Identifikační čipové doklady s biometrickými prvky Technické řešení bezpečnosti

Transkript

1 Spojujeme software, technologie a služby Identifikační čipové doklady s biometrickými prvky Technické řešení bezpečnosti Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.

2 ID doklady s čipem Technologie mikroprocesorových čipových karet se standardně používá zejména v oblastech: SIM karet systému GSM platebních karet systému EMV V současné době nastupuje plošná aplikace v oblastech: cestovních a identifikačních dokladů fyzického a logického přístupu a zaručeného elektronického podpisu 2

3 Kontaktní vs. RF rozhraní Pro cestovní a ID doklady se obvykle využívá RF rozhraní. Důvodem je: zvýšení spolehlivosti jednoduchost obsluhy vyšší přenosová rychlost Nevýhodou jsou nové bezpečnostní hrozby, které se eliminují pomocí vhodně navržených kryptografických technologií a schémat. 3

4 RF komunikace u ID dokladů ID doklady s RF přenosem nemají vlastní zdroj energie, kterou musí čerpat z pole antény čtecího zařízení. Tato energie sice pokrývá spotřebu čipu, nestačí ale na aktivní vysílání. Pro RF komunikaci se využívá standard ISO 14443, díl 1-4 4

5 RF komunikace u ID dokladů Pro napájení karet vysílá terminál nosný sinusový signál o frekvenci 13,56 MHz, pole čtečky 1,5 A/m < H < 7,5 A/m. Pro vysílání dat čtečkou na kartu jsou data kódována modifikovanou Millerovou metodou, výsledek je poté amplitudově modulován na nosný signál s hloubkou modulace 100 %. Rychlosti přenosu jsou 106, 212, 424 a 848 kbit/s 5

6 RF komunikace u ID dokladů Pro přenos dat z čipu do čtečky čip pasivně vysílá data s využitím zátěžové modulace. Anténa čtečky a karty tvoří VF transformátor, kde změny zátěže sekundárního okruhu (karty) se promítají do primárního okruhu (čtečky) a jsou interpretovány jako 0 a 1 vysílané kartou. Data jsou kódována metodou Manchester, a modulována na zátěžovou subnosnou 848 khz 6

7 Útoky na RF komunikaci Radiový přenos: komunikace s pasem (do 25 cm) útok postrčením lze odposlouchávat relaci oprávněné čtečky (jednotky m) aktivní komunikace se čtečkou (desítky m) lze poznat, že v poli čtečky je pas, nikoli jiné RFID zařízení, neboť lze vybrat aplikaci ICAO s kódem A

8 Útok na UID ISO specifikuje antikolizní mechanismus pro výběr čipu v elektromagnetickém poli čtečky na základě UID (jednoznačného čísla čipu). Při inicializaci vyšle čtečka REQ. Každý čip v poli čtečky v závislosti na hodnotě svého UID vysílá nebo naslouchá vysílání ostatních. Čtečka může zvolit čip, se kterým chce komunikovat, případně odeslat příkaz HALT. Statické UID se běžně využívá v běžných RFID aplikacích (přístupové systémy...). V případě e-pasů by ale mohlo vést k trasování pasu, proto je nahrazeno dynamickým UID, které je konstantní pouze po dobu relace. UID pasivně vysílá čip, ale aktivně jej zopakuje čtečka (odposlech 10 m) 8

9 Kryptografické zabezpečení dokladů Metoda P/V Výhoda Nevýhoda PA P Autenticita LDS Neodstraňuje klonování a substituci čipu MRZ V Důkaz, že pasová knížka a LDS patří k sobě AA V Zabraňuje klonování a výměně čipu BAC V Zabraňuje neoprávněnému čtení a odposlouchávání komunikace mezi čipem a oprávněným terminálem EAC v Zabraňuje neoprávněnému přístupu k citlivým biometrickým údajům ENC V Zabezpečuje citlivé biometrickým údajům Neodstraňuje současné kopírování LDS a pasové knížky Vyžaduje kryptografický čip Vyžaduje kryptografický čip Vyžaduje komplexní infrastrukturu PKI Vyžaduje komplexní správu klíčů 9

10 Objekty a klíče uložené na čipu MF DF-LDS K ENC (klíč pro BAC, bezpečná paměť) K MAC (klíč pro BAC, bezpečná paměť) KPr AA (privátní klíč pro AA, bezpečná paměť) KPub CVCA (veřejný klíč NVA pro TA, bezpečná paměť) EF-COM (verze LDS, seznam DG) EF-SO D (otisky DG, podpis, C DS ) EF-DG1 (MRZ) EF-DG2 (fotografie) EF-DG3 (otisky prstů) EF-DG14 (data pro autentizaci čipu v rámci EAC) EF-DG15 (data pro AA) 10

