Spojujeme software, technologie a služby

Ivo Rosolředitel vývojové divize, OKsystem s.r.o.

Čipová platforma pro evropské identifikační dokladyVýsledky projektu výzkumu a vývoje Onom@topic

Kategorizace čipových karet

Podle inteligence• Paměťové karty s jednoduchou logikou

• Mikroprocesorové (smart) karty

Podle komunikačního rozhraní• Kontaktní rozhraní ISO 7816-3

• Kontakní USB rozhraní ISO 7816-12

• Bezkontaktní RF rozhraní na krátkou vzdálenost: ISO 14443-1 až 4

Podle instrukční sady (APDU)• S pevnou instrukční sadou (podpora ISO 7816-4)

• Programovatelné, s aplikačně závislou instrukční sadou (Java Card)

Podle podpory kryptografie• S podporou symetrické kryptografie (DES, 3DES, AES)

• S podporou RSA nebo ECC

2SmartCard Forum 2008

Komunikace s čipovou kartou

2. APDU (Response)

1. APDU (Command)

3SmartCard Forum 2008

Aplikace na straně kartyAplikace na straně počítače

Komunikace dvou počítačů s odlišným technickým vybavením a operačním

systémem. Komunikace je realizována na základě aplikačního protokolu pro

mikroprocesorové čipové karty (ISO 7816 – 4, APDU).

Aplikační protokol je přenášen prostřednictvím kontaktního rozhraní (ISO

7816-3), USB rozhraní (ISO 7816-12) nebo RF rozhraní (ISO 14443) čipové

karty.

Stav techniky a standardizace 1/2

Základní standardy v oblasti čipových karet (ISO

7816) existují řadu let, ale nezaručují plnou

kompatibilitu na aplikační úrovni a využívají

poměrně archaický aplikační protokol (APDU)

Rozvíjí se bezkontaktní komunikace, důležité

aplikace vyžadují vyšší přenosovou rychlost a

vyšší bezpečnost (standard ISO 14443 až

848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace

EAC pro ICAO)

4SmartCard Forum 2008

Stav techniky a standardizace 2/2

• Potřeba lépe definovaných služeb čipové karty

(povinné APDU, povinné autentizační protokoly,

eliminace chování závislých na implementaci) –

tvorba evropského standardu ECC (CEN TC224

WG15)

• Neexistující standard pro middleware, pouze

technické specifikace (zejména) obecných

kryptografických rozhraní (PKCS#11, MS CAPI,

JCA) – tvorba mezinárodního standardu

ISO/IEC 24727

5SmartCard Forum 2008

Identifikace, autentizace, ePodpis (IAS)

IAS jako základ pro elektronickou administrativu

vzešel z iniciativy eEurope Smart Card Charter

(eESC, v rámci akčního plánu EU eEurope)

IAS se stal základem European Citizen Card -

čtyřdílný standard vytvářeném v rámci CEN

6SmartCard Forum 2008

Definice ECC

ECC je personalizovaná čipová karta formátu ID-1

s kontaktním rozhraním ISO 7816-3 (12) nebo

bezkontaktním rozhraním ISO/IEC 14443.

ECC podporuje služby IAS (Identification,

Authentication, Signature)

Specifikaci ECC vytváří CEN

7SmartCard Forum 2008

CEN- European Committee for Standardisation

CEN charakterizuje

• 30 národních členů (ČNI za ČR)

• více než 60.000 expertů

• vydal více než 10.000 evropských standardů

• náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty

CEN vytváří:

• evropské standardy – EN

• technické specifikace – TS

• informativní technické zprávy – TR

• pracovní specifikace – CWA

Práce CEN probíhá v technických výborech

8SmartCard Forum 2008

Technický výbor CEN/TC 224

CEN/TC 224 Machine readable cards, relateddevice interfaces and operations, WG15 - ECC

ECC hardware:

CEN/TS 15480-1 Identification card systems – European Citizen Card– Part 1: Physical, electrical and transport protocolcharacteristics

ECC IAS:

CEN/TS 15480-2 Identification card systems – European Citizen Card– Part 2: Logical data structures and card services

ECC IOP middleware:

CEN/TS 15480-3 Identification card systems – European Citizen Card– Part 3: ECC interoperability using an application interface

ECC profiles:

CEN/TS 15480-4 Identification card systems – European Citizen Card– Part 4: Recommendation for ECC issuance, operation anduse

9SmartCard Forum 2008

Fyzické specifikace ECC 1/2

ECC musí:

• integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu

• obsahovat administrativní údaje držitele (jména...)

