Spojujeme software, technologie a služby

Ing. Vítězslav Vacek

vedoucí oddělení bezpečnosti a čipových karet

Programové vybavení OKsmart pro využití čipových karetUkázky biometrické autentizace

1SmartCard Forum 2008

Komunikace dvou počítačů

SmartCard Forum 2008 2

2. APDU (odpověď)

1. APDU (požadavek)

ISO, USB, RF komunikace

Komunikace dvou počítačů s odlišným technickým vybavením a operačním

systémem. Komunikace je realizována na základě aplikačního protokolu pro

mikroprocesorové čipové karty (ISO 7816 – 4, APDU).

Zatímco syntaxe „společného jazyka“ je dána, jeho implementace a sémantika

zasílané zprávy je specifická pro každý typ nativní, nebo programovatelné

karty. Potřebujeme softwarového „tlumočníka“, který zprostředkuje komunikaci

mezi aplikací na straně počítače a aplikací na straně PC - middleware.

Aplikace na straně počítače Aplikace na straně karty

Middleware – prostředník komunikace

SmartCard Forum 2008 3

Aplikace

Middleware (integrační vrstva)

Operační systémHardwarové rozhraní

Aplikační rozhraní

Čtečka

Čipová karta

Aplikace na

čipové kartě

Hlavní funkce middleware

• Poskytnout standardizované rozhraní směrem k aplikaci

• Zpřístupnit služby poskytované čipovou kartou

• Zajistit autentizaci uživatele

• Bezpečným způsobem nakládat s autentizačními údaji– V případě autentizace pomocí PINu je to podpora Pinpad čtečky

– V případě biometrické autentizace je to podpora systému Match-On-Card

SmartCard Forum 2008 4

OKsmartOKsmart je softwarové řešení pro transparentní integraci

kryptografických čipových karet různých výrobců do prostředí systémů Windows (Linux)

• Čipová karta– Nativní čipová karta (Cryptoflex, GPK,...)

– Čipová karta se systémem Java Card (nutný applet implementující OS čipové karty)

• Middleware (standardizovaná rozhraní)– Microsoft CSP (Cryptographic Service Provider)

– PKCS#11 (RSA Laboratories)

– JCE (Java Cryptography Extension)

• Uživatelské aplikace– OKsmart Format (nahrání OS čipové karty, personalizace čipové karty)

– OKsmart Manager (správa certifikátů, datových objektů a PINů)

– OKsmart Disk (šifrování logického disku ve Windows)

– OKsmart Safe (automatické přihlašování do aplikací)

– OKsmart File (šifrování souborů)

SmartCard Forum 2008 5

Architektura systémových knihoven

Aplikace OKsmart Aplikace třetích stran

SCARD

ISO 7816-15

CSP PKCS#11

SCIFD SCUI

Aplikační rozhraní

Uživatelské

rozhraní

Knihovny

standardizovaných

rozhraní

Generické rozhraní

Fyzické rozhraní

Komunikační

knihovny

Instrukční vrstva +

ISO 7816-15

Mid

dle

ware

Aplik

ace

JCE

SmartCard Forum 2008 6

Java Card

applet

Card

wa

re

OKsmartHlavní přínosy:

• Široká podpora kryptografických rozhraní(PKCS#11, MS CAPI, JCE, v budoucnu ISO 24727)

• Podpora více druhů čipových karet od různých výrobců

• Čipová karta splňuje standard ISO 7816-15– Dává možnost použít čipovou kartu se software splňující tento standard

– Na kartu je možné vedle OKsmart přidat další aplikaci

• Podpora PC/SC 2.0 – čtečky s klávesnicí a displejem PINpad

• Transparentní funkce aplikací (MSIE, Firefox, Outlook, Lotus Notes...)

• Modulární architektura– Přidání nového typu čipové karty znamená úpravu jediného modulu

– Všechny prvky uživatelského rozhraní v samostatném modulu, možné změnit vzhled oken

– Pružná reakce na budoucí potřeby a požadavky od zákazníků

• Sada uživatelských aplikací

SmartCard Forum 2008 7

OKsmart Format

• Administrační nástroj který připravuje kartu pro použití s OKsmart– V případě nativní čipové karty dojde k vytvoření sytému souborů a nastavení

přístupových práv pro soubory a kryptografické operace

– V případě Java Card se nejprve nahraje applet implementující kompletní funkčnost čipové karty (jakýsi firmware) a poté se stejným způsobem vytvoří systém souborů a nastaví přístupová práva pro soubory a kryptografické operace

