�ݺ�ߣ

Spojujeme software, technologie a služby

Identifikační čipové doklady s biometrickými prvky
Technické řešení bezpečnosti

Ivo Rosol
ředitel vývojové divize, OKsystem s.r.o.

ID doklady s čipem
Technologie mikroprocesorových čipových karet
se standardně používá zejména v oblastech:
• SIM karet systému GSM
• platebních karet systému EMV
V současné době nastupuje plošná aplikace v
oblastech:
• cestovních a identifikačních dokladů
• fyzického a logického přístupu a zaručeného
elektronického podpisu

Workshop - normy pro identifikaci osob 2

Kontaktní vs. RF rozhraní
Pro cestovní a ID doklady se obvykle využívá RF
rozhraní. Důvodem je:
• zvýšení spolehlivosti
• jednoduchost obsluhy
• vyšší přenosová rychlost
Nevýhodou jsou nové bezpečnostní hrozby, které
se eliminují pomocí vhodně navržených
kryptografických technologií a schémat.


RF komunikace u ID dokladů
ID doklady s RF přenosem nemají vlastní zdroj
energie, kterou musí čerpat z pole antény
čtecího zařízení. Tato energie sice pokrývá
spotřebu čipu, nestačí ale na aktivní vysílání.
Pro RF komunikaci se využívá standard ISO
14443, díl 1-4


Pro napájení karet vysílá terminál nosný sinusový
signál o frekvenci 13,56 MHz, pole čtečky 1,5
A/m < H < 7,5 A/m.
Pro vysílání dat čtečkou na kartu jsou data
kódována modifikovanou Millerovou metodou,
výsledek je poté amplitudově modulován na
nosný signál s hloubkou modulace 100 %.
Rychlosti přenosu jsou 106, 212, 424 a 848
kbit/s


Pro přenos dat z čipu do čtečky čip pasivně
„vysílá“ data s využitím zátěžové modulace.
Anténa čtečky a karty tvoří VF transformátor,
kde změny zátěže sekundárního okruhu (karty)
se promítají do primárního okruhu (čtečky) a
jsou interpretovány jako 0 a 1 „vysílané“ kartou.
Data jsou kódována metodou Manchester, a
modulována na zátěžovou subnosnou 848 kHz


Útoky na RF komunikaci
Radiový přenos:
• komunikace s pasem (do 25 cm) – útok postrčením
• lze odposlouchávat relaci oprávněné čtečky (jednotky m)
• aktivní komunikace se čtečkou (desítky m)
• lze poznat, že v poli čtečky je pas, nikoli jiné RFID zařízení, neboť
lze vybrat aplikaci ICAO s kódem A0 00 00 02 47 10 01


Útok na UID
ISO 14443 specifikuje antikolizní mechanismus pro výběr čipu v
elektromagnetickém poli čtečky na základě UID (jednoznačného
čísla čipu). Při inicializaci vyšle čtečka REQ. Každý čip v poli čtečky
v závislosti na hodnotě svého UID vysílá nebo naslouchá vysílání
ostatních. Čtečka může zvolit čip, se kterým chce komunikovat,
případně odeslat příkaz HALT.
Statické UID se běžně využívá v běžných RFID aplikacích (přístupové
systémy....). V případě e-pasů by ale mohlo vést k trasování pasu,
proto je nahrazeno dynamickým UID, které je konstantní pouze po
dobu relace.
UID pasivně „vysílá“ čip, ale aktivně jej zopakuje čtečka (odposlech 10
m)


Kryptografické zabezpečení dokladů
Metoda P/V Výhoda Nevýhoda
PA P Autenticita LDS Neodstraňuje klonování a
substituci čipu
MRZ V Důkaz, že pasová knížka a Neodstraňuje současné
LDS patří k sobě kopírování LDS a pasové knížky
AA V Zabraňuje klonování a Vyžaduje kryptografický čip
výměně čipu
BAC V Zabraňuje neoprávněnému Vyžaduje kryptografický čip
čtení a odposlouchávání
komunikace mezi čipem a
oprávněným terminálem
EAC v Zabraňuje neoprávněnému Vyžaduje komplexní
přístupu k citlivým infrastrukturu PKI
biometrickým údajům
ENC V Zabezpečuje citlivé Vyžaduje komplexní správu klíčů
biometrickým údajům


Objekty a klíče uložené na čipu
• MF
– DF-LDS
• KENC (klíč pro BAC, bezpečná paměť)
• KMAC (klíč pro BAC, bezpečná paměť)
• KPrAA (privátní klíč pro AA, bezpečná paměť)
• KPubCVCA(veřejný klíč NVA pro TA, bezpečná paměť)
• EF-COM (verze LDS, seznam DG)
• EF-SOD (otisky DG, podpis, CDS)
• EF-DG1 (MRZ)
• EF-DG2 (fotografie)
• EF-DG3 (otisky prstů)
• EF-DG14 (data pro autentizaci čipu v rámci EAC)
• EF-DG15 (data pro AA)


BAC
Současný pas obsahuje osobní údaje (na datové
stránce, ve strojově čitelné zóně MRZ a na čipu
v DG1), a méně citlivé biometrické osobní údaje
(fotografie na datové stránce a na čipu v DG2),
které jsou přístupné i z jiných zdrojů.
Tyto méně citlivé údaje jsou chráněny základním
řízením přístupu BAC – Basic Access Control.
BAC zaručuje, že inspekční systém má fyzický
přístup k (otevřenému) pasu


Údaje z MRZ pro BAC

číslo pasu datum narození konec platnosti
včetně výplně a kontrolní číslice a kontrolní číslice
a kontrolní číslice


Odvození klíčů pro BAC
c=1 pro ENC
číslo pasu datum narození konec platnosti
c=2 pro MAC

Hash

1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Ka Kb N/A

S pomocí Ka pro šifrování a Kb pro MAC se s využitím 3DES algoritmu
provede vzájemná autentizace, odvodí klíče relace pro SM a vytvoří SM
relace


Slabiny BAC
• Symetrické klíče jsou odvozeny z dat MRZ,
nikoli z náhodného materiálu (seed)
• Struktura MRZ značně redukuje entropii
• je možný databázový („slovníkový“) útok
Protiopatření:
• používat náhodně generovaná čísla pasů
• používat alfanumerická čísla pasů


Pasivní autentizace
Data uložená v čipu jsou kryptograficky
zabezpečena „elektronickým podpisem“
vydavatele pasu (DS - Document Signer)
uloženým SOD. Tento podpis je možné ověřit s
pomocí certifikátu DS, který vydává CSCA.
Pro každou datovou skupinu DGx se spočítá
hodnota otisku (hash) a uloží do objektu
LDSSecurityObject, který je součástí podepsané
CMS zprávy.


Ověření PA
Pro české pasy se používá podpisové schéma
založené na RSA s délkou modulu DS 2048 bitů
a kódováním EMSA_PSS dle PKCS#1. Modul
klíče CSCA je 3072 bitů.
Certifikáty CSCA se vyměňují mezi státy s
využitím důvěryhodných diplomatických služeb.
Certifikáty DS jsou (nepovinně) uloženy v CMS
zprávě uvnitř SOD, nebo vym+ňovány
bilaterálně nebo publikovány v adresářových
službách ICAO.


PKI pro PA

Země A (ČR) Bilater. výměna Země B
(MZv)
CSCA CVCA
MV NIMS
(NCA) (NVA)

STC DS DS DS

Cizinecká policie

IS IS IS

ICAO
PKD

Útok klonováním čipu
Doklad chráněný pouze BAC a PA lze kompletně
zkopírovat, včetně SOD (klonování čipu).
• Ohrožení inspekčních systémů při klonování
čipů a například následné modifikaci fotografie
(JPEG 2000 buffer overrun)
• Zničení čipu v MV troubě a použití čipu
klonovaného z jiného pasu, nebo pouze vložení
RF čipové karty


Aktivní autentizace
AA znemožňuje kompletní klonování čipu
• AA je založena na autentizaci čipu s využitím
podpisového schématu založeného na RSA podle ISO
9796-2. Klíče jsou vygenerovány při personalizaci,
soukromý klíč je uložen v bezpečné paměti čipu, veřejný
klíč je uložen v DG15 a chráněn Pasivní autentizací
• Operační systém čipu žádným způsobem neumožní
kopírovat soukromý klíč


Aktivní autentizace
AA využívá protokol výzva-odpověď mezi čipem a IS:
• IS zašle čipu náhodně vygenerovanou výzvu V s
požadavkem na její podepsání privátním klíčem
• Čip vygeneruje náhodnou hodnotu U, spočítá otisk
h= SHA-1(V||U) a vrátí kryptogram s=RSA(h)
• IS ověří podpis pomocí veřejného klíče z DG15


Přepojovací útok na AA
Při ponechání pasu v recepci hotelu lze kompletně
číst a zkopírovat obsah pasu.
S kopií pasu lze při překročení hranice provést
rellay attack – po BAC provést přesměrování z
falešného pasu na AA provedenou pasem na
recepci hotelu. K tomu se využije například IP
kanál a internet.


Zneužití AA sémantikou výzvy
Pokud inspekční systém místo náhodné výzvy V
použije výzvu s nějakým významem, získá
„podpis“ čipu k této výzvě.
Například V=H(SignIS(MRZ||Datum||Čas||Místo))
čip vrátí SignICC(V||U), ověřitelný důkaz, že čip
(držitel pasu) byl v Datum:Čas v daném místě


EAC – rozšířené řízení přístupu
Budoucí cestovní a identifikační doklady budou obsahovat novou
generaci bezpečnostního mechanismu, zejména v souvislosti se
zavedením otisků prstů.

• Pasy vydávané členskými státy EU po 28.6. 2009 (v ČR po 1.5.
2008) budou obsahovat velmi citlivé biometrické osobní údaje -
otisky prstů, které nejsou běžně dostupné z jiných zdrojů a budou
chráněny rozšířeným řízením přístupu EAC – Extended Access
control. Tato ochrana je podle rozhodnutí Evropské komise K (2005)
409 povinná a její řešení musí být v souladu s Nařízením Rady EU
č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v
cestovních dokladech vydávaných členskými státy (dále EAC)
• ICAO v současné době nemá formální standard pro EAC
• Evropská komise a ICAO odkazují na technickou zprávu TR-03110
německého BSI „Advanced Security Mechanism for Machine
Readable Travel Documents – Extended Access Control
• Členské státy přijmou společnou Certifikační politiku, kterou
vypracovala skupina EC - Article 6, BIG


EAC
EAC – rozšířené řízení přístupu. EAC je využito
místo AA, používá kvalitnější klíče pro restart
SM, neumožňuje trasovat čip a řídí přístup k
DG3 případně DG4
EAC se skládá ze dvou pokročilých
kryptografických mechanismů:
• Autentizace čipu (pasu) a
• Autentizace Terminálu (Inspekčního systému)


Autentizace čipu
• Alternativou k Aktivní autentizaci, zaručuje, že čip není
klonován (kopie kompletního datového obsahu čipu,
včetně podpisu SoD)
• Zabraňuje útoku formou sémantiky výzvy, která
umožňuje získat ověřitelné trasování pasu (kdy a kde se
vyskytoval uživatel pasu)
• Umožňuje vygenerovat SM klíče s vysokou entropií,
které nejsou odvozeny ze strojově čitelné zóny čipu
• Využívá algoritmus Diffie-Hellman (nebo ECDH) pro
určení symetrických klíčů unikátních pro tuto relaci
• Autenticita čipu je ověřena implicitně z faktu, že čip je
schopen využívat SM klíče, tudíž klíčový materiál použitý
pro DH nebo ECDH byl autentický


Autentizace terminálu
• Využívá PKI pro autentizaci a autorizaci IS
• Založeno na protokolu výzva-odpověď
• Sémantika výzvy neznamená nebezpečí
• Veškerá komunikace probíhá v rámci bezpečné
komunikace založené na SM v módu Encrypt-
then-Authenticate a šifrovacích klíčích s
vysokou entropií (3DES2)


PKI 2 pro EAC

Země A (ČR) Země B

CVCA Křížová certifikace CVCA
MV
(NVA) (NVA)

DV (VA) DV (VA) DV (VA) DV (VA)

IS IS IS IS IS IS IS IS

Cizinecká policie


PKI pro EAC - CVCA
• Každá země zřizuje právě jednu Národní verifikační autoritu - CVCA
(Country Verifying Certification Authority)
• CVCA je kořenová certifikační autorita, může být součástí infrastruktury
CSCA, musí mít jiné klíčové páry než CSCA
• Tvoří singulární bod důvěry pro všechny pasy (MRTD) vydávané domácí
zemí (veřejný klíč CVCA uložen v DG14 chráněné PA)
• Vydává certifikáty pro Autority pro ověřování dokumentů (DV) ve vlastní
zemi i pro cizí země, tím umožňuje přístup k chráněným datům pasů pro
inspekční systémy
• Nastavuje na nejvyšší úrovni přístupová práva k chráněným údajům pasů
pro jednotlivé země
• Relativně často (vzhledem k životnosti pasu) mění svoje klíče (6 měsíců – 3
roky), k tomuto účelu vydává spojovací certifikáty (link certificate), které
umožní jednotlivým pasům aktualizovat si veřejný klíč CVCA
• CVCA může být provozována stejnou organizací jako CSCA – vydavatelem
cestovních dokladů (u nás MV)


PKI pro EAC - DV
• Každá země, která chce číst chráněná data z pasů (domácích i ostatních
zemí) musí provozovat alespoň jednu VA - Verifikační autoritu – (DV -
Document Verifier)
• VA ve skutečnosti neprovádí ověřování pasů, ale je certifikační autoritou,
která vydává certifikáty pro inspekční systémy – IS
• VA je správcem domény inspekčních systémů ve své zemi, vydává jim
certifikáty umožňující přístup k chráněným údajům pasů
• VA je autorizován k vydávání certifikátů pro „své“ IS na základě certifikátu
od NVA
• VA musí požádat o certifikát od NVA každé země, jejíž pasy mají být
kontrolovány IS v doméně VA (například pro kontrolu německých pasů musí
česká VA požádat německou NVA o vydání certifikátu, který bude
opravňovat českou VA k vydání certifikátů pro české IS ke kontrole
německých pasů)
• Doba platnosti certifikátů VA je 14 dnů – 3 měsíce
• VA může omezit práva a dobu platnosti certifikátů pro své IS
• VA je typicky provozována organizací zodpovědnou za kontrolu cestovních
dokladů (u nás Policie ČR)


PKI pro EAC - IS
• Inspekční systém dostává certifikáty pouze od
VA své země
• IS musí mít samostatný certifikát pro pasy každé
země, kterou kontroluje
• Certifikáty IS mají velmi krátkou dobu platnosti
(1 den až 1 měsíc) kvůli teoretické možnosti
krádeže IS
• IS provádí vlastní kontrolu pasů s využitím
Extended Access Control


PKI pro EAC - certifikáty
• Všechny certifikáty v rámci EAC PKI (NVA, VA,
IS)musí být ověřitelné čipem pasu – CVC Card
Verifiable Certificate
• Všechny certifikáty v řetězu musí mít stejný
algoritmus elektronického podpisu, délky klíčů a
doménové parametry
• Spojovací certifikáty NVA umožňují měnit klíče,
případně další parametry podpisového
schématu


Obsah certifikátu
Certifikáty jsou typu CVC, kódovány metodou TLV
(Tag-Length-Value)
Data obsažená v certifikátu:
• Označení certifikační autority
• Veřejný klíč
• Označení držitele
• Autorizace držitele
• Efektivní datum certifikátu (od:)
• Datum konce platnosti certifikátu (do:)
• „Podpis“ certifikační autority


Doby platnosti certifikátů
Subjekt Minimum Maximum

CVCA certificate – 6 měsíců 3 roky
osvědčení
vnitrostátního
kontrolního subjektu
DV certificate – 2 týdny 3 měsíce
osvědčení subjektu
ověřujícího platnost
dokladů

IS certificate – 1 den 1 měsíc
osvědčení kontrolního
systému


Ověřování certifikátů
• IS musí zaslat čipu řetěz certifikátů, který začíná
spojovacími certifikáty, certifikátem VA a končí
certifikátem IS
• Čip si musí interně aktualizovat klíče NVA na
základě spojovacích certifikátů
• Čip musí odmítnout certifikáty po době platnosti.
Čip nemá hodiny reálného času, používá odhad
času, který si aktualizuje při každé hraniční
kontrole na nejvyšší efektivní datum ověřených
certifikátů NVA, VA a domovských IS.


Kódování přístupových práv
76 543210
Všechny ------
xx Role
certifikáty NVA
11 ------
obsahuji
Certificate ------
10 VA domácí
Holder
01 ------ VA cizí
Authorisation: IS
00 ------
-- xxxxxx
11000011 – NVA
Práva
01000011 – 0000--
-- DV rezervováno
00000001 – IS duhovka
-- ----1-
00000001 efektivní práva
-- -----1 Otisk prstu


Spojovací certifikát
Spojovací certifikát (Link certificate) umožňuje:
• Přenos důvěry od původního veřejného klíče
CVCA k novému klíči
• Změnu algoritmů, délek klíčů a parametrů
Principiálně osvědčuje původním soukromým
klíčem nový veřejný klíč v certifikátu.


Interoperabilita vyžaduje testy
Probíhají mezinárodní testy konformity čipů a OS,
testy křížové interoperability čipů + OS a čteček
(IS) a testy interoperability PKI pro EAC.
Praha bude hostit 7. – 12. 9. 2008 celosvětovou
akci pořádanou MV ČR – testy, konferenci a
výstavu technologií a služeb pro cestovní
doklady , viz http://www.e-passports2008.org


Závěr
Cestovní doklady s čipem a biometrickými doklady jsou
nejen novou, velmi významnou aplikací, ale současně i
celosvětovou „laboratoří“, která přináší velký pokrok ve
vývoji čipové technologie, aplikované kryptografie, tvorby
standardů a testů.
Zprovoznění celé infrastruktury pro cestovní doklady a EAC
je dosud bezprecedentní celosvětovou implementací PKI
a zdá se, že cestovní a budoucí identifikační doklady
jsou onou dlouho očekávanou „killer application“,
nezbytnou pro rozvoj dalších identifikačních a
autorizačních čipových dokladů, PKI a infrastruktury pro
e-government.


Dotazy a odpovědi

Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
www.oksystem.cz
rosol@oksystem.cz


�ݺ�ߣ

SmartCard Forum 2008 - Identifikační čipové doklady

More Related Content

SmartCard Forum 2008 - Identifikační čipové doklady