Systém GlobalPlatform

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "Systém GlobalPlatform"

Transkript

1 Systém GlobalPlatform Specifikace pro správu čipových karet Ivo Rosol ředitel divize vývoje Praha,

2 GlobalPlatform GlobalPlatform je nezisková organizace, která identifikuje, vyvíjí a publikuje specifikace (mezinárodní průmyslové defacto standardy) pro bezpečné a interoperabilní nasazení a správu aplikací na bezpečných čipových technologiích. Organizace má 3 výbory Card Committee, Device Commitee (bezdrátová multiaplikační zařízení), Systems Commitee (systémová infrastruktura- back-office). Bližší informace a specifikace lze nalézt na web adrese 2

3 Global Platform - specifikace pro správu čipových karet Specifikace GlobalPlatform (GP) pro správu čipových karet s otevřeným systémem (Java Card, MULTOS): GP umožňuje vydavatelům čipových karet vytvářet jedno i víceaplikační systémy, které mohou pružně reagovat na budoucí požadavky. Specifikace GP tak chrání nejvýznamnější část investic do systému čipových karet infrastrukturu. Čipové karty, které mají implementován systém podle specifikací GP, umožňují používat bezpečný mechanismus nahrávání a instalace aplikací na kartu a zajistit tak řízení životního cyklu multiaplikačních karet. Návrh GP předpokládá, že vydavatel nechce nutně spravovat veškerý obsah karty, zejména ten obsah, který mu nepatří. 3

4 Cíl prezentace V přednášce budou diskutovány především následující mechanismy specifikace GP v2.2: Architektura čipové karty se systémem GP Výklad základních pojmů Životní cyklus aplikace a domény Správa obsahu čipové karty Práva aplikací a domén Práva ke klíčům Bezpečnostní operace při nahrávání kódu aplikace Delegovaná správa Příklady užití GlobalPlatform pro různé modely správy čipových karet 4

5 Architektura čipové karty se systémem GP 5

6 Výklad pojmů 1/6 Bezpečnostní domény jsou privilegované (systémové) aplikace (nikoli místa v paměti, do kterých se instalují aplikace), mají nastaveno právo #0 Security Domain. Obsahují kryptografické klíče, určené pro vytvoření bezpečného kanálu a pro autorizaci operací pro správu karty. Prostřednictvím domén se provádí (inicializuje) správa obsahu karty 6

7 Výklad pojmů 2/6 Load File soubor určený k nahrání na GP kartu, který obsahuje Load File Data Block a volitelně jeden nebo více DAP bloků. Výsledkem nahrání Load File je Executable Load File rezidentní na kartě a příslušný záznam v GP registru. Load File Data Block část Load File, která obsahuje jednu nebo více aplikací, případně knihoven. Struktura není předepsána GP, pro Java Card se jedná o CAP file. Load File Data Block Hash hodnotou je SHA-1 hash Load File Data Block. Hash se používá k ověření integrity Load File Data Block před tím, než OPEN vytvoří Executable Load File. Load File Data Block Hash je povinný parametr příkazů INSTALL (for load) v případech, kdy se používá Delegated Management (Load File obsahuje Token) a/nebo když Load File obsahuje DAP blok. 7

8 Výklad pojmů 3/6 Executable Load File výsledný kontejner rezidentní na kartě pro jeden nebo více vykonavatelných aplikačních modulů (Executable Module). Může být uložen v paměti ROM, nebo EEPROM jako výsledek operací INSTALL [for load] a následných operací LOAD File Data Block. Pozor, nejedná se o spustitelnou aplikaci, není provedena instalace. Má asociováno unikátní AID. Executable Module obsahuje kód vykonatelný na kartě pro jednu aplikaci (aplet), je obsažený v Executable Load File. Pozor, nejedná se o Selectable Application. Má asociováno unikátní AID. Application Spustitelná aplikace s unikátním AID, kterou lze vybrat příkazem SELECT. Vznikne instalací Executable Module. Obecně z jednoho Executable Module může být instalováno více instancí aplikace. 8

9 Výklad pojmů 4/6 Token (pověření k delegované správě, podpis APDU pro delegovanou správu) Token se vyskytují výhradně v souvislosti s delegovanou správou (Delegated Management) nebo autorizovanou správou (Authorised Management), kdy vnější entita není vlastníkem domény. Vlastník domény s právem Token Verification vytváří pomocí svého privátního klíče (RSA 1024) Token a poskytuje ho vlastníkovi domény (která má typicky právo DELEGATED MANAGEMENT), která provádí operaci správy obsahu karty. Během vykonávání této operace je Token verifikován na kartě doménou s právem Token Verification veřejným klíčem této domény. Token může být použit na více kartách. Pro každý typ správní operace existuje typ Tokenu (LOAD, INSTALL, MAKE SELECTABLE, EXTRADITION, REGISTRY UPDATE, DELETE). Token obsahuje podpis jedné, nebo více funkcí pro správu (v podstatě podpis APDU). Token je umístěn v datové části APDU INSTALL 9

10 Výklad pojmů 5/6 DAP block (podpis kódu aplikace) DAP block je určen pro ověření autenticity Load File Data Block pomocí ověření Load File Data Block Signature, který je generován externí entitou, buď poskytovatelem aplikace, nebo kontrolní autoritou. DAP Block je TLV struktura, která je umístěna na začátku Load File (na rozdíl o Token není součástí struktury datové části APDU), obsahující AID domény a Load File Data Block Signature. Load File Data Block může být podepsán buď nesymetrickým privátním klíčem (RSA 1024), nebo 3DES2 klíčem, podpisuje se Load File Data Block Hash. Podpis v DAP Block ověřuje doména s právem DAP Verification. 10

11 Výklad pojmů 6/6 Receipt Podepsané potvrzení provedené operace správy čipové karty. Doména s právem Receipt Generation (jediná na kartě) vytváří potvrzenky správních operací při delegované správě s použitím klíče RSA 1024 nebo 3DES2. Potvrzenka se skládá z podpisu dat operace, která byla provedena, spolu s jedinečnými daty karty Card Unique Data. Potvrzenka je důkaz, že byl příkaz pro správu karty proveden. Potvrzenka (pokud je přítomna) je součástí APDU Response. 11

12 OPEN GlobalPlatform Environment OPEN je jádro systému GlobalPlatform, poskytuje prostředí a API pro aplikace pomocí následujících služeb: Nahrání kódu aplikací a s tím spojenou správu karet a paměti Instalaci aplikací nahraných na kartu Výběr aktivní aplikace a směrování příkazů na aktivní aplikaci Vlastnictví a údržba Global Platform Registry, jako základní zdroj informací pro správu karty 12

13 Správa obsahu GP karty prostřednictvím domén Správa obsahu karty se provádí prostřednictvím bezpečnostních domén. Správou obsahu rozumíme nahrávání kódu (load), instalaci aplikací, přemístění aplikace do jiné domény (extradition), změnu obsahu GP registru včetně práv aplikací a smazání obsahu karty. 13

14 Nahrání obsahu karty a instalace aplikace Nahrání (load) slouží k přidání kódu do přepisovatelné persistentní paměti (EEPROM). Nahrání může být provedeno do domény provádějící instalaci, nebo do jiné domény, pak se jedná o tzv. implicitní extradici. Instalace slouží k vytvoření vykonavatelného kódu z předem nahraného aplikačního kódu (zapíše instanci do registru GP, nastaví práva instance, spustí metodu aplikace install (Java Card), která s využitím instalačních parametrů alokuje paměť instance, vytvoří objekty instance, a registruje aplikaci v systému Java Card). Instalace může proběhnout současně s procesem nahrání, bezprostředně poté, nebo kdykoli později. Doména s právem AUTHORISED_MANAGEMENT nebo DELEGATED_MANAGEMENT může nahrát aplikaci do libovolné domény. 14