• Administrátor má možnost zvolit následující parametry čipové karty– Počet a velikost klíčů na čipové kartě

– Předpokládanou velikost certifikátu

– Alokovat místo na datové objekty které mohou obsadit zbytek volného místa nebo nechat nějaké místo volné pro další aplikaci na čipové kartě

• Vytvoření struktury dle ISO 7816-15– Popis autentizačních objektů (PIN)

– Popis privátních a veřejných klíčů

– Popis certifikátů

– Popis datových objektů

SmartCard Forum 2008 8

Vydání certifikátu

SmartCard Forum 2008 9

OKsmart Manager

Nástroj pro správu čipové karty

• Prohlížení obsahu čipové karty

• Import klíčů včetně certifikátu

• Import/export datových objektů

• Změna PINu, odblokování PINu

• Nastavení implicitního certifikátu pro přihlášení do domény

• Informace o čipové kartě– Počet a velikost alokovaný slotů pro klíče

– Počet volných a obsazených klíčových slotů

– Místo alokované pro datové objekty

– Volné místo pro datové objekty

SmartCard Forum 2008 10

OKsmart Disk

Nástroj pro šifrování logického disku ve Windows

• Obsah celého virtuálního disku je uložen v jediném šifrovaném souboru

• Šifrování lze zvolit buď na základě certifikátu na čipové kartě nebo na základě hesla

• Při použití čipové karty se disk automaticky odpojí po vysunutí karty

SmartCard Forum 2008 11

OKsmart File

Nástroj pro šifrování jednotlivých souborů

• Umožňuje zašifrovat soubor certifikáty více uživatelů (šifrování souboru pro skupinu uživatelů)

• Zašifrovaný soubor je ve standardním formátu PKCS#7

• Integrace do průzkumníka Windows (rozšiřuje standardní menu při poklepání pravým tlačítkem)

• K dispozici je i verze spustitelná z příkazové řádky

SmartCard Forum 2008 12

OKsmart Safe

Nástroj pro ukládání citlivých údajů na čipovou kartu

• Přihlašování do internetových nebo intranetových portálů pomocí údajů uložených na čipové kartě

• Přihlašování do aplikací

• Automatická detekce oken pro vkládání přihlašovacích údajů (systém automaticky detekuje spuštění aplikace nebo zobrazení specifické stránky v prohlížeči)

• Ukládání poznámek

SmartCard Forum 2008 13

Přihlášení k doméně AD

SmartCard Forum 2008 14

Doménový kontrolér

Požadavek na autentizaci

certifikát uživateleuživatelské jménočasová značka

podpis

Certifikační autorita

Ověření platnosti certifikátu

ActiveDirectory

Dotaz na uživatele certifikátu

Přidělení TGT

Onom@topic+

Demonstrační software

• Slouží pouze k demonstraci funkčnosti middleware vytvořeného během výzkumného projektu

• Použité rozhraní SAL je kompatibilní s mezinárodním standardem ISO 24727

• CTL transportní vrstva navržená v OKsystem použitá v demonstračním software je nyní součástí ISO 24727 dílu 4

• Ukázka digitálního podpisu chráněného pomocí ověření otisku prstu– Obraz otisku je sejmut a zpracován přímo ve čtecím zařízení

– Obraz otisku se neposílá do PC ale přímo do čipové karty

– Karta disponuje technologií Match-On-Card, tedy vlastní porovnání sejmutého obrazu a vzoru se provádí přímo na čipu karty

SmartCard Forum 2008 15

Budoucnost OKsmart

• Podpora biometrické autentizace pomocí ověření otisku prstu– Podpora biometrických čteček které jsou schopné autonomě zpracovat otisk

prstu, transformovat jej do formátu vhodném pro zpracování na čipové kartě a poslat jej přímo do karty

– Podpora karet se systémem Match-On-Card

• Applet pro Java Card kompatibilní se standardem ECC-2– Podpora biometrické autentizace

– Podpora protokolu vzájemné symetrické autentizace

– Podpora secure messaging (online šifrovaná komunikace s čipovou kartou)

• Kompletní implementace SAL rozhraní dle ISO 24727

• Podpora čipových karet s velikostí paměti EEPROM až 128 kB

• Card Management System– Personalizace a potisk čipových karet

– Správa karet a certifikátů

– Součást modulárního systém OKbase

SmartCard Forum 2008 16

Kontakt:

Vítězslav Vacek:

vacek@oksystem.cz

OKsmart na webu:

www.oksystem.cz

www.oksmart.cz

SmartCard Forum 2008 17