KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

26. számú Ajánlása A Magyarországon elektronikus azonosításra, hitelesítésre, aláírásra és elektronikus azonosítók hordozására alkalmas eszközök követelményei

1.0 verzió

2008. június

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Közigazgatási Informatikai Bizottság 26. számú Ajánlása

Készült a Miniszterelnöki Hivatal megbízásából

Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra

2

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

TARTALOMJEGYZÉK

1

Bevezetés............................................................................................................................. 5 1.1 1.2

2 3

A dokumentum célja ................................................................................................ 6 A dokumentum hatóköre.......................................................................................... 7

Hivatkozások az elıfordulás sorrendjében ..................................................................... 9 Terminológiák és definíciók ........................................................................................... 12 IAS Alkalmazás ............................................................................................................ 13 CIA Alkalmazás ............................................................................................................ 13

4 5

Alkalmazott rövidítések .................................................................................................. 15 A HUNEID kártya platform követelmények ................................................................ 17 5.1 5.2

6 7 8

Programozható Kártya platform követelmények..................................................... 17 Natív kártya platform követelmények ..................................................................... 17

A HUNEID kártya életciklusa........................................................................................ 18 A HUNEID kártyán lévı Kártyaalkalmazások életciklusa ......................................... 20 HUNEID kártya által kezelt adatok, objektumok........................................................ 22 8.1 A Fájlrendszer megvalósítása................................................................................ 22 8.2 ATR és ATS .......................................................................................................... 23 8.3 Fájlok, alkalmazások kiválasztása ......................................................................... 23 8.3.1 Fájlok kiválasztása ......................................................................................... 23 8.3.2 Kártyaalkalmazások kiválasztása ................................................................... 23 8.3.3 Fájl kontrol paraméter (FCP) .......................................................................... 23

9

Kártyafunkciók................................................................................................................ 24 9.1 IAS funkciók .......................................................................................................... 24 9.1.1 Digitális aláírás ............................................................................................... 24 9.1.2 Kártyabirtokos azonosítás, hitelesítés............................................................. 25 9.1.3 Kulcsvisszafejtés (Key Exchange Key (KEK) - titkosító kulcspár) ................... 25 9.2 EID funkciók .......................................................................................................... 26 9.3 A HUNEID kártya azonosítása............................................................................... 26 9.4 A HUNEID Alkalmazás azonosítása ...................................................................... 26 9.5 EID Alkalmazások azonosítása ............................................................................. 27 9.6 Hitelesítési mechanizmusok .................................................................................. 28 9.7 Szerepkörök .......................................................................................................... 28 9.7.1 Kártyakibocsátó .............................................................................................. 28 9.7.2 Kártyabirtokos ................................................................................................ 29 9.7.3 Aláíró.............................................................................................................. 29 9.7.4 Alkalmazás Szolgáltató................................................................................... 29 9.7.5 Kártya Elfogadó .............................................................................................. 29 9.8 Kártyabirtokos verifikáció....................................................................................... 29 9.8.1 PIN kódok....................................................................................................... 30 9.8.2 HUNEID kártya aktiválása .............................................................................. 32 9.8.3 PUK kódok ..................................................................................................... 32 9.8.4 Biometria ........................................................................................................ 33 9.9 Eszközhitelesítés................................................................................................... 33 9.10 Szimmetrikus eszközhitelesítés ............................................................................. 33 9.11 Aszimmetrikus eszközhitelesítés ........................................................................... 34

10 Biztonsági környezet ....................................................................................................... 35 10.1 10.2 10.3 10.4

Megbízható környezet ........................................................................................... 35 Nem megbízható környezet ................................................................................... 35 Nem megbízható környezet megbízható PIN beviteli lehetıséggel........................ 36 Megbízható útvonalat igénylı funkciók .................................................................. 37 3

HUNEID követelmények, v1.0

10.5 10.6

KIB 26. SZÁMÚ AJÁNLÁS

Biztonságos Csatorna............................................................................................ 38 Display Message ................................................................................................... 39

11 Fájlrendszer és hozzáférési jogosultságok.................................................................... 40 11.1 11.2 11.3 11.4 11.5 11.6 11.7 11.8 11.9 11.10 11.11 11.12 11.13

Root....................................................................................................................... 42 EF.CIAInfo ............................................................................................................. 42 EF.OD ................................................................................................................... 42 EF.AOD ................................................................................................................. 42 EF.PrKD ................................................................................................................ 42 EF.PuKD ............................................................................................................... 43 EF.SKD ................................................................................................................. 43 EF.CD.................................................................................................................... 44 EF.DCOD .............................................................................................................. 44 EF.SN ................................................................................................................ 44 EF.DM................................................................................................................ 44 EF.DH ................................................................................................................ 45 Azonosító adat objektumok (IDDO-k) ................................................................. 45

12 Azonosító adatok elhelyezése a HUNEID kártyán....................................................... 46 12.1

13 14 15 16

Azonosító adatok megtalálása ............................................................................... 47

Referenciák...................................................................................................................... 48 I. számú melléklet – DCOD bejegyzések ...................................................................... 50 II. számú melléklet – EID Applet kötelezı funkciók ................................................... 51 III. számú melléklet – ASN.1 példák HUNEID specifikus objektumokra ................ 52

4

HUNEID követelmények, v1.0

1

KIB 26. SZÁMÚ AJÁNLÁS

Bevezetés

Az elektronikus ügyintézés egyik alapvetı feltétele a szereplık biztonságos azonosítása, azaz a személyazonosság egyértelmő megállapítása az elektronikus térben, valamint az ügymenetet megvalósító tranzakciók bizonyító erejő hitelesítése, azaz az elektronikus aláírás rendszerszintő kezelése. Ehhez olyan megoldásokra van szükség, amelyek a releváns szabványok figyelembevételével széleskörően alkalmazhatók, valamint valódi biztonságot nyújtanak mind az állampolgárok, mind a közigazgatási intézmények, mind a szolgáltatók részére, függetlenül attól, hogy az adott ügymenet az ügyfél jelenlétében, vagy az ügyfél távollétében – on-line módon, valamely elektronikus hordozó segítségével – történik. Mindezekre az igényekre a több faktoros hitelesítésre – eszköz, tudás, biometria – is alkalmas intelligens kártya alapú megoldások adnak megfelelı eszközt. Mindamellett, hogy napjainkban az elektronikus azonosítás, hitelesítés és aláírás [IAS Identification, Authentication, Signature] már hazánkban is jól ismert megoldások, ezek elterjedése és alkalmazhatósága nagymértékben függ a gyártó-független, az információs rendszerekbe könnyen integrálható és biztonsági szempontból egyen szilárd implementációk meglététıl. A CEN/TS 15480 szabvány, amelyet a Magyar Szabványügyi Testület magyar szabványként is kihirdetett (European Citizen Card [ECC]), 2007 májusában történt elfogadásával megszületett az az európai szinten a közös álláspont, ami lehetıvé teszi olyan elektronikus azonosításra, hitelesítésre és aláírásra alkalmas ún. EID (Electronic Identity) kártyák kibocsátását. Ezek az eszközök egyrészt nemzetközi szinten is elfogadhatók, másrészt a szabvány keretein belül képesek alkalmazkodni a tagországok eltérı közigazgatási és adatvédelmi rendszeréhez. Lehetıség nyílt tehát arra, hogy a tagországok kormányai olyan elektronikus azonosító és aláíró eszközöket biztosíthassanak állampolgáraik részére, amik nemcsak az országhatárokon belül, hanem azon kívül is alkalmasak az állampolgár elektronikus azonosítására, illetve okmányként kibocsátott kártyák esetén a vizuális azonosításra, valamint lehetıvé teszik az elektronikus ügyintézést a független kártyaelfogadó infrastruktúrákon és információs rendszerekben. Az elektronikus azonosító és hitelesítı eszközökre vonatkozó egységes követelmények létrejöttével lehetıség nyílt továbbá arra, hogy az elektronikus ügyintézéshez szükséges követelményeket ne csak a kormányzat által okmányként kibocsátott ID1 formátumú kártyákkal, hanem egyéb harmadik fél által kibocsátott kártyákkal, mint például a bankkártyák, illetve egyéb elektronikus azonosításra alkalmas eszközökkel, mint az USB token-ek és a mobil telefon SIM kártyák is ki lehessen elégíteni. Az okmányként kibocsátandó kártyák vizuális megjelenésének követelményei és, megszemélyesítése vonatkozásában a jelen követelményjegyzék csak szempontokat tud megfogalmazni a CEN/TS 15480-1 szabvány alapján a személyazonosító okmányokra vonatkozó külön jogszabályban történı szabályozásához, mivel az ott érvényesítendı szempontok túlnyúlnak az informatikai szabályozás kompetenciáján. Jelen dokumentum egységes keretben, követelményjegyzékben fogja össze a Magyarországon az EID kártyák kibocsátásához szükséges és meghatározó követelményeket, amelyek részletesen a CEN/TS 15480, az ISO/IEC 7816-4, 15 és a prEN 14890 szabványokban kerülnek kifejtésre, ezért jelen dokumentum értelmezése feltételezi azok egyidejő birtoklását. A szabványok hivatkozott fejezeteinek jelen dokumentumban történı megismétlése a szabványok szellemi tulajdonát rögzítı szabályok miatt nem lehetséges. Az implementálónak azokat közvetlenül be kell szereznie. 5

HUNEID követelmények, v1.0

1.1

KIB 26. SZÁMÚ AJÁNLÁS

A dokumentum célja

Jelen dokumentum – a továbbiakban Követelményrendszer – a Miniszterelnöki Hivatal Elektronikuskormányzati Központ megbízásából készült és az idıközben elkészült [ECC] szabvány tükrében felváltja a korábban – 2005-ben – kiadott HUNEID specifikációt. A dokumentum célja olyan egységes követelményrendszer megfogalmazása, amely egyértelmővé teszi a Magyarországon biztonságos elektronikus azonosításra-hitelesítésre, aláírásra, valamint az egyéb azonosító adatok tárolására alkalmas intelligens kártyák kibocsátását és alkalmazását a közigazgatás egészére. Mindezekkel gyártófüggetlen, platformfüggetlen és alkalmazásfüggetlen módon kívánja elısegíteni az intelligens kártyák elterjedését kibocsátótól függetlenül a magyar információs társadalmi törekvések megvalósításához. A kártya kifejezés absztrakció, az elektronikus azonosításra-hitelesítésre és aláírásra vonatkozó követelmények USB token és SIM kártya formátumban megvalósított eszközökkel is kielégíthetık (illetve a jövıben megjelenı, ma még e célra nem alkalmazott eszközökkel is, amennyiben azok, az itt szereplı követelményeket kielégítik), amely eszközöknél az okmányjellegő alkalmazás, azaz a vizuális azonosíthatóság nem követelmény, és nem biztosított. További cél annak megalapozása, hogy az elektronikus azonosítás, hitelesítés és aláírás, illetve a HUNEID kártya által támogatott egyéb funkciók a közigazgatás informatikai rendszerein túlmenıen a közszféra más szereplıi (például tömegközlekedés, egészségügy, oktatás), illetve a magánszféra számára is elérhetıvé, alkalmazhatóvá váljanak. A Követelményrendszer célja tehát olyan egységes e-ID kártya követelményrendszer kialakítása, amely: −

definiálja a HUNEID kártyainterfész és fájl struktúra vonatkozásában minimálisan elvárt követelményeket az ECC szabványra – illetve az annak is az alapját képezı szabványokra – támaszkodva [1];

−

iránymutatást ad a szabványok által lehetıvé tett megoldási variánsok mentén;

−

eleget tesz a magyar elektronikus aláírás törvénynek [2][3];

−

követelményeket fogalmaz meg a szabványok, szabályozások által nem érintett kérdések tekintetében – mint például kártyakibocsátás, életciklus menedzsment, kártya- és kulcsmenedzsment –, utat mutatva és egyúttal minél nagyobb mozgásteret engedve a HUNEID kártya kibocsátók és alkalmazás-fejlesztık számára;

−

egyértelmővé teszi követelményeket;

−

lehetıvé teszi, hogy a HUNEID kártyát képes legyen kezelni minden, az európai szabványoknak megfelelı terminál, illetve más fogadó egység;

−

egyértelmővé teszi a HUNEID kártyával együttmőködı terminál alkalmazások fejlesztıi számára a szükséges és elégséges funkcionalitás meghatározását és implementálását;

−

egységesíti a közigazgatási ágazati- és egyéb azonosító adatok HUNEID kártyán való hiteles elhelyezésének és elérésének feltételeit és módját (ugyanakkor nem tartalmazza ezek adattartalmának rögzítését, mivel az ettıl független szabályozás tárgya).