• obsahovat černobílou nebo barevnou fotografii a podpis držitele

• obsahovat MRZ podle doporučení ICAO 9303-1

• obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)

10SmartCard Forum 2008

Fyzické specifikace ECC 2/2

Materiál těla karty není předepsán, musí být

kompatibilní s kontaktní, bezkontaktní a

personalizační technologií

Biografická data na lícové straně by měla být

personalizována do materiálu těla karty

Podtisk by měl obsahovat guilloches, duhový tisk,

UV fluorescentní prvky, OVI a mikrotisk nebo

srovnatelnou technologii na datové straně

11SmartCard Forum 2008

Lícová strana ECC

Vlajka

Fotografie

Podpis držitele

Název dokumentu Země

Bezp.prvek OVF

Údaje o držiteliAdministrativní údaje

12SmartCard Forum 2008

Rubová strana ECC

Popis fixních polí na lícové straně

Podpis vydavatele

Adresa pro zaslání ztracené karty

Strojově čitelná zóna (Doc 9303 - 3)

čip ISO 7816

13SmartCard Forum 2008

Funkce ECC

• vizuální i elektronická identifikace a autentizace

držitele s využitím referenčních dat uložených na

kartě

• oboustranná autentizace mezi kartou a

terminálem, pokud požaduje aplikace

• bezpečný přenos dat pomocí kontaktního a

volitelně bezkontaktního rozhraní

• generování elektronického podpisu

• mechanismus řízení přístupu k uloženým datům

• multiaplikační podpora

14SmartCard Forum 2008

Interoperabilita ECC

Elektronická interoperabilita ECC je dosažena ve 3

vrstvách:

• společná sada příkazů a datových struktur

(CEN/TS 15480-2)

• middleware API (CEN/TS 15480-3)

• definice profilů ECC (CEN/TS 15480-4)

15SmartCard Forum 2008

Projekt V&V Onom@topic+

Cílem projektu byl návrh a vývoj kompletní

HW/SW čipové platformy, která umožní

evropským zemím vydávat interoperabilní čipové

dokumenty pro elektronickou identifikaci,

autentizaci, zaručený elektronický podpis a pro

přístup k elektronickým službám.

Projekt současně prakticky ověřil koncepci ECC.

SmartCard Forum 2008 16

2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications

Project objectives

Two directions are targeted

provide a complete technical platform

enabling the European Governments to issue

interoperable e-identity documents

develop a complete HW and embedded SW

platform taking full profit of the enormous

potentialities offered by the development of

premium Mobile Services

Project structure

Split in 2 sub-projects and 9 work packages

sub-project A : European Citizen Card

sub-project B : Mobile Multi Media

WP1 : Management and dissemination

WP2 : Use cases

WP3 : Architecture

WP4 : Specifications

WP5 : Infrastructure and interfaces

WP6 : Biometrics

WP7 : Platform development

WP8 : Tools and methodology

WP9 : Demonstrators

Duration : Q2-2005 to Q4-2007

Manpower : 305 man.year

Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands

Partners:

SmartCard Forum 2008 17

Hlavní východiska projektu

V rámci Evropy:

• Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a elektronický podpis (Signature) – IAS podle ECC-2.

• Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3)

• Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO 24727 (ECC-3 podmnožina ISO)

18SmartCard Forum 2008

Spojujeme software, technologie a služby

Ivo Rosolředitel vývojové divize, OKsystem s.r.o.

Operační systém čipové karty ECCOnom@Topic IAS

Onom@topic - operační systém

Aplikace IAS rezidentní na čipové kartě tvoří

operační systém čipové platformy

Onom@Topic+.

Aplikace vychází z publikovaného standardu

CEN/TS 15480-2.

20SmartCard Forum 2008

Základní komponenty IAS

• Hierarchický souborový systém podle ISO 7816-

4

• Bezpečnostní architektura a služby

• Příkazová sada

21SmartCard Forum 2008

Souborový systém IAS

• Implementace FS pomocí komponent:

• root structure

• application directory list array

• directory list array

• file list array

• data blocks array

• free space stricture

• Typy EF: Transparent, Linear fixed

• Operace v systému souborů: inicializace,

vytvoření MF, vytvoření DF, vytvoření EF,

smazání DF, smazání EF

22SmartCard Forum 2008

Bezpečnostní služby IAS

• Symetric Device Authentication

• Secure Messaging

• Digital Signature

• Client/Server Authentication

• Encryption Key Decipherment

• Card Verifiable Certificate Verification

• Key Transport Protocol

23SmartCard Forum 2008

Příkazová sada IAS

• Sada příkazů pro souborový systém

– CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF

• Sada příkazů pro bezpečnostní služby

– GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION

• Sada příkazů pro komunikaci

– GET RESPONSE

24SmartCard Forum 2008

Spojujeme software, technologie a služby

Ivo Rosolředitel vývojové divize, OKsystem s.r.o.

