Identifikační čipové doklady s biometrickými prvky Technické řešení bezpečnosti

Podobné dokumenty
epasy - cestovní doklady nově s otisky prstů Projekt CDBP

DRUHÁ GENERACE ELEKTRONICKÝCH PASŮ A NOVÁ GENERACE ELEKTRONICKÝCH PRŮKAZŮ O POVOLENÍ K POBYTU. aneb Nebojte se biometrie

Rozšířené řízení přístupu EACv2 a jeho ověření v projektu BioP@ss

Elektronické pasy v praxi. Zdeněk Říha

Čipové karty, elektronické občanky a bezpečnost

JIŽ VÍCE JAK 5 LET ŽIJEME S BIOMETRICKÝMI DOKLADY, UMÍME JICH VYUŽÍT? Petr Vyleťal

Elektronické doklady v ČR. Kam jsme se dostali a kde to ještě vázne?

Autentizace v příkladech II

MINISTERSTVO VNITRA Projekt vydávání e-cestovních dokladů. Internet ve státní správě a samosprávě Hradec Králové, duben 2008

Odborná konference Quality & Security

Elektronické doklady a egovernment

Nadpis. Nadpis 2. Božetěchova 2, Brno

Programové vybavení OKsmart pro využití čipových karet

Elektronické identifikační doklady. Jak jsou na tom další státy Evropské unie? Smart World Brno, září 2013

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s.

Informatika / bezpečnost

Použití čipových karet v IT úřadu

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

OKsmart a správa karet v systému OKbase

PŘÍLOHA. návrh. nařízení Evropského parlamentu a Rady,

eop s čipem Porovnání realizace v ČR a Německu Ing. Ivo Rosol, CSc. Smart Cards & Devices Forum 2012 Spojujeme software, technologie a služby 1

2.3 Požadavky na bezpečnost a kryptografii...19

Autentizace v příkladech

Digitální podepisování pomocí asymetrické kryptografie

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Certifikace pro výrobu čipové karty třetí stranou

Správa přístupu PS3-2

Příklady využití HW tokenů

dokumentaci Miloslav Špunda

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Rada Evropské unie Brusel 4. července 2016 (OR. en)

Hybridní čipové karty

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

Penetrační testy RFID aneb když pravda je horší než lež. Dr. Tomáš Rosa, Raiffeisenbank, a.s. SmartCard Forum 2009

Certifikáty a jejich použití

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Identifikace a autentizace

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

PA159 - Bezpečnostní aspekty

Kryptografie založená na problému diskrétního logaritmu

IDENTIFIKAČNÍ DOKLADY V ČESKÉ REPUBLICE. František MALEČ STÁTNÍ TISKÁRNA CENIN, státní podnik

Elektronické OP v EU. Poučíme se ze zkušeností zemí, které vydaly a používají eop? Ivo Rosol ředitel vývojové divize

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

Elektronický občanský průkaz - eop

SIM karty a bezpečnost v mobilních sítích

Bezpečnostní mechanismy

I.CA SecureStore Uživatelská příručka

Akreditovaná certifikační autorita eidentity

Diffieho-Hellmanův protokol ustanovení klíče

eobčan a egovernment ISSS 2013 Petr Mayer Atos IT Solutions and Services, s.r.o.

Šifrová ochrana informací věk počítačů PS5-2

Bezpečnost internetového bankovnictví, bankomaty

KOMISE EVROPSKÝCH SPOLEČENSTVÍ ROZHODNUTÍ KOMISE, ze dne ,

PV157 Autentizace a řízení přístupu

Šifrová ochrana informací věk počítačů PS5-2

ZPRÁVA PRO UŽIVATELE

Digitální podepisování pomocí asymetrické kryptografie

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Příloha č. 1 k Čj.: PPR /ČJ

SSL Secure Sockets Layer

ZPRÁVA PRO UŽIVATELE

ZIFO, AIFO a bezpečnost osobních údajů

POPIS ČÍSELNÍKU. Název: Výčet položek číselníku:

