INTELLIGENS KÁRTYÁK INFORMATIKAI BIZTONSÁGI KÉRDÉSEI

VIII. Országos (centenáriumi) Neumann Kongresszus * Magyar Tudományos Akadémia – 2003. Október 15-17

1111

INTELLIGENS KÁRTYÁKINTELLIGENS KÁRTYÁK INFORMATIKAI BIZTONSÁGI KÉRDÉSEIINFORMATIKAI BIZTONSÁGI KÉRDÉSEI

Dr. Simon PálDr. Simon Pál

Templar Partnership Company, Budapest * Templar Partnership Company, Budapest * E-mail: [email protected]: [email protected]


2222

AZ INFORMATIKA BIZTONSÁGAAZ INFORMATIKA BIZTONSÁGA

TUDÁSALAPÚ INFORMÁCIÓS TÁRSADALOMTUDÁSALAPÚ INFORMÁCIÓS TÁRSADALOM

ÉRTÉKÉRTÉK„„Létfontosságú Erőforrás”Létfontosságú Erőforrás”

Előállítói – Felhasználói – Újrateremtői :Előállítói – Felhasználói – Újrateremtői :

EGYÉNEK és SZERVEZETEKEGYÉNEK és SZERVEZETEKEGYÉNEK és SZERVEZETEKEGYÉNEK és SZERVEZETEK

InformációhozInformációhozvaló hozzáférésvaló hozzáférésInformációhozInformációhoz

való hozzáférésvaló hozzáférésInformációkInformációk

(saját) védelme(saját) védelmeInformációkInformációk

(saját) védelme(saját) védelme


Multifunctional Smart Card


3333

INTELLIGENS KÁRTYA ALKALMAZÁSOKINTELLIGENS KÁRTYA ALKALMAZÁSOK1. NEMZETKÖZI ÁTTEKINTÉS: 1. NEMZETKÖZI ÁTTEKINTÉS:


Világpiac: Világpiac: Kilencvenes évek második fele: Kilencvenes évek második fele: másfél milliárdmásfél milliárd darab, darab,2010-ig: 2010-ig: megduplázódik és minőségében változikmegduplázódik és minőségében változik

EU EU Elektronikus kártyák európai elterjedtségeElektronikus kártyák európai elterjedtségeForrás: European Card Review 2002 május/júniusForrás: European Card Review 2002 május/június

e-Kormányzate-Kormányzat 0,1%0,1%

Bank Debit/CreditBank Debit/Credit 61%61%

Tömeg-közlekedésTömeg-közlekedés 1%1%e-Egészségügye-Egészségügy 21%21%

Bank e-PénztárcaBank e-Pénztárca 17%17%

E-Smart Card Charter:E-Smart Card Charter:E-Smart Card Charter:E-Smart Card Charter:

COMMON CRITERIACOMMON CRITERIA: : Smart Crad Security User Group – Smart Card Smart Crad Security User Group – Smart Card Protection Profile;Protection Profile;Kártya áramkör (Integrated Circuit IC), operációs rendszer (Operating System – Kártya áramkör (Integrated Circuit IC), operációs rendszer (Operating System – OS)OS)


4444

INTELLIGENS KÁRTYA ALKALMAZÁSOKINTELLIGENS KÁRTYA ALKALMAZÁSOK

2.1 HAZAI ÁTTEKINTÉS: 2.1 HAZAI ÁTTEKINTÉS:


Különféle bonus és vásárlói kártyarendszerekKülönféle bonus és vásárlói kártyarendszerek

TelefonkártyákTelefonkártyák

Azonosító és beléptető kártyarendszerekAzonosító és beléptető kártyarendszerek

BankkártyákBankkártyák

A leggyakoribb alkalmazások:A leggyakoribb alkalmazások:

Speciális célhoz kötött kártyarendszerekSpeciális célhoz kötött kártyarendszerek

RetransplantSmartCRetransplantSmartCardardRetransplantSmartCRetransplantSmartCardard

DiákkártyDiákkártyaaDiákkártyDiákkártyaa

Multifunkciós orvos Multifunkciós orvos kártyakártyaMultifunkciós orvos Multifunkciós orvos kártyakártya

Közlekedési kártya, parkoló Közlekedési kártya, parkoló kártyakártyaKözlekedési kártya, parkoló Közlekedési kártya, parkoló kártyakártya

Kontaktus nélküli kártyák (SIM kártyák, WIM kártyák)Kontaktus nélküli kártyák (SIM kártyák, WIM kártyák)


5555

INTELLIGENS KÁRTYA ALKALMAZÁSOKINTELLIGENS KÁRTYA ALKALMAZÁSOK2.2 HAZAI ÁTTEKINTÉS: 2.2 HAZAI ÁTTEKINTÉS:


A vállalkozások piacképes csoportja a chip-gyártás kivételével A vállalkozások piacképes csoportja a chip-gyártás kivételével alkalmasak kulcsrakész intelligens kártyarendszerek szállításáraalkalmasak kulcsrakész intelligens kártyarendszerek szállítására

