o., 2006 Kapitola 1. Obsah KAPITOLA 1. OBSAH... 2 KAPITOLA 2. ÚVOD... 3 KAPITOLA 3. TERMINÁLY... 4 A. PODPOROVANÁ PERIFERNÍ ZAŘÍZENÍ... 4 KAPITOLA

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa verze 1.9., platná od 1.1.2010 Úvod Tento materiál určuje provozní pravidla, kterými se řídí sdružení CZ.NIC při správě DNSSEC klíčů, konkrétně postupy

Více

Zranitelnosti ovladačů jádra v praxi Martin Dráb martin.drab@email.cz

Zranitelnosti ovladačů jádra v praxi Martin Dráb martin.drab@email.cz Zranitelnosti ovladačů jádra v praxi Martin Dráb martin.drab@email.cz Obsah Ovladače a zařízení Virtuální paměť Komunikace s ovladači Útoky na chybné ošetřování vstupů Systémová volání Útok záměnou argumentů

Více

Identifikace a autentizace

Identifikace a autentizace Identifikace a autentizace Identifikace - zjišťování totožnosti Autentizace - ověření identity - autentizace» zadání hesla - autentizace pomocí znalostí (hesla), vlastnictví (karty), biologických předpokladů

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Asymetrická kryptografie a elektronický podpis Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Asymetrická, symetrická a hybridní kryptografie Matematické problémy, na kterých

Více

Jak efektivně ochránit Informix?

Jak efektivně ochránit Informix? Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Elektronický výběr poplatků (EFC) Definice rozhraní

Více

Co nového ve spisové službě? Národní standard pro elektronické systémy spisové služby a jeho optimalizace

Co nového ve spisové službě? Národní standard pro elektronické systémy spisové služby a jeho optimalizace Co nového ve spisové službě? Národní standard pro elektronické systémy spisové služby a jeho optimalizace Tomáš Dvořák, Archiv hl. města Prahy Radek Pokorný, Státní okresní archiv Hradec Králové DRMS Forum

Více

Základní registry veřejné správy. Ing.Ondřej Felix, CSc., hlavní architekt egovernmentu MV ČR

Základní registry veřejné správy. Ing.Ondřej Felix, CSc., hlavní architekt egovernmentu MV ČR Základní registry veřejné správy Ing.Ondřej Felix, CSc., hlavní architekt egovernmentu MV ČR Současný stav v oblasti dat veřejné správy Roztříštěnost, nejednotnost a multiplicity ve vedení klíčových databází

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

POKYNY K INSTALACI JAVA PLUGINU A ELEKTRONICKÉHO PODPISU V SYSTÉMU ELZA. Stav ke dni 1.1.2013 verze 1.0

POKYNY K INSTALACI JAVA PLUGINU A ELEKTRONICKÉHO PODPISU V SYSTÉMU ELZA. Stav ke dni 1.1.2013 verze 1.0 POKYNY K INSTALACI JAVA PLUGINU A ELEKTRONICKÉHO PODPISU V SYSTÉMU ELZA Stav ke dni 1.1.2013 verze 1.0 Obsah: 1 Úvod... 3 2 Postup instalace JAVA pluginu... 4 2.1.1 Test instalace Java pluginu v prohlížeči...

Více

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o.

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. Digitální identita zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. 0 18.2.2009 Security 2009 Ověřování identity o co jde? nutnost prokazování identity osob není nic

Více

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík Zabezpečení citlivých dat informačních systémů státní správy Ing. Michal Vackář Mgr. Boleslav Bobčík Citlivá data? Co to je? Kde to je? Kdo to za to odpovídá? Jak je ochránit? Jak se z toho nezbláznit

Více

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptografie, elektronický podpis Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptologie Kryptologie věda o šifrování, dělí se: Kryptografie nauka o metodách utajování smyslu zpráv převodem do podoby,

Více

MXI řešení nabízí tyto výhody

MXI řešení nabízí tyto výhody MXI řešení nabízí tyto výhody Přenositelnost Zero-Footprint technologie Nezanechává žádnou stopu (klíče nebo software) v zařízeních, na kterých je používáno, což je důležité z bezpečnostních důvodů a dovoluje

Více

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification Důvěřujte JEN PROVĚŘENÝM Pavel Dobiš, ICT Security Architect Agenda Aplikace PIV v MO USA Architektura PIV Fyzická bezpečnost a PIV Informační bezpečnost a PIV Co je to PIV není Pivo :o) Soubor lidí, procesů

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Komunikační infrastruktura pro pozemní mobilní zařízení (CALM) Architektura