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

Crypto-World Informační sešit GCUCMP ISSN

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Reverzování NFC EMV karet. Ondrej Mikle

I.CA SecureStore Uživatelská příručka

BEZPEČNOSTNÍ PROSTŘEDKY PRO ELEKTRONICKÝ PODPIS Miloslav Špunda

Certifikáty a jejich použití

Informatika Ochrana dat

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Jen správně nasazené HTTPS je bezpečné

Elektronický podpis význam pro komunikaci. elektronickými prostředky

PB169 Operační systémy a sítě

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

MXI řešení nabízí tyto výhody

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

Směry rozvoje v oblasti ochrany informací KS - 7

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Mifare Mifare Mifare Mifare Mifare. Standard 1K/4K. Velikost paměti EEPROM 512bit 1/4 KByte 4KByte 4/8/16 KByte 4-72 KByte

AKTIVNÍ RFID SYSTÉMY. Ing. Václav Kolčava vedoucí vývoje HW COMINFO a.s.

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Co musíte vědět o šifrování

A8-0065/1. Jussi Halla-aho Jednotný vzor povolení k pobytu pro státní příslušníky třetích zemí COM(2016)0434 C8-0247/ /0198(COD)

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

Aritmetika s velkými čísly na čipové kartě

Bezpečnost elektronických platebních systémů

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 79 odst. 2 písm. a) této smlouvy,

Transkript:

Spojujeme software, technologie a služby Identifikační čipové doklady s biometrickými prvky Technické řešení bezpečnosti Ivo Rosol ředitel vývojové divize, OKsystem s.r.o.

ID doklady s čipem Technologie mikroprocesorových čipových karet se standardně používá zejména v oblastech: SIM karet systému GSM platebních karet systému EMV V současné době nastupuje plošná aplikace v oblastech: cestovních a identifikačních dokladů fyzického a logického přístupu a zaručeného elektronického podpisu 2

Kontaktní vs. RF rozhraní Pro cestovní a ID doklady se obvykle využívá RF rozhraní. Důvodem je: zvýšení spolehlivosti jednoduchost obsluhy vyšší přenosová rychlost Nevýhodou jsou nové bezpečnostní hrozby, které se eliminují pomocí vhodně navržených kryptografických technologií a schémat. 3

RF komunikace u ID dokladů ID doklady s RF přenosem nemají vlastní zdroj energie, kterou musí čerpat z pole antény čtecího zařízení. Tato energie sice pokrývá spotřebu čipu, nestačí ale na aktivní vysílání. Pro RF komunikaci se využívá standard ISO 14443, díl 1-4 4

RF komunikace u ID dokladů Pro napájení karet vysílá terminál nosný sinusový signál o frekvenci 13,56 MHz, pole čtečky 1,5 A/m < H < 7,5 A/m. Pro vysílání dat čtečkou na kartu jsou data kódována modifikovanou Millerovou metodou, výsledek je poté amplitudově modulován na nosný signál s hloubkou modulace 100 %. Rychlosti přenosu jsou 106, 212, 424 a 848 kbit/s 5

RF komunikace u ID dokladů Pro přenos dat z čipu do čtečky čip pasivně vysílá data s využitím zátěžové modulace. Anténa čtečky a karty tvoří VF transformátor, kde změny zátěže sekundárního okruhu (karty) se promítají do primárního okruhu (čtečky) a jsou interpretovány jako 0 a 1 vysílané kartou. Data jsou kódována metodou Manchester, a modulována na zátěžovou subnosnou 848 khz 6

Útoky na RF komunikaci Radiový přenos: komunikace s pasem (do 25 cm) útok postrčením lze odposlouchávat relaci oprávněné čtečky (jednotky m) aktivní komunikace se čtečkou (desítky m) lze poznat, že v poli čtečky je pas, nikoli jiné RFID zařízení, neboť lze vybrat aplikaci ICAO s kódem A0 00 00 02 47 10 01 7

