Azonosításra szolgáló információk 1
Elektronikus azonosító típusok 1. Papír vagy plasztik + nyomdatechnika (optikailag leolvasható azonosítók) 1. Vonalkód 2. OCR (Optical character recognition) 3. MRZ (Machine Readable Zone) 4. QR kód (Quick Response) 2. Papír vagy plasztik + elektronikus kiegészítés 1. Mágnescsík 2. Kontaktust igénylő chipek 3. Kontaktus mentes chipek 2
Optikailag leolvasható azonosítók Vonalkód MRZ Machine Readable Zone QR kód Quick Response code 3
Optikailag leolvasható azonosítók Tipikusan csak az azonosítani kívánt entitást jelöli meg, melyhez kapcsolódó további információkat a kapcsolódó rendszer tárolja Emberi szem számára is lehet beszédes és olvasható (pl.: személyi szám) Előnyei: Elterjedt olcsó olvasó eszközök nyomdatechnika elégséges az előállítására olcsó disztribúció Hátrányai: Vizuálisan is látszódnia kell az olvasáshoz Sérülékeny könnyen reprodukálható egymagában nem biztosítja az azonosító hitelességét (könnyen másolható, hamisítható) -> drága nyomdai kiegészítések ennek biztosítására 4
Elektronikus azonosítók Mágnescsík Kontaktusos chip Kontaktusmentes chip Duál interfészes chip 5
Elektronikus azonosítók A kizárólag azonosító tároláson túl egyéb információk tárolására és funkciók végrehajtására is használják. (pl.: tanúsítvány tárolás, kriptográfiai műveletek végrehajtása) Előnyei: Kontaktusmentes olvasás esetén nem szükséges az azonosítóhoz történő közvetlen hozzáférés Gyors és kényelmesebb olvasás Lehetőséget ad a tárolt azonosító/információ megvédésére Másolásvédelem Hátrányai: Drágább alapanyag, olvasók, disztribúció 6
Felhasználási területek Optikailag leolvasható azonosítók: Általában online rendszerek Alacsonyabb értékű termékek/szolgáltatások igénybevétele Másolásvédelmet nem igénylő azonosítók (pl.: megvásárolandó árucikkek, marketing hivatkozások) Egyszerű és gyors disztribúciót igénylő területek (pl.: jegy.hu) Elektronikus azonosítók: Online/offline rendszerek Nagyobb értéket képviselő termékek/szolgáltatások igénybevétele Értéket tároló/ másolást-klónozást kizáró megoldások 7
Online rendszerek A chip egy azonosítót nyújt, mely megadja a kontextust az egyes műveletek elvégzéséhez. A művelet végrehajtása a háttérrendszerben történik. 8
Az azonosító hitelessége A chip-ek által nyújtott UID használata: Előnyei: Egyértelmű és egyszerű használat Biztosítottan globálisan egyedi A kártya elektronikus megszemélyesítése nélkül felhasználható Az interoperabilitás biztosítására a legegyszerűbb eszköz Hátrányai: Az azonosítót az is le tudja olvasni akinek esetleg nem kellene tudnia Az azonosító emulálható más eszközzel, esetleg klónozható is egy másik chip-re 9
Az azonosító hitelessége Készítsünk egy saját azonosítót és tároljuk azt a chip felhasználható memória területére: 10
Semi-offline rendszerek A leolvasó eszköz tárolja az azonosítók és a hozzá tartozó jogosultságok listáját Korlátozott hálózati hozzáférés, vagy gyors kezelési idő esetén Feketelista: alapvetően mindenkit elfogadunk kivéve a listán szereplőket Fehérlista: Csak a listán szereplőket fogadjuk el Hozzáférési lista (ACL) A fehérlista továbbfejlesztése jogosultságok rögzítésével 11
Offline rendszerek A chip maga tárolja az értéket reprezentáló, vagy a jogosultságot igazoló entitást. A művelet végrehajtása a kezelő eszközön történik. Hálózati kapcsolattal nem rendelkező, gyors kezelési időt igénylő rendszerek. 12