a

HUNEID

kártyáktól

6

minimálisan

elvárt

biztonsági

HUNEID követelmények, v1.0

1.2

KIB 26. SZÁMÚ AJÁNLÁS

A dokumentum hatóköre

Jelen dokumentum a HUNEID kártya és a HUNEID alkalmazás teljes életciklusára vonatkozón fogalmaz meg biztonsági követelményeket. A kártyainterfész tekintetében azonban a kártya „felhasználói fázis”-ra szorítkozik az ECC szabvánnyal összhangban. A Követelményrendszer az alábbiak vonatkozásában irányadó: −

HUNEID kártya és alkalmazás parancs interfész (felhasználói fázisban)

−

HUNEID alkalmazás fájlstruktúra specifikáció

−

HUNEID kártya és alkalmazás biztonsági követelmények

−

HUNEID kártyán lévı tanúsítványok kibocsátására és tartalmára vonatkozó minimum követelmények

−

azonosító adatok és azok elhelyezése a HUNEID alkalmazásban

−

egyéb EID alkalmazások

−

azonosító adatok és azok elhelyezése egyéb EID alkalmazásban

−

kártyával szemben támasztott elvárások a kártya menedzsment szempontjából

−

kártyával szemben támasztott elvárások a kulcs menedzsment szempontjából

−

kártya- és alkalmazás kibocsátás alternatívák

A Követelményrendszer az alábbi kérdésköröket nem tárgyalja: −

HUNEID kártya vizuális megjelenése

−

kártyán tárolt ágazati- és egyéb azonosítók tartalma

−

a kártyaelfogadó terminálok felhasználó oldali funkcionális és részletes biztonsági követelményei

A HUNEID kártyán tárolt ágazati és egyéb azonosító adattartalom a külön szabályozásként elkészülı Magyar Közigazgatási Azonosítási Séma hatókörébe tartozik. Tekintve, hogy az azonosító adatok, illetve azokat használó alkalmazások a kártyák kibocsátása után is telepíthetık, rögzíthetık, azok meghatározása, rendelkezésre állása nem elengedhetetlen a jelen Követelményrendszer alapján álló HUNEID kártyák kibocsátásához. Jelen Követelményrendszer az ECC szabványnak megfelelı eszközökkel kielégíthetı, az ECC által szabályozott kérdéseket minden tekintetben irányadónak tekinti, azok megismétlése nélkül. Rámutat továbbá azokra az esetekre, ahol az ECC szabta keretek közötti megvalósítást pontosítja az opcionális, illetve választható funkciókat illetıen, természetesen a HUNEID kártya együttmőködési képességének veszélyeztetése nélkül Jelen Követelményrendszer a terminálok felhasználó oldali funkcionális, valamint részletes biztonsági követelményeivel nem foglalkozik, azaz a terminálalkalmazás fejlesztıje szabadon dönthet pl. arról, hogy milyen módon valósítja meg a „Display Message” mechanizmust, vagy éppen arról, hogy a biztonságos csatorna felépítéséhez szükséges 7

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

titkos kulcsokat milyen módon tárolja. A kártyára vonatkozó követelmények az együttmőködés garantálhatósága miatt azonban az elfogadó terminálokra is direkt módon hatással vannak. Eszerint a Magyarországon használatos e-ID kártyák elfogadása szempontjából két féle terminált különböztethetünk meg: −

HUNEID kártyák elfogadására alkalmas hazai – domestic – terminált, ahol a terminálnak – illetve a rajta mőködı terminálalkalmazásnak – támogatnia kell a Követelményrendszer által a HUNEID kártya felhasználói fázisára vonatkozó összes elvárt és opcionális funkciót. Ezáltal a domestic terminálok alkalmasak lesznek a HUNEID kártya és más ECC követelményeket kielégítı kártya fogadására.

−

HUNEID és egyéb ECC kártyák elfogadására alkalmas – nemzetközi – terminált, ahol a terminál – illetve a rajta mőködı terminálalkalmazás – az ECC szabványból adódóan támogatja a HUNEID kártya felhasználói fázisára vonatkozó összes elvárt funkciót is. Ezáltal az ECC kártyákat kezelni képes nemzetközi terminálok alkalmasak a HUNEID kártya alapfunkcióinak kezelésére is.

A prEN 14890-ben rögzített terminál-azonosítási, biztonságos csatorna kiépítési mechanizmusból következıen ugyanakkor az a tény, hogy a kártyát tudja egy adott terminál kezelni, nem jelenti azt, hogy valamennyi rajta rögzített adathoz hozzáférhet. A kártya és a terminál közötti autentikációs folyamat eredményeként dıl el, hogy az adott terminál mely adatokhoz férhet hozzá.

8

HUNEID követelmények, v1.0

2

KIB 26. SZÁMÚ AJÁNLÁS

Hivatkozások az elıfordulás sorrendjében

Ref Nr.

Hivatkozott fejezetszám

Fejezet angol nyelvő címe

Fejezet magyar nyelvő címe

1

CEN/TS 15480-2:2007, 5.6.3

Life cycle status byte

Életciklus státusz bájt

2

CEN/TS 15480-2:2007, 5.

Data elements and data structures

Adatelemek és adatstruktúrák

3

CEN/TS 15480-2:2007, 5.2.1,

File system considerations

Fájlrendszer megfontolások

4

CEN/TS 15480-2:2007, 5.4.

General architecture and file supported

Általános architektúra és támogatott fájlok

5

CEN/TS 15480-2:2007, 5.3.

Answer to reset (ATR) / answer to select (ATS)

Válasz a „reset-re” (ATR)/Válasz a „select”-re (ATS)

6

ISO/IEC 7816-4:2005, 8.2.1.1.

EF.DIR and EF.ATR

Az EF.DIR és az EF.ATR

7

CEN/TS 15480-2:2007, 5.5.2.

Selection of files

Fájlok kiválasztása

8

CEN/TS 15480-2:2007, 5.5.1.

Selection of an application

Alkalmazások kiválasztása

9

CEN/TS 15480-2:2007, 5.6.1.

File control parameter

Fájl kontrol paraméter

10

CEN/TS 15480-2:2007, 6.5.

Digital signature

Digitális aláírás

11

CEN/TS 15480-2:2007, 6.6.

Client/server authentication

Kliens/szerver autentikáció

12

prEN 14890-2:2007, 11.1.1

AlgIDs for Client/Server authentication

Algoritmus azonosítók kliens/szerver autentikációhoz

13

CEN/TS 15480-2:2007, 6.7.

Encryption key decipherment

Titkosító kulcs megfejtése

14

prEN 14890-2:2007, 11.1.2

Algorithm Identifier for DECIPHER

Algoritmus azonosító a megfejtéshez (DECIPHER)

15

CEN/TS 15480-2:2007, Table D.2

Data elements and data structures

Adatelemek és adatstruktúrák

16

CEN/TS 15480-2:2007, 6.2.2.

Identification of the European Citizen Card

Az Európai Polgár Kártya azonosítása

17

CEN/TS 15480-2:2007, C.1.3.2.2

CIA application

A CIA alkalmazás

18

CEN/TS 15480-2:2007,

VERIFY

A VERIFY parancs

9

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A.7.5.5 19

CEN/TS 15480-2:2007, A.7.5.6

CHANGE REFERENCE DATA

A CHANGE REFERENCE DATA parancs

20

CEN/TS 15480-2:2007, A.7.5.7

RESET RETRY COUNTER

A RESET RETRY COUNTER parancs

21

CEN/TS 15480-2:2007, Table C.18

Attributes of PIN authentication object

A PIN hitelesítı objektum attribútumai

22

ISO/IEC 7816-15:2004, 8.9.2

Password attributes

Jelszó attribútumok

23

CEN/TS 15480-2:2007, Table C.19

Resetting code authentication object

A kód hitelesítı objektum beállítása

24

CEN/TS 15480-2:2007, 7.2.

Biometrics – on card matching

Biometria – kártyán történı megfeleltetés

25

CEN/TS 15480-2:2007, 6.4.

Device authentication

Eszközhitelesítés

26

CEN/TS 15480-2:2007, 6.4.3.

Symmetric authentication scheme

Szimmetrikus hitelesítési séma

27

CEN/TS 15480-2:2007, 6.4.4.

Asymmetric device authentication schemes

Aszimmetrikus eszközhitelesítési séma

28

CEN/TS 15480-2:2007, 6.4.2.

Authentication environments

Autentikációs környezetek

29

prEN 14890-1:2007, 8.2.1.

SCA in trusted environment

Aláíró alkalmazás megbízható környezetben

30

prEN 14890-1:2007, 8.2.2.

SCA in untrusted environment

Aláíró alkalmazás nem megbízható környezetben

31

prEN 14890-1:2007, table 8.14

Select key reference for internal authentication — command APDU

Kulcshivatkozás kiválasztása belsı hitelesítéshez APDU parancsa

32

prEN 14890-1:2007, table 8.13

Read C.ICC.AUT certificate — response

A Read C.ICC.AUT Certificate parancsra adott válasz

33

CEN/TS 15480-2:2007, 6.4.7.

Secure messaging

Biztonságos csatorna kiépítés

34

prEN 14890-1:2007, 8.13. NOTE 1.

Reading the Display Message

A Display Message kiolvasása

35

prEN 14890-1:2007, 8.2.4

Display message mechanism

A Display Message mechanizmus

36

ISO/IEC 7816-15

Cryptographic Information

A kriptográfiai információkat

10

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS Application (CIA)

tartalmazó alkalmazás (CIA)

37

CEN/TS 15480-2:2007, 5.2.1

File system considerations

Fájl rendszer megfontolások

38

CEN/TS 15480-2:2007, C.2.1

EF.CIAInfo

Az EF.CIAInfo fájl

39

CEN/TS 15480-2:2007, C.2.2

EF.OD

Az EF.OD fájl

40

CEN/TS 15480-2:2007, C.2.3

EF.AOD

Az EF.AOD fájl

41

CEN/TS 15480-2:2007, C.2.4

EF.PrKD

Az EF.PrKD fájl

42

CEN/TS 15480-2:2007, C.2.6

EF.PuKD

Az EF.PuKD fájl

43

CEN/TS 15480-2:2007, C.2.5

EF.SKD

Az EF.SKD fájl

44

CEN/TS 15480-2:2007, C.2.7

EF.CD

Az EF.CD fájl

45

CEN/TS 15480-2:2007, C.2.8

EF.DCOD

Az EF.DCOD fájl

46

ISO/IEC 7816-15:2004, 8.3

The CIOChoice type

Az ASN-1-ben definiált CIOChoice típus

47

prEN 14890-1:2007, 15.5

EF.DH

Az EF.DH fájl

48

CEN/TS 15480-2:2007, A.7.3.3

UPDATE BINARY

Az UPDATE BINARY parancs

49

CEN/TS 15480-2:2007, A.7.3.2

READ BINARY

A READ BINARY parancs

50

ISO/IEC 7816-15:2004, 8.8.2

Opaque data container object attributes

Az Opaque adat konténer objektum attribútumok

51

prEN 14890-1:2007, 15.11

EF.DM

Az EF.DM fájl

11

HUNEID követelmények, v1.0

3

KIB 26. SZÁMÚ AJÁNLÁS

Terminológiák és definíciók

Az 1. táblázat – terminológiák, definíciók – definiálja a Követelményrendszerben használt nagybetővel kezdıdı kifejezéseket és definíciókat. A kisbetővel használt kifejezések általánosságban értendık. 1. táblázat – terminológiák, definíciók

Terminológia

Definíció

Követelményrendszer

Jelen dokumentum

Intelligens Kártya

Az Intelligens Kártya (Smart Card) kifejezés a dokumentumban absztrakció, az e-ID White Paper [5] és a CEN/CWA 15264 szellemében a fizikai kártyaformátum csak ott kötelezı, ahol a kapcsolódó okmány funkció a kártya formátumot elıírja, mely esetben a CEN/TS 15480-1 szabvány az irányadó. Intelligens Kártya alatt tehát valamilyen intelligens – elıre meghatározott funkcionalitás végrehajtására alkalmas – csip platformot (csipmodul, operációs rendszer, fájlrendszer, aláíró alkalmazás, vagy applet) értünk, ami többek között USB biztonsági eszközzel, vagy mobil SIM kártyával is kielégíthetı.

Natív, Fájlrendszerő Kártya

Natív, vagy Fájlrendszerő Kártyák alatt azokat az ISO/IEC 78164 szerinti fájlkezelést megvalósító Intelligens Kártyákat értjük, ahol a kártya operációs rendszer nem képes futtatható kódot fogadni. A natív kártyák jellemezıen alkalmasak több Kártyaalkalmazás fogadására is.

