Smart Cards & Devices Forum 2012 - eOP s čipem

eOP s čipem

Porovnání realizace v ČR a Německu Ing. Ivo Rosol, CSc.

Smart Cards & Devices Forum
2012

Spojujeme software, technologie a služby
1

Téma prezentace

Smart karty a zařízení vybavené čipy jsou všude kolem nás,
nejnověji také v občanských průkazech vydávaných v ČR od
začátku letošního roku.
z jakého důvodu se umísťuje čip do ID dokladů
k čemu slouží čip v eOP vydávané v ČR
srovnání s německým eOP

Spojujeme software, technologie a služby 2

Úloha čipu u eID dokladu

Hybridní doklady – kombinace klasického „papírového“ dokladu s
elektronickým čipem – umožňují klasickou, elektronickou nebo
kombinovanou inspekci dokladu.
Čip v dokladu je nový bezpečnostní element, který umožňuje:
zlepšit odolnost proti padělání dokladu
pasivní autentizace (elektronicky podepsané údaje, včetně údajů vytištěných
na dokladu)
aktivní autentizace/EAC (zajištění pravosti čipu, odolnost proti kopírování)
řídit přístup k údajům uloženým na čipu (EAC)
uložit biometrické údaje držitele pro posílení vazby mezi dokladem a
držitelem s možností automatické kontroly
využití on-line služeb (elektronická identita, využití služeb IAS)


Kontaktní vs. RF rozhraní
Pro cestovní a ID doklady se obvykle využívá RF rozhraní.
Důvodem je:
zvýšení spolehlivosti
jednoduchost obsluhy
vyšší přenosová rychlost
Pro RF komunikaci se využívá standard ISO 14443, díl 1-4

Nevýhodou RF komunikace jsou nové bezpečnostní hrozby,
které se eliminují pomocí vhodně navržených kryptografických
technologií a schémat.
Základní hrozbou je absence vědomého vložení karty do čtečky,
jako nezbytné podmínky pro použití karty.
Další hrozbou je odposlouchávání komunikace mezi čtečkou a
čipem (eavesdropping) a neoprávněné čtení údajů z čipu
(skimming).
4
SmartCard Forum 2008

Základní kryptografické zabezpečení dokladů - BAC

BAC je protokol sloužící k vygenerování dočasných klíčů s nízkou
entropií pro vybudování bezpečného komunikačního kanálu mezi čipem
a terminálem (SM). Odvozuje přístupové klíče z vybraných údajů,
vytištěných v strojově čitelné zóně (MRZ) – číslo dokladu (9 znaků),
datum narození držitele dokladu (6 znaků) a datum konce platnosti
dokladu (6 znaků). Všechny tyto údaje jsou chráněny kontrolní číslicí,
která umožňuje detekovat chyby při optickém čtení údajů.


Kryptografické zabezpečení dokladů - PACE

PACE je protokol sloužící k vygenerování dočasných klíčů s vysokou
entropií pro vybudování bezpečného komunikačního kanálu mezi čipem
a terminálem (SM) na základě znalosti sdíleného tajemství (hesla
sdíleného mezi personalizovaným čipem a tělem dokladu nebo
držitelem). Heslo není většinou spojeno s hodnotami, které může
útočník odhadnout (datum narození, konec platnosti dokladu):
Card Access Number (CAN) logické číslo, které může být statické,
nebo dynamické. Statická forma může být vytištěna na dokladu,
dynamická zobrazena na displeji dokladu
Personal Identification Number (PIN) krátké heslo, které je známé
výhradně držiteli dokladu
Machine Readable Zone (MRZ) heslo odvozené z MRZ , které je
možné použít pro PACE i BAC (pro zpětnou kompatibilitu)


Kryptografické zabezpečení dokladů

Metoda Výhoda Nevýhoda
PA Autenticita LDS Neodstraňuje klonování a
substituci čipu
AA Zabraňuje klonování a výměně čipu Vyžaduje kryptografický čip,
neodstraňuje sémantiku výzvy
BAC Zabraňuje neoprávněnému čtení a Vyžaduje kryptografický čip, klíče
odposlouchávání komunikace mezi mají nízkou entropii (34 – 73 bitů)
čipem a oprávněným terminálem

