smartcard forum 2008 - identifikační čipové doklady
Post on 17-Jun-2015
238 Views
Preview:
TRANSCRIPT
Spojujeme software, technologie a služby
Ivo Rosolředitel vývojové divize, OKsystem s.r.o.
Identifikační čipové doklady s biometrickými prvkyTechnické řešení bezpečnosti
ID doklady s čipem
Technologie mikroprocesorových čipových karet
se standardně používá zejména v oblastech:
• SIM karet systému GSM
• platebních karet systému EMV
V současné době nastupuje plošná aplikace v
oblastech:
• cestovních a identifikačních dokladů
• fyzického a logického přístupu a zaručeného
elektronického podpisu
2Workshop - normy pro identifikaci osob
Kontaktní vs. RF rozhraní
Pro cestovní a ID doklady se obvykle využívá RF
rozhraní. Důvodem je:
• zvýšení spolehlivosti
• jednoduchost obsluhy
• vyšší přenosová rychlost
Nevýhodou jsou nové bezpečnostní hrozby, které
se eliminují pomocí vhodně navržených
kryptografických technologií a schémat.
3Workshop - normy pro identifikaci osob
RF komunikace u ID dokladů
ID doklady s RF přenosem nemají vlastní zdroj
energie, kterou musí čerpat z pole antény
čtecího zařízení. Tato energie sice pokrývá
spotřebu čipu, nestačí ale na aktivní vysílání.
Pro RF komunikaci se využívá standard ISO
14443, díl 1-4
4Workshop - normy pro identifikaci osob
RF komunikace u ID dokladů
Pro napájení karet vysílá terminál nosný sinusový
signál o frekvenci 13,56 MHz, pole čtečky 1,5
A/m < H < 7,5 A/m.
Pro vysílání dat čtečkou na kartu jsou data
kódována modifikovanou Millerovou metodou,
výsledek je poté amplitudově modulován na
nosný signál s hloubkou modulace 100 %.
Rychlosti přenosu jsou 106, 212, 424 a 848
kbit/s
5Workshop - normy pro identifikaci osob
RF komunikace u ID dokladů
Pro přenos dat z čipu do čtečky čip pasivně
„vysílá“ data s využitím zátěžové modulace.
Anténa čtečky a karty tvoří VF transformátor,
kde změny zátěže sekundárního okruhu (karty)
se promítají do primárního okruhu (čtečky) a
jsou interpretovány jako 0 a 1 „vysílané“ kartou.
Data jsou kódována metodou Manchester, a
modulována na zátěžovou subnosnou 848 kHz
6Workshop - normy pro identifikaci osob
Útoky na RF komunikaci
Radiový přenos:
• komunikace s pasem (do 25 cm) – útok postrčením
• lze odposlouchávat relaci oprávněné čtečky (jednotky m)
• aktivní komunikace se čtečkou (desítky m)
• lze poznat, že v poli čtečky je pas, nikoli jiné RFID zařízení, neboť
lze vybrat aplikaci ICAO s kódem A0 00 00 02 47 10 01
7Workshop - normy pro identifikaci osob
Útok na UID
ISO 14443 specifikuje antikolizní mechanismus pro výběr čipu v
elektromagnetickém poli čtečky na základě UID (jednoznačného
čísla čipu). Při inicializaci vyšle čtečka REQ. Každý čip v poli čtečky
v závislosti na hodnotě svého UID vysílá nebo naslouchá vysílání
ostatních. Čtečka může zvolit čip, se kterým chce komunikovat,
případně odeslat příkaz HALT.
Statické UID se běžně využívá v běžných RFID aplikacích (přístupové
systémy....). V případě e-pasů by ale mohlo vést k trasování pasu,
proto je nahrazeno dynamickým UID, které je konstantní pouze po
dobu relace.