15 Aplikace v paměti čipové karty Executable Load File (package) Executable Module (applet) instance aplikace v paměti čipové karty 15

16 GlobalPlatform Registry Všechny aplikace, včetně všech domén a všechny Executable Load File musí mít záznam v GP registru. GP Registr obsahuje následující data (formát není stanoven): Data Aplikace AID aplikace, unikátní na kartě (AID aplikace může být stejné jako AID jejího Executable module) stav životního cyklu aplikace (týká se i Executable Load File/Module) paměť, která je k dispozici pro tuto aplikaci práva aplikace (App Privileges) příznak implicitní aplikace přiřazené AID Security Domain identifikace poskytovatele aplikace identifikace globální služby poskytované Global Service aplikací (například globální PIN) Data karty (uložena podobně jako data aplikací) Čítače alokace paměti pro aplikace 16

17 Poznámky k registru Aplikace nemusí znát AID své domény, je to zapsáno v registru (aplikace lze přesouvat mezi doménami, nebylo by vhodné, aby AID domény bylo zapsáno v aplikaci). Aplikace by měla znát své vlastní AID SD má také asociováno vlastní AID, nebo AID jiné SD (hierarchie SD) Datové struktury GP registru nejsou určené, jsou implementačně závislé Pokud GP podporuje volitelnou správu paměti, čítače v GP registru registrují v bajtech alokaci persistentní (EEPROM) i RAM paměti zvlášť pro kód a data. Požadavky aplikace na paměť jsou definovány v rámci příkazů INSTALL [for load] a INSTALL [for install] 17

18 Bezpečnostní domény 1/3 Bezpečnostní domény jsou privilegované (systémové) aplikace (nikoli místa v paměti, do kterých se instalují aplikace), mají nastaveno právo #0 Security Domain. Obsahují kryptografické klíče, určené pro vytvoření bezpečného kanálu a pro autorizaci operací pro správu karty. Prostřednictvím domén se provádí (inicializuje) správa obsahu karty. Podle svého určení rozeznáváme 3 typy domén - doména vydavatele, kontrolní autority a aplikační domény. Všechny typy domén provádějí práci s klíči (key management), šifrování, dešifrování, vytvoření a ověření elektronického podpisu pro vlastníky domény. Každá doména implementuje Secure Channel Protocol pro bezpečnou komunikaci mezi externím vlastníkem domény a doménou. 18

19 Bezpečnostní domény 2/3 Všechny karty mají povinnou jedinou doménu vydavatele. Poskytovatelé aplikací mohou mít svojí vlastní doménu ke správě svých aplikací, s klíči, které jsou nezávislé na vydavateli karty. APDU příkazy jsou přijímány doménou do které patří aplikace, a prostřednictvím GP Trusted Framework posílány aplikaci. Každý Load File, Executable Module má AID a přiřazené AID své Security Domain a může používat její kryptografické funkce. Každá doména je odpovědna za správu svých klíčů. Klíče domény lze využít pro aplikace této domény pro bezpečnou komunikaci při personalizaci a pro bezpečnou komunikaci při běhu aplikace (pokud aplikace nemá vlastní klíče pro SM) 19

20 Bezpečnostní domény 3/3 Dodatečné bezpečnostní domény mohou volitelně udržovat svá identifikační data pro CMS: Identifikační číslo poskytovatele (vlastníka) domény identifikátor používaný pro CMS, typicky obsahuje identifikaci vlastníka domény podle ISO 7812 Security Domain Image Number - - identifikátor používaný pro správu aplikací v rámci CMS k jednoznačné identifikaci domény na kartě Security Domain Management Data data popisující vlastnosti domény, například jaký SC protokol použít pro komunikaci s doménou. Tato data jsou vrácena v odpovědi na příkazy SELECT a GET DATA. Tato data, pokud existují, musí být k dispozici prostřednictvím příkazu GET DATA. 20

21 Doména vydavatele Doména vydavatele pracuje stejně jako ostatní domény, ale má následující speciální vlastnosti: Je první aplikace instalovaná na kartě, je povinná pro každou kartu. GP nedefinuje způsob vzniku domény vydavatele na kartě a nepředepisuje, aby byla doména vydavatele zavedena a instalována stejně jako ostatní aplikace (domény) Je asociována sama se sebou a není možné provést její extradici (asociaci s jinou doménou) Nemá svůj životní cyklus, používá (dědí) životní cyklus karty Je vybrána příkazem SELECT bez parametrů, nebo pokud není jiná aplikace s právem Card Reset, případně implicitly selectable Má právo Card Reset, pokud není jiná aplikace s tímto právem Automaticky získává právo Card Reset, pokud je smazána doména s tímto právem Má právo Final Application, pokud není jiná aplikace s tímto právem,aautomaticky získává právo Final Application, pokud je smazána doména s tímto právem Je vybrána příkazem SELECT bez parametrů Stává se implicitně vybranou aplikací, pokud je smazána implicitně vybraná aplikace Vlastní data Issuer Identification Number (identifikuje vydavatele a tím i příslušný CMS), Card Image Number (jednoznačně identifikuje kartu v CMS), Card Recognition Data (popisuje kartu pro CMS typ karty, jaký Secure Channel Protocol podporuje). Tato data musí být k dispozici prostřednictvím příkazu GET DATA. 21

22 Hierarchie domén Každý Executable Load File je zpočátku asociován s doménou, prostřednictvím které byl nahrán, může však být implicitně nebo explicitně přemístěn do jiné domény. Hierarchie domén začíná v kořenové doméně, která je asociována sama se sebou. Na počátku je jediná kořenová doména ISD. Další nezávislý kořen je možné vytvořit pomocí extradice domény s asociací sama na sebe. Aplikace musí být po instalaci personalizována a musí obdržet své aplikační klíče a personalizační data, k tomu se využívá služeb asociované domény. Aplikace (včetně domén) mohou používat kryptografické služby své asociované domény. 22

23 Vztah aplikace a asociované domény Aplikace (včetně domén) mohou používat služby asociované domény pro vytvoření Secure Cannel Session a další kryptografické služby domény pro personalizaci a při runtime. Je to výhodné, pokud aplikace nemá vlastní klíče a pokud to dovoluje bezpečnostní politika aplikace. Doména je schopna přijmout příkaz STORE DATA určený pro některou z aplikací domény. Doména příkaz rozbalí a předá aplikaci. 23

24 Klíče domény Domény obsahují kryptografické klíče pro podporu Secure Channel Protocol a pro autorizaci příkazů pro správu. Klíče mají nastaveny typ (DES/TDES/AES/HMAC/RSA, mód a formát uložení) a použití klíče. Práva ke klíčům jsou uložena v rámci přístupového byte. Přístupová práva ke klíčům uloženým v doméně jsou následující: Klíče může používat pouze doména (hodnota 01 ) Klíče mohou používat autorizovaní uživatelé různí od vlastníka, například aplikace asociované s doménou (hodnota 02 ) Klíče mohou používat libovolní autorizovaní uživatelé včetně vlastníka, tedy vlastní doména i její aplikace (hodnota 00 ) 24

25 Životní cyklus aplikace Stav INSTALLED Stav INSTALLED znamená, že vykonavatelný kód aplikace je sestaven, aplikaci je přidělena paměť a pro aplikaci je vytvořen záznam v registru GP. Zatímco záznam v registru je dostupný autentizovaným vnějším entitám, samotnou aplikaci dosud nelze vybrat. Ve stavu INSTALLED se nepředpokládá, že je aplikace personalizovaná. Stav SELECTABLE Přechod ze stavu INSTALLED do SELECTABLE je nevratný, potřebné oprávnění k provedení přechodu má doména s právem Authorised Management nebo Delegated Management. Aplikace v tomto stavu je schopna být vybrána a přijímat příkazy od externí entity. Aplikační stavy instalované aplikace jsou odpovědností aplikace a GP je nedefinuje. Stav LOCKED Přechod do stavu LOCKED je možný z jakéhokoli stavu aplikace, včetně stavů definovaných aplikací. Tento přechod většinou reprezentuje bezpečnostní opatření, které může iniciovat samotná aplikace, doména této aplikace a doména s právem Global Lock. Přechod je reverzibilní, zpětný přechod nemůže iniciovat zablokovaná aplikace, pouze přímo nebo nepřímo přiřazená doména. V kterémkoli stavu životního cyklu aplikace může být aplikace smazána. Paměťový prostor aplikace je uvolněn a příslušný záznam v registru smazán a GP nevede žádnou informaci o smazaných aplikacích (tudíž neexistuje stav DELETED). 25

