Embed Size (px)
Citation preview
Spojujeme software, technologie a služby
Od personalizace a sledování životního cyklu karet až
k bezkontaktní autentizaci a elektronickému podpisu
OKsmart a správa karet v systému OKbase
Martin Primas
vedoucí projektů informační bezpečnosti
Praha, 17.5.2012
Modulární systém OKbase
Správa karet Životní cyklus karet
Inicializace a personalizace karty
Grafická personalizace
Bezkontaktní personalizace
Kontaktní personalizace
Personalizační profily
OKsmart Představení produktu OKsmart
Plánované novinky v OKsmart 3.0
Správa klíčů
Správa certifikátů ve vývoji
Agenda
2
Celofiremní modulární sytém pro práci se zaměstnanci
Moduly pracují nad jednotnou datovou základnou
Moduly lze užívat jako předinstalované, nebo se mohou volně konfigurovat podle potřeby zákazníka
Celkem 18 modulů, představíme si z nich dva:
Správa karet
Správa klíčů
Nový modul Správa certifikátů je na počátku vývoje
Modulární systém OKbase
3
Slouží k inicializaci, personalizaci a správě životního cyklu identifikačních a čipových karet
Inicializace karet Nahrání obecných dat, klíčů, aplikací
Personalizace karet Karty je potřeba od sebe rozlišit, většinou určit jejich vazbu na konkrétního držitele
Karty lze importovat (i hromadně)
Personalizované karty S bezkontaktním čipem - pro docházkový nebo přístupový systém, stravování, evidenci návštěv
S kontaktním čipem - pro šifrování, autentizaci a elektronický podpis (společně s programovým vybavením OKsmart)
Správa karet v systému OKbase
4
Životní cyklus karet
5
NOVÁ
VÝROBA
DOKONČENA
NEAKTIVNÍ AKTIVNÍ
ODVOLANÁ
PERSONALIZACE /
IMPORT
VYŘAZENÁ
AKTIVACEODVOLÁNÍODVOLÁNÍ
DEAKTIVACE
REAKTIVACE
REPERSONALIZACE
ODVOLÁNÍ
Každá karta definovaně prochází
určenými stavy životního cyklu
Aktuální stav určuje použitelnost
karty pro zaměstnance a uživatele
OKbase
Stav životního cyklu lze jednotlivě
nebo hromadně měnit
Nový OKsmart bude podporovat
změny životního cyklu
Personalizace Vlastní personalizace se provádí na základě výběru personalizačního profilu karty a zadání vstupních parametrů
Lze provádět jednotlivou nebo dávkovou personalizaci karet
Inicializace a personalizace karty
6
Manuálně pomocí samostatných zařízení – tiskárny a čtečky kontaktních a bezkontaktních čipových karet
Automaticky s využitím podporovaných multifunkčních personalizačních periferií
Ukázka Personalizace karty (také hromadná)
Tisk PIN a štítků pro karty
Změny životního cyklu karty
Lze tisknou také samolepící štítky na karty
Potisk karet:
Na zakázku v OKsystem
U zákazníka Štítky na laserové tiskárně
Na vlastní tiskárně karet
Grafické personalizace
7
V nejjednodušším případě vydáváme jen plastové karty s potiskem
Předdefinované šablony definují vzhled karty
Na karty lze tisknout textové prvky (jména, identifikátory a jiné),
grafické prvky (loga, fotografie), čárové kódy, strojově čitelné kódy
Bezkontaktní čipy se využívají primárně k identifikaci a autentizaci,
ale také jako předplacené jízdenky, platební peněženky, atd.
Bezkontaktní personalizace definuje data z datového zdroje a
způsob jejich nahrání na bezkontaktní čip
Podporován Mifare a DESFire
Bezkontaktní personalizace
8
Kontaktní čipy se využívají především pro šifrování (emailů, dat), autentizaci (k doméně, k aplikacím) a elektronickému podpisu
HW zařízení dnes zaručují nejvyšší stupeň ochrany klíčů - klíče nelze vykopírovat, použití klíčů umožněno po dodatečné autentizaci (např. zadáním PIN kódu)
Podporován Java Card, .Net, Minidriver
Nejvyšší integrace v OKbase pro OKsmart na Java Card
Při personalizaci umožněn bezpečný tisk PIN/PUK kódů
Kontaktní personalizace
9
Personalizační profil je kombinací grafické, bezkontaktní a kontaktní personalizace
Jednoznačně definuje všechny operace nutné pro provedení kompletní personalizace karty včetně využití společného datového zdroje a sady kryptografických klíčů
Datové zdroje mohou být: Interní data OKbase Předdefinované - připraveny pro snadné použití
Uživatelské – možné dodefinovat pro libovolná data z objektového modelu OKbase
Libovolná externí data Externí – lze definovat a importovat data, například pro personalizaci karet pro zákazníky
Pro práci s klíči, které např. chrání přístup k čipům, jsou pro jejich nejvyšší bezpečnost používána HW bezpečnostní zařízení
Personalizační profily
10
SW pro integraci kryptografických čipových karet do operačních systémů – Windows, Linux
OKsmart se skládá z: Java Applet na kartě - čisté Java Card nelze v OS využívat
Middleware - knihovny umožňující využít čipové karty v aplikacích Knihovny: PKCS11, CSP, KSP Využití například v aplikacích MS Outlook a Mozilla Thunderbird pro šifrování a podpis emailů, v MS
Word a Adobe Acrobat pro podpis dokumentů Využití také pro přihlášení do Windows sítě
Aplikace do PC OKsmart Manager – pro správu karty, např. pro změnu PIN, PUK, správu certifikátů, datových
objektů OKsmart File, Disk – pro šifrování dat OKsmart Safe – pro bezpečné ukládání hesel
Podporovány JavaCard od předních světových výrobců: Gemalto, Oberthur Card System
Představení produktu OKsmart
11
Podpora Minidriver a tedy možnost využívat OKsmart karty ve Windows bez instalace dodatečného software
Změna licenčního modelu Middleware a OKsmart Manager nebude kontrolován licencemi
Licence bude na funkční OKsmart kartu, kterou zákazník získá: Inicializovanou od OKsystem (karta může být v OKsystem rovněž personalizována včetně potisku) Čistou Java Card, kterou si zákazník inicializuje pomocí našeho SW a nabitého kontroléru
Kontrolér je administrátorská karta Lze nabíjet kreditem, jenž se při inicializaci OKsmart karty odečítá Chrání potřebné kryptografické klíče
Ostatní aplikace – OKsmart File, Disk, Safe budou k použití zdarma a bude je možné využívat také bez karet
Integrace do OKbase Rozšířený OKsmart Manager bude bez instalace dostupný ve webovém klientu OKbase, bude spojena správa čipu OKsmart karty a práce s evidovanou kartou
Podpora změn životního cyklu Aktivace a s ní spojená vynucená změna PIN kódu umožňující nedistribuovat PIN obálky Deaktivace neboli dočasné zablokování karty
Možnost odblokování karty se zablokovaným PIN bez znalosti PUK pomocí Admin Key bezpečně umístěném na kontroléru
Odblokování PIN může probíhat u administrátora nebo vzdáleně pomocí webového klienta Zablokovanou kartu s certifikátem pro přihlášení k Windows síti je možné vzdáleně odblokovat pomocí rozhraní Windows před
přihlášením k PC
Plánované novinky v OKsmart 3.0
12
13
Vzdálené
odblokování PIN
před přihlášením
k PC
Motivace: Co dělat v situaci, kdy ztratím šifrovací klíče k emailům?
Hlavní služby Vytvoření klíče (online) - generování nebo uložení
Obnovení klíče (citlivá operace s bezpečnostními správci - ukázka)
Úložiště klíčů Všechny uživatelské klíče se nevejdou na HW zařízení, musí být v databázi
Úložiště klíčů je skupina klíčů šifrovaných sadou klíčů úložiště
Pro každé úložiště musí být definováni bezpečnostní správci, ti jediní mohou uživatelské klíče z úložiště obnovit – můžeme vyžadovat při obnově více bezpečnostních správců, pokud nezadají své obnovovací klíče, nebude moci uživatelské klíče získat ani administrátor systému
Profil klíče Šablona podle které lze v systému klíče vytvářet – např.: RSA klíče pro šifrování emailů, AES klíče pro šifrování pevných disků
Šablona definuje libovolné textové atributy ukládané s klíčem, množinu povolených algoritmů klíče, dobu platnosti
Každé úložiště může mít přiřazen libovolný počet profilů klíče
Předdefinovaný profil také pro modul správy karet – záloha klíčů pro odemykání karet
Operace s klíči probíhají na bezpečnostních zařízeních HW – čipová karta nebo HSM modul
SW – virtuální zařízení v OKbase
Správa klíčů v systému OKbase
14
Evidence certifikátů na kartách uživatelů
Vydávání nových a následujících certifikátů
Upozornění na vypršení certifikátů
Odvolávání certifikátů a upozornění na odvolání certifikátu například při odchodu zaměstnance
Napojení na certifikační autority od Microsoft
Propojení modulů Personalizace karty ve Správě karet
Automatické vydání certifikátů pomocí Správy certifikátů na personalizovanou kartu
Archivace šifrovacích klíčů ve Správě klíčů k vydaným certifikátům
Správa certifikátů v systému OKbase je ve vývoji
15
Správa karet
Správa klíčů
Správa
certifikátů
16
Martin Primas
vedoucí projeků informační bezpečnosti
OKsystem s.r.o.
Na Pankráci 125, 140 21 Praha 4
www.oksystem.cz
Otázky?
Děkuji za pozornost