11 BAC Současný pas obsahuje osobní údaje (na datové stránce, ve strojově čitelné zóně MRZ a na čipu v DG1), a méně citlivé biometrické osobní údaje (fotografie na datové stránce a na čipu v DG2), které jsou přístupné i z jiných zdrojů. Tyto méně citlivé údaje jsou chráněny základním řízením přístupu BAC Basic Access Control. BAC zaručuje, že inspekční systém má fyzický přístup k (otevřenému) pasu 11

12 Údaje z MRZ pro BAC číslo pasu včetně výplně a kontrolní číslice datum narození a kontrolní číslice konec platnosti a kontrolní číslice 12

13 Odvození klíčů pro BAC číslo pasu datum narození konec platnosti c=1 pro ENC c=2 pro MAC Hash Ka Kb N/A S pomocí Ka pro šifrování a Kb pro MAC se s využitím 3DES algoritmu provede vzájemná autentizace, odvodí klíče relace pro SM a vytvoří SM relace 13

14 Slabiny BAC Symetrické klíče jsou odvozeny z dat MRZ, nikoli z náhodného materiálu (seed) Struktura MRZ značně redukuje entropii je možný databázový ( slovníkový ) útok Protiopatření: používat náhodně generovaná čísla pasů používat alfanumerická čísla pasů 14

15 Pasivní autentizace Data uložená v čipu jsou kryptograficky zabezpečena elektronickým podpisem vydavatele pasu (DS - Document Signer) uloženým SOD. Tento podpis je možné ověřit s pomocí certifikátu DS, který vydává CSCA. Pro každou datovou skupinu DGx se spočítá hodnota otisku (hash) a uloží do objektu LDSSecurityObject, který je součástí podepsané CMS zprávy. 15

16 Ověření PA Pro české pasy se používá podpisové schéma založené na RSA s délkou modulu DS 2048 bitů a kódováním EMSA_PSS dle PKCS#1. Modul klíče CSCA je 3072 bitů. Certifikáty CSCA se vyměňují mezi státy s využitím důvěryhodných diplomatických služeb. Certifikáty DS jsou (nepovinně) uloženy v CMS zprávě uvnitř SOD, nebo vym+ňovány bilaterálně nebo publikovány v adresářových službách ICAO. 16

17 PKI pro PA Země A (ČR) Bilater. výměna (MZv) Země B MV CSCA (NCA) NIMS CVCA (NVA) STC DS DS DS Cizinecká policie IS IS IS ICAO PKD 17

18 Útok klonováním čipu Doklad chráněný pouze BAC a PA lze kompletně zkopírovat, včetně SOD (klonování čipu). Ohrožení inspekčních systémů při klonování čipů a například následné modifikaci fotografie (JPEG 2000 buffer overrun) Zničení čipu v MV troubě a použití čipu klonovaného z jiného pasu, nebo pouze vložení RF čipové karty 18

19 Aktivní autentizace AA znemožňuje kompletní klonování čipu AA je založena na autentizaci čipu s využitím podpisového schématu založeného na RSA podle ISO Klíče jsou vygenerovány při personalizaci, soukromý klíč je uložen v bezpečné paměti čipu, veřejný klíč je uložen v DG15 a chráněn Pasivní autentizací Operační systém čipu žádným způsobem neumožní kopírovat soukromý klíč 19

20 Aktivní autentizace AA využívá protokol výzva-odpověď mezi čipem a IS: IS zašle čipu náhodně vygenerovanou výzvu V s požadavkem na její podepsání privátním klíčem Čip vygeneruje náhodnou hodnotu U, spočítá otisk h= SHA-1(V U) a vrátí kryptogram s=rsa(h) IS ověří podpis pomocí veřejného klíče z DG15 20

21 Přepojovací útok na AA Při ponechání pasu v recepci hotelu lze kompletně číst a zkopírovat obsah pasu. S kopií pasu lze při překročení hranice provést rellay attack po BAC provést přesměrování z falešného pasu na AA provedenou pasem na recepci hotelu. K tomu se využije například IP kanál a internet. 21