26 Životní cyklus domény Stav INSTALLED Pro doménu ve stavu INSTALLED vytvořen záznam v registru GP. Zatímco záznam v registru je dostupný autentizovaným vnějším entitám, samotnou doménu dosud nelze vybrat, ani ji nelze asociovat s aplikací Stav SELECTABLE Doména ve stavu SELECTABLE je schopna být vybrána a přijímat příkazy (příkazy pro personalizaci domény), dosud ale nemá instalovány klíče. Nemůže tudíž být asociována s Executable Load File ani s aplikacemi a aplikace nemohou využívat její služby. Přechod ze stavu INSTALLED do SELECTABLE je ireverzibilní. Stav PERSONALISED Přechod ze stavu SELECTABLE do stavu PERSONALISED je ireverzibilní. Doména v tomto stavu má instalovány klíče, může být vybraná externí entitou, asociovaná s Executable Load File nebo s aplikacemi a poskytovat své služby asociovaným aplikacím. Stav LOCKED Tento přechod většinou reprezentuje bezpečnostní opatření, které může iniciovat samotná doména, asociovaná (nadřízená) doména této domény, aplikace a doména s právem Global Lock. V tomto stavu doména nemůže být použita pro delegovanou správu a instalaci aplikací. Operace DAP Verification, Extradition a další služby domény nejsou v tomto stavu dostupné. Přechod je reverzibilní, zpětný přechod může iniciovat pouze nadřízená doména, nebo aplikace a doména s právem Global Lock. V kterémkoli stavu životního cyklu domény může být doména smazána. Paměťový prostor domény je uvolněn a příslušný záznam v registru smazán a GP nevede žádnou informaci o smazaných doménách. 26

27 Práva bezpečnostních domén a aplikací Práva aplikací jsou uložena (pouze) v GP registru. Právo nastavit práva má entita, která je schopna provést příkaz INSTALL [for install], nebo INSTALL [for make selectable]. Právo změnit práva má entita schopná provést příkaz INSTALL [for registry update]. Práva pro aplikaci (doménu) se nastavují při instalaci, v datovém poli příkazu INSTALL [for install]. V APDU jsou práva mapována jednotlivými bity v rámci 3 byte. Aplikaci jednotlivých práv lze omezit prostřednictvím parametru Restrict ( Tag D9 ] v rámci příkazu INSTALL [for registry update]. Na danou doménu pak práva podléhající restrikci nelze uplatnit. Toto nastavení je ireverzibilní. 27

28 Práva bezpečnostních domén a aplikací 1/3 # Právo Popis 0 Security Domain Aplikace je Security Domain 1 DAP Verification Aplikace (pouze Doména) je schopna ověřit DAP, musí být současně nastaveno právo Security Domain. Toto právo se nastavuje pro doménu poskytovatele aplikace, která ověřením DAP ověří integritu a autenticitu nahrané aplikace. 2 Delegated Management Aplikace (pouze Doména, současně musí být nastaveno právo Security Domain) je schopna provádět delegovanou správu (provádět příkazy LOAD, INSTALL, DELETE, EXTRADITE) s autorizací jinou (na kartě jedinou) doménou, která má právo Token Verification. Doména s právem Delegated Management může provést LOAD do kterékoli domény, cílová doména může ovšem provést kontrolu DAP, pokud má právo DAP Verification. Pokud ale nemá současně právo Global Delete, může mazat pouze svoje aplikace, které jsou s ní přímo nebo nepřímo asociovány. Může přesunovat (extradition) do jiné domény pouze svoje aplikace, které jsou s ní přímo nebo nepřímo asociovány. 3 Card Lock Aplikace má právo zablokovat kartu 4 Card Terminate Aplikace má právo ukončit kartu 5 Card Reset Aplikace má právo modifikovat Historical Bytes (část ATR) 28

29 Práva bezpečnostních domén a aplikací 2/3 # Právo Popis 6 CVM Management 7 Mandated DAP Verification Aplikace má právo na správu sdíleného CVM Cardholder Verification Method globální PIN Aplikace (pouze Doména) je schopna a vyžaduje ověřit DAP pro všechny operace LOAD, musí být současně nastaveno právo Security Domain a DAP Verification. Jedná se o doménu Kontrolní autority. 8 Trusted Path Aplikace (doména) je schopna využít GlobalPlatform Trusted Environment pro komunikaci mezi aplikacemi. 9 Authorised Management Aplikace (pouze Doména) je schopna provádět samostatnou (nikoliv delegovanou) správu obsahu karty (provádět příkazy LOAD, INSTALL, DELETE, EXTRADITE ). Nepotřebuje autorizační token k této činnosti ani doménu s právem Token Verification, musí mít současně nastaveno právo Security Domain. Pokud ale nemá současně právo Global Delete, může mazat pouze svoje aplikace, které jsou s ní přímo nebo nepřímo asociovány. Doména s tímto právem může provést LOAD do kterékoli domény, cílová doména může ovšem provést kontrolu DAP, pokud má právo DAP Verification. 29

30 Práva bezpečnostních domén a aplikací 3/3 # Právo Popis 10 Token Verification Aplikace (pouze jediná Doména na kartě) je schopna ověřit Token pro delegovanou správu. Neznamená to ale, že má právo na správu obsahu karty. Externí vlastník privátního klíče vytváří Token pro delegovanou správu. 11 Global Delete Aplikace může smazat libovolný obsah karty, i když patří do jiné domény 12 Global Lock Aplikace může zamknout (dočasně zablokovat) nebo odemknout libovolnou aplikaci, i když patří do jiné domény 13 Global Registry Aplikace má přístup k libovolnému záznamu v GP Registru 14 Final Application Jediná aplikace, která je přístupná ve stavu životního cyklu CARD_LOCKED a TERMINATED 15 Global Service Aplikace poskytuje globální služby ostatním aplikacím na kartě 16 Receipt Generation Aplikace je schopna generovat potvrzenky správních operací při delegované správě. Doména má čítač potvrzení, který inkrementuje při generování každé potvrzenky (max 32767). Toto právo samotné neumožňuje provádět správní operace. 30

31 Pravidla pro přiřazení práv Pouze jediná aplikace může mít přiřazeno právo Card Reset nebo Final Application, pokud je taková aplikace smazána, právo přejde na doménu vydavatele Authorised Management a Delegated Management nemohou být nastaveny současně, ostatní práva mohou být nastavena v libovolné kombinaci V předchozích verzích GP byla pouze práva 0-7 Doména vydavatele má v počátku nastavenu množinu práv: Security Domain, Authorized Management, Global Registry, GlobalLock, Global Delete, Token Verification, Card Lock, Card Terminate, Trusted Path, CVM Management, CardReset, Final Application and Receipt Generation. 31

32 Mechanismy GP pro správu karty Kryptografická podpora GP pro správu karty zahrnuje následující mechanismy: Load File Data Block Hash - je obsahem pole příkazu INSTALL [for load] pro kontrolu integrity nahrávaného kódu Data Authentication Patern (DAP) podpis Load File Data Block pro ověření integrity a autenticity kódu Delegated Management Token podpis funkce pověření pro správu (load, install, delete ) Receipts důkaz provedení správní operace 32

