OKsmart a správa karet v systému OKbase



Podobné dokumenty
Použití čipových karet v IT úřadu

Programové vybavení OKsmart pro využití čipových karet

Využívání čipových karet na MPSV. Mgr. Karel Lux, vedoucí odd. koncepce informatiky

Manuál pro práci s kontaktním čipem karty ČVUT

VaV projekt TA je řešen s finanční podporou TA ČR

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

OKbase řízení lidských zdrojů

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Middleware eop. Instalační příručka pro práci s eop v prostředí MS Windows

Certifikace pro výrobu čipové karty třetí stranou

Testovací protokol čipová karta Oberthur Id-One Cosmo V5.4

Middleware eop. Instalační příručka pro práci s eop v prostředí MS Windows

I.CA SecureStore Uživatelská příručka

Aplikace na čipových kartách

Hybridní čipové karty

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

I.CA SecureStore Uživatelská příručka

Informace pro uchazeče o zaměstnání

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Testovací protokol USB Token Cryptomate

ProID+Q Uživatelská příručka

Testovací protokol čipová karta etoken PRO SmartCard 32K

Průkaz státního zaměstnance jako komplexní bezpečnostní předmět

Prezentace platebního systému PAIMA

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

ProID+Q Uživatelská příručka

2 Popis softwaru Administrative Management Center

Správa stanic a uživatelského desktopu

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

ProID+Q Uživatelská příručka

ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA

ZADÁVACÍ DOKUMENTACE

Architektura odbavovacího systému s použitím BČK

Uživatelská příručka. TokenME Crypto Java Card

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

Testovací protokol čipová karta ACOS5

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Microsoft Windows Server System

Testovací protokol USB token etoken PRO 32K

Komplexní řízení lidských zdrojů pro vaši společnost

Úložiště certifikátů pro vzdálené podepisování

Příručka pro klientský certifikát

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Příručka pro klientský certifikát

PROVÁZÁNÍ ECM/DMS DO INFORMAČNÍCH SYSTÉMŮ STÁTNÍ A VEŘEJNÉ SPRÁVY

pro komplexní řešení agendy neziskových organizací se zaměřením na sociální služby zdravotně postiženým NABÍDKOVÝ LIST

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

INSTALACE SW PROID+ V OS LINUX

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Prezentace CRMplus. Téma: CRMplus jako nástroj pro kontrolu a vyhodnocení rozpracovanosti dílů na zakázkách

Česká pošta, s.p. na Linuxu. Pavel Janík open source konzultant

INSTALACE SW PROID+ V OS WINDOWS

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s.

Samoobslužné odbavení čipových karet

TokenME Uživatelská příručka

Výběr a instalace mobilního terminálu. II. Používání čárových kódů v katalogu položek. III. Tisk etiket s čárovými kódy

ORION Podpora notebooků

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

TokenME Uživatelská příručka

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

PKI a čipové karty. Poskytovatel certifikačních služeb MPSV

1. Integrační koncept

PHOTO-ON Profesionální on-line správa fotografií

etoken 5110CC IDPrime MD3840 IDPrime MD840 (MD841)

Technické požadavky na multifunkční zařízení a tiskárny (dále jen tisková zařízení)

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Městské karty - úspěšná služba občanům regionů

ADS DOCHÁZKOVÝ SOFTWARE

FAQ PROID+ 1. JAK A KDE ZÍSKÁM OVLÁDACÍ SOFTWARE KARTY PROID+?

Smlouva o dílo. č. smlouvy Objednatele: č. smlouvy Zhotovitele: OS 8003/2015

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Instalační manuál. Uživatelská příručka informačního systému. Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2010.

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Dobrý SHOP Popis produktu a jeho rozšíření

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

BRICSCAD V15. Licencování

Podrobná technická specifikace požadavků na BČK

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Čipové karty úvod, Ing. Jiří Buček. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze

Uživatelská příručka Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2003

Příručka pro uživatele ČSOB CEB s čipovou kartou v operačním systému Mac OS X

Příručka pro nasazení a správu výukového systému edu-learning

Česká pošta, s.p. Certifikační autorita PostSignum

I.CA SecureStore. Instalační příručka. Verze 2.32 a vyšší

GOOGLE APPS FOR WORK. TCL DigiTrade

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Inspirace systémem. Princip fungování

OrtoProtet program pro evidenci zakázek, fakturace, evidenci pacientů, evidenci pracovníků a dalších níže uvedených operací pro ortopedické protetiky

IDENTIFIKAČNÍ DOKLADY V ČESKÉ REPUBLICE. František MALEČ STÁTNÍ TISKÁRNA CENIN, státní podnik

skarta inovativní nástroj státní správy

ČSOB Business Connector instalační příručka

Institut elektronických aplikací, s.r.o. Stránka 1 z 7. AVEPOP - Automatický Výdej a Evidence Pracovních a Ochranných Prostředků