Útok na UID ISO 14443 specifikuje antikolizní mechanismus pro výběr čipu v elektromagnetickém poli čtečky na základě UID (jednoznačného čísla čipu). Při inicializaci vyšle čtečka REQ. Každý čip v poli čtečky v závislosti na hodnotě svého UID vysílá nebo naslouchá vysílání ostatních. Čtečka může zvolit čip, se kterým chce komunikovat, případně odeslat příkaz HALT. Statické UID se běžně využívá v běžných RFID aplikacích (přístupové systémy...). V případě e-pasů by ale mohlo vést k trasování pasu, proto je nahrazeno dynamickým UID, které je konstantní pouze po dobu relace. UID pasivně vysílá čip, ale aktivně jej zopakuje čtečka (odposlech 10 m) 8

Kryptografické zabezpečení dokladů Metoda P/V Výhoda Nevýhoda PA P Autenticita LDS Neodstraňuje klonování a substituci čipu MRZ V Důkaz, že pasová knížka a LDS patří k sobě AA V Zabraňuje klonování a výměně čipu BAC V Zabraňuje neoprávněnému čtení a odposlouchávání komunikace mezi čipem a oprávněným terminálem EAC v Zabraňuje neoprávněnému přístupu k citlivým biometrickým údajům ENC V Zabezpečuje citlivé biometrickým údajům Neodstraňuje současné kopírování LDS a pasové knížky Vyžaduje kryptografický čip Vyžaduje kryptografický čip Vyžaduje komplexní infrastrukturu PKI Vyžaduje komplexní správu klíčů 9

Objekty a klíče uložené na čipu MF DF-LDS K ENC (klíč pro BAC, bezpečná paměť) K MAC (klíč pro BAC, bezpečná paměť) KPr AA (privátní klíč pro AA, bezpečná paměť) KPub CVCA (veřejný klíč NVA pro TA, bezpečná paměť) EF-COM (verze LDS, seznam DG) EF-SO D (otisky DG, podpis, C DS ) EF-DG1 (MRZ) EF-DG2 (fotografie) EF-DG3 (otisky prstů) EF-DG14 (data pro autentizaci čipu v rámci EAC) EF-DG15 (data pro AA) 10

BAC Současný pas obsahuje osobní údaje (na datové stránce, ve strojově čitelné zóně MRZ a na čipu v DG1), a méně citlivé biometrické osobní údaje (fotografie na datové stránce a na čipu v DG2), které jsou přístupné i z jiných zdrojů. Tyto méně citlivé údaje jsou chráněny základním řízením přístupu BAC Basic Access Control. BAC zaručuje, že inspekční systém má fyzický přístup k (otevřenému) pasu 11

Údaje z MRZ pro BAC číslo pasu včetně výplně a kontrolní číslice datum narození a kontrolní číslice konec platnosti a kontrolní číslice 12

Odvození klíčů pro BAC číslo pasu datum narození konec platnosti c=1 pro ENC c=2 pro MAC Hash 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 Ka Kb N/A S pomocí Ka pro šifrování a Kb pro MAC se s využitím 3DES algoritmu provede vzájemná autentizace, odvodí klíče relace pro SM a vytvoří SM relace 13

Slabiny BAC Symetrické klíče jsou odvozeny z dat MRZ, nikoli z náhodného materiálu (seed) Struktura MRZ značně redukuje entropii je možný databázový ( slovníkový ) útok Protiopatření: používat náhodně generovaná čísla pasů používat alfanumerická čísla pasů 14

Pasivní autentizace Data uložená v čipu jsou kryptograficky zabezpečena elektronickým podpisem vydavatele pasu (DS - Document Signer) uloženým SOD. Tento podpis je možné ověřit s pomocí certifikátu DS, který vydává CSCA. Pro každou datovou skupinu DGx se spočítá hodnota otisku (hash) a uloží do objektu LDSSecurityObject, který je součástí podepsané CMS zprávy. 15

