Date post: | 04-Aug-2015 |
Category: |
Technology |
Upload: | - |
View: | 67 times |
Download: | 7 times |
ΜΕΛΕΤΗ ΑΣΦΑΛΕΙΑΣ ΚΑΡΤΑΣ ΠΟΛΙΤΗ
ΣΤΗΝ ΕΥΡΩΠΑΪΚΗ ΕΝΩΣΗ
ΛΟΥΚΑΪΤΗΣ ΒΑΣΙΛΕΙΟΣΜΠΑΡΕΚΟΣ ΒΑΣΙΛΕΙΟΣ
ΤΟΛΗΣ ΔΗΜΗΤΡΙΟΣ
Τμήμα Μηχανικών Πληροφοριακώνamp Επικοινωνιακών Συστημάτων
Επιβλέπων καθηγητής ΡΙΖΟΜΥΛΙΩΤΗΣ ΠΑΝΑΓΙΩΤΗΣ
Department of Information amp Communication Systems Engineering
ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ
η ανάγκη ανάπτυξης ηλεκτρονικών υπηρεσιών
η κοινή καταπολέμηση της απάτης ταυτότητας
η ανάπτυξη εθνικών και πανευρωπαϊκών μέτρων κατά της τρομοκρατίας
η εμφάνιση νέων lsquoδιευρωπαϊκώνrsquo υπηρεσιών προκειμένου να μειωθούν οι δαπάνες
είναι μερικοί από τους βασικούς παράγοντες για την υποστήριξη μιας εθνικής ηλεκτρονικής ταυτότητας
Department of Information amp Communication Systems Engineering
Εισαγωγή (12)
Department of Information amp Communication Systems Engineering
Εισαγωγή (22)
Προκειμένου να επιτευχθούν οι στόχοι με απόλυτη ασφάλεια και προστασία της ιδιωτικότητας η ηλεκτρονική κάρτα ταυτότητας δεν μπορεί παρά να είναι μια έξυπνη κάρτα
Η έξυπνη κάρτα με την ενσωμάτωση ενός ασφαλούς ολοκληρωμένου κυκλώματος λειτουργεί ως ένας πολύ μικρός υπολογιστής με το λειτουργικό σύστημα της να ελέγχει την εκτέλεση των εφαρμογών
τους περιορισμούς πρόσβασης και
την επικοινωνία με το εξωτερικό περιβάλλονΙδιαίτερα ευαίσθητα στοιχεία όπως οι ιδιότητεςχαρακτηριστικά των χρηστών ή τα κρυπτογραφικά κλειδιά για την επικύρωσή τους δε διαρρέουν (released) ποτέ εκτός κάρτας και όλες οι διαδικασίες
διεκπεραιώνονται από το λειτουργικό σύστημα της κάρτας
Αρχικά γίνεται μια σύντομη ιστορική αναδρομή και αναφορά στην ιδιοσυστασία της έξυπνης κάρτας τα οφέλη της χρήσης της την ασφάλεια της και την προτυποποίηση της
Έπειτα το ενδιαφέρον επικεντρώνεται στον καθορισμό τη χρήση και τις λειτουργίες της ECC στα πλαίσια συμμόρφωσης και με τις απαιτήσεις της Δημόσιας Διοίκησης
Εν συνεχεία παρατίθεται το υπάρχον νομικό πλαίσιο γύρω απrsquo την ευρωπαϊκή κάρτα πολίτη όπως αυτό αποτυπώνεται τόσο στην ευρωπαϊκή όσο και στην ελληνική νομοθεσία
Την παρουσίαση των φυσικών και ηλεκτρικών χαρακτηριστικών της ευρωπαϊκής κάρτας πολίτη ακολουθεί η παράθεση των απαιτήσεων ασφάλειας ενώ γίνεται ακόμη αναφορά στα λειτουργικά συστήματα και τις εταιρίες παραγωγής των καρτών
Department of Information amp Communication Systems Engineering
Δομή εργασίας (12)
Προχωρώντας ερευνώνται τα δεδομένα στο ολοκληρωμένο κύκλωμα της κάρτας πολίτη και παρουσιάζονται οι μηχανισμοί ασφάλειας των εν λόγω δεδομένων στο ολοκληρωμένο κύκλωμα της κάρτας
Τη λογική συνέχεια της έρευνας αποτελεί η μελέτη των αλγόριθμων και των τύπων των ηλεκτρονικών υπογραφών τα πιστοποιητικά και οι αλληλεπιδράσεις μεταξύ της SSCD και της SCA
Τέλος μελετάται η θέση της κάρτας πολίτη στον ΕΟΧ οι χώρες-μέλη με και χωρίς ηλεκτρονική ταυτότητα για να κλείσουμε με τα συμπεράσματα και τις προτάσεις
Department of Information amp Communication Systems Engineering
Δομή εργασίας (22)
Καθορισμός ECC = εξατομικευμένη (personalized) έξυπνη κάρτα Μορφότυπος = ID-1 θα φέρει ασφαλή χαρακτηριστικά γνωρίσματα και μία
επαφική ήκαι ανεπαφική διασύνδεση (contactcontactless interface)
Τέλος θα πρέπει να συμμορφώνεται με τις απαιτήσεις της δημόσιας διοίκησης και να πιστοποιείται σύμφωνα με το αναμενόμενο ευρωπαϊκό πρότυπο (ΕΝ) 14169
Χρήση 1) έλεγχος ταυτότητας κατόχου ηλεκτρονικά 2) ταξιδιωτικό έγγραφο με εμβέλεια όλη την ΕΕ 3) πρόσβαση σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (12)
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
η ανάγκη ανάπτυξης ηλεκτρονικών υπηρεσιών
η κοινή καταπολέμηση της απάτης ταυτότητας
η ανάπτυξη εθνικών και πανευρωπαϊκών μέτρων κατά της τρομοκρατίας
η εμφάνιση νέων lsquoδιευρωπαϊκώνrsquo υπηρεσιών προκειμένου να μειωθούν οι δαπάνες
είναι μερικοί από τους βασικούς παράγοντες για την υποστήριξη μιας εθνικής ηλεκτρονικής ταυτότητας
Department of Information amp Communication Systems Engineering
Εισαγωγή (12)
Department of Information amp Communication Systems Engineering
Εισαγωγή (22)
Προκειμένου να επιτευχθούν οι στόχοι με απόλυτη ασφάλεια και προστασία της ιδιωτικότητας η ηλεκτρονική κάρτα ταυτότητας δεν μπορεί παρά να είναι μια έξυπνη κάρτα
Η έξυπνη κάρτα με την ενσωμάτωση ενός ασφαλούς ολοκληρωμένου κυκλώματος λειτουργεί ως ένας πολύ μικρός υπολογιστής με το λειτουργικό σύστημα της να ελέγχει την εκτέλεση των εφαρμογών
τους περιορισμούς πρόσβασης και
την επικοινωνία με το εξωτερικό περιβάλλονΙδιαίτερα ευαίσθητα στοιχεία όπως οι ιδιότητεςχαρακτηριστικά των χρηστών ή τα κρυπτογραφικά κλειδιά για την επικύρωσή τους δε διαρρέουν (released) ποτέ εκτός κάρτας και όλες οι διαδικασίες
διεκπεραιώνονται από το λειτουργικό σύστημα της κάρτας
Αρχικά γίνεται μια σύντομη ιστορική αναδρομή και αναφορά στην ιδιοσυστασία της έξυπνης κάρτας τα οφέλη της χρήσης της την ασφάλεια της και την προτυποποίηση της
Έπειτα το ενδιαφέρον επικεντρώνεται στον καθορισμό τη χρήση και τις λειτουργίες της ECC στα πλαίσια συμμόρφωσης και με τις απαιτήσεις της Δημόσιας Διοίκησης
Εν συνεχεία παρατίθεται το υπάρχον νομικό πλαίσιο γύρω απrsquo την ευρωπαϊκή κάρτα πολίτη όπως αυτό αποτυπώνεται τόσο στην ευρωπαϊκή όσο και στην ελληνική νομοθεσία
Την παρουσίαση των φυσικών και ηλεκτρικών χαρακτηριστικών της ευρωπαϊκής κάρτας πολίτη ακολουθεί η παράθεση των απαιτήσεων ασφάλειας ενώ γίνεται ακόμη αναφορά στα λειτουργικά συστήματα και τις εταιρίες παραγωγής των καρτών
Department of Information amp Communication Systems Engineering
