Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous 9. 10. 6. 2011 1
Použití bezkontaktních čipových karet Přístupové systémy Docházkové systémy Stravovací systémy Způsob použití bezkontaktních čipových karet Identifikace založená na UID Identifikace založená na kryptografické autentizaci mezi kartou a čtečkou se systémy MIFARE a DESFire 2
Docházkový terminál OKbase 3
Objednávkový terminál 4
Objednávkový terminál 4
Objednávkový terminál 4
Výdejový terminál 5
Výdejový terminál 5
Výdejový terminál 5
Výdejový terminál 5
OKsmart použití karet s kontaktním PKI čipem OKsmart je softwarové řešení pro transparentní integraci kryptografických čipových karet do prostředí systémů Windows a Linux (32/64 bit) s maximálním respektováním standardů. Umožňuje využít čipové karty pro autentizaci, zaručený elektronický podpis, šifrování a bezpečné uložení údajů. Hlavní přínosy: Podpora standardů (PKCS#11, MS CAPI, PC/SC, PKCS#15...) Podpora více druhů čipových karet (Java Card,.NETGemalto, Oberthur) Podpora PC/SC 2.0 čtečky s klávesnicí a displejem PINpad Transparentní funkce aplikací (MS IE, Mozilla Firefox, MS Outlook, Lotus Notes, Adobe Acrobat...) Užitečné aplikace 6
OKsmart Middleware Windows XP, Vista, 7 32/64 bit Windows Server 2003, 2008 Linux Aplikace.NET, Linux s MONO. OKsmart Format OKsmart Manager OKsmart Disk OKsmart File OKsmart Safe 7
OKsmart middleware pro autentizaci OKsmart umožňuje transparentně použít čipovou kartu pro následující funkce: Připojení k LAN síti pomocí ověření 802.1x (prostřednictvím ověřovacího protokolu EAP a serveru RADIUS) Přihlášení k Active Directory (prostřednictvím protokolu Kerberos, lze konfigurovat povinnost ve vazbě na počítač nebo uživatele a chování při vyjmutí karty) Přihlášení pomocí VPN připojení k síti (prostřednictvím ověřovacího protokolu EAP) Přihlášení k terminálové službě pomocí Připojení k vzdálené ploše Přihlášení k web serveru z prohlížeče při sestavení zabezpečeného kanálu SSL s autentizací klienta certifikátem 8
OKsmart Safe aplikace pro autentizaci 9
OKsmart - middleware pro elektronický podpis Zaručený elektronický podpis vytvořený s použitím čipové karty: Data pro vytvoření podpisu (privátní klíče RSA 2048) vznikají na čipové kartě a nikdy ji neopustí Podpis může být vytvořen na libovolném počítači s OKsmart Podpis umožňují běžně používané aplikace, například: MS Outlook MS Office (Word, Excel) Adobe Acrobat, Adobe Reader 10
Elektronický podpis v MS Office Použitelná implementace od verze 2007/2010 Viditelné (Word, Excel) i neviditelné podpisy Podpora (verze 2007) XML-Dsig, (verze 2010) XAdES včetně časových razítek). Nastavení XAdESLevel a MinXAdESLevel=0..5 Umožňuje použít SHA-2 a ověřit platnost podpisu včetně ověření certifikátů a CRL Verze 2007 a MS Outlook v obou verzích neumožňuje používat časová razítka 11
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření viditelného podpisu (XAdESLevel=2) 12
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Vytvoření a ověření neviditelného podpisu (XAdESLevel=1) 13
Podpis v PDF PDF dokument může obsahovat: elektronické podpisy v interní formě Viditelné (ve formě formulářového pole) Neviditelné (na dokumentu není explicitně zobrazen) Tisknutelné Netisknutelné certifikační podpisy pro autorizaci nevyplněných formulářů nelze vytvořit pomocí Adobe Reader, musí být první podpis PDF dokumentu. Pozor, nelze je považovat za zaručené elektronické podpisy. časová razítka jsou součástí podpisu, ve verzi X je lze přidat samostatně archivní razítka 14
Vytvoření podpisu s čipovou kartou 15
Vytvoření podpisu s čipovou kartou 15
Vytvoření podpisu s čipovou kartou 15
Vytvoření podpisu s čipovou kartou 15
Vytvoření podpisu s čipovou kartou 15
Ověření podpisu v Adobe Reader 16
OKsmart - aplikace pro šifrování Šifrování souborů/adresářů použití AES nebo 3DES a RSA Použití jednoho nebo více certifikátů pro šifrování klíčů pro sdílení šifrovaných souborů několika uživateli. Snadné použití díky integraci do GUI Windows Exploreru Šifrování logického disku Windows Disk je možné připojit pouze s čipovou kartou (volitelně komplexním heslem) Transparentní šifrování a dešifrování všech dat virtuálního disku Použití šifrovacího algoritmu a módu XTS-AES podle specifikace IEEE 1619-2007 a NIST SP800-38E Použití více certifikátů pro šifrování klíče, kdykoli možnost přidání dalších certifikátů (například recovery agent, výměna certifikátu, sdílení) Podpora pro Bitlocker Drive Encryption pomocí rozšíření GUI Windows Exploreru 17
OKsmart Disk - šifrování logického disku 18
OKsmart Disk - šifrování logického disku 18
OKsmart Disk - šifrování logického disku 18
OKsmart Disk - šifrování logického disku 18
