Spojujeme software, technologie a služby
Ivo Rosolředitel vývojové divize, OKsystem s.r.o.
Čipová platforma pro evropské identifikační dokladyVýsledky projektu výzkumu a vývoje Onom@topic
Kategorizace čipových karet
Podle inteligence• Paměťové karty s jednoduchou logikou
• Mikroprocesorové (smart) karty
Podle komunikačního rozhraní• Kontaktní rozhraní ISO 7816-3
• Kontakní USB rozhraní ISO 7816-12
• Bezkontaktní RF rozhraní na krátkou vzdálenost: ISO 14443-1 až 4
Podle instrukční sady (APDU)• S pevnou instrukční sadou (podpora ISO 7816-4)
• Programovatelné, s aplikačně závislou instrukční sadou (Java Card)
Podle podpory kryptografie• S podporou symetrické kryptografie (DES, 3DES, AES)
• S podporou RSA nebo ECC
2SmartCard Forum 2008
Komunikace s čipovou kartou
2. APDU (Response)
1. APDU (Command)
3SmartCard Forum 2008
Aplikace na straně kartyAplikace na straně počítače
Komunikace dvou počítačů s odlišným technickým vybavením a operačním
systémem. Komunikace je realizována na základě aplikačního protokolu pro
mikroprocesorové čipové karty (ISO 7816 – 4, APDU).
Aplikační protokol je přenášen prostřednictvím kontaktního rozhraní (ISO
7816-3), USB rozhraní (ISO 7816-12) nebo RF rozhraní (ISO 14443) čipové
karty.
Stav techniky a standardizace 1/2
Základní standardy v oblasti čipových karet (ISO
7816) existují řadu let, ale nezaručují plnou
kompatibilitu na aplikační úrovni a využívají
poměrně archaický aplikační protokol (APDU)
Rozvíjí se bezkontaktní komunikace, důležité
aplikace vyžadují vyšší přenosovou rychlost a
vyšší bezpečnost (standard ISO 14443 až
848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace
EAC pro ICAO)
4SmartCard Forum 2008
Stav techniky a standardizace 2/2
• Potřeba lépe definovaných služeb čipové karty
(povinné APDU, povinné autentizační protokoly,
eliminace chování závislých na implementaci) –
tvorba evropského standardu ECC (CEN TC224
WG15)
• Neexistující standard pro middleware, pouze
technické specifikace (zejména) obecných
kryptografických rozhraní (PKCS#11, MS CAPI,
JCA) – tvorba mezinárodního standardu
ISO/IEC 24727
5SmartCard Forum 2008
Identifikace, autentizace, ePodpis (IAS)
IAS jako základ pro elektronickou administrativu
vzešel z iniciativy eEurope Smart Card Charter
(eESC, v rámci akčního plánu EU eEurope)
IAS se stal základem European Citizen Card -
čtyřdílný standard vytvářeném v rámci CEN
6SmartCard Forum 2008
Definice ECC
ECC je personalizovaná čipová karta formátu ID-1
s kontaktním rozhraním ISO 7816-3 (12) nebo
bezkontaktním rozhraním ISO/IEC 14443.
