Azonosításra szolgáló információk
1
Elektronikus azonosító típusok 1.
2.
Papír vagy plasztik + nyomdatechnika (optikailag leolvasható azonosítók) 1. Vonalkód 2. OCR (Optical character recognition) 3. MRZ (Machine Readable Zone) 4. QR kód (Quick Response) Papír vagy plasztik + elektronikus kiegészítés 1. Mágnescsík 2. Kontaktust igénylő chipek 3. Kontaktus mentes chipek
2
Optikailag leolvasható azonosítók
Vonalkód MRZ – Machine Readable Zone
QR kód – Quick Response code
3
Optikailag leolvasható azonosítók Tipikusan csak az azonosítani kívánt entitást jelöli meg, melyhez kapcsolódó további információkat a kapcsolódó rendszer tárolja Emberi szem számára is lehet beszédes és olvasható (pl.: személyi szám) Előnyei: •Elterjedt •olcsó olvasó eszközök •nyomdatechnika elégséges az előállítására •olcsó disztribúció
Hátrányai: •Vizuálisan is látszódnia kell az olvasáshoz •Sérülékeny •könnyen reprodukálható •egymagában nem biztosítja az azonosító hitelességét (könnyen másolható, 4 hamisítható) -> drága nyomdai kiegészítések ennek biztosítására
Elektronikus azonosítók
Mágnescsík
Kontaktusmentes chip
Kontaktusos chip
Duál interfészes chip
5
Elektronikus azonosítók
A kizárólag azonosító tároláson túl egyéb információk tárolására és funkciók végrehajtására is használják. (pl.: tanúsítvány tárolás, kriptográfiai műveletek végrehajtása)
Előnyei: •Kontaktusmentes olvasás esetén nem szükséges az azonosítóhoz történő közvetlen hozzáférés •Gyors és kényelmesebb olvasás •Lehetőséget ad a tárolt azonosító/információ megvédésére •Másolásvédelem Hátrányai: •Drágább „alapanyag”, olvasók, disztribúció 6
Felhasználási területek Optikailag leolvasható azonosítók:
•Általában online rendszerek •Alacsonyabb értékű termékek/szolgáltatások igénybevétele •Másolásvédelmet nem igénylő azonosítók (pl.: megvásárolandó árucikkek, marketing hivatkozások) •Egyszerű és gyors disztribúciót igénylő területek (pl.: jegy.hu)
Elektronikus azonosítók: •Online/offline rendszerek
•Nagyobb értéket képviselő termékek/szolgáltatások igénybevétele •Értéket tároló/ másolást-klónozást kizáró megoldások
7
Online rendszerek A chip egy azonosítót nyújt, mely megadja a kontextust az egyes műveletek elvégzéséhez. A művelet végrehajtása a háttérrendszerben történik.
8
Az azonosító hitelessége
A chip-ek által nyújtott UID használata: Előnyei: •Egyértelmű és egyszerű használat •Biztosítottan globálisan egyedi •A kártya elektronikus „megszemélyesítése” nélkül felhasználható
•Az interoperabilitás biztosítására a legegyszerűbb eszköz Hátrányai: •Az azonosítót az is le tudja olvasni akinek esetleg nem kellene tudnia
•Az azonosító emulálható más eszközzel, esetleg klónozható is egy másik chip-re
9
Az azonosító hitelessége
Készítsünk egy saját azonosítót és tároljuk azt a chip felhasználható memória területére:
10
Semi-offline rendszerek A leolvasó eszköz tárolja az azonosítók és a hozzá tartozó jogosultságok listáját Korlátozott hálózati hozzáférés, vagy gyors kezelési idő esetén Feketelista: alapvetően mindenkit elfogadunk kivéve a listán szereplőket
Fehérlista: Csak a listán szereplőket fogadjuk el
Hozzáférési lista (ACL) A fehérlista továbbfejlesztése jogosultságok rögzítésével
11
Offline rendszerek
A chip maga tárolja az értéket reprezentáló, vagy a jogosultságot igazoló entitást. A művelet végrehajtása a kezelő eszközön történik.
Hálózati kapcsolattal nem rendelkező, gyors kezelési időt igénylő rendszerek.