Közlekedési offline rendszerek A féléves hallgatói prezentációk között több kártyarendszer bemutatása is szerepel. Ezeket az órán nem részletezzük. ITSO (Integrated Transport Smartcard Organisation) Elektra Hungária CityPass Oyster Octopus EZLink Navigo OV (Openbaarvervoer) 13
ITSO Az Egyesült Királyság nyílt szabványa az integrált és együttműködő elektronikus jegyrendszerek számára Tagjai közé tartozik az Egyesült Királyság kormányzata, a legtöbb fő busz kezelő vállalat, vasúti vállalatok és közlekedési szállítók. Európában a legnagyobb összefüggő és interoperábilis közlekedési séma Az ITSO specifikáción alapuló közlekedési sémák jelenleg több mint 20.000 db szolgáltatási ponttal és több mint 12 millió kibocsátott kártyával rendelkeznek 14
ITSO Egy ITSO alkalmazás Shell beépülése a Secure Element-be Jól kombinálható a már megtanult MAD használatával Shell Environment: Általános információk a Shell-ről Saját belső Directory a termékek megtalálása érdekében Több fajta termék tárolása: Jegy, bérlet, utazási kedvezmény stb. 15
ITSO Az ITSO 3 rétegű egymásra épülő modellje 16
ITSO A Shell-t felépítő Data Group-ok A Data Group típusa, tulajdonosa stb. A Data Group üzleti tartalma Data Group példány azonosító Pecsét: Módot ad a Data Group hitelességének ellenőrzésére 17
ITSO A Data Group kiolvasása mindenki számára szabad, aki rendelkezik a média szintjén levő szükséges autentikációs kulcsokkal. Cél: Ezektől a kulcsoktól illetve a média által nyújtott kriptográfiai eszközöktől minél kisebb mértékben függjön a rendszer. Minden Data Group-ot (ITSO adategységet) zárjunk le egy pecséttel, ami lehetőséget ad a médiától független adatintegritás és hitelesség ellenőrzésére. A Seal előállításához 3DES szimmetrikus algoritmust használnak, a kapcsolódó kulcsokat ISAM modulon tárolják. 18
ITSO Seal diverzifikáció Megakadályozza a Data Group-ok klónozását az egyes médiák között A Data Group adattartalmán túl a következők is bekerülnek a Seal alapját képező adatcsoportba: Dátum-idő ISAM azonosító Média azonosító A tranzakció értéke A tranzakció azonosítója Ennek köszönhetően 2 azonos adattartalmú Data Group-nál nem egyezik meg a Seal. Klónozás esetén a hitelesség ellenőrzés hibára fut. 19
Elektra Hungária Cél: országosan egységes elvű közlekedési kártyarendszer kialakítása 2002: a Gazdasági és Közlekedési Minisztérium (GKM) kezdeményezésével az Informatikai és Hirközlési Minisztériummal (IHM) közösen létrejött egy Irányító Bizottság MÁV, Volán társaságok, valamint a BKV is részt vett benne Az Elektra Hungária az évek folyamán több verzióban is kiadásra került, majd a jelenlegi utolsó 3.0 verzió 2008-ban amellett döntött, hogy az ITSO megoldást egybeolvasztja az Elektra Hungária előző 2.3-as verziójával 20
CityPass Elektra Hungária 2.3 alapokon nyugszik A tárolt díjtermékek hitelességének biztosítására aszimmetrikus kriptográfiai eszközökkel. Az érték előállítás egy központi megbízható helyen történik: Díjtermék gyár A díjtermék kiállítójának autorizációját a validálási üzleti logikától elválasztva már egy korábbi szakaszban megtehetjük 21
CityPass Hitelesítési adatok: SignerIdentifier: A díjtermék aláíró (kibocsátó) azonosítója DigestAlgorithm: Az aláírt kivonat elkészítési algoritmusa SignatureLength: Az aláírás hossza Signature: Maga az aláírás Az aláírandó adatok hasonlóan az ITSO Data Group-hoz maga a díjtermék adatai valamint a kártya azonosító, mely megakadályozza a díjtermékek klónozását másik hordozóra. 22
Elektronikus azonosítás biztonsági megoldásai Köszönjük a figyelmet! 23