Software pro interoperabilituOnom@Topic middleware

Návrh ISO standardů pro middleware

ISO/IEC FDIS 24727-1 Identification cards --Integrated circuit card programming interfaces --Part 1: Architecture

ISO/IEC FCD 24727-2 Identification cards --Integrated circuit card programming interfaces --Part 2: Generic card interface

ISO/IEC CD 24727-3 Identification cards --Integrated circuit card programming interfaces --Part 3: Application interface

ISO/IEC NP 24727-4 Identification Cards --Programming Interfaces for Integrated CircuitCards -- Part 4: API administration

ISO/IEC NP 24727-5 Identification Cards --Programming Interfaces for Integrated CircuitCards -- Part 5: Testing

26SmartCard Forum 2008

ISO/IEC FDIS 24727-1 – architektura

Aplikace rezidentní na kartě

Odvozeno z CEN

TC224 WG15 spec.

Generic Card Access Layer (GCAL) Odvozeno z ISO 24727-2

Externí aplikace

Service Access Layer (SAL)-

Rozhraní čipové karty (HCE)

Generické rozhraní (GCE)

Aplikační rozhraní (API)

Recoverable data

(Access Control List,

Elements of Identities,

Data Sets for IOP)

Application Capabilities Descriptor

DF.CIA

(ISO 7816-15)

EF.DIR

Poskytovatel 1 Odvozeno zISO 24727-3

Odvozeno z ISO 24727-3

ICC

Odvozeno zISO 24727-2

Odvozeno z ISO 24727-3

Poskytovatel 2

Poskytovatel 3

Poskytovatel 4

27SmartCard Forum 2008

Onom@Topic middleware

CARD TRANSPORT LAYER (CTL)

CARD INSTRUCTION LAYER (CIL)

SERVICES ACCESS LAYER (SAL)

APPLICATION LAYER

IFD 1

CARD

IFD 2

CARD

IFD 3

CARD

MIDDLEWARE

SAL API závislé na jazyku

PC/SC, TCP/IP

CIL zajišťuje nezávislost na systému karty

Aplikace IAS podle CEN TC224/WG15 rezidentní na kartě

CIL API

CTL API

SAL poskytuje standardní vysokoúrovňové aplikační rozhraní, izoluje vývojáře aplikací od technických detailů čipových karet. SAL vyžaduje IAS na čipové kartě

CTL zajišťuje nezávislost na čtecím zařízení a transportním prostředí

28SmartCard Forum 2008

Servisní vrstva SAL

CARD TRANSPORT LAYER (CTL)

CARD INSTRUCTION LAYER (CIL)

SERVICES ACCESS LAYER (SAL)

APPLICATION LAYER

IFD 1

CARD

IFD 2

CARD

IFD 3

CARD

MIDDLEWARE

Servisní vrstva pracuje se seznamem aplikací na čipové kartě a poskytuje jejich služby klientským aplikacím. Rozhranní vrstvy je založeno na návrhu standardu ISO/IEC CD 24727-3. Služby servisní vrstvy poskytují následující sady funkcí:•Čtení seznamu aplikací•Čtení / aktualizace / vytváření / mazání identit•Čtení / aktualizace / vytváření / mazání kryptografických objektů•Čtení / aktualizace / vytváření / mazání množin datových objektů•Čtení přístupových omezení a podmínek pro akce s danými entitami (zápis, čtení, použití)•Šifrování a dešifrování•Ověření podpisu a import veřejného klíče pro autentizaci•Elektronický podpis•Komplexní autentizační protokoly•Bezpečná komunikace (Secure Messaging)

29SmartCard Forum 2008

Instrukční vrstva CIL

CARD TRANSPORT LAYER (CTL)

CARD INSTRUCTION LAYER (CIL)

SERVICES ACCESS LAYER (SAL)

APPLICATION LAYER

IFD 1

CARD

IFD 2

CARD

IFD 3

CARD

MIDDLEWARE

CIL zajišťuje nezávislost na systému karty, maskuje rozdíly mezi jednotlivými typy karet kompatibilními k ISO 7816-4. Rozhraní instrukční vrstvy jsou proprietární.