Programozható Kártya

Futtaható program – kártya applet (bájt kód, cardlet) – fogadására és futtatására alkalmas operációs rendszerrel rendelkezı Intelligens Kártya. Ezeknél a kártyáknál az operációs rendszer tartalmaz egy ún. virtuális gépet, vagy más néven bájt kód interpretert, mint például a Java CardTM szabvány által definiált Java kártyák, vagy a MAOSCO konzorcium által szabványosított MULTOSTM kártyák esetén, de léteznek egyéb, nem szabványosított kód futtatására alkalmas kártyák is, amelyek alkalmasak lehetnek a Követelményrendszer által támasztott követelmények kielégítésére.

Kártyaalkalmazás

Olyan kártyán tárolt objektum, amely rendelkezik ISO/IEC 78164 szerinti alkalmazás azonosítóval – AID-vel – és szabványos SELECT paranccsal az AID alapján kiválasztható.

Applet

Olyan Kártyaalkalmazás, amely futtatható programkódot tartalmaz.

Alapértelmezett Applet

Applet, amely az Intelligens Kártya ISO/IEC 7816-3 szerinti reset után a kártya operációs rendszer által automatikusan kiválasztásra kerül.

Multi-alkalmazásos Kártya

Olyan Intelligens Kártya, amely egyidejőleg több Kártyaalkalmazást tartalmaz, vagy tartalmazhat, valamint lehetıvé teszi az egyes alkalmazások SELECT paranccsal való kiválasztását az AID alapján, esetenként az alkalmazások jogkörhöz kötött aktiválását és deaktiválását.

12

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Terminológia

Definíció

Kibocsátás Utáni Megszemélyesítés

PIP – Post Issuance Personalization –, azaz Kártyaalkalmazás, illetve Applet telepítése és megszemélyesítése a kártya kibocsátása után a használati fázisban.

PIP Kártya

Kibocsátás utáni utólagos megszemélyesítésre alkalmas kártya, azaz olyan Multi-alkalmazásos kártya, amely a kártya kibocsátása után is képes újabb Kártyaalkalmazás, illetve Applet fogadására – tipikusan a Kártyakibocsátó, illetve az általa felhatalmazott entitások (szervezetek, személyek, funkcionális csoportok) részére –, esetleg azok törlésére.

HUNEID kártya

A HUNEID kártya olyan legalább kétfaktoros hitelesítésre alkalmas eszköz (tipikusan natív, vagy programozható kártya), amely megvalósítja az elvárt HUNEID funkciókat, valamint tartalmazhat egyéb Kártyaalkalmazásokat is – mint például elektronikus pénztárca, tömegközlekedés, loyalty, egyéb PKI, … –, melyek tárgyalása azonban nem tartozik jelen követelményrendszer hatókörébe. A HUNEID kártya egy bizonyos természetes személyhez – aki a kártyabirtokos – tartozik.

HUNEID Funkciók

A CEN/TS 15480-2:2007 szabvány, illetve a jelen követelményrendszer szerinti PKI, illetve egyéb e-ID funkciók, melyeket az IAS és EID alkalmazások valósítanak meg a CIA Alkalmazás segítségével.

IAS Alkalmazás

Olyan Identification, Authentication, Signature (azaz Azonosítás, Hitelesítés, Aláírás) funkcionalitást, valamint opcionálisan egyéb PKI funkciókat – pl. titkosítás – megvalósító Kártyaalkalmazás, amely a jelen követelményrendszer által tárgyalt minimálisan megkövetelt funkcionális, együttmőködési, illetve biztonsági követelményeknek eleget tesz.

CIA Alkalmazás

Olyan, egy vagy több IAS alkalmazást megvalósító ISO/IEC 7816-15 Kártyaalkalmazás, amely a jelen követelményrendszer által tárgyalt minimálisan megkövetelt funkcionális, együttmőködési, illetve biztonsági követelményeknek eleget tesz.

HUNEID Alkalmazás

Egy bizonyos CIA Alkalmazás, amely biztosítja a HUNEID Funkciók elérését.

EID Alkalmazás

Olyan azonosító adatokat tartalmazó Kártyaalkalmazás, amely egy bizonyos alkalmazás-kibocsátóhoz tartozik, és ami a jelen követelményrendszer által tárgyalt minimálisan megkövetelt funkcionális, együttmőködési, illetve biztonsági követelményeknek eleget tesz.

EID Konténer

EID Alkalmazás alatt lévı ISO/IEC 7816-4 követelmények szerinti transzparens EF, amelyen szerepkörhöz kötött Megbízható útvonalon történı írási és olvasási mőveletek értelmezhetık.

13

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Terminológia

Definíció

HUNEID Applet

Az IAS, CIA és opcionálisan EID Alkalmazásokat tartalmazó kártya applet. A HUNEID kártyán csak egy HUNEID applet lehet.

EID Applet

Egy vagy több EID Alkalmazást tartalmazó kártya applet. A HUNEID kártyán javasolt minden EID Alkalmazás HUNEID Appleten belüli implementálása, azonban a kártyán további tetszıleges számú EID Applet megengedett, amennyiben ez szükséges.

HUNEID Fájlstruktúra

A HUNEID funkciókat megvalósító, valamint a kapcsolódó adatstruktúrákat tartalmazó ECC szerinti ISO/IEC 7816-4 fájlrendszer.

Kártyakibocsátó

Kontrollálja a kártyát annak teljes életciklusa során.

Alkalmazás Szolgáltató

A HUNEID kártyán valamely alkalmazásra vonatkozóan rendelkezésre bocsátja a Kártyaalkalmazást megvalósító komponenseket, valamint kontrollálja azt annak teljes életciklusa során.

Kártya Életciklus

A kártya életciklusa annak kibocsátástól megszüntetéséig a kártya által felvett összes állapotot jelenti, mint pl. inicializált, kibocsátott, megszemélyesített, blokkolt. A kártya állapota az életciklusa során minden pillanatban egyértelmő.

Alkalmazás Életciklus

A Kártyaalkalmazás életciklusa különbözı alkalmazás állapotokat jelent, mint pl. telepített, kiválasztható, megszemélyesített, aktív, inaktív.

Életciklus Állapot

A kártya, vagy az alkalmazás – a kártyától szabványos módon lekérdezhetı – életciklus egy bizonyos állapota, mely hatással lehet a kártya, illetve az alkalmazás által megvalósított funkcionalitásra is.

Életciklus Fázis

Jelen Követelményrendszer által definiált egy vagy több Életciklus Állapotot egyértelmően magában foglaló absztrakt fogalom, amely hivatkozási alapul szolgál az életciklus fontos szakaszaira.

Terminál, Interfész Eszköz

Eszköz, amely közvetlenül kommunikál a HUNEID kártyával.

Megbízható Csatorna

A terminál és a HUNEID kártya közötti kapcsolat hitelességét és a kommunikáció megbízhatóságát fizikailag, vagy kriptográfiai eszközökkel garantáló útvonal

Eat.

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény

MNAS

Magyar Nemzeti Azonosítási Séma, amely keretében történik a Magyar Köztársaságban értelmezett és elfogadott (személyes és ágazati személyes) azonosítók meghatározása, az azonosítók írására, olvasására, módosítására, törlésére jogosult terminálok körének meghatározása. Itt kerülnek meghatározásra a Kártyakibocsátókra, Alkalmazás Szolgáltatókra, EID Alkalmazás AID-kre és EID Tag értékekre vonatkozó azonosítók is.

IDDO

EID Alkalmazásban lévı azonosító adat objektum.

14

HUNEID követelmények, v1.0

4

KIB 26. SZÁMÚ AJÁNLÁS

Alkalmazott rövidítések

Az 2. táblázat – alkalmazott rövidítések tartalmazza a Követelményrendszerben használt rövidítések listáját. 2. táblázat – alkalmazott rövidítések

Terminológia

Definíció

ADF

Application Dedicated File

AID

Application Identifier

AOD

Authentication Object Directory

ASN.1

Abstract Syntax Notation One – Formális szintaktikai leíró nyelv szabvány

ATR

Answer To Reset

ATS

Answer To Select

AUT

Authentication

BALE

Biztonságos Aláírás Létrehozó Eszköz, az Eat. szerint. A követelményeknek megfelelı eszközöket az NHH regisztrálja és publikálja: www.nhh.hu, Elektronikus aláírással kapcsolatos nyilvántartások, Tanúsított elektronikus aláírási termékek

BER

Basic Encoding Rules

BIO

Biometric

BNF

Backus Naur Form

CA

Certificate Authority

CD

Certificate Directory

CH

Card Holder

CHR

Certificate Holder Reference

CIA

Cryptographic Information Application

CIO

Cryptographic Information Object

CRT

Control Rererence Template

CV

Card Verifiable

DCOD

Data Container Object Directory

DF

Dedicated File

DH

Diffie Hellman

DIR

Directory

DM

Display Message

ECC

European Citizen Card

EF

Elementary File

EHIC

European Health Insurance Card application

EID

Electronic Identity 15

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Terminológia

Definíció

EPURSE

Electronic Purse application

ETRANS

Electronic Ticketing application

FCP

File Control Parameter

IAS

Identification Authnetication Signature

ICC

Integrated Circuit Card

IDDO

Identification Data Object

IFD

Interface Device

KE

Key Echange

MF

Master File

MSE

Manage Security Environment

NHH

Nemzeti Hírközlési Hatóság

OD

Object Directory

PAN

Primary Account Number

PIN

Personal Identification Number

PIX

Proprietary Application Identifier Extension

PrK

Private Key

PrKD

Private Key Directory

PSO

Perform Security Operation

PUK

PIN Unblocking Key

PuK

Public Key

PuKD

Public Key Directory

RID

Registered Application Provider Identifier

SK

Secret Key

SKD

Secret Key Directory

SN

Serial Number

TLV

Tag, Length, Value

16

HUNEID követelmények, v1.0

5

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID kártya platform követelmények

A HUNEID Funkciók megvalósíthatók Natív, illetve Programozható Kártya platformon is. Programozható Kártya esetén a kártyán lévı dedikált – egy és csak egy – HUNEID Applet hivatott a HUNEID Funkciók megvalósítására. Jelen Követelményrendszer a HUNEID Applet-et az Interfész Eszköz szempontjából egyenértékőnek tekinti egy önálló HUNEID kártyával.

5.1

Programozható Kártya platform követelmények

−

rendelkezzen Alapértelmezett Applet kiválasztási lehetıséggel és az Alapértelmezett Applet a HUNEID Applet legyen

−

a HUNEID Applet elégítse ki a jelen Követelményrendszer szerinti Natív kártya platform követelményeket

−

a HUNEID Applet más Applet által megvalósított funkcionalitást is igénybe vehet, amennyiben ez az Interfész Eszköz számára transzparens módon történik

5.2

Natív kártya platform követelmények

−

funkcionális szempontból legyen alkalmas a Követelményrendszer szerinti kötelezı funkciók megvalósítására

−

elégítse ki a HUNEID kártyára vonatkozó biztonsági követelményeket

−

rendelkezzen elegendı memória kapacitással a HUNEID funkciók, adatstruktúrák, valamint opcionálisan egy vagy több EID alkalmazás számára

17

HUNEID követelmények, v1.0

6

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID kártya életciklusa

Az Intelligens Kártyákra jellemzı, hogy az általuk megvalósított funkcionalitás egy elıre meghatározott életciklus modell mentén más és más lehet. Különösen fontos ez az e-ID kártyáknál, ahol a kártya valódi – bizonyíthatóan csak a kártyán egy példányban meglévı – kulcsobjektumokat - titkokat1 tárol. Habár a különféle kártyaplatformok és kártyaplatform szabványok által definiált életciklus modellek különbözıek, jelen Követelményrendszer szerint, amennyiben egy HUNEID kártya: •

Fájlrendszerő Kártyán kerül kialakításra, úgy a Kártya Életciklus modell szempontjából is a CEN/TS 15480-2:2007, 5.6.3 fejezet az irányadó, amely összhangban van az ISO/IEC 7816-4 szabvánnyal

•

Programozható Kártyán kerül kialakításra, úgy a kártya életciklusa akkor kezdıdik, amikor a HUNEID Applet telepítésre és funkcionális szempontból aktív állapotba kerül. A HUNEID Applet életciklusa megegyezik a Fájlrendszerő Kártyáknál tárgyaltakkal.