Více

Jak může probíhat vedení čistě elektronické zdravotní dokumentace v NIS

Jak může probíhat vedení čistě elektronické zdravotní dokumentace v NIS Jak může probíhat vedení čistě elektronické zdravotní dokumentace v NIS Ing. Petr Jelínek, STAPRO s.r.o. s využitím podkladů M. Novotného, P. Grodzického, J. Horáka a dalších Cíl řešení elektronické zdravotní

Více

Certifikace pro výrobu čipové karty třetí stranou

Certifikace pro výrobu čipové karty třetí stranou Certifikace pro výrobu čipové karty třetí stranou Obsah: 1. Obsah 2. Seznam použitých zkratek 3. Úvod a cíl dokumentu 4. Certifikovaný dodavatel 5. Postup certifikace výroby BČK 6. Popis technologií 7.

Více

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší Uživatelská příručka Verze 2.16 a vyšší Obsah SecureStore I.CA 1. ÚVOD... 3 2. PŘÍSTUPOVÉ ÚDAJE KE KARTĚ... 3 2.1 Inicializace karty... 3 3. ZÁKLADNÍ OBRAZOVKA... 3 4. ZOBRAZENÍ INFORMACÍ O PÁRU KLÍČŮ...

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

10 Balíčky, grafické znázornění tříd, základy zapozdření

10 Balíčky, grafické znázornění tříd, základy zapozdření 10 Balíčky, grafické znázornění tříd, základy zapozdření Studijní cíl Tento studijní blok má za cíl pokračovat v základních prvcích jazyka Java. Konkrétně bude věnována pozornost příkazům balíčkům, grafickému

Více

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu V Y H L Á Š K A Úřadu pro ochranu osobních údajů ze dne 3. října 2001 o upřesnění podmínek stanovených v 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu

Více

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény DNSSEC Validátor - doplněk prohlížečů proti podvržení domény CZ.NIC z.s.p.o. Martin Straka / martin.straka@nic.cz Konference Internet a Technologie 12 24.11.2012 1 Obsah prezentace Stručný úvod do DNS

Více

Uživatelské účty k modulům APV OKnouze/Okslužby pro kraje

Uživatelské účty k modulům APV OKnouze/Okslužby pro kraje OKsystem a.s. Na Pankráci 125, 140 21 Praha 4, IČ 27373665 Projekt Dokument Odpovědná osoba Klasifikace: APV OKnouze/OKslužby Uživatelské účty k modulům APV OKnouze/Okslužby pro kraje Ing. Radomír Martinka

Více

Bezpečn č os o t t dat

Bezpečn č os o t t dat Bezpečnost dat Richard Biječek Samostatný pevný disk RAID (Redundant Array of Independent Disks) SW implementace (Dynamické disky) HW řešení (BIOS, Řadič disků) Externí disková pole iscsi Fiber Channel

Více

ZIFO, AIFO a bezpečnost osobních údajů

ZIFO, AIFO a bezpečnost osobních údajů ZIFO, AIFO a bezpečnost osobních údajů v systému ZR Ing. Eva Vrbová ředitelka Odboru základních identifikátorů Hradec Králové 2. 3. 4. 2012 Agenda Postavení informačního systému ORG Aktuální problematika

Více

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace Česká republika Vlastník: Logica Czech Republic s.r.o. Page 1 of 10 Česká republika Obsah 1. Úvod...3 2. Východiska a postupy...4 2.1 Způsob dešifrování a ověření sady přístupových údajů...4 2.2 Způsob

Více

Artikul system s.r.o. www.dsarchiv.cz UŽIVATELSKÁ PŘÍRUČKA tel. +420 727 827 422 dsarchiv@artikulsystem.cz

Artikul system s.r.o. www.dsarchiv.cz UŽIVATELSKÁ PŘÍRUČKA tel. +420 727 827 422 dsarchiv@artikulsystem.cz Obsah DS Archiv... 2 Nastavení připojení k internetu... 2 Nastavení aplikace... 3 Nastavení databáze... 4 Nastavení datové schránky... 4 Příjem zpráv z datové schránky... 6 Odeslání zprávy... 7 Ověření

Více

Správa přístupu PS3-2

Správa přístupu PS3-2 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-2 1 Osnova II základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; srovnání současných

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 1 k č.j. MV-159754-3/VZ-2013 Počet listů: 9 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 1. Obecná informace 1.1. Účel veřejné zakázky Projekt Czech POINT v současné

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

INSTALACE SOFTWARE PROID+ NA MS WINDOWS INSTALACE SOFTWARE PROID+ NA MS WINDOWS Pro správnou funkčnost ProID+ je třeba na daný počítač instalovat ovládací software ProID+. Instalace ovládacího software ProID+ se provádí pomocí instalačního balíčku.