PACE Náhrada BAC, odvozuje klíče s Vyžaduje kryptografický čip s
vysokou entropií na základě podporou PACE
sdíleného hesla
EAC/EACv2 Zabraňuje neoprávněnému přístupu Vyžaduje komplexní
k citlivým biometrickým údajům, infrastrukturu PKI
zabraňuje klonování čipu

7
SmartCard Forum 2008

elektronický občanský průkaz

8

Občanské průkazy

Od 1. 1. 2012 je vydáván občanský průkaz se strojově
čitelnými údaji (3 řádky MRZ), s čipem nebo bez čipu. Je
vyroben ve formě plastové karty ve formátu ID-1 (54 x 85,6
mm). OP je personalizován technologií laserového
gravírování. Za vydání OP s čipem je stanoven správní
poplatek 500 Kč.
Do čipu je přípustné nahrát pouze kvalifikované certifikáty,
vydané k datům pro ověření zaručeného elektronického
podpisu (§17b ZoEP). Tuto službu nabízejí všichni
akreditovaní poskytovatelé certifikačních služeb


Vzor eOP

Závazný vzor nového OP (vyobrazení) uvedený ve
vyhlášce č. 400/2011 Sb. neobsahuje personalizační
údaje, s jedinou výjimkou – 2D kód (neobsahuje ani MRZ,
ve vyhlášce je pouze v textu určena poloha ve stanovené
zóně v dolní části zadní strany). Pozice personalizačních
údajů lze vytušit podle vyobrazených pozic návěští,
s výjimkou fotografie, která žádný label nemá, takže
vlastně není určeno, kde má být.
Kontaktní čip se nachází na zadní straně OP (určeno
v textu, není zmíněno kde, ani žádný odkaz na ISO
standardy, vyobrazeno je to správně).
Úplný vzhled OP tedy určují až „specimeny“

Vzor a provedení

Vyhláška č. 400/2011 Specimen


Současné funkce čipu v eOP

Funkce pro držitele:
Do kontaktního čipu lze uložit kvalifikovaný certifikát
Funkce pro kontrolu:
Čip obsahuje aplikaci, která umožňuje zkontrolovat, že čip
patří k tělu karty pomocí digitálního podpisu čísla dokladu.
Funkce pro světlé zítřky eOP:
Aplikace dále umožňuje zjistit velikost volné paměti na
čipu.


Middleware pro eOP

http://www.mvcr.cz/clanek/obsluzna-aplikace-eop-middleware.aspx

Podporováno zatím pouze prostředí MS Windows (XP, Vista,
7, Server 2003, Server 2008).


Počty vydaných eOP

K dnešnímu dni bylo od začátku roku vydáno asi 7.000
eOP s čipem z celkem 457.000 OP, cca 1,6% z celkového
počtu.
Po počátečním boomu, kdy v lednu bylo vydáno 3.000
eOP s čipem ze 150.000 OP, se čísla ustálila na asi 1.000
eOP/měsíc z celkového počtu 100.000, cca 1%
z celkového počtu.
Správní poplatky, které jsou příjmem obcí, činí
nezanedbatelných 500 mil. Kč (při 1% eOP!).
Počty vydaných QC na eOP nelze podle prohlášení
poskytovatelů zjistit (to je pochopitelné).


Co čip eOP neobsahuje (a měl by)

aplikaci eOP – data vytištěná na OP by měla být uložena
na čipu a chráněna minimálně pasivní autentizací,
případně dalšími sofistikovanějšími mechanismy
aplikaci Cestovní doklad ve formě kompatibilní ke
specifikacím ICAO – vyžaduje bezkontaktní rozhraní
aplikaci pro identifikaci a autentizaci
aplikaci umožňující kryptografickou kontrolu pravosti
elektronické služby na základě ověření CV certifikátů


Bezpečnostní osobní kód

Podle §8a zákona o občanských průkazech platí:
Bezpečnostní osobní kód (BOK) slouží k autentizaci při
elektronické identifikaci držitele OP při komunikaci s
informačními systémy veřejné správy.
BOK je kombinace 4 – 10 číslic.
Občan zvolí BOK povinně při převzetí OP.
Možný zmatek: pozor BOK není PIN k eOP.