ECC podporuje služby IAS (Identification,
Authentication, Signature)
Specifikaci ECC vytváří CEN
7SmartCard Forum 2008
CEN- European Committee for Standardisation
CEN charakterizuje
• 30 národních členů (ČNI za ČR)
• více než 60.000 expertů
• vydal více než 10.000 evropských standardů
• náklady 800 milionů EUR jsou z 80% kryty společnostmi poskytující experty
CEN vytváří:
• evropské standardy – EN
• technické specifikace – TS
• informativní technické zprávy – TR
• pracovní specifikace – CWA
Práce CEN probíhá v technických výborech
8SmartCard Forum 2008
Technický výbor CEN/TC 224
CEN/TC 224 Machine readable cards, relateddevice interfaces and operations, WG15 - ECC
ECC hardware:
CEN/TS 15480-1 Identification card systems – European Citizen Card– Part 1: Physical, electrical and transport protocolcharacteristics
ECC IAS:
CEN/TS 15480-2 Identification card systems – European Citizen Card– Part 2: Logical data structures and card services
ECC IOP middleware:
CEN/TS 15480-3 Identification card systems – European Citizen Card– Part 3: ECC interoperability using an application interface
ECC profiles:
CEN/TS 15480-4 Identification card systems – European Citizen Card– Part 4: Recommendation for ECC issuance, operation anduse
9SmartCard Forum 2008
Fyzické specifikace ECC 1/2
ECC musí:
• integrovat čipový modul pracující v kontaktním režimu podle ISO 7816 a podle ISO 14443, pokud bude pracovat v bezkontaktním režimu
• obsahovat administrativní údaje držitele (jména...)
• obsahovat černobílou nebo barevnou fotografii a podpis držitele
• obsahovat MRZ podle doporučení ICAO 9303-1
• obsahovat fyzické bezpečnostní elementy alespoň třídy 1 a 2 (3 a 4 doporučeny na národním základě)
10SmartCard Forum 2008
Fyzické specifikace ECC 2/2
Materiál těla karty není předepsán, musí být
kompatibilní s kontaktní, bezkontaktní a
personalizační technologií
Biografická data na lícové straně by měla být
personalizována do materiálu těla karty
Podtisk by měl obsahovat guilloches, duhový tisk,
UV fluorescentní prvky, OVI a mikrotisk nebo
srovnatelnou technologii na datové straně
11SmartCard Forum 2008
Lícová strana ECC
Vlajka
Fotografie
Podpis držitele
Název dokumentu Země
Bezp.prvek OVF
Údaje o držiteliAdministrativní údaje
12SmartCard Forum 2008
Rubová strana ECC
Popis fixních polí na lícové straně
Podpis vydavatele
Adresa pro zaslání ztracené karty
Strojově čitelná zóna (Doc 9303 - 3)
čip ISO 7816
13SmartCard Forum 2008
Funkce ECC
• vizuální i elektronická identifikace a autentizace
držitele s využitím referenčních dat uložených na
kartě
• oboustranná autentizace mezi kartou a
terminálem, pokud požaduje aplikace
• bezpečný přenos dat pomocí kontaktního a
volitelně bezkontaktního rozhraní
• generování elektronického podpisu
• mechanismus řízení přístupu k uloženým datům
• multiaplikační podpora
14SmartCard Forum 2008
Interoperabilita ECC
Elektronická interoperabilita ECC je dosažena ve 3
vrstvách:
• společná sada příkazů a datových struktur
(CEN/TS 15480-2)
• middleware API (CEN/TS 15480-3)
• definice profilů ECC (CEN/TS 15480-4)
15SmartCard Forum 2008
Projekt V&V Onom@topic+
Cílem projektu byl návrh a vývoj kompletní
HW/SW čipové platformy, která umožní
evropským zemím vydávat interoperabilní čipové
dokumenty pro elektronickou identifikaci,
autentizaci, zaručený elektronický podpis a pro
přístup k elektronickým službám.
Projekt současně prakticky ověřil koncepci ECC.
SmartCard Forum 2008 16
2A302 European Smart Card Platform for Citizenship and Mobile Multimedia Applications
Project objectives
Two directions are targeted
provide a complete technical platform
enabling the European Governments to issue
interoperable e-identity documents
develop a complete HW and embedded SW
platform taking full profit of the enormous
potentialities offered by the development of
premium Mobile Services
Project structure
Split in 2 sub-projects and 9 work packages
sub-project A : European Citizen Card
sub-project B : Mobile Multi Media
WP1 : Management and dissemination
WP2 : Use cases
WP3 : Architecture
WP4 : Specifications
WP5 : Infrastructure and interfaces
WP6 : Biometrics
WP7 : Platform development
WP8 : Tools and methodology
WP9 : Demonstrators
Duration : Q2-2005 to Q4-2007
Manpower : 305 man.year
Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands
Partners:
SmartCard Forum 2008 17
Hlavní východiska projektu
V rámci Evropy:
• Definované služby (na vyšší úrovni) čipové platformy jsou Identifikace, Autentizace a elektronický podpis (Signature) – IAS podle ECC-2.