STÁTNÍ TISKÁRNA CENIN, státní podnik. STC to s eidasem umí! Únor 2017

Bezpečnost sítí

Dobrý FOTO Popis produktu a jeho rozšíření

Middleware eop. Instalační příručka pro práci s eop v prostředí Mozilla Firefox, Thunderbird a Adobe Reader na systémech Ubuntu Linux

eobčanka Správce karty pro MS Windows příručka uživatele

Transkript:

OKsmart a správa karet v systému OKbase Od personalizace a sledování životního cyklu karet až k bezkontaktní autentizaci a elektronickému podpisu Spojujeme software, technologie a služby Martin Primas vedoucí projektů informační bezpečnosti Praha, 17.5.2012

Agenda Modulární systém OKbase Správa karet Životní cyklus karet Inicializace a personalizace karty Grafická personalizace Bezkontaktní personalizace Kontaktní personalizace Personalizační profily OKsmart Představení produktu OKsmart Plánované novinky v OKsmart 3.0 Správa klíčů Správa certifikátů ve vývoji 2

Modulární systém OKbase Celofiremní modulární sytém pro práci se zaměstnanci Moduly pracují nad jednotnou datovou základnou Moduly lze užívat jako předinstalované, nebo se mohou volně konfigurovat podle potřeby zákazníka Celkem 18 modulů, představíme si z nich dva: Správa karet Správa klíčů Nový modul Správa certifikátů je na počátku vývoje 3

Správa karet v systému OKbase Slouží k inicializaci, personalizaci a správě životního cyklu identifikačních a čipových karet Inicializace karet Nahrání obecných dat, klíčů, aplikací Personalizace karet Karty je potřeba od sebe rozlišit, většinou určit jejich vazbu na konkrétního držitele Karty lze importovat (i hromadně) Personalizované karty S bezkontaktním čipem - pro docházkový nebo přístupový systém, stravování, evidenci návštěv S kontaktním čipem - pro šifrování, autentizaci a elektronický podpis (společně s programovým vybavením OKsmart) 4

Životní cyklus karet NOVÁ Každá karta definovaně prochází určenými stavy životního cyklu REPERSONALIZACE PERSONALIZACE / IMPORT Aktuální stav určuje použitelnost karty pro zaměstnance a uživatele OKbase ODVOLANÁ ODVOLÁNÍ ODVOLÁNÍ ODVOLÁNÍ VÝROBA DOKONČENA AKTIVACE Stav životního cyklu lze jednotlivě nebo hromadně měnit NEAKTIVNÍ DEAKTIVACE AKTIVNÍ Nový OKsmart bude podporovat změny životního cyklu REAKTIVACE VYŘAZENÁ 5

Inicializace a personalizace karty Personalizace Vlastní personalizace se provádí na základě výběru personalizačního profilu karty a zadání vstupních parametrů Lze provádět jednotlivou nebo dávkovou personalizaci karet Manuálně pomocí samostatných zařízení tiskárny a čtečky kontaktních a bezkontaktních čipových karet Automaticky s využitím podporovaných multifunkčních personalizačních periferií Ukázka Personalizace karty (také hromadná) Tisk PIN a štítků pro karty Změny životního cyklu karty 6

Grafické personalizace V nejjednodušším případě vydáváme jen plastové karty s potiskem Předdefinované šablony definují vzhled karty Na karty lze tisknout textové prvky (jména, identifikátory a jiné), grafické prvky (loga, fotografie), čárové kódy, strojově čitelné kódy Lze tisknou také samolepící štítky na karty Potisk karet: Na zakázku v OKsystem U zákazníka Štítky na laserové tiskárně Na vlastní tiskárně karet 7

Bezkontaktní personalizace Bezkontaktní čipy se využívají primárně k identifikaci a autentizaci, ale také jako předplacené jízdenky, platební peněženky, atd. Bezkontaktní personalizace definuje data z datového zdroje a způsob jejich nahrání na bezkontaktní čip Podporován Mifare a DESFire 8

Kontaktní personalizace Kontaktní čipy se využívají především pro šifrování (emailů, dat), autentizaci (k doméně, k aplikacím) a elektronickému podpisu HW zařízení dnes zaručují nejvyšší stupeň ochrany klíčů - klíče nelze vykopírovat, použití klíčů umožněno po dodatečné autentizaci (např. zadáním PIN kódu) Podporován Java Card,.Net, Minidriver Nejvyšší integrace v OKbase pro OKsmart na Java Card Při personalizaci umožněn bezpečný tisk PIN/PUK kódů 9

Personalizační profily Personalizační profil je kombinací grafické, bezkontaktní a kontaktní personalizace Jednoznačně definuje všechny operace nutné pro provedení kompletní personalizace karty včetně využití společného datového zdroje a sady kryptografických klíčů Datové zdroje mohou být: Interní data OKbase Předdefinované - připraveny pro snadné použití Uživatelské možné dodefinovat pro libovolná data z objektového modelu OKbase Libovolná externí data Externí lze definovat a importovat data, například pro personalizaci karet pro zákazníky Pro práci s klíči, které např. chrání přístup k čipům, jsou pro jejich nejvyšší bezpečnost používána HW bezpečnostní zařízení 10