UID pasivně „vysílá“ čip, ale aktivně jej zopakuje čtečka (odposlech 10
m)
8Workshop - normy pro identifikaci osob
Kryptografické zabezpečení dokladůMetoda P/V Výhoda Nevýhoda
PA P Autenticita LDS Neodstraňuje klonování a
substituci čipu
MRZ V Důkaz, že pasová knížka a
LDS patří k sobě
Neodstraňuje současné
kopírování LDS a pasové knížky
AA V Zabraňuje klonování a
výměně čipu
Vyžaduje kryptografický čip
BAC V Zabraňuje neoprávněnému
čtení a odposlouchávání
komunikace mezi čipem a
oprávněným terminálem
Vyžaduje kryptografický čip
EAC v Zabraňuje neoprávněnému
přístupu k citlivým
biometrickým údajům
Vyžaduje komplexní
infrastrukturu PKI
ENC V Zabezpečuje citlivé
biometrickým údajům
Vyžaduje komplexní správu klíčů
9Workshop - normy pro identifikaci osob
Objekty a klíče uložené na čipu
• MF– DF-LDS
• KENC (klíč pro BAC, bezpečná paměť)
• KMAC (klíč pro BAC, bezpečná paměť)
• KPrAA (privátní klíč pro AA, bezpečná paměť)
• KPubCVCA(veřejný klíč NVA pro TA, bezpečná paměť)
• EF-COM (verze LDS, seznam DG)
• EF-SOD (otisky DG, podpis, CDS)
• EF-DG1 (MRZ)
• EF-DG2 (fotografie)
• EF-DG3 (otisky prstů)
• EF-DG14 (data pro autentizaci čipu v rámci EAC)
• EF-DG15 (data pro AA)
10Workshop - normy pro identifikaci osob
BAC
Současný pas obsahuje osobní údaje (na datové
stránce, ve strojově čitelné zóně MRZ a na čipu
v DG1), a méně citlivé biometrické osobní údaje
(fotografie na datové stránce a na čipu v DG2),
které jsou přístupné i z jiných zdrojů.
Tyto méně citlivé údaje jsou chráněny základním
řízením přístupu BAC – Basic Access Control.
BAC zaručuje, že inspekční systém má fyzický
přístup k (otevřenému) pasu
11Workshop - normy pro identifikaci osob
Údaje z MRZ pro BAC
12
číslo pasu
včetně výplně
a kontrolní číslice
datum narození
a kontrolní číslice
konec platnosti
a kontrolní číslice
Workshop - normy pro identifikaci osob
Odvození klíčů pro BAC
Workshop - normy pro identifikaci osob 13
číslo pasu datum narození konec platnostic=1 pro ENC
c=2 pro MAC
Hash
Ka Kb N/A
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
S pomocí Ka pro šifrování a Kb pro MAC se s využitím 3DES algoritmu
provede vzájemná autentizace, odvodí klíče relace pro SM a vytvoří SM
relace
Slabiny BAC
• Symetrické klíče jsou odvozeny z dat MRZ,
nikoli z náhodného materiálu (seed)
• Struktura MRZ značně redukuje entropii
• je možný databázový („slovníkový“) útok
Protiopatření:
• používat náhodně generovaná čísla pasů
• používat alfanumerická čísla pasů
14Workshop - normy pro identifikaci osob
Pasivní autentizace
Data uložená v čipu jsou kryptograficky
zabezpečena „elektronickým podpisem“
vydavatele pasu (DS - Document Signer)
uloženým SOD. Tento podpis je možné ověřit s
pomocí certifikátu DS, který vydává CSCA.
Pro každou datovou skupinu DGx se spočítá
hodnota otisku (hash) a uloží do objektu
LDSSecurityObject, který je součástí podepsané
CMS zprávy.
15Workshop - normy pro identifikaci osob
Ověření PA
Pro české pasy se používá podpisové schéma
založené na RSA s délkou modulu DS 2048 bitů
a kódováním EMSA_PSS dle PKCS#1. Modul
klíče CSCA je 3072 bitů.
Certifikáty CSCA se vyměňují mezi státy s
využitím důvěryhodných diplomatických služeb.
Certifikáty DS jsou (nepovinně) uloženy v CMS
zprávě uvnitř SOD, nebo vym+ňovány
bilaterálně nebo publikovány v adresářových
službách ICAO.
