Použití čipových karet v IT úřadu

Transkript

1 Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous

2 Použití bezkontaktních čipových karet Přístupové systémy Docházkové systémy Stravovací systémy Způsob použití bezkontaktních čipových karet Identifikace založená na UID Identifikace založená na kryptografické autentizaci mezi kartou a čtečkou se systémy MIFARE a DESFire 2

3 Docházkový terminál OKbase 3

4 Objednávkový terminál 4

7 Výdejový terminál 5

11 OKsmart použití karet s kontaktním PKI čipem OKsmart je softwarové řešení pro transparentní integraci kryptografických čipových karet do prostředí systémů Windows a Linux (32/64 bit) s maximálním respektováním standardů. Umožňuje využít čipové karty pro autentizaci, zaručený elektronický podpis, šifrování a bezpečné uložení údajů. Hlavní přínosy: Podpora standardů (PKCS#11, MS CAPI, PC/SC, PKCS#15...) Podpora více druhů čipových karet (Java Card,.NETGemalto, Oberthur) Podpora PC/SC 2.0 čtečky s klávesnicí a displejem PINpad Transparentní funkce aplikací (MS IE, Mozilla Firefox, MS Outlook, Lotus Notes, Adobe Acrobat...) Užitečné aplikace 6

12 OKsmart Middleware Windows XP, Vista, 7 32/64 bit Windows Server 2003, 2008 Linux Aplikace.NET, Linux s MONO. OKsmart Format OKsmart Manager OKsmart Disk OKsmart File OKsmart Safe 7

13 OKsmart middleware pro autentizaci OKsmart umožňuje transparentně použít čipovou kartu pro následující funkce: Připojení k LAN síti pomocí ověření 802.1x (prostřednictvím ověřovacího protokolu EAP a serveru RADIUS) Přihlášení k Active Directory (prostřednictvím protokolu Kerberos, lze konfigurovat povinnost ve vazbě na počítač nebo uživatele a chování při vyjmutí karty) Přihlášení pomocí VPN připojení k síti (prostřednictvím ověřovacího protokolu EAP) Přihlášení k terminálové službě pomocí Připojení k vzdálené ploše Přihlášení k web serveru z prohlížeče při sestavení zabezpečeného kanálu SSL s autentizací klienta certifikátem 8

14 OKsmart Safe aplikace pro autentizaci 9

15 OKsmart - middleware pro elektronický podpis Zaručený elektronický podpis vytvořený s použitím čipové karty: Data pro vytvoření podpisu (privátní klíče RSA 2048) vznikají na čipové kartě a nikdy ji neopustí Podpis může být vytvořen na libovolném počítači s OKsmart Podpis umožňují běžně používané aplikace, například: MS Outlook MS Office (Word, Excel) Adobe Acrobat, Adobe Reader 10

16 Elektronický podpis v MS Office Použitelná implementace od verze 2007/2010 Viditelné (Word, Excel) i neviditelné podpisy Podpora (verze 2007) XML-Dsig, (verze 2010) XAdES včetně časových razítek). Nastavení XAdESLevel a MinXAdESLevel=0..5 Umožňuje použít SHA-2 a ověřit platnost podpisu včetně ověření certifikátů a CRL Verze 2007 a MS Outlook v obou verzích neumožňuje používat časová razítka 11

17 Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12

30 Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13

39 Podpis v PDF PDF dokument může obsahovat: elektronické podpisy v interní formě Viditelné (ve formě formulářového pole) Neviditelné (na dokumentu není explicitně zobrazen) Tisknutelné Netisknutelné certifikační podpisy pro autorizaci nevyplněných formulářů nelze vytvořit pomocí Adobe Reader, musí být první podpis PDF dokumentu. Pozor, nelze je považovat za zaručené elektronické podpisy. časová razítka jsou součástí podpisu, ve verzi X je lze přidat samostatně archivní razítka 14

40 Vytvoření podpisu s čipovou kartou 15

45 Ověření podpisu v Adobe Reader 16

46 OKsmart - aplikace pro šifrování Šifrování souborů/adresářů použití AES nebo 3DES a RSA Použití jednoho nebo více certifikátů pro šifrování klíčů pro sdílení šifrovaných souborů několika uživateli. Snadné použití díky integraci do GUI Windows Exploreru Šifrování logického disku Windows Disk je možné připojit pouze s čipovou kartou (volitelně komplexním heslem) Transparentní šifrování a dešifrování všech dat virtuálního disku Použití šifrovacího algoritmu a módu XTS-AES podle specifikace IEEE a NIST SP800-38E Použití více certifikátů pro šifrování klíče, kdykoli možnost přidání dalších certifikátů (například recovery agent, výměna certifikátu, sdílení) Podpora pro Bitlocker Drive Encryption pomocí rozšíření GUI Windows Exploreru 17