Více

3. Je defenzivní programování technikou skrývání implementace? Vyberte jednu z nabízených možností: Pravda Nepravda

3. Je defenzivní programování technikou skrývání implementace? Vyberte jednu z nabízených možností: Pravda Nepravda 1. Lze vždy z tzv. instanční třídy vytvořit objekt? 2. Co je nejčastější příčinou vzniku chyb? A. Specifikace B. Testování C. Návrh D. Analýza E. Kódování 3. Je defenzivní programování technikou skrývání

Více

Z internetu do nemocnice bezpečně a snadno

Z internetu do nemocnice bezpečně a snadno Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014 1 Z internetu do nemocnice bezpečně a snadno Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura

Více

Roční periodická zpráva projektu

Roční periodická zpráva projektu WAK-1F44C-2005-2 WAK System Název projektu: Automatizovaná výměna dat mezi informačními systémy krizového řízení v dopravě s jednotným univerzálním a implementovaným rozhraním založeným na standardu webových

Více

IDENTIFIKAČNÍ DOKLADY V ČESKÉ REPUBLICE. František MALEČ STÁTNÍ TISKÁRNA CENIN, státní podnik

IDENTIFIKAČNÍ DOKLADY V ČESKÉ REPUBLICE. František MALEČ STÁTNÍ TISKÁRNA CENIN, státní podnik IDENTIFIKAČNÍ DOKLADY V ČESKÉ REPUBLICE František MALEČ STÁTNÍ TISKÁRNA CENIN, státní podnik 1 ÚVOD Identifikační doklady České republiky Občanské průkazy Biometrické pasy Projekt ecestovních dokladů Vize

Více

PRŮBĚHOVÝ TEST Z PŘEDNÁŠEK

PRŮBĚHOVÝ TEST Z PŘEDNÁŠEK PRŮBĚHOVÝ TEST Z PŘEDNÁŠEK listopad 2009 souhrn v1 Červené dobře (nejspíš), modré možná Oracle Internet Directory OID: Databáze nemůže z OID přebírat seznam uživatelů *Databáze může získat z OID seznam

Více

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH Tomáš Vaněk ICT Security Consultant ELEKTRONICKÝ PODPIS A JEHO VLASTNOSTI Uplatnění elektronického podpisu a časového razítka Integrita Identifikace Nepopiratelnost

Více

Web Services na SOAP

Web Services na SOAP Web Services Používají HTTP Existují dvě varianty: Služby postavené na protokolu SOAP Java standard pro vytváření : JAX-WS RESTfull služby Java standard pro vytváření : JAX-RS Web Services na SOAP Žádost

Více

2 Popis softwaru Administrative Management Center

2 Popis softwaru Administrative Management Center Testovací protokol USB token ikey 4000 1 Úvod 1.1 Testovaný produkt Hardware: USB token ikey 4000 Software: Administrative Management Center 7.0 Service Pack 8 SafeNet Borderless Security 7.0 Service Pack

Více

DNSSEC 22. 4. 2010. Pavel Tuček xtucek1@fi.muni.cz

DNSSEC 22. 4. 2010. Pavel Tuček xtucek1@fi.muni.cz DNSSEC 22. 4. 2010 Pavel Tuček xtucek1@fi.muni.cz Obsah 1. Co je DNS a co zajišťuje? 2. Problémy DNS. 3. Co je DNSSEC a co přináší nového? 4. Principy, technologie a algoritmy použité v DNSSEC 5. Jak DNSSEC

Více

Teoretické minimum z PJV

Teoretické minimum z PJV Teoretické minimum z PJV Pozn.: následující text popisuje vlastnosti jazyka Java zjednodušeně pouze pro potřeby výuky. Třída Zavádí se v programu deklarací třídy což je část programu od klíčových slov

Více

Vstupně - výstupní moduly

Vstupně - výstupní moduly Vstupně - výstupní moduly Přídavná zařízení sloužící ke vstupu a výstupu dat bo k uchovávání a archivaci dat Nejsou připojována ke sběrnici přímo, ale prostřednictvím vstupně-výstupních modulů ( ů ). Hlavní