• Tyto služby musí být jednoduchým, otevřeným a interoperabilním způsobem dostupné klientským aplikacím (zajišťuje middleware podle ECC-3)
• Měla by být zachována širší mezinárodní interoperabilita na základě definice rozumné implementace ISO 24727 (ECC-3 podmnožina ISO)
18SmartCard Forum 2008
Spojujeme software, technologie a služby
Ivo Rosolředitel vývojové divize, OKsystem s.r.o.
Operační systém čipové karty ECCOnom@Topic IAS
Onom@topic - operační systém
Aplikace IAS rezidentní na čipové kartě tvoří
operační systém čipové platformy
Onom@Topic+.
Aplikace vychází z publikovaného standardu
CEN/TS 15480-2.
20SmartCard Forum 2008
Základní komponenty IAS
• Hierarchický souborový systém podle ISO 7816-
4
• Bezpečnostní architektura a služby
• Příkazová sada
21SmartCard Forum 2008
Souborový systém IAS
• Implementace FS pomocí komponent:
• root structure
• application directory list array
• directory list array
• file list array
• data blocks array
• free space stricture
• Typy EF: Transparent, Linear fixed
• Operace v systému souborů: inicializace,
vytvoření MF, vytvoření DF, vytvoření EF,
smazání DF, smazání EF
22SmartCard Forum 2008
Bezpečnostní služby IAS
• Symetric Device Authentication
• Secure Messaging
• Digital Signature
• Client/Server Authentication
• Encryption Key Decipherment
• Card Verifiable Certificate Verification
• Key Transport Protocol
23SmartCard Forum 2008
Příkazová sada IAS
• Sada příkazů pro souborový systém
– CREATE FILE, SELECT, READ BINARY, UPDATE BINARY, READ RECORD, UPDATE RECORD, APPEND RECORD, ACTIVATE FILE, DEACTIVATE FILE, TERMINATE DF, TERMINATE EF, DELETE EF
• Sada příkazů pro bezpečnostní služby
– GENERATE ASYMETRIC KEY PAIR, GET CHALLEGE, INTERNAL AUTHENTICATE, EXTERNAL AUTHENTICATE, MUTUAL AUTHENTICATE, VERIFY, CHANGE REFERENCE DATA, RESET RETRY COUNTER, MANAGE SECURITY ENVIRONMENT, PERFORM SECURITY OPERATION
• Sada příkazů pro komunikaci
– GET RESPONSE
24SmartCard Forum 2008
Spojujeme software, technologie a služby
Ivo Rosolředitel vývojové divize, OKsystem s.r.o.
Software pro interoperabilituOnom@Topic middleware
Návrh ISO standardů pro middleware
ISO/IEC FDIS 24727-1 Identification cards --Integrated circuit card programming interfaces --Part 1: Architecture
ISO/IEC FCD 24727-2 Identification cards --Integrated circuit card programming interfaces --Part 2: Generic card interface
ISO/IEC CD 24727-3 Identification cards --Integrated circuit card programming interfaces --Part 3: Application interface
ISO/IEC NP 24727-4 Identification Cards --Programming Interfaces for Integrated CircuitCards -- Part 4: API administration
ISO/IEC NP 24727-5 Identification Cards --Programming Interfaces for Integrated CircuitCards -- Part 5: Testing
26SmartCard Forum 2008
ISO/IEC FDIS 24727-1 – architektura
Aplikace rezidentní na kartě
Odvozeno z CEN
TC224 WG15 spec.