Chybný předpoklad

Volně podle Jiří Peterka: http://www.lupa.cz/clanky/nove-e-obcanky-co-nejsou-e/

Původní představa MV o eOP, i když nebude obsahovat čip:

Nové občanky jsou totiž v jistém smyslu dvoudílné: kus plastu, velikosti platební karty, se
strojově čitelnými zónami a s čipem nebo bez něj, je pouze prvním dílem průkazu. Tím
druhým je obsah, uložený v základních registrech a v navazujících agendových
informačních systémech.

První díl občanky bude „minimalizován“ co do údajů, které obsahuje, a bude sloužit jen pro
nejzákladnější identifikaci svého držitele (jak se jmenuje, jak vypadá). Především ale bude
sloužit jako ukazatel (index) do druhého dílu, kde už budou obsaženy detailnější údaje:
v základním registru obyvatel: jméno, příjmení, adresa místa pobytu, datum, místo a okres
narození, státní občanství, čísla elektronicky čitelných identifikačních dokladů a záznam
o zpřístupnění datové schránky. Údaje o adresách jsou fakticky vedeny jako odkazy do jiného
základního registru (územní identifikace, adres a nemovitostí),
v agendovém informačním systému evidence obyvatel: rodinný stav, vznik nebo zánik
registrovaného partnerství, rodné číslo, zbavení nebo omezení způsobilosti k právním úkonům, ev.
údaje o opatrovníkovi
v evidenci občanských průkazů: digitální zpracování podoby občana a jeho podpisu, číslo
občanského průkazu, datum vydání, datum skončení platnosti a označení úřadu, který jej vydal.
ALE: OP a eOP neslouží pouze pro veřejnou správu a mimo ní není přístup ani k základním registrům, ani k
BOK.


Německý
elektronický občanský průkaz

18

Německý eID

Od 1. listopadu 2010 vydává Spolkové ministerstvo vnitra
nový identifikační dokument ve formátu plastové karty
formátu ID1 s bezkontaktním elektronickým čipem, který je
označován zkratkou „IDD“. Za vydání nového dokladu je
stanoven poplatek 28,80 € pro osoby od 24 let s platností na
10 let a 22,80€ pro osoby pod 24 let s platností na 6 let.
Velikosti kreditní karty, materiál PC
Bezkontaktní čip v kartě
Základní infornace na portálu:
http://www.personalausweisportal.de/DE/Home/home_node.html


Vlastnosti čipu

RF komunikace ISO 14443 typ A
ISO 7816
kryptografie ECC a AES, TRNG
certifikován jako SSCD podle německého zákona o
elektronickém podpisu


Německý eID – vzhled a fyzické bezpečnostní prvky

1 + 14 - vícebarevné giloše 11 - integrační technika barvy (Innosec Fusion®)
2 + 15 - mikrotext 12+20 - laserové gravírování
3 + 16 - UV – potisk 13 - taktilní vlastnosti laserového gravírování
4 - OVI (opticky variabilní barvy) 17 - logo personálního dokladu
5 - holografický portrét 18 - melírované vlákna
6 - 3D Spolková orlice 19 - ražba na povrchové vrstvě
7 - kinematické pohybové struktury 21 - sklopný obrázek laserový
8 - makro písmo 22 - strojově čitelná zóna (MRZ)
9 - inverze kontrastu 23 - personalizovaný bezpečnostní proužek
10 - strojově kontrolovatelná struktura


Data vytištěná na kartě

Sériové číslo (4auth. ID + 5 pseudonáhodných číslic)
Příjmení a rodné příjmení
Křestní jméno
Akademický titul
Datum a místo narození
Národnost
Datum konce platnosti dokladu
Fotografie (jpeg2000)
Podpis
Přístupové číslo karty (CAN) pro PACE
Barva očí
Výška
Datum vydání
Vydavatel
Adresa
Náboženské nebo umělecké jméno


Data uložená na čipu - 1

Všechna data vytištěná na kartě jsou též uložena v čipu.
Data, která je možné držitelem uvolnit pro on-line funkce:
Jméno a příjmení
Datum a místo narození
Adresa a PSČ
Pseudonym
akademické tituly

Společně s uvolněnými údaji je současně zaslána informace
o platnosti dokladu.