33 DAP Data Authentization Patern 33

34 Load Token Load Token zajišťuje: Na kartu může být nahrán pouze kód (Load File Data Block), jehož otisk je obsažen v podepsaném Token Executable Load File a všechny obsažené moduly mohou být asociovány pouze s doménou uvedenou v Token Vydavatel Token může být pouze entita vlastnící klíče domény s právem Token Verification 34

35 Install Token Install Token zajišťuje: Může být instalován pouze Executable Module, který je součástí Executable Load File, jejichž AID je uvedeno v Token Instance aplikace bude mít uvedené AID Pro aplikaci mohou být nastavena pouze práva uvedená v Token Mohou být použity pouze parametry uvedené v Token 35

36 Load Receipt Install Token zajišťuje: Může být instalován pouze Executable Module, který je součástí Executable Load File, jejichž AID je uvedeno v Token Instance aplikace bude mít uvedené AID Pro aplikaci mohou být nastavena pouze práva uvedená v Token Mohou být použity pouze parametry uvedené v Token 36

37 Nahrání a instalace aplikace 37

38 Schéma pro delegovanou správu se 2 doménami 38

39 Schéma pro delegovanou správu se 3 doménami 39

40 Příklady užití a konfigurace domén Vydavatel karty, jediná doména, jediná aplikace, nebo více aplikací vydavatele (všechny aplikace patří vydavateli karty, který je instaluje a spravuje) Víceaplikační karta, pouze doména vydavatele, více dodavatelů aplikací (všechny aplikace autorizuje, instaluje a spravuje vydavatel karty) Víceaplikační karta, doména vydavatele, více domén dodavatelů aplikací, kontrolní autorita (aplikace autorizované kontrolní autoritou instaluje vydavatel karty do domén dodavatelů aplikací) Víceaplikační karta, doména vydavatele, více domén dodavatelů aplikací, delegovaná správa, kontrolní autorita (aplikace mohou instalovat vlastníci domén s právem Authorised Management nebo Delegated Management) 40

41 GlobalPlatform APDU seznam příkazů Příkaz OP READY INITIALIZED SECURED LOCKED TERMINAT ED AM DM SD AM DM SD AM DM SD FA SD FA SD DELETE executable Load File x x x x x x x DELETE executable Load File and x x x x x x x Application(s) DELETE Application P x P x P x x x x x DELETE Key x x x x GET DATA P P P P P P P P P P x P x GET STATUS P P P P x x x INSTALL [for load] x x x x x x x INSTALL [for install] x x x x x x x INSTALL [for load, install and x x x x x x x make selectable] INSTALL [for install and make P P x P P x P P x x x x x selectable] INSTALL [for make selectable] x x x x x x x INSTALL [for extradition] x x x x x x x INSTALL [for registry update] x x x x x x x INSTALL [for personalization] x x x x LOAD x x x x x x x PUT KEY P P P x x x x SELECT P P P P P P P P P P x x x SET STATUS P P P P x x x STORE DATA P P P x x x x 41

42 GlobalPlatform APDU Příkazy GP mají formu APDU s délkou max 255 byte. Class byte určuje, že se jedná o GP příkaz a použití a typ Secure Messaging. Parametry P1 a P2 upřesňují příkaz, například pro INSTALL hodnota P1 určuje pro co je INSTALL určen (for load, for install, for extradition, for make selectable ) Tagy objektů GP jsou rezervovány hodnoty C0 DD, E0 FD, DF 1F DF 7F, FF 1F FF 7F 42

43 Příklad - APDU příkazu INSTALL Formát APDU (short length): CLA Kód Hodnota Význam 80-8F, C0 - CF, E0 - EF Třída instrukce INS E6 Instrukce INSTALL P1 xx Referenční řídící parametr 1 P2 00, 01, Referenční řídící parametr 2 02 Lc xx Délka datového pole Data xxxx Datové pole instalační data a volitelně MAC Le 00 Budou přijata všechna návratová data 43

44 Referenční řídící parametr P1 příkazu INSTALL B8 B7 B6 B5 b B4 B3 B2 B1 Význam Poslední (nebo jediný) příkaz INSTALL Následují další příkazy INSTALL INSTALL [for registry update] INSTALL [for personalization] INSTALL [for extradition] INSTALL [for registry update] INSTALL [for install] INSTALL [for load] 44

45 Příklad 1: Datové pole příkazu INSTALL [for load] Název P/N Význam Length of Load File AID P Délka AID budoucího Executable Load File Load File AID P Hodnota AID budoucího Executable Load File Length of Security Domain AID P Délka AID domény, do které bude Load File nahrán Security Domain AID N Hodnota AID domény, do které bude Load File nahrán Length of Load File Data Block Hash Load File Data Block Hash Length of Load Parameters Field P N P Délka otisku Load File Data Block Hodnota otisku Load File Data Block Délka pole parametrů Load Parameters Field N Pole parametrů (systémové a aplikační) Length of Load Token P Délka Load Token Load Token N Load Token 45

46 Příklad 2: Datové pole příkazu INSTALL [for install] Název P/N Význam Length of Executable P Délka AID Executable Load File Load File AID Executable Load File AID N Hodnota AID Executable Load File, jehož Executable Module bude instalován Length of Executable P Délka AID Executable Module Module AID Executable Module AID N Hodnota AID Executable Module, jehož kód bude instalován Length of Application AID P Délka AID aplikace, která bude výsledkem instalace Application AID P Hodnota AID aplikace, která bude výsledkem instalace Length of Privileges P Počet byte práv, která budou nastavena pro aplikaci Privileges P Práva Length of Install P Délka pole parametrů Parameters Field Install Parameters Field P Pole parametrů (systémové a aplikační) Length of Install Token P Délka Install Token Install Token N Install Token pověření pro instalaci 46

47 Služby GP pro personalizaci aplikací Aplikace musí být po instalaci personalizována a musí obdržet své aplikační klíče a personalizační data. Aplikace mohou používat služby asociované domény pro vytvoření Secure Channel Session a další kryptografické služby domény pro personalizaci, pokud nemá aplikace vlastní klíče a pokud to dovoluje bezpečnostní politika aplikace. Doména je schopna přijmout příkaz STORE DATA určený pro některou z aplikací domény (příkazem SELECT je vybrána doména místo aplikace). Doména příkaz rozbalí a předá aplikaci jako blob Aplikace je schopna využívat kryptografické služby domény (autentizaci, SM) pro personalizaci Příkaz PUT KEY slouží k zápisu, nebo výměně kryptografických klíčů 47

48 Global platform Global Services Applications Na kartě může být přítomna jedna nebo více globálních aplikací, které jsou od ostatních aplikací odlišeny právem Global Service. Aplikace poskytující globální služby jsou instalovány do některé domény, právo Global Service je možné nastavit při instalaci aplikace (INSTALL [for install]), nebo později při aktualizaci registru (INSTALL [for registry update]). Právo na správu Global Services Applications má aplikace s právem CVM Management. Jména pro globální služby (může být více než jedno) se při instalaci nastavují pomocí Global Services Parameters, jména jsou buď rezervovaná pro GP nebo individuální (A0 FE). GP má rezervována jména 81 Secure Channel, 82 GP Cardholder Verification Method. Aplikace přistupují ke globálním službám prostřednictvím GP API. 48

49 CVM aplikace CVM aplikace, pokud je přítomna na kartě, poskytuje mechanismus pro autentizaci -Cardholder Verification Method, který mohou použít všechny aplikace. Na kartě může být vice CVM aplikací, každá může nabízet vice CV metod. GP standardizuje jednu CVM aplikaci globální PIN (Personal identification Verification), s rezervovaným identifikátorem 11. CVM nabývají následujících stavů: ACTIVE nastavena hodnota CVM a Retry Limit INVALID_SUBMISSION pokud selže CVM autentizace VALIDATED úspěšná CVM autentizace, Retry Counter je resetován BLOCKED po opakovaném selhání CVM autentizace a dosažení hodnoty Retry Limit. Zablokovaný stav nekončí koncem relace s kartou, pouze privilegovaná aplikace může odblokovat, změnit CVM hodnotu nebo Retry limit. 49