Více

7. Integrita a bezpečnost dat v DBS

7. Integrita a bezpečnost dat v DBS 7. Integrita a bezpečnost dat v DBS 7.1. Implementace integritních omezení... 2 7.1.1. Databázové triggery... 5 7.2. Zajištění bezpečnosti dat... 12 7.2.1. Bezpečnostní mechanismy poskytované SŘBD... 13

Více

7. Integrita a bezpečnost dat v DBS

7. Integrita a bezpečnost dat v DBS 7. Integrita a bezpečnost dat v DBS 7.1. Implementace integritních omezení... 2 7.1.1. Databázové triggery... 5 7.2. Zajištění bezpečnosti dat... 12 7.2.1. Bezpečnostní mechanismy poskytované SŘBD... 13

Více

Vhodnost nasazení jednotlivých webových architektur, sdílení dat, perzistence, webové služby a REST, asynchronnost, messaging

Vhodnost nasazení jednotlivých webových architektur, sdílení dat, perzistence, webové služby a REST, asynchronnost, messaging Vhodnost nasazení jednotlivých webových architektur, sdílení dat, perzistence, webové služby a REST, asynchronnost, messaging 1. Vhodnost nasazení jednotlivých webových architektur - toto je podle Klímy

Více

POKYNY K REGISTRACI PROFILU ZADAVATELE

POKYNY K REGISTRACI PROFILU ZADAVATELE POKYNY K REGISTRACI PROFILU ZADAVATELE Stav ke dni 4. 12. 2012 Obsah: 1 Úvod... 3 1.1 Podmínky provozu... 3 1.2 Pokyny k užívání dokumentu... 3 2 Registrace profilu zadavatele... 4 2.1 Přihlášení uživatele...

Více

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 12. Virtuální sítě (VLAN) Studijní cíl Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 1 hodina VLAN Virtuální síť bývá definována jako logický segment LAN, který spojuje koncové uzly, které

Více

EXTRAKT z mezinárodní normy

EXTRAKT z mezinárodní normy EXTRAKT z mezinárodní normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě ICS: 03.220.01; 35.240.60 CALM Základní přístupy k ochraně osobních dat z informačních

Více

Postup. Úvodem. Hlavní myšlenka frameworku. application. system. assets. uploads

Postup. Úvodem. Hlavní myšlenka frameworku. application. system. assets. uploads Postup Úvodem Můj úkol při tomto projektu byl vytvořit model pro data, dle návrhového vzoru MVC. Jelikož v poslední době pracuji spíše s návrhovým vzorem HMVC (http://en.wikipedia.org/wiki/hmvc) ve frameworku

Více

Uživatelská příručka

Uživatelská příručka www.rexcontrols.cz www.contlab.eu www.pidlab.com Ovladač systému REX pro 1-Wire (modul OwsDrv) Uživatelská příručka REX Controls s.r.o. Verze 2.10.7 (revize 2) Plzeň 16.12.2015 Obsah 1 Ovladač OwsDrv a

Více

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled Windows 2008 R2 - úvod Jan Žák Operační systémy Windows Stručný přehled Klientské OS Windows 95, 98, ME Windows NT Windows 2000 Windows XP Windows Vista Windows 7 Windows CE, Windows Mobile Windows Phone

Více

Integrace mobilních zařízení do ICT, provoz tlustých aplikací na mobilních telefonech a tabletech Roman Kapitán, Citrix Systems Czech

Integrace mobilních zařízení do ICT, provoz tlustých aplikací na mobilních telefonech a tabletech Roman Kapitán, Citrix Systems Czech Integrace mobilních zařízení do ICT, provoz tlustých aplikací na mobilních telefonech a tabletech Roman Kapitán, Citrix Systems Czech 7.4.2014, konference Internet ve Státní Správě a Samosprávě Úvodem

Více

GP webpay: Správa objednávek, Web Services

GP webpay: Správa objednávek, Web Services GP webpay: Správa objednávek, Web Services červenec 2013 OBSAH: ÚVOD... 3 ON-LINE ADMINISTRACE PROSTŘEDNICTVÍM WEB SERVICES... 3 DRUHY PODPOROVANÝCH POŽADAVKŮ... 4 Approve Reversal... 6 Deposit... 9 Deposit

Více

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla Mobilní malware na platformě Android Přednáška 2 Ing. Milan Oulehla Úvod Informace o technikách, které používají tvůrci mobilního malware: Bezpečnostní chyby se mění v čase Vytvoření vlastních zdrojových

Více

OKbase řízení lidských zdrojů

OKbase řízení lidských zdrojů OKbase řízení lidských zdrojů Manažerský modul Ing. Ivo Rosol, CSc. Ing. Radek Kokeš 15. 11. 2011 1 OKbase Nová generace modulárního systému pro řízení lidských zdrojů. Hlavní funkce systému jsou obsaženy