12
Közlekedési offline rendszerek
A féléves hallgatói prezentációk között több kártyarendszer bemutatása is szerepel. Ezeket az órán nem részletezzük. •ITSO (Integrated Transport Smartcard Organisation)
•Elektra Hungária •CityPass •Oyster •Octopus •EZLink •Navigo •OV (Openbaarvervoer)
13
ITSO •Az Egyesült Királyság nyílt szabványa az integrált és együttműködő elektronikus jegyrendszerek számára •Tagjai közé tartozik az Egyesült Királyság kormányzata, a legtöbb fő busz kezelő vállalat, vasúti vállalatok és közlekedési szállítók. •Európában a legnagyobb összefüggő és interoperábilis közlekedési séma •Az ITSO specifikáción alapuló közlekedési sémák jelenleg több mint 20.000 db szolgáltatási ponttal és több mint 12 millió kibocsátott kártyával rendelkeznek
14
ITSO Egy ITSO alkalmazás „Shell” beépülése a Secure Element-be •Jól kombinálható a már megtanult MAD használatával •Shell Environment: Általános információk a Shell-ről •Saját belső Directory a termékek megtalálása érdekében •Több fajta termék tárolása: Jegy, bérlet, utazási kedvezmény stb. 15
ITSO Az ITSO 3 rétegű egymásra épülő modellje
16
ITSO A Shell-t felépítő Data Group-ok A Data Group típusa, tulajdonosa stb.
A Data Group „üzleti” tartalma
Data Group példány azonosító
Pecsét: Módot ad a Data Group hitelességének ellenőrzésére
17
ITSO A Data Group kiolvasása mindenki számára szabad, aki rendelkezik a média szintjén levő szükséges autentikációs kulcsokkal .
Cél: Ezektől a kulcsoktól illetve a média által nyújtott kriptográfiai eszközöktől minél kisebb mértékben függjön a rendszer.
Minden Data Group-ot (ITSO adategységet) zárjunk le egy pecséttel, ami lehetőséget ad a médiától független adatintegritás és hitelesség ellenőrzésére.
A Seal előállításához 3DES szimmetrikus algoritmust használnak, a kapcsolódó kulcsokat ISAM modulon tárolják.
18
ITSO Seal diverzifikáció Megakadályozza a Data Group-ok klónozását az egyes médiák között A Data Group adattartalmán túl a következők is bekerülnek a Seal alapját képező adatcsoportba: •Dátum-idő •ISAM azonosító •Média azonosító •A tranzakció értéke •A tranzakció azonosítója Ennek köszönhetően 2 azonos adattartalmú Data Group-nál nem egyezik meg a Seal. Klónozás esetén a hitelesség ellenőrzés hibára fut.
19
Elektra Hungária Cél: országosan egységes elvű közlekedési kártyarendszer kialakítása
2002: a Gazdasági és Közlekedési Minisztérium (GKM) kezdeményezésével az Informatikai és Hirközlési Minisztériummal (IHM) közösen létrejött egy Irányító Bizottság MÁV, Volán társaságok, valamint a BKV is részt vett benne Az Elektra Hungária az évek folyamán több verzióban is kiadásra került, majd a jelenlegi utolsó 3.0 verzió 2008-ban amellett döntött, hogy az ITSO megoldást egybeolvasztja az Elektra Hungária előző 2.3-as verziójával
20
CityPass Elektra Hungária 2.3 alapokon nyugszik
A tárolt díjtermékek hitelességének biztosítására aszimmetrikus kriptográfiai eszközökkel. Az „érték” előállítás egy központi megbízható helyen történik: Díjtermék gyár A díjtermék kiállítójának autorizációját a validálási üzleti logikától elválasztva már egy korábbi szakaszban megtehetjük
21
CityPass Hitelesítési adatok: •SignerIdentifier: A díjtermék aláíró (kibocsátó) azonosítója •DigestAlgorithm: Az aláírt kivonat elkészítési algoritmusa •SignatureLength: Az aláírás hossza •Signature: Maga az aláírás Az aláírandó adatok hasonlóan az ITSO Data Group-hoz maga a díjtermék adatai valamint a kártya azonosító, mely megakadályozza a díjtermékek klónozását másik hordozóra.
22
Elektronikus azonosítás biztonsági megoldásai
Köszönjük a figyelmet!
23
