Umíte efektivně spravovat požadavky (nejen) na IT služby?
SmartCard Forum 2008 - Programové vybavení OKsmart
1. Spojujeme software, technologie a služby
Programové vybavení OKsmart pro využití čipových karet
Ukázky biometrické autentizace
Ing. Vítězslav Vacek
vedoucí oddělení bezpečnosti a čipových karet
SmartCard Forum 2008 1
2. Komunikace dvou počítačů
Aplikace na straně počítače Aplikace na straně karty
ISO, USB, RF komunikace
1. APDU (požadavek)
2. APDU (odpověď)
Komunikace dvou počítačů s odlišným technickým vybavením a operačním
systémem. Komunikace je realizována na základě aplikačního protokolu pro
mikroprocesorové čipové karty (ISO 7816 – 4, APDU).
Zatímco syntaxe „společného jazyka“ je dána, jeho implementace a sémantika
zasílané zprávy je specifická pro každý typ nativní, nebo programovatelné
karty. Potřebujeme softwarového „tlumočníka“, který zprostředkuje komunikaci
mezi aplikací na straně počítače a aplikací na straně PC - middleware.
SmartCard Forum 2008 2
3. Middleware – prostředník komunikace
Aplikace Aplikační rozhraní
Middleware (integrační vrstva)
Operační systém
Hardwarové rozhraní
Čtečka
Aplikace na
čipové kartě Čipová karta
SmartCard Forum 2008 3
4. Hlavní funkce middleware
• Poskytnout standardizované rozhraní směrem k aplikaci
• Zpřístupnit služby poskytované čipovou kartou
• Zajistit autentizaci uživatele
• Bezpečným způsobem nakládat s autentizačními údaji
– V případě autentizace pomocí PINu je to podpora Pinpad čtečky
– V případě biometrické autentizace je to podpora systému Match-On-Card
SmartCard Forum 2008 4
5. OKsmart
OKsmart je softwarové řešení pro transparentní integraci
kryptografických čipových karet různých výrobců do prostředí
systémů Windows (Linux)
• Čipová karta
– Nativní čipová karta (Cryptoflex, GPK,...)
– Čipová karta se systémem Java Card (nutný applet implementující OS čipové
karty)
• Middleware (standardizovaná rozhraní)
– Microsoft CSP (Cryptographic Service Provider)
– PKCS#11 (RSA Laboratories)
– JCE (Java Cryptography Extension)
• Uživatelské aplikace
– OKsmart Format (nahrání OS čipové karty, personalizace čipové karty)
– OKsmart Manager (správa certifikátů, datových objektů a PINů)
– OKsmart Disk (šifrování logického disku ve Windows)
– OKsmart Safe (automatické přihlašování do aplikací)
– OKsmart File (šifrování souborů)
SmartCard Forum 2008 5
6. Architektura systémových knihoven
Aplikace
Aplikace OKsmart Aplikace třetích stran
Aplikační rozhraní
Knihovny
standardizovaných
rozhraní CSP PKCS#11 JCE
Middleware
Generické rozhraní
Instrukční vrstva + ISO 7816-15
ISO 7816-15
SCARD
Uživatelské
Komunikační
rozhraní
knihovny
SCIFD SCUI
Fyzické rozhraní
Cardware
Java Card
applet
SmartCard Forum 2008 6
7. OKsmart
Hlavní přínosy:
• Široká podpora kryptografických rozhraní(PKCS#11, MS CAPI, JCE,
v budoucnu ISO 24727)
• Podpora více druhů čipových karet od různých výrobců
• Čipová karta splňuje standard ISO 7816-15
– Dává možnost použít čipovou kartu se software splňující tento standard
– Na kartu je možné vedle OKsmart přidat další aplikaci
• Podpora PC/SC 2.0 – čtečky s klávesnicí a displejem PINpad
• Transparentní funkce aplikací (MSIE, Firefox, Outlook, Lotus
Notes...)