16Workshop - normy pro identifikaci osob
PKI pro PA
17
CSCA
(NCA)
DS
CVCA
(NVA)
DS DS
Země A (ČR) Země B
STC
MV
IS IS IS
ICAO
PKD
Bilater. výměna
(MZv)
Cizinecká policie
NIMS
Workshop - normy pro identifikaci osob
Útok klonováním čipu
Doklad chráněný pouze BAC a PA lze kompletně
zkopírovat, včetně SOD (klonování čipu).
• Ohrožení inspekčních systémů při klonování
čipů a například následné modifikaci fotografie
(JPEG 2000 buffer overrun)
• Zničení čipu v MV troubě a použití čipu
klonovaného z jiného pasu, nebo pouze vložení
RF čipové karty
18Workshop - normy pro identifikaci osob
Aktivní autentizace
AA znemožňuje kompletní klonování čipu
• AA je založena na autentizaci čipu s využitím podpisového schématu založeného na RSA podle ISO 9796-2. Klíče jsou vygenerovány při personalizaci, soukromý klíč je uložen v bezpečné paměti čipu, veřejný klíč je uložen v DG15 a chráněn Pasivní autentizací
• Operační systém čipu žádným způsobem neumožní kopírovat soukromý klíč
19Workshop - normy pro identifikaci osob
Aktivní autentizace
AA využívá protokol výzva-odpověď mezi čipem a IS:
• IS zašle čipu náhodně vygenerovanou výzvu V s požadavkem na její podepsání privátním klíčem
• Čip vygeneruje náhodnou hodnotu U, spočítá otisk h= SHA-1(V||U) a vrátí kryptogram s=RSA(h)
• IS ověří podpis pomocí veřejného klíče z DG15
20Workshop - normy pro identifikaci osob
Přepojovací útok na AA
Při ponechání pasu v recepci hotelu lze kompletně
číst a zkopírovat obsah pasu.
S kopií pasu lze při překročení hranice provést
rellay attack – po BAC provést přesměrování z
falešného pasu na AA provedenou pasem na
recepci hotelu. K tomu se využije například IP
kanál a internet.
21Workshop - normy pro identifikaci osob
Zneužití AA sémantikou výzvy
Pokud inspekční systém místo náhodné výzvy V použije výzvu s nějakým významem, získá „podpis“ čipu k této výzvě.
Například V=H(SignIS(MRZ||Datum||Čas||Místo))čip vrátí SignICC(V||U), ověřitelný důkaz, že čip (držitel pasu) byl v Datum:Čas v daném místě
22Workshop - normy pro identifikaci osob
EAC – rozšířené řízení přístupu
Budoucí cestovní a identifikační doklady budou obsahovat novou generaci bezpečnostního mechanismu, zejména v souvislosti se zavedením otisků prstů.
• Pasy vydávané členskými státy EU po 28.6. 2009 (v ČR po 1.5. 2008) budou obsahovat velmi citlivé biometrické osobní údaje -otisky prstů, které nejsou běžně dostupné z jiných zdrojů a budou chráněny rozšířeným řízením přístupu EAC – Extended Access control. Tato ochrana je podle rozhodnutí Evropské komise K (2005) 409 povinná a její řešení musí být v souladu s Nařízením Rady EU č. 2252/2004 o normách pro bezpečnostní a biometrické prvky v cestovních dokladech vydávaných členskými státy (dále EAC)
• ICAO v současné době nemá formální standard pro EAC
• Evropská komise a ICAO odkazují na technickou zprávu TR-03110 německého BSI „Advanced Security Mechanism for Machine Readable Travel Documents – Extended Access Control
• Členské státy přijmou společnou Certifikační politiku, kterou vypracovala skupina EC - Article 6, BIG
23Workshop - normy pro identifikaci osob
EAC
EAC – rozšířené řízení přístupu. EAC je využito
místo AA, používá kvalitnější klíče pro restart
SM, neumožňuje trasovat čip a řídí přístup k
DG3 případně DG4
EAC se skládá ze dvou pokročilých
kryptografických mechanismů:
• Autentizace čipu (pasu) a
• Autentizace Terminálu (Inspekčního systému)
24Workshop - normy pro identifikaci osob
Autentizace čipu
