Upload
oksystem
View
107
Download
2
Embed Size (px)
Citation preview
Spojujeme software, technologie a služby
Ing. Vítězslav Vacek
vedoucí oddělení bezpečnosti a čipových karet
Programové vybavení OKsmart pro využití čipových karetUkázky biometrické autentizace
1SmartCard Forum 2008
Komunikace dvou počítačů
SmartCard Forum 2008 2
2. APDU (odpověď)
1. APDU (požadavek)
ISO, USB, RF komunikace
Komunikace dvou počítačů s odlišným technickým vybavením a operačním
systémem. Komunikace je realizována na základě aplikačního protokolu pro
mikroprocesorové čipové karty (ISO 7816 – 4, APDU).
Zatímco syntaxe „společného jazyka“ je dána, jeho implementace a sémantika
zasílané zprávy je specifická pro každý typ nativní, nebo programovatelné
karty. Potřebujeme softwarového „tlumočníka“, který zprostředkuje komunikaci
mezi aplikací na straně počítače a aplikací na straně PC - middleware.
Aplikace na straně počítače Aplikace na straně karty
Middleware – prostředník komunikace
SmartCard Forum 2008 3
Aplikace
Middleware (integrační vrstva)
Operační systémHardwarové rozhraní
Aplikační rozhraní
Čtečka
Čipová karta
Aplikace na
čipové kartě
Hlavní funkce middleware
• Poskytnout standardizované rozhraní směrem k aplikaci
• Zpřístupnit služby poskytované čipovou kartou
• Zajistit autentizaci uživatele
• Bezpečným způsobem nakládat s autentizačními údaji– V případě autentizace pomocí PINu je to podpora Pinpad čtečky
– V případě biometrické autentizace je to podpora systému Match-On-Card
SmartCard Forum 2008 4
OKsmartOKsmart je softwarové řešení pro transparentní integraci
kryptografických čipových karet různých výrobců do prostředí systémů Windows (Linux)
• Čipová karta– Nativní čipová karta (Cryptoflex, GPK,...)
– Čipová karta se systémem Java Card (nutný applet implementující OS čipové karty)
• Middleware (standardizovaná rozhraní)– Microsoft CSP (Cryptographic Service Provider)
– PKCS#11 (RSA Laboratories)
– JCE (Java Cryptography Extension)
• Uživatelské aplikace– OKsmart Format (nahrání OS čipové karty, personalizace čipové karty)
– OKsmart Manager (správa certifikátů, datových objektů a PINů)
– OKsmart Disk (šifrování logického disku ve Windows)
– OKsmart Safe (automatické přihlašování do aplikací)
– OKsmart File (šifrování souborů)
SmartCard Forum 2008 5
Architektura systémových knihoven
Aplikace OKsmart Aplikace třetích stran
SCARD
ISO 7816-15
CSP PKCS#11
SCIFD SCUI
Aplikační rozhraní
Uživatelské
rozhraní
Knihovny
standardizovaných
rozhraní
Generické rozhraní
Fyzické rozhraní
Komunikační
knihovny
Instrukční vrstva +
ISO 7816-15
Mid
dle
ware
Aplik
ace
JCE
SmartCard Forum 2008 6
Java Card
applet
Card
wa
re
OKsmartHlavní přínosy:
• Široká podpora kryptografických rozhraní(PKCS#11, MS CAPI, JCE, v budoucnu ISO 24727)
• Podpora více druhů čipových karet od různých výrobců
• Čipová karta splňuje standard ISO 7816-15– Dává možnost použít čipovou kartu se software splňující tento standard
– Na kartu je možné vedle OKsmart přidat další aplikaci
• Podpora PC/SC 2.0 – čtečky s klávesnicí a displejem PINpad
• Transparentní funkce aplikací (MSIE, Firefox, Outlook, Lotus Notes...)