50 Ing. Ivo Rosol, CSc. OKsystem s.r.o. Na Pankráci Praha 4 tel: Otázky? Děkujeme za pozornost 50

Programové vybavení OKsmart pro využití čipových karet

Programové vybavení OKsmart pro využití čipových karet Spojujeme software, technologie a služby Programové vybavení OKsmart pro využití čipových karet Ukázky biometrické autentizace Ing. Vítězslav Vacek vedoucí oddělení bezpečnosti a čipových karet SmartCard

Více

Použití čipových karet v IT úřadu

Použití čipových karet v IT úřadu Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous 9. 10. 6. 2011 1 Použití bezkontaktních čipových karet Přístupové systémy

Více

OKsmart a správa karet v systému OKbase

OKsmart a správa karet v systému OKbase OKsmart a správa karet v systému OKbase Od personalizace a sledování životního cyklu karet až k bezkontaktní autentizaci a elektronickému podpisu Spojujeme software, technologie a služby Martin Primas

Více

Reverzování NFC karet

Reverzování NFC karet Reverzování NFC karet především platebních (EMV) Ondrej Mikle ondrej.mikle@gmail.com 13.9.2014 Bezkonktatní (RFID) karty 125kHz / 134.2kHz: EM4x0x, Casi Rusco, HITAG 1, HITAG 2, HITAG S, MIRO, IDTECK,

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

Nadpis. Nadpis 2. Božetěchova 2, 612 66 Brno jmeno@fit.vutbr.cz. ihenzl@fit.vutbr.cz

Nadpis. Nadpis 2. Božetěchova 2, 612 66 Brno jmeno@fit.vutbr.cz. ihenzl@fit.vutbr.cz Nadpis 1 Nadpis 2 Čipové Nadpis karty 3 Jméno Martin Příjmení Henzl VysokéVysoké učení technické učení technické v Brně,vFakulta Brně, Fakulta informačních informačních technologií technologií v Brně Božetěchova

Více

Management procesu I Mgr. Josef Horálek

Management procesu I Mgr. Josef Horálek Management procesu I Mgr. Josef Horálek Procesy = Starší počítače umožňovaly spouštět pouze jeden program. Tento program plně využíval OS i všechny systémové zdroje. Současné počítače umožňují běh více

Více

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky Využívání čipových karet na MPSV Mgr. Karel Lux, vedoucí odd. koncepce informatiky Smart Card Forum OKsystem 22. května 2008 Krátký pohled do historie - proč právě MPSV? zvažovalo možnosti využití čipových

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Elektronický výběr poplatků (EFC) Definice rozhraní

Více

Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss

Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss Vítězslav Vacek Vedoucí vývojového oddělení pro čipové karty Spojujeme software, technologie a služby 20.5.2010 1 Osnova Vývoj elektronických

Více

Správa stanic a uživatelského desktopu

Správa stanic a uživatelského desktopu Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1 Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských

Více

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší Uživatelská příručka Verze 2.16 a vyšší Obsah SecureStore I.CA 1. ÚVOD... 3 2. PŘÍSTUPOVÉ ÚDAJE KE KARTĚ... 3 2.1 Inicializace karty... 3 3. ZÁKLADNÍ OBRAZOVKA... 3 4. ZOBRAZENÍ INFORMACÍ O PÁRU KLÍČŮ...

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

Certifikáty a jejich použití

Certifikáty a jejich použití Certifikáty a jejich použití Verze 1.0 Vydání certifikátu pro AIS Aby mohl AIS volat egon služby ISZR, musí mít povolen přístup k vnějšímu rozhraní ISZR. Přístup povoluje SZR na žádost OVM, který je správcem

Více

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa

Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa Provozní manuál DNSSec pro registr.cz a 0.2.4.e164.arpa verze 1.9., platná od 1.1.2010 Úvod Tento materiál určuje provozní pravidla, kterými se řídí sdružení CZ.NIC při správě DNSSEC klíčů, konkrétně postupy

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

dokumentaci Miloslav Špunda

dokumentaci Miloslav Špunda Možnosti elektronického podpisu ve zdravotnické dokumentaci Možnosti elektronického podpisu ve zdravotnické dokumentaci Miloslav Špunda Anotace Příspěvek se zabývá problematikou užití elektronického podpisu

Více

Artikul system s.r.o. www.dsarchiv.cz UŽIVATELSKÁ PŘÍRUČKA tel. +420 727 827 422 dsarchiv@artikulsystem.cz

Artikul system s.r.o. www.dsarchiv.cz UŽIVATELSKÁ PŘÍRUČKA tel. +420 727 827 422 dsarchiv@artikulsystem.cz Obsah DS Archiv... 2 Nastavení připojení k internetu... 2 Nastavení aplikace... 3 Nastavení databáze... 4 Nastavení datové schránky... 4 Příjem zpráv z datové schránky... 6 Odeslání zprávy... 7 Ověření

Více

Bezpečná autentizace přístupu do firemní sítě

Bezpečná autentizace přístupu do firemní sítě Bezpečná autentizace přístupu do firemní sítě ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá dvoufaktorové

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

3. Je defenzivní programování technikou skrývání implementace? Vyberte jednu z nabízených možností: Pravda Nepravda

3. Je defenzivní programování technikou skrývání implementace? Vyberte jednu z nabízených možností: Pravda Nepravda 1. Lze vždy z tzv. instanční třídy vytvořit objekt? 2. Co je nejčastější příčinou vzniku chyb? A. Specifikace B. Testování C. Návrh D. Analýza E. Kódování 3. Je defenzivní programování technikou skrývání

Více

POKYNY K INSTALACI JAVA PLUGINU A ELEKTRONICKÉHO PODPISU V SYSTÉMU ELZA. Stav ke dni 1.1.2013 verze 1.0

POKYNY K INSTALACI JAVA PLUGINU A ELEKTRONICKÉHO PODPISU V SYSTÉMU ELZA. Stav ke dni 1.1.2013 verze 1.0 POKYNY K INSTALACI JAVA PLUGINU A ELEKTRONICKÉHO PODPISU V SYSTÉMU ELZA Stav ke dni 1.1.2013 verze 1.0 Obsah: 1 Úvod... 3 2 Postup instalace JAVA pluginu... 4 2.1.1 Test instalace Java pluginu v prohlížeči...

Více

eobčan a egovernment ISSS 2013 Petr Mayer Atos IT Solutions and Services, s.r.o.

eobčan a egovernment ISSS 2013 Petr Mayer Atos IT Solutions and Services, s.r.o. eobčan a egovernment ISSS 2013 Petr Mayer Atos IT Solutions and Services, s.r.o. eobčan a egovernment Elektronická identifikace občana I. Vize Atos MyCity II. Stav ID dokladů v Evropě III. Stav ID dokladů

Více

Federativní přístup k autentizaci

Federativní přístup k autentizaci Federativní přístup k autentizaci Milan Sova * sova@cesnet.cz 1 Úvod Abstrakt: Příspěvek předkládá stručný úvod do problematiky autentizace a autorizace a seznamuje s koncepcí autentizačních federací.