22 Zneužití AA sémantikou výzvy Pokud inspekční systém místo náhodné výzvy V použije výzvu s nějakým významem, získá podpis čipu k této výzvě. Například V=H(Sign IS (MRZ Datum Čas Místo)) čip vrátí Sign ICC (V U), ověřitelný důkaz, že čip (držitel pasu) byl v Datum:Čas v daném místě 22

23 EAC rozšířené řízení přístupu Budoucí cestovní a identifikační doklady budou obsahovat novou generaci bezpečnostního mechanismu, zejména v souvislosti se zavedením otisků prstů. Pasy vydávané členskými státy EU po (v ČR po ) budou obsahovat velmi citlivé biometrické osobní údaje - otisky prstů, které nejsou běžně dostupné z jiných zdrojů a budou chráněny rozšířeným řízením přístupu EAC Extended Access control. Tato ochrana je podle rozhodnutí Evropské komise K (2005) 409 povinná a její řešení musí být v souladu s Nařízením Rady EU č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných členskými státy (dále EAC) ICAO v současné době nemá formální standard pro EAC Evropská komise a ICAO odkazují na technickou zprávu TR německého BSI Advanced Security Mechanism for Machine Readable Travel Documents Extended Access Control Členské státy přijmou společnou Certifikační politiku, kterou vypracovala skupina EC - Article 6, BIG 23

24 EAC EAC rozšířené řízení přístupu. EAC je využito místo AA, používá kvalitnější klíče pro restart SM, neumožňuje trasovat čip a řídí přístup k DG3 případně DG4 EAC se skládá ze dvou pokročilých kryptografických mechanismů: Autentizace čipu (pasu) a Autentizace Terminálu (Inspekčního systému) 24

25 Autentizace čipu Alternativou k Aktivní autentizaci, zaručuje, že čip není klonován (kopie kompletního datového obsahu čipu, včetně podpisu SoD) Zabraňuje útoku formou sémantiky výzvy, která umožňuje získat ověřitelné trasování pasu (kdy a kde se vyskytoval uživatel pasu) Umožňuje vygenerovat SM klíče s vysokou entropií, které nejsou odvozeny ze strojově čitelné zóny čipu Využívá algoritmus Diffie-Hellman (nebo ECDH) pro určení symetrických klíčů unikátních pro tuto relaci Autenticita čipu je ověřena implicitně z faktu, že čip je schopen využívat SM klíče, tudíž klíčový materiál použitý pro DH nebo ECDH byl autentický 25

26 Autentizace terminálu Využívá PKI pro autentizaci a autorizaci IS Založeno na protokolu výzva-odpověď Sémantika výzvy neznamená nebezpečí Veškerá komunikace probíhá v rámci bezpečné komunikace založené na SM v módu Encryptthen-Authenticate a šifrovacích klíčích s vysokou entropií (3DES2) 26

27 PKI 2 pro EAC Země A (ČR) Země B MV CVCA (NVA) Křížová certifikace CVCA (NVA) DV (VA) DV (VA) DV (VA) DV (VA) IS IS IS IS IS IS IS IS Cizinecká policie 27

28 PKI pro EAC - CVCA Každá země zřizuje právě jednu Národní verifikační autoritu - CVCA (Country Verifying Certification Authority) CVCA je kořenová certifikační autorita, může být součástí infrastruktury CSCA, musí mít jiné klíčové páry než CSCA Tvoří singulární bod důvěry pro všechny pasy (MRTD) vydávané domácí zemí (veřejný klíč CVCA uložen v DG14 chráněné PA) Vydává certifikáty pro Autority pro ověřování dokumentů (DV) ve vlastní zemi i pro cizí země, tím umožňuje přístup k chráněným datům pasů pro inspekční systémy Nastavuje na nejvyšší úrovni přístupová práva k chráněným údajům pasů pro jednotlivé země Relativně často (vzhledem k životnosti pasu) mění svoje klíče (6 měsíců 3 roky), k tomuto účelu vydává spojovací certifikáty (link certificate), které umožní jednotlivým pasům aktualizovat si veřejný klíč CVCA CVCA může být provozována stejnou organizací jako CSCA vydavatelem cestovních dokladů (u nás MV) 28

