Spojujeme software, technologie a služby Programové vybavení OKsmart pro využití čipových karet Ukázky biometrické autentizace Ing. Vítězslav Vacek vedoucí oddělení bezpečnosti a čipových karet SmartCard Forum 2008 1
Komunikace dvou počítačů Aplikace na straně počítače Aplikace na straně karty ISO, USB, RF komunikace 1. APDU (požadavek) 2. APDU (odpověď) Komunikace dvou počítačů s odlišným technickým vybavením a operačním systémem. Komunikace je realizována na základě aplikačního protokolu pro mikroprocesorové čipové karty (ISO 7816 4, APDU). Zatímco syntaxe společného jazyka je dána, jeho implementace a sémantika zasílané zprávy je specifická pro každý typ nativní, nebo programovatelné karty. Potřebujeme softwarového tlumočníka, který zprostředkuje komunikaci mezi aplikací na straně počítače a aplikací na straně PC - middleware. SmartCard Forum 2008 2
Middleware prostředník komunikace Aplikace Aplikační rozhraní Middleware (integrační vrstva) Operační systém Hardwarové rozhraní Čtečka Aplikace na čipové kartě Čipová karta SmartCard Forum 2008 3
Hlavní funkce middleware Poskytnout standardizované rozhraní směrem k aplikaci Zpřístupnit služby poskytované čipovou kartou Zajistit autentizaci uživatele Bezpečným způsobem nakládat s autentizačními údaji V případě autentizace pomocí PINu je to podpora Pinpad čtečky V případě biometrické autentizace je to podpora systému Match-On-Card SmartCard Forum 2008 4
OKsmart OKsmart je softwarové řešení pro transparentní integraci kryptografických čipových karet různých výrobců do prostředí systémů Windows (Linux) Čipová karta Nativní čipová karta (Cryptoflex, GPK,...) Čipová karta se systémem Java Card (nutný applet implementující OS čipové karty) Middleware (standardizovaná rozhraní) Microsoft CSP (Cryptographic Service Provider) PKCS#11 (RSA Laboratories) JCE (Java Cryptography Extension) Uživatelské aplikace OKsmart Format (nahrání OS čipové karty, personalizace čipové karty) OKsmart Manager (správa certifikátů, datových objektů a PINů) OKsmart Disk (šifrování logického disku ve Windows) OKsmart Safe (automatické přihlašování do aplikací) OKsmart File (šifrování souborů) SmartCard Forum 2008 5
Architektura systémových knihoven Middleware Aplikace Cardware Aplikační rozhraní Aplikace OKsmart Aplikace třetích stran Knihovny standardizovaných rozhraní CSP PKCS#11 JCE Generické rozhraní Instrukční vrstva + ISO 7816-15 ISO 7816-15 SCARD Komunikační knihovny SCIFD SCUI Uživatelské rozhraní Fyzické rozhraní Java Card applet SmartCard Forum 2008 6
OKsmart Hlavní přínosy: Široká podpora kryptografických rozhraní(pkcs#11, MS CAPI, JCE, v budoucnu ISO 24727) Podpora více druhů čipových karet od různých výrobců Čipová karta splňuje standard ISO 7816-15 Dává možnost použít čipovou kartu se software splňující tento standard Na kartu je možné vedle OKsmart přidat další aplikaci Podpora PC/SC 2.0 čtečky s klávesnicí a displejem PINpad Transparentní funkce aplikací (MSIE, Firefox, Outlook, Lotus Notes...) Modulární architektura Přidání nového typu čipové karty znamená úpravu jediného modulu Všechny prvky uživatelského rozhraní v samostatném modulu, možné změnit vzhled oken Pružná reakce na budoucí potřeby a požadavky od zákazníků Sada uživatelských aplikací SmartCard Forum 2008 7
OKsmart Format Administrační nástroj který připravuje kartu pro použití s OKsmart V případě nativní čipové karty dojde k vytvoření sytému souborů a nastavení přístupových práv pro soubory a kryptografické operace V případě Java Card se nejprve nahraje applet implementující kompletní funkčnost čipové karty (jakýsi firmware) a poté se stejným způsobem vytvoří systém souborů a nastaví přístupová práva pro soubory a kryptografické operace Administrátor má možnost zvolit následující parametry čipové karty Počet a velikost klíčů na čipové kartě Předpokládanou velikost certifikátu Alokovat místo na datové objekty které mohou obsadit zbytek volného místa nebo nechat nějaké místo volné pro další aplikaci na čipové kartě Vytvoření struktury dle ISO 7816-15 Popis autentizačních objektů (PIN) Popis privátních a veřejných klíčů Popis certifikátů Popis datových objektů SmartCard Forum 2008 8