Az intelligens kártyák bázisául szolgáló háttérrendszerek alacsony Az intelligens kártyák bázisául szolgáló háttérrendszerek alacsony színvonalú szakmai-logikai, ügyviteli rendezettségeszínvonalú szakmai-logikai, ügyviteli rendezettsége

DEDEDEDE

ELŐRELÉPÉSELŐRELÉPÉSELŐRELÉPÉSELŐRELÉPÉS

INTELLIGENS KÁRTYA INTELLIGENS KÁRTYA STRATÉGIASTRATÉGIA

INTELLIGENS KÁRTYA INTELLIGENS KÁRTYA STRATÉGIASTRATÉGIA NJSZT Intelligens Kártya FórumNJSZT Intelligens Kártya Fórum

Hungarian Smart Card ForumHungarian Smart Card ForumNJSZT Intelligens Kártya FórumNJSZT Intelligens Kártya Fórum

Hungarian Smart Card ForumHungarian Smart Card Forum

KormányzatiKormányzati

Szakmai - társadalmiSzakmai - társadalmi


6666Templar Partnership Company, Budapest * Templar Partnership Company, Budapest * E-mail: [email protected]: [email protected]

INTELLIGENS KÁRTYA BIZTONSÁGI ISMÉRVEIINTELLIGENS KÁRTYA BIZTONSÁGI ISMÉRVEI

1111 Kártya biztonsági kritériumok Kártya biztonsági kritériumok (bizalmasság,(bizalmasság, sértetlenség, sértetlenség, rendelkezésre állás, letagadhatatlanság, védelmi, biztonsági rendelkezésre állás, letagadhatatlanság, védelmi, biztonsági profilok) profilok) 2222 Felhasználói biztonsági elemek Felhasználói biztonsági elemek (képi azonosítás, aláírás, hologram, (képi azonosítás, aláírás, hologram, mikronyomtatás, dombornyomás, lézergravírozásmikronyomtatás, dombornyomás, lézergravírozás) )

3333 Kártyarendszer biztonsági követelmények Kártyarendszer biztonsági követelmények (auditálhatóság, kriptográfia, (auditálhatóság, kriptográfia, hozzáférés védelem, fizikai védelem, multifunkciós alkalmazásokhozzáférés védelem, fizikai védelem, multifunkciós alkalmazások) )

4444 Alkalmazás és kommunikáció biztonság Alkalmazás és kommunikáció biztonság (titkosított kommunikáció, (titkosított kommunikáció, kulcsfunkciók, digitális aláírás és a tanúsítványok problémakörekulcsfunkciók, digitális aláírás és a tanúsítványok problémaköre) )

5555 Kártya menedzsment biztonsági kritériumok Kártya menedzsment biztonsági kritériumok (megszemélyesítés, (megszemélyesítés, monitorozás, tiltás-felfüggesztésmonitorozás, tiltás-felfüggesztés, visszaszerzés) , visszaszerzés)



FÕ REZIDENS MUNKAHELYEKFÕ REZIDENS MUNKAHELYEK

Személyi azonosító kiosztás,Személyi azonosító kiosztás,a perszonalizáció ellenőrzésea perszonalizáció ellenőrzése

ADATVÉDELEMADATVÉDELEMfirmwarefirmware

REZIDENS MUNKAHELYEKREZIDENS MUNKAHELYEK

Ügyfél - ügyintéző találkozási pontokÜgyfél - ügyintéző találkozási pontok

MASTER CARD

SLAVE CARD

FELHASZNÁLÓIFELHASZNÁLÓITRANZAKCIÓKTRANZAKCIÓK

HÁTTÉR ADATBÁZISOKHÁTTÉR ADATBÁZISOK

» RECIPIENS «

KULCS-FUNKCIÓK

KULCS-FUNKCIÓK

TITKOSÍTOTT ZÓNATITKOSÍTOTT ZÓNA

VÉDETT ZÓNAVÉDETT ZÓNA

Smart Card

SAFE BOXSAFE BOXvédelem a védelem a

háttérrendszerbenháttérrendszerben MEZŐK

TRANZAKCIÓS

» DONOR «» DONOR «

» DONOR «

» RECIPIENS «

» RECIPIENS «

POST-OFFICE BERENDEZÉSEKPOST-OFFICE BERENDEZÉSEKInputInputInputInput

OutputOutputOutputOutput

1111 Kártya biztonságKártya biztonság

2222 Felhasználói biztonságFelhasználói biztonság

3333 Rendszer biztonságRendszer biztonság

Alkalmazás biztonságAlkalmazás biztonság4444

5555 Menedzsment biztonságMenedzsment biztonságRENDSZERRENDSZER



INTELLIGENS KÁRTYA BIZTONSÁGÁTINTELLIGENS KÁRTYA BIZTONSÁGÁT VESZÉLYEZTETVESZÉLYEZTETŐŐ TÉNYEZ TÉNYEZŐŐKK

Szervezési veszélyforrásokSzervezési veszélyforrások (a kártya biztonsága lehet magasabb, (a kártya biztonsága lehet magasabb,

mint az alkalmazó rendszeré, de ettől a rendszer biztonsága nem lesz jobbmint az alkalmazó rendszeré, de ettől a rendszer biztonsága nem lesz jobb) )