Generic Card Access Layer (GCAL) Odvozeno z ISO 24727-2
Externí aplikace
Service Access Layer (SAL)-
Rozhraní čipové karty (HCE)
Generické rozhraní (GCE)
Aplikační rozhraní (API)
Recoverable data
(Access Control List,
Elements of Identities,
Data Sets for IOP)
Application Capabilities Descriptor
DF.CIA
(ISO 7816-15)
EF.DIR
Poskytovatel 1 Odvozeno zISO 24727-3
Odvozeno z ISO 24727-3
ICC
Odvozeno zISO 24727-2
Odvozeno z ISO 24727-3
Poskytovatel 2
Poskytovatel 3
Poskytovatel 4
27SmartCard Forum 2008
Onom@Topic middleware
CARD TRANSPORT LAYER (CTL)
CARD INSTRUCTION LAYER (CIL)
SERVICES ACCESS LAYER (SAL)
APPLICATION LAYER
IFD 1
CARD
IFD 2
CARD
IFD 3
CARD
MIDDLEWARE
SAL API závislé na jazyku
PC/SC, TCP/IP
CIL zajišťuje nezávislost na systému karty
Aplikace IAS podle CEN TC224/WG15 rezidentní na kartě
CIL API
CTL API
SAL poskytuje standardní vysokoúrovňové aplikační rozhraní, izoluje vývojáře aplikací od technických detailů čipových karet. SAL vyžaduje IAS na čipové kartě
CTL zajišťuje nezávislost na čtecím zařízení a transportním prostředí
28SmartCard Forum 2008
Servisní vrstva SAL
CARD TRANSPORT LAYER (CTL)
CARD INSTRUCTION LAYER (CIL)
SERVICES ACCESS LAYER (SAL)
APPLICATION LAYER
IFD 1
CARD
IFD 2
CARD
IFD 3
CARD
MIDDLEWARE
Servisní vrstva pracuje se seznamem aplikací na čipové kartě a poskytuje jejich služby klientským aplikacím. Rozhranní vrstvy je založeno na návrhu standardu ISO/IEC CD 24727-3. Služby servisní vrstvy poskytují následující sady funkcí:•Čtení seznamu aplikací•Čtení / aktualizace / vytváření / mazání identit•Čtení / aktualizace / vytváření / mazání kryptografických objektů•Čtení / aktualizace / vytváření / mazání množin datových objektů•Čtení přístupových omezení a podmínek pro akce s danými entitami (zápis, čtení, použití)•Šifrování a dešifrování•Ověření podpisu a import veřejného klíče pro autentizaci•Elektronický podpis•Komplexní autentizační protokoly•Bezpečná komunikace (Secure Messaging)
29SmartCard Forum 2008
Instrukční vrstva CIL
CARD TRANSPORT LAYER (CTL)
CARD INSTRUCTION LAYER (CIL)
SERVICES ACCESS LAYER (SAL)
APPLICATION LAYER
IFD 1
CARD
IFD 2
CARD
IFD 3
CARD
MIDDLEWARE
CIL zajišťuje nezávislost na systému karty, maskuje rozdíly mezi jednotlivými typy karet kompatibilními k ISO 7816-4. Rozhraní instrukční vrstvy jsou proprietární.
CIL implementuje následující sady funkcí:
Souborové služby (změna adresáře, čtení parametrů souborů, čtení dat, zápis z/do souboru)
Autentizační služby (ověření PIN, externí a interní autentizace)
Kryptografické služby (šifrování, dešifrování, elektronický podpis)
Podpora zabezpečené komunikace (Secure messaging)
30SmartCard Forum 2008
Transportní vrstva CTL, lokální a síťová
CARD TRANSPORT LAYER (CTL)
CARD TRANSPORT LAYER API
PC/SC IFD
HANDLER
NON PC/SC IFD
HANDLER
REMOTE IFD
HANDLER
IFD 1 IFD 2 IFD 3
IFD 4
IFD HANDLER
CIL
RE
QU
ES
TS
TC
P/IP
REMOTE APPLICATION
PC/SC
RESOURCE
MANAGER
Řešení síťové komunikace v rámci vrstvy CTL
CTL implementuje následující sady funkcí:•Připojení karty•Zasílání příkazů•Zpráva transakcí•Čtení seznamu čteček•Čtení vlastností čtečky (motorová, PIN-pad, apod.)•Čekání na události čteček (vložení a vyjmutí karty)
31SmartCard Forum 2008
Realizace Secure Messaging
Middleware
CTL
CIL – secures each relevant APDU
SAL
APPLICATION LAYER
Pa
ss
ca
llba
ck
En
cip
he
r d
ata
Encipher /
DecipherHSM
Pa
ss
ca
llba
ck
Se
cu
red
co
mm
an
d
De
cip
he
r re
sp
on
se
Se
cu
red
resp
on
se
Bezpečný kanál SM se realizuje na úrovni jednotlivých APDU příkazů podle ISO 7816-4. Vytvoření a použití persistentních i dočasných klíčů je ponecháno na aplikaci. Tento mechanismus umožňuje aplikaci využít bezpečné zařízení (HSM, SAM) pro použití klíčů prostřednictvím volání callback funkcí.Aplikace nepracuje s APDU, používá vysokoúrovňové rozhraní SAL.
32SmartCard Forum 2008
Příklady užití
Pro demonstraci a prokázání správnosti koncepce byly v rámci projektu demonstrovány dva komplexní případy užití UC1 a UC2, které integrují inovativní technologie partnerů projektu:
• čipovou kartu se systémem IAS
• biometrickou autentizaci provedenou na kartě
• bezpečné biometrické zařízení
• vysokorychlostní bezkontaktní komunikaci VHDR
• middleware kompatibilní k ECC
• schéma pro interoperabilitu
V další prezentaci budou klíčové technologie demonstrovány na jednoduchém příkladu
33SmartCard Forum 2008
Zhodnocení mezinárodního projektu
Klady
• projekt mj. prokázal implementovatelnost koncepce ECC
• všechny úkoly a cíle projektu byly týmem řešitele splněny
• tým řešitele získal respekt u partnerů projektu a byl přizván k dalším mezinárodním projektům
• byly získány cenné kontakty, znalosti a dokumentaci v oblasti tvorby standardů
• vývoj a výzkum přinesl nové znalosti a programové vybavení, které je základem pro komerční SW OKsmart
Zápory
• vyšší náklady a nižší efektivita v mezinárodním týmu
• závislost na plnění cílů partnerů projektu
34SmartCard Forum 2008
Cena Medea+ Board za
nejlepší projekt roku
2007
Výbor MEDEA+ Board udělil
během výročního zasedání
MEDEA+ Forum 2007
v Budapešti cenu „Jean-Pierre
Noblanc Award for Excelence“
za nejlepší projekt roku
projektu Onom@Topic+.
Tato cena byla slavnostně
udělena před 350 delegáty a
členy výboru MEDEA+,
reprezentujících špičku
evropských společností
v mikroelektronice. Je to
historicky poprvé, kdy projekt
čipových karet obdržel tuto
cenu.
35SmartCard Forum 2008
Zhodnocení ECC
ECC je (pouze) technickou specifikací. Na vývoji
standardů se aktivně podílí především Francie,
Německo a ve 3. části ČR.
ECC-2 je z hlediska interoperability čipové
platformy krokem vpřed v porovnání s ISO
7816-4.
ECC-3 tvoří „implementovatelnou“ podmnožinu
standardu ISO 24727, díl 3 a 4, přesto vede na
velmi komplexní middleware
ECC-4 není dosud dokončeno, ale obsahuje
cennou část Profiles for the ECC
36SmartCard Forum 2008
Dotazy a odpovědi
Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
www.oksystem.cz
37SmartCard Forum 2008