• Alternativou k Aktivní autentizaci, zaručuje, že čip není klonován (kopie kompletního datového obsahu čipu, včetně podpisu SoD)
• Zabraňuje útoku formou sémantiky výzvy, která umožňuje získat ověřitelné trasování pasu (kdy a kde se vyskytoval uživatel pasu)
• Umožňuje vygenerovat SM klíče s vysokou entropií, které nejsou odvozeny ze strojově čitelné zóny čipu
• Využívá algoritmus Diffie-Hellman (nebo ECDH) pro určení symetrických klíčů unikátních pro tuto relaci
• Autenticita čipu je ověřena implicitně z faktu, že čip je schopen využívat SM klíče, tudíž klíčový materiál použitý pro DH nebo ECDH byl autentický
25Workshop - normy pro identifikaci osob
Autentizace terminálu
• Využívá PKI pro autentizaci a autorizaci IS
• Založeno na protokolu výzva-odpověď
• Sémantika výzvy neznamená nebezpečí
• Veškerá komunikace probíhá v rámci bezpečné
komunikace založené na SM v módu Encrypt-
then-Authenticate a šifrovacích klíčích s
vysokou entropií (3DES2)
26Workshop - normy pro identifikaci osob
PKI 2 pro EAC
27
CVCA
(NVA)
DV (VA) DV (VA)
IS IS IS IS
CVCA
(NVA)
DV (VA) DV (VA)
IS IS IS IS
Země A (ČR) Země B
Křížová certifikace
Cizinecká policie
MV
Workshop - normy pro identifikaci osob
PKI pro EAC - CVCA
• Každá země zřizuje právě jednu Národní verifikační autoritu - CVCA (Country Verifying Certification Authority)
• CVCA je kořenová certifikační autorita, může být součástí infrastruktury CSCA, musí mít jiné klíčové páry než CSCA
• Tvoří singulární bod důvěry pro všechny pasy (MRTD) vydávané domácí zemí (veřejný klíč CVCA uložen v DG14 chráněné PA)
• Vydává certifikáty pro Autority pro ověřování dokumentů (DV) ve vlastní zemi i pro cizí země, tím umožňuje přístup k chráněným datům pasů pro inspekční systémy
• Nastavuje na nejvyšší úrovni přístupová práva k chráněným údajům pasů pro jednotlivé země
• Relativně často (vzhledem k životnosti pasu) mění svoje klíče (6 měsíců – 3 roky), k tomuto účelu vydává spojovací certifikáty (link certificate), které umožní jednotlivým pasům aktualizovat si veřejný klíč CVCA
• CVCA může být provozována stejnou organizací jako CSCA – vydavatelem cestovních dokladů (u nás MV)
28Workshop - normy pro identifikaci osob
PKI pro EAC - DV• Každá země, která chce číst chráněná data z pasů (domácích i ostatních
zemí) musí provozovat alespoň jednu VA - Verifikační autoritu – (DV -Document Verifier)
• VA ve skutečnosti neprovádí ověřování pasů, ale je certifikační autoritou, která vydává certifikáty pro inspekční systémy – IS
• VA je správcem domény inspekčních systémů ve své zemi, vydává jim certifikáty umožňující přístup k chráněným údajům pasů
• VA je autorizován k vydávání certifikátů pro „své“ IS na základě certifikátu od NVA
• VA musí požádat o certifikát od NVA každé země, jejíž pasy mají být kontrolovány IS v doméně VA (například pro kontrolu německých pasů musí česká VA požádat německou NVA o vydání certifikátu, který bude opravňovat českou VA k vydání certifikátů pro české IS ke kontrole německých pasů)
• Doba platnosti certifikátů VA je 14 dnů – 3 měsíce
• VA může omezit práva a dobu platnosti certifikátů pro své IS
• VA je typicky provozována organizací zodpovědnou za kontrolu cestovních dokladů (u nás Policie ČR)
29Workshop - normy pro identifikaci osob
PKI pro EAC - IS
• Inspekční systém dostává certifikáty pouze od VA své země
• IS musí mít samostatný certifikát pro pasy každé země, kterou kontroluje
• Certifikáty IS mají velmi krátkou dobu platnosti (1 den až 1 měsíc) kvůli teoretické možnosti krádeže IS
• IS provádí vlastní kontrolu pasů s využitím Extended Access Control
30Workshop - normy pro identifikaci osob
PKI pro EAC - certifikáty
• Všechny certifikáty v rámci EAC PKI (NVA, VA, IS)musí být ověřitelné čipem pasu – CVC Card Verifiable Certificate
• Všechny certifikáty v řetězu musí mít stejný algoritmus elektronického podpisu, délky klíčů a doménové parametry
• Spojovací certifikáty NVA umožňují měnit klíče, případně další parametry podpisového schématu
31Workshop - normy pro identifikaci osob
Obsah certifikátu
Certifikáty jsou typu CVC, kódovány metodou TLV (Tag-Length-Value)
Data obsažená v certifikátu:
• Označení certifikační autority
• Veřejný klíč
• Označení držitele
• Autorizace držitele
• Efektivní datum certifikátu (od:)
• Datum konce platnosti certifikátu (do:)
• „Podpis“ certifikační autority
32Workshop - normy pro identifikaci osob
Doby platnosti certifikátůSubjekt Minimum Maximum
CVCA certificate –
osvědčení
vnitrostátního
kontrolního subjektu
6 měsíců 3 roky
DV certificate –
osvědčení subjektu
ověřujícího platnost
dokladů
2 týdny 3 měsíce
IS certificate –
osvědčení kontrolního
systému
1 den 1 měsíc
33Workshop - normy pro identifikaci osob
Ověřování certifikátů
• IS musí zaslat čipu řetěz certifikátů, který začíná spojovacími certifikáty, certifikátem VA a končí certifikátem IS
• Čip si musí interně aktualizovat klíče NVA na základě spojovacích certifikátů
• Čip musí odmítnout certifikáty po době platnosti.
Čip nemá hodiny reálného času, používá odhad času, který si aktualizuje při každé hraniční kontrole na nejvyšší efektivní datum ověřených certifikátů NVA, VA a domovských IS.
34Workshop - normy pro identifikaci osob
Kódování přístupových práv76 543210
xx ------ Role
11 ------ NVA
10 ------ VA domácí
01 ------ VA cizí
00 ------ IS
-- xxxxxx Práva
-- 0000-- rezervováno
-- ----1- duhovka
-- -----1 Otisk prstu
35
Všechny certifikáty obsahuji Certificate Holder Authorisation:
11000011 – NVA
01000011 – DV
00000001 – IS
00000001 efektivní práva
Workshop - normy pro identifikaci osob
Spojovací certifikát
Spojovací certifikát (Link certificate) umožňuje:
• Přenos důvěry od původního veřejného klíče
CVCA k novému klíči
• Změnu algoritmů, délek klíčů a parametrů
Principiálně osvědčuje původním soukromým
klíčem nový veřejný klíč v certifikátu.
36Workshop - normy pro identifikaci osob
Interoperabilita vyžaduje testy
Probíhají mezinárodní testy konformity čipů a OS,
testy křížové interoperability čipů + OS a čteček
(IS) a testy interoperability PKI pro EAC.
Praha bude hostit 7. – 12. 9. 2008 celosvětovou
akci pořádanou MV ČR – testy, konferenci a
výstavu technologií a služeb pro cestovní
doklady , viz http://www.e-passports2008.org
37Workshop - normy pro identifikaci osob
Závěr
Cestovní doklady s čipem a biometrickými doklady jsou
nejen novou, velmi významnou aplikací, ale současně i
celosvětovou „laboratoří“, která přináší velký pokrok ve
vývoji čipové technologie, aplikované kryptografie, tvorby
standardů a testů.
Zprovoznění celé infrastruktury pro cestovní doklady a EAC
je dosud bezprecedentní celosvětovou implementací PKI
a zdá se, že cestovní a budoucí identifikační doklady
jsou onou dlouho očekávanou „killer application“,
nezbytnou pro rozvoj dalších identifikačních a
autorizačních čipových dokladů, PKI a infrastruktury pro
e-government.
38Workshop - normy pro identifikaci osob
Dotazy a odpovědi
Ivo Rosol
ředitel vývojové divize
OKsystem s.r.o.
www.oksystem.cz
rosol@oksystem.cz
39Workshop - normy pro identifikaci osob
top related