Data uložená na čipu - 2

Pouze pro následující, zákonem určené úřady:
orgány činné v trestním řízení
celní správa
daňové vyšetřovací jednotky spolkových zemí
úřady vydávající občanské průkazy a cestovní doklady
je povoleno použít následující údaje k ověření pravosti dokladu a
totožnosti jeho držitele:
Digitální fotografie držitele
Otisky 2 prstů - volitelně, držitel se rozhodne, zdali chce mít otisky
prstů uloženy na čipu:
Sériové číslo dokladu


Interní organizace dat na čipu

Data na čipu jsou organizována ve 3 aplikacích:
biometrická aplikace – stejný formát jako u ePasu podle ICAO
Doc 9303 part 3
eID aplikace
podpisová aplikace pro kvalifikované podpisy (v ZoEP není)


Otisky prstů

Uložení otisků prstů žadatele je volitelná (dobrovolná)
funkce
pouze vyjmenované státní úřady mohou použít otisky
prstů a to výhradně pro identifikaci
otisky nejsou uloženy v žádné databázi a po výrobě karty
jsou smazány ze systému a zůstávají pouze na kartě


Hesla

CAN je 6-ti místné náhodné desítkové číslo Card Access Number, které se používá jako
heslo pro PACE k navázání SC protokolu mezi kartou a terminálem a dále k umožnění 3.
pokusu o zadání PIN (ochrana proti DoS útoku na bezkontaktní rozhraní čipu). PACE a
CAN se používá jako modernější náhrada protokolu BAC u ePasů 1. a 2. generace, kdy se
využívala jako důkaz držení pasu a pro získání klíče pro přístup k DG1 a DG2
Data z MRZ (SHA-1 (číslo dokumentu, datum narození, datum konce platnosti)) pro BAC
eID PIN (operační PIN) je 6 místné číslo známé pouze držiteli karty. Operační PIN může
změnit držitel se znalostí původní hodnoty PIN, nebo autorita, která provede autentizaci
terminálu
Transportní PIN je 5 místné číslo zaslané držiteli, nelze použít pro autentizaci držitele,
pouze k nastavení operačního PIN
Signature PIN – pro kvalifikovaný podpis. Při vydání dokladu není nastaven. Blokuje se po
3 neplatných zadáních.
PUK 10 místné číslo zaslané držiteli. Odblokovává eID PIN i Signature PIN. Blokuje se pro
10 neplatných zadáních.


Autentizační metody

PACE – Password Authenticated Connection Establishment
podle BSI-TR 03110. Slouží k navázání bezpečné komunikace
(šifrované s kontrolou integrity) mezi čipem a terminálem a k
ustanovení sdíleného tajemství mezi terminálem a čipem.
TA2 – Terminal Authentication v2 podle BSI-TR 03110. TA2
slouží k autorizaci přístupového práva terminálu respektive
poskytovatele služeb. Povinné pro všechna data s výjimkou
DG1 a DG2.
PA – Passive Authentication podle ICAO 9303
CA2 – Chip Authentication v2 podle BSI-TR 03110
Tyto kryptografické protokoly umožňují přistupovat k datům
uloženým na čipu podle General Authentication Procedure
definované v BSI-TR 03110

On-line funkce

On-line identifikace
identifikace má vlastní 6 místný PIN
autorizační certifikát poskytovatele on-line služeb určuje
maximální rozsah přístupu k údajům na kartě
uživatel navíc vždy povoluje, zda poskytovateli poskytne
přístup k údajům a v jakém rozsahu
data jsou vždy přenášena zabezpečeným šifrovaným
spojením

Zaručený elektronický podpis
podpis má vlastní podpisový PIN
je k dispozici PIN-pad čtečka s displejem


Aktivace on-line funkcí

Nově personalizovaná karta je chráněna kódy PIN a PUK
(přepravní/aktivační kódy), které jsou zaslány držiteli v bezpečnostní obálce.
Před prvním použitím on-line funkcí je nutno kartu aktivovat a změnit
aktivační PIN na 6 místný osobní PIN
Po 2 neplatných zadáních PIN je nutno zadat přístupový kód CAN,
personalizovaný na lícové straně dokladu. Po 3 neplatných zadáních je PIN
blokován.
Odblokovat PIN lze zadáním kódu PUK, po 10 neplatných zadáních je PUK
blokován. Resetovat PUK může pouze vydavatel (v ČR nelze).
On-line funkce lze kdykoli zablokovat, telefonicky nebo osobně na úřadě. K
tomu je nutné sdělit heslo pro blokování, které bylo zasláno držiteli poštou.
Podpisové certifikáty je nutno odvolat zvlášť u poskytovatele certifikačních
služeb.


