Chipkártya alapú elektronikus szavazórendszer tervezése és implementálása

Átírás

1 Budapest Műszak és Gazdaságtudomány Egyetem Vllamosmérnök és Informatka Kar Híradástechnka Tanszék Halmos Dávd András Chpkártya alapú elektronkus szavazórendszer tervezése és mplementálása Dplomamunka május

2 Absztrakt Mk s azok az elektronkus szavazórendszerek? Mlyen problémák, ötletek, megoldások születtek eddg ebben a témakörben? Hogyan kapcsolódnak egymáshoz a chpkártyák és az elektronkus szavazórendszerek? Ezekre a kérdésekre keressük a választ munkánk első részében, hogy aztán a megszerzett smeretek felhasználásával magunk s megvalósítsunk egy komplett, működő elektronkus szavazórendszert. Az elmélet (fogalmak, defnícók, krptográfa alapok, FOO séma és annak módosított változata) és technológa (ntellgens kártyák, CardOS/M4) áttekntés után smertetjük a tervezés és mplementácó során felmerült problémákat és megoldásokat, valamnt magyarázatokat fűzünk a CD mellékleten található forráskódokhoz. Munkánk végső eredménye egy olyan szoftver csomag, am egy Interneten keresztül történő chpkártya alapú szavazórendszer prototípusát képezhet. 2

3 Tartalom 1. Bevezetés Elektronkus szavazás elmélet háttere Elektronkus szavazórendszerek típusa DRE (Drect-Recordng Electronc) szavazó rendszerek DRE szavazó rendszerek nylvános hálózattal Szavazó rendszerek hely számlálással Szavazó rendszerek központ számlálással Követelmények Alapmodell Krptográfa eszközök Bt Commtment Csapda Bt Commtment RSA rejtjelezés RSA vak aláírás A FOO séma Szereplők A protokoll Elemzés A FOO séma kterjesztése Intellgens kártya-alapú elektronkus szavazórendszerek Az ntellgens kártya fogalma Az ntellgens kártyák három generácója Az ntellgens kártyák felépítése A CardOS/M4 operácós rendszer Fájlrendszer Bztonság archtektúra Rendszer kulcsok A kártya életcklusa Objektumok Hozzáférés-védelem Krptográfa képességek Kommunkácó a kártyával Tervezés és mplementácó Célok és korlátok A rendszer általános felépítése Modulok Protokollok Alkalmazás telepítése a kártyára Regsztrácó Szavazás ndítása Szavazás előkészítése Szavazás Szavazás lezárása Implementácós kérdések Intellgens kártya PIN kód RSA kulcs pár

4 Tulajdonos neve/azonosítója Véletlen szám generálása Dgtáls aláírás számítása Klens Incalzálás Szavazás Admnsztrátor Incalzálás Alkalmazás telepítése a kártyára Új szavazó regsztrálása Szavazás Szavazat gyűjtő Incalzálás Szavazás Szavazat számláló Incalzálás Szavazás Általános megoldások Három-lépéses üzenetküldés/fogadás Üzenetküldés a kártyának Összegzés Függelék: Felhasználó kézkönyv

5 1. Bevezetés Napjankban az élet egyre több területén találkozhatunk az ún. elektronkus ügyntézés legkülönbözőbb formával. Elég, ha az Interneten történő vásárlás lehetőségekre, vagy a hazánkban nemrég bevezetett elektronkus cégeljárás rendszerre gondolunk. Az elektronkus ügyntézés persze számos új mérnök és társadalm problémát vet fel, amk közül jó néhánnyal a ma napg nem skerült megbrkózn. Ennek ellenére mára odág jutottunk, hogy mnd az Egyesült Államokban, mnd Európában komolyan foglalkoznak a kérdéssel, hogy a modern demokrácák alapjául szolgáló népszavazásokat, választásokat elektronkus formában próbálják meg lebonyolítan. Skerekből és kudarcokból egyaránt volt részünk az elmúlt években. Példaként említhetjük Írországot, ahol 1999-ben tették meg az első lépéseket az elektronkus szavazás bevezetése érdekében, ám öt éves munka végén sem jutottak el odág, hogy a pályázaton nyertes rendszert éles helyzetben s kpróbálják márcusában az ír kormány felállított egy elektronkus szavazással foglalkozó tanácsot, akk jelentésükben a következő szavakkal utasították el a rendszer használatát a júnus Európa Parlament választásokon: A tanács úgy döntött, hogy a megfelelő fokú bzalom hányában nem javasolja a kválasztott rendszer használatát a júnus választásokon. 1 Észtországban vszont október 12-én skeresen debütált az elektronkus szavazás ntézménye. Az országgyűlés választásokon összesen 9317 választópolgár (köztük a mnszterelnök s) otthonról, saját számítógépe mellől adta le voksát. A szavazás során semmlyen hba, vagy vsszaélés nem történt. 2 Az észt példa mutatja, hogy az elektronkus szavazás nem egy eleve elvetélt ötlet, van jövője, érdemes a kérdéssel foglalkozn, még akkor s, ha számos problémával kell még szembenéznünk az elkövetkező években. Közelítsük most meg egy kcst más rányból a kérdést. Az elektronkus szavazás lényegében egy krptográfa alkalmazás, melyet emberek mlló használhatnak. Ha ez így van, akkor mnden felhasználónak szüksége van egy szoftverre, am a krptográfa műveleteket elvégz, valamnt egy kulcstárra, am saját ttkos kulcsat bztonságban tartja. A chpkártyákat (vagy más néven ntellgens kártyákat) éppen ezekre a célokra fejlesztették k (A másodk és harmadk generácós chpkártyák már fejlett krptográfa 1 Forrás: Margaret McGaley: True democracy needs a votng tral 2 Forrás: 5

6 képességekkel és hozzáférés-védelm mechanzmussal rendelkeznek). Az elektronkus szavazó rendszerek és az ntellgens kártyák tehát szorosan kapcsolódnak egymáshoz, mplementácós sznten már-már elválaszthatatlan egységet alkotnak. Elektronkus szavazás és chpkártya. Ez a két fogalom határozza tehát meg jelen munka tovább részét. Célunk elérése, azaz egy chpkártya alapú elektronkus szavazó rendszer tervezése és mplementálása érdekében részletesen megsmerkedünk e két fogalom jelentésével, tartalmával, valamnt egy-egy konkrét változatával (FOO séma, lletve Semens CardOS/M4 ntellgens kártya), melyek az általunk megvalósított rendszer alapját képezk majd. 6