• Modulární architektura– Přidání nového typu čipové karty znamená úpravu jediného modulu
– Všechny prvky uživatelského rozhraní v samostatném modulu, možné změnit vzhled oken
– Pružná reakce na budoucí potřeby a požadavky od zákazníků
• Sada uživatelských aplikací
SmartCard Forum 2008 7
OKsmart Format
• Administrační nástroj který připravuje kartu pro použití s OKsmart– V případě nativní čipové karty dojde k vytvoření sytému souborů a nastavení
přístupových práv pro soubory a kryptografické operace
– V případě Java Card se nejprve nahraje applet implementující kompletní funkčnost čipové karty (jakýsi firmware) a poté se stejným způsobem vytvoří systém souborů a nastaví přístupová práva pro soubory a kryptografické operace
• Administrátor má možnost zvolit následující parametry čipové karty– Počet a velikost klíčů na čipové kartě
– Předpokládanou velikost certifikátu
– Alokovat místo na datové objekty které mohou obsadit zbytek volného místa nebo nechat nějaké místo volné pro další aplikaci na čipové kartě
• Vytvoření struktury dle ISO 7816-15– Popis autentizačních objektů (PIN)
– Popis privátních a veřejných klíčů
– Popis certifikátů
– Popis datových objektů
SmartCard Forum 2008 8
Vydání certifikátu
SmartCard Forum 2008 9
OKsmart Manager
Nástroj pro správu čipové karty
• Prohlížení obsahu čipové karty
• Import klíčů včetně certifikátu
• Import/export datových objektů
• Změna PINu, odblokování PINu
• Nastavení implicitního certifikátu pro přihlášení do domény
• Informace o čipové kartě– Počet a velikost alokovaný slotů pro klíče
– Počet volných a obsazených klíčových slotů
– Místo alokované pro datové objekty
– Volné místo pro datové objekty
SmartCard Forum 2008 10
OKsmart Disk
Nástroj pro šifrování logického disku ve Windows
• Obsah celého virtuálního disku je uložen v jediném šifrovaném souboru
• Šifrování lze zvolit buď na základě certifikátu na čipové kartě nebo na základě hesla
• Při použití čipové karty se disk automaticky odpojí po vysunutí karty
SmartCard Forum 2008 11
OKsmart File
Nástroj pro šifrování jednotlivých souborů
• Umožňuje zašifrovat soubor certifikáty více uživatelů (šifrování souboru pro skupinu uživatelů)
• Zašifrovaný soubor je ve standardním formátu PKCS#7
• Integrace do průzkumníka Windows (rozšiřuje standardní menu při poklepání pravým tlačítkem)
• K dispozici je i verze spustitelná z příkazové řádky
SmartCard Forum 2008 12
OKsmart Safe
Nástroj pro ukládání citlivých údajů na čipovou kartu
• Přihlašování do internetových nebo intranetových portálů pomocí údajů uložených na čipové kartě
• Přihlašování do aplikací
• Automatická detekce oken pro vkládání přihlašovacích údajů (systém automaticky detekuje spuštění aplikace nebo zobrazení specifické stránky v prohlížeči)
• Ukládání poznámek
SmartCard Forum 2008 13
Přihlášení k doméně AD
SmartCard Forum 2008 14
Doménový kontrolér
Požadavek na autentizaci
certifikát uživateleuživatelské jménočasová značka
podpis
Certifikační autorita
Ověření platnosti certifikátu
ActiveDirectory
Dotaz na uživatele certifikátu
Přidělení TGT
Onom@topic+
Demonstrační software
• Slouží pouze k demonstraci funkčnosti middleware vytvořeného během výzkumného projektu
• Použité rozhraní SAL je kompatibilní s mezinárodním standardem ISO 24727
• CTL transportní vrstva navržená v OKsystem použitá v demonstračním software je nyní součástí ISO 24727 dílu 4
• Ukázka digitálního podpisu chráněného pomocí ověření otisku prstu– Obraz otisku je sejmut a zpracován přímo ve čtecím zařízení
– Obraz otisku se neposílá do PC ale přímo do čipové karty
– Karta disponuje technologií Match-On-Card, tedy vlastní porovnání sejmutého obrazu a vzoru se provádí přímo na čipu karty
SmartCard Forum 2008 15
Budoucnost OKsmart
• Podpora biometrické autentizace pomocí ověření otisku prstu– Podpora biometrických čteček které jsou schopné autonomě zpracovat otisk
prstu, transformovat jej do formátu vhodném pro zpracování na čipové kartě a poslat jej přímo do karty
– Podpora karet se systémem Match-On-Card
• Applet pro Java Card kompatibilní se standardem ECC-2– Podpora biometrické autentizace
– Podpora protokolu vzájemné symetrické autentizace
– Podpora secure messaging (online šifrovaná komunikace s čipovou kartou)
• Kompletní implementace SAL rozhraní dle ISO 24727
• Podpora čipových karet s velikostí paměti EEPROM až 128 kB
• Card Management System– Personalizace a potisk čipových karet
– Správa karet a certifikátů
– Součást modulárního systém OKbase
SmartCard Forum 2008 16
Kontakt:
Vítězslav Vacek:
OKsmart na webu:
www.oksystem.cz
www.oksmart.cz
SmartCard Forum 2008 17