Výhody on-line funkcí

získání informace a jistoty o identitě poskytovatelů on-line
služeb na základě osvědčení o registraci (CV certifikátu)
poskytovatele služby
poskytnutí ověřené informace o identitě držitele dokladu
eliminace on-line útoků, zaměřených na sociální inteligenci
typu phishing. Poskytovatel falešných stránek nemá CV
certifikát ověřitelný na kartě, karta tak chrání svého držitele
jsou posílána pouze ta data, která je nutné získat
lze zajistit ochranu nezletilých před on-line službami, které smí
používat pouze plnoletí


Speciální on-line funkce

Omezená informace o věku držitele
doklad místo celého data narození pouze zodpoví, zdali bylo
dosaženo požadovaného věku (například plnoletosti)

Omezená informace o adrese pobytu
doklad místo celé adresy pouze zodpoví, zdali je bydliště v
požadované hierarchicky členěné lokalitě. Tato informace je uložena
v DG18 – Community ID: Spolková země – 2 číslice, administrativní
oblast – 1 číslice, město nebo okres – 2 číslice, obec – 3 číslice

Omezená informace o identitě – přístup pod číselnými
identifikátory
doklad poskytne pro každou on-line službu bezvýznamovou unikátní
posloupnost čísel, identifikujících držitele k této službě (např. pro
internetová fóra)


Příklady použití DE eID

Seznam on-line aplikací na portále http://www.ccepa.de/onlineanwendungen
Zákaznický management – například uzavírání pojistek přes
internetový portál pojišťoven.
Potvrzení stáří držitele e-ID – při nákupu produktů omezených
určitou věkovou hranicí
Potvrzení bydliště držitele e-ID – používá se pro slevy v rámci
cestovního ruchu, které jsou určeny pouze pro občany z jiných
regionů.
Přístup pod bezvýznamovým identifikátorem („cookie na kartě“) –
používá se pro zjednodušení přihlašovacího procesu a znovu
poznání občana pro internetové aplikace, což zvyšuje bezpečnost
ochrany osobních údajů.
Podpisové funkce – elektronický podpis a komunikace E-mailem
Online – administrativní postupy – např. přihlašování psů
Bezpečné e-maily a de-maily (komunikační prostředek pro výměnu
dokumentů).


Příklady použití DE eID

Online ID funkce pro použití v bankomatech a na
internetu (k dispozici na vyžádání od věku 16 let)
Digitální fotografie a otisky prstů pro jednoznačnou
identifikaci držitele
Kvalifikovaný elektronický podpis (zaručený elektronický
podpis založený na kvalifikovaném certifikátu, vytvořený
pomocí bezpečného zařízení pro vytváření elektronických
podpisů)
Pokročilé bezpečnostní funkce
Zvláštní ochrana biometrických údajů


Čtečky karet

Doporučené čtečky mají certifikaci podle specifikace BSI-TR
03119 (10 čteček). Vláda uvolnila finanční podporu 24 M EUR pro
cca 1,5 mil. sad s čtečkou zdarma nebo za sníženou cenu.
základní čtečka, kde PIN je zadáván na klávesnici počítače
(nebezpečí škodlivého kódu, keylogger). PIN je možné zadat z
virtuální klávesnice na obrazovce (AusweisApp)
standardní PIN-pad čtečka s klávesnicí a displejem
komfortní PIN-pad čtečka s klávesnicí, displejem a
kryptografickým modulem certifikovaným podle CC na úroveň
zabezpečení EAL4+. Tato čtečka je povinná pro podpisové
funkce, má certifikát SigG/SigV podle specifikace QES
(REINERSCT Cyber Jack RFID komfort).


