OKsmart a správa karet v systému OKbase Od personalizace a sledování životního cyklu karet až k bezkontaktní autentizaci a elektronickému podpisu Spojujeme software, technologie a služby Martin Primas vedoucí projektů informační bezpečnosti Praha, 17.5.2012
Agenda Modulární systém OKbase Správa karet Životní cyklus karet Inicializace a personalizace karty Grafická personalizace Bezkontaktní personalizace Kontaktní personalizace Personalizační profily OKsmart Představení produktu OKsmart Plánované novinky v OKsmart 3.0 Správa klíčů Správa certifikátů ve vývoji 2
Modulární systém OKbase Celofiremní modulární sytém pro práci se zaměstnanci Moduly pracují nad jednotnou datovou základnou Moduly lze užívat jako předinstalované, nebo se mohou volně konfigurovat podle potřeby zákazníka Celkem 18 modulů, představíme si z nich dva: Správa karet Správa klíčů Nový modul Správa certifikátů je na počátku vývoje 3
Správa karet v systému OKbase Slouží k inicializaci, personalizaci a správě životního cyklu identifikačních a čipových karet Inicializace karet Nahrání obecných dat, klíčů, aplikací Personalizace karet Karty je potřeba od sebe rozlišit, většinou určit jejich vazbu na konkrétního držitele Karty lze importovat (i hromadně) Personalizované karty S bezkontaktním čipem - pro docházkový nebo přístupový systém, stravování, evidenci návštěv S kontaktním čipem - pro šifrování, autentizaci a elektronický podpis (společně s programovým vybavením OKsmart) 4
Životní cyklus karet NOVÁ Každá karta definovaně prochází určenými stavy životního cyklu REPERSONALIZACE PERSONALIZACE / IMPORT Aktuální stav určuje použitelnost karty pro zaměstnance a uživatele OKbase ODVOLANÁ ODVOLÁNÍ ODVOLÁNÍ ODVOLÁNÍ VÝROBA DOKONČENA AKTIVACE Stav životního cyklu lze jednotlivě nebo hromadně měnit NEAKTIVNÍ DEAKTIVACE AKTIVNÍ Nový OKsmart bude podporovat změny životního cyklu REAKTIVACE VYŘAZENÁ 5
Inicializace a personalizace karty Personalizace Vlastní personalizace se provádí na základě výběru personalizačního profilu karty a zadání vstupních parametrů Lze provádět jednotlivou nebo dávkovou personalizaci karet Manuálně pomocí samostatných zařízení tiskárny a čtečky kontaktních a bezkontaktních čipových karet Automaticky s využitím podporovaných multifunkčních personalizačních periferií Ukázka Personalizace karty (také hromadná) Tisk PIN a štítků pro karty Změny životního cyklu karty 6
Grafické personalizace V nejjednodušším případě vydáváme jen plastové karty s potiskem Předdefinované šablony definují vzhled karty Na karty lze tisknout textové prvky (jména, identifikátory a jiné), grafické prvky (loga, fotografie), čárové kódy, strojově čitelné kódy Lze tisknou také samolepící štítky na karty Potisk karet: Na zakázku v OKsystem U zákazníka Štítky na laserové tiskárně Na vlastní tiskárně karet 7
Bezkontaktní personalizace Bezkontaktní čipy se využívají primárně k identifikaci a autentizaci, ale také jako předplacené jízdenky, platební peněženky, atd. Bezkontaktní personalizace definuje data z datového zdroje a způsob jejich nahrání na bezkontaktní čip Podporován Mifare a DESFire 8
Kontaktní personalizace Kontaktní čipy se využívají především pro šifrování (emailů, dat), autentizaci (k doméně, k aplikacím) a elektronickému podpisu HW zařízení dnes zaručují nejvyšší stupeň ochrany klíčů - klíče nelze vykopírovat, použití klíčů umožněno po dodatečné autentizaci (např. zadáním PIN kódu) Podporován Java Card,.Net, Minidriver Nejvyšší integrace v OKbase pro OKsmart na Java Card Při personalizaci umožněn bezpečný tisk PIN/PUK kódů 9
Personalizační profily Personalizační profil je kombinací grafické, bezkontaktní a kontaktní personalizace Jednoznačně definuje všechny operace nutné pro provedení kompletní personalizace karty včetně využití společného datového zdroje a sady kryptografických klíčů Datové zdroje mohou být: Interní data OKbase Předdefinované - připraveny pro snadné použití Uživatelské možné dodefinovat pro libovolná data z objektového modelu OKbase Libovolná externí data Externí lze definovat a importovat data, například pro personalizaci karet pro zákazníky Pro práci s klíči, které např. chrání přístup k čipům, jsou pro jejich nejvyšší bezpečnost používána HW bezpečnostní zařízení 10