Δομή εργασίας (12)
Προχωρώντας ερευνώνται τα δεδομένα στο ολοκληρωμένο κύκλωμα της κάρτας πολίτη και παρουσιάζονται οι μηχανισμοί ασφάλειας των εν λόγω δεδομένων στο ολοκληρωμένο κύκλωμα της κάρτας
Τη λογική συνέχεια της έρευνας αποτελεί η μελέτη των αλγόριθμων και των τύπων των ηλεκτρονικών υπογραφών τα πιστοποιητικά και οι αλληλεπιδράσεις μεταξύ της SSCD και της SCA
Τέλος μελετάται η θέση της κάρτας πολίτη στον ΕΟΧ οι χώρες-μέλη με και χωρίς ηλεκτρονική ταυτότητα για να κλείσουμε με τα συμπεράσματα και τις προτάσεις
Department of Information amp Communication Systems Engineering
Δομή εργασίας (22)
Καθορισμός ECC = εξατομικευμένη (personalized) έξυπνη κάρτα Μορφότυπος = ID-1 θα φέρει ασφαλή χαρακτηριστικά γνωρίσματα και μία
επαφική ήκαι ανεπαφική διασύνδεση (contactcontactless interface)
Τέλος θα πρέπει να συμμορφώνεται με τις απαιτήσεις της δημόσιας διοίκησης και να πιστοποιείται σύμφωνα με το αναμενόμενο ευρωπαϊκό πρότυπο (ΕΝ) 14169
Χρήση 1) έλεγχος ταυτότητας κατόχου ηλεκτρονικά 2) ταξιδιωτικό έγγραφο με εμβέλεια όλη την ΕΕ 3) πρόσβαση σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (12)
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Εισαγωγή (22)
Προκειμένου να επιτευχθούν οι στόχοι με απόλυτη ασφάλεια και προστασία της ιδιωτικότητας η ηλεκτρονική κάρτα ταυτότητας δεν μπορεί παρά να είναι μια έξυπνη κάρτα
Η έξυπνη κάρτα με την ενσωμάτωση ενός ασφαλούς ολοκληρωμένου κυκλώματος λειτουργεί ως ένας πολύ μικρός υπολογιστής με το λειτουργικό σύστημα της να ελέγχει την εκτέλεση των εφαρμογών
τους περιορισμούς πρόσβασης και
την επικοινωνία με το εξωτερικό περιβάλλονΙδιαίτερα ευαίσθητα στοιχεία όπως οι ιδιότητεςχαρακτηριστικά των χρηστών ή τα κρυπτογραφικά κλειδιά για την επικύρωσή τους δε διαρρέουν (released) ποτέ εκτός κάρτας και όλες οι διαδικασίες
διεκπεραιώνονται από το λειτουργικό σύστημα της κάρτας
Αρχικά γίνεται μια σύντομη ιστορική αναδρομή και αναφορά στην ιδιοσυστασία της έξυπνης κάρτας τα οφέλη της χρήσης της την ασφάλεια της και την προτυποποίηση της
Έπειτα το ενδιαφέρον επικεντρώνεται στον καθορισμό τη χρήση και τις λειτουργίες της ECC στα πλαίσια συμμόρφωσης και με τις απαιτήσεις της Δημόσιας Διοίκησης
Εν συνεχεία παρατίθεται το υπάρχον νομικό πλαίσιο γύρω απrsquo την ευρωπαϊκή κάρτα πολίτη όπως αυτό αποτυπώνεται τόσο στην ευρωπαϊκή όσο και στην ελληνική νομοθεσία
Την παρουσίαση των φυσικών και ηλεκτρικών χαρακτηριστικών της ευρωπαϊκής κάρτας πολίτη ακολουθεί η παράθεση των απαιτήσεων ασφάλειας ενώ γίνεται ακόμη αναφορά στα λειτουργικά συστήματα και τις εταιρίες παραγωγής των καρτών
Department of Information amp Communication Systems Engineering
Δομή εργασίας (12)
Προχωρώντας ερευνώνται τα δεδομένα στο ολοκληρωμένο κύκλωμα της κάρτας πολίτη και παρουσιάζονται οι μηχανισμοί ασφάλειας των εν λόγω δεδομένων στο ολοκληρωμένο κύκλωμα της κάρτας
Τη λογική συνέχεια της έρευνας αποτελεί η μελέτη των αλγόριθμων και των τύπων των ηλεκτρονικών υπογραφών τα πιστοποιητικά και οι αλληλεπιδράσεις μεταξύ της SSCD και της SCA
Τέλος μελετάται η θέση της κάρτας πολίτη στον ΕΟΧ οι χώρες-μέλη με και χωρίς ηλεκτρονική ταυτότητα για να κλείσουμε με τα συμπεράσματα και τις προτάσεις
Department of Information amp Communication Systems Engineering
Δομή εργασίας (22)
Καθορισμός ECC = εξατομικευμένη (personalized) έξυπνη κάρτα Μορφότυπος = ID-1 θα φέρει ασφαλή χαρακτηριστικά γνωρίσματα και μία
επαφική ήκαι ανεπαφική διασύνδεση (contactcontactless interface)
Τέλος θα πρέπει να συμμορφώνεται με τις απαιτήσεις της δημόσιας διοίκησης και να πιστοποιείται σύμφωνα με το αναμενόμενο ευρωπαϊκό πρότυπο (ΕΝ) 14169
Χρήση 1) έλεγχος ταυτότητας κατόχου ηλεκτρονικά 2) ταξιδιωτικό έγγραφο με εμβέλεια όλη την ΕΕ 3) πρόσβαση σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (12)
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Αρχικά γίνεται μια σύντομη ιστορική αναδρομή και αναφορά στην ιδιοσυστασία της έξυπνης κάρτας τα οφέλη της χρήσης της την ασφάλεια της και την προτυποποίηση της
Έπειτα το ενδιαφέρον επικεντρώνεται στον καθορισμό τη χρήση και τις λειτουργίες της ECC στα πλαίσια συμμόρφωσης και με τις απαιτήσεις της Δημόσιας Διοίκησης
Εν συνεχεία παρατίθεται το υπάρχον νομικό πλαίσιο γύρω απrsquo την ευρωπαϊκή κάρτα πολίτη όπως αυτό αποτυπώνεται τόσο στην ευρωπαϊκή όσο και στην ελληνική νομοθεσία
Την παρουσίαση των φυσικών και ηλεκτρικών χαρακτηριστικών της ευρωπαϊκής κάρτας πολίτη ακολουθεί η παράθεση των απαιτήσεων ασφάλειας ενώ γίνεται ακόμη αναφορά στα λειτουργικά συστήματα και τις εταιρίες παραγωγής των καρτών
Department of Information amp Communication Systems Engineering
Δομή εργασίας (12)
Προχωρώντας ερευνώνται τα δεδομένα στο ολοκληρωμένο κύκλωμα της κάρτας πολίτη και παρουσιάζονται οι μηχανισμοί ασφάλειας των εν λόγω δεδομένων στο ολοκληρωμένο κύκλωμα της κάρτας
Τη λογική συνέχεια της έρευνας αποτελεί η μελέτη των αλγόριθμων και των τύπων των ηλεκτρονικών υπογραφών τα πιστοποιητικά και οι αλληλεπιδράσεις μεταξύ της SSCD και της SCA
Τέλος μελετάται η θέση της κάρτας πολίτη στον ΕΟΧ οι χώρες-μέλη με και χωρίς ηλεκτρονική ταυτότητα για να κλείσουμε με τα συμπεράσματα και τις προτάσεις
Department of Information amp Communication Systems Engineering
Δομή εργασίας (22)
Καθορισμός ECC = εξατομικευμένη (personalized) έξυπνη κάρτα Μορφότυπος = ID-1 θα φέρει ασφαλή χαρακτηριστικά γνωρίσματα και μία
επαφική ήκαι ανεπαφική διασύνδεση (contactcontactless interface)