A nevezett szabványok mind a kártyára, mind a fájlokra vonatkozóan életciklus állapotokat fogalmaznak meg, s ezek a kártyától lekérdezhetık. A gyakorlatban az egyes kártyaplatformok, operációs rendszerek és alkalmazások helyeként más módon értelmezhetik az Életciklus Állapotokat, különösen a mőveleti Életciklus Állapotok elıtt. Jelen Követelményrendszer a HUNEID kártya életciklusát az alábbi három fı szakaszra bontja, melyek mindegyike az aktuális Életciklus Állapotból egyértelmően következik: −

Megszemélyesítés. Minden a kártya kibocsátásával kapcsolatos olyan feladatot, amely a felhasználói fázisban nem elvégezhetı a Megszemélyesítési fázisban kell elvégezni. A Megszemélyesítés fázis után csak Használati fázis következhet.

−

Használat. A HUNEID kártya rendeltetésszerő használatához szükséges funkciók mindegyike elérhetı.

−

Megszőnt. A kártyán csak megszőnt státuszra vonatkozó funkció elérhetı. 3. táblázat – HUNEID kártya életciklusa

HUNEID életciklus fázis Megszemélyesítés

Használat Megszőnt

ECC- ben értelmezett Életciklus Állapot Létrehozva2 Inicializálva2

Az Állapotok alkalmazása Legalább az egyik kötelezı

Aktív mőveleti

Kötelezı

Inaktív mőveleti

Opcionális

Megszüntetett

Opcionális

1

Az aláíró és hitelesítı magánkulcsokat jellemzıen a kártya generálja és sohasem kiolvashatók

2

A Létrehozva és Inicializálva állapotok használata implementációfüggı (lásd: CEN/TS 15480-2:2007-, 5.6.3)

18

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID Követelményrendszer által definiált Életciklus Fázisok a szabványos Életciklus Állapotok alapján egyértelmően meghatározható a 3. táblázat – HUNEID kártya életciklusa – szerint. A kártya aktuális Életciklus Állapota a kártya ATR-bıl, vagy EF.ATR-bıl kiolvasható CEN/TS 15480-2:2007, 5.3 szerint. A HUNEID kártya életciklus állapotdiagramját az 1. ábra – HUNIED Kártya állapotdiagram – szemlélteti. Megszemélyesítés

Létrehozva (Creation)

Inicializálva (Initialization)

Használat

Aktív mőveleti (Operational activated)

Inaktív mőveleti (Operational deactivated)

Megszőnt

Megszüntetett (Termination)

1. ábra – HUNIED Kártya állapotdiagram

19

HUNEID követelmények, v1.0

7

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID kártyán lévı Kártyaalkalmazások életciklusa

A HUNEID kártyán lévı Kártyaalkalmazások a kártya életciklusán belül önálló – a kártya életciklusától független – életciklussal rendelkeznek. Ezáltal a használati fázisban is lehetıvé válik a telepített Kártyaalkalmazások független kezdeti aktiválása, blokkolása és újraaktiválása, melyek a kártyamenedzsment során kapnak hangsúlyt. A Kártyaalkalmazások életciklus modellje a HUNEID kártyához hasonlóan Életciklus Állapotokból áll, melyek mindegyikéhez egyértelmő Életciklus Fázis tartozik a 4. táblázat – Kártyaalkalmazás életciklusa a HUNEID kártyán – szerint. 4. táblázat – Kártyaalkalmazás életciklusa a HUNEID kártyán

HUNEID életciklus fázis Megszemélyesítés

Használat Megszőnt

ECC-ben értelmezett Életciklus Állapot Létrehozva2

Az Állapotok alkalmazása Legalább az egyik kötelezı

Inicializálva2 Aktív mőveleti

Kötelezı

Inaktív mőveleti

Kötelezı

Megszőntetett

Opcionális

20

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID kártyán lévı Kártyaalkalmazások állapotdiagramját a 2. ábra – Kártyaalkalmazás állapotdiagram – szemlélteti.

Megszemélyesítés

Létrehozva (Creation)

Inicializálva (Initialization)

Használat

Aktív mőveleti (Operational activated)

Inaktív mőveleti (Operational deactivated)

Megszőnt

Megszőntetett (Termination)

2. ábra – Kártyaalkalmazás állapotdiagram

21

HUNEID követelmények, v1.0

8

KIB 26. SZÁMÚ AJÁNLÁS

HUNEID kártya által kezelt adatok, objektumok

CEN/TS 15480-2:2007, 5 szerint. Minden a HUNEID kártya által tárolt információ külsı hozzáférés szempontjából az alábbi csoportok valamelyikébe tartozik: −

Fájlrendszerben tárolt információ

−

GET DATA paranccsal elérhetı (CEN/TS 15480-2:2007, 5)

−

egyéb, a kártyán közvetlenül nem elérhetı adatok – mint pl: titkos kulcsok, PIN referencia adatok –, melyek tárolási módja az együttmőködés szempontjából irreleváns

8.1

A Fájlrendszer megvalósítása

A HUNEID kártya MF, DF, ADF és EF objektumokat tartalmaz. CEN/TS 15480-2:2007, 5.2.1, 5.4 szerint. Egy lehetséges HUNEID kártya fájlrendszer: Root (MF) EF.DIR EF.ATR … IAS CIA (HUNEID) EF.CIAInfo EF.OD … EID1 EID2 … EHIC ETICK EPURSE

3. ábra – lehetséges HUNEID Kártya fájlrendszer

22

HUNEID követelmények, v1.0

8.2

KIB 26. SZÁMÚ AJÁNLÁS

ATR és ATS

CEN/TS 15480-2:2007, 5.3 szerint. Az EF.ATR fájl azonosító ’2f01’ az ISO/IEC 7816-4:2005, 8.2.1.1 szerint

8.3

Fájlok, alkalmazások kiválasztása

8.3.1

Fájlok kiválasztása

CEN/TS 15480-2:2007, 5.5.2 szerint.

8.3.2

Kártyaalkalmazások kiválasztása

CEN/TS 15480-2:2007, 5.5.1 szerint. Programozható Kártyán a HUNEID Applet az Alapértelmezett Applet, emiatt explicit kiválasztást nem igényel. A HUNEID kártyán több CIA alkalmazás lehet, azonban csak egy HUNEID Alkalmazás. A HUNEID Alkalmazásra vonatkozó EF.DIR bejegyzésnél a szöveges leíró (Tag ’50’) megadása kötelezı, s az értéke kötelezıen ’HUNEID’.

8.3.3

Fájl kontrol paraméter (FCP)

CEN/TS 15480-2:2007, 5.6.1 szerint.

23

HUNEID követelmények, v1.0

9

KIB 26. SZÁMÚ AJÁNLÁS

Kártyafunkciók

A HUNEID kártya funkcionalitása az alábbi kategóriákba sorolható: −

IAS funkciók

−

EID funkciók

−

együttmőködést biztosító funkciók

−

egyéb kártyafunkciók

9.1

IAS funkciók

Az elektronikus azonosítás, hitelesítés, aláírás és titkosítás, vagyis az IAS funkciók az IAS Alkalmazás hatókörébe tartoznak. Az IAS Alkalmazás által megvalósított funkciók hivatkozhatnak közvetlenül a root alatt3 – vagy más Kártyaalkalmazás alatt – lévı fájlokra, objektumokra.

9.1.1

Digitális aláírás

CEN/TS 15480-2:2007, 6.5 szerint. A HUNEID Kártya elektronikus aláírás funkciója lehetıvé teszi a magyar Elektronikus aláírás törvény4 szerinti minısített elektronikus aláírás létrehozását, amely a teljes bizonyító erejő magánokiratba foglalással egyenértékő. Az elektronikus aláírás az aláírandó adatra vonatkozó lenyomaton képzett digitális aláírás létrehozásával történik – a minısített aláírói tanúsítványhoz tartozó magánkulcs (SK.CH.DS) által – sikeres Kártyabirtokos verifikáció után. A közigazgatásban használható minısített elektronikus aláírásra alkalmas tanúsítványok tartalma jelen Követelményrendszer hatókörén kívül esik. Ezt célszerően a hitelesítési rendek tartalmazzák. Az aláírói kulcspárra és tanúsítványra vonatkozó követelmények: −

A HUNEID kártyán legyen legalább egy aláírói magánkulcs és a hozzátartozó minısített tanúsítvány

−

az aláírói kulcspárt a Biztonságos Aláírás Létrehozó Eszközre (BALE) vonatkozó követelmények szerint kell létrehozni. Javasolt megoldás az aláírói kulcspár kártyán való generálása

−

az aláírói magánkulcshoz tartozó nyilvános kulcs kártyán való elhelyezése opcionális

−

az aláírói kulcs létrehozásakor a kulcshossz és az algoritmus tekintetében a Nemzeti Hírközlési Hatóság által megadott követelmények5 a mérvadóak

3

Jellemzı gyakorlat az egyéb célú kártyafunkciók, Kártyaalkalmazások által is használható – de logikailag az IAS funkciókhoz szorosan kapcsolódó: pl biztonságos csatorna kulcsok, CV tanúsítványok, globálisan használható PIN kódok – objektumok IAS Kártyaalkalmazáson kívüli elhelyezése

4

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény

5

www.nhh.hu: Algoritmusokkal kapcsolatos határozatok

24

HUNEID követelmények, v1.0

9.1.2

KIB 26. SZÁMÚ AJÁNLÁS

Kártyabirtokos azonosítás, hitelesítés

CEN/TS 15480-2:2007, 6.6 szerint. A Kártyabirtokos elektronikus azonosítása a HUNEID kártya kliens-szerver6 hitelesítés funkciója segítségével történik a hitelesítı tanúsítvány és a hozzátartozó – kártyán lévı – magánkulcs (SK.CH.AUT) által sikeres Kártyabirtokos verifikáció után. A Kártyabirtokos azonosítása történhet: −

ha a Kártyabirtokos nincs jelen, az azonosító/hitelesítı (authentication) tanúsítvány alapján (PKI alapon), miután a Kártyabirtokos bebizonyította, hogy rendelkezik a tanúsítványban szereplı nyilvános kulcshoz tartozó magán kulccsal. A közigazgatásban ügyfélhitesítésre alkalmas tanúsítványok tartalma jelen Követelményrendszer hatókörén kívül esik, ez a hitelesítési célú tanúsítványok szabályzatában rendezendı.

−

ha a Kártyabirtokos jelen van, illetve az elızı pontban leírt sikeres PKI azonosítás után, az EID Alkalmazás(ok)ban elhelyezkedı azonosítók alapján, amennyiben a terminál rendelkezik a megfelelı azonosító kiolvasására vonatkozó képességgel, jogosultsággal.

A hitelesítı kulcspárra és tanúsítványra vonatkozó követelmények: −

A HUNEID kártyán legyen legalább egy hitelesítı magánkulcs és a hozzátartozó tanúsítvány

−

a hitelesítı kulcspárt az aláírói kulcspár létrehozásával azonos módon és fázisban, azzal megegyezı biztonságú környezetben kell a kártyán létrehozni

−

a hitelesítı magánkulcshoz tartozó nyilvános kulcs kártyán való elhelyezése opcionális

−

a hitelesítı magánkulcs csak a szabványos algoritmusokat támogassa prEN 148902:2007, 11.1.1 szerint

9.1.3

Kulcsvisszafejtés (Key Exchange Key (KEK) - titkosító kulcspár)

CEN/TS 15480-2:2007, 6.7 szerint. A Kártyabirtokos részére küldött bizalmas – titkosított – adatok megfejtése a HUNEID kártya kulcs visszafejtés7 funkciója segítségével történik a titkosító tanúsítvány és a hozzátartozó kártyán lévı magánkulcs által sikeres Kártyabirtokos verifikáció után. A kulcsvisszafejtı magánkulcs (SK.CH.KE) mentése, archiválása8 nem tarozik jelen Követelményrendszer hatókörébe.

6 A HUNEID kártya ügyfél-kiszolgáló hitelesítés funkció lehetıséget biztosít kölcsönös hitelesítésre és megbízható csatorna kiépítésére az ügyfél és a kiszolgáló között (PK KERBEROS, SSL/TLS, WTLS) 7

A kulcsvisszafejtés funkciót titkosításnak is nevezik, ami ennél a funkciónál csak egyszerősítés, ugyanis valójában egy – a Kártyabirtokos titkosító tanúsítványa alapján - titkosított üzenet egyedi, szimmetrikus titkosító kulcsának megfejtése történik. A kulcsvisszafejtés funkciója alkalmas egyéb – pl.: fájltitkosítás – titkosító funkciókra is.