Ověření PA Pro české pasy se používá podpisové schéma založené na RSA s délkou modulu DS 2048 bitů a kódováním EMSA_PSS dle PKCS#1. Modul klíče CSCA je 3072 bitů. Certifikáty CSCA se vyměňují mezi státy s využitím důvěryhodných diplomatických služeb. Certifikáty DS jsou (nepovinně) uloženy v CMS zprávě uvnitř SOD, nebo vym+ňovány bilaterálně nebo publikovány v adresářových službách ICAO. 16

PKI pro PA Země A (ČR) Bilater. výměna (MZv) Země B MV CSCA (NCA) NIMS CVCA (NVA) STC DS DS DS Cizinecká policie IS IS IS ICAO PKD 17

Útok klonováním čipu Doklad chráněný pouze BAC a PA lze kompletně zkopírovat, včetně SOD (klonování čipu). Ohrožení inspekčních systémů při klonování čipů a například následné modifikaci fotografie (JPEG 2000 buffer overrun) Zničení čipu v MV troubě a použití čipu klonovaného z jiného pasu, nebo pouze vložení RF čipové karty 18

Aktivní autentizace AA znemožňuje kompletní klonování čipu AA je založena na autentizaci čipu s využitím podpisového schématu založeného na RSA podle ISO 9796-2. Klíče jsou vygenerovány při personalizaci, soukromý klíč je uložen v bezpečné paměti čipu, veřejný klíč je uložen v DG15 a chráněn Pasivní autentizací Operační systém čipu žádným způsobem neumožní kopírovat soukromý klíč 19

Aktivní autentizace AA využívá protokol výzva-odpověď mezi čipem a IS: IS zašle čipu náhodně vygenerovanou výzvu V s požadavkem na její podepsání privátním klíčem Čip vygeneruje náhodnou hodnotu U, spočítá otisk h= SHA-1(V U) a vrátí kryptogram s=rsa(h) IS ověří podpis pomocí veřejného klíče z DG15 20

Přepojovací útok na AA Při ponechání pasu v recepci hotelu lze kompletně číst a zkopírovat obsah pasu. S kopií pasu lze při překročení hranice provést rellay attack po BAC provést přesměrování z falešného pasu na AA provedenou pasem na recepci hotelu. K tomu se využije například IP kanál a internet. 21

Zneužití AA sémantikou výzvy Pokud inspekční systém místo náhodné výzvy V použije výzvu s nějakým významem, získá podpis čipu k této výzvě. Například V=H(Sign IS (MRZ Datum Čas Místo)) čip vrátí Sign ICC (V U), ověřitelný důkaz, že čip (držitel pasu) byl v Datum:Čas v daném místě 22

EAC rozšířené řízení přístupu Budoucí cestovní a identifikační doklady budou obsahovat novou generaci bezpečnostního mechanismu, zejména v souvislosti se zavedením otisků prstů. Pasy vydávané členskými státy EU po 28.6. 2009 (v ČR po 1.5. 2008) budou obsahovat velmi citlivé biometrické osobní údaje - otisky prstů, které nejsou běžně dostupné z jiných zdrojů a budou chráněny rozšířeným řízením přístupu EAC Extended Access control. Tato ochrana je podle rozhodnutí Evropské komise K (2005) 409 povinná a její řešení musí být v souladu s Nařízením Rady EU č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných členskými státy (dále EAC) ICAO v současné době nemá formální standard pro EAC Evropská komise a ICAO odkazují na technickou zprávu TR-03110 německého BSI Advanced Security Mechanism for Machine Readable Travel Documents Extended Access Control Členské státy přijmou společnou Certifikační politiku, kterou vypracovala skupina EC - Article 6, BIG 23