Představení produktu OKsmart SW pro integraci kryptografických čipových karet do operačních systémů Windows, Linux OKsmart se skládá z: Java Applet na kartě - čisté Java Card nelze v OS využívat Middleware - knihovny umožňující využít čipové karty v aplikacích Knihovny: PKCS11, CSP, KSP Využití například v aplikacích MS Outlook a Mozilla Thunderbird pro šifrování a podpis emailů, v MS Word a Adobe Acrobat pro podpis dokumentů Využití také pro přihlášení do Windows sítě Aplikace do PC OKsmart Manager pro správu karty, např. pro změnu PIN, PUK, správu certifikátů, datových objektů OKsmart File, Disk pro šifrování dat OKsmart Safe pro bezpečné ukládání hesel Podporovány JavaCard od předních světových výrobců: Gemalto, Oberthur Card System 11
Plánované novinky v OKsmart 3.0 Podpora Minidriver a tedy možnost využívat OKsmart karty ve Windows bez instalace dodatečného software Změna licenčního modelu Middleware a OKsmart Manager nebude kontrolován licencemi Licence bude na funkční OKsmart kartu, kterou zákazník získá: Inicializovanou od OKsystem (karta může být v OKsystem rovněž personalizována včetně potisku) Čistou Java Card, kterou si zákazník inicializuje pomocí našeho SW a nabitého kontroléru Kontrolér je administrátorská karta Lze nabíjet kreditem, jenž se při inicializaci OKsmart karty odečítá Chrání potřebné kryptografické klíče Ostatní aplikace OKsmart File, Disk, Safe budou k použití zdarma a bude je možné využívat také bez karet Integrace do OKbase Rozšířený OKsmart Manager bude bez instalace dostupný ve webovém klientu OKbase, bude spojena správa čipu OKsmart karty a práce s evidovanou kartou Podpora změn životního cyklu Aktivace a s ní spojená vynucená změna PIN kódu umožňující nedistribuovat PIN obálky Deaktivace neboli dočasné zablokování karty Možnost odblokování karty se zablokovaným PIN bez znalosti PUK pomocí Admin Key bezpečně umístěném na kontroléru Odblokování PIN může probíhat u administrátora nebo vzdáleně pomocí webového klienta Zablokovanou kartu s certifikátem pro přihlášení k Windows síti je možné vzdáleně odblokovat pomocí rozhraní Windows před přihlášením k PC 12
Vzdálené odblokování PIN před přihlášením k PC 13
Správa klíčů v systému OKbase Motivace: Co dělat v situaci, kdy ztratím šifrovací klíče k emailům? Hlavní služby Vytvoření klíče (online) - generování nebo uložení Obnovení klíče (citlivá operace s bezpečnostními správci - ukázka) Úložiště klíčů Všechny uživatelské klíče se nevejdou na HW zařízení, musí být v databázi Úložiště klíčů je skupina klíčů šifrovaných sadou klíčů úložiště Pro každé úložiště musí být definováni bezpečnostní správci, ti jediní mohou uživatelské klíče z úložiště obnovit můžeme vyžadovat při obnově více bezpečnostních správců, pokud nezadají své obnovovací klíče, nebude moci uživatelské klíče získat ani administrátor systému Profil klíče Šablona podle které lze v systému klíče vytvářet např.: RSA klíče pro šifrování emailů, AES klíče pro šifrování pevných disků Šablona definuje libovolné textové atributy ukládané s klíčem, množinu povolených algoritmů klíče, dobu platnosti Každé úložiště může mít přiřazen libovolný počet profilů klíče Předdefinovaný profil také pro modul správy karet záloha klíčů pro odemykání karet Operace s klíči probíhají na bezpečnostních zařízeních HW čipová karta nebo HSM modul SW virtuální zařízení v OKbase 14
Správa certifikátů v systému OKbase je ve vývoji Evidence certifikátů na kartách uživatelů Vydávání nových a následujících certifikátů Upozornění na vypršení certifikátů Odvolávání certifikátů a upozornění na odvolání certifikátu například při odchodu zaměstnance Napojení na certifikační autority od Microsoft Propojení modulů Personalizace karty ve Správě karet Automatické vydání certifikátů pomocí Správy certifikátů na personalizovanou kartu Archivace šifrovacích klíčů ve Správě klíčů k vydaným certifikátům Správa karet Správa klíčů Správa certifikátů 15
Martin Primas vedoucí projeků informační bezpečnosti OKsystem s.r.o. Na Pankráci 125, 140 21 Praha 4 www.oksystem.cz primas@oksystem.cz Otázky? Děkuji za pozornost 16