25

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A kulcsvisszafejtı kulcspárra vonatkozó követelmények: −

A HUNEID kártyán lehet egy, vagy több kulcsvisszafejtı magánkulcs és hozzátartozó tanúsítvány

−

a kulcsvisszafejtı magánkulcshoz tartozó nyilvános kulcs kártyán való elhelyezése opcionális

−

a kulcsvisszafejtı magánkulcs csak a szabványos algoritmusokat támogassa prEN 14890-2:2007, 11.1.2 szerint

9.2

EID funkciók

A HUNIED Kártya az – egy vagy több EID alkalmazásban megvalósított – EID funkciók révén alkalmas különféle azonosító adatok – IDDO-k – szerepkörhöz kötött tárolására és kiolvasására. Az EID Alkalmazásokban lévı IDDO-k elhelyezése a 12. fejezetben tárgyalt módon történik. Programozható Kártyáknál az EID Alkalmazások megvalósíthatók a HUNEID Applet-en belül, valamint különálló EID Applet-ben is. Utóbbi esetben az EID Applet a HUNIED Applet által megvalósított funkcionalitás egy részhalmazát kell, hogy támogassa a II. számú melléklet – EID Applet kötelezı funkciók – szerint.

9.3

A HUNEID kártya azonosítása

CEN/TS 15480-2:2007, 6.2.2 szerint. Minden HUNEID kártya rendelkezik – az EF.SN fájlban – egy ISO/IEC 7812 szerinti PAN számmal, amely egy globálisan egyedi azonosító, az alábbiak szerint: 9 348 SN.ICC ahol SN.ICC a kártya adott országon belüli egyedi azonosítója: SN.ICC :: xx yyyyyyyyyyyy zF −

xx: HUNEID kártya kibocsátó azonosító. Felvehetı értéke a Magyar Nemzeti Azonosítás Sémában kerül meghatározásra.

−

yy…: a kártya kibocsátó által adott kártya egyedi sorszám (12 számjegy)

−

z: ellenırzı számjegy9 CEN/TS 15480-2:2007, 6.2.2 szerint

9.4

A HUNEID Alkalmazás azonosítása

CEN/TS 15480-2:2007, C.1.3.2.2 szerint.

8

Amennyiben a kulcsvisszafejtı magánkulcs csak a kártyán létezik, úgy a kártya elvesztése esetén a régebben titkosított adatok megfejtésére nincs mód. Emiatt a kulcsvisszafejtı kulcsok – esetleg tanúsítványok – mentését – jellemzıen a HUNEID Alkalmazás Szolgáltatója által biztosított – ún. kulcs letét – key escrow – szolgáltatás keretein belül kell biztosítani.

9

Luhn formula szerint, ECC, ISO 7812-1

26

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID Alkalmazás kiválasztása az AID alapján történik, ami az alábbi szabály alkalmazásával definiálandó: AID.HUNEID = RID || PIX ahol RID = ’E8 28 BD 08 0F’ PIX = AID.IAS, ha AID.IAS hossza <= 11, PIX = AID.IAS utolsó 11 bájt, ha AID.IAS hossza > 11 A terminál többféleképpen szerezhet tudomást a HUNEID Alkalmazás azonosítójáról: 1. a terminálalkalmazás elıre tudja az általa kezelt HUNEID Alkalmazás-ok azonosítóit 2. a terminálalkalmazás az EF.DIR alapján egyértelmően meg tudja határozni a HUNEID Alkalmazás azonosítóját10 3. a terminálalkalmazás az EF.DIR alapján a HUNEID Alkalmazás bejegyzésnél definiált „HUNEID” címke segítségével tudja meghatározni a HUNEID Alkalmazás azonosítóját

9.5

EID Alkalmazások azonosítása

Az EID Alkalmazások kiválasztása szintén AID alapján történik. A HUNEID kártyán lehetséges EID Alkalmazások AID-inek meghatározása a Magyar Nemzeti Azonosítás Sémában kerül meghatározásra.

10

Ha a kártyán csak egy CIA Alkalmazás van, illetve csak egy CIA Alkalmazás azonosítója kezdıdik RID = ’E8 28 BD 08 0F’-al

27

HUNEID követelmények, v1.0

9.6

KIB 26. SZÁMÚ AJÁNLÁS

Hitelesítési mechanizmusok

A kártyán az egyes szerepkörök (lásd: 9.7) betöltését hitelesítési funkciók, mechanizmusok teszik lehetıvé a kártya belsı biztonsági státusza változtatásával. Minden hitelesítési mechanizmus valamilyen kártyán lévı titokhoz, hitelesítı adathoz kötıdik. A 5. táblázat – hitelesítési mechanizmusok – összefoglalja a HUNEID kártya által támogatandó hitelesítési mechanizmusokat és a kapcsolódó hitelesítı adatokat. 5. táblázat – hitelesítési mechanizmusok

Hitelesítés

Hitelesítı adat

Alkalmazás

PIN (AUT.PIN)

PIN referencia

Kötelezı

Biometria (AUT.BIO)

Biometrikus minta

Opcionális

Szimmetrikus eszközhitelesítés (AUT.SK)

Szimmetrikus kulcs

Kötelezı

Aszimmetrikus eszközhitelesítés (AUT.PrK)

Magánkulcs

Kötelezı

9.7

Szerepkörök

A kártyán lévı bizonyos adatokhoz, ill. funkciókhoz csak valamilyen hitelesített szerepkörben lehet hozzáférni. A HUNEID kártya az alábbi szerepköröket különbözteti meg. 6. táblázat – szerepkörök

Szerepkör \ Hitelesítés

AUT.PIN

AUT.BIO

Kártyakibocsátó

AUT.PrK

AUT.SK

Alkalmazás

x

x

Feltételes

Kártyabirtokos

x

x

Kötelezı

Aláíró

x

x

Kötelezı

Alkalmazás Szolgáltató1..N

x

x

Kötelezı

Kártya Elfogadó1..N

x

x

Kötelezı

A Kártyabirtokos és Aláíró szerepköröket ugyanaz a természetes személy – akinek a részére a kártyát kibocsátották – tölti be.

9.7.1

Kártyakibocsátó

A Kártyakibocsátó feladata a kártya életciklus menedzsmentje. A szerepkör szimmetrikus, vagy aszimmetrikus hitelesítést igényel. A Kártyakibocsátó jogosult: −

kártya megszemélyesítésére

−

kártya blokkolására

−

Kártyaalkalmazás, Applet telepítésére

−

Kártyaalkalmazás, Applet törlésére

−

Kártyaalkalmazás aktiválására 28

HUNEID követelmények, v1.0

−

9.7.2

KIB 26. SZÁMÚ AJÁNLÁS

Kártyaalkalmazás deaktiválására

Kártyabirtokos

A Kártyabirtokos szerep kártya felhasználóra vonatkozik és jogosult a kártyán minden, az aláírástól különbözı funkció használatára a Globális PIN-nel való verifikáció (lásd: 9.8.1.1) után.

9.7.3

Aláíró

Az Aláíró szerep a HUNEID Alkalmazásra vonatkozik és minısített aláírás létrehozására jogosult az Aláírói PIN-nel való verifikáció (lásd: 9.8.1.2) után.

9.7.4

Alkalmazás Szolgáltató

Az Alkalmazás Szolgáltató feladata egy bizonyos Kártyaalkalmazás, vagy Applet életciklus menedzsmentje. A szerepkör szimmetrikus, vagy aszimmetrikus hitelesítést igényel. Egy bizonyos Alkalmazás Szolgáltatója jogosult az adott Kártyaalkalmazás: −

megszemélyesítésére (alkalmazás megszemélyesítés)

−

aktiválására

−

deaktiválására

−

törlésére

−

konfigurálására

9.7.5

Kártya Elfogadó

A Kártya Elfogadó szerep lehetıvé teszi valamely Kártyaalkalmazás olyan funkcióinak végrehajtását, amelyek valamilyen – szimmetrikus, vagy aszimmetrikus – eszközhitelesítést igényelnek. A HUNEID kártyán a fentieken kívül egyéb szerepkörök is megengedettek.

9.8

Kártyabirtokos verifikáció

CEN/TS 15480-2:2007, 6.3, A.7.5.5 szerint. Verifikáció alatt a Kártyabirtokos tudás alapú, és/vagy biometrikus ellenırzését értjük. A HUNEID kártyán az alábbi funkciók elérése csak a felhasználó verifikációja után lehetséges: −

magánkulcs használata (aláírás, hitelesítés, kulcsvisszafejtés)

−

minden olyan adat írása, amely a Magyar Nemzeti Azonosítási Séma hatókörén belül szabályozott

−

minden egyéb olyan kártya funkció, amely a Kártya birtokos beleegyezését igényli

29

HUNEID követelmények, v1.0

9.8.1

KIB 26. SZÁMÚ AJÁNLÁS

PIN kódok

A HUNEID kártya minısített elektronikus aláírás funkciót jellemzıen külön értékelik a BALE tanúsítás során. Ennek folyománya, hogy a tanúsítás hatókörébe esı funkciók a késıbbiekben nem, vagy csak a tanúsítás által megengedett mértékben módosíthatók. Tekintve, hogy a PIN és PUK kódok egy része tipikusan a kártya tanúsításának hatókörébe tartozik, az alábbiakban megfogalmazott követelményektıl – ahol (és csak ott) az a BALE tanúsítás miatt indokolt – el lehet térni. A HUNEID kártyán minden PIN cserélhetı, annak ismeretében a CEN/TS 15480-2:2007, A.7.5.6 szerint. A HUNEID kártyán minden PIN újradefiniálható (és a kártya bármely PIN-hez támogasson az alábbi lehetıségek közül legalább egyet): −

Kártyabirtokos általi PIN inicializálással11, a PIN-hez egyértelmően rendelt feloldó kód (PUK) ismeretében

−

Kártyakibocsátó, vagy Alkalmazás Szolgáltató által, bizalmasan kezelt PUK ismeretében. Ez esetben a vonatkozó PUK a kibocsátó által – az egyéb kibocsátói kulcsokkal egyenértékő módon – kezelendı

−

Kártyakibocsátó, vagy Alkalmazás Szolgáltató által PIN cserével CEN/TS 154802:2007, A.7.5.6, P1=01 szerint

A HUNEID kártyán tetszıleges számú PIN kód megvalósítása lehetséges, de a HUNEID Funkciók használatára a Globális és az Aláírói PIN alkalmazása javasolt. A HUNEID kártyán minimálisan Globális PIN és Aláírói PIN implementálása kötelezı. Bármely HUNEID Funkción értelmezett – a Globális vagy Aláírói PIN-tıl eltérı – PIN esetén a Globális PIN-re vonatkozó követelmények a mérvadók. Az egyéb PIN-ek vonatkozásában nincsenek megkötések. 9.8.1.1 Globális PIN A HUNEID kártya kötelezıen rendelkezzen egy ún. Globális PIN (Global PIN) funkcióval, amely bármely Kártyaalkalmazás által felhasználható Kártyabirtokos verifikációra. Kötelezıen a Globális PIN hatóköre alá tartozó funkciók: −

Kártyabirtokos azonosítás-hitelesítés

−

kulcsvisszafejtés

−

Kártyabirtokos beleegyezését igénylı EID funkciók

11 PIN beállítása egy adott értékre CEN/TS 15480-2:2007, A.7.5.7 szerint, ekkor a lehetséges próbálkozások száma is elölrıl kezdıdik

30

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Amennyiben a Globális PIN-hez tartozik PUK (továbbiakban Globális PUK), az más PINekhez nem használható. Amennyiben a Globális PIN-hez nem tartozik Globális PUK, úgy annak inicializálása csak a Kártyakibocsátó által lehetséges. A Globális PIN hossza (PenLen): 5 <= PinLen <= 8 A Globális PIN formátuma ASCII-numeric CEN/TS 15480-2:2007, Table C.18 és ISO/IEC 7816-15:2004, 8.9.2 szerint. A lehetséges próbálkozások (TryCnt) száma Globális PIN esetén: −

Kártyabirtokos által ismert Globális PUK esetén TryCntGlobalPIN = 3

−

egyéb esetben 3 <= TryCntGlobalPIN <= 15

9.8.1.2 Aláírói PIN Az elektronikus aláírás létrehozásához szükséges Aláírói PIN (Signature PIN). Az Aláírói PIN más funkcióhoz nem köthetı és sikeres verifikáció után csak egy aláírás készíthetı, azaz minden egyes aláírás elıtt újbóli verifikáció szükséges. Az Aláírói PIN-hez kötelezıen tartozik PUK (továbbiakban Aláírói PUK), amely csak az Aláíró (lásd: 9.7.3) által ismert és az más PIN-ek feloldásához nem használható. Tekintve, hogy az Aláírói PUK biztonsági kockázatot jelent12, így annak blokkolását13 lehetıvé kell tenni a Kártyabirtokos számára a kártya aktiválása elıtt és után. Az aláírói PIN újradefiniálását opcionálisan a Kártyakibocsátó (HUNEID Alkalmazás Szolgáltatója, aki a Hitelesítés Szolgáltató) is megteheti új PIN megadásával (PIN cserével, lásd: 9.8.1) Transzport PIN-ként. Tehát a megadott PIN-nek mindenben meg kell felelnie a Transzport PIN-nel kapcsolatban megfogalmazott követelményeknek (lásd: 9.8.1.3). Az Aláírói PIN hossza (PenLen): 6 <= PinLen <= 8 Az Aláírói PIN formátuma ASCII-numeric CEN/TS 15480-2:2007, Table C.18 és ISO/IEC 7816-15:2004-01-15, 8.9.2 szerint. A lehetséges próbálkozások (TryCnt) száma Aláírói PIN esetén: TryCntSignaturePIN = 3 9.8.1.3 Transzport PIN A Transzport PIN14-ek segítségével – a Transzport PIN sikeres cseréjével – a Kártyabirtokos meggyızıdhet arról, hogy az adott PIN-hez – amelyre a Transzport PIN vonatkozik – tartozó funkciót – jellemzıen az aláírást – ı használja elıször. A Transzport PIN hossza rövidebb kell legyen annak a PIN-nek a lehetséges legrövidebb hosszánál, amire az adott Transzport PIN vonatkozik.