Více

Chybová hlášení METODIKA MET-01/2014. SZR-56-1/OPICT-2013 počet stran 28 přílohy 0. Nahrazuje:

Chybová hlášení METODIKA MET-01/2014. SZR-56-1/OPICT-2013 počet stran 28 přílohy 0. Nahrazuje: MET-01/2014 METODIKA SZR-56-1/OPICT-2013 počet stran 28 přílohy 0 Chybová hlášení Gestor, podpis: Ing. Radovan Pártl Zpracovatel, podpis: RNDr. Miroslav Šejdl Odborný garant, podpis: RNDr. Miroslav Šejdl

Více

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace Česká republika Vlastník: Logica Czech Republic s.r.o. Page 1 of 10 Česká republika Obsah 1. Úvod...3 2. Východiska a postupy...4 2.1 Způsob dešifrování a ověření sady přístupových údajů...4 2.2 Způsob

Více

Pantek Productivity Pack. Verify User Control. Uživatelský manuál

Pantek Productivity Pack. Verify User Control. Uživatelský manuál Pantek Productivity Pack Verify User Control Verze 2.5 29. října 2002 Obsah ÚVOD... 3 Charakteristika produktu... 3 Systémové požadavky... 3 Omezení... 3 Instalace... 4 Licencování... 4 KONFIGURACE...

Více

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS uživatele PKI-PČS. SMĚRNICE Věc: Číselná řada: 6/2006 dat pro pracovníka PČS nebo externího uživatele PKI-PČS Ruší se interní předpis č.: Odborný garant: Ing. Antonín Pacák Datum vydání: 1. 2. 2006 Datum

Více

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost

eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost eid Kolokvium Kontext a východiska Ing. Zdeněk Jiříček AFCEA - Pracovní skupina Kybernetická bezpečnost Rezervy, rezervy, rezervy... Náklady na jednu egov transakci [USD] 8 7 6 5 4 3 2 1 0 7,19 In Person

Více

Jak efektivně ochránit Informix?

Jak efektivně ochránit Informix? Jak efektivně ochránit Informix? Jan Musil jan_musil@cz.ibm.com Informix CEE Technical Sales Information Management Jsou Vaše data chráněna proti zneužití? 2 Ano, pokud... 3 Nepoužitelné Steve Mandel,

Více

pomocí S/MIME ezprava.net s.r.o. 21. ledna 2015

pomocí S/MIME ezprava.net s.r.o. 21. ledna 2015 Lékařský email elektronická výměna dat ve zdravotnictví pomocí S/MIME ezprava.net s.r.o. 21. ledna 2015 Abstrakt Tento dokument popisuje technické požadavky nutné pro zabezpečenou výměnu dat ve zdravotnictví

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

OKbase řízení lidských zdrojů

OKbase řízení lidských zdrojů OKbase řízení lidských zdrojů Manažerský modul Ing. Ivo Rosol, CSc. Ing. Radek Kokeš 15. 11. 2011 1 OKbase Nová generace modulárního systému pro řízení lidských zdrojů. Hlavní funkce systému jsou obsaženy

Více

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptografie, elektronický podpis Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptologie Kryptologie věda o šifrování, dělí se: Kryptografie nauka o metodách utajování smyslu zpráv převodem do podoby,

Více

Bezpečn č os o t t dat

Bezpečn č os o t t dat Bezpečnost dat Richard Biječek Samostatný pevný disk RAID (Redundant Array of Independent Disks) SW implementace (Dynamické disky) HW řešení (BIOS, Řadič disků) Externí disková pole iscsi Fiber Channel

Více

10 Balíčky, grafické znázornění tříd, základy zapozdření

10 Balíčky, grafické znázornění tříd, základy zapozdření 10 Balíčky, grafické znázornění tříd, základy zapozdření Studijní cíl Tento studijní blok má za cíl pokračovat v základních prvcích jazyka Java. Konkrétně bude věnována pozornost příkazům balíčkům, grafickému

Více

Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS. FTP Klient. A05463 fboranek@atlas.

Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS. FTP Klient. A05463 fboranek@atlas. Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS FTP Klient Plzeň, 2007 František Bořánek A05463 fboranek@atlas.cz Obsah 1 Úvod......2 2 Zadaní......2

Více

Generování žádosti o certifikát Uživatelská příručka pro prohlížeč Opera

Generování žádosti o certifikát Uživatelská příručka pro prohlížeč Opera Generování žádosti o certifikát Uživatelská příručka pro prohlížeč Opera První certifikační autorita, a.s. Verze 8.15 1 Obsah 1. Úvod... 3 2. Požadavky na software... 3 3. Instalace kořenového certifikátu

Více

Elektronický podpis a jeho aplikace v praxi

Elektronický podpis a jeho aplikace v praxi Elektronický podpis a jeho aplikace v praxi 1. aktualizace k 1. 2. 2010 Rok 2009 byl pro elektronický podpis a jeho praktické využití velice významný. Objevilo se mnoho nových řešení, které v rámci použitých

Více

Windows Server 2003 Active Directory

Windows Server 2003 Active Directory Windows Server 2003 Active Directory Active Directory ukládá informace o počítačích, uživatelích a ostatních objektech v síti. Zpřístupňuje tyto zdroje uživatelům. Poskytuje komplexní informace o organizaci,

Více

Akreditovaná certifikační autorita eidentity

Akreditovaná certifikační autorita eidentity Akreditovaná certifikační autorita eidentity ACAeID 35 Zpráva pro uživatele Verze: 1.2 Odpovídá: Ing. Jiří Hejl Datum: 21. 12. 2012 Utajení: Veřejný dokument eidentity a.s. Vinohradská 184,130 00 Praha

Více

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015 MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015 OSNOVA 18. února 2015 www.monetplus.cz info@monetplus.cz Strana: 2 MOBILE TOKEN www.monetplus.cz

Více

T-Mobile Internet. Manager. pro Windows NÁVOD PRO UŽIVATELE

T-Mobile Internet. Manager. pro Windows NÁVOD PRO UŽIVATELE T-Mobile Internet Manager pro Windows NÁVOD PRO UŽIVATELE Obsah 03 Úvod 04 Požadavky na hardware a software 04 Připojení zařízení k počítači 05 Uživatelské rozhraní 05 Výběr sítě 06 Připojení k internetu

Více

BEZPEČNOSTNÍ PROSTŘEDKY PRO ELEKTRONICKÝ PODPIS Miloslav Špunda

BEZPEČNOSTNÍ PROSTŘEDKY PRO ELEKTRONICKÝ PODPIS Miloslav Špunda BEZPEČNOSTNÍ PROSTŘEDKY PRO ELEKTRONICKÝ PODPIS Miloslav Špunda Anotace Příspěvek se zabývá technickými prostředky pro podporu užití elektronického podpisu v prostředí nemocničního informačního systému

Více

TRANSPORTY výbušnin (TranV)

TRANSPORTY výbušnin (TranV) TRANSPORTY výbušnin (TranV) Ze zákona vyplývá povinnost sledování přeprav výbušnin. Předpokladem zajištění provázanosti polohy vozidel v čase a PČR je poskytování polohy vozidla předepsaným způsobem. Komunikace

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Asymetrická kryptografie a elektronický podpis Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Asymetrická, symetrická a hybridní kryptografie Matematické problémy, na kterých

Více

Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je možné, že někde bude chyba.

Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je možné, že někde bude chyba. Odpovědi jsem hledala v prezentacích a na http://www.nuc.elf.stuba.sk/lit/ldp/index.htm Pár odpovědí jsem nenašla nikde, a tak jsem je logicky odvodila, a nebo jsem ponechala odpověď z pefky, proto je

Více

Sklady 2006. Zadávací dokumentace Verze 1.0

Sklady 2006. Zadávací dokumentace Verze 1.0 Sklady 2006 Zadávací dokumentace Verze 1.0 ApS Brno s.r.o., 2006 Kapitola 1. Obsah KAPITOLA 1. OBSAH... 2 KAPITOLA 2. ÚVOD... 3 KAPITOLA 3. TERMINÁLY... 4 A. PODPOROVANÁ PERIFERNÍ ZAŘÍZENÍ... 4 KAPITOLA

Více

eop s čipem Porovnání realizace v ČR a Německu Ing. Ivo Rosol, CSc. Smart Cards & Devices Forum 2012 Spojujeme software, technologie a služby 1

eop s čipem Porovnání realizace v ČR a Německu Ing. Ivo Rosol, CSc. Smart Cards & Devices Forum 2012 Spojujeme software, technologie a služby 1 eop s čipem Porovnání realizace v ČR a Německu Ing. Ivo Rosol, CSc. Smart Cards & Devices Forum 2012 1 Téma prezentace Smart karty a zařízení vybavené čipy jsou všude kolem nás, nejnověji také v občanských

Více

Architektura odbavovacího systému s použitím BČK

Architektura odbavovacího systému s použitím BČK Autor: Jindřich Borka, Jiří Matějec Architektura odbavovacího systému s použitím BČK ČD - Telematika a.s., Pernerova 2819/2a, 130 00 Praha 3 XT-Card a.s., Sokolovská 100, 186 00, Praha 8 Agenda ČD-Telematika

Více

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006 Pojišťovna České spořitelny, a. s. Směrnice č. 5/2006 PČS nebo externího uživatele PKI-PČS SMĚRNICE Věc: elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

Více

Web Services na SOAP

Web Services na SOAP Web Services Používají HTTP Existují dvě varianty: Služby postavené na protokolu SOAP Java standard pro vytváření : JAX-WS RESTfull služby Java standard pro vytváření : JAX-RS Web Services na SOAP Žádost

Více

Obchodní podmínky pro používání služeb přímého bankovnictví prostřednictvím Systému LBBW Direct LBBW Bank CZ a.s.

Obchodní podmínky pro používání služeb přímého bankovnictví prostřednictvím Systému LBBW Direct LBBW Bank CZ a.s. Obchodní podmínky pro používání služeb přímého bankovnictví prostřednictvím Systému LBBW Direct LBBW Bank CZ a.s. Obchodní podmínky pro používání služeb přímého bankovnictví prostřednictvím Systému LBBW

Více

Z internetu do nemocnice bezpečně a snadno

Z internetu do nemocnice bezpečně a snadno Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014 1 Z internetu do nemocnice bezpečně a snadno Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura

Více

Autentizace platební kartou - zkušenosti z penetračních testů

Autentizace platební kartou - zkušenosti z penetračních testů Autentizace platební kartou - zkušenosti z penetračních testů Tomáš Rosa crypto.hyperlink.cz Praha, 20.5.2010 SmartCard Fórum 2010 Osnova Základy technologie CAP/DPA Trojští koně vs. nepřipojené terminály

Více

Internet, www, el. pošta, prohlížeče, služby, bezpečnost

Internet, www, el. pošta, prohlížeče, služby, bezpečnost Internet, www, el. pošta, prohlížeče, služby, bezpečnost Internet jedná se o fyzické propojení komponent nacházejících se v počítačových sítí všech rozsahů LAN, MAN, WAN. Patří sem koncové uživatelské

Více

Technologie Java Enterprise Edition. Přemek Brada, KIV ZČU 8.6.2011

Technologie Java Enterprise Edition. Přemek Brada, KIV ZČU 8.6.2011 Technologie Java Enterprise Edition Přemek Brada, KIV ZČU 8.6.2011 Přehled tématu Motivace a úvod Infrastruktura pro velké Java aplikace (Java základní přehled) Části třívrstvé struktury servlety, JSP

Více

ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE

ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE 2011 Technická univerzita v Liberci Ing. Přemysl Svoboda ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE V Liberci dne 16. 12. 2011 Obsah Obsah... 1 Úvod... 2 Funkce zařízení... 3 Režim sběru dat s jejich

Více

Informace pro uchazeče o zaměstnání

Informace pro uchazeče o zaměstnání Informace pro uchazeče o zaměstnání Produkty a služby společnosti OKsystem a.s. OKsystem je česká softwarová společnost, která se dlouhodobě zaměřuje na vývoj aplikačních programových systémů, dodávky

Více

Odolnost kryptografického HW s ohledem na nasazení

Odolnost kryptografického HW s ohledem na nasazení Odolnost kryptografického HW s ohledem na nasazení Vašek Lorenc, Vašek Matyáš XVIII. konference EurOpen Fakulta informatiky Masarykova univerzita Brno Vašek Lorenc, Vašek Matyáš (FIMU) Odolnost kryptografického

Více

Vstupní jednotka E10 Návod na použití

Vstupní jednotka E10 Návod na použití Návod na použití Přístupový systém Vstupní jednotka E 10 Strana 1 Obsah 1 Úvod:... 3 2 Specifikace:... 3 3 Vnitřní obvod:... 3 4 Montáž:... 3 5 Zapojení:... 4 6 Programovací menu... 5 6.1 Vstup do programovacího

Více

Užitečné odkazy: http://en.wikipedia.org/wiki/list_of_http_status_codes

Užitečné odkazy: http://en.wikipedia.org/wiki/list_of_http_status_codes Užitečné odkazy: http://en.wikipedia.org/wiki/list_of_http_status_codes Metoda PUT protokolu HTTP slouží k dotazu na možnou komunikaci se serverem na konkrétní URL analýze způsobu připojení zjištění typu

Více

DRUHÁ GENERACE ELEKTRONICKÝCH PASŮ A NOVÁ GENERACE ELEKTRONICKÝCH PRŮKAZŮ O POVOLENÍ K POBYTU. aneb Nebojte se biometrie

DRUHÁ GENERACE ELEKTRONICKÝCH PASŮ A NOVÁ GENERACE ELEKTRONICKÝCH PRŮKAZŮ O POVOLENÍ K POBYTU. aneb Nebojte se biometrie DRUHÁ GENERACE ELEKTRONICKÝCH PASŮ A NOVÁ GENERACE ELEKTRONICKÝCH PRŮKAZŮ O POVOLENÍ K POBYTU aneb Nebojte se biometrie Biometrický pas Sumarizace vývoje epasů epasy s BAC (obličej) Nařízení Rady (ES)

Více

2. blok Zabezpečení a ochrana dat

2. blok Zabezpečení a ochrana dat 2. blok Zabezpečení a ochrana dat Studijní cíl Tento blok je věnován základům zabezpečení a ochrany dat uložených v relačních databázích, tj. uživatelským účtům, systémovým a objektovým oprávněním a rolím.

Více

WAK System. Ministerstvo dopravy ČR WAK System, spol. s r.o. Petržílkova 2564/21, 158 00 Praha 5 - Stodůlky

WAK System. Ministerstvo dopravy ČR WAK System, spol. s r.o. Petržílkova 2564/21, 158 00 Praha 5 - Stodůlky WAK System Název projektu: Systém automatizované kontroly a detekce změn bezpečnostního nastavení informačních systémů založený na specifikaci bezpečnostní politiky podle standardu BS7799 Číslo projektu:

Více

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Příloha č. 1 CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY Veřejná zakázka Poskytování služeb outsourcingu Zadavatel: Nemocnice Český Krumlov a.s., sídlem: Český Krumlov, Horní Brána 429, PSČ 381 27 IČ: 260 95 149 DIČ:

Více

7. Integrita a bezpečnost dat v DBS

7. Integrita a bezpečnost dat v DBS 7. Integrita a bezpečnost dat v DBS 7.1. Implementace integritních omezení... 2 7.1.1. Databázové triggery... 5 7.2. Zajištění bezpečnosti dat... 12 7.2.1. Bezpečnostní mechanismy poskytované SŘBD... 13

Více

ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA

ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA Vážený zákazníku, máte k dispozici médium, s jehož pomocí můžete na svém systému zprovoznit funkce čipové karty ProID+. Pro správnou funkčnost