CIL implementuje následující sady funkcí:

Souborové služby (změna adresáře, čtení parametrů souborů, čtení dat, zápis z/do souboru)

Autentizační služby (ověření PIN, externí a interní autentizace)

Kryptografické služby (šifrování, dešifrování, elektronický podpis)

Podpora zabezpečené komunikace (Secure messaging)

30SmartCard Forum 2008

Transportní vrstva CTL, lokální a síťová

CARD TRANSPORT LAYER (CTL)

CARD TRANSPORT LAYER API

PC/SC IFD

HANDLER

NON PC/SC IFD

HANDLER

REMOTE IFD

HANDLER

IFD 1 IFD 2 IFD 3

IFD 4

IFD HANDLER

CIL

RE

QU

ES

TS

TC

P/IP

REMOTE APPLICATION

PC/SC

RESOURCE

MANAGER

Řešení síťové komunikace v rámci vrstvy CTL

CTL implementuje následující sady funkcí:•Připojení karty•Zasílání příkazů•Zpráva transakcí•Čtení seznamu čteček•Čtení vlastností čtečky (motorová, PIN-pad, apod.)•Čekání na události čteček (vložení a vyjmutí karty)

31SmartCard Forum 2008

Realizace Secure Messaging

Middleware

CTL

CIL – secures each relevant APDU

SAL

APPLICATION LAYER

Pa

ss

ca

llba

ck

En

cip

he

r d

ata

Encipher /

DecipherHSM

Pa

ss

ca

llba

ck

Se

cu

red

co

mm

an

d

De

cip

he

r re

sp

on

se

Se

cu

red

resp

on

se

Bezpečný kanál SM se realizuje na úrovni jednotlivých APDU příkazů podle ISO 7816-4. Vytvoření a použití persistentních i dočasných klíčů je ponecháno na aplikaci. Tento mechanismus umožňuje aplikaci využít bezpečné zařízení (HSM, SAM) pro použití klíčů prostřednictvím volání callback funkcí.Aplikace nepracuje s APDU, používá vysokoúrovňové rozhraní SAL.

32SmartCard Forum 2008

Příklady užití

Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní případy užití UC1 a UC2, které integrují inovativní technologie partnerů projektu:

• čipovou kartu se systémem IAS

• biometrickou autentizaci provedenou na kartě

• bezpečné biometrické zařízení

• vysokorychlostní bezkontaktní komunikaci VHDR

• middleware kompatibilní k ECC

• schéma pro interoperabilitu

V další prezentaci budou klíčové technologie demonstrovány na jednoduchém příkladu

33SmartCard Forum 2008

Zhodnocení mezinárodního projektu

Klady

• projekt mj. prokázal implementovatelnost koncepce ECC

• všechny úkoly a cíle projektu byly týmem řešitele splněny

• tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům

• byly získány cenné kontakty, znalosti a dokumentaci v oblasti tvorby standardů

• vývoj a výzkum přinesl nové znalosti a programové vybavení, které je základem pro komerční SW OKsmart

Zápory

• vyšší náklady a nižší efektivita v mezinárodním týmu

• závislost na plnění cílů partnerů projektu

34SmartCard Forum 2008

Cena Medea+ Board za

nejlepší projekt roku

2007

Výbor MEDEA+ Board udělil

během výročního zasedání

MEDEA+ Forum 2007

v Budapešti cenu „Jean-Pierre

Noblanc Award for Excelence“

za nejlepší projekt roku

projektu Onom@Topic+.

Tato cena byla slavnostně

udělena před 350 delegáty a

členy výboru MEDEA+,

reprezentujících špičku

evropských společností

v mikroelektronice. Je to

historicky poprvé, kdy projekt

čipových karet obdržel tuto

cenu.

35SmartCard Forum 2008

Zhodnocení ECC

ECC je (pouze) technickou specifikací. Na vývoji

standardů se aktivně podílí především Francie,

Německo a ve 3. části ČR.

ECC-2 je z hlediska interoperability čipové

platformy krokem vpřed v porovnání s ISO

7816-4.

ECC-3 tvoří „implementovatelnou“ podmnožinu

standardu ISO 24727, díl 3 a 4, přesto vede na

velmi komplexní middleware

ECC-4 není dosud dokončeno, ale obsahuje

cennou část Profiles for the ECC

36SmartCard Forum 2008

Dotazy a odpovědi

Ivo Rosol

ředitel vývojové divize

OKsystem s.r.o.

www.oksystem.cz

rosol@oksystem.cz

37SmartCard Forum 2008