12

Az Aláírói PUK ismeretében az Aláírói PIN sikeresen megváltoztatható és ezután a kártyával aláírás készíthetı

13

Ha a sikertelen próbálkozások száma eléri a lehetséges próbálkozások számát, a PUK többé nem használható

14

Kezdeti PIN érték, amely a Kártyabirtokos – de csak a Kártyabirtokos – által kötelezıen megváltoztatandó.

31

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Követelmény, hogy bármely Transzport PIN ismerete csak az adott PIN cseréjére adhat jogosultságot és semmilyen egyéb funkcióra nem jogosít. A Transzport PIN lecserélése után a vonatkozó PIN referencia értékén és a PasswordAttributes.storedLength értéken kívül semmilyen más az adott PIN-re vonatkozó

jellemzı nem változhat. Az Aláírói PIN vonatkozásában Transzport PIN alkalmazása kötelezı. A Globális PIN esetén Transzport PIN támogatás megengedett, de nem kötelezı. Transzport

PIN

esetén

a

CIA

alkalmazáson

belül

a

PIN-re

vonatkozó

PasswordAttributes.storedLength (ISO/IEC 7816-15:2004, 8.9.2 szerint) értéke legyen

egyenlı a Transzport PIN hosszával. Ezáltal egy terminál alkalmazás bármely HUNEID kártya esetén alkalmas lehet kártyaaktiválásra. Ez abból következik, hogy a HUNEID kártyán minden PIN ASCII-numeric formátumú, emiatt kiegészítı véletlen feltöltés, úgynevezett „padding” nélkül kerül tárolásra (CEN/TS 15480-2:2007, Table C.18 szerint), tehát a PasswordAttributes.storedLength értéke normál esetben 0. A HUNEID kártya aktiválására alkalmas termináloknál tehát az alábbi funkciókat kell megvalósítani a kártyaaktiváláshoz: −

az adott PIN-re vonatkozó CIO PasswordAttributes.storedLength 0-tól eltérı értéke esetén a Transzport PIN-t le kell cserélni oly módon, hogy a régi PIN megadásánál a terminál által ellenırzendı minimum hossznál a PasswordAttributes.minLength helyett a PasswordAttributes.storedLength érték a mérvadó

−

a

9.8.2

kártya

aktiválása

után

az adott PIN-re vonatkozó PasswordAttributes.storedLength értékét 0-ra kell megváltoztatni

CIO-ban

a

HUNEID kártya aktiválása

Miután a HUNEID kártya életciklusa a Megszemélyesítési fázisból a Használati fázisba kerül, ahhoz, hogy minden HUNEID Funkció mőködıképes legyen, még elıbb aktiválni kell a kártyát. Az aktiválás során a Kártyabirtokos kicseréli a Megszemélyesítés fázisban megadott Transzport PIN értékeket az általa választott értékekre.

9.8.3

PUK kódok

Egy PUK kód a hozzátartozó PIN kód újradefiniálására ad lehetıséget annak ismerete nélkül. A HUNEID kártyán a PIN kódokhoz tartozhatnak PUK kódok, valamint a Globális és Aláírói PUK kivételével egy PUK akárhány PIN-hez tartozhat, feltéve, hogy az nem a Globál PIN és nem is az Aláírói PIN. A Globális és Aláírói PUK használata a biztonsági környezet (lásd: 10) függvényében attól függıen igényel Biztonságos Csatornát, hogy a Globális és Aláírói PIN-nél ez szükséges-e vagy sem. A Globális és Aláírói PUK hossza (PukLen): PukLen = 8 A Globális és Aláírói PUK formátuma ASCII-numeric CEN/TS 15480-2:2007, Table C.19 és ISO/IEC 7816-15:2004, 8.9.2 szerint. 32

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A lehetséges próbálkozások (TryCnt) száma a Globális és Aláírói PUK esetén: −

3 <= TryCntGlobalPIN <= 15

Bármely HUNEID Funkción értelmezett a Globális vagy Aláírói PIN-tıl eltérı PIN-re vonatkozó PUK esetén a Globális PUK-ra vonatkozó követelmények a mérvadók. Az egyéb PUK-ok vonatkozásában nincsenek megkötések.

9.8.4

Biometria

CEN/TS 15480-2:2007, 7.2 szerint. A HUNEID kártyán a „valamit birtokolni+valamit tudni” alapú hitelesítés mellett biometrikus hitelesítés „valakinek lenni” is alkalmazható, azonban az aláírás funkcióra vonatkozóan csak kiegészítı jelleggel15. A biometrikus ellenırzést a kártyán kell végezni a szabvány (CEN/TS 15480-2:2007, 7.2) által tárgyalt módon.

9.9

Eszközhitelesítés

CEN/TS 15480-2:2007, 6.4 szerint. A HUNEID kártya kötelezıen legyen képes mind szimmetrikus, mind aszimmetrikus eszközhitelesítésre.

9.10

Szimmetrikus eszközhitelesítés

CEN/TS 15480-2:2007, 6.4.3 szerint. Kötelezı elvárás, hogy a HUNEID kártya támogassa a szimmetrikus eszközhitelesítési mechanizmust, azonban a funkció aktiválása16 a Kártyakibocsátó döntése alapján opcionális, illetve a kártya kibocsátása után késıbb is megtörténhet. A szimmetrikus eszközhitelesítés aktiválása alapesetben a Kártyakibocsátó szerepkör joga, azonban adott esetben ez a jogosultság a Kártyakibocsátó által bármely más szereplı számára delegálható azzal a feltétellel, hogy a hitelesítı mesterkulcs importálása dedikált hitelesítı adat segítségével létrehozott biztonságos csatorna által védett módon történik.

15

A biometrikus hitelesítés csak tudás alapú – PIN kódos – hitelesítéssel együtt alkalmazható.

16

A hitelesítı szimmetrikus mester kulcsok létrehozása és aktiválása

33

HUNEID követelmények, v1.0

9.11

KIB 26. SZÁMÚ AJÁNLÁS

Aszimmetrikus eszközhitelesítés

CEN/TS 15480-2:2007, 6.4.4 szerint. Kötelezı elvárás, hogy a HUNEID kártya támogassa valamelyik aszimmetrikus eszközhitelesítési mechanizmust és a kibocsátott kártya rendelkezzen a kártyához (csipmodulhoz) tartozó vonatkozó CVC (Card Verifiable Certificate) tanúsítvánnyal. Az aszimmetrikus hitelesítéshez szükséges – adott kártyára vonatkozó – CV tanúsítvány és kulcspár a Megszemélyesítés fázisban kerüljön a kártyára a Kártyabirtokosra vonatkozó bármely adat elıtt. A kártyahitelesítı magánkulcs csak egyszer importálható, vagy generálható és a késıbbiekben nem módosítható. A CV tanúsítvány adminisztrációs szempontból a Kártyakibocsátó által opcionálisan a késıbbiekben is módosítható.

34

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

10 Biztonsági környezet CEN/TS 15480-2:2007, 6.4.2 szerint. A HUNEID kártya használatakor esetenként (lásd: 10.4) megbízható útvonalat kell biztosítani a terminál alkalmazás és a kártya között áramló érzékeny adatok hitelessége és bizalmassága érdekében. Amennyiben a megbízható útvonal a környezeti feltételek által biztosított, a környezetet megbízhatónak tekintjük, egyéb esetben a környezetet nemmegbízhatónak kell tekinteni. A HUNEID kártya mindkét biztonsági környezetet kell, hogy támogassa, azonban a célfelhasználás jellege szerint a Kártyakibocsátó, illetve a HUNEID Alkalmazás Szolgáltató számára legyen lehetıség annak konfigurálására, hogy a kibocsátott kártya egyes erıforrásaihoz melyik biztonsági környezetben lehessen hozzáférni.

10.1

Megbízható környezet

prEN 14890-2:2007, 8.2.1 szerint. Megbízható környezetnek tekintjük, ha az aláírás létrehozó alkalmazás és az aláírás létrehozó eszköz közötti kommunikáció – a megbízható útvonal – fizikailag védett módon valósul meg. Ebben az esetben a terminál és a kártya közötti adatfolyam titkosítása és integritás védelme elhagyható. Fizikailag védett módnak, azaz biztonságos környezetnek tekinthetı pl., ha a HUNEID kártya SIM kártya formában kerül kibocsátásra és valamely mobil eszközben kerül felhasználásra. Természetesen az eszközön futó alkalmazásnak is meg kell felelni bizonyos követelményeknek17, hogy az adott környezetet valóban megbízhatónak lehessen tekinteni.

10.2

Nem megbízható környezet

Minden olyan esetben, amikor a terminál és a kártya közötti adatcsere nem fizikailag védett módon történik, az adott környezetet nem-megbízható környezetnek kell tekinteni. Ez esetben a terminál-alkalmazás és a HUNEID kártya között kölcsönös eszközhitelesítés után megbízható útvonalat (ún. Biztonságos Csatornát) kell biztosítani. A Biztonságos Csatorna sikeres felépítése után a terminálalkalmazásban a Display Message (lásd: 10.6) mechanizmus által lehetıséget kell biztosítani a kártya felhasználó számára, hogy meggyızıdhessen a Biztonságos Csatorna felépítésének sikerességérıl, azaz a terminál – a terminálalkalmazás – hitelességérıl.

17

Ezek követelmények szabályozása nem tartozik jelen dokumentum hatókörébe.

35

HUNEID követelmények, v1.0

10.3

KIB 26. SZÁMÚ AJÁNLÁS

Nem megbízható környezet megbízható PIN beviteli lehetıséggel

Léteznek olyan saját PIN beviteli lehetıséggel, úgynevezett PINPAD-el rendelkezı kártyaolvasók, amelyek nagy biztonsággal képesek a kártyával PIN kódos – tudás alapú – hitelesítésre, mivel a PIN kód nem kerül ki (nem megszerezhetı) az olvasóból. A PINPAD-es olvasók18 használata minden olyan esetben javasolt, amikor az aláírás létrehozó alkalmazás személyi számítógépen fut és az aláírás létrehozó eszköz alkalmas minısített elektronikus aláírás készítésére (mint amilyen a HUNEID kártya). A HUNEID kártya oly módon támogatja a PINPAD-es olvasók használatát nem megbízható környezetben, hogy – miközben az adott funkcióra vonatkozóan (pl. aláírás, kulcsvisszafejtés) a Biztonságos Csatornát kikényszeríti – a PIN kód megadását nyíltan is megengedi19.

18

Saját PIN beviteli lehetıséggel rendelkezı intelligens kártya olvasó.

19

Amennyiben a PIN kód nyíltan jön, a kártya nem tudja eldönteni, hogy az tényleg az olvasótól jött-e vagy sem. Viszont PINPAD-es olvasó esetén a terminál alkalmazás (host oldali aláírás létrehozó alkalmazás) ezt képes eldönteni. Emiatt a terminál alkalmazásnál kell megkövetelni, hogy amennyiben PINPAD-es olvasóba dugták a kártyát és a kártya támogatja a nyílt PIN bevitelt, úgy a PIN bekérése az olvasó PINPAD-jén történjen. Tekintve, hogy a kártya képes eldönteni, hogy megbízható-e a terminál alkalmazás (Eszközhitelesítés), s errıl a felhasználó is meggyızıdhet (Display Message), az kizárható, hogy egy – egyébként megbízható – terminál alkalmazás visszaélne azzal, hogy nem a PINPAD-ról beolvasott PIN kódot küld a kártyának, pontosan azért, mert a terminál alkalmazás megbízható.