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

1. Obsah. Publikováno: 16.05.2007

1. Obsah. Publikováno: 16.05.2007 API pro službu Mobilem.cz, verze XML 5.01 Tento dokument je určen pro partnery Mobilem.cz. Není dovoleno obsah použít pro jiný účel, než za jakým byl poskytnut. Všechna práva vyhrazena pro Crazy Tomato

Více

Obnova certifikátů ve službě Max Homebanking PS

Obnova certifikátů ve službě Max Homebanking PS Obnova certifikátů ve službě Max Homebanking PS Obsah 1. Obnova certifikátu... 2 2. SW požadavky... 2 3. Proces obnovy certifikátu... 2 3.1. Zahájení obnovy v internetovém bankovnictví... 3 3.2. Zobrazení

Více

Elektronické podání vůči

Elektronické podání vůči Elektronické podání vůči Živnostenskému rejstříku Příručka pro podnikatelskou veřejnost Obsah 1. MOŽNOSTI VYUŽITÍ APLIKACE JRF...3 1.1. EPO zaslané podnikatelem na EP ŽR přímo z aplikace JRF...3 1.2. EPO

Více

Vykazování dat o poskytovaných sociálních službách

Vykazování dat o poskytovaných sociálních službách Vykazování dat o poskytovaných sociálních službách (verze dokumentu 1.4) Odpovědná osoba: Ing. Radomír Martinka V Praze dne: 24.4.2014 Klasifikace: CHRÁNĚNÉ OKsystem s.r.o. Na Pankráci 125, 140 21 Praha

Více

Projekt podnikové mobility

Projekt podnikové mobility Projekt podnikové mobility Cortado Corporate Server Jedno řešení pro firemní mobilitu IGNUM Telekomunikace s.r.o. Cortado Corporate Server Bezkonkurenční all-in-one řešení zahrnuje mobilní zařízení a správu

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Leden 2012 Informační technologie Společný rámec formátů biometrické výměny Část 4: Specifikace formátu bezpečnostního bloku ČSN ISO/IEC 19785-4 36 9864 Information technology

Více

Bootkity v teorii a praxi. Martin Dráb martin.drab@email.cz Http://www.jadro-windows.cz

Bootkity v teorii a praxi. Martin Dráb martin.drab@email.cz Http://www.jadro-windows.cz Bootkity v teorii a praxi Martin Dráb martin.drab@email.cz Http://www.jadro-windows.cz Definice Pod pojmem bootkit budeme rozumět software, který začíná být aktivní během procesu startu počítače ještě

Více

POKYNY K REGISTRACI PROFILU ZADAVATELE

POKYNY K REGISTRACI PROFILU ZADAVATELE POKYNY K REGISTRACI PROFILU ZADAVATELE Stav ke dni 4. 12. 2012 Obsah: 1 Úvod... 3 1.1 Podmínky provozu... 3 1.2 Pokyny k užívání dokumentu... 3 2 Registrace profilu zadavatele... 4 2.1 Přihlášení uživatele...

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě. 35.240.60 Dopravní telematika Elektronický výběr poplatků Interoperabilita DSRC:

Více

Mobilní komunikace a bezpečnost. Edward Plch, System4u 16.3.2012

Mobilní komunikace a bezpečnost. Edward Plch, System4u 16.3.2012 Mobilní komunikace a bezpečnost Edward Plch, System4u 16.3.2012 Citát z Hospodářských novin ze dne 5.3.2012, příloha Byznys, článek Počet útoků na mobily prudce vzrostl: Trend Micro zadal studii mezi analytiky

Více

a instalace programu COMSOL Multiphysics

a instalace programu COMSOL Multiphysics a instalace programu COMSOL Multiphysics Síťová licence (FNL) Stažení instalace Po úspěšném vytvoření Access Accountu (Uživatelského účtu), návod naleznete na odkazu níže: www.humusoft.cz/link/comsol-access

Více

Email. email. Email spolupráce více systémů. email. Pro zajištění služby je používáno více aplikačních protokolů, např.: DNS SMTP.

Email. email. Email spolupráce více systémů. email. Pro zajištění služby je používáno více aplikačních protokolů, např.: DNS SMTP. email Email email Email spolupráce více systémů Pro zajištění služby je používáno více aplikačních protokolů, např.: DNS SMTP POP or IMAP MSGFMT (RFC822,...) a MIME Email splitting & relaying 1 relaying

Více

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 12 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek: Anotace: CZ.1.07/1.5.00/34.0410

Více

Nemocnice. Prvotní analýza a plán projektu

Nemocnice. Prvotní analýza a plán projektu Nemocnice Projekt do předmětu AIS Prvotní analýza a plán projektu Lukáš Pohl, xpohll00, xkosti03 Jan Novák, xnovak79 2009/2010 1 Neformální specifikace FN potřebuje informační systém, který bude obsahovat

Více

TECHNICKÁ SPECIFIKACE

TECHNICKÁ SPECIFIKACE TECHNICKÁ SPECIFIKACE Zabezpečení dat a komunikační infrastruktury opakované vyhlášení části B - Tabulka pro rozšíření nad rámec minimálních technických požadavků Typ Popis rozšířeného požadavku Splněno

Více

UŽIVATELSKÝ MANUÁL. pro 485COM FW 2.x (MODBUS)

UŽIVATELSKÝ MANUÁL. pro 485COM FW 2.x (MODBUS) pro 485COM FW 2.x (MODBUS) Obsah Obsah 3 1. Instalace 4 1.1 Podpora operačních systémů 4 1.2 Podpora USB modemů 4 1.3 Instalace USB modemu 4 1.4 Instalace aplikace 4 2. Nastavení 5 2.1 Nastavení jazykové

Více

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém

Více

EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - Online Collaboration SYLABUS 1.0 (M14)

EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - Online Collaboration SYLABUS 1.0 (M14) EUROPEAN COMPUTER DRIVING LICENCE / INTERNATIONAL COMPUTER DRIVING LICENCE - Online Collaboration SYLABUS 1.0 (M14) Upozornění: Oficiální verze ECDL/ICDL Sylabu Online Collaboration 1.0 je publikovaná

Více

Tvorba kurzu v LMS Moodle

Tvorba kurzu v LMS Moodle Tvorba kurzu v LMS Moodle Před počátkem práce na tvorbě základního kurzu znovu připomínám, že pro vytvoření kurzu musí být profil uživatele nastaven administrátorem systému minimálně na hodnotu tvůrce

Více

GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER. váš partner na cestě od dat k informacím

GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER. váš partner na cestě od dat k informacím GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER váš partner na cestě od dat k informacím globtech spol. s r.o. karlovo náměstí 17 c, praha 2 tel.: +420 221 986 390 info@globtech.cz

Více

Jazyky pro popis dat

Jazyky pro popis dat Realizováno za finanční podpory ESF a státního rozpočtu ČR v rámci v projektu Zkvalitnění a rozšíření možností studia na TUL pro studenty se SVP reg. č. CZ.1.07/2.2.00/29.0011 Jazyky pro popis dat Pavel

Více

Informatika Ochrana dat

Informatika Ochrana dat Informatika Ochrana dat Radim Farana Podklady předmětu Informatika pro akademický rok 2007/2008 Obsah Kryptografické systémy s veřejným klíčem, výměna tajných klíčů veřejným kanálem, systémy s veřejným

Více

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík Zabezpečení citlivých dat informačních systémů státní správy Ing. Michal Vackář Mgr. Boleslav Bobčík Citlivá data? Co to je? Kde to je? Kdo to za to odpovídá? Jak je ochránit? Jak se z toho nezbláznit

Více

Robert Hernady, Regional Solution Architect, Microsoft

Robert Hernady, Regional Solution Architect, Microsoft Robert Hernady, Regional Solution Architect, Microsoft Agenda prezentace Seznámení s problematikou Principy elektronického podpisu Certifikáty Co je třeba změnit pro využití algoritmů SHA-2 Shrnutí nutných

Více