Vydání certifikátu SmartCard Forum 2008 9
OKsmart Manager Nástroj pro správu čipové karty Prohlížení obsahu čipové karty Import klíčů včetně certifikátu Import/export datových objektů Změna PINu, odblokování PINu Nastavení implicitního certifikátu pro přihlášení do domény Informace o čipové kartě Počet a velikost alokovaný slotů pro klíče Počet volných a obsazených klíčových slotů Místo alokované pro datové objekty Volné místo pro datové objekty SmartCard Forum 2008 10
OKsmart Disk Nástroj pro šifrování logického disku ve Windows Obsah celého virtuálního disku je uložen v jediném šifrovaném souboru Šifrování lze zvolit buď na základě certifikátu na čipové kartě nebo na základě hesla Při použití čipové karty se disk automaticky odpojí po vysunutí karty SmartCard Forum 2008 11
OKsmart File Nástroj pro šifrování jednotlivých souborů Umožňuje zašifrovat soubor certifikáty více uživatelů (šifrování souboru pro skupinu uživatelů) Zašifrovaný soubor je ve standardním formátu PKCS#7 Integrace do průzkumníka Windows (rozšiřuje standardní menu při poklepání pravým tlačítkem) K dispozici je i verze spustitelná z příkazové řádky SmartCard Forum 2008 12
OKsmart Safe Nástroj pro ukládání citlivých údajů na čipovou kartu Přihlašování do internetových nebo intranetových portálů pomocí údajů uložených na čipové kartě Přihlašování do aplikací Automatická detekce oken pro vkládání přihlašovacích údajů (systém automaticky detekuje spuštění aplikace nebo zobrazení specifické stránky v prohlížeči) Ukládání poznámek SmartCard Forum 2008 13
Přihlášení k doméně AD Požadavek na autentizaci certifikát uživatele uživatelské jméno časová značka podpis Přidělení TGT Doménový kontrolér Dotaz na uživatele certifikátu Ověření platnosti certifikátu Active Directory Certifikační autorita SmartCard Forum 2008 14
Onom@topic+ Demonstrační software Slouží pouze k demonstraci funkčnosti middleware vytvořeného během výzkumného projektu Použité rozhraní SAL je kompatibilní s mezinárodním standardem ISO 24727 CTL transportní vrstva navržená v OKsystem použitá v demonstračním software je nyní součástí ISO 24727 dílu 4 Ukázka digitálního podpisu chráněného pomocí ověření otisku prstu Obraz otisku je sejmut a zpracován přímo ve čtecím zařízení Obraz otisku se neposílá do PC ale přímo do čipové karty Karta disponuje technologií Match-On-Card, tedy vlastní porovnání sejmutého obrazu a vzoru se provádí přímo na čipu karty SmartCard Forum 2008 15
Budoucnost OKsmart Podpora biometrické autentizace pomocí ověření otisku prstu Podpora biometrických čteček které jsou schopné autonomě zpracovat otisk prstu, transformovat jej do formátu vhodném pro zpracování na čipové kartě a poslat jej přímo do karty Podpora karet se systémem Match-On-Card Applet pro Java Card kompatibilní se standardem ECC-2 Podpora biometrické autentizace Podpora protokolu vzájemné symetrické autentizace Podpora secure messaging (online šifrovaná komunikace s čipovou kartou) Kompletní implementace SAL rozhraní dle ISO 24727 Podpora čipových karet s velikostí paměti EEPROM až 128 kb Card Management System Personalizace a potisk čipových karet Správa karet a certifikátů Součást modulárního systém OKbase SmartCard Forum 2008 16
Kontakt: Vítězslav Vacek: vacek@oksystem.cz OKsmart na webu: www.oksystem.cz www.oksmart.cz SmartCard Forum 2008 17