36

HUNEID követelmények, v1.0

10.4

KIB 26. SZÁMÚ AJÁNLÁS

Megbízható útvonalat igénylı funkciók

A HUNEID kártyán az alábbi funkciók kötelezı, vagy opcionális jelleggel megbízható útvonalat igényelnek. Amennyiben a megbízható útvonal Biztonságos Csatornával biztosítható, úgy az integritás védelem minden esetben kötelezı, a bizalmasság – a csatorna titkosítása – pedig a 7. táblázat – megbízható útvonalat igénylı funkciók – szerint. 7. táblázat – megbízható útvonalat igénylı funkciók

Adat / funkció

Megbízható útvonal

Biztonságos Csatorna mód

Kulcs generálás

Kötelezı

Integritás védett

Nyilvános kulcs kiolvasása20

Kötelezı

Integritás védett

Részleges HASH megadása

Kötelezı

Integritás védett

Adatblokk HASH-elése

Kötelezı

Integritás védett / Titkosított

Aláíró PIN megadása

Kötelezı

Integritás védett / Titkosított

Global PIN megadása

Opcionális

Integritás védett / Titkosított

21

Kötelezı

Integritás védett / Titkosított

22

Display Message kiolvasása

Kötelezı

Integritás védett / Titkosított

Kulcsvisszafejtés

Opcionális

Integritás védett / Titkosított

Biometrikus adat ellenırzés

Kötelezı

Integritás védett

Egyéb EID adatok írása

MNAS szerint

Integritás védett (/ Titkosított)

Egyéb EID adatok olvasása

MNAS szerint

Integritás védett (/ Titkosított)

Display Message megadása

20

Ha valamely kulcspárt a kártya generálja a nyilvános kulcsot ki kell olvasni a tanúsítvány kérés elkészítéséhez

21

Lásd: prEN 14890-1:2007, 8.14

22

Lásd: prEN 14890-1:2007, 8.13

37

HUNEID követelmények, v1.0

10.5

KIB 26. SZÁMÚ AJÁNLÁS

Biztonságos Csatorna

CEN/TS 15480-2:2007, 6.4.7 szerint. Biztonságos Csatorna kölcsönös eszközhitelesítés után építhetı ki a terminál alkalmazás és a kártya között az adatok integritásának és bizalmasságának védelme érdekében. A Biztonságos Csatorna kiépítését minden esetben a terminál-alkalmazásnak kell kezdeményeznie. A Biztonságos Csatorna kiépítésének módja és szükségessége mind a terminál alkalmazás, mind az adott HUNEID Kártya konfiguráció függvénye. A 8. táblázat – biztonsági környezetek és kártyakonfigurációk kapcsolata – mutatja a különbözı biztonsági környezetek és kártya konfigurációk kapcsolatát, az alábbi feltételekkel: −

a terminál alkalmazás legyen képes a biztonsági környezet meghatározására23

−

a kártyán lévı CIO objektumok alapján legyen egyértelmő az adott funkcióra vonatkozóan a Biztonságos Csatorna módja és szükségessége

A HUNEID kártya a biztonsági környezet szempontjából az alábbi konfigurációk egyikébe tartozhat: −

Type_1: a kártya csak nem-megbízható környezetben mőködıképes (minden megbízható útvonalat igénylı funkció esetén ki kell építeni a Biztonságos Csatornát, azaz, a kártya kikényszeríti a Biztonságos Csatorna kiépítését).

−

Type_2: a kártya a PIN bekérési funkció kivételével az összes megbízható útvonalat igénylı funkciók esetén kikényszeríti a Biztonságos Csatornát, ezért csak nem megbízható környezetben mőködıképes, de támogatja class 2/class 324 PINPAD-es olvasók használatát (a PIN/PUK bevitel nyíltan is engedélyezett, illetve PINPAD-es olvasó esetén csak így történhet).

−

Type_3: a kártya megbízható és nem-megbízható környezetben egyaránt mőködıképes (minden megbízható útvonalat igénylı funkció Biztonságos Csatorna nélkül is használható). Az ilyen módon konfigurált kártyák használhatók a legszélesebb körben, azonban a környezet megbízhatóságának megállapítása és ennek felelıssége teljes mértékben a Kártyabirtokosra hárul a Display Message mechanizmus segítségével a prEN 14890-2:2007, 8.13. NOTE 1. szerint

23 Ez sok esetben – pl. egy mobil eszköz esetén – az alkalmazás jellegébıl eleve következik, máskor az alkalmazás feladata ennek eldöntése, mint pl. annak megállapítása, hogy a HUNEID kártya PINPAD-es olvasóba lett e behelyezve. 24

Önálló hitelesítı modullal nem rendelkezı PINPAD-es olvasó kijelzı nélkül (class 2), vagy Display Message kijelzıvel (class

3)

38

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

8. táblázat – biztonsági környezetek és kártyakonfigurációk kapcsolata

Biztonsági környezet

HUNEID Type_1

HUNEID Type_2

HUNEID Type_3

Megbízható – terminál nem támogat eszközhitelesítést (pl. mobil eszköz)

nem használható

nem használható

használható

Nem-megbízható

Biztonságos Csatorna minden funkció esetén Kötelezı

Biztonságos Csatorna minden funkció esetén Kötelezı Terminál felelıssége

nem használható

Nem-megbízható, PINPAD

PINPAD-es olvasó nem használható

PINPAD-es olvasó használható

nem használható

10.6

Display Message

prEN 14890-2:2007, 8.2.4 szerint. A Display Message mechanizmus lényege abban áll, hogy segítségével a HUNEID kártya képes arról hitelesen nyilatkozni, hogy a terminál hitelesnek, megbízhatónak tekinthetı e vagy sem.

39

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

11 Fájlrendszer és hozzáférési jogosultságok Az HUNEID kártyán lévı fájlokhoz kapcsolódó hozzáférési jogosultság követelmények a Használati fázisra vonatkozóan az alábbi táblázatokban láthatók. A táblázatban szereplı jogosultságok, szerepek értelmezése: −

a ’,’-vel elválasztott szerepek más-más objektum típusra vonatkoznak

−

a ’-’ jel – azaz a zéró jogosultság – azt jelenti, hogy az adott funkció nem értelmezett, vagy nem engedélyezett

−

két szerep között lévı ’|’ jel azt jelenti, hogy az adott funkció bármelyik szerepkörben engedélyezett (pl.: Kártyakibocsátó | Alkalmazás Szolgáltató)

−

két szerep között lévı ’+’ jel azt jelenti, hogy az adott funkció engedélyezéséhez a két szerepkör együttes jelenléte – mindkét jogosultsági feltétel kielégítése – szükséges (pl.: Kártyakibocsátó + Kártyabirtokos)

−

a dılt betővel bejegyzett jogosultságok csak javasoltak, azoktól, bármilyen mértékben le lehet térni (pl.: Alkalmazás Szolgáltató)

−

a félkövér dılt betővel bejegyzett jogosultságok opcionálisak, azaz elhagyhatók ’-’ értelemben (pl.: Alkalmazás Szolgáltató)

−

a félkövér betővel bejegyzett jogosultságok kötelezık, azoktól eltérni nem lehet (pl.: Kártyakibocsátó)

−

a normál betővel jelzett jogosultságok kötelezık, de más egyéb jogosultsággal (pl.: Kártyabirtokos verifikációval) szigorító értelemben (’+’) kombinálhatók 9. táblázat – Kártyaalkalmazás hozzáférési jogosultságok

Funkciók / Hozzáférési feltételek Objektum

root

26


DF.IAS
DF.CIA
DF.EID1..N
DF… (egyéb Kártyaalk.)

EF / DF / Objektum létrehozása DF / root alatt Kártyakibocsátó | Alkalmazás Szolgáltató IAS Alkalmazás Szolgáltató IAS Alkalmazás Szolgáltató

EF / DF / Objektum törlése 25 DF / root alól

EF / DF / Objektum törlése, aktiválása, deaktiválása

Kártyakibocsátó

-

EID Alkalmazás Szolgáltató

EID Alkalmazás Szolgáltató

Alkalmazás Szolgáltató

Alkalmazás Szolgáltató

-

25

A DELETE FILE parancs alkalmas a kurrens EF és DF és más DF alatti DF törlésére is

26

Programozható kártyáknál a HUNEID Applet, natív kártyák esetén az MF

40

IAS Alkalmazás Szolgáltató IAS Alkalmazás Szolgáltató Kártyakibocsátó | EID Alkalmazás Szolgáltató Kártyakibocsátó | Alkalmazás Szolgáltató

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A 10. táblázat – HUNEID kártya fájlrendszer és jogosultságok – a HUNEID kártyán lévı közvetlen eléréső fájlokhoz, valamint a CIO-k által hivatkozott objektumokra vonatkozó hozzáférési jogosultságokat mutatja. A hivatkozások jogosultság attribútumait kötelezıen a hivatkozott objektumok hozzáférési jogosultságai alapján kell beállítani. A 10. táblázat – HUNEID kártya fájlrendszer és jogosultságok – által megkövetelt jogosultságoktól minden olyan esetben el lehet térni, ahol azok ütköznek az IAS Alkalmazásban lévı objektumok hozzáférési jogosultságaival (pl. BALE tanúsítás miatt). 10. táblázat – HUNEID kártya fájlrendszer és jogosultságok

Funkciók / Hozzáférési feltételek

Objektum

EF / Objektum olvasása

EF / Objektum módosítása

root:EF.ATR

Bárki

root:EF.DIR

Bárki

DF.CIA:EF.CIAInfo

Bárki

Kártyakibocsátó | Alkalmazás Szolgáltató IAS Alkalmazás Szolgáltató

DF.CIA:EF.OD

Bárki


DF.CIA:EF.AOD
Hivatkozott obj.
DF.CIA:EF.PrKD
Hivatkozott obj.

Bárki

IAS Alkalmazás Szolgáltató Kártyakibocsátó | IAS Alkalmazás Szolgáltató Kártyakibocsátó, Alkalmazás Szolgáltató, Kártyabirtokos, Aláíró IAS Alkalmazás Szolgáltató 27 IAS Alkalmazás Szolgáltató + Kártyabirtokos IAS Alkalmazás Szolgáltató 28 IAS Alkalmazás Szolgáltató + Kártyabirtokos 29 Kártyakibocsátó, Alkalmazás Szolgáltató

-

Kártyakibocsátó, Alkalmazás Szolgáltató

Bárki

IAS Alkalmazás Szolgáltató IAS Alkalmazás Szolgáltató, 30 Kártyakibocsátó

Bárki Bárki -


DF.CIA:EF.PuKD

Bárki


Hivatkozott obj.

Bárki


DF.CIA:EF.SKD
Hivatkozott obj.
DF.CIA:EF.CD
Hivatkozott obj.

Bárki


DF.CIA:EF.DCOD

Bárki

Kártyakibocsátó | Alkalmazás Szolgáltató Kártyabirtokos + (IAS Alkalmazás Szolgáltató | Kártya Elfogadó) IAS Alkalmazás Szolgáltató


IDDO1..N

Bárki IAS Alkalmazás Szolgáltató | Kártya Elfogadó Bárki Bárki, EID Alkalmazás Szolgáltató | Kártya Elfogadó

DF.EID1..N:EF.EID1..M

Bárki, EID Alkalmazás Szolgáltató | Kártya Elfogadó


EF.SN
EF,DM
EF.DH

EID Alkalmazás Szolgáltató

… EID Alkalmazás Szolgáltató

27

Az aláírói és hitelesítı kulcspár mindegyike egyszer generálható, a titkosító kulcspár importálható.

28

Lásd: 27. lábjegyzet. A Kártya saját nyilvános kulcsa módosítható.

29

Az IAS Alkalmazásban lévı titkos kulcsok nem módosíthatók, azonban a Root és más Kártyaalkalmazások alatti kulcsok kezelése a Kártyakibocsátó és Alkalmazás Szolgáltatók hatóköre.

30 A CVC karbantartása a Kártyakibocsátó hatókörébe tartozik, azonban az egyéb tanúsítványok karbantartása a Hitelesítés Szolgáltató – mint IAS Alkalmazás Szolgáltató – feladata

41

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Az HUNEID kártyán a fentieken kívül egyéb fájlok is elhelyezhetık, amennyiben azok semmilyen szempontból nem ütköznek a jelen Követelményrendszer által megfogalmazott követelményekkel. A DF.CIA – a HUNEID Alkalmazás – egy szabványos ISO/IEC 7816-15 alkalmazás, néhány kiegészítéssel.

11.1

Root

A root értelmezése Programozható Kártyáknál a HUNEID Applet, Natív kártyák esetén az MF CEN/TS 15480-2:2007, 5.2.1 szerint. A HUNEID kártyánál a Kártyakibocsátó képes Kártyaalkalmazások telepítésére és törlésére. A Kártyakibocsátó indokolt esetben bizonyos Alkalmazás Szolgáltatókat felhatalmazhat telepítési jogkörrel.