Software

AusweisApp middleware a správce karty. Specifikace je založena
na eCard API Framework, TR03112, vydané BSI (Spolkový úřad
pro informační bezpečnost).
Windows XP/Vista/7, IE 6 – 9, Mozilla Firefox
Linux distribuce Ubuntu, Debian a openSUSE
Mac OS v přípravě


Infrastruktura

Provozovatel kořenové CA – Bundesamt für Sicherheit in
der Informationstechnik (BSI) Spolkový úřad pro
informační bezpečnost
Registrační autorita pro schvalování přístupových
certifikátů a služba blokování - Bundesverwaltungsamt
(BVA) Spolkový úřad pro správu
Technické specifikace (BSI):
BSI-TR 03110 EAC a PACE
BSI-TR 03112 eCard API
BSI-TR 03127 architektura
BSI-TR 03130 eID serveru


Infrastruktura PKI – certifikáty pravosti

PKI pro kontrolu pravosti – 2 úrovně, certifikáty X.509
kořenová CSCA, provozovaná Bundesamt für Sicherheit in der
Informationstechnik (BSI) Spolkový úřad pro informační
bezpečnost.
CSCA vydává certifikáty pro výrobce dokladů, který provozuje
entitu Document Signer

Určitá data uložená na čipu jsou digitálně podepsána DS při
personalizaci dokladu. Tento podpis je kontrolován pomocí
certifikátů pravosti.


Infrastruktura PKI – certifikáty přístupu

PKI pro řízení přístupu, podle BSI TR 03128 - 3 úrovně, CV
certifikáty podle ISO 7816-6
kořenová CVCA, provozovaná BSI
CVCA vydává certifikáty pro několik entit Document Verifier DV
DV vydávají certifikáty pro inspekční systémy (IS), autentizační
terminály a podpisové terminály

Čip nemá vlastní hodiny reálného času pro ověření platnosti
certifikátu, používá a aktualizuje proto přibližný syntetický
čas, odvozený z data vydání důvěryhodných certifikátů
CVCA, DV a dále z oficiálních německých IS a
autentizačních terminálů.



Přístupové certifikáty pro komerční a zahraniční autentizační terminály (tj. pro on-
line aplikace e-business a e-government) jsou vydávány autorizačními CA (DV) na
základě licence vydané úřadem VfB pro poskytovatele služeb. Poskytovatelé musí
prokázat splnění řady požadavků zákona PAuswG, zejména:
údaje o identitě poskytovatele a kontaktní detaily, včetně jména osoby
odpovědné za ochranu dat
údaje o společnosti a nabízených službách
údaje o datech, které mají být čteny a důvod
informace o použití dat, které mají být čteny
realizaci bezpečnostního konceptu podle BSI TR 03130 k ochraně privátního
klíče přístupového certifikátu a ochrany osobních dat přečtených z karty
Vydaná licence opravňuje poskytovatele k vyžádání certifikátu od vybraného DV po
dobu maximálně 3 let.



CV certifikáty obsahují informaci, která se uživateli zobrazí
při on-line autentizaci:
subjectName: jméno poskytovatele služeb
issuername: jméno vydavatele – autorizační CA
termsOfUsage: jméno a e-mail poskytovatele služeb,
důvod požadavku
commCertificates: hash TLS certifikátu poskytovatele
služeb
Certifikáty přístupu jsou vydány s platností pouze na 2 dny,
nepoužívají se proto CRL.

Závěr

Vydání dokladů s čipem je pouze malá, i když lépe viditelná
část systému. Podstatně důležitější je infrastruktura PKI,
infrastruktura služeb a celková bezpečnostní koncepce.
Bez těchto předpokladů nelze považovat prostředky
věnované na eOP s čipem za efektivně vynaložené.


OKsystem s.r.o.
Na Pankráci 125
140 21 Praha 4
tel: +420 236 072 111
info@oksystem.cz
www.oksystem.cz
www.oksmart.cz
www.okbase.cz

Otázky?
Děkuji za pozornost

Ivo Rosol
rosol@oksystem.cz


Smart Cards & Devices Forum 2012 - eOP s čipem

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie Smart Cards & Devices Forum 2012 - eOP s čipem

Ähnlich wie Smart Cards & Devices Forum 2012 - eOP s čipem (20)

Mehr von OKsystem

Mehr von OKsystem (20)

Smart Cards & Devices Forum 2012 - eOP s čipem