Τέλος θα πρέπει να συμμορφώνεται με τις απαιτήσεις της δημόσιας διοίκησης και να πιστοποιείται σύμφωνα με το αναμενόμενο ευρωπαϊκό πρότυπο (ΕΝ) 14169
Χρήση 1) έλεγχος ταυτότητας κατόχου ηλεκτρονικά 2) ταξιδιωτικό έγγραφο με εμβέλεια όλη την ΕΕ 3) πρόσβαση σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (12)
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Προχωρώντας ερευνώνται τα δεδομένα στο ολοκληρωμένο κύκλωμα της κάρτας πολίτη και παρουσιάζονται οι μηχανισμοί ασφάλειας των εν λόγω δεδομένων στο ολοκληρωμένο κύκλωμα της κάρτας
Τη λογική συνέχεια της έρευνας αποτελεί η μελέτη των αλγόριθμων και των τύπων των ηλεκτρονικών υπογραφών τα πιστοποιητικά και οι αλληλεπιδράσεις μεταξύ της SSCD και της SCA
Τέλος μελετάται η θέση της κάρτας πολίτη στον ΕΟΧ οι χώρες-μέλη με και χωρίς ηλεκτρονική ταυτότητα για να κλείσουμε με τα συμπεράσματα και τις προτάσεις
Department of Information amp Communication Systems Engineering
Δομή εργασίας (22)
Καθορισμός ECC = εξατομικευμένη (personalized) έξυπνη κάρτα Μορφότυπος = ID-1 θα φέρει ασφαλή χαρακτηριστικά γνωρίσματα και μία
επαφική ήκαι ανεπαφική διασύνδεση (contactcontactless interface)
Τέλος θα πρέπει να συμμορφώνεται με τις απαιτήσεις της δημόσιας διοίκησης και να πιστοποιείται σύμφωνα με το αναμενόμενο ευρωπαϊκό πρότυπο (ΕΝ) 14169
Χρήση 1) έλεγχος ταυτότητας κατόχου ηλεκτρονικά 2) ταξιδιωτικό έγγραφο με εμβέλεια όλη την ΕΕ 3) πρόσβαση σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (12)
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Καθορισμός ECC = εξατομικευμένη (personalized) έξυπνη κάρτα Μορφότυπος = ID-1 θα φέρει ασφαλή χαρακτηριστικά γνωρίσματα και μία
επαφική ήκαι ανεπαφική διασύνδεση (contactcontactless interface)
Τέλος θα πρέπει να συμμορφώνεται με τις απαιτήσεις της δημόσιας διοίκησης και να πιστοποιείται σύμφωνα με το αναμενόμενο ευρωπαϊκό πρότυπο (ΕΝ) 14169
Χρήση 1) έλεγχος ταυτότητας κατόχου ηλεκτρονικά 2) ταξιδιωτικό έγγραφο με εμβέλεια όλη την ΕΕ 3) πρόσβαση σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (12)
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Λειτουργίες προσδιορισμός και επικύρωση κατόχου από
ηλεκτρονικά μέσα
αμοιβαία επικύρωση μεταξύ της κάρτας και του τερματικού
εξασφάλιση των διαβιβαζόμενων στοιχείων με τη χρήση της επαφικής ή ανεπαφικής διασύνδεσης
παραγωγή ηλεκτρονικής υπογραφής
μηχανισμούς ελέγχου πρόσβασης για τα αποθηκευμένα στοιχεία
ικανότητες πολυ-εφαρμογής
Department of Information amp Communication Systems Engineering
Εισαγωγή στην ECC (22)
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Οι τέσσερις βασικές προσεγγίσεις
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Part 1 Physical electrical and transport protocol characteristicsPart 2 Logical data structures and card servicesPart 3 ECC interoperability using an application interface (middleware)Part 4 Recommendations for ECC issuance operation and use (οργανωσιακά)
Ευρωπαϊκή Κάρτα Πολίτη
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (12) Ν24721997 laquoπερί προστασίας του ατόμου έναντι της
επεξεργασίας δεδομένων προσωπικού χαρακτήραraquo
Ν 27741999 laquoπερί προστασίας των δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέαraquo ο οποίος αντικαταστάθηκε από τον Ν 34712006 ως
εναρμόνιση με Οδηγία 200258ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών
την Οδηγία 9546ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη διακίνηση των δεδομένων αυτών και το
Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα του Ανθρώπου
10 50
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Προσωπικά δεδομέναldquoκάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο του οποίου ή ταυτότητα είναι γνωστή ή μπορεί να προσδιοριστεί άμεσα ή έμμεσα ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική βιολογική ψυχική οικονομική πολιτιστική πολιτική ή κοινωνικήrdquo (Οδηγία 9546 άρθ 2Α)
Η αυτοματοποιημένη ή από αρχείο χρήση των προσωπικών δεδομένων επιτρέπεται εφόσον κυρίως
ενημερωθεί το άτομο για την ταυτότητα αυτού που πρόκειται να χρησιμοποιήσει τα δεδομένα καθώς και για το σκοπό της χρήσης
υπάρχει η συγκατάθεση του ατόμου ή άλλος νόμιμος λόγος για την επιτρεπόμενη χρήση
τα δεδομένα είναι σχετικά με το σκοπό της χρήσης ακριβή επικαιροποιημένα και όχι περισσότερα από όσα είναι αναγκαίο για το σκοπό της χρήσης (Οδηγία 9546 άρθ 6)
11 50
Νομικά Διασφάλιση της ιδιωτικότητας του ατόμου (22)
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
ΕΚ 22522004 Τα δεδομένα ενσωματώνονται κατά τρόπο ασφαλή και το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα η αυθεντικότητα και η εμπιστευτικότητα των δεδομένων
πρόσθετα χαρακτηριστικά και απαιτήσεις ασφαλείας περιλαμβανομένων ενισχυμένων προτύπων για την καταπολέμηση της πλαστογράφησης απομίμησης και παραποίησης
τεχνικές προδιαγραφές σχετικές με το μέσο αποθήκευσης των βιομετρικών χαρακτηριστικών και την ασφάλειά του περιλαμβανομένης της πρόληψης της πρόσβασης χωρίς άδεια
απαιτήσεις σχετικές με την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα του προσώπου και τα δακτυλικά αποτυπώματα
δεν επιτρέπεται να περιέχει καμία πληροφορία υπό μορφή αναγνώσιμη από μηχάνημα εκτός αν αυτή προβλέπεται από τον παρόντα κανονισμό ή από το παράρτημά του ή αναγράφεται στο διαβατήριο ή στο ταξιδιωτικό έγγραφο από το εκδίδον κράτος μέλος σύμφωνα με την εθνική του νομοθεσία
12 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (12)
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
ΕΚ 22522004 τα βιομετρικά χαρακτηριστικά χρησιμοποιούνται αποκλειστικά για την εξακρίβωση
της γνησιότητας του εγγράφου
της ταυτότητας του κατόχου μέσω άμεσα διαθέσιμων συγκρίσιμων χαρακτηριστικών στις περιπτώσεις που είναι υποχρεωτική δια νόμου η επίδειξη
Τα ταξιδιωτικά έγγραφα πρέπει να εκδίδονται υπό μορφή αναγνώσιμη από μηχάνημα
Πληρούν τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο παράρτημα (EK 4442009)
Η διάταξη της σελίδας με τα στοιχεία κατόχου πρέπει να πληροί τις προδιαγραφές που καθορίζονται από ICAO 9303-1 ενώ οι τεχνικές έκδοσης πρέπει να πληρούν τις προδιαγραφές που ορίζονται από το ίδιο έγγραφο για τα αναγνώσιμα από μηχάνημα έγγραφα
13 50
Νομικά Διαβατήρια και Ταξιδιωτικά Έγγραφα (22)
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Υλικά κατασκευής σώματος κάρτας
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PVC Αρκετά καλή Περι-ορισμένηΓρήγορη διά-βρωση άλλων
υλικών
Επικίνδυνο (τοξικό)
Περι-ορισμένη Πολύ φθηνό Δυνατή
Ευρύ φάσμα εφαρμογών εμπειρία
από μακρό-χρονη χρήση μικρή ανθεκτι-
κότητα σε χημικές ουσίες και UV ακτινο-
βολία
ABS Πολύ καλή ΥψηλήΠερι-ορισμένη με το μελάνι
Κακή Περι-ορισμένη Φθηνό ΔυνατήΧαμηλή αντίσταση
στη διάβρωση
PCΚαλή αλλά δύσκολη
Πολύ υψηλήΥψηλή έως ιδανική (για ορισμένα)
Επικίνδυνο Υψηλή Ακριβό Δυνατή
Πολύ σταθερό ενάντια στην κάμψη και τη UV ακτινο-
βολία ευαισθησία στο γρα-τζούνισμα
Δυνατότητα διαμόρφωσ
ης
Ανθεκτικότητα στις ακραίες
θερμοκρασίας
Συμβατότητα με υπόλοιπα
υλικά
Περιβαλλοντική
συμβατότητα
Διάρκεια ζωής
ΚόστοςΑνακύκλω
σηΆλλα
PET Πολύ καλή Πολύ υψηλή Καλή Υψηλή Φθηνό
Χημική ανθεκτι-κότητα πιο εύκαμπτο και λιγότερο ευπαθές στις γρα-τζουνιές από
το PC
PETG Καλή Πολύ υψηλήΌχι πολλές συμβατές
ουσίεςΑρκετά καλή Υψηλή
Αρκετά φθηνό
ΔυνατήΔυσκο-λότερη επεξ-εργασία από το PVC
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Διαστάσεις ζώνες και περιεχόμενο
ΥπογραφήΟνοματεπώνυμοΗμνία γέννησης Ομάδα αίματοςΤόπος γέννησηςΕθνικότηταΑρ κάρταςΗμνία έκδοσηςΗμνία λήξηςΠροσδιορισμός αρχής
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Επίπεδα επαλήθευσης
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (13)
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Εκτύπωση υποβάθρου και κειμένου Το υπόβαθρο πρέπει να περιέχει σύνθετα σχέδια με
τουλάχιστον δύο ειδικά χρώματα και να περιλαμβάνει μινιεκτύπωση καιή μικροεκτύπωση
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (23)
Χρήση ανάγλυφων δομών μαζί με παραδοσιακά γραμμοκοσμήματα (όπως χαρτονομίσματα)
Τέλος συστήνεται να αποφεύγονται τα δημόσια διαθέσιμα πακέτα λογισμικού για τη γραφική σχεδίαση ή να χρησιμοποιούνται μόνο σε συνδυασμό με ειδικά λογισμικά ασφαλούς σχεδιασμού
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Μελάνια και άλλα μέσα απεικόνισης
UV μελάνι φθορισμού (επίπεδο 2 καιή επίπεδο 3) είτε στο υπόβαθρο είτε σε άλλο σημείο
Οπτικά μεταβλητή μελάνη (OVI)
Μελάνια ή συστατικά μελανιού που είναι ορατά μόνο κάτω από υπέρυθρες ακτίνες (IR εκτύπωση)
Τέλος ο ICAO στο έγγραφο 9303 παραθέτει μια λίστα πρόσθετων μελανιών τα οποία μπορούν να χρησιμοποιηθούν
Multiple Laser Image
Γραμμοκοσμήματα και λεπτόγραμμα μοτίβα
Department of Information amp Communication Systems Engineering
Χαρακτηριστικά γνωρίσματα ασφάλειας (33)
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Contact interface ISOIEC 7816 διασύνδεση τσιπ πρωτόκολλα επικοινωνίας και υποστηριζόμενες εντολές
Contactless interface ISOIEC 14443 πρωτόκολλα και εντολές για την επικοινωνία ανάμεσα στην
κάρτα και τον αναγνώστη εντολές για την επιλογή καρτών που βρίσκονται στην εμβέλεια
του αναγνώστη και μεθόδους αποφυγής συγκρούσεων όταν υπάρχουν πολλαπλές
κάρτες Ο ICAO επιλέγει IC με contactless interface λόγω των
πολλών πλεονεκτημάτων του μικρού ρίσκου (απόσταση το πολύ 10 εκ όπως ορίζει το ISOIEC 14443) ενώ το CEN αφήνει την επιλογή στον εκδότη-κατασκευαστή
Department of Information amp Communication Systems Engineering
Ηλεκτρικά χαρακτηριστικά
Τύπος Διεπαφής Κόστος
Επαφής N
Ανεπαφικό N + 15-30
Διπλής διεπαφής (1 τσιπ) N + 50-100
Υβριδικό (2 τσιπ) N + 80-120
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Εκτύπωση ασφάλειας
Εκτύπωση offset
Εκτύπωση ίριδας (Rainbow colouring)
Βαθυτυπία (intaglio printing)
Μεταξοτυπία (Screen printing)
Ψηφιακή εκτύπωση
Εκτύπωση υποβάθρου
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (13)
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Προστασία ενάντια στην αντιγραφή Εκτός των προαναφερθέντων οι συστάσεις CEN και ICAO
υπαγορεύουν τη χρήση μιας οπτικά μεταβλητής ή ισοδύναμης διάταξης η οποία θα λαμβάνει τη μορφή περιθλαστικών δομών που ποικίλλουν όταν εξετάζονται από διαφορετικές γωνίες
Διαφανές κινεγράφημα ndash Μεταλλωμένο κινεγράφημα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (23)
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Τεχνικές εξατομίκευσης ηλεκτροφωτογραφική εκτύπωση (πχ εκτύπωση λέιζερ) θερμική εκτύπωση μεταφοράς (thermal transfer printing) ink-jet εκτύπωση φωτογραφικές διαδικασίες χάραξη λέιζερ
Η επιλογή είναι ένα θέμα του κάθε κράτος που παίζει το ρόλο του εκδότη και θα εξαρτηθεί από διάφορους παράγοντες όπως ο όγκος των καρτών που παράγονται ο τρόπος κατασκευή της κάρτας και εάν πρόκειται να εξατομικευθεί κατά τη διάρκεια της
διαδικασίας παραγωγής της κάρτας ή μετέπειτα Οποιαδήποτε τεχνική επιλέγεται είναι απαραίτητο να
λαμβάνονται προφυλάξεις για να προστατεύσουν τις εξατομικευμένες λεπτομέρειες από την παραποίηση πχ μέσω της ασφαλούς επικάλυψης ή με τη διασφάλιση ότι η εικόνα εξατομίκευσης ενσωματώνεται στο υπόστρωμα
Department of Information amp Communication Systems Engineering