7 2. Elektronkus szavazás elmélet háttere Az elektronkus szavazás rendkívül tág fogalom. Magában foglalja az Interneten történő szavazás mellett a hely hálózaton működő, néhány termnálnál leadott szavazatok összegyűjtésére, számlálására szolgáló rendszert s. A szavazók száma s egészen tág keretek között mozoghat, a néhány tíz főtől egészen a mllós nagyságrendg. Az eltérő méreteknek, korlátoknak és elvárásoknak megfelelően számos elektronkus szavazó-sémát dolgoztak k a kutatók, melyek közül egyel ebben a fejezetben közelebbről s megsmerkedünk. Ktérünk emellett azokra a közös fogalmakra, követelményekre, krptográfa eszközökre s, melyek mnden sémának alapját képezk Defnícó Az rodalomkutatás során rengeteg különböző defnícót találtunk az elektronkus szavazás fogalmára. Talán nem meglepő, hogy az egyes defnícók, sőt már az elnevezések közt s órás eltérések mutatkoztak (Egyes helyeken az E-Votng szó egyenesen az Internet Votng, lletve az Onlne-Votng kfejezések sznonmájaként szerepel, másutt vszont óvatosabban fogalmaznak és az elektronkus szavazás fogalmát ennél jóval tágabbra nytják). Most a sok közül két olyan defnícót dézünk, melyek véleményünk szernt a legjobban fedk a valóságot és általános, de egyben precíz fogalmat adnak az elektronkus szavazásról (Az első defnícó egy kcst magasabb, a másodk alacsonyabb absztrakcós sznten vzsgálja a kérdést). 1. Defnícó 1 Az elektronkus szavazó rendszerek valamlyen rejtjelező algortmus használatával bztosítják a felhasználók számára, hogy bztonságosan leadhassák ttkos szavazatukat. A szavazás történhet Interneten keresztül, vagy szavazófülkében valamlyen elektronkus berendezés segítségével. 2. Defnícó 2 Az elektronkus szavazórendszerek három fázsból állnak: Incalzálás: A szavazás lebonyolításáért felelős szervek (authortes) kírják a szavazást (megfogalmazzák a feltett kérdést, a lehetséges válaszokat), 1 Forrás: 2 Forrás: Zuzana Rjaskova: Electronc Votng Schemes (dplomamunka, Comenus Unversty, Bratslava, 2003) 7

8 összeállítják a legtm szavazók lstáját, valamnt generálják nylvános és ttkos kulcsakat (előbbeket természetesen publkálják s). Szavazás: A szavazók a rendelkezésre álló kommunkácós csatornákon keresztül eljuttatják voksukat a megfelelő helyre, lezárt dgtáls borítékban (valamlyen krptográfa módszer segítségével). Számlálás: A szavazás lebonyolításáért felelős hvatalos szervek a rendelkezésükre álló ttkos és nylvános nformácók alapján knytják, majd összeszámlálják a leadott szavazatokat Elektronkus szavazórendszerek típusa 1 Az elektronkus szavazó rendszereknek rengeteg változata létezk. Az egyes rendszerek kategórákba sorolását alapvetően két kérdés mentén tehetjük meg: Hogyan juttatjuk el a lezárt szavazatokat a felhasználóktól az urnába? K és hogyan végz el a szavazatok knytását, összeszámlálását és az eredmények publkálását? A és fejezetekben az első, míg a és részekben a másodk kérdésre keressük a választ DRE (Drect-Recordng Electronc) szavazó rendszerek A DRE rendszerek olyan mechankus, lletve elektro-optka komponensekből álló termnálokat foglalnak magukban, melyek egy képernyő segítségével megjelenítk a szavazólapot, és lehetőséget bztosítanak a felhasználóknak, hogy kválasszák az általuk preferált lehetőséget. Mután ez megtörtént egy számítógépes program segítségével a DRE berendezés a memórájában rögzít a szavazatot. A leadott voksokat a rendszer táblázatba foglalja, majd nyomtatott formában másolatot készít róla. A szavazatok összeszámlálása, ellenőrzése történhet helyben, vagy egy erre a célra kjelölt központban, ahová vagy nyomtatott formában, vagy hordozható memóra elemek segítségével juttathatjuk el az eredményeket. A DRE rendszerektől a vsszaélések és csalások csökkenését joggal várhatjuk, ám kényelm szempontokból még bztosan nem hozzák meg az áttörést, 1 Forrás: wk/internet_votng#drect-recordng_electronc_votng_system, Wkpeda, Electronc Votng, 2. fejezet 8

9 hszen a választóknak továbbra s el kell mennük a szavazó helységekbe, hogy leadják voksukat. Ilyen rendszereket használtak már az Egyesült Államokban, Ausztrálában és Brazílában s különböző parlament, lletve helyhatóság választásokon DRE szavazó rendszerek nylvános hálózattal Ezek a rendszerek sznte teljesen azonosak az előző fejezetben smertetett DRE rendszerekkel, azzal a különbséggel, hogy a szavazó helységekből a központba nylvános hálózaton (pl.: Internet, telefonhálózat) keresztül juttatjuk el a szavazatok lstáját. A továbbítás történhet egyenként, adott rendszerességgel kötegelve, vagy egyetlen nagy lstában a szavazás végén. Vegyük észre, hogy amennyben Interneten keresztül szavazunk, ráadásul a voksok eljuttatása a központba egyesével történk, elvben bármlyen Internet kapcsolattal rendelkező számítógép betölthet a szavazó helység szerepét (Ld. Észtország, 2004, Európa Parlament választások). Nagyobb vállalatok, szervezetek ma már rutnszerűen alkalmazzák az Interneten keresztül történő szavazást, de bemutatkozott már ez a módszer (legalább kísérlet szntjén) számos modern demokrácában, így az Egyesült Államokban, Írországban, Anglában, Svájcban és Észtországban s. Ennek a munkának keretében egy lyen, nylvános hálózaton keresztül s használható DRE szavazó rendszer megvalósítását tűztük k célul, ahol a szavazás nylvános hálózaton (Interneten) keresztül történk Szavazó rendszerek hely számlálással Az elektronkus (és hagyományos) szavazó rendszerek között különbséget tehetünk aszernt s, hogy a számlálás hely sznten, vagy központosítva történk. Hely számlálásról beszélünk, ha a szavazatokat körzetenként számolják össze, és csak az eredményeket juttatják el nylvános telekommunkácós hálózaton keresztül a választás központba. A szavazatokat a leadás pllanatában rögzítk a megfelelő memóra egységben, ám az eredményeket csak a szavazás lezárását követően hozzák nylvánosságra. A hely számlálás nylvánvaló előnye a rendszer jó skálázhatósága, hszen az egyes körzetekben aránylag kcs és jól becsülhető a szavazatok száma. 9

10 Ne felejtsük azonban el, hogy (amnt a 2.1 fejezet két defnícójában láttuk) a felhasználók valamlyen dgtáls borítékba zárva adják le szavazatakat. Ezért a hely, vagy központ számlálás esetén nem csak az a kérdés, hogy mkor és hol adunk össze néhány számot (amknek összege elvleg úgys mndg ugyanaz, hszen az összeadás asszocatív művelet). Ennél sokkal lényegesebb, hogy hely számlálás esetén mnden választókörnek rendelkezne kell azokkal a nylvános és ttkos nformácókkal, amk a szavazatok knytásához szükségesek Szavazó rendszerek központ számlálással Ezek a rendszerek több körzetből összegyűjtk a leadott szavazatokat és együtt, egy nagy közös táblázatba foglalva számolják össze azokat. A szavazatokat mnden szavazókörben (am lehet akár egy otthon számítógép s, ahogy a fejezetben láttuk) valamlyen bztonságos tárolóba helyezk, még melőtt továbbküldenék (ez jelenthet fzka, vagy nformatka megoldást s attól függően, hogy az eredményeket mlyen formában juttatják el a központba). A központ számláló egységnek (egységeknek) nagy tárolás és számítás kapactásokkal kell rendelkeznük, hszen tömegesen kell (sokszor nagy számításgényű) krptográfa műveleteket végeznük a szavazatok összegzésekor. Központ számlálás esetén a szavazatok knytásához szükséges nylvános és ttkos nformácókat csak a központ számláló egység smer. A hely szavazókörökben tehát elvleg s lehetetlen a szavazatok összeszámlálása Követelmények Az elektronkus szavazó rendszereknek (mnt ahogyan a hagyományos, papír alapú változatnak) számos követelményt kell kelégítene ahhoz, hogy annak eredményét a választók htelesnek fogadják el. Ebben a fejezetben az elektronkus szavazással szemben támasztott követelményeket 1 vesszük sorra. 1 A követelmények forrása: Zuzana Rjaskova: Electronc Votng Schemes (dplomamunka, Comenus Unversty, Bratslava, 2003) 10

11 Jogosultság: Csak jogosult felhasználók szavazhatnak, és azok s csak előre meghatározott számú szavazatot adhatnak le (jellemzően egyet). Ennek megvalósításához természetesen szükség van a szavazó valamlyen formában történő azonosítására, htelesítésére. Bzalmasság: Bzalmasság alatt egyszerűen azt értjük, hogy a szavazók, lletve szavazatak a résztvevők semmlyen ésszerű koalícója mellett (beleértve magát a szavazót s) sem párosíthatók össze. Amnt arról később még szó lesz, a szavazó-sémákban általában több hatóság szerv s közreműködk. Ésszerű koalícón tetszőleges számú felhasználó és néhány, de nem az összes hatóság szerv összejátszását értjük. Egyén ellenőrzhetőség: Ez a követelmény újdonságot jelent a hagyományos, papír-alapú szavazáshoz képest. Ott ugyans attól a pllanattól kezdve, hogy bedobta szavazólapját az urnába, a választó semmt nem tud arról, m történk a továbbakban szavazatával. Az elektronkus szavazó rendszereknek ezzel szemben bztosítanuk kell a lehetőséget, hogy a felhasználó ellenőrzhesse, helyesen vették-e számításba szavazatát. Sőt az s követelmény, hogy a választó bzonyítan s tudja gazát. Külön problémát jelent a bzalmasság megőrzése bzonyítás eljárás során, hszen ekkor óhatatlanul nformácó szvárog k magáról a szavazatról és a szavazóról s. Általános ellenőrzhetőség: Bármelyk résztvevő, vagy passzív megfgyelő ellenőrzhet a szavazás tsztaságát. Ez persze csupán annyt jelent, hogy bárk megnézhet, egyezk-e a leadott szavazatok száma a szavazók számával. Arra természetesen nem terjed k, hogy bárk ellenőrzhesse, vajon a szavazatokat helyesen vették-e számításba. Ez az egyén ellenőrzhetőség témakörébe tartozk. Tsztaság: Egyetlen résztvevő sem szerezhet semmlyen nformácót a szavazás állásáról egészen addg, amíg a szavazás le nem zárult. Az lyen jellegű kszvárgott nformácók jelentősen befolyásolhatnák a szavazás végkmenetelét, ezért rendkívül fontos ennek a követelménynek a teljesítése. 11

12 Robosztusság: Semmlyen ésszerű méretű koalícó (ennek értelmezését ld. bzalmasság tárgyalásánál) nem képes semmlyen csalást elkövetn, vagy ha mégs, akkor az detektálható és a csalás ténye bzonyítható. Részvétel szabadság: Ez talán a legérdekesebb és legtöbb nehézséggel járó követelmény, amelynek különös aktualtást ad napjankban, a év országgyűlés választásokkal kapcsolatban krobbant ún. lánc szavazás botrány. A részvétel szabadság követelménye ugyans éppen a szavazat vásárlást, lletve a zsarolással elért rányított szavazást hvatott megelőzn. A szavazat vásárló, vagy zsaroló látja a különböző hatóság szervek által nylvánosságra hozott adatokat, lstákat, lehallgathatja a nylvános kommunkácós csatornákat. A bzalmasság követelménye szernt azonban még ez sem elég ahhoz, hogy egy adott személy szavazatáról nformácót szerezzen. M történk azonban akkor, ha a választót arra kényszerítk, hogy ttkos kulcsát ossza meg másokkal? A részvétel szabadságot garantáló sémák lehetőséget adnak a felhasználók számára, hogy mután meggyőződésük szernt szavaztak, egy külső megfgyelőt bárhogyan meg tudjanak téveszten döntésükkel kapcsolatban Alapmodell 1 Számos elektronkus szavazó séma született az évek során, amk sok dologban eltérnek egymástól. Egy magasabb absztrakcós szntről nézve azonban rengeteg közös elemet, tulajdonságot fedezhetünk fel a különböző sémák között. Ezeket a kérdéseket foglalja össze az elektronkus szavazórendszerek alapmodellje: Mnden rendszerben fontos szerepet játszanak a szavazók. A szavazókról mnden rendszerben a következőket feltételezzük: o Nem képesek összetett, bonyolult műveletek elvégzésére (ks számítás kapactással rendelkeznek). o Rendelkeznek valamlyen bztonságos adattároló egységgel, amhez csak ők férnek hozzá (pl.: ntellgens kártya) A szavazás lebonyolításáért a hvatalos szervek (authortes) felelnek. A hvatalos szervek nagy számítás kapactással rendelkeznek, és sok adat 1 Az alapmodell forrása: Zuzana Rjaskova: Electronc Votng Schemes (dplomamunka, Comenus Unversty, Bratslava, 2003) 12

13 tárolására képesek. Emellett általában feltételezzük, hogy becsületesen vselkednek (legalábbs az összes hvatalos szerv közül (N) maxmum t csal, azaz N-t darab becsületes). Mnden séma esetében központ szerepet töltenek be maguk a szavazatok, melyeknek felépítése mndg az éppen feltett kérdéstől (Igen/nem, L-ből 1, L-ből k, stb. típusú szavazás) függ A szavazás során a szavazatoknak az egyk résztvevőtől el kell jutnuk egy vagy több másk szereplőhöz. Ehhez valamféle kommunkácóra van szükség. A különböző sémák egyes protokolljaban más és más típusú kommunkácós csatornákat használunk (nylvános, hteles, ttkos, anonm, stb. csatorna) Krptográfa eszközök Az elektronkus szavazás egy krptográfa alkalmazás. Az egyes sémák rengeteg különböző krptográfa építőelemet használnak (dgtáls aláírás, rejtjelezés, bt commtment, hash algortmusok, ttokmegosztó módszerek, anonm protokollok, stb.). M ezek közül most csak néhány alapvető fogalmat és algortmust mutatunk be, amk elengedhetetlenül szükségesek a továbbak megértéséhez Bt Commtment A bt commtment (továbbakban BC) célja és lényege, hogy a felhasználó megváltoztathatatlanul elkötelez magát valamlyen döntés (egy bt) mellett, de ez a döntés mások számára egészen addg rejtve marad, amíg a felhasználó fel nem akarja fedn azt. Klasszkus példa, hogy két ember pénzfeldobással akar eldönten egy kérdést. A mndketten félnek, hogy a másk cnkelt érmével játszk, ezért nem akarják megmondan tppjüket. Azt vszont meg szeretnék akadályozn, hogy a másk utólag megváltoztathassa döntését. Ezért mndketten egy lezárt borítékban az asztalra teszk tppjüket, amt csak a pénzfeldobás után nytnak k. Az nformatka bztonság vlágában a BC számos változatát smerjük, m most egy nagyon egyszerű, ugyanakkor hatékony eljárást 1 smertetünk: 1 Forrás: Buttyán Levente, előadás vázlat: Far Exchange, A bztonságos elektronkus kereskedelem alapja (BMEVIHI5316). 13

14 Vegyünk egy ütközés-ellenálló, egyrányú H hash függvényt (például SHA-1) A kválasztja a b btet, am mellett el akarja kötelezn magát. Generál egy (megfelelő hosszúságú) r véletlen számot. Kszámítja a c = H(r b) értéket (ahol a hozzáfűzés jele) és elküld partnerének (B), ak ezt nem fogja tudn knytn, hszen a hash függvény egyrányú, r-et pedg nem smer. Amkor A meg akarja mutatn B-nek b-t, elküld nek a (b, r) párost. Ekkor B már kszámíthatja c = H(r b) értékét, majd ellenőrzhet, hogy c = c teljesül-e. Ahhoz, hogy A csaln tudjon, kellene találna egy olyan r számot, hogy H(r b ) = H(r b). Ez vszont nehéz feladat, hszen H ütközés ellenálló Csapda Bt Commtment A csapda szó tt arra utal, hogy a BC csak látszólagosan jelent az egyk fél (A) elköteleződését az adott b bthez. Vagys olyan BC sémáról van szó, mely egy specáls nformácó (csapda, trapdoor) brtokában lehetővé tesz az egyk fél (A) számára, hogy homályban tartsa valód elköteleződését 1. Ez a gyakorlatban annyt jelent, hogy A mnden b bthez smer egy kulcsot, amvel azt a látszatot kelthet, mntha b mellett kötelezte volna el magát. Az előző fejezetben smertetett módszer könnyen átalakítható csapda BC eljárássá: A c= H( r b) helyett c= H( r b) értékét számítja k, és küld el B- nek, vagys r legalacsonyabb btjét XOR kapcsolatba hozzuk a b bttel. Így A könnyedén tud b 0, vagy 1 értékéhez s megfelelő r számot mondan, csupán az utolsó btet kell megváltoztatna. 1 Forrás: Marc Fschln: Trapdoor Commtment Schemes and Ther Applcatons, PhD thess, Johan Wolfgang Goethe Unverstät,

15 RSA rejtjelezés Az RSA algortmus 1 az ún. aszmmetrkus rejtjelező algortmusok családjába tartozk. Ezek jellemzője, hogy a kódoló-, valamnt dekódoló kulcs nem azonos, sőt egyket a máskból kszámítan nagy komplextású feladat. Az RSA algortmus három részből áll: kulcsgenerálás, kódolás és dekódolás. Kulcsgenerálás: Véletlenszerűen választunk két nagy (legalább 500 bt) p és q prím számot ( p q ). Kszámítjuk az N = pq modulust és a ϕ ( N) = ( p 1)( q 1) szorzatot. Választunk egy ϕ( N) -hez relatív prím e számot. Kszámítjuk e nverzét modulo ϕ ( N), azaz keresünk egy 1 < d < ϕ( N) számot, amelyre ed = 1 (mod ϕ ( N) ). A nylvános kulcs (N, e), a ttkos kulcs pedg (d, p, q). Kódolás, dekódolás: Tegyük fel, hogy A ttkos üzenetet akar külden B-nek. Legyen B nylvános kulcsa ( N, e ), ttkos kulcsa pedg ( d, p, q ). B B B B B B Az x üzenet rejtjelezése y = x e (mod N B ) lesz, A ezt küld el B-nek. B ebből saját ttkos kulcsának smeretében dekódolja az eredet üzenetet: x db = y (mod B N ) RSA vak aláírás RSA algortmus alkalmas dgtáls aláírás számítására. Tegyük fel, hogy A nylvános kulcsa ( Ne),, ttkos kulcsa pedg ( d, p, q). d Ekkor A dgtáls aláírása m üzeneten: S ( m) = m (mod N). Mvel d-t csak A smer, más nem generálhatja ezt az aláírást. A nylvános kulcsa vszont mndenk számára elérhető, így bárk ellenőrzhet az aláírás helyességét, azaz hogy m= S ( m) e (mod N) teljesül-e. A A 1 Forrás: Buttyán Levente, Vajda István: Krptográfa és alkalmazása, 80.o.,

16 Ez tehát az RSA dgtáls aláírás séma. Gyakran felmerül azonban az gény, hogy egy másk féllel (A) úgy írassunk alá valamlyen adatot, dokumentumot, hogy A ne szerezzen tudomást annak tartalmáról. Erre szolgál az ún. vak aláírás. Az alábbakban egy RSA algortmust használó vak aláírás sémát 1 smertetünk: Tegyük fel, hogy A alá akarja íratn B-vel az m üzenetet úgy, hogy B ne tudjon meg semmt m tartalmáról. Legyen B nylvános kulcsa ( Ne),, ttkos kulcs pedg ( d, p, q). A generál egy r, n-hez relatív prím véletlen számot. A elküld B-nek az x = ( rm e ) (mod N) számot. Mvel m meg van szorozva (el van vakítva ) e r -el, B nem tud semmt m értékéről. B kszámítja, majd vsszaküld A-nak aláírását x-en: s x d = (mod N). d e d d Ezután A eltávolítja a vakítást : x ( rm) rm (mod N). Ezt r nverzével beszorozva (am mndg létezk, hszen r n-hez relatív prím) d 1 1 d d megkapja B aláírását az m üzeneten ( x r rr m m (mod N)) A FOO séma 2 Ebben a fejezetben egy létező elektronkus szavazó sémát smertetünk. A FOO séma rendelkezk ugyan hányosságokkal, de ezeken (amnt a Error! Reference source not found. fejezetben látn fogjuk) többségében lehet segíten. A FOO séma képez a 4. fejezetben bemutatásra kerülő elektronkus szavazórendszer tervezésének és mplementácójának alapját Szereplők A szavazás lebonyolításában két hvatalos szerv, egy admnsztrátor, valamnt egy szavazat gyűjtő (vagy számláló) vesz részt. Az admnsztrátor feladata, hogy a felhasználót azonosítsa és kbocsásson számára (amennyben a felhasználó erre valóban jogosult) egy olyan dgtáls zsetont, amvel leadhatja szavazatát. Ezzel a zsetonnal fordulhat a felhasználó a szavazat gyűjtőhöz, és adhatja le nála szavazatát. A zseton tartalmazza a rejtjelezett 1 Forrás: Crypto FAQ, Chapter 7 Mscellaneous Topcs, 7.3 What s a blnd sgnature scheme?, Forrás: Atsush Fujoka, Tatsuak Okamoto, Kazuo Ohta: A practcal secret votng scheme for large scale electons. Advanced n Crptology AUSCRYPT 92,

17 szavazatot, valamnt az admnsztrátor dgtáls aláírását, semmlyen utalás nem szerepel vszont benne a szavazó klétére vonatkozóan, így amennyben anonm csatornán keresztül juttatjuk el a számlálóhoz, a szavazó és a szavazat összepárosítása lehetetlenné válk egy külső (vagy akár belső) megfgyelő számára. A számláló összegyűjt, sorszámozza és publkálja a kapott zsetonokat, amnt a szavazás lezárult. A felhasználónak ezután nncs más dolga, mnt elkülden saját sorszámát és kulcsát (természetesen smét anonm csatornán keresztül), hogy a számláló a rejtjelezett szavazatot dekódoln tudja A protokoll A séma szernt lebonyolított szavazás négy fázsból áll: ncalzálás, regsztrácó, szavazás, számlálás. A továbbakban jelöljük a V szavazó egyed azonosítóját aláírását pedg ID -vel, dgtáls σ -vel (ezzel összhangban az admnsztrátor aláírását σ A -val jelöljük). Legyen továbbá χ egy vakító algortmus, δ pedg a vakítás eltávolításra szolgáló eljárás. Incalzálás: Az admnsztrátor generálja dgtáls aláírás sémáját és publkálja nylvános kulcsát. Ebben a fázsban tehát semm egyéb nem történk, mnthogy az admnsztrátor felkészül a felhasználó kszolgálására. Regsztrácó: Ebben a fázsban az admnsztrátor azonosítja a szavazókat és kállítja számukra azokat a zsetonokat, amkkel majd később szavazhatnak. Érdekesség (és egyben hátrány s, de erről bővebben majd a 2.7 fejezetben), hogy a felhasználó már ebben a fázsban elkötelez magát valamelyk választás lehetőség mellett (hszen x számításában szerepel v ), holott szavazatát valójában még nem adja le. A regsztrácós fázs során végrehajtott protokollt mutatja a ábra. 17

18 Szavazó ID, v, k generálása, x = ξ( v, k), r generálása, e = χ( x, r), s = σ ( e ) Admnsztrátor ( ID, e, s) d ID alapján a felhasználó ellenőrzése, s ellenőrzése, aláírás: d = σ ( e ) A ábra: Regsztrácós fázs A V szavazó kválasztja a számára szmpatkus v alternatívát, majd generál egy k véletlen kulcsot. Ezek után egy ξ bt-commtment (továbbakban BC) algortmus segítségével előállítja az x = ξ( v, k ) értéket. Ezután x -n, valamnt egy r véletlen számon alkalmazza a χ vakító algortmust: e = χ( x, r). A szavazó ellátja dgtáls aláírásával az mént kszámolt ( s = σ ( e )), majd elküld az admnsztrátornak az ( ID, e, s ) hármast. e értéket Amnt ezt az admnsztrátor megkapja, három dolgot ellenőrz: Van-e joga az adott felhasználónak a szavazáshoz. Nem fordult-e már korábban aláírásért az admnsztrátorhoz (általában ugyans egy választó csak egyszer szavazhat). Érvényes-e a felhasználó s dgtáls aláírása e -n. Amennyben mndhárom feltétel teljesül, az admnsztrátor válaszként vsszaküld d = σ ( e ) dgtáls aláírását a szavazónak. Ellenkező esetben A vszont vsszautasítja a felhasználó gényét. 18

19 Szavazás: A szavazás fázsban alkalmazott protokollt mutatja a ábra. Szavazó d, y = δ ( d, r). ellenőrz, hogy y az admnsztrátor aláírása-e x -n Számláló ( x, y ) Ellenőrz, hogy y az admnsztrátor aláírása-e x -n. Ha gen, akkor ( lx,, y) -t Felvesz a lstára ábra: Szavazás fázs A szavazó a regsztrácós fázs végén megkapja az admnsztrátortól az annak dgtáls aláírásával ellátott d zsetont, amn alkalmazva a δ vakítás eltávolítására szolgáló algortmust, hozzájut az y = δ ( d, r) értékhez, am nem más, mnt az admnsztrátor aláírása x -n. A felhasználó, mután ellenőrzte, hogy az aláírás valóban érvényes-e, anonm csatornán keresztül elküld a szavazat gyűjtőnek az ( x, y ) párt. A szavazat gyűjtő ellenőrz, hogy y valóban az admnsztrátor aláírása-e x -n. Ha gen, akkor felvesz a szavazatok lstájára az (, lx, y ) hármast, ahol l egy egyed sorszámot takar. Számlálás: Ez a fázs két tovább részre bomlk. A szavazat gyűjtőnek ugyans ebben a pllanatban még nncs mnden nformácó a brtokában ahhoz, hogy a borítékokat knyssa, azaz hogy a tényleges szavazatokhoz hozzáférjen. 19

20 Ennek érdekében a számláló (mután a szavazás lezárult) nylvánosságra hozza az ( lx,, y ) hármasokból álló szavazatok lstáját. Ezek után mnden felhasználó ellenőrz a következőket: A leadott szavazatok száma megegyezk-e a szavazók számával. A saját zsetonja szerepel-e a számláló által publkált lstán. Ha mndkét krtérum teljesül, elküld az (, lk ) sorszám - BC kulcs párost a szavazat gyűjtőnek, ak ennek segítségével knytja a V felhasználó szavazatát, majd összegz az eredményeket. A számlálás fázs végrehajtása során követendő protokollt mutatja a ábra. Szavazó Szavazatok száma, saját szavazat ellenőrzése Számláló (, lx, y ) lsta publkálása ( lk, ) Ha mnden l -hez megkapta (, lk )-t, akkor mnden x knytása k -vel ábra: Számlálás fázs Elemzés 1 Most lássuk, hogyan áll meg a FOO séma a 2.3 fejezetben smertetett követelményekkel szemben. Jogosultság: Ezt a követelményt a FOO séma maradéktalanul teljesít, amennyben az admnsztrátor nylvántart egy lstát a jogosult felhasználókról és csaks az ő 1 Az elemzés forrása: Zuzana Rjaskova: Electronc Votng Schemes (dplomamunka, Comenus Unversty, Bratslava, 2003) 20

21 számukra adja k a szavazásra jogosító zsetont. Mvel ez a zseton tartalmazza az admnsztrátor dgtáls aláírását, a hamsítás nem lehetséges. A szavazat számláló egy zsetont csak egyszer fogad el, így a többször felhasználás lehetősége s megelőzhető. Bzalmasság: A szavazás bzalmassága a FOO séma esetén még akkor sem sérül, ha a két hatóság szerv, az admnsztrátor és a számláló összedolgozk. Az admnsztrátor ugyans smer ugyan a szavazó azonosítóját ( ID ), vszont ő nem látja az x értéket, csupán annak vakított változatát, e -t és ezt írja alá valamlyen vak aláíró algortmus segítségével. A számláló ezzel szemben látja x -t, vszont mvel hozzá mnden adat anonm csatornán keresztül érkezk, nem smer a felhasználó személyazonosságát. Így tehát a szavazatok és a szavazók párosítása nem lehetséges. Egyén ellenőrzhetőség: Mután a szavazás lezárult, mnden felhasználó ellenőrzhet, hogy borítékja ( x, y ), valamnt knytott szavazata ( k, v ) szerepel-e a számláló által publkált lstán. Ha valam probléma merül fel az ( x, y ) pár felmutatásával reklamálhat a választó. Ekkor az admnsztrátor kadhat egy újabb zsetont, amvel a felhasználó leadhatja érvényes szavazatát. Van azonban ezzel a módszerrel egy ks probléma. Gondoljuk csak végg m történk abban az esetben, ha valak a szavazás lezárása után az admnsztrátortól új zsetont kap valamlyen csalás, vagy rendellenesség okán. A számláló ekkorra már nylvánosságra hozta a szavazatok lstáját. Ha tudjuk kk reklamáltak és megnézzük ez a lsta és a végeredmény közt különbségeket, az újra szavazott választók esetében a bzalmasság súlyosan sérül. Ez ellen a séma kdolgozó egy megoldást tudtak javasoln: ha hba, vagy csalás merül fel, a szavazást újra kell kezden. Általános ellenőrzhetőség: Ezzel a követelménnyel kapcsolatban szntén gond van. A választónak háromszor kell aktívan részt venne a szavazásban: amkor az 21

22 admnsztrátornál regsztrál, lletve amkor az ( x, y ) párt, majd a szavazatát nytó BC kulcsot elküld a számlálónak. A szavazás művelete nem atom, vagys semm nem garantálja, hogy a választó, mután megkapta zsetonját az admnsztrátortól, tényleg le s adja szavazatát. Ebben az esetben vszont az admnsztrátor akár maga s szavazhat az lyen felhasználók helyett. A problémára megoldást gazából csak az jelenthet, ha az admnsztrátorban feltétlenül megbízunk. Tsztaság: A tsztaság követelményét a FOO séma teljesít, mvel az egyes borítékok ( x, y ) knytásához szükséges kulcsokat ( k ) a felhasználók csak a szavazás befejezése után küldk el a számlálónak, ak így korábban semmlyen nformácóval nem rendelkezk a szavazás pllanatny állásával kapcsolatban. Részvétel szabadság: A FOO séma legnagyobb problémája a részvétel szabadság követelményének sérülése. Tegyük fel, hogy valak tudomást szerzett a V szavazó x zsetonjáról. Ekkor a számláló által nylvánosságra hozott lstából könnyedén kkereshet az (, lx, y) bejegyzést, valamnt a hozzá tartozó k kulcsot és v szavavatot, vagys megsmerhet V választását. Ezen a problémán segít a FOO séma egy kterjesztése, amt a következő fejezetben smertetünk A FOO séma kterjesztése Ebben a fejezetben a FOO séma egy olyan módosítását 1 mutatjuk be, am bztosítja a részvétel szabadság követelményének teljesülését. A 2.6 fejezetben némleg következetlenül számlálónak, vagy gyűjtőnek neveztük azt a modult, ahova a szavazónak voksát el kell juttatna. Ezt akkor megtehettük, hszen a két különböző feladatot ugyanaz a modul látta el. A FOO séma módosított változata vszont különálló szavazat számláló és gyűjtő egységet ír elő. 1 Forrás: Tatsuak Okamoto: Recept-free electronc votng scheme for large scale electon. Proc. of Workshop on Securty Protocols 97,

23 A futtatott protokoll jelentős része teljesen azonos a fejezetben smertetettekkel, csupán néhány részletben mutatkozk különbség: A ξ bt commtment eljárás helyett ún. csapda bt commtment (ld fejezet) eljárást alkalmazunk. Bztosítan kell, hogy a szavazó a ξ csapda BC-t mnden lehetséges módon k tudja nytn. A szavazó az ( x, y ) számpárt a szavazat gyűjtőnek küld el (anonm csatornán keresztül). A szavazó a ( v, k, x ) hármast anonm csatornán keresztül a szavazat számlálónak küld el, így ez a modul (és nem a szavazat gyűjtő) lesz képes a borítékok (az x -k) knytására. A szavazat gyűjtő a szavazás lezárását követően publkálja az ( x, y ) párosokból álló lstát. A szavazat számláló véletlenszerű sorrendben publkálja a v szavazatokat. Emellett a szavazat számlálónak bzonyítana kell, hogy smer azt a π permutácót, am a x π () ξ v, k = ( ). v szavazatokat a () x π zsetonokba képz, azaz A szavazat számláló tehát szgorúan ttokban tartja mnd a k kulcsokat, mnd pedg a π permutácót. Az esetleges zsaroló tehát nem tud másra hagyatkozn, mnthogy kényszerít a szavazót, hogy árulja el k kulcsát, amvel ő megpróbálja knytn a szavazat gyűjtő által publkált lstában szereplő x szavazatot. Mvel azonban ezúttal csapda BC-t használtunk, a szavazó smer az összes v ' szavazathoz tartozó kulcsot. Ezzel a módszerrel tehát mnden esetben meg tudja győzn a zsarolót, hogy az általa követelt lehetőséget választotta. k ' 23

24 3. Intellgens kártya-alapú elektronkus szavazórendszerek A FOO séma példáján láthatjuk, hogy elektronkus szavazás során gyakran van szükség a klens oldalon s valamlyen krptográfa művelet elvégzésére. Sznte mnden krptográfa algortmus bztonsága valamlyen kulcs ttkosságán áll vagy bukk. Bztonság szempontokból tehát előnyös lenne egy olyan eszköz használata, mely maga el tudja végezn a kívánt krptográfa műveleteket, így a ttkos kulcsnak soha nem kell elhagyna az eszközt. Erre a feladatra legalkalmasabbnak az ntellgens kártyák bzonyultak, melyek az elmúlt évtzedekben órás fejlődésen mentek keresztül: A pusztán adattárolásra szolgáló mágneskártyáktól mára eljutottunk a legkülönfélébb alkalmazás-szoftverek futtatására alkalmas mcrochp-el ellátott kártyákg Az ntellgens kártya fogalma Intellgens kártya alatt olyan műanyag kártyát értünk, amelyen mcrochp-et helyeztek el. A kártyán nformácókat elsősorban e chp segítségével tárolhatunk, de a chp mellett létezhet a kártyán egyéb nformácótárolás lehetőség s (például mágnes csík, dombornyomás, hologram, vagy a kártyabrtokos aláírása) Az ntellgens kártyák három generácója Amnt arról már szó volt, az chpkártyák komoly fejlődésen mentek keresztül. Ebben a fejezetben részletesebben smertetjük az ntellgens kártyák három generácóját 2, különös tekntettel a másodk generácós kártyákra, hszen a Semens által rendelkezésünkre bocsátott eszközök s ebbe a kategórába tartoznak. Memórakártyák: Az első generácós kártyák az ún. memórakártyák. A kártyán lévő IC lényegében egy memóra chp, amely alkalmas ugyan adatok tárolására, de azok krptográfa, vagy egyéb módszerrel való védelmére már nem. Az lyen jellegű kártyák nem jelentenek nagyobb logka bztonságot, mnt egy floppy lemez, vagy egy egyszerű mágneskártya, így nem alkalmasak az elektronkus szavazórendszerekkel 1 A defnícó forrása: Ács G., Bencsáth B., Berta I. Zs., Bognár A., Halmos D. A., Kapócs T.: Mérés útmutató a Smart Card I (ISO-7816 fájlszerkezet és CardOS/M4) című méréshez. 2 A felsorolás és leírás forrása: Ács G., Bencsáth B., Berta I. Zs., Bognár A., Halmos D. A., Kapócs T.: Mérés útmutató a Smart Card I (ISO-7816 fájlszerkezet és CardOS/M4) című méréshez. 24

25 kapcsolatban támasztott követelmények kelégítésére, mvel alapvető elvárás lenne a személyes adatok védelme, valamnt bzonyos krptográfa műveletek elvégzése. Generkus kártyák: A generkus, vagy más néven fájlrendszer kártyák jelentős áttörést jelentettek az ntellgens kártyák fejlődésében. Az adatok fájlokba, a fájlok pedg fájlrendszerbe szervezve kerülnek tárolásra a kártyán. Mndez lehetővé tesz a hagyományos számítógépes vlágból (Wndows, Lnux) smert fájl hozzáférés-védelm mechanzmusok alkalmazását. Rugalmasan szabályozhatjuk, hogy melyk felhasználónak mlyen módon (PIN kód, bometrkus azonosítás, khívás-válasz alapú htelesítés dgtáls aláírással, stb.) kell azonosítana magát, hogy egy bzonyos adaton valamlyen műveletet (érték növelés/csökkentés, olvasás, írás, törlés, stb.) elvégezhessen. A Generkus szó arra utal, hogy a kártya gyártója általános eszközt ad el, melynek funkcó testre szabhatóak, így az eszköz sokféle célra felhasználható. Amkor tehát átveszünk egy kártyát a gyártótól, mnt alkalmazásfejlesztőknek lehetőségünk nyílk saját gényenk szernt bztonság objektumokat, fájlokat, könyvtárakat, kulcsokat, stb. létrehozn. Mvel nem kell mnden egyes alkalmazáshoz külön, egyed kártyát gyártan, nagy példányszámban folyhat az előállítás, így a generkus kártyák költsége jelentősen redukálhatóak. A generkus kártyák tehát olyan olcsó, fájlrendszerrel, fájlrendszer szntű hozzáférés védelemmel, valamnt komoly krptográfa képességekkel ellátott eszközök, melyek mnden tekntetben alkalmasak az elektronkus szavazással kapcsolatban megfogalmazott elvárások megvalósítására. Programozható kártyák: Ezek a kártyák abban különböznek a generkus kártyáktól, hogy alkalmasak felhasználó programok futtatására s. Ez lényegében azt jelent, hogy a kártya használata során, sznte bármkor letölthetünk rá újabb alkalmazásokat, így szélesítve tovább az elérhető szolgáltatásokat. A programozható kártyák sznte korlátlan teret bztosítanak a legkülönfélébb hozzáférés védelm mechanzmusok, krptográfa műveletek mplementálásához. Ez értelemszerűen jelentősen megnövelhet az ntellgens kártyát használó alkalmazásank bztonságát. 25

26 3.3. Az ntellgens kártyák felépítése Sokat beszéltünk már arról, hogy az ntellgens kártyák (különösen a másodk és harmadk generácójuk) mennyre komoly védelmet nyújthatnak bzalmas, vagy ttkos adatank tárolásához. De vajon tényleg lyen bztonságos eszköz egy ntellgens kártya? Bármlyen erős rejtjelezés használunk, nem ér semmt az egész, ha a ttkos kulcs a kártya memórájából egyszerűen kolvasható, például a kártya szétboncolása után. Szerencsére a kártyán lévő chp olyan mkroelektronka technológák segítségével készült, amelyek még ebben az esetben s nehézzé teszk nformácók lletéktelen knyerését. 1 Emellett a kártya fzka felépítése ( ábra 2 ) s úgy lett megtervezve, hogy llegáls adatszerzés a lehető legnehezebb legyen. Az adattároló egységek (EEPROM, ROM, RAM) ugyans nem kapcsolódnak közvetlenül a perférához (azaz az olvasóhoz). A processzor ugyans az I/O csatorna és az adattároló egységek közé ékelődve (egyfajta döntő logkaként) megszűrhet, felülbírálhatja a bemeneten érkező kéréseket ábra: Intellgens kártyák belső felépítése A fent ábrán látható egységek egyetlen chp-ben helyezkednek el, nncsenek köztük buszok, amelyeket egy külső támadó lehallgathatna. A kártya tehát jó közelítéssel egy és oszthatatlan, a külvlággal egyedül a szabvány 3 által defnált kontaktusokon keresztül kommunkál 4. 1 forrás: Ács G., Bencsáth B., Berta I. Zs., Bognár A., Halmos D. A., Kapócs T.: Mérés útmutató a Smart Card I (ISO-7816 fájlszerkezet és CardOS/M4) című méréshez. 2 Az ábra forrása: Tolga Klcl: Smart Card HowTo, Az ntellgens kártyák fzka felépítését az ISO szabvány defnálja 4 forrás: Ács G., Bencsáth B., Berta I. Zs., Bognár A., Halmos D. A., Kapócs T.: Mérés útmutató a Smart Card I (ISO-7816 fájlszerkezet és CardOS/M4) című méréshez. 26

27 3.4. A CardOS/M4 operácós rendszer A CardOS/M4 1 operácós rendszer a másodk generácós ntellgens kártyák családjába tartozó tulajdonságokat mutatja. Rugalmas hozzáférés-védelm megoldásokat (PIN kód alapú-, khívás-válasz alapú htelesítés, stb.) kínál a fájlrendszer egyes elemere, lletve részfára, sőt a hozzáférés műveletenként s külön szabályozható. Emellett sznte valamenny napjankban elterjedten használt szmmetrkus és asszmetrkus rejtjelezés- (RSA, DSA, DES, DES3), dgtáls aláírás (RSA és DSA különböző hash módszerekkel), ntegrtásvédő (MAC, MAC, MAC3, MAC3) és hash (SHA-1) algortmust támogatja. Ebben a fejezetben a CardOS/M4 fájlrendszerét, bztonság archtektúráját, krptográfa képességet és a kártya olvasó kommunkácó részletet tárgyaljuk Fájlrendszer CardOS M/4.0 fájlrendszere az de vonatkozó szabványnak 2 megfelelően rendkívül hasonló hagyományos (Wndows, Lnux) számítógépes környezetben megsmerthez, csupán az elnevezések mások ( ábra) ábra: ISO 7816 fájlrendszer Itt s találkozunk gyökér könyvtárral, amt Master Fle-nak (továbbakban MF) nevezünk. Mnden tovább állomány az MF alatt helyezkedk el a fa struktúrában. 1 A CardOS/M4 operácós rendszerrel kapcsolatos témakörök forrása: CardOS/M4.0 User s Manual Edton 10/2001, Semens 2 A fájlrendszer defnálásával az ISO 7816 szabvány 4. része (Interndustry command for nterchange) foglalkozk. 27

28 A Elementary Fle (EF) tartalmazza a tényleges adatokat, lényegében ez az a típus, amt fájlnak szoktunk nevezn. A hagyományos értelemben vett könyvtárnak CardOS M/4 környezetben a Dedcated Fle (DF) felel meg. Mnden DF tartalmazhat tetszőleges számú másk DF-et, lletve EF-et Bztonság archtektúra Az ntellgens kártyák legfontosabb feladata, hogy a rajtuk tárolt adatokat bztonságban tartsák, azaz meggátolják az lletéktelen adathozzáférést, szgorúan szabályozzák a fájlok, objektumok létrehozását, törlését, módosítását és adott esetben védjék a kívülről a kártyára érkező adatok ntegrtását és ttkosságát. Ebben a fejezetben a CardOS/M4 operácós rendszer által kínált bztonság megoldásokat smertetjük Rendszer kulcsok A CardOS/M4 operácós rendszer három ún. rendszer kulcsot defnál, melyeknek gen fontos szerep jut az egyes életcklus fázsok között átjárás szabályozásában (ld fejezet). StartKey: Ezt a 16 bájtos kulcsot a chp gyártója telepít és ncalzálja, értéke azonban később megváltoztatható a gyártás, ncalzálás és személyre szabás fázsaban, sőt megváltoztatása nemcsak lehetséges, hanem erősen ajánlott s! PackageLoadKey: A PackageLoadKey szntén 16 bájtos kulcs, amt a chp gyártója telepít és ncalzál. Értéke megváltoztatható, feladata a kártyára telepített és aktvált alkalmazás csomagok (applcaton packages) ntegrtásának védelme. PersonalzatonKey: Az ncalzálás fázsa során a kártya kbocsátója valamenny alkalmazás számára telepít egy-egy PersonalzatonKey-t. Ezek a 16 bájtos kulcsok 28

29 az alkalmazások személyre szabásának, az adatok feltöltésének ttkosságát szolgálják (A PersonalzatonKey valójában egy SM (Secure Messagng, ld fejezet) felépítéséhez használt kulcs. A személyre szabás során mnden adatot SM használatával juttatunk el a kártyára). A rendszer kulcsok használatakor óvatosan kell eljárnunk. Mnden rendszerkulcshoz tartozk egy számláló, amely mnden skertelen kulcs használat után eggyel csökken (a számlálók 10-ről ndulnak). Ha bármelyk rendszer kulcs számlálója elér a nulla értéket, a kártya használhatatlanná válk, halott állapotba kerül (ld fejezet) A kártya életcklusa A kártyán elhelyezkedő adatok megfelelő védelme érdekében a CardOS/M4 operácós rendszer hat különböző, ún. életcklus fázst defnál ( ábra). Az átjárás az egyes fázsok között szgorúan szabályozott, helyenként semmlyen körülmények között sem lehetséges. Mnden fázsnak megvan a saját végrehajtható utasításkészlete, így a tervezők jól elkülönítették egymástól a kártyagyártók, az alkalmazásfejlesztők és a felhasználók által elérhető funkcókat. 29

30 ábra: CardOS/M4 életcklus fázsa Gyártás (Manufactorng): A kártya ebben a fázsban van közvetlenül a chp legyártását követően, lletve ebbe az állapotba vezérelhető az összes adat, fájl törlésével (ERASE FILES), lletve formázással (FORMAT). Incalzálás (Intalzaton): Ebben a fázsban alap adatok, struktúrák telepítésére, valamnt olyan adatok feltöltésére van lehetőség, melyekre később, a kártya személyre szabása során szükségünk lehet. Az INITIALIZE EEPROM utasítás segítségével telepíthetjük például az adat- és fájlrendszer struktúrákat, valamnt alkalmazás leírókat és helyfoglalókat (placeholders), míg a LOAD EXECUTABLE parancs rendszer csomagok (system packages) telepítésére szolgál. 30

31 Személyre szabás (Personalzaton): Az ncalzálás során létrehozott helyfoglalók nevüknek megfelelően helyet foglalnak a személyes adatok (pl. egyed rendszer kulcsok) számára, amket a kártyán tároln szeretnénk. A személyre szabás fázsában van lehetőségünk a lefoglalt helyeket feltölten tényleges adatokkal. Erre szolgál a PERSONALIZE utasítás. Admnsztrácó (Admnstraton): Mnden fájlt, objektumot, adatot, amre az alkalmazás használata során szükségünk lesz, ebben a fázsban kell telepítenünk, lletve aktválnunk. Az admnsztrácós fázsba a kártya használata közben a PHASE CONTROL utasítás segítségével bármkor áttérhetünk. Használat (Operatonal): A kártya ebben a fázsban kerül a felhasználóhoz. Halott állapot (Death): Ebben a fázsban a GET DATA utasítást leszámítva (am néhány alap nformácó lekérdezésére szolgál, például szabad memóra terület, chp típusa, gyártója, stb.) semmlyen parancs nem hajtható végre, így a kártya használhatatlanná válk. A halott állapot elhagyására nncs semmlyen lehetőség. Halott állapotba a kártya olyan különleges események bekövetkezése esetén kerülhet, mnt például a fájlrendszer, vagy az EEPROM helyrehozhatatlan sérülése, valamnt specáls, támadások meggátolására szolgáló mechanzmusok életbe lépése Objektumok A CardOSM/4 operácós rendszer bztonság archtektúrájának alapját különböző bztonság objektumok adják. A bztonság objektumoknak két fő típusuk van: BS (Basc Securty) objektum SE (Securty Envronment) objektum 31

32 A BS objektumoknak tovább négy altípusát különböztetjük meg: Teszt objektumok (TEST OBJECTS) Htelesítő objektumok (AUTH OBJECTS) Ttkos, lletve ntegrtás védett olvasó-kártya kommunkácót megvalósító objektumok (SM OBJECTS) Krptográfa műveletek végrehajtását szolgáló objektumok (Perform Securty Operaton Objects, PSO OBJECTS). A teszt objektumokat leszámítva - amelyek egyéb nformácókat s tartalmazhatnak - a több objektum kzárólag kulcsok tárolására szolgál. A BS objektumok felépítését mutatja a táblázat. Tag 83h 85h 86h 8Bh 8Fh Leírás Objektum azonosítója Paraméterek AC defnícók SM defnícók Adat mező táblázat: BS objektumok felépítése Megjegyzés: Az első oszlopban az adott mező azonosítója olvasható 1. Teszt objektumok: A teszt objektumok képezk a fejezetben smertetett hozzáférésvédelm mechanzmus alapját. Létrehozásuk a PUT DATA OCI utasítás használatával lehetséges (Az objektum-azonosítónak mndg 0 és 127 közé kell esne). A teszt objektumok három különböző eljárást defnálhatnak: PIN teszt esetén az objektum adat mezőjében (Object Data) a PIN kód szerepel. A teszt futtatására a VERIFY utasítás szolgál. 1 Részletesebben ld. CardOS/M4.0 User s Manual Edton 10/2001, Semens leírásban. 32

33 A C/R teszt (khívás-válasz alapú teszt) adat mezője a C/R htelesítés során használt kulcsot tartalmazza. A teszt futtatására az EXTERNAL AUTHENTICATE utasítás szolgál. Logka teszt esetén az adat mező egy logka kfejezést tartalmaz, melynek operandusa másk teszt objektumok lehetnek. A teszt futtatása mplct módon, VERIFY, lletve EXTERNAL AUTHENTICATE parancsokkal történhet. Htelesítő objektumok: Ezek az objektumok a felhasználók htelesítésére szolgáló kulcsokat tartalmaznak. Létrehozásuk a PUT DATA OCI utasítás használatával lehetséges. SM objektumok: Az SM objektumok az ún. Secure Messagng (SM, ld fejezet) használatához tárolnak kulcsokat. Létrehozásuk a PUT DATA OCI utasítás használatával lehetséges. PSO objektumok: A PSO objektumokat ndrekt módon, a PSO_DEC, PSO_ENC, PSO_CDS, PSO_VDS, stb. utasítások használják. A PSO objektumok mndg valamlyen kulcsot tartalmaznak. Létrehozásuk a PUT DATA OCI utasítás használatával lehetséges. Az SE objektumok hvatkozásokat tartalmaznak a következő BS objektumokra: Négy PSO objektumra: o Krptográfa ellenőrző összeg számítására szolgáló kulcs o Dgtáls aláírásra szolgáló kulcs o Kódolásra/dekódolásra szolgáló kulcs o Hash algortmusokhoz használható PSO objektum Egy teszt objektumra Egy htelesítő objektumra 33

34 SE objektumokat a PUT DATA SECI utasítás segítségével hozhatunk létre. Az SE objektumok segítségével hajthatók végre az ntellgens kártyán krptográfa műveletek (részleteket ld fejezetben). Ehhez az MSE (Manage Securty Envronment) utasítás segítségével először k kell kválasztanunk a megfelelő SE objektumot, majd csak ezután hajthatjuk végre a műveletet a PSO_XXX utasítás család valamelyk elemével.. Az SE objektumok felépítését mutatja a táblázat Tag 83h 86h 8Fh Leírás Azonosító AC defnícók Adat mező táblázat: SE objektumok felépítése A CardOS/M4 által defnált objektum típusok egymáshoz való vszonyát foglalja össze a ábra ábra: A CardOS/M4 objektum típusa 34