• Modulární architektura
– Přidání nového typu čipové karty znamená úpravu jediného modulu
– Všechny prvky uživatelského rozhraní v samostatném modulu, možné změnit
vzhled oken
– Pružná reakce na budoucí potřeby a požadavky od zákazníků
• Sada uživatelských aplikací
SmartCard Forum 2008 7
8. OKsmart Format
• Administrační nástroj který připravuje kartu pro použití s OKsmart
– V případě nativní čipové karty dojde k vytvoření sytému souborů a nastavení
přístupových práv pro soubory a kryptografické operace
– V případě Java Card se nejprve nahraje applet implementující kompletní
funkčnost čipové karty (jakýsi firmware) a poté se stejným způsobem vytvoří
systém souborů a nastaví přístupová práva pro soubory a kryptografické operace
• Administrátor má možnost zvolit následující parametry čipové karty
– Počet a velikost klíčů na čipové kartě
– Předpokládanou velikost certifikátu
– Alokovat místo na datové objekty které mohou obsadit zbytek volného místa nebo
nechat nějaké místo volné pro další aplikaci na čipové kartě
• Vytvoření struktury dle ISO 7816-15
– Popis autentizačních objektů (PIN)
– Popis privátních a veřejných klíčů
– Popis certifikátů
– Popis datových objektů
SmartCard Forum 2008 8
10. OKsmart Manager
Nástroj pro správu čipové karty
• Prohlížení obsahu čipové karty
• Import klíčů včetně certifikátu
• Import/export datových objektů
• Změna PINu, odblokování PINu
• Nastavení implicitního certifikátu pro přihlášení do domény
• Informace o čipové kartě
– Počet a velikost alokovaný slotů pro klíče
– Počet volných a obsazených klíčových slotů
– Místo alokované pro datové objekty
– Volné místo pro datové objekty
SmartCard Forum 2008 10
11. OKsmart Disk
Nástroj pro šifrování logického disku ve Windows
• Obsah celého virtuálního disku je uložen v jediném šifrovaném
souboru
• Šifrování lze zvolit buď na základě certifikátu na čipové kartě nebo
na základě hesla
• Při použití čipové karty se disk automaticky odpojí po vysunutí karty
SmartCard Forum 2008 11
12. OKsmart File
Nástroj pro šifrování jednotlivých souborů
• Umožňuje zašifrovat soubor certifikáty více uživatelů (šifrování
souboru pro skupinu uživatelů)
• Zašifrovaný soubor je ve standardním formátu PKCS#7
• Integrace do průzkumníka Windows (rozšiřuje standardní menu při
poklepání pravým tlačítkem)
• K dispozici je i verze spustitelná z příkazové řádky
SmartCard Forum 2008 12
13. OKsmart Safe
Nástroj pro ukládání citlivých údajů na čipovou
kartu
• Přihlašování do internetových nebo intranetových portálů pomocí
údajů uložených na čipové kartě
• Přihlašování do aplikací
• Automatická detekce oken pro vkládání přihlašovacích údajů
(systém automaticky detekuje spuštění aplikace nebo zobrazení
specifické stránky v prohlížeči)
• Ukládání poznámek
SmartCard Forum 2008 13
14. Přihlášení k doméně AD
Doménový Dotaz na
kontrolér uživatele
Požadavek na autentizaci certifikátu Active
certifikát uživatele Directory
uživatelské jméno
časová značka
podpis
Ověření
platnosti
certifikátu
Přidělení
TGT
Certifikační
autorita
SmartCard Forum 2008 14
15. Onom@topic+
Demonstrační software
• Slouží pouze k demonstraci funkčnosti middleware vytvořeného
během výzkumného projektu
• Použité rozhraní SAL je kompatibilní s mezinárodním standardem
ISO 24727
• CTL transportní vrstva navržená v OKsystem použitá v
demonstračním software je nyní součástí ISO 24727 dílu 4
• Ukázka digitálního podpisu chráněného pomocí ověření otisku prstu
– Obraz otisku je sejmut a zpracován přímo ve čtecím zařízení
– Obraz otisku se neposílá do PC ale přímo do čipové karty
– Karta disponuje technologií Match-On-Card, tedy vlastní porovnání sejmutého
obrazu a vzoru se provádí přímo na čipu karty
SmartCard Forum 2008 15
16. Budoucnost OKsmart
• Podpora biometrické autentizace pomocí ověření otisku prstu
– Podpora biometrických čteček které jsou schopné autonomě zpracovat otisk
prstu, transformovat jej do formátu vhodném pro zpracování na čipové kartě a
poslat jej přímo do karty
– Podpora karet se systémem Match-On-Card
• Applet pro Java Card kompatibilní se standardem ECC-2
– Podpora biometrické autentizace
– Podpora protokolu vzájemné symetrické autentizace
– Podpora secure messaging (online šifrovaná komunikace s čipovou kartou)
• Kompletní implementace SAL rozhraní dle ISO 24727
• Podpora čipových karet s velikostí paměti EEPROM až 128 kB
• Card Management System
– Personalizace a potisk čipových karet
– Správa karet a certifikátů
– Součást modulárního systém OKbase
SmartCard Forum 2008 16
17. Kontakt:
Vítězslav Vacek:
vacek@oksystem.cz
OKsmart na webu:
www.oksystem.cz
www.oksmart.cz
SmartCard Forum 2008 17