29 PKI pro EAC - DV Každá země, která chce číst chráněná data z pasů (domácích i ostatních zemí) musí provozovat alespoň jednu VA - Verifikační autoritu (DV - Document Verifier) VA ve skutečnosti neprovádí ověřování pasů, ale je certifikační autoritou, která vydává certifikáty pro inspekční systémy IS VA je správcem domény inspekčních systémů ve své zemi, vydává jim certifikáty umožňující přístup k chráněným údajům pasů VA je autorizován k vydávání certifikátů pro své IS na základě certifikátu od NVA VA musí požádat o certifikát od NVA každé země, jejíž pasy mají být kontrolovány IS v doméně VA (například pro kontrolu německých pasů musí česká VA požádat německou NVA o vydání certifikátu, který bude opravňovat českou VA k vydání certifikátů pro české IS ke kontrole německých pasů) Doba platnosti certifikátů VA je 14 dnů 3 měsíce VA může omezit práva a dobu platnosti certifikátů pro své IS VA je typicky provozována organizací zodpovědnou za kontrolu cestovních dokladů (u nás Policie ČR) 29

30 PKI pro EAC - IS Inspekční systém dostává certifikáty pouze od VA své země IS musí mít samostatný certifikát pro pasy každé země, kterou kontroluje Certifikáty IS mají velmi krátkou dobu platnosti (1 den až 1 měsíc) kvůli teoretické možnosti krádeže IS IS provádí vlastní kontrolu pasů s využitím Extended Access Control 30

31 PKI pro EAC - certifikáty Všechny certifikáty v rámci EAC PKI (NVA, VA, IS)musí být ověřitelné čipem pasu CVC Card Verifiable Certificate Všechny certifikáty v řetězu musí mít stejný algoritmus elektronického podpisu, délky klíčů a doménové parametry Spojovací certifikáty NVA umožňují měnit klíče, případně další parametry podpisového schématu 31

32 Obsah certifikátu Certifikáty jsou typu CVC, kódovány metodou TLV (Tag-Length-Value) Data obsažená v certifikátu: Označení certifikační autority Veřejný klíč Označení držitele Autorizace držitele Efektivní datum certifikátu (od:) Datum konce platnosti certifikátu (do:) Podpis certifikační autority 32

33 Doby platnosti certifikátů Subjekt Minimum Maximum CVCA certificate osvědčení vnitrostátního kontrolního subjektu DV certificate osvědčení subjektu ověřujícího platnost dokladů 6 měsíců 3 roky 2 týdny 3 měsíce IS certificate osvědčení kontrolního systému 1 den 1 měsíc 33

34 Ověřování certifikátů IS musí zaslat čipu řetěz certifikátů, který začíná spojovacími certifikáty, certifikátem VA a končí certifikátem IS Čip si musí interně aktualizovat klíče NVA na základě spojovacích certifikátů Čip musí odmítnout certifikáty po době platnosti. Čip nemá hodiny reálného času, používá odhad času, který si aktualizuje při každé hraniční kontrole na nejvyšší efektivní datum ověřených certifikátů NVA, VA a domovských IS. 34

35 Kódování přístupových práv Všechny xx Role certifikáty NVA obsahuji Certificate VA domácí Holder VA cizí Authorisation: IS -- xxxxxx Práva NVA rezervováno DV duhovka IS efektivní práva Otisk prstu 35

36 Spojovací certifikát Spojovací certifikát (Link certificate) umožňuje: Přenos důvěry od původního veřejného klíče CVCA k novému klíči Změnu algoritmů, délek klíčů a parametrů Principiálně osvědčuje původním soukromým klíčem nový veřejný klíč v certifikátu. 36

37 Interoperabilita vyžaduje testy Probíhají mezinárodní testy konformity čipů a OS, testy křížové interoperability čipů + OS a čteček (IS) a testy interoperability PKI pro EAC. Praha bude hostit celosvětovou akci pořádanou MV ČR testy, konferenci a výstavu technologií a služeb pro cestovní doklady, viz 37

38 Závěr Cestovní doklady s čipem a biometrickými doklady jsou nejen novou, velmi významnou aplikací, ale současně i celosvětovou laboratoří, která přináší velký pokrok ve vývoji čipové technologie, aplikované kryptografie, tvorby standardů a testů. Zprovoznění celé infrastruktury pro cestovní doklady a EAC je dosud bezprecedentní celosvětovou implementací PKI a zdá se, že cestovní a budoucí identifikační doklady jsou onou dlouho očekávanou killer application, nezbytnou pro rozvoj dalších identifikačních a autorizačních čipových dokladů, PKI a infrastruktury pro e-government. 38

39 Dotazy a odpovědi Ivo Rosol ředitel vývojové divize OKsystem s.r.o. rosol@oksystem.cz 39