47 OKsmart Disk - šifrování logického disku 18

52 OKsmart Manager 19

53 OKbase Nová generace modulárního systému pro řízení lidských zdrojů. Hlavní funkce systému jsou obsaženy v modulech Personalistika, Docházka, Mzdy, Stravování a Správa čipových karet. OKbase používá čipové karty pro záznamy docházky a výdej jídel při stravování zaměstnanců. Modul Správa čipových karet umožňuje vydávat čipové karty pro zaměstnance, návštěvy nebo pro zákazníky. 20

54 OKbase Java smart klient 21

55 OKbase web klient 22

56 Okbase mobilní klient (iphone, Android) 23

57 OKbase modul správa čipových karet Modul správa čipových karet umožňuje vydávat čipové karty s kontaktním i bezkontaktním čipem a řídit jejich životní cyklus. Mezi hlavní funkce patří: Import existujících karet pro správu v Okbase Příprava personalizačních profilů pro grafickou, bezkontaktní a kontaktní personalizaci Personalizace nových karet Řízení životního cyklu vydaných karet 24

58 Správa čipových karet 25

62 OKbase modul správa čipových karet Personalizace (= oboustranný potisk těla karty, personalizace kontaktního čipu, personalizace bezkontaktního čipu) používá datové zdroje a personalizační profily. Datové zdroje pro personalizaci Předdefinované (výběr z podmnožiny dat z DB OKbase) Uživatelské (výběr libovolných dat z OKbase) Externí (import personalizačních dat zákazníka) Generátory sekvencí Personalizační profily Grafická personalizace Bezkontaktní čip (Groovy script) Kontaktní čip (Groovy script) HW profily personalizačních zařízení 26

63 Data zaměstnance pro personalizaci 27

64 Předdefinované datové zdroje 28

67 Uživatelsky definovaný datový zdroj 29

73 Externí datové zdroje - import z Excelu 30

80 Personalizační profily Personalizační profily určují vzhled karty a funkce kontaktního a bezkontaktního čipu na základě dat z datových zdrojů a personalizačních skriptů. Personalizační profily (souhrnné profily) Grafická personalizace Bezkontaktní čip (Groovy script) Kontaktní čip (Groovy script) 31

81 Profil personalizace bezkontaktního čipu 32

84 Profil grafické personalizace 33

88 Provedení personalizace 34

93 Využívání čipových karet na Magistrátu města Kladna Nasazeno je 50 čipových OKsmart karet, o které se stará jeden pracovník, současně i o 50 OKsmart karet z MPSV Karty jsou využívány k: přihlašování do PC přihlašování do CzechPOINT přihlašováním do systému Hmotná nouze podepisování ových zpráv podepisování DS ve spisové službě přihlašování do aplikace VPE 35

94 Využívání čipových karet na Magistrátu města Kladna Proč OKsmart karty: jsou podporovány v terminálovém prostředí CITRIX jsou podporovány v prostředí MS WIN 7 64bit integrován bezkontaktní čip pro docházkový přístupový systém (bude zajištěno odhlášení z PC při opuštění pracoviště) slouží i jako průkaz pracovníka s uvedení oprávnění pro výkon kontrolní činnosti (na zadní straně) 36

95 Využívání čipových OKsmart karet na Magistrátu města Kladna nastavení karet Formátování karet pořízených magistrátem: kapacita 12kB použité formátování 6 x 2048 bit klíče Postsignum AUT/SIFR 2x certifikát přidělený vnitřní autoritou MMK 1x root certifikát pro VPE 1x certifikát pro elektronický účet Telefónica O2 1x Formátování získaných z MPSV: kapacita 10 kb použité formátování 6 x 1024 bit a 2 x 2048 bit klíče Postsignum AUT/SIFR 2x MPSV AUT/SIFR 2x 37

96 Využívání čipových OKsmart karet na Magistrátu města Kladna další rozšíření Vize: centrální správa certifikátů nasazení pro všechny uživatele (cca 350) autentifikace oproti centrální správě identit, která je součástí projektu Centralizace poskytovaných služeb občanům v ORP Kladno z výzvy 09 IOP komplexní využití pro evidenci docházky v přístupovém systému 38

97 OKsystem s.r.o. Na Pankráci Praha 4 tel: info@oksystem.cz Otázky? Děkujeme za pozornost 39