Fizikai veszélyforrásokFizikai veszélyforrások (a „támadó” lehetőségei: a technikai (a „támadó” lehetőségei: a technikai

konstrukció feltárása, az adattartalom, a kártya tulajdonos felderítése, stb.konstrukció feltárása, az adattartalom, a kártya tulajdonos felderítése, stb.) )

Logikai veszélyforrásokLogikai veszélyforrások (az adattartalom ismeretében felderíthetők az (az adattartalom ismeretében felderíthetők az

alkalmazás logikai lépései, az energia-felvétel mérése, stb.alkalmazás logikai lépései, az energia-felvétel mérése, stb.) )

Kölcsönhatásokból adódó veszélyforrásokKölcsönhatásokból adódó veszélyforrások (a biztonsági (a biztonsági

funkciók felfedése, a tesztelési, hibajavítási funkciók kihasználásafunkciók felfedése, a tesztelési, hibajavítási funkciók kihasználása) )

A TÁMADÓ mindig kombinált módszereket alkalmaz!A TÁMADÓ mindig kombinált módszereket alkalmaz!A TÁMADÓ mindig kombinált módszereket alkalmaz!A TÁMADÓ mindig kombinált módszereket alkalmaz!



INTELLIGENS KÁRTYA STRATÉGIAINTELLIGENS KÁRTYA STRATÉGIABIZTONSÁGNÖVELBIZTONSÁGNÖVELŐŐ AJÁNLÁSAI AJÁNLÁSAI

kártya hitelesítkártya hitelesítőő (bevizsgáló) (bevizsgáló) központközpont

alkalmazás-hitelesítalkalmazás-hitelesítőő (bevizsgáló) központ (bevizsgáló) központ

kártyaolvasó-hitelesítkártyaolvasó-hitelesítőő (bevizsgáló) központ (bevizsgáló) központ

kártya-olvasási tranzakció kártya-olvasási tranzakció hitelesíthitelesítőő (bevizsgáló) központ (bevizsgáló) központ

alkalmazás-tranzakció alkalmazás-tranzakció hitelesíthitelesítőő (bevizsgáló) központ (bevizsgáló) központ



A BIZTONSÁGI SZINTEK ÖSSZEFÜGGÉSEIA BIZTONSÁGI SZINTEK ÖSSZEFÜGGÉSEI

CÉL: A BIZTONSÁGI ELJÁRÁSOK KOMBINÁLT ALKALMAZÁSA!CÉL: A BIZTONSÁGI ELJÁRÁSOK KOMBINÁLT ALKALMAZÁSA!CÉL: A BIZTONSÁGI ELJÁRÁSOK KOMBINÁLT ALKALMAZÁSA!CÉL: A BIZTONSÁGI ELJÁRÁSOK KOMBINÁLT ALKALMAZÁSA!



FELHASZNÁLT FORRÁSMUNKÁK:FELHASZNÁLT FORRÁSMUNKÁK:Dr. P. Simon, Dr. J. Simon (Ms): Problems of the Privacy in the Medical Informatics. MIE’90 Proceedings, Glasgow, Scotland, August 20-23. 1990. Spinger-Verlag. pp. 620-622.

Simon, P.: About the ’Key-function’ of the Patient Card. Symposium on Clinical Uses of Patient Card. Reading, Endland. October 10-11. 1991. Proceeding (Workbook): pp. 51-55.

D. C. Markwell: Healthcard Interoperability. Health Cards'97 L. van den Broek and A. J. Sikkel (Eds.) IOS Press, 1997, pp 197-205.

Kincses Zoltán: Az intelligens kártyák és környezetük, kapcsolatuk a biztonsággal

SMART CARDS AND THE BACKGROUD SYSTEMS. Task defined by the eEurope + initiatives. Work Conference for invited members of the European Union and newly associated states. June 28 – 29, 2001. Budapest.

A Magyar Információs Társadalom Stratégiát Előkészítő Tanulmány (2003). INFORMATIKAI ÉS HÍRKÖZLÉSI MINISZTÉRIUM

Az eEurope Smartcard Charter Open Infrastructure dokumentumai

A Magyar Információs Társadalom Stratégia intelligens kártya részstratégiája (2003). INFORMATIKAI ÉS HÍRKÖZLÉSI MINISZTÉRIUM

Köszönöm figyelmüket!Köszönöm figyelmüket!

Documents

INTELLIGENS KÁRTYÁK INFORMATIKAI BIZTONSÁGI KÉRDÉSEI