Více

OBCHODNÍ PODMÍNKY PPF banky a.s. PRO PLATEBNÍ KARTY

OBCHODNÍ PODMÍNKY PPF banky a.s. PRO PLATEBNÍ KARTY OBCHODNÍ PODMÍNKY PPF banky a.s. PRO PLATEBNÍ KARTY OBSAH: 1. ÚVODNÍ USTANOVENÍ... 2 2. VÝKLAD POJMŮ... 2 3. OBECNÁ USTANOVENÍ... 3 4. VYDÁNÍ PK... 3 5. PIN... 4 6. PŘEVZETÍ PK... 4 7. POUŽÍVÁNÍ PK...

Více

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Elektronický podpis význam pro komunikaci. elektronickými prostředky MASARYKOVA UNIVERZITA V BRNĚ PRÁVNICKÁ FAKULTA Elektronický podpis význam pro komunikaci elektronickými prostředky (seminární práce) Lýdia Regéciová, UČO: 108551 Brno 2005 Úvod Snad každý z nás se v životě

Více

ipové karty, standardy PKCS#11, PKCS#15

ipové karty, standardy PKCS#11, PKCS#15 ipové karty, standardy PKCS#11, PKCS#15 Pod pojmem ipová karta (smart card) dnes rozumíme integrovaný obvod, zalisovaný v njakém nosii a obsahující procesor s dostaten velkou pamtí a software (operaní

Více

TRANSPORTY výbušnin (TranV)

TRANSPORTY výbušnin (TranV) TRANSPORTY výbušnin (TranV) Ze zákona vyplývá povinnost sledování přeprav výbušnin. Předpokladem zajištění provázanosti polohy vozidel v čase a PČR je poskytování polohy vozidla předepsaným způsobem. Komunikace

Více

Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss

Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss Vítězslav Vacek Vedoucí vývojového oddělení pro čipové karty Spojujeme software, technologie a služby 20.5.2010 1 Osnova Vývoj elektronických

Více

Technologické postupy práce s aktovkou IS MPP

Technologické postupy práce s aktovkou IS MPP Technologické postupy práce s aktovkou IS MPP Modul plánování a přezkoumávání, verze 1.20 vypracovala společnost ASD Software, s.r.o. dokument ze dne 27. 3. 2013, verze 1.01 Technologické postupy práce

Více

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager

DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2. Pavel Smolík Top Account Manager DATOVÉ SCHRÁNKY - SOUČÁST ICT ŘEŠENÍ TELEFÓNICA O2 Pavel Smolík Top Account Manager 2 Obsah prezentace Obsah Úvod. Architektura ISDS. Poskytované služby. Způsoby přístupu k ISDS. Bezpečnost. Doplňkové

Více

MATURITNÍ OTÁZKY ELEKTROTECHNIKA - POČÍTAČOVÉ SYSTÉMY 2003/2004 PROGRAMOVÉ VYBAVENÍ POČÍTAČŮ

MATURITNÍ OTÁZKY ELEKTROTECHNIKA - POČÍTAČOVÉ SYSTÉMY 2003/2004 PROGRAMOVÉ VYBAVENÍ POČÍTAČŮ MATURITNÍ OTÁZKY ELEKTROTECHNIKA - POČÍTAČOVÉ SYSTÉMY 2003/2004 PROGRAMOVÉ VYBAVENÍ POČÍTAČŮ 1) PROGRAM, ZDROJOVÝ KÓD, PŘEKLAD PROGRAMU 3 2) HISTORIE TVORBY PROGRAMŮ 3 3) SYNTAXE A SÉMANTIKA 3 4) SPECIFIKACE

Více

JSON API pro zjišťování cen MtG karet

JSON API pro zjišťování cen MtG karet JSON API pro zjišťování cen MtG karet Autor: Ing. Jiří Bažant Verze: 1.0 Datum: 20.9.2014 Changelog Verze Datum Autor Poznámka 1.0 17.9.2014 Ing. Jiří Bažant 20.9.2014 Ing. Jiří Bažant Oprava příkladu

Více

Česká pošta, s.p. Certifikační autorita PostSignum

Česká pošta, s.p. Certifikační autorita PostSignum Česká pošta, s.p. Certifikační autorita PostSignum 6. 12. 2012 Ing. Miroslav Trávníček Služby certifikační autority Kvalifikované certifikáty komunikace s úřady státní správy Komerční certifikáty bezpečný

Více