OKsmart Disk - šifrování logického disku 18
OKsmart Manager 19
OKbase Nová generace modulárního systému pro řízení lidských zdrojů. Hlavní funkce systému jsou obsaženy v modulech Personalistika, Docházka, Mzdy, Stravování a Správa čipových karet. OKbase používá čipové karty pro záznamy docházky a výdej jídel při stravování zaměstnanců. Modul Správa čipových karet umožňuje vydávat čipové karty pro zaměstnance, návštěvy nebo pro zákazníky. 20
OKbase Java smart klient 21
OKbase web klient 22
Okbase mobilní klient (iphone, Android) 23
OKbase modul správa čipových karet Modul správa čipových karet umožňuje vydávat čipové karty s kontaktním i bezkontaktním čipem a řídit jejich životní cyklus. Mezi hlavní funkce patří: Import existujících karet pro správu v Okbase Příprava personalizačních profilů pro grafickou, bezkontaktní a kontaktní personalizaci Personalizace nových karet Řízení životního cyklu vydaných karet 24
Správa čipových karet 25
Správa čipových karet 25
Správa čipových karet 25
Správa čipových karet 25
OKbase modul správa čipových karet Personalizace (= oboustranný potisk těla karty, personalizace kontaktního čipu, personalizace bezkontaktního čipu) používá datové zdroje a personalizační profily. Datové zdroje pro personalizaci Předdefinované (výběr z podmnožiny dat z DB OKbase) Uživatelské (výběr libovolných dat z OKbase) Externí (import personalizačních dat zákazníka) Generátory sekvencí Personalizační profily Grafická personalizace Bezkontaktní čip (Groovy script) Kontaktní čip (Groovy script) HW profily personalizačních zařízení 26
Data zaměstnance pro personalizaci 27
Předdefinované datové zdroje 28
Předdefinované datové zdroje 28
Předdefinované datové zdroje 28
Uživatelsky definovaný datový zdroj 29
Uživatelsky definovaný datový zdroj 29
Uživatelsky definovaný datový zdroj 29
Uživatelsky definovaný datový zdroj 29
Uživatelsky definovaný datový zdroj 29
Uživatelsky definovaný datový zdroj 29
Externí datové zdroje - import z Excelu 30
Externí datové zdroje - import z Excelu 30
Externí datové zdroje - import z Excelu 30
Externí datové zdroje - import z Excelu 30
Externí datové zdroje - import z Excelu 30
Externí datové zdroje - import z Excelu 30
Externí datové zdroje - import z Excelu 30
Personalizační profily Personalizační profily určují vzhled karty a funkce kontaktního a bezkontaktního čipu na základě dat z datových zdrojů a personalizačních skriptů. Personalizační profily (souhrnné profily) Grafická personalizace Bezkontaktní čip (Groovy script) Kontaktní čip (Groovy script) 31
Profil personalizace bezkontaktního čipu 32
Profil personalizace bezkontaktního čipu 32
Profil personalizace bezkontaktního čipu 32
Profil grafické personalizace 33
Profil grafické personalizace 33
Profil grafické personalizace 33
Profil grafické personalizace 33
Provedení personalizace 34
Provedení personalizace 34
Provedení personalizace 34
Provedení personalizace 34
Provedení personalizace 34
Využívání čipových karet na Magistrátu města Kladna Nasazeno je 50 čipových OKsmart karet, o které se stará jeden pracovník, současně i o 50 OKsmart karet z MPSV Karty jsou využívány k: přihlašování do PC přihlašování do CzechPOINT přihlašováním do systému Hmotná nouze podepisování emailových zpráv podepisování DS ve spisové službě přihlašování do aplikace VPE 35
Využívání čipových karet na Magistrátu města Kladna Proč OKsmart karty: jsou podporovány v terminálovém prostředí CITRIX jsou podporovány v prostředí MS WIN 7 64bit integrován bezkontaktní čip pro docházkový přístupový systém (bude zajištěno odhlášení z PC při opuštění pracoviště) slouží i jako průkaz pracovníka s uvedení oprávnění pro výkon kontrolní činnosti (na zadní straně) 36
Využívání čipových OKsmart karet na Magistrátu města Kladna nastavení karet Formátování karet pořízených magistrátem: kapacita 12kB použité formátování 6 x 2048 bit klíče Postsignum AUT/SIFR 2x certifikát přidělený vnitřní autoritou MMK 1x root certifikát pro VPE 1x certifikát pro elektronický účet Telefónica O2 1x Formátování získaných z MPSV: kapacita 10 kb použité formátování 6 x 1024 bit a 2 x 2048 bit klíče Postsignum AUT/SIFR 2x MPSV AUT/SIFR 2x 37
Využívání čipových OKsmart karet na Magistrátu města Kladna další rozšíření Vize: centrální správa certifikátů nasazení pro všechny uživatele (cca 350) autentifikace oproti centrální správě identit, která je součástí projektu Centralizace poskytovaných služeb občanům v ORP Kladno z výzvy 09 IOP komplexní využití pro evidenci docházky v přístupovém systému 38
OKsystem s.r.o. Na Pankráci 125 140 21 Praha 4 tel: +420 236 072 111 info@oksystem.cz www.oksystem.cz Otázky? Děkujeme za pozornost 39