EAC EAC rozšířené řízení přístupu. EAC je využito místo AA, používá kvalitnější klíče pro restart SM, neumožňuje trasovat čip a řídí přístup k DG3 případně DG4 EAC se skládá ze dvou pokročilých kryptografických mechanismů: Autentizace čipu (pasu) a Autentizace Terminálu (Inspekčního systému) 24

Autentizace čipu Alternativou k Aktivní autentizaci, zaručuje, že čip není klonován (kopie kompletního datového obsahu čipu, včetně podpisu SoD) Zabraňuje útoku formou sémantiky výzvy, která umožňuje získat ověřitelné trasování pasu (kdy a kde se vyskytoval uživatel pasu) Umožňuje vygenerovat SM klíče s vysokou entropií, které nejsou odvozeny ze strojově čitelné zóny čipu Využívá algoritmus Diffie-Hellman (nebo ECDH) pro určení symetrických klíčů unikátních pro tuto relaci Autenticita čipu je ověřena implicitně z faktu, že čip je schopen využívat SM klíče, tudíž klíčový materiál použitý pro DH nebo ECDH byl autentický 25

Autentizace terminálu Využívá PKI pro autentizaci a autorizaci IS Založeno na protokolu výzva-odpověď Sémantika výzvy neznamená nebezpečí Veškerá komunikace probíhá v rámci bezpečné komunikace založené na SM v módu Encryptthen-Authenticate a šifrovacích klíčích s vysokou entropií (3DES2) 26

PKI 2 pro EAC Země A (ČR) Země B MV CVCA (NVA) Křížová certifikace CVCA (NVA) DV (VA) DV (VA) DV (VA) DV (VA) IS IS IS IS IS IS IS IS Cizinecká policie 27

PKI pro EAC - CVCA Každá země zřizuje právě jednu Národní verifikační autoritu - CVCA (Country Verifying Certification Authority) CVCA je kořenová certifikační autorita, může být součástí infrastruktury CSCA, musí mít jiné klíčové páry než CSCA Tvoří singulární bod důvěry pro všechny pasy (MRTD) vydávané domácí zemí (veřejný klíč CVCA uložen v DG14 chráněné PA) Vydává certifikáty pro Autority pro ověřování dokumentů (DV) ve vlastní zemi i pro cizí země, tím umožňuje přístup k chráněným datům pasů pro inspekční systémy Nastavuje na nejvyšší úrovni přístupová práva k chráněným údajům pasů pro jednotlivé země Relativně často (vzhledem k životnosti pasu) mění svoje klíče (6 měsíců 3 roky), k tomuto účelu vydává spojovací certifikáty (link certificate), které umožní jednotlivým pasům aktualizovat si veřejný klíč CVCA CVCA může být provozována stejnou organizací jako CSCA vydavatelem cestovních dokladů (u nás MV) 28

PKI pro EAC - DV Každá země, která chce číst chráněná data z pasů (domácích i ostatních zemí) musí provozovat alespoň jednu VA - Verifikační autoritu (DV - Document Verifier) VA ve skutečnosti neprovádí ověřování pasů, ale je certifikační autoritou, která vydává certifikáty pro inspekční systémy IS VA je správcem domény inspekčních systémů ve své zemi, vydává jim certifikáty umožňující přístup k chráněným údajům pasů VA je autorizován k vydávání certifikátů pro své IS na základě certifikátu od NVA VA musí požádat o certifikát od NVA každé země, jejíž pasy mají být kontrolovány IS v doméně VA (například pro kontrolu německých pasů musí česká VA požádat německou NVA o vydání certifikátu, který bude opravňovat českou VA k vydání certifikátů pro české IS ke kontrole německých pasů) Doba platnosti certifikátů VA je 14 dnů 3 měsíce VA může omezit práva a dobu platnosti certifikátů pro své IS VA je typicky provozována organizací zodpovědnou za kontrolu cestovních dokladů (u nás Policie ČR) 29