Představení produktu OKsmart SW pro integraci kryptografických čipových karet do operačních systémů Windows, Linux OKsmart se skládá z: Java Applet na kartě - čisté Java Card nelze v OS využívat Middleware - knihovny umožňující využít čipové karty v aplikacích Knihovny: PKCS11, CSP, KSP Využití například v aplikacích MS Outlook a Mozilla Thunderbird pro šifrování a podpis emailů, v MS Word a Adobe Acrobat pro podpis dokumentů Využití také pro přihlášení do Windows sítě Aplikace do PC OKsmart Manager pro správu karty, např. pro změnu PIN, PUK, správu certifikátů, datových objektů OKsmart File, Disk pro šifrování dat OKsmart Safe pro bezpečné ukládání hesel Podporovány JavaCard od předních světových výrobců: Gemalto, Oberthur Card System 11

Plánované novinky v OKsmart 3.0 Podpora Minidriver a tedy možnost využívat OKsmart karty ve Windows bez instalace dodatečného software Změna licenčního modelu Middleware a OKsmart Manager nebude kontrolován licencemi Licence bude na funkční OKsmart kartu, kterou zákazník získá: Inicializovanou od OKsystem (karta může být v OKsystem rovněž personalizována včetně potisku) Čistou Java Card, kterou si zákazník inicializuje pomocí našeho SW a nabitého kontroléru Kontrolér je administrátorská karta Lze nabíjet kreditem, jenž se při inicializaci OKsmart karty odečítá Chrání potřebné kryptografické klíče Ostatní aplikace OKsmart File, Disk, Safe budou k použití zdarma a bude je možné využívat také bez karet Integrace do OKbase Rozšířený OKsmart Manager bude bez instalace dostupný ve webovém klientu OKbase, bude spojena správa čipu OKsmart karty a práce s evidovanou kartou Podpora změn životního cyklu Aktivace a s ní spojená vynucená změna PIN kódu umožňující nedistribuovat PIN obálky Deaktivace neboli dočasné zablokování karty Možnost odblokování karty se zablokovaným PIN bez znalosti PUK pomocí Admin Key bezpečně umístěném na kontroléru Odblokování PIN může probíhat u administrátora nebo vzdáleně pomocí webového klienta Zablokovanou kartu s certifikátem pro přihlášení k Windows síti je možné vzdáleně odblokovat pomocí rozhraní Windows před přihlášením k PC 12

Vzdálené odblokování PIN před přihlášením k PC 13

Správa klíčů v systému OKbase Motivace: Co dělat v situaci, kdy ztratím šifrovací klíče k emailům? Hlavní služby Vytvoření klíče (online) - generování nebo uložení Obnovení klíče (citlivá operace s bezpečnostními správci - ukázka) Úložiště klíčů Všechny uživatelské klíče se nevejdou na HW zařízení, musí být v databázi Úložiště klíčů je skupina klíčů šifrovaných sadou klíčů úložiště Pro každé úložiště musí být definováni bezpečnostní správci, ti jediní mohou uživatelské klíče z úložiště obnovit můžeme vyžadovat při obnově více bezpečnostních správců, pokud nezadají své obnovovací klíče, nebude moci uživatelské klíče získat ani administrátor systému Profil klíče Šablona podle které lze v systému klíče vytvářet např.: RSA klíče pro šifrování emailů, AES klíče pro šifrování pevných disků Šablona definuje libovolné textové atributy ukládané s klíčem, množinu povolených algoritmů klíče, dobu platnosti Každé úložiště může mít přiřazen libovolný počet profilů klíče Předdefinovaný profil také pro modul správy karet záloha klíčů pro odemykání karet Operace s klíči probíhají na bezpečnostních zařízeních HW čipová karta nebo HSM modul SW virtuální zařízení v OKbase 14

Správa certifikátů v systému OKbase je ve vývoji Evidence certifikátů na kartách uživatelů Vydávání nových a následujících certifikátů Upozornění na vypršení certifikátů Odvolávání certifikátů a upozornění na odvolání certifikátu například při odchodu zaměstnance Napojení na certifikační autority od Microsoft Propojení modulů Personalizace karty ve Správě karet Automatické vydání certifikátů pomocí Správy certifikátů na personalizovanou kartu Archivace šifrovacích klíčů ve Správě klíčů k vydaným certifikátům Správa karet Správa klíčů Správa certifikátů 15

Martin Primas vedoucí projeků informační bezpečnosti OKsystem s.r.o. Na Pankráci 125, 140 21 Praha 4 www.oksystem.cz primas@oksystem.cz Otázky? Děkuji za pozornost 16

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář