KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Átírás

1 KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 26. számú Ajánlása A Magyarországon elektronikus azonosításra, hitelesítésre, aláírásra és elektronikus azonosítók hordozására alkalmas eszközök követelményei 1.0 verzió június

2 Közigazgatási Informatikai Bizottság 26. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak május-júniusi elektronikus távszavazása alapján került elfogadásra 2

3 TARTALOMJEGYZÉK 1 Bevezetés A dokumentum célja A dokumentum hatóköre Hivatkozások az elıfordulás sorrendjében Terminológiák és definíciók...12 IAS Alkalmazás CIA Alkalmazás Alkalmazott rövidítések A HUNEID kártya platform követelmények Programozható Kártya platform követelmények Natív kártya platform követelmények A HUNEID kártya életciklusa A HUNEID kártyán lévı Kártyaalkalmazások életciklusa HUNEID kártya által kezelt adatok, objektumok A Fájlrendszer megvalósítása ATR és ATS Fájlok, alkalmazások kiválasztása Fájlok kiválasztása Kártyaalkalmazások kiválasztása Fájl kontrol paraméter (FCP) Kártyafunkciók IAS funkciók Digitális aláírás Kártyabirtokos azonosítás, hitelesítés Kulcsvisszafejtés (Key Exchange Key (KEK) - titkosító kulcspár) EID funkciók A HUNEID kártya azonosítása A HUNEID Alkalmazás azonosítása EID Alkalmazások azonosítása Hitelesítési mechanizmusok Szerepkörök Kártyakibocsátó Kártyabirtokos Aláíró Alkalmazás Szolgáltató Kártya Elfogadó Kártyabirtokos verifikáció PIN kódok HUNEID kártya aktiválása PUK kódok Biometria Eszközhitelesítés Szimmetrikus eszközhitelesítés Aszimmetrikus eszközhitelesítés Biztonsági környezet Megbízható környezet Nem megbízható környezet Nem megbízható környezet megbízható PIN beviteli lehetıséggel Megbízható útvonalat igénylı funkciók

4 10.5 Biztonságos Csatorna Display Message Fájlrendszer és hozzáférési jogosultságok Root EF.CIAInfo EF.OD EF.AOD EF.PrKD EF.PuKD EF.SKD EF.CD EF.DCOD EF.SN EF.DM EF.DH Azonosító adat objektumok (IDDO-k) Azonosító adatok elhelyezése a HUNEID kártyán Azonosító adatok megtalálása Referenciák I. számú melléklet DCOD bejegyzések II. számú melléklet EID Applet kötelezı funkciók III. számú melléklet ASN.1 példák HUNEID specifikus objektumokra

5 1 Bevezetés Az elektronikus ügyintézés egyik alapvetı feltétele a szereplık biztonságos azonosítása, azaz a személyazonosság egyértelmő megállapítása az elektronikus térben, valamint az ügymenetet megvalósító tranzakciók bizonyító erejő hitelesítése, azaz az elektronikus aláírás rendszerszintő kezelése. Ehhez olyan megoldásokra van szükség, amelyek a releváns szabványok figyelembevételével széleskörően alkalmazhatók, valamint valódi biztonságot nyújtanak mind az állampolgárok, mind a közigazgatási intézmények, mind a szolgáltatók részére, függetlenül attól, hogy az adott ügymenet az ügyfél jelenlétében, vagy az ügyfél távollétében on-line módon, valamely elektronikus hordozó segítségével történik. Mindezekre az igényekre a több faktoros hitelesítésre eszköz, tudás, biometria is alkalmas intelligens kártya alapú megoldások adnak megfelelı eszközt. Mindamellett, hogy napjainkban az elektronikus azonosítás, hitelesítés és aláírás [IAS Identification, Authentication, Signature] már hazánkban is jól ismert megoldások, ezek elterjedése és alkalmazhatósága nagymértékben függ a gyártó-független, az információs rendszerekbe könnyen integrálható és biztonsági szempontból egyen szilárd implementációk meglététıl. A CEN/TS szabvány, amelyet a Magyar Szabványügyi Testület magyar szabványként is kihirdetett (European Citizen Card [ECC]), 2007 májusában történt elfogadásával megszületett az az európai szinten a közös álláspont, ami lehetıvé teszi olyan elektronikus azonosításra, hitelesítésre és aláírásra alkalmas ún. EID (Electronic Identity) kártyák kibocsátását. Ezek az eszközök egyrészt nemzetközi szinten is elfogadhatók, másrészt a szabvány keretein belül képesek alkalmazkodni a tagországok eltérı közigazgatási és adatvédelmi rendszeréhez. Lehetıség nyílt tehát arra, hogy a tagországok kormányai olyan elektronikus azonosító és aláíró eszközöket biztosíthassanak állampolgáraik részére, amik nemcsak az országhatárokon belül, hanem azon kívül is alkalmasak az állampolgár elektronikus azonosítására, illetve okmányként kibocsátott kártyák esetén a vizuális azonosításra, valamint lehetıvé teszik az elektronikus ügyintézést a független kártyaelfogadó infrastruktúrákon és információs rendszerekben. Az elektronikus azonosító és hitelesítı eszközökre vonatkozó egységes követelmények létrejöttével lehetıség nyílt továbbá arra, hogy az elektronikus ügyintézéshez szükséges követelményeket ne csak a kormányzat által okmányként kibocsátott ID1 formátumú kártyákkal, hanem egyéb harmadik fél által kibocsátott kártyákkal, mint például a bankkártyák, illetve egyéb elektronikus azonosításra alkalmas eszközökkel, mint az USB token-ek és a mobil telefon SIM kártyák is ki lehessen elégíteni. Az okmányként kibocsátandó kártyák vizuális megjelenésének követelményei és, megszemélyesítése vonatkozásában a jelen követelményjegyzék csak szempontokat tud megfogalmazni a CEN/TS szabvány alapján a személyazonosító okmányokra vonatkozó külön jogszabályban történı szabályozásához, mivel az ott érvényesítendı szempontok túlnyúlnak az informatikai szabályozás kompetenciáján. Jelen dokumentum egységes keretben, követelményjegyzékben fogja össze a Magyarországon az EID kártyák kibocsátásához szükséges és meghatározó követelményeket, amelyek részletesen a CEN/TS 15480, az ISO/IEC , 15 és a pren szabványokban kerülnek kifejtésre, ezért jelen dokumentum értelmezése feltételezi azok egyidejő birtoklását. A szabványok hivatkozott fejezeteinek jelen dokumentumban történı megismétlése a szabványok szellemi tulajdonát rögzítı szabályok miatt nem lehetséges. Az implementálónak azokat közvetlenül be kell szereznie. 5

6 1.1 A dokumentum célja Jelen dokumentum a továbbiakban Követelményrendszer a Miniszterelnöki Hivatal Elektronikuskormányzati Központ megbízásából készült és az idıközben elkészült [ECC] szabvány tükrében felváltja a korábban 2005-ben kiadott HUNEID specifikációt. A dokumentum célja olyan egységes követelményrendszer megfogalmazása, amely egyértelmővé teszi a Magyarországon biztonságos elektronikus azonosításra-hitelesítésre, aláírásra, valamint az egyéb azonosító adatok tárolására alkalmas intelligens kártyák kibocsátását és alkalmazását a közigazgatás egészére. Mindezekkel gyártófüggetlen, platformfüggetlen és alkalmazásfüggetlen módon kívánja elısegíteni az intelligens kártyák elterjedését kibocsátótól függetlenül a magyar információs társadalmi törekvések megvalósításához. A kártya kifejezés absztrakció, az elektronikus azonosításra-hitelesítésre és aláírásra vonatkozó követelmények USB token és SIM kártya formátumban megvalósított eszközökkel is kielégíthetık (illetve a jövıben megjelenı, ma még e célra nem alkalmazott eszközökkel is, amennyiben azok, az itt szereplı követelményeket kielégítik), amely eszközöknél az okmányjellegő alkalmazás, azaz a vizuális azonosíthatóság nem követelmény, és nem biztosított. További cél annak megalapozása, hogy az elektronikus azonosítás, hitelesítés és aláírás, illetve a HUNEID kártya által támogatott egyéb funkciók a közigazgatás informatikai rendszerein túlmenıen a közszféra más szereplıi (például tömegközlekedés, egészségügy, oktatás), illetve a magánszféra számára is elérhetıvé, alkalmazhatóvá váljanak. A Követelményrendszer célja tehát olyan egységes e-id kártya követelményrendszer kialakítása, amely: definiálja a HUNEID kártyainterfész és fájl struktúra vonatkozásában minimálisan elvárt követelményeket az ECC szabványra illetve az annak is az alapját képezı szabványokra támaszkodva [1]; iránymutatást ad a szabványok által lehetıvé tett megoldási variánsok mentén; eleget tesz a magyar elektronikus aláírás törvénynek [2][3]; követelményeket fogalmaz meg a szabványok, szabályozások által nem érintett kérdések tekintetében mint például kártyakibocsátás, életciklus menedzsment, kártya- és kulcsmenedzsment, utat mutatva és egyúttal minél nagyobb mozgásteret engedve a HUNEID kártya kibocsátók és alkalmazás-fejlesztık számára; egyértelmővé teszi a HUNEID kártyáktól minimálisan elvárt biztonsági követelményeket; lehetıvé teszi, hogy a HUNEID kártyát képes legyen kezelni minden, az európai szabványoknak megfelelı terminál, illetve más fogadó egység; egyértelmővé teszi a HUNEID kártyával együttmőködı terminál alkalmazások fejlesztıi számára a szükséges és elégséges funkcionalitás meghatározását és implementálását; egységesíti a közigazgatási ágazati- és egyéb azonosító adatok HUNEID kártyán való hiteles elhelyezésének és elérésének feltételeit és módját (ugyanakkor nem tartalmazza ezek adattartalmának rögzítését, mivel az ettıl független szabályozás tárgya). 6

7 1.2 A dokumentum hatóköre Jelen dokumentum a HUNEID kártya és a HUNEID alkalmazás teljes életciklusára vonatkozón fogalmaz meg biztonsági követelményeket. A kártyainterfész tekintetében azonban a kártya felhasználói fázis -ra szorítkozik az ECC szabvánnyal összhangban. A Követelményrendszer az alábbiak vonatkozásában irányadó: HUNEID kártya és alkalmazás parancs interfész (felhasználói fázisban) HUNEID alkalmazás fájlstruktúra specifikáció HUNEID kártya és alkalmazás biztonsági követelmények HUNEID kártyán lévı tanúsítványok kibocsátására és tartalmára vonatkozó minimum követelmények azonosító adatok és azok elhelyezése a HUNEID alkalmazásban egyéb EID alkalmazások azonosító adatok és azok elhelyezése egyéb EID alkalmazásban kártyával szemben támasztott elvárások a kártya menedzsment szempontjából kártyával szemben támasztott elvárások a kulcs menedzsment szempontjából kártya- és alkalmazás kibocsátás alternatívák A Követelményrendszer az alábbi kérdésköröket nem tárgyalja: HUNEID kártya vizuális megjelenése kártyán tárolt ágazati- és egyéb azonosítók tartalma a kártyaelfogadó terminálok felhasználó oldali funkcionális és részletes biztonsági követelményei A HUNEID kártyán tárolt ágazati és egyéb azonosító adattartalom a külön szabályozásként elkészülı Magyar Közigazgatási Azonosítási Séma hatókörébe tartozik. Tekintve, hogy az azonosító adatok, illetve azokat használó alkalmazások a kártyák kibocsátása után is telepíthetık, rögzíthetık, azok meghatározása, rendelkezésre állása nem elengedhetetlen a jelen Követelményrendszer alapján álló HUNEID kártyák kibocsátásához. Jelen Követelményrendszer az ECC szabványnak megfelelı eszközökkel kielégíthetı, az ECC által szabályozott kérdéseket minden tekintetben irányadónak tekinti, azok megismétlése nélkül. Rámutat továbbá azokra az esetekre, ahol az ECC szabta keretek közötti megvalósítást pontosítja az opcionális, illetve választható funkciókat illetıen, természetesen a HUNEID kártya együttmőködési képességének veszélyeztetése nélkül Jelen Követelményrendszer a terminálok felhasználó oldali funkcionális, valamint részletes biztonsági követelményeivel nem foglalkozik, azaz a terminálalkalmazás fejlesztıje szabadon dönthet pl. arról, hogy milyen módon valósítja meg a Display Message mechanizmust, vagy éppen arról, hogy a biztonságos csatorna felépítéséhez szükséges 7

8 titkos kulcsokat milyen módon tárolja. A kártyára vonatkozó követelmények az együttmőködés garantálhatósága miatt azonban az elfogadó terminálokra is direkt módon hatással vannak. Eszerint a Magyarországon használatos e-id kártyák elfogadása szempontjából két féle terminált különböztethetünk meg: HUNEID kártyák elfogadására alkalmas hazai domestic terminált, ahol a terminálnak illetve a rajta mőködı terminálalkalmazásnak támogatnia kell a Követelményrendszer által a HUNEID kártya felhasználói fázisára vonatkozó összes elvárt és opcionális funkciót. Ezáltal a domestic terminálok alkalmasak lesznek a HUNEID kártya és más ECC követelményeket kielégítı kártya fogadására. HUNEID és egyéb ECC kártyák elfogadására alkalmas nemzetközi terminált, ahol a terminál illetve a rajta mőködı terminálalkalmazás az ECC szabványból adódóan támogatja a HUNEID kártya felhasználói fázisára vonatkozó összes elvárt funkciót is. Ezáltal az ECC kártyákat kezelni képes nemzetközi terminálok alkalmasak a HUNEID kártya alapfunkcióinak kezelésére is. A pren ben rögzített terminál-azonosítási, biztonságos csatorna kiépítési mechanizmusból következıen ugyanakkor az a tény, hogy a kártyát tudja egy adott terminál kezelni, nem jelenti azt, hogy valamennyi rajta rögzített adathoz hozzáférhet. A kártya és a terminál közötti autentikációs folyamat eredményeként dıl el, hogy az adott terminál mely adatokhoz férhet hozzá. 8

9 2 Hivatkozások az elıfordulás sorrendjében Ref Nr. Hivatkozott fejezetszám Fejezet angol nyelvő címe Fejezet magyar nyelvő címe 1 CEN/TS :2007, Life cycle status byte Életciklus státusz bájt 2 CEN/TS :2007, 5. Data elements and data structures Adatelemek és adatstruktúrák 3 CEN/TS :2007, 5.2.1, File system considerations Fájlrendszer megfontolások 4 CEN/TS :2007, 5.4. General architecture and file supported 5 CEN/TS :2007, 5.3. Answer to reset (ATR) / answer to select (ATS) Általános architektúra és támogatott fájlok Válasz a reset-re (ATR)/Válasz a select -re (ATS) 6 ISO/IEC :2005, EF.DIR and EF.ATR Az EF.DIR és az EF.ATR 7 CEN/TS :2007, Selection of files Fájlok kiválasztása 8 CEN/TS :2007, Selection of an application Alkalmazások kiválasztása 9 CEN/TS :2007, File control parameter Fájl kontrol paraméter 10 CEN/TS :2007, 6.5. Digital signature Digitális aláírás 11 CEN/TS :2007, 6.6. Client/server authentication Kliens/szerver autentikáció 12 pren :2007, AlgIDs for Client/Server authentication Algoritmus azonosítók kliens/szerver autentikációhoz 13 CEN/TS :2007, 6.7. Encryption key decipherment Titkosító kulcs megfejtése 14 pren :2007, Algorithm Identifier for DECIPHER Algoritmus azonosító a megfejtéshez (DECIPHER) 15 CEN/TS :2007, Table D.2 Data elements and data structures Adatelemek és adatstruktúrák 16 CEN/TS :2007, Identification of the European Citizen Card Az Európai Polgár Kártya azonosítása 17 CEN/TS :2007, C CIA application A CIA alkalmazás 18 CEN/TS :2007, VERIFY A VERIFY parancs 9

10 A CEN/TS :2007, A CEN/TS :2007, A CEN/TS :2007, Table C.18 CHANGE REFERENCE DATA RESET RETRY COUNTER Attributes of PIN authentication object A CHANGE REFERENCE DATA parancs A RESET RETRY COUNTER parancs A PIN hitelesítı objektum attribútumai 22 ISO/IEC :2004, Password attributes Jelszó attribútumok 23 CEN/TS :2007, Table C.19 Resetting code authentication object A kód hitelesítı objektum beállítása 24 CEN/TS :2007, 7.2. Biometrics on card matching Biometria kártyán történı megfeleltetés 25 CEN/TS :2007, 6.4. Device authentication Eszközhitelesítés 26 CEN/TS :2007, Symmetric authentication scheme 27 CEN/TS :2007, Asymmetric device authentication schemes Szimmetrikus hitelesítési séma Aszimmetrikus eszközhitelesítési séma 28 CEN/TS :2007, Authentication environments Autentikációs környezetek 29 pren :2007, SCA in trusted environment Aláíró alkalmazás megbízható környezetben 30 pren :2007, SCA in untrusted environment Aláíró alkalmazás nem megbízható környezetben 31 pren :2007, table 8.14 Select key reference for internal authentication command APDU 32 pren :2007, table 8.13 Read C.ICC.AUT certificate response Kulcshivatkozás kiválasztása belsı hitelesítéshez APDU parancsa A Read C.ICC.AUT Certificate parancsra adott válasz 33 CEN/TS :2007, Secure messaging Biztonságos csatorna kiépítés 34 pren :2007, NOTE 1. Reading the Display Message A Display Message kiolvasása 35 pren :2007, Display message mechanism A Display Message mechanizmus 36 ISO/IEC Cryptographic Information A kriptográfiai információkat 10

11 Application (CIA) tartalmazó alkalmazás (CIA) 37 CEN/TS :2007, File system considerations Fájl rendszer megfontolások 38 CEN/TS :2007, C.2.1 EF.CIAInfo Az EF.CIAInfo fájl 39 CEN/TS :2007, C.2.2 EF.OD Az EF.OD fájl 40 CEN/TS :2007, C.2.3 EF.AOD Az EF.AOD fájl 41 CEN/TS :2007, C.2.4 EF.PrKD Az EF.PrKD fájl 42 CEN/TS :2007, C.2.6 EF.PuKD Az EF.PuKD fájl 43 CEN/TS :2007, C.2.5 EF.SKD Az EF.SKD fájl 44 CEN/TS :2007, C.2.7 EF.CD Az EF.CD fájl 45 CEN/TS :2007, C.2.8 EF.DCOD Az EF.DCOD fájl 46 ISO/IEC :2004, 8.3 The CIOChoice type Az ASN-1-ben definiált CIOChoice típus 47 pren :2007, 15.5 EF.DH Az EF.DH fájl 48 CEN/TS :2007, A CEN/TS :2007, A UPDATE BINARY READ BINARY Az UPDATE BINARY parancs A READ BINARY parancs 50 ISO/IEC :2004, Opaque data container object attributes Az Opaque adat konténer objektum attribútumok 51 pren :2007, EF.DM Az EF.DM fájl 11

12 3 Terminológiák és definíciók Az 1. táblázat terminológiák, definíciók definiálja a Követelményrendszerben használt nagybetővel kezdıdı kifejezéseket és definíciókat. A kisbetővel használt kifejezések általánosságban értendık. 1. táblázat terminológiák, definíciók Terminológia Követelményrendszer Intelligens Kártya Natív, Fájlrendszerő Kártya Programozható Kártya Kártyaalkalmazás Applet Alapértelmezett Applet Multi-alkalmazásos Kártya Definíció Jelen dokumentum Az Intelligens Kártya (Smart Card) kifejezés a dokumentumban absztrakció, az e-id White Paper [5] és a CEN/CWA szellemében a fizikai kártyaformátum csak ott kötelezı, ahol a kapcsolódó okmány funkció a kártya formátumot elıírja, mely esetben a CEN/TS szabvány az irányadó. Intelligens Kártya alatt tehát valamilyen intelligens elıre meghatározott funkcionalitás végrehajtására alkalmas csip platformot (csipmodul, operációs rendszer, fájlrendszer, aláíró alkalmazás, vagy applet) értünk, ami többek között USB biztonsági eszközzel, vagy mobil SIM kártyával is kielégíthetı. Natív, vagy Fájlrendszerő Kártyák alatt azokat az ISO/IEC szerinti fájlkezelést megvalósító Intelligens Kártyákat értjük, ahol a kártya operációs rendszer nem képes futtatható kódot fogadni. A natív kártyák jellemezıen alkalmasak több Kártyaalkalmazás fogadására is. Futtaható program kártya applet (bájt kód, cardlet) fogadására és futtatására alkalmas operációs rendszerrel rendelkezı Intelligens Kártya. Ezeknél a kártyáknál az operációs rendszer tartalmaz egy ún. virtuális gépet, vagy más néven bájt kód interpretert, mint például a Java Card TM szabvány által definiált Java kártyák, vagy a MAOSCO konzorcium által szabványosított MULTOS TM kártyák esetén, de léteznek egyéb, nem szabványosított kód futtatására alkalmas kártyák is, amelyek alkalmasak lehetnek a Követelményrendszer által támasztott követelmények kielégítésére. Olyan kártyán tárolt objektum, amely rendelkezik ISO/IEC szerinti alkalmazás azonosítóval AID-vel és szabványos SELECT paranccsal az AID alapján kiválasztható. Olyan Kártyaalkalmazás, amely futtatható programkódot tartalmaz. Applet, amely az Intelligens Kártya ISO/IEC szerinti reset után a kártya operációs rendszer által automatikusan kiválasztásra kerül. Olyan Intelligens Kártya, amely egyidejőleg több Kártyaalkalmazást tartalmaz, vagy tartalmazhat, valamint lehetıvé teszi az egyes alkalmazások SELECT paranccsal való kiválasztását az AID alapján, esetenként az alkalmazások jogkörhöz kötött aktiválását és deaktiválását. 12

13 Terminológia Kibocsátás Utáni Megszemélyesítés Definíció PIP Post Issuance Personalization, azaz Kártyaalkalmazás, illetve Applet telepítése és megszemélyesítése a kártya kibocsátása után a használati fázisban. PIP Kártya Kibocsátás utáni utólagos megszemélyesítésre alkalmas kártya, azaz olyan Multi-alkalmazásos kártya, amely a kártya kibocsátása után is képes újabb Kártyaalkalmazás, illetve Applet fogadására tipikusan a Kártyakibocsátó, illetve az általa felhatalmazott entitások (szervezetek, személyek, funkcionális csoportok) részére, esetleg azok törlésére. HUNEID kártya HUNEID Funkciók IAS Alkalmazás CIA Alkalmazás HUNEID Alkalmazás EID Alkalmazás EID Konténer A HUNEID kártya olyan legalább kétfaktoros hitelesítésre alkalmas eszköz (tipikusan natív, vagy programozható kártya), amely megvalósítja az elvárt HUNEID funkciókat, valamint tartalmazhat egyéb Kártyaalkalmazásokat is mint például elektronikus pénztárca, tömegközlekedés, loyalty, egyéb PKI,, melyek tárgyalása azonban nem tartozik jelen követelményrendszer hatókörébe. A HUNEID kártya egy bizonyos természetes személyhez aki a kártyabirtokos tartozik. A CEN/TS :2007 szabvány, illetve a jelen követelményrendszer szerinti PKI, illetve egyéb e-id funkciók, melyeket az IAS és EID alkalmazások valósítanak meg a CIA Alkalmazás segítségével. Olyan Identification, Authentication, Signature (azaz Azonosítás, Hitelesítés, Aláírás) funkcionalitást, valamint opcionálisan egyéb PKI funkciókat pl. titkosítás megvalósító Kártyaalkalmazás, amely a jelen követelményrendszer által tárgyalt minimálisan megkövetelt funkcionális, együttmőködési, illetve biztonsági követelményeknek eleget tesz. Olyan, egy vagy több IAS alkalmazást megvalósító ISO/IEC Kártyaalkalmazás, amely a jelen követelményrendszer által tárgyalt minimálisan megkövetelt funkcionális, együttmőködési, illetve biztonsági követelményeknek eleget tesz. Egy bizonyos CIA Alkalmazás, amely biztosítja a HUNEID Funkciók elérését. Olyan azonosító adatokat tartalmazó Kártyaalkalmazás, amely egy bizonyos alkalmazás-kibocsátóhoz tartozik, és ami a jelen követelményrendszer által tárgyalt minimálisan megkövetelt funkcionális, együttmőködési, illetve biztonsági követelményeknek eleget tesz. EID Alkalmazás alatt lévı ISO/IEC követelmények szerinti transzparens EF, amelyen szerepkörhöz kötött Megbízható útvonalon történı írási és olvasási mőveletek értelmezhetık. 13

14 Terminológia HUNEID Applet EID Applet HUNEID Fájlstruktúra Kártyakibocsátó Alkalmazás Szolgáltató Kártya Életciklus Alkalmazás Életciklus Életciklus Állapot Életciklus Fázis Terminál, Interfész Eszköz Megbízható Csatorna Eat. MNAS IDDO Definíció Az IAS, CIA és opcionálisan EID Alkalmazásokat tartalmazó kártya applet. A HUNEID kártyán csak egy HUNEID applet lehet. Egy vagy több EID Alkalmazást tartalmazó kártya applet. A HUNEID kártyán javasolt minden EID Alkalmazás HUNEID Appleten belüli implementálása, azonban a kártyán további tetszıleges számú EID Applet megengedett, amennyiben ez szükséges. A HUNEID funkciókat megvalósító, valamint a kapcsolódó adatstruktúrákat tartalmazó ECC szerinti ISO/IEC fájlrendszer. Kontrollálja a kártyát annak teljes életciklusa során. A HUNEID kártyán valamely alkalmazásra vonatkozóan rendelkezésre bocsátja a Kártyaalkalmazást megvalósító komponenseket, valamint kontrollálja azt annak teljes életciklusa során. A kártya életciklusa annak kibocsátástól megszüntetéséig a kártya által felvett összes állapotot jelenti, mint pl. inicializált, kibocsátott, megszemélyesített, blokkolt. A kártya állapota az életciklusa során minden pillanatban egyértelmő. A Kártyaalkalmazás életciklusa különbözı alkalmazás állapotokat jelent, mint pl. telepített, kiválasztható, megszemélyesített, aktív, inaktív. A kártya, vagy az alkalmazás a kártyától szabványos módon lekérdezhetı életciklus egy bizonyos állapota, mely hatással lehet a kártya, illetve az alkalmazás által megvalósított funkcionalitásra is. Jelen Követelményrendszer által definiált egy vagy több Életciklus Állapotot egyértelmően magában foglaló absztrakt fogalom, amely hivatkozási alapul szolgál az életciklus fontos szakaszaira. Eszköz, amely közvetlenül kommunikál a HUNEID kártyával. A terminál és a HUNEID kártya közötti kapcsolat hitelességét és a kommunikáció megbízhatóságát fizikailag, vagy kriptográfiai eszközökkel garantáló útvonal Az elektronikus aláírásról szóló évi XXXV. törvény Magyar Nemzeti Azonosítási Séma, amely keretében történik a Magyar Köztársaságban értelmezett és elfogadott (személyes és ágazati személyes) azonosítók meghatározása, az azonosítók írására, olvasására, módosítására, törlésére jogosult terminálok körének meghatározása. Itt kerülnek meghatározásra a Kártyakibocsátókra, Alkalmazás Szolgáltatókra, EID Alkalmazás AID-kre és EID Tag értékekre vonatkozó azonosítók is. EID Alkalmazásban lévı azonosító adat objektum. 14

15 4 Alkalmazott rövidítések Az 2. táblázat alkalmazott rövidítések tartalmazza a Követelményrendszerben használt rövidítések listáját. 2. táblázat alkalmazott rövidítések Terminológia ADF AID AOD ASN.1 ATR ATS AUT BALE BER BIO BNF CA CD CH CHR CIA CIO CRT CV DCOD DF DH DIR DM ECC EF EHIC EID Definíció Application Dedicated File Application Identifier Authentication Object Directory Abstract Syntax Notation One Formális szintaktikai leíró nyelv szabvány Answer To Reset Answer To Select Authentication Biztonságos Aláírás Létrehozó Eszköz, az Eat. szerint. A követelményeknek megfelelı eszközöket az NHH regisztrálja és publikálja: Elektronikus aláírással kapcsolatos nyilvántartások, Tanúsított elektronikus aláírási termékek Basic Encoding Rules Biometric Backus Naur Form Certificate Authority Certificate Directory Card Holder Certificate Holder Reference Cryptographic Information Application Cryptographic Information Object Control Rererence Template Card Verifiable Data Container Object Directory Dedicated File Diffie Hellman Directory Display Message European Citizen Card Elementary File European Health Insurance Card application Electronic Identity 15

16 Terminológia EPURSE ETRANS FCP IAS ICC IDDO IFD KE MF MSE NHH OD PAN PIN PIX PrK PrKD PSO PUK PuK PuKD RID SK SKD SN TLV Definíció Electronic Purse application Electronic Ticketing application File Control Parameter Identification Authnetication Signature Integrated Circuit Card Identification Data Object Interface Device Key Echange Master File Manage Security Environment Nemzeti Hírközlési Hatóság Object Directory Primary Account Number Personal Identification Number Proprietary Application Identifier Extension Private Key Private Key Directory Perform Security Operation PIN Unblocking Key Public Key Public Key Directory Registered Application Provider Identifier Secret Key Secret Key Directory Serial Number Tag, Length, Value 16

17 5 A HUNEID kártya platform követelmények A HUNEID Funkciók megvalósíthatók Natív, illetve Programozható Kártya platformon is. Programozható Kártya esetén a kártyán lévı dedikált egy és csak egy HUNEID Applet hivatott a HUNEID Funkciók megvalósítására. Jelen Követelményrendszer a HUNEID Applet-et az Interfész Eszköz szempontjából egyenértékőnek tekinti egy önálló HUNEID kártyával. 5.1 Programozható Kártya platform követelmények rendelkezzen Alapértelmezett Applet kiválasztási lehetıséggel és az Alapértelmezett Applet a HUNEID Applet legyen a HUNEID Applet elégítse ki a jelen Követelményrendszer szerinti Natív kártya platform követelményeket a HUNEID Applet más Applet által megvalósított funkcionalitást is igénybe vehet, amennyiben ez az Interfész Eszköz számára transzparens módon történik 5.2 Natív kártya platform követelmények funkcionális szempontból legyen alkalmas a Követelményrendszer szerinti kötelezı funkciók megvalósítására elégítse ki a HUNEID kártyára vonatkozó biztonsági követelményeket rendelkezzen elegendı memória kapacitással a HUNEID funkciók, adatstruktúrák, valamint opcionálisan egy vagy több EID alkalmazás számára 17

18 6 A HUNEID kártya életciklusa Az Intelligens Kártyákra jellemzı, hogy az általuk megvalósított funkcionalitás egy elıre meghatározott életciklus modell mentén más és más lehet. Különösen fontos ez az e-id kártyáknál, ahol a kártya valódi bizonyíthatóan csak a kártyán egy példányban meglévı kulcsobjektumokat - titkokat 1 tárol. Habár a különféle kártyaplatformok és kártyaplatform szabványok által definiált életciklus modellek különbözıek, jelen Követelményrendszer szerint, amennyiben egy HUNEID kártya: Fájlrendszerő Kártyán kerül kialakításra, úgy a Kártya Életciklus modell szempontjából is a CEN/TS :2007, fejezet az irányadó, amely összhangban van az ISO/IEC szabvánnyal Programozható Kártyán kerül kialakításra, úgy a kártya életciklusa akkor kezdıdik, amikor a HUNEID Applet telepítésre és funkcionális szempontból aktív állapotba kerül. A HUNEID Applet életciklusa megegyezik a Fájlrendszerő Kártyáknál tárgyaltakkal. A nevezett szabványok mind a kártyára, mind a fájlokra vonatkozóan életciklus állapotokat fogalmaznak meg, s ezek a kártyától lekérdezhetık. A gyakorlatban az egyes kártyaplatformok, operációs rendszerek és alkalmazások helyeként más módon értelmezhetik az Életciklus Állapotokat, különösen a mőveleti Életciklus Állapotok elıtt. Jelen Követelményrendszer a HUNEID kártya életciklusát az alábbi három fı szakaszra bontja, melyek mindegyike az aktuális Életciklus Állapotból egyértelmően következik: Megszemélyesítés. Minden a kártya kibocsátásával kapcsolatos olyan feladatot, amely a felhasználói fázisban nem elvégezhetı a Megszemélyesítési fázisban kell elvégezni. A Megszemélyesítés fázis után csak Használati fázis következhet. Használat. A HUNEID kártya rendeltetésszerő használatához szükséges funkciók mindegyike elérhetı. Megszőnt. A kártyán csak megszőnt státuszra vonatkozó funkció elérhetı. 3. táblázat HUNEID kártya életciklusa HUNEID életciklus fázis Megszemélyesítés Használat ECC- ben értelmezett Életciklus Állapot Létrehozva 2 Inicializálva 2 Aktív mőveleti Inaktív mőveleti Az Állapotok alkalmazása Legalább az egyik kötelezı Kötelezı Opcionális Megszőnt Megszüntetett Opcionális 1 Az aláíró és hitelesítı magánkulcsokat jellemzıen a kártya generálja és sohasem kiolvashatók 2 A Létrehozva és Inicializálva állapotok használata implementációfüggı (lásd: CEN/TS :2007-, 5.6.3) 18

19 A HUNEID Követelményrendszer által definiált Életciklus Fázisok a szabványos Életciklus Állapotok alapján egyértelmően meghatározható a 3. táblázat HUNEID kártya életciklusa szerint. A kártya aktuális Életciklus Állapota a kártya ATR-bıl, vagy EF.ATR-bıl kiolvasható CEN/TS :2007, 5.3 szerint. A HUNEID kártya életciklus állapotdiagramját az 1. ábra HUNIED Kártya állapotdiagram szemlélteti. Megszemélyesítés Létrehozva (Creation) Inicializálva (Initialization) Használat Aktív mőveleti (Operational - activated) Inaktív mőveleti (Operational - deactivated) Megszőnt Megszüntetett (Termination) 1. ábra HUNIED Kártya állapotdiagram 19

20 7 A HUNEID kártyán lévı Kártyaalkalmazások életciklusa A HUNEID kártyán lévı Kártyaalkalmazások a kártya életciklusán belül önálló a kártya életciklusától független életciklussal rendelkeznek. Ezáltal a használati fázisban is lehetıvé válik a telepített Kártyaalkalmazások független kezdeti aktiválása, blokkolása és újraaktiválása, melyek a kártyamenedzsment során kapnak hangsúlyt. A Kártyaalkalmazások életciklus modellje a HUNEID kártyához hasonlóan Életciklus Állapotokból áll, melyek mindegyikéhez egyértelmő Életciklus Fázis tartozik a 4. táblázat Kártyaalkalmazás életciklusa a HUNEID kártyán szerint. 4. táblázat Kártyaalkalmazás életciklusa a HUNEID kártyán HUNEID életciklus fázis Megszemélyesítés Használat ECC-ben értelmezett Életciklus Állapot Létrehozva 2 Inicializálva 2 Aktív mőveleti Inaktív mőveleti Az Állapotok alkalmazása Legalább az egyik kötelezı Kötelezı Kötelezı Megszőnt Megszőntetett Opcionális 20

21 A HUNEID kártyán lévı Kártyaalkalmazások állapotdiagramját a 2. ábra Kártyaalkalmazás állapotdiagram szemlélteti. Megszemélyesítés Létrehozva (Creation) Inicializálva (Initialization) Használat Aktív mőveleti (Operational - activated) Inaktív mőveleti (Operational - deactivated) Megszőnt Megszőntetett (Termination) 2. ábra Kártyaalkalmazás állapotdiagram 21

22 8 HUNEID kártya által kezelt adatok, objektumok CEN/TS :2007, 5 szerint. Minden a HUNEID kártya által tárolt információ külsı hozzáférés szempontjából az alábbi csoportok valamelyikébe tartozik: Fájlrendszerben tárolt információ GET DATA paranccsal elérhetı (CEN/TS :2007, 5) egyéb, a kártyán közvetlenül nem elérhetı adatok mint pl: titkos kulcsok, PIN referencia adatok, melyek tárolási módja az együttmőködés szempontjából irreleváns 8.1 A Fájlrendszer megvalósítása A HUNEID kártya MF, DF, ADF és EF objektumokat tartalmaz. CEN/TS :2007, 5.2.1, 5.4 szerint. Egy lehetséges HUNEID kártya fájlrendszer: Root (MF) EF.DIR EF.ATR IAS CIA (HUNEID) EF.CIAInfo EF.OD EID 1 EID 2 EHIC ETICK EPURSE 3. ábra lehetséges HUNEID Kártya fájlrendszer 22

23 8.2 ATR és ATS CEN/TS :2007, 5.3 szerint. Az EF.ATR fájl azonosító 2f01 az ISO/IEC :2005, szerint 8.3 Fájlok, alkalmazások kiválasztása Fájlok kiválasztása CEN/TS :2007, szerint Kártyaalkalmazások kiválasztása CEN/TS :2007, szerint. Programozható Kártyán a HUNEID Applet az Alapértelmezett Applet, emiatt explicit kiválasztást nem igényel. A HUNEID kártyán több CIA alkalmazás lehet, azonban csak egy HUNEID Alkalmazás. A HUNEID Alkalmazásra vonatkozó EF.DIR bejegyzésnél a szöveges leíró (Tag 50 ) megadása kötelezı, s az értéke kötelezıen HUNEID Fájl kontrol paraméter (FCP) CEN/TS :2007, szerint. 23

24 9 Kártyafunkciók A HUNEID kártya funkcionalitása az alábbi kategóriákba sorolható: IAS funkciók EID funkciók együttmőködést biztosító funkciók egyéb kártyafunkciók 9.1 IAS funkciók Az elektronikus azonosítás, hitelesítés, aláírás és titkosítás, vagyis az IAS funkciók az IAS Alkalmazás hatókörébe tartoznak. Az IAS Alkalmazás által megvalósított funkciók hivatkozhatnak közvetlenül a root alatt 3 vagy más Kártyaalkalmazás alatt lévı fájlokra, objektumokra Digitális aláírás CEN/TS :2007, 6.5 szerint. A HUNEID Kártya elektronikus aláírás funkciója lehetıvé teszi a magyar Elektronikus aláírás törvény 4 szerinti minısített elektronikus aláírás létrehozását, amely a teljes bizonyító erejő magánokiratba foglalással egyenértékő. Az elektronikus aláírás az aláírandó adatra vonatkozó lenyomaton képzett digitális aláírás létrehozásával történik a minısített aláírói tanúsítványhoz tartozó magánkulcs (SK.CH.DS) által sikeres Kártyabirtokos verifikáció után. A közigazgatásban használható minısített elektronikus aláírásra alkalmas tanúsítványok tartalma jelen Követelményrendszer hatókörén kívül esik. Ezt célszerően a hitelesítési rendek tartalmazzák. Az aláírói kulcspárra és tanúsítványra vonatkozó követelmények: A HUNEID kártyán legyen legalább egy aláírói magánkulcs és a hozzátartozó minısített tanúsítvány az aláírói kulcspárt a Biztonságos Aláírás Létrehozó Eszközre (BALE) vonatkozó követelmények szerint kell létrehozni. Javasolt megoldás az aláírói kulcspár kártyán való generálása az aláírói magánkulcshoz tartozó nyilvános kulcs kártyán való elhelyezése opcionális az aláírói kulcs létrehozásakor a kulcshossz és az algoritmus tekintetében a Nemzeti Hírközlési Hatóság által megadott követelmények 5 a mérvadóak 3 Jellemzı gyakorlat az egyéb célú kártyafunkciók, Kártyaalkalmazások által is használható de logikailag az IAS funkciókhoz szorosan kapcsolódó: pl biztonságos csatorna kulcsok, CV tanúsítványok, globálisan használható PIN kódok objektumok IAS Kártyaalkalmazáson kívüli elhelyezése 4 Az elektronikus aláírásról szóló évi XXXV. törvény 5 Algoritmusokkal kapcsolatos határozatok 24

25 9.1.2 Kártyabirtokos azonosítás, hitelesítés CEN/TS :2007, 6.6 szerint. A Kártyabirtokos elektronikus azonosítása a HUNEID kártya kliens-szerver 6 hitelesítés funkciója segítségével történik a hitelesítı tanúsítvány és a hozzátartozó kártyán lévı magánkulcs (SK.CH.AUT) által sikeres Kártyabirtokos verifikáció után. A Kártyabirtokos azonosítása történhet: ha a Kártyabirtokos nincs jelen, az azonosító/hitelesítı (authentication) tanúsítvány alapján (PKI alapon), miután a Kártyabirtokos bebizonyította, hogy rendelkezik a tanúsítványban szereplı nyilvános kulcshoz tartozó magán kulccsal. A közigazgatásban ügyfélhitesítésre alkalmas tanúsítványok tartalma jelen Követelményrendszer hatókörén kívül esik, ez a hitelesítési célú tanúsítványok szabályzatában rendezendı. ha a Kártyabirtokos jelen van, illetve az elızı pontban leírt sikeres PKI azonosítás után, az EID Alkalmazás(ok)ban elhelyezkedı azonosítók alapján, amennyiben a terminál rendelkezik a megfelelı azonosító kiolvasására vonatkozó képességgel, jogosultsággal. A hitelesítı kulcspárra és tanúsítványra vonatkozó követelmények: A HUNEID kártyán legyen legalább egy hitelesítı magánkulcs és a hozzátartozó tanúsítvány a hitelesítı kulcspárt az aláírói kulcspár létrehozásával azonos módon és fázisban, azzal megegyezı biztonságú környezetben kell a kártyán létrehozni a hitelesítı magánkulcshoz tartozó nyilvános kulcs kártyán való elhelyezése opcionális a hitelesítı magánkulcs csak a szabványos algoritmusokat támogassa pren :2007, szerint Kulcsvisszafejtés (Key Exchange Key (KEK) - titkosító kulcspár) CEN/TS :2007, 6.7 szerint. A Kártyabirtokos részére küldött bizalmas titkosított adatok megfejtése a HUNEID kártya kulcs visszafejtés 7 funkciója segítségével történik a titkosító tanúsítvány és a hozzátartozó kártyán lévı magánkulcs által sikeres Kártyabirtokos verifikáció után. A kulcsvisszafejtı magánkulcs (SK.CH.KE) mentése, archiválása 8 Követelményrendszer hatókörébe. nem tarozik jelen 6 A HUNEID kártya ügyfél-kiszolgáló hitelesítés funkció lehetıséget biztosít kölcsönös hitelesítésre és megbízható csatorna kiépítésére az ügyfél és a kiszolgáló között (PK KERBEROS, SSL/TLS, WTLS) 7 A kulcsvisszafejtés funkciót titkosításnak is nevezik, ami ennél a funkciónál csak egyszerősítés, ugyanis valójában egy a Kártyabirtokos titkosító tanúsítványa alapján - titkosított üzenet egyedi, szimmetrikus titkosító kulcsának megfejtése történik. A kulcsvisszafejtés funkciója alkalmas egyéb pl.: fájltitkosítás titkosító funkciókra is. 25

26 A kulcsvisszafejtı kulcspárra vonatkozó követelmények: A HUNEID kártyán lehet egy, vagy több kulcsvisszafejtı magánkulcs és hozzátartozó tanúsítvány a kulcsvisszafejtı magánkulcshoz tartozó nyilvános kulcs kártyán való elhelyezése opcionális a kulcsvisszafejtı magánkulcs csak a szabványos algoritmusokat támogassa pren :2007, szerint 9.2 EID funkciók A HUNIED Kártya az egy vagy több EID alkalmazásban megvalósított EID funkciók révén alkalmas különféle azonosító adatok IDDO-k szerepkörhöz kötött tárolására és kiolvasására. Az EID Alkalmazásokban lévı IDDO-k elhelyezése a 12. fejezetben tárgyalt módon történik. Programozható Kártyáknál az EID Alkalmazások megvalósíthatók a HUNEID Applet-en belül, valamint különálló EID Applet-ben is. Utóbbi esetben az EID Applet a HUNIED Applet által megvalósított funkcionalitás egy részhalmazát kell, hogy támogassa a II. számú melléklet EID Applet kötelezı funkciók szerint. 9.3 A HUNEID kártya azonosítása CEN/TS :2007, szerint. Minden HUNEID kártya rendelkezik az EF.SN fájlban egy ISO/IEC 7812 szerinti PAN számmal, amely egy globálisan egyedi azonosító, az alábbiak szerint: SN.ICC ahol SN.ICC a kártya adott országon belüli egyedi azonosítója: SN.ICC :: xx yyyyyyyyyyyy zf xx: HUNEID kártya kibocsátó azonosító. Felvehetı értéke a Magyar Nemzeti Azonosítás Sémában kerül meghatározásra. yy : a kártya kibocsátó által adott kártya egyedi sorszám (12 számjegy) z: ellenırzı számjegy 9 CEN/TS :2007, szerint 9.4 A HUNEID Alkalmazás azonosítása CEN/TS :2007, C szerint. 8 Amennyiben a kulcsvisszafejtı magánkulcs csak a kártyán létezik, úgy a kártya elvesztése esetén a régebben titkosított adatok megfejtésére nincs mód. Emiatt a kulcsvisszafejtı kulcsok esetleg tanúsítványok mentését jellemzıen a HUNEID Alkalmazás Szolgáltatója által biztosított ún. kulcs letét key escrow szolgáltatás keretein belül kell biztosítani. 9 Luhn formula szerint, ECC, ISO

27 A HUNEID Alkalmazás kiválasztása az AID alapján történik, ami az alábbi szabály alkalmazásával definiálandó: ahol AID.HUNEID = RID PIX RID = E8 28 BD 08 0F PIX = AID.IAS, ha AID.IAS hossza <= 11, PIX = AID.IAS utolsó 11 bájt, ha AID.IAS hossza > 11 A terminál többféleképpen szerezhet tudomást a HUNEID Alkalmazás azonosítójáról: 1. a terminálalkalmazás elıre tudja az általa kezelt HUNEID Alkalmazás-ok azonosítóit 2. a terminálalkalmazás az EF.DIR alapján egyértelmően meg tudja határozni a HUNEID Alkalmazás azonosítóját a terminálalkalmazás az EF.DIR alapján a HUNEID Alkalmazás bejegyzésnél definiált HUNEID címke segítségével tudja meghatározni a HUNEID Alkalmazás azonosítóját 9.5 EID Alkalmazások azonosítása Az EID Alkalmazások kiválasztása szintén AID alapján történik. A HUNEID kártyán lehetséges EID Alkalmazások AID-inek meghatározása a Magyar Nemzeti Azonosítás Sémában kerül meghatározásra. 10 Ha a kártyán csak egy CIA Alkalmazás van, illetve csak egy CIA Alkalmazás azonosítója kezdıdik RID = E8 28 BD 08 0F -al 27

28 9.6 Hitelesítési mechanizmusok A kártyán az egyes szerepkörök (lásd: 9.7) betöltését hitelesítési funkciók, mechanizmusok teszik lehetıvé a kártya belsı biztonsági státusza változtatásával. Minden hitelesítési mechanizmus valamilyen kártyán lévı titokhoz, hitelesítı adathoz kötıdik. A 5. táblázat hitelesítési mechanizmusok összefoglalja a HUNEID kártya által támogatandó hitelesítési mechanizmusokat és a kapcsolódó hitelesítı adatokat. 5. táblázat hitelesítési mechanizmusok Hitelesítés Hitelesítı adat Alkalmazás PIN (AUT.PIN) PIN referencia Kötelezı Biometria (AUT.BIO) Biometrikus minta Opcionális Szimmetrikus eszközhitelesítés (AUT.SK) Szimmetrikus kulcs Kötelezı Aszimmetrikus eszközhitelesítés (AUT.PrK) Magánkulcs Kötelezı 9.7 Szerepkörök A kártyán lévı bizonyos adatokhoz, ill. funkciókhoz csak valamilyen hitelesített szerepkörben lehet hozzáférni. A HUNEID kártya az alábbi szerepköröket különbözteti meg. 6. táblázat szerepkörök Szerepkör \ Hitelesítés AUT.PIN AUT.BIO AUT.PrK AUT.SK Alkalmazás Kártyakibocsátó x x Feltételes Kártyabirtokos x x Kötelezı Aláíró x x Kötelezı Alkalmazás Szolgáltató 1..N x x Kötelezı Kártya Elfogadó 1..N x x Kötelezı A Kártyabirtokos és Aláíró szerepköröket ugyanaz a természetes személy akinek a részére a kártyát kibocsátották tölti be Kártyakibocsátó A Kártyakibocsátó feladata a kártya életciklus menedzsmentje. A szerepkör szimmetrikus, vagy aszimmetrikus hitelesítést igényel. A Kártyakibocsátó jogosult: kártya megszemélyesítésére kártya blokkolására Kártyaalkalmazás, Applet telepítésére Kártyaalkalmazás, Applet törlésére Kártyaalkalmazás aktiválására 28

29 Kártyaalkalmazás deaktiválására Kártyabirtokos A Kártyabirtokos szerep kártya felhasználóra vonatkozik és jogosult a kártyán minden, az aláírástól különbözı funkció használatára a Globális PIN-nel való verifikáció (lásd: ) után Aláíró Az Aláíró szerep a HUNEID Alkalmazásra vonatkozik és minısített aláírás létrehozására jogosult az Aláírói PIN-nel való verifikáció (lásd: ) után Alkalmazás Szolgáltató Az Alkalmazás Szolgáltató feladata egy bizonyos Kártyaalkalmazás, vagy Applet életciklus menedzsmentje. A szerepkör szimmetrikus, vagy aszimmetrikus hitelesítést igényel. Egy bizonyos Alkalmazás Szolgáltatója jogosult az adott Kártyaalkalmazás: megszemélyesítésére (alkalmazás megszemélyesítés) aktiválására deaktiválására törlésére konfigurálására Kártya Elfogadó A Kártya Elfogadó szerep lehetıvé teszi valamely Kártyaalkalmazás olyan funkcióinak végrehajtását, amelyek valamilyen szimmetrikus, vagy aszimmetrikus eszközhitelesítést igényelnek. A HUNEID kártyán a fentieken kívül egyéb szerepkörök is megengedettek. 9.8 Kártyabirtokos verifikáció CEN/TS :2007, 6.3, A szerint. Verifikáció alatt a Kártyabirtokos tudás alapú, és/vagy biometrikus ellenırzését értjük. A HUNEID kártyán az alábbi funkciók elérése csak a felhasználó verifikációja után lehetséges: magánkulcs használata (aláírás, hitelesítés, kulcsvisszafejtés) minden olyan adat írása, amely a Magyar Nemzeti Azonosítási Séma hatókörén belül szabályozott minden egyéb olyan kártya funkció, amely a Kártya birtokos beleegyezését igényli 29

30 9.8.1 PIN kódok A HUNEID kártya minısített elektronikus aláírás funkciót jellemzıen külön értékelik a BALE tanúsítás során. Ennek folyománya, hogy a tanúsítás hatókörébe esı funkciók a késıbbiekben nem, vagy csak a tanúsítás által megengedett mértékben módosíthatók. Tekintve, hogy a PIN és PUK kódok egy része tipikusan a kártya tanúsításának hatókörébe tartozik, az alábbiakban megfogalmazott követelményektıl ahol (és csak ott) az a BALE tanúsítás miatt indokolt el lehet térni. A HUNEID kártyán minden PIN cserélhetı, annak ismeretében a CEN/TS :2007, A szerint. A HUNEID kártyán minden PIN újradefiniálható (és a kártya bármely PIN-hez támogasson az alábbi lehetıségek közül legalább egyet): Kártyabirtokos általi PIN inicializálással 11, a PIN-hez egyértelmően rendelt feloldó kód (PUK) ismeretében Kártyakibocsátó, vagy Alkalmazás Szolgáltató által, bizalmasan kezelt PUK ismeretében. Ez esetben a vonatkozó PUK a kibocsátó által az egyéb kibocsátói kulcsokkal egyenértékő módon kezelendı Kártyakibocsátó, vagy Alkalmazás Szolgáltató által PIN cserével CEN/TS :2007, A.7.5.6, P1=01 szerint A HUNEID kártyán tetszıleges számú PIN kód megvalósítása lehetséges, de a HUNEID Funkciók használatára a Globális és az Aláírói PIN alkalmazása javasolt. A HUNEID kártyán minimálisan Globális PIN és Aláírói PIN implementálása kötelezı. Bármely HUNEID Funkción értelmezett a Globális vagy Aláírói PIN-tıl eltérı PIN esetén a Globális PIN-re vonatkozó követelmények a mérvadók. Az egyéb PIN-ek vonatkozásában nincsenek megkötések Globális PIN A HUNEID kártya kötelezıen rendelkezzen egy ún. Globális PIN (Global PIN) funkcióval, amely bármely Kártyaalkalmazás által felhasználható Kártyabirtokos verifikációra. Kötelezıen a Globális PIN hatóköre alá tartozó funkciók: Kártyabirtokos azonosítás-hitelesítés kulcsvisszafejtés Kártyabirtokos beleegyezését igénylı EID funkciók 11 PIN beállítása egy adott értékre CEN/TS :2007, A szerint, ekkor a lehetséges próbálkozások száma is elölrıl kezdıdik 30

31 Amennyiben a Globális PIN-hez tartozik PUK (továbbiakban Globális PUK), az más PINekhez nem használható. Amennyiben a Globális PIN-hez nem tartozik Globális PUK, úgy annak inicializálása csak a Kártyakibocsátó által lehetséges. A Globális PIN hossza (PenLen): 5 <= PinLen <= 8 A Globális PIN formátuma ASCII-numeric CEN/TS :2007, Table C.18 és ISO/IEC :2004, szerint. A lehetséges próbálkozások (TryCnt) száma Globális PIN esetén: Kártyabirtokos által ismert Globális PUK esetén TryCnt GlobalPIN = 3 egyéb esetben 3 <= TryCnt GlobalPIN <= Aláírói PIN Az elektronikus aláírás létrehozásához szükséges Aláírói PIN (Signature PIN). Az Aláírói PIN más funkcióhoz nem köthetı és sikeres verifikáció után csak egy aláírás készíthetı, azaz minden egyes aláírás elıtt újbóli verifikáció szükséges. Az Aláírói PIN-hez kötelezıen tartozik PUK (továbbiakban Aláírói PUK), amely csak az Aláíró (lásd: 9.7.3) által ismert és az más PIN-ek feloldásához nem használható. Tekintve, hogy az Aláírói PUK biztonsági kockázatot jelent 12, így annak blokkolását 13 lehetıvé kell tenni a Kártyabirtokos számára a kártya aktiválása elıtt és után. Az aláírói PIN újradefiniálását opcionálisan a Kártyakibocsátó (HUNEID Alkalmazás Szolgáltatója, aki a Hitelesítés Szolgáltató) is megteheti új PIN megadásával (PIN cserével, lásd: 9.8.1) Transzport PIN-ként. Tehát a megadott PIN-nek mindenben meg kell felelnie a Transzport PIN-nel kapcsolatban megfogalmazott követelményeknek (lásd: ). Az Aláírói PIN hossza (PenLen): 6 <= PinLen <= 8 Az Aláírói PIN formátuma ASCII-numeric CEN/TS :2007, Table C.18 és ISO/IEC : , szerint. A lehetséges próbálkozások (TryCnt) száma Aláírói PIN esetén: TryCnt SignaturePIN = Transzport PIN A Transzport PIN 14 -ek segítségével a Transzport PIN sikeres cseréjével a Kártyabirtokos meggyızıdhet arról, hogy az adott PIN-hez amelyre a Transzport PIN vonatkozik tartozó funkciót jellemzıen az aláírást ı használja elıször. A Transzport PIN hossza rövidebb kell legyen annak a PIN-nek a lehetséges legrövidebb hosszánál, amire az adott Transzport PIN vonatkozik. 12 Az Aláírói PUK ismeretében az Aláírói PIN sikeresen megváltoztatható és ezután a kártyával aláírás készíthetı 13 Ha a sikertelen próbálkozások száma eléri a lehetséges próbálkozások számát, a PUK többé nem használható 14 Kezdeti PIN érték, amely a Kártyabirtokos de csak a Kártyabirtokos által kötelezıen megváltoztatandó. 31

32 Követelmény, hogy bármely Transzport PIN ismerete csak az adott PIN cseréjére adhat jogosultságot és semmilyen egyéb funkcióra nem jogosít. A Transzport PIN lecserélése után a vonatkozó PIN referencia értékén és a PasswordAttributes.storedLength értéken kívül semmilyen más az adott PIN-re vonatkozó jellemzı nem változhat. Az Aláírói PIN vonatkozásában Transzport PIN alkalmazása kötelezı. A Globális PIN esetén Transzport PIN támogatás megengedett, de nem kötelezı. Transzport PIN esetén a CIA alkalmazáson belül a PIN-re vonatkozó PasswordAttributes.storedLength (ISO/IEC :2004, szerint) értéke legyen egyenlı a Transzport PIN hosszával. Ezáltal egy terminál alkalmazás bármely HUNEID kártya esetén alkalmas lehet kártyaaktiválásra. Ez abból következik, hogy a HUNEID kártyán minden PIN ASCII-numeric formátumú, emiatt kiegészítı véletlen feltöltés, úgynevezett padding nélkül kerül tárolásra (CEN/TS :2007, Table C.18 szerint), tehát a PasswordAttributes.storedLength értéke normál esetben 0. A HUNEID kártya aktiválására alkalmas termináloknál tehát az alábbi funkciókat kell megvalósítani a kártyaaktiváláshoz: az adott PIN-re vonatkozó CIO PasswordAttributes.storedLength 0-tól eltérı értéke esetén a Transzport PIN-t le kell cserélni oly módon, hogy a régi PIN megadásánál a terminál által ellenırzendı minimum hossznál a PasswordAttributes.minLength helyett a PasswordAttributes.storedLength érték a mérvadó a kártya aktiválása után az adott PIN-re vonatkozó CIO-ban a PasswordAttributes.storedLength értékét 0-ra kell megváltoztatni HUNEID kártya aktiválása Miután a HUNEID kártya életciklusa a Megszemélyesítési fázisból a Használati fázisba kerül, ahhoz, hogy minden HUNEID Funkció mőködıképes legyen, még elıbb aktiválni kell a kártyát. Az aktiválás során a Kártyabirtokos kicseréli a Megszemélyesítés fázisban megadott Transzport PIN értékeket az általa választott értékekre PUK kódok Egy PUK kód a hozzátartozó PIN kód újradefiniálására ad lehetıséget annak ismerete nélkül. A HUNEID kártyán a PIN kódokhoz tartozhatnak PUK kódok, valamint a Globális és Aláírói PUK kivételével egy PUK akárhány PIN-hez tartozhat, feltéve, hogy az nem a Globál PIN és nem is az Aláírói PIN. A Globális és Aláírói PUK használata a biztonsági környezet (lásd: 10) függvényében attól függıen igényel Biztonságos Csatornát, hogy a Globális és Aláírói PIN-nél ez szükséges-e vagy sem. A Globális és Aláírói PUK hossza (PukLen): PukLen = 8 A Globális és Aláírói PUK formátuma ASCII-numeric CEN/TS :2007, Table C.19 és ISO/IEC :2004, szerint. 32