PKI pro EAC - IS Inspekční systém dostává certifikáty pouze od VA své země IS musí mít samostatný certifikát pro pasy každé země, kterou kontroluje Certifikáty IS mají velmi krátkou dobu platnosti (1 den až 1 měsíc) kvůli teoretické možnosti krádeže IS IS provádí vlastní kontrolu pasů s využitím Extended Access Control 30

PKI pro EAC - certifikáty Všechny certifikáty v rámci EAC PKI (NVA, VA, IS)musí být ověřitelné čipem pasu CVC Card Verifiable Certificate Všechny certifikáty v řetězu musí mít stejný algoritmus elektronického podpisu, délky klíčů a doménové parametry Spojovací certifikáty NVA umožňují měnit klíče, případně další parametry podpisového schématu 31

Obsah certifikátu Certifikáty jsou typu CVC, kódovány metodou TLV (Tag-Length-Value) Data obsažená v certifikátu: Označení certifikační autority Veřejný klíč Označení držitele Autorizace držitele Efektivní datum certifikátu (od:) Datum konce platnosti certifikátu (do:) Podpis certifikační autority 32

Doby platnosti certifikátů Subjekt Minimum Maximum CVCA certificate osvědčení vnitrostátního kontrolního subjektu DV certificate osvědčení subjektu ověřujícího platnost dokladů 6 měsíců 3 roky 2 týdny 3 měsíce IS certificate osvědčení kontrolního systému 1 den 1 měsíc 33

Ověřování certifikátů IS musí zaslat čipu řetěz certifikátů, který začíná spojovacími certifikáty, certifikátem VA a končí certifikátem IS Čip si musí interně aktualizovat klíče NVA na základě spojovacích certifikátů Čip musí odmítnout certifikáty po době platnosti. Čip nemá hodiny reálného času, používá odhad času, který si aktualizuje při každé hraniční kontrole na nejvyšší efektivní datum ověřených certifikátů NVA, VA a domovských IS. 34

Kódování přístupových práv 76 543210 Všechny xx ------ Role certifikáty 11 ------ NVA obsahuji Certificate 10 ------ VA domácí Holder 01 ------ VA cizí Authorisation: 00 ------ IS -- xxxxxx Práva 11000011 NVA -- 0000-- rezervováno 01000011 DV -- ----1- duhovka 00000001 IS 00000001 efektivní práva -- -----1 Otisk prstu 35

Spojovací certifikát Spojovací certifikát (Link certificate) umožňuje: Přenos důvěry od původního veřejného klíče CVCA k novému klíči Změnu algoritmů, délek klíčů a parametrů Principiálně osvědčuje původním soukromým klíčem nový veřejný klíč v certifikátu. 36

Interoperabilita vyžaduje testy Probíhají mezinárodní testy konformity čipů a OS, testy křížové interoperability čipů + OS a čteček (IS) a testy interoperability PKI pro EAC. Praha bude hostit 7. 12. 9. 2008 celosvětovou akci pořádanou MV ČR testy, konferenci a výstavu technologií a služeb pro cestovní doklady, viz http://www.e-passports2008.org 37

Závěr Cestovní doklady s čipem a biometrickými doklady jsou nejen novou, velmi významnou aplikací, ale současně i celosvětovou laboratoří, která přináší velký pokrok ve vývoji čipové technologie, aplikované kryptografie, tvorby standardů a testů. Zprovoznění celé infrastruktury pro cestovní doklady a EAC je dosud bezprecedentní celosvětovou implementací PKI a zdá se, že cestovní a budoucí identifikační doklady jsou onou dlouho očekávanou killer application, nezbytnou pro rozvoj dalších identifikačních a autorizačních čipových dokladů, PKI a infrastruktury pro e-government. 38

Dotazy a odpovědi Ivo Rosol ředitel vývojové divize OKsystem s.r.o. www.oksystem.cz rosol@oksystem.cz 39

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář