�ݺ�ߣ

Spojujeme software, technologie a služby

Čipová platforma pro evropské identifikační doklady
Výsledky projektu výzkumu a vývoje Onom@topic

Ivo Rosol
ředitel vývojové divize, OKsystem s.r.o.

Kategorizace čipových karet

Podle inteligence
• Paměťové karty s jednoduchou logikou
• Mikroprocesorové (smart) karty
Podle komunikačního rozhraní
• Kontaktní rozhraní ISO 7816-3
• Kontakní USB rozhraní ISO 7816-12
• Bezkontaktní RF rozhraní na krátkou vzdálenost: ISO
14443-1 až 4
Podle instrukční sady (APDU)
• S pevnou instrukční sadou (podpora ISO 7816-4)
• Programovatelné, s aplikačně závislou instrukční sadou
(Java Card)
Podle podpory kryptografie
• S podporou symetrické kryptografie (DES, 3DES, AES)
• S podporou RSA nebo ECC

SmartCard Forum 2008 2

Komunikace s čipovou kartou

Komunikace dvou počítačů s odlišným technickým vybavením a operačním
systémem. Komunikace je realizována na základě aplikačního protokolu pro
mikroprocesorové čipové karty (ISO 7816 – 4, APDU).
Aplikační protokol je přenášen prostřednictvím kontaktního rozhraní (ISO
7816-3), USB rozhraní (ISO 7816-12) nebo RF rozhraní (ISO 14443) čipové
karty.

Aplikace na straně počítače Aplikace na straně karty

1. APDU (Command)

2. APDU (Response)


Stav techniky a standardizace 1/2
Základní standardy v oblasti čipových karet (ISO
7816) existují řadu let, ale nezaručují plnou
kompatibilitu na aplikační úrovni a využívají
poměrně archaický aplikační protokol (APDU)
Rozvíjí se bezkontaktní komunikace, důležité
aplikace vyžadují vyšší přenosovou rychlost a
vyšší bezpečnost (standard ISO 14443 až
848kb/s, VHDR 1.7, 3.4 a 5.1Mb/s, specifikace
EAC pro ICAO)


Stav techniky a standardizace 2/2
• Potřeba lépe definovaných služeb čipové karty
(povinné APDU, povinné autentizační protokoly,
eliminace chování závislých na implementaci) –
tvorba evropského standardu ECC (CEN TC224
WG15)
• Neexistující standard pro middleware, pouze
technické specifikace (zejména) obecných
kryptografických rozhraní (PKCS#11, MS CAPI,
JCA) – tvorba mezinárodního standardu
ISO/IEC 24727


Identifikace, autentizace, ePodpis (IAS)
IAS jako základ pro elektronickou administrativu
vzešel z iniciativy eEurope Smart Card Charter
(eESC, v rámci akčního plánu EU eEurope)
IAS se stal základem European Citizen Card -
čtyřdílný standard vytvářeném v rámci CEN


Definice ECC
ECC je personalizovaná čipová karta formátu ID-1
s kontaktním rozhraním ISO 7816-3 (12) nebo
bezkontaktním rozhraním ISO/IEC 14443.
ECC podporuje služby IAS (Identification,
Authentication, Signature)

Specifikaci ECC vytváří CEN


CEN- European Committee for Standardisation
CEN charakterizuje
• 30 národních členů (ČNI za ČR)
• více než 60.000 expertů
• vydal více než 10.000 evropských standardů
• náklady 800 milionů EUR jsou z 80% kryty
společnostmi poskytující experty
CEN vytváří:
• evropské standardy – EN
• technické specifikace – TS
• informativní technické zprávy – TR
• pracovní specifikace – CWA
Práce CEN probíhá v technických výborech

Technický výbor CEN/TC 224
CEN/TC 224 Machine readable cards, related
device interfaces and operations, WG15 - ECC
ECC hardware:
CEN/TS 15480-1 Identification card systems – European Citizen Card
– Part 1: Physical, electrical and transport protocol
characteristics
ECC IAS:
– Part 2: Logical data structures and card services
ECC IOP middleware:
– Part 3: ECC interoperability using an application interface
ECC profiles:
– Part 4: Recommendation for ECC issuance, operation and
use


Fyzické specifikace ECC 1/2
ECC musí:
• integrovat čipový modul pracující v kontaktním
režimu podle ISO 7816 a podle ISO 14443,
pokud bude pracovat v bezkontaktním režimu
• obsahovat administrativní údaje držitele
(jména...)
• obsahovat černobílou nebo barevnou fotografii a
podpis držitele
• obsahovat MRZ podle doporučení ICAO 9303-1
• obsahovat fyzické bezpečnostní elementy
alespoň třídy 1 a 2 (3 a 4 doporučeny na
národním základě)

Fyzické specifikace ECC 2/2
Materiál těla karty není předepsán, musí být
kompatibilní s kontaktní, bezkontaktní a
personalizační technologií
Biografická data na lícové straně by měla být
personalizována do materiálu těla karty
Podtisk by měl obsahovat guilloches, duhový tisk,
UV fluorescentní prvky, OVI a mikrotisk nebo
srovnatelnou technologii na datové straně


Lícová strana ECC

Vlajka Název dokumentu Země

Údaje o držiteli
Administrativní údaje
Fotografie

Bezp.
prvek OVF

Podpis držitele


Rubová strana ECC

Popis fixních polí na lícové straně

čip ISO 7816
Podpis vydavatele

Adresa pro zaslání ztracené karty

Strojově čitelná zóna (Doc 9303 - 3)


Funkce ECC
• vizuální i elektronická identifikace a autentizace
držitele s využitím referenčních dat uložených na
kartě
• oboustranná autentizace mezi kartou a
terminálem, pokud požaduje aplikace
• bezpečný přenos dat pomocí kontaktního a
volitelně bezkontaktního rozhraní
• generování elektronického podpisu
• mechanismus řízení přístupu k uloženým datům
• multiaplikační podpora


Interoperabilita ECC
Elektronická interoperabilita ECC je dosažena ve 3
vrstvách:
• společná sada příkazů a datových struktur
(CEN/TS 15480-2)
• middleware API (CEN/TS 15480-3)
• definice profilů ECC (CEN/TS 15480-4)


Projekt V&V Onom@topic+
Cílem projektu byl návrh a vývoj kompletní
HW/SW čipové platformy, která umožní
evropským zemím vydávat interoperabilní čipové
dokumenty pro elektronickou identifikaci,
autentizaci, zaručený elektronický podpis a pro
přístup k elektronickým službám.
Projekt současně prakticky ověřil koncepci ECC.


2A302 European Smart Card Platform for Citizenship
and Mobile Multimedia Applications

Project structure
Project objectives  Split in 2 sub-projects and 9 work packages
Two directions are targeted
 sub-project A : European Citizen Card
 sub-project B : Mobile Multi Media
 provide a complete technical platform WP1 : Management and dissemination
enabling the European Governments to issue WP2 : Use cases
interoperable e-identity documents WP3 : Architecture
WP4 : Specifications
WP5 : Infrastructure and interfaces
 develop a complete HW and embedded SW
platform taking full profit of the enormous WP6 : Biometrics
potentialities offered by the development of WP7 : Platform development
premium Mobile Services WP8 : Tools and methodology
WP9 : Demonstrators

Duration : Q2-2005 to Q4-2007
Manpower : 305 man.year
Countries : Czech Republik - France – Hungary - Italy – Spain – Sweden - The Netherlands

Partners:


Hlavní východiska projektu
V rámci Evropy:
• Definované služby (na vyšší úrovni) čipové
platformy jsou Identifikace, Autentizace a
elektronický podpis (Signature) – IAS podle
ECC-2.
• Tyto služby musí být jednoduchým, otevřeným a
interoperabilním způsobem dostupné klientským
aplikacím (zajišťuje middleware podle ECC-3)
• Měla by být zachována širší mezinárodní
interoperabilita na základě definice rozumné
implementace ISO 24727 (ECC-3 podmnožina
ISO)



Operační systém čipové karty ECC
Onom@Topic IAS

Ivo Rosol

Onom@topic - operační systém
Aplikace IAS rezidentní na čipové kartě tvoří
operační systém čipové platformy
Onom@Topic+.
Aplikace vychází z publikovaného standardu
CEN/TS 15480-2.


Základní komponenty IAS
• Hierarchický souborový systém podle ISO 7816-
4
• Bezpečnostní architektura a služby
• Příkazová sada


Souborový systém IAS
• Implementace FS pomocí komponent:
• root structure
• application directory list array
• directory list array
• file list array
• data blocks array
• free space stricture
• Typy EF: Transparent, Linear fixed
• Operace v systému souborů: inicializace,
vytvoření MF, vytvoření DF, vytvoření EF,
smazání DF, smazání EF

Bezpečnostní služby IAS
• Symetric Device Authentication
• Secure Messaging
• Digital Signature
• Client/Server Authentication
• Encryption Key Decipherment
• Card Verifiable Certificate Verification
• Key Transport Protocol


Příkazová sada IAS
• Sada příkazů pro souborový systém
– CREATE FILE, SELECT, READ BINARY, UPDATE
BINARY, READ RECORD, UPDATE RECORD,
APPEND RECORD, ACTIVATE FILE, DEACTIVATE
FILE, TERMINATE DF, TERMINATE EF, DELETE EF
• Sada příkazů pro bezpečnostní služby
– GENERATE ASYMETRIC KEY PAIR, GET
CHALLEGE, INTERNAL AUTHENTICATE,
EXTERNAL AUTHENTICATE, MUTUAL
AUTHENTICATE, VERIFY, CHANGE REFERENCE
DATA, RESET RETRY COUNTER, MANAGE
SECURITY ENVIRONMENT, PERFORM SECURITY
OPERATION
• Sada příkazů pro komunikaci
– GET RESPONSE



Software pro interoperabilitu
Onom@Topic middleware

Ivo Rosol

Návrh ISO standardů pro middleware
ISO/IEC FDIS 24727-1 Identification cards --
Integrated circuit card programming interfaces --
Part 1: Architecture
ISO/IEC FCD 24727-2 Identification cards --
Part 2: Generic card interface
ISO/IEC CD 24727-3 Identification cards --
Part 3: Application interface
ISO/IEC NP 24727-4 Identification Cards --
Programming Interfaces for Integrated Circuit
Cards -- Part 4: API administration
ISO/IEC NP 24727-5 Identification Cards --
Programming Interfaces for Integrated Circuit
Cards -- Part 5: Testing


ISO/IEC FDIS 24727-1 – architektura
Odvozeno z
Poskytovatel 1 Externí aplikace ISO 24727-3

Aplikační rozhraní (API)
Poskytovatel 2 Service Access Layer (SAL)
- Odvozeno z ISO
24727-3
Generické rozhraní (GCE)
Poskytovatel 3 Generic Card Access Layer (GCAL) Odvozeno z ISO
24727-2

Rozhraní čipové karty (HCE)
Poskytovatel 4 Aplikace rezidentní na Odvozeno z CEN
kartě ICC TC224 WG15 spec.
EF.DIR

Recoverable data DF.CIA
Application Capabilities Descriptor (Access Control List, (ISO 7816-15)
Elements of Identities,
Data Sets for IOP)
Odvozeno z Odvozeno z ISO
ISO 24727-2 24727-3


Onom@Topic middleware

APPLICATION LAYER
SAL poskytuje standardní
vysokoúrovňové aplikační
SAL API závislé na jazyku
rozhraní, izoluje vývojáře MIDDLEWARE
aplikací od technických
detailů čipových karet. SAL
SERVICES ACCESS LAYER (SAL)
vyžaduje IAS na čipové kartě

CIL API
CIL zajišťuje nezávislost na
CARD INSTRUCTION LAYER (CIL)
systému karty

CTL API
CTL zajišťuje nezávislost na CARD TRANSPORT LAYER (CTL)
čtecím zařízení a
transportním prostředí
PC/SC, TCP/IP

IFD 1 IFD 2 IFD 3

CARD CARD CARD
Aplikace IAS podle CEN
TC224/WG15 rezidentní
na kartě


Servisní vrstva SAL

APPLICATION LAYER Servisní vrstva pracuje se seznamem aplikací na
čipové kartě a poskytuje jejich služby klientským
aplikacím. Rozhranní vrstvy je založeno na návrhu
MIDDLEWARE standardu ISO/IEC CD 24727-3.
Služby servisní vrstvy poskytují následující sady
SERVICES ACCESS LAYER (SAL) funkcí:
•Čtení seznamu aplikací
•Čtení / aktualizace / vytváření / mazání identit
•Čtení / aktualizace / vytváření / mazání
CARD INSTRUCTION LAYER (CIL) kryptografických objektů
•Čtení / aktualizace / vytváření / mazání množin
datových objektů
•Čtení přístupových omezení a podmínek pro
CARD TRANSPORT LAYER (CTL)
akce s danými entitami (zápis, čtení, použití)
•Šifrování a dešifrování
•Ověření podpisu a import veřejného klíče pro
autentizaci
IFD 1 IFD 2 IFD 3 •Elektronický podpis
•Komplexní autentizační protokoly
CARD CARD CARD •Bezpečná komunikace (Secure Messaging)


Instrukční vrstva CIL

APPLICATION LAYER CIL zajišťuje nezávislost na systému karty,
maskuje rozdíly mezi jednotlivými typy karet
kompatibilními k ISO 7816-4. Rozhraní instrukční
MIDDLEWARE vrstvy jsou proprietární.
CIL implementuje následující sady funkcí:
SERVICES ACCESS LAYER (SAL)
Souborové služby (změna adresáře, čtení
parametrů souborů, čtení dat, zápis z/do
souboru)
CARD INSTRUCTION LAYER (CIL)
Autentizační služby (ověření PIN, externí a interní
autentizace)
Kryptografické služby (šifrování, dešifrování,
elektronický podpis)
Podpora zabezpečené komunikace (Secure
messaging)
IFD 1 IFD 2 IFD 3

CARD CARD CARD


Transportní vrstva CTL, lokální a síťová

CIL REQUESTS
Řešení síťové CTL implementuje následující sady
komunikace v rámci funkcí:
vrstvy CTL •Připojení karty
•Zasílání příkazů
•Zpráva transakcí
CARD TRANSPORT LAYER API •Čtení seznamu čteček
•Čtení vlastností čtečky (motorová,
PC/SC IFD NON PC/SC IFD REMOTE IFD
PIN-pad, apod.)
HANDLER HANDLER HANDLER
•Čekání na události čteček (vložení a
vyjmutí karty)
TCP/IP

PC/SC
RESOURCE
MANAGER

REMOTE APPLICATION

IFD HANDLER
IFD 1 IFD 2 IFD 3

IFD 4


Realizace Secure Messaging

APPLICATION LAYER
Encipher /
Decipher
HSM Bezpečný kanál SM se realizuje
na úrovni jednotlivých APDU

callback
příkazů podle ISO 7816-4.
Pass

Decipher response
Vytvoření a použití

Encipher data
SAL persistentních i dočasných klíčů
je ponecháno na aplikaci. Tento
callback

mechanismus umožňuje aplikaci
Pass

využít bezpečné zařízení (HSM,
CIL – secures each relevant APDU SAM) pro použití klíčů
prostřednictvím volání callback
command

response
Secured

Secured

funkcí.
Aplikace nepracuje s APDU,
CTL používá vysokoúrovňové
rozhraní SAL.
Middleware


Příklady užití
Pro demonstraci a prokázání správnosti koncepce
byly v rámci projektu demonstrovány dva
komplexní případy užití UC1 a UC2, které integrují
inovativní technologie partnerů projektu:
• čipovou kartu se systémem IAS
• biometrickou autentizaci provedenou na kartě
• bezpečné biometrické zařízení
• vysokorychlostní bezkontaktní komunikaci
VHDR
• middleware kompatibilní k ECC
• schéma pro interoperabilitu
V další prezentaci budou klíčové technologie
demonstrovány na jednoduchém příkladu

Zhodnocení mezinárodního projektu
Klady
• projekt mj. prokázal implementovatelnost koncepce ECC
• všechny úkoly a cíle projektu byly týmem řešitele
splněny
• tým řešitele získal respekt u partnerů projektu a byl
přizván k dalším mezinárodním projektům
• byly získány cenné kontakty, znalosti a dokumentaci v
oblasti tvorby standardů
• vývoj a výzkum přinesl nové znalosti a programové
vybavení, které je základem pro komerční SW OKsmart
Zápory
• vyšší náklady a nižší efektivita v mezinárodním týmu
• závislost na plnění cílů partnerů projektu


Cena Medea+ Board za
nejlepší projekt roku
2007
Výbor MEDEA+ Board udělil
během výročního zasedání
MEDEA+ Forum 2007
v Budapešti cenu „Jean-Pierre
Noblanc Award for Excelence“
za nejlepší projekt roku
projektu Onom@Topic+.
Tato cena byla slavnostně
udělena před 350 delegáty a
členy výboru MEDEA+,
reprezentujících špičku
evropských společností
v mikroelektronice. Je to
historicky poprvé, kdy projekt
čipových karet obdržel tuto
cenu.


Zhodnocení ECC
ECC je (pouze) technickou specifikací. Na vývoji
standardů se aktivně podílí především Francie,
Německo a ve 3. části ČR.
ECC-2 je z hlediska interoperability čipové
platformy krokem vpřed v porovnání s ISO
7816-4.
ECC-3 tvoří „implementovatelnou“ podmnožinu
standardu ISO 24727, díl 3 a 4, přesto vede na
velmi komplexní middleware
ECC-4 není dosud dokončeno, ale obsahuje
cennou část Profiles for the ECC

Dotazy a odpovědi

Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
www.oksystem.cz
rosol@oksystem.cz


�ݺ�ߣ

SmartCard Forum 2008 - Čipová platforma pro evropské identifikační doklady

Recommended

More Related Content

Similar to SmartCard Forum 2008 - Čipová platforma pro evropské identifikační doklady (20)

More from OKsystem (20)

SmartCard Forum 2008 - Čipová platforma pro evropské identifikační doklady