Τεχνικές φυσικής προστασίας (33)
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Κατασκευαστές
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Ενσωμάτωση Βιομετρικών
Διαβατήρια amp Ταξιδ έγγραφαΕικόνα προσώπου JPG
lt20KB ISOIEC 19794-5
2 δακτυλικά αποτυπώματα WSQ 10KB 2
MRZ
ΑΔ ΔΔ
EU Counter-Terrorism Strategy rsquo05
Διεθνής Οργανισμός Πολιτικής Αεροπορίας (International Civil Aviation Organization ICAO) Doc 9303
Κοινοτική Νομοθεσία ΕΚ 22522004 ΕΚ 4442009
ΥΑ30212010 (ΦΕΚ Βrsquo 12981782010)
ΕΚ 5622006 δε διενεργείται συνοριακός έλεγχος - Σένγκεν
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
ΕΚ 4442009 Ο κανονισμός ΕΚ 22522004 δεν παρέχει νομική βάση για
τη δημιουργία ή διατήρηση ΒΔ για την αποθήκευση των δεδομένων αυτών στα κράτη μέλη θέμα το οποίο υπάγεται αποκλειστικά στην εθνική νομοθεσία
Δακτυλικά Απαλλάσσονται παιδιά κάτω των 12 ετών
Απαιτήσεις για την ποιότητα και τα κοινά πρότυπα όσον αφορά την εικόνα προσώπου και τα δακτυλικά αποτυπώματα
Οι κανονισμοί ΕΚ 22522004 ΕΚ 4442009 δεν αφορούν τα έγγραφα ταυτότητας που εκδίδουν τα κράτη-μέλη για τους υπηκόους τους
Νομικά Βιομετρικά στα Ταξιδιωτικά Έγγραφα
Η μη αναγραφή στην ταυτότητα ή στην κάρτα πολίτη των απαιτούμενων στοιχείων για τα διαβατήρια ή ταξιδιωτικά έγγραφα (όπως δακτυλικά αποτυπώματα) δε δημιουργεί πρόβλημα όσον αφορά τη διέλευση των παραπάνω δικαιούχων προσώπων των εσωτερικών συνόρων της ζώνης Σένγκεν
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Υποχρεωτικά Δεδομένα κατά ICAO Doc 9303 P3V2
contactless gt 32 KB
EFCOM
Περιεχόμενα
Εφαρμογής
Λίστα tags
των DGs
LDS ver
EFDIR
Λίστα
Εφαρμογών
Κάρτας +
ECC προφίλCEN 15480-2
EFSOD
HAS
H
CDS
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Το αποτέλεσμα του βιομετρικού ελέγχου μεταβάλλει τη κατάσταση ασφάλειας ICC και IFD ακολουθεί Secure Messaging επικοινωνία
Department of Information amp Communication Systems Engineering
Βιομετρική Ταυτοποίηση
Τετραπλός Έλεγχος Match-on-card
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Ολλανδία PRIVIUM live σάρωση ίριδας σύγκριση με Privium Card χρόνος 10 ndash 15s
Ην Βασίλειο IRIS (Iris Recognition Immigration System) σύγκριση live βιομετρικού με ασφαλή ΒΔ
Πορτογαλία RAPID της Vision-Box επιβεβαίωση δεδομένων IC διαβατηρίου live σάρωση προσώπου amp σύγκριση με αποθηκευμένη IC χρόνος 20s
Αυτοματοποιημένη Διέλευση Συνόρων
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Τρόπος Αναγραφής Δεδομένων amp MRZ Xαρακτήρες
Ελέγχου επιθεωρούνται αυτόματα απόαναγνώστες
Συστάσεις ICAO 9303 P3V1 Περιεχόμενο VIZ MRZ Κωδικός Εθνικότητας ISO 3166-1 (GRC = Ελλάδα) Eπώνυμο
όνομα με λατινικούς χαρακτήρες μεταγραφή ΕΛΟΤ 743 (αντίστοιχο ISO 843)
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Σχηματισμός MRZ για ID1
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Σάρωση σε 2 φάσειςΑνήκουν όψεις στην ίδια κάρτα
Τοποθέτηση στην ίδια όψηMRZ μεγάλη έκταση
Λύσεις 2D Barcode CAN
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Παρέχει διαλειτουργικότητα αποθηκευμένων δεδομένων Δεδομένα οργανωμένα σε τυποποιημένες ομάδες (DGs) με
καθορισμένη σειρά Επεκτάσιμη δομή Eπαναλαμβανόμενη εμφωλευμένη δομή
για καταχώρηση πολλαπλών βιομετρικών ISOIEC 19785-1 Common Biometric Exchange Formats Framework
ISOIEC 7816-11 Identification cards - Integrated circuit Cards ndash Personal verification through biometric methods
Κάθε στοιχείο δεδομένων έχει μοναδική αρίθμηση Όλα τα στοιχεία του DG1 έχουν καθορισμένο σταθερό μέγεθος Υπάρχουν στοιχεία με μεταβλητό μέγεθος (πχ βιομετρικά) Τυχαία προσπέλαση (καταχώρηση και ανάγνωση) Το βιομετρικό μπλοκ δεδομένων της κάρτας ενδέχεται να
προστατεύεται με κρυπτογράφηση για προστασία της εμπιστευτικότητας ήκαι με ψηφιακή υπογραφή ή MAC για προστασία της ακεραιότητας
ISOIEC 7816-11
Λογική Δομή Δεδομένων LDS
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
ID-1
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Ιεραρχική Δομή Αρχείων
Επιλογή Εφαρμογών με χρήση αναγνωριστικού AID
Σύστημα αρχείων ISOIEC 7816-4
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
περιεχόμενο μηνυμάτων εντολών και αποκρίσεων που ανταλλάσσονται μεταξύ κάρτας ndash διεπαφής
βασικές εντολές για την ανταλλαγή δεδομένων Application Protocol Data Units (APDUs)
δομή αρχείων και δεδομένων κάρτας από την πλευρά της διεπαφής
μεθόδους πρόσβασης σε αρχεία και δεδομένα
αρχιτεκτονική ασφάλειας η οποία ορίζει δικαιώματα πρόσβασης σε αρχεία και δεδομένα της κάρτας
μέθοδοι για ασφαλή επικοινωνία (Secure Messaging συμμετρική κρυπτογράφηση)
μέθοδοι πρόσβασης στους αλγόριθμους που εκτελούνται από την κάρτα
Department of Information amp Communication Systems Engineering
Σύστημα αρχείων ISOIEC 7816-4
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
SELECT FILE READ BINARY
GET CHALLENGE (έκδοση πρόκλησης πχ παραγωγή τυχαίου αριθμού για κρυπτογραφική χρήση πχ αυθεντικοποίηση)
INTERNAL AUTHENTICATE (επιτρέπει σε IFD να αυθεντικοποιήσει το ICC το ICC λαμβάνει τον τυχαίο αριθμό που του στέλνει το IFD και τον κρυπτογραφεί εσωτερικά της κάρτας με το μυστικό ICC κλειδί επιστρέφει μετά το κρυπτογράφημα)
EXTERNAL AUTHENTICATE (επιτρέπει σε ICC να αυθεντικοποιήσει το IFD το ICC στέλνει τον τυχαίο αριθμό στο IFD το IFD τον κρυπτογραφεί εξωτερικά της κάρτας amp της επιστρέφει το κρυπτογράφημα)
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs) ISOIEC 7816-4
το ΛΣ της κάρτας μεταβάλει ανάλογα την εσωτερική κατάσταση λειτουργίας (state machine) επιτρέποντας έτσι
στο τερματικό να έχει πρόσβαση ανάγνωσης ή εγγραφής σε συγκεκριμένα αρχεία
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
VERIFY CERTIFICATE (αποστολή amp επιβεβαίωση της γνησιότητας ενός πιστοποιητικού στην κάρτα)
VERIFY DIGITAL SIGNATURE
Department of Information amp Communication Systems Engineering
Application Protocol Data Units (APDUs)
Εφαρμογή Card-Verifiable Certificates Ασύμμετρη Κρυπτογραφία
CEN 15480-3 ISO 7816-8
Υποχ
ρεωτι
κός
για
ECC
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Υποδομή Δημοσίου Κλειδιού
Technical Guideline TR-03110
για υπογραφή των δεδομένων κάρταςαυθεντικότητα
για ορισμό δικαιωμάτων πρόσβασης IS
έλεγχος πρόσβασης
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Passive Authentication του ICAO
Ψηφιακή υπογραφή σύνοψης δεδομένων από τον εκδότη της κάρτας (αυθεντικότητα amp ακεραιότητα)
Μείον δεν προστατεύει από chip - αντίγραφα
Active Authentication του ICAO
Aπαιτεί τη χρήση ενός ξεχωριστού κρυπτογραφικού ζεύγους κλειδιών Το ιδιωτικό κλειδί τηρείται στην ασφαλή μνήμη του IC (αδύνατη η αντιγραφήεξαγωγή του) Το δημόσιο κλειδί επιβεβαίωσης αποθηκεύεται στο DG15 της LDS
Χρήση της INTERNAL AUTHENTICATE για υπογραφή πρόκλησης εσωτερικά στο IC απόδειξη γνησιότητας IC
Μείον ζητήματα ιδιωτικότητας αν η πρόκληση που αποστέλλει το IS laquoκρύβειraquo σημασιολογικές πληροφορίες
Department of Information amp Communication Systems Engineering
Αυθεντικοποίηση Δεδομένων ICC
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Web browser εκκινεί το Middleware για έναρξη αυθεντικοποίησης Middleware συνδέεται με τον eID-server του Παρόχου Υπηρεσιών Middleware παρουσιάζει το πιστοποιητικό αυθεντικότητας και
δικαιωμάτων πρόσβασης του παρόχου Η κάρτα ελέγχει το PIN του κατόχου Η κάρτα ελέγχει το πιστοποιητικό του παρόχου (αλυσίδα πιστοποιητικών
έως CSCA) Ο Πάροχος ελέγχει την αυθεντικότητα του chip της κάρτας Εγκαθιδρύεται ασφαλές κανάλι επικοινωνίας chip κάρτας harr παρόχου Ο Πάροχος αποκτά πρόσβαση στα δεδομένα της κάρτας με βάση τα
οριζόμενα δικαιώματα του πιστοποιητικού τουDepartment of Information amp
Communication Systems Engineering
Online Αυθεντικοποίηση SP
Middleware
Πιστοπ CC
Πιστοπ CC
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Συμμετρικής Κρυπτογραφίας CEN 15480-2 EN 14890-1 (προϋποθέτει εγκαθίδρυση ασφαλώς των μυστικών κλειδιών)
Χρησιμοποιείται και στον BAC του ICAO Δεν προστατεύει ιδιωτικότητα (μετάδοση SNICC)
Αμοιβαία Αυθεντικοποίηση Συσκευών
Υποχ
ρεωτι
κός
για
ECC
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Παραγωγή Κλειδιών Συνόδου
Kseed = KIFD xor KICC
Στη περίπτωση του BAC (ICAO) Kseed = MSB16Bytes (HSHA-1 (MRZ_info) )
ICAO και CENΊδιο μηχανισμό
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Τελικό στάδιο μετά την ολοκλήρωση μηχανισμών αμοιβαίας αυθεντικοποίησης των 2 μερών
Προστασία ακεραιότητας καιή αυθεντικότητας μηνυμάτων μεταξύ Terminal και ICC
Send Sequence Counter στα μηνύματα 8 Bytes (επιθ επανεκπομπής)
Προστατευμένα APDUs (κρυπτογράφηση σώματος δεδομένων + MAC προστασία κεφαλίδας και σώματος δεδομένων)
(TDES ή AES) σε CBC Mode με κλειδιά συνόδου
Διακοπή του SM σε περίπτωση σφάλματος κλπ Επιτρέπει την επαναδιαπραγμάτευση για παραγωγή νέων κλειδιών συνόδου
Department of Information amp Communication Systems Engineering
Secure Messaging BSI-TR-03110 ενσωμάτωση CENEN 14890-1ISOIEC 7816-4
ICAO και CENΊδιο μηχανισμό
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Basic Access Control (BAC) του ICAO Βασίζεται στη παραγωγή συμμετρικού κλειδιού από MRZ Έπειτα εκτελεί αμοιβαία αυθεντικοποίηση με συμμετρική κρυπτογράφηση
(Διαφ 42) και ολοκληρώνεται με SM Μείον μυστικότητα MRZ ζώνης Μείον κρυπτογραφικά αδύναμα κλειδιά σχετίζονται με τη σχετικά χαμηλή
εντροπία 40 ndash 50 bits της MRZ
Password Authenticated Connection Establishment (PACE) του BSI Εντροπία passwords μικρή επιρροή στα παραγόμενα κλειδιά Βασίζεται στο πρωτόκολλο συμφωνίας κλειδιού Diffie-Hellman Υποστηρίζει 4 διαφορετικούς τύπους CAN PIN PUK MRZ Αντικαταστάτης του BAC
Μηχανισμοί Ελέγχου Πρόσβασης (12)
Κλειδιά καιή Πιστοποιητικά Πάροχος Υπηρεσιών
Ευαίσθητα Δεδομένα
Αυθεντικοποίηση
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Extended Access Control (EAC) Προτάθηκε αρχικά από BSI υιοθετήθηκε από ICAO και CEN
Εισάγει διαβαθμίσεις τερματικών
Ta τερματικά έχουν διαφορετικά δικαιώματα πρόσβασης σε εφαρμογές και δεδομένα της κάρτας όπως ορίζονται στα πιστοποιητικά τους
Χρησιμοποιείται για έλεγχο πρόσβασης στα ιδιαιτέρως ευαίσθητα δεδομένα όπως βιομετρικά και όχι μόνο
Μείον επιβάρυνση DV οντοτήτων για έκδοση πληθώρας πιστοποιητικών για τους τύπους τερματικών
Λύση δημιουργία κεντρικής online αρχής που τηρεί σε ΒΔ τα δικαιώματα πρόσβασης κάθε αρχής δικαιοδοσίας σε εφαρμογές
Περιλαμβάνει υπο-πρωτόκολλα Terminal Authentication
Tο τερματικό υπογράφει τυχαία πρόκληση και εφήμερο δημόσιο κλειδί με το πιστοποιημένο του κλειδί
Chip Authentication
Bελτίωση του μηχανισμού Active Authentication
Tα 2 μέρη εγκαθιδρύουν ένα μυστικό Diffie-Hellman κλειδί από το εφήμερο του τερματικού και το πιστοποιημένο στατικό κλειδί του τσιπ
Συνέχεια με SM
Μηχανισμοί Ελέγχου Πρόσβασης (22)
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Αρχική επικοινωνία ανεπαφικού IC (ISOIEC 14443) με IFD Ιχνηλασιμότητα μέσω του στατικού Μοναδικού Αναγνωριστικού UID του IC rarr τυχαία UIDs
Μοναδικά αναγνωριστικά για πρόσβαση σε υπηρεσίες που παρουσιάζουν κάποια σημασιολογία πχ ΑΜΚΑ (ημ γεν)
Συνδεσιμότητα UIDs από χρήση τους σε άλλες συναλλαγέςσυγκερασμός ΒΔ rarr χρήση αναγνωριστικών τομέα pseudonymous identifiers
Αυστρία ο προσωπικός αριθμός αναγνώρισης (sourcePIN) χρησιμοποιείται πάντα κρυπτογραφημένος και μάλιστα ανάλογα με την συναλλαγή
Γερμανία Περιορισμούς από το Σύνταγμα στη χρήση καθολικών μοναδικών αναγνωριστικών γενικής χρήσης
Ζητήματα Ιδιωτικότητας - Αναγνωριστικά
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Προφίλ d) eID (IAS) Επιλογή Γαλλίας
ECC συμβατότητα
Backwards compatibility με τις σημερινές υποδομές της χώρας (PKI ePassport κάρτα υγείας - Carte Vitale)
CEN 15480-3 Προφίλ ΕφαρμογώνΑσφαλείς Υπηρεσίες Identification Authentication Signature - IAS
Προφίλ α) eID
μία μοναδική ανεπαφική διεπαφή
eID εφαρμογή δεδομένα συμβατικών ταυτοτήτων αποθήκευση σε ξεχωριστές ομάδες δεδομένων
ICAO εφαρμογή υποχρεωτικοί μηχανισμοί Passive Authentication BAC EAC με Chip amp Terminal Authentication Secure Messaging
SIG εφαρμογή υπογραφών δυνατότητα εγκατάστασης πιστοποιητικών ή κλειδιών κατά το χρόνο έκδοσης ή φάσης personalization της κάρτας
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
ΕΡΩΤΗΜΑΤΑΗλεκτρονική Κάρτα
(eID)
Εξυπηρετεί μόνο σκοπούς
ταυτοποίησης
Πολυχρηστική
Ηλεκτρονικές Υπογραφές
Ψηφιακά Πιστοποιητικά
Δημόσια Διοίκηση
Ιδιωτικοί
Φορείς
ΕΡΩΤΗΜΑΤΑ Τι είναι Παρεχόμενες υπηρεσίες Νομικό και κανονιστικό πλαίσιο Αρμόδιες αρχές Πωςπου παράγονται Αλληλεπιδράσεις εφαρμογής-
Κάρτας Παρούσα κατάσταση σε άλλα
Κράτη-Μέλη
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Αποτελεί μια μέθοδο τεκμηρίωσης με ηλεκτρονικά μέσα με σκοπό να διασφαλίσει αφενός τη γνησιότητα και ακρίβεια της δήλωσης βούλησης που περιέχει και αφετέρου τα στοιχεία του προσώπου που προβαίνει στη δήλωση αυτή
Επιβεβαιωτική λειτουργία
Εμπιστευτική λειτουργία
Διενέργεια ηλεκτρονικών συναλλαγών
Department of Information amp Communication Systems Engineering
Τι είναι η Ηλεκτρονική Υπογραφή
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Αυθεντικοποίηση
Η οντότητα είναι όντως αυτή που ισχυρίζεται
Ακεραιότητα δεδομένων
Τα δεδομένα δεν έχουν παραποιηθεί
Μη αποποίηση
Το συμβαλλόμενο μέρος δεν μπορεί να αρνηθεί
την συμμετοχή του στη συναλλαγή σε
μελλοντικό χρόνοDepartment of Information amp
Communication Systems Engineering
Ηλεκτρονικές Υπογραφές
Με τις ηλεκτρονικές υπογραφές επιτυγχάνεται
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Δημιουργία Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Κρυπτογράφησημε κλειδί το ΙΔΙΩΤΙΚΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Ιδιωτικό Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50eA22c8375e939d1dcf7f38fa2
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Επαλήθευση Ηλεκτρονικής Υπογραφής
Αλγόριθμος κατακερματισμούDigestHash Algorithm
πχ SHA1
Ασύμμετρη Αποκρυπτογράφησημε κλειδί το ΔΗΜΟΣΙΟ κλειδί
του συντάκτηπχ αλγόριθμος RSA
Δημόσιο Κλειδί του ΠΔ 1502001
30818902818100d802d57ff0d41dd0c092e6e7e235a1f8d7a3b55020f7d452013f5bd5289168acbf1f1a4b5d9a6ead04f2276ce212724f33ee1b59f70e225d50ea22c8375e939d1dcf7f38fa206551b873c5a6978987b41be7ea1ae6a0b3bc6717b8e4f9c04409c7371acf057571a87a1f0968da2d65d6ceace236ab7141dffa7a6316dd1a8e2f0203010001
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Τα ψηφιακά πιστοποιητικά αποτελούν αποδεικτικό ταυτότητας Η Αρχή Πιστοποιητικών είναι ένα τρίτο
έμπιστο μέρος που πιστοποιεί την αυθεντικότητα των χρηστών
Το επιτυγχάνει δημιουργώντας ψηφιακά πιστοποιητικά με τα οποία δεσμεύει την ταυτότητα του χρήστη με το δημόσιο κλειδί του
Ο χρήστης οφείλει να παρουσιάσει το πιστοποιητικό με σκοπό να αποδείξει την ταυτότητά του (αυθεντικοποίηση)
Department of Information amp Communication Systems Engineering
Ψηφιακά Πιστοποιητικά
Η απόδειξη της ταυτότητας μπορεί να χρησιμοποιηθεί για τον καθορισμό δικαιωμάτων πρόσβασης (εξουσιοδότηση)
Το πιστοποιητικό είναι ισοδύναμο με ένα ψηφιακό διαβατήριο
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Οδηγία 199993ΕΚ
Department of Information amp Communication Systems Engineering
Οδηγία 199993ΕΚ
Ορισμοί amp χαρακτηριστι
κά
Ισχύοντες όροι για ορισμένους παρόχους
υπηρεσιών πιστοποίησης
Στοιχεία που περιλαμβάνει ένα αναγνωρισμένο πιστοποιητικό
Συστάσεις για την ασφαλή επαλήθευση
της υπογραφής
Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας
υπογραφής
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Εθνική σχετική νομοθεσία ndash κείμενα
Άρθρο 14 του ν267298 όπου περιέχεται μία αρχική αλλά
περιορισμένη αναγνώρισή τους σε διαδικασίες του δημόσιου τομέα
Προεδρικό Διάταγμα 1502001 (εναρμόνισε το εθνικό μας
δίκαιο με την Οδηγία)
καθόρισε την ΕΕΤΤ ως αρμόδια αρχή για την εποπτεία των εγκατεστημένων στην Ελλάδα ΠΥΠ
Προεδρικό Διάταγμα 34202 το οποίο προσδιορίζει περαιτέρω
κάποιους όρους για τη διακίνηση ψηφιακά υπογεγραμμένων μηνυμάτων του ηλεκτρονικού ταχυδρομείου στις επικοινωνίες του δημόσιου τομέα
Άρθρο 20 του ν344806 μετά τις τροποποιήσεις του άρθρου 25
του ν 35362007 ορίστηκε ως Αρχή Πιστοποίησης του Ελληνικού Δημοσίου η Υπηρεσία Ανάπτυξης ΠληροφορικήςDepartment of Information amp Communication
Systems Engineering
Νομικό Πλαίσιο (12)
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Εθνική σχετική νομοθεσία ndash κείμενα
Εγκύκλιος ΥΑΠΦ601021711-5-2007 ορίζεται η Διαδικασία Έκδοσης Αναγνωρισμένου Πιστοποιητικού
Κανονισμοί EEET σχετικά με την
Εθελοντική Διαπίστευση των ΠΥΠ
Διαπίστωση (της συμμόρφωσης με τις απαιτήσεις της Οδηγίας) βασικών προϊόντων ηλεκτρονικής υπογραφής
Ορισμό των Φορέων που θα προβαίνουν σε σχετικούς ελέγχους και διαπιστεύσεις για λογαριασμό της ΕΕΤΤ
Γενικός Κανονισμός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής
Department of Information amp Communication Systems Engineering
Νομικό Πλαίσιο (22)
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering 57
Τύποι ηλεκτρονικών υπογραφών
Ηλεκτρονικές Υπογραφές
Προηγμένες Ηλεκτρονικές Υπογραφές
Αναγνωρισμένες Υπογραφές
Συνδέεται μονοσήμαντα με τον υπογράφοντα
Eίναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος
Δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο
Συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων
Απαιτήσεις ασφάλειας προηγμένων υπογραφών +Αναγνωρισμένα Πιστοποιητικά +Ασφαλή Διάταξη Δημιουργίας Υπογραφής
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Πρώτη απαίτηση Η μορφή των ηλεκτρονικών υπογραφών και των σχετικών πιστοποιητικών θα πρέπει να είναι διαλειτουργική Οι υπογραφές πιστοποιούνται σε διαφορετικές εφαρμογές
και περιβάλλοντα άγνωστες στον υπογράφων
Η μορφή των υπογραφών και των πιστοποιητικών προτυποποιούνται με σκοπό να διασφαλιστεί η διαλειτουργικότητα
Δεύτερη απαίτηση Η διεπαφή της διάταξης θα πρέπει να είναι interoperable τουλάχιστον για το ίδιο τύπο διάταξης (έξυπνη κάρτα USB-συσκευή κα) Ο υπογράφων θα πρέπει να μπορεί να χρησιμοποιεί διάταξη
υπογραφής σε διαφορετικές εφαρμογές και περιβάλλοντα
Department of Information amp
Communication Systems Engineering
Απαιτήσεις για SSCDs σύμφωνα με τα EU νομοτεχνικά πρότυπα
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
ΤΥΠΟΙ ΑΣΦΑΛΩΝ ΔΙΑΤΑΞΕΩΝ ΔΗΜΙΟΥΡΓΙΑΣ ΥΠΟΓΡΑΦΗΣ
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Device authentication
Secure messaging
Υπάρχουν δύο διαφορετικά περιβάλλοντα
Department of Information amp Communication Systems Engineering
Έλεγχος και Κατοχή του Συστήματος Δημιουργίας Υπογραφής
Έμπιστο περιβάλλον
Μη έμπιστο περιβάλλον
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Αλληλεπιδράσεις μεταξύ SCA και SSCD (12)
Δεδομένα που πρόκειται να υπογραφούν
(DTBS)
Σύνοψη Συμπλήρωση Υπογραφή Υπογραφή
Δεδομένα Δημιουργίας Υπογραφής
Υπηρεσίες υπογραφής +
συμπλήρωση στο SSCD Υπηρεσίες υπογραφής +
συμπλήρωση + εν μέρη σύνοψη στο SSCD
Λιγότερο
ασφαλές
Περισσότερο ασφαλές
Πιο ασφαλές
Υπηρεσίες υπογραφής μόνο
στο SSCD
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Αλληλεπιδράσεις μεταξύ SCA και SSCD (22)
Τα αρχεία που σχετίζονται με την εφαρμογή υπογραφών τοποθετούνται κάτω από το αρχείο DFCIA
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Δημιουργία Σύνοψης Αρχικού Κειμένου
Συνάρτηση προ-μορφοποίησης δεδομένων
Μηχανισμό μορφοποίησης (συνήθως padding)
Το παραγόμενο αποτέλεσμα DSI είναι μια συμβολοσειρά η οποία θα μετατραπεί
από τον αλγόριθμο υπογραφής
ΕΝΤΟΛΕΣ
PSOCOMPUTE DIGITAL SIGNATURE
PSOHASH
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
ΧώραID
κάρτα
Υποχρ
ε-
ωτική
ID
Υλοποιημέ
νη eID
Υποχρεωτι
κή eIDeID κόστος
eID
προγραμμα-
τισμένο
Ψηφ
Υπο-
γραφή
Αυστρία Ναι ΌχιΝαι
(από 2004)Όχι - Υπάρχει ήδη Ναι
Βέλγιο Ναι ΝαιΝαι
(από 2004)
Όχι
υποχρεω-
τική από
2012
euro10 έως euro25 Υπάρχει ήδη Ναι
Γαλλία Ναι Ναι Όχι - - Ναι -
Γερμανία Ναι Ναι
Ναι
(από Νοε
2010)
Όχι από το
2012
Ηλικία άνω των
24 euro2880 Ηλικία
έως 24 euro1980
Ηλικίες 16-18
Δωρεάν
Υπάρχει ήδη Ναι
Εσθονία Ναι ΝαιΝαι
(από 2002)Ναι euro16 Υπάρχει ήδη Ναι
Ην ΒασίλειοΝαι
μερι-κώςΌχι
Όχι (από
2006)
καταργή-
θηκε 2011
Όχι
καταργή-
θηκε
- Όχι -
Ισλανδία Ναι Ναι
Ναι
τραπεζικές
κάρτες (από
2008)
- - Υπάρχει ήδη Ναι
ID και eID κάρτες στoν ΕΟΧ
Ισπανία Ναι ΝαιΝαι
(από 2006)Ναι euro10 Υπάρχει ήδη Ναι
Ιταλία Ναι ΝαιΝαι
(από 2001)Ναι euro25 έως euro45 Υπάρχει ήδη Ναι
Λιθουανία Ναι ΝαιΝαι
(από 2009)Ναι euro2317 Υπάρχει ήδη Ναι
Ολλανδία Ναι ΝαιΝαι
(από 2005)Ναι euro4285 Υπάρχει ήδη Όχι
Πολωνία Ναι Ναι ΌχιΝαι για
άνω των 18-
Ναι
(από 2011)Ναι
Πορτογαλία Ναι ΝαιΝαι
(από 2007)Ναι euro12 Υπάρχει ήδη Ναι
Σουηδία Ναι ΌχιΝαι
(από 2005)Όχι euro42 Υπάρχει ήδη Ναι
Φιλανδία Ναι ΌχιΝαι
(από 2003)Όχι
Ενήλικες euro5147
παιδιά euro2573Υπάρχει ήδη Ναι
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Department of Information amp Communication Systems Engineering
Παρουσίαση χαρακτηριστικών γνωρισμάτων ασφάλειας καρτών στον ΕΟΧ
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
66
Το Σχόλιό μαςΈχουμε Ασφάλεια και Μηχανισμούς αλλά μετά τι
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Η Κάρτα Πολίτη δεν είναι μόνο μια τεχνική amp οργανωσιακή πρόκληση αλλά αποτελεί amp κοινωνικό ζήτημα
Δεν δίνεται ιδιαίτερη βαρύτητα σε οργανωσιακά ζητήματα παρότι ο αδύναμος κρίκος είναι ο ανθρώπινος παράγοντας
Department of Information amp Communication Systems Engineering 67
Συμπεράσματα (12)
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
Τα προσεχή χρόνια στον ΕΟΧ μόνο 3 κράτη αναμένεται να μη διαθέτουν eID κάρτα
Το επίπεδο ασφάλειας των έξυπνων καρτών ταυτότητας βελτιώνεται με τις τεχνολογικές εξελίξεις σήμερα είναι ιδιαίτερα υψηλό και αναμένεται να κυριαρχήσουν τα επόμενα χρόνια
Το αναμενόμενο νέο πρότυπο CEN 15480 της ECC δίνει έμφαση σε ζητήματα προστασίας της ιδιωτικότητας του πολίτη και είναι αρκετά γενικό ώστε να επιτρέπει επιλογές
Σε επίπεδο κράτους είναι απαραίτητη η προώθηση της διαφάνειας και η αύξηση της εμπιστοσύνης των πολιτών
Επίσης είναι απαραίτητη η ενημέρωση εκπαίδευση και ευαισθητοποίηση του πολίτη σε θέματα ασφάλειας και χρήσης των εν λόγω εφαρμογών
Department of Information amp Communication Systems Engineering
Συμπεράσματα (22)
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε
ή
Department of Information amp Communication Systems Engineering
Ευχαριστούμε