11.2

EF.CIAInfo

CEN/TS 15480-2:2007, C.2.1 szerint. Kötelezı jelleggel speciális módon kezelt mezık: −

serialNumber = nincs kitöltve

−

label = HUNEID alkalmazás megnevezés. Pl.: „Társadalombiztosítási kártya-funkció”, „Állampolgári kártya-funkció”.

11.3

EF.OD

CEN/TS 15480-2:2007, C.2.2 szerint.

11.4

EF.AOD

CEN/TS 15480-2:2007, C.2.3 szerint. Kötelezı. A EF.AOD teszi lehetıvé a HUNEID kártya által kezelt hitelesítı adatok elérését. Itt minden olyan hitelesítı adatra hivatkozni kell, amely bármely CIO által hivatkozott objektum eléréséhez szükséges. Kötelezı jelleggel speciális módon kezelt mezık: −

Globális PIN esetén: Common.label = „Kártya PIN”, Type.minLength = 5

−

Globális PUK esetén: Common.label = „Kártya PUK”, Type.minLength = 8

−

Aláírói PIN esetén: Common.label = „Aláíró PIN”, Type.minLength = 6

−

Aláírói PUK esetén: Common.label = „Aláíró PUK”, Type.minLength = 8

11.5

EF.PrKD

CEN/TS 15480-2:2007, C.2.4 szerint. 42

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

A HUNEID kártyán kötelezı. Hivatkozásokat tartalmaz a HUNEID kártyán lévı aszimmetrikus magánkulcsokra. Kötelezı jelleggel speciális módon kezelt mezık: −

Aláírói kulcs esetén: Common.label = „PrK.CH.DS”, Common.flags.private = True, Common.flags.modifiable = False, Common.userConsent = 1, Class.accessFlags.cardGenerated = True

−

Hitelesítı kulcs esetén: Common.label = „PrK.CH.AUT”, Common.flags.private = True, Common.flags.modifiable = False, Class.accessFlags.cardGenerated = True

−

Kulcsvisszafejtı kulcs esetén: Common.label = „PrK.CH.KE”, Common.flags.private = True, Common.flags.modifiable = True, Class.accessFlags.cardGenerated = False

11.6

EF.PuKD

CEN/TS 15480-2:2007, C.2.6 szerint. A HUNEID kártyán kötelezı, mert legalább egy CVC ellenırzı nyilvános kulcs kell, hogy legyen a kártyán. Hivatkozásokat tartalmaz a HUNEID kártyán lévı aszimmetrikus nyilvános kulcsokra. Kötelezı jelleggel speciális módon kezelt mezık: −

Aláírói kulcs esetén: Common.label = „PuK.CH.DS”

−

Hitelesítı kulcs esetén: Common.label = „PuK.CH.AUT”

−

Kulcsvisszafejtı kulcs esetén: Common.label = „PuK.CH.KE”

−

(Root) CVC ellenırzı kulcs esetén: Common.label = „PuK.RCA.AUT”, SubClass.keyIdentifiers = CRT, vagy CHR az MSE:SET parancshoz

11.7

EF.SKD

CEN/TS 15480-2:2007, C.2.5 szerint. A HUNEID kártyán kötelezı. Hivatkozásokat tartalmaz a HUNEID kártya által támogatott szerepköröket reprezentáló szimmetrikus titkos mester kulcsokra. A Kártyakibocsátó, valamint az Alkalmazás Szolgáltatók számára kötelezı elvárás, hogy EF.SKD-ban minden olyan titkos kulcsra legyen bejegyzés, amely bármely CIO által hivatkozott objektum eléréséhez szükséges. Speciális módon kezelt mezık: −

Common.label = szerepkör, vagy funkció megnevezése (szabadon választott)

43

HUNEID követelmények, v1.0

11.8

KIB 26. SZÁMÚ AJÁNLÁS

EF.CD

CEN/TS 15480-2:2007, C.2.7 szerint. A HUNEID kártyán kötelezı. Hivatkozásokat tartalmaz a HUNEID kártyán lévı összes nyilvános kulcs tanúsítványra. Opcionálisan szeparált EF.CD-k létrehozhatók a Kártyabirtokos tanúsítványaira, szereptanúsítványaira, a CA tanúsítványokra, illetve az eszköztanúsítványokra. Kötelezı jelleggel speciális módon kezelt mezık: −

Aláírói tanúsítvány esetén: Common.label = „Aláíró Tanúsítvány”

−

Hitelesítı tanúsítvány esetén: Common.label = „Azonosító Tanúsítvány”

−

Kulcsvisszafejı tanúsítvány esetén: Common.label = „Titkosító Tanúsítvány”

−

(Root) CA tanúsítvány esetén: Common.label = szabadon választott (gyökér) HSZ tanúsítvány megnevezés

−

CV (C_CV.ICC.AUT) tanúsítvány esetén: Common.label = „C.ICC.AUT”

−

CA CV (C_CV.CAICC.CS_AUT) tanúsítvány esetén: Common.label = „C.CA.AUT”

11.9

EF.DCOD

CEN/TS 15480-2:2007, C.2.8 szerint. Az EF.DCOD fájlt (ISO/IEC 7816-15:2004-01-15, 8.3 CIOChoice.dataContainerObjects) a Követelményrendszer speciálisan kezeli. A szabványban definiáltakon túlmenıen hivatkozásokat tartalmaz az EID Alkalmazásokban lévı azonosító objektumokra (IDDO-kra). A bejegyzések definícióját az I. számú melléklet – DCOD bejegyzések – tartalmazza.

11.10 EF.SN CEN/TS 15480-2:2007, 6.2.2 szerint. Hivatkozás a globálisan egyedi csip azonosítót tartalmazó fájlra.

11.11 EF.DM prEN 14890-2:2007, 15.11 szerint. Hivatkozás a Display Message fájlra. Az eszköz-hitelesítés sikerességének igazolására szolgál. Ha a kártya képes Biztonságos Csatorna kiépítésére, akkor kötelezı.

44

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

11.12 EF.DH prEN 14890-2:2007, 15.5 szerint. Hivatkozás a Diffie-Hellman paramétereket tartalmazó fájlra.

11.13 Azonosító adat objektumok (IDDO-k) Hivatkozások a Kártyatulajdonos kapcsolódó azonosító adataira. Az IDDO-k hozzáférési jogosultságait az EID Alkalmazás Szolgáltatója jogosult beállítani.

45

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

12 Azonosító adatok elhelyezése a HUNEID kártyán A HUNEID kártya egyik legfontosabb funkciója az ún. IDDO-k, vagyis azonosító adatok biztonságos tárolása és azok rendkívül rugalmasan tetszıleges szerepekhez, jogosultságokhoz köthetı karbantartása, elérése. Az IDDO-k EID Konténerekben tárolandók célszerően oly módon, hogy az azonos hozzáférési jogosultságokkal rendelkezı IDDO-k ugyanabba a konténerbe kerüljenek. A HUNEID kártyán tetszıleges számú EID Alkalmazás, s minden EID Alkalmazáson belül tetszıleges számú EID Konténer lehet. Az IDDO-k tárolása és kiolvasása az alábbi funkciók által lehetséges: −

UPDATE BINARY - CEN/TS 15480-2:2007, A.7.3.3 szerint

−

READ BINARY - CEN/TS 15480-2:2007, A.7.3.2 szerint

A szerepfüggı adatok írásához és olvasásához a már korábban tárgyalt eszközhitelesítési mechanizmust (lásd: 9.9) és Biztonságos Csatornát kell alkalmazni. Az IDDO adatok a kártyán az ISO/IEC 7816-4 által definiált BER-TLV adat objektumokhoz hasonló módon tárolandók, azonban a struktúra elemei a szabványtól eltérıen értelmezendık. Az IDDO BNF formája: ::= A értéke tulajdonképpen nem más, mint az adott IDDO-hoz MNAS-ban regisztrált azonosító. A kártyán a és mezıknél egyforma 1, illetve 2 bájtos kódolást kell alkalmazni a 11. táblázat – , kódolása 1 bájton – és 12. táblázat – , kódolása 2 bájton – alapján.

11. táblázat – , kódolása 1 bájton b8

b7 - b1

0

00 - 7F

Jelentés Értéke 0 - 127 (kódolás 1 bájton)

12. táblázat – , kódolása 2 bájton bájt_1

bájt_2

b8

b7 - b1

b8 - b1

1

00 - 7F

00 - FF

Jelentés Értéke (00 - 7F || 00 - FF) 128 - 32767

46

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

Ha a felsı bájt31 (bájt_1) legfelsı bit értéke 0, akkor a lehetséges legnagyobb , illetve érték 127, ha 1, akkor pedig 32767. Így a Követelményrendszer jelen verziója szerint egy bizonyos EID Alkalmazás alá 32767 féle azonosító regisztrálható melyek mindegyike legfeljebb 32767 bájt hosszú lehet. Az IDDO értéke bájt-sorozatként32 kerül tárolásra. A mezı tartalmának meghatározása nem tartozik jelen Követelményrendszer hatókörébe, tekintve, hogy azt a kártya nem értelmezi (csak lehetıvé teszi az adatok szerepkörhöz kötött tárolását és kiolvasását). Követelmény azonban, hogy az EID Alkalmazás olvasáskor pontosan ugyanúgy adja vissza az IDDO adatokat, ahogy azt a kártyára való felíráskor megkapta.

12.1

Azonosító adatok megtalálása

Az IDDO-k kártyán való megtalálása két módon lehetséges aszerint, hogy az EID Alkalmazás Szolgáltatója hogyan helyezte el az adatokat. 1. A javasolt megoldás szerint minden IDDO-hoz létre kell hozni egy DCOD bejegyzést a HUNEID Alkalmazás alatt (lásd: I. számú melléklet – DCOD bejegyzések) 2. Amennyiben egy bizonyos IDDO adatnál valószínő, hogy az – annak jellege miatt – csak jól meghatározott kártyaközösség számára releváns, a terminál alkalmazás számára egyszerőbb elérhetıség érdekében a DCOD bejegyzéstıl el lehet tekinteni. Ebben az esetben a terminál kell, hogy ismerje a keresett IDDO-t tartalmazó EID Alkalmazás, valamint EID Konténer (EF) azonosítóját, valamint a keresett IDDO-hoz tartozó értéket. Ezek az értékek minden IDDO-hoz az MNAS-ben regisztrálandók.

31

A HUNEID Alkalmazásban minden numerikus adat esetén BIG ENDIAN formátumot kell használni

32

ASN.1 octet string

47

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

13 Referenciák [1]

“DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures” (EU Directive).

[2]

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény

[3]

2004. évi LV. törvény – az elektronikus aláírásról szóló 2001. évi XXXV. törvény módosításáról

[4]

2004. évi CXL törvény A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól

[5]

Electronic Identity White Paper V1.0, Final Version

[6]

CEN Workshop Agreement 14169: Secure signature-creation devices “EAL 4+” (SSCD PP)

[7]

CEN Workshop Agreement 14890: Application Interface for smart cards used as Secure Signature Creation Devices (March 2004)

[8]

EUROPEAN STANDARD Draft prEN 14890-1: Application Interface for smart cards used as secure signature creation devices – Part 1 Basic services (February 2007)

[9]

EUROPEAN STANDARD Draft prEN 14890-2: Application Interface for smart cards used as secure signature creation devices – Part 2: Additional services (February 2007)

[10]

e-AUTHENTICATION – Part 1: Architecture for a European interoperable eID system within a smart card infrastructure

[11]

e-AUTHENTICATION – Part 2: Best Practice Manual for card scheme operators exploiting a multi-application card scheme incorporating interoperable IAS services

[12]

e-AUTHENTICATION – Part 3: User Requirements for a European interoperable eID system within a smart card infrastructure

[13]

eEurope Smart Cards: Global Interoperabilty Framework

[14]

DIN V66291 Part 1, (DIN NI-17.4 – 1998): Chipcard interface: Smart cards with digital signature application/function according to SigG, SigV

[15]

DIN V66291 Part 2, (DIN Vornorm – 2001): Personalization-process: Smart cards with digital signature application/function according to SigG, SigV

[16]

DIN V66291 Part 3, (DIN PERSKOM – 2001): Commands for Personalisation: Smart cards with digital signature application/function according to SigG, SigV

[17]

DIN V66291 Part 4, (German Office ID Card – 2000): Basic Security Services: Smart cards with digital signature application/function according to SigG, SigV (Final Draft, 07.06.2000)

[18]

PKCS #15 v1.1: Cryptographic Token Information Syntax Standard

[19]

ISO/IEC 7816 Part 4: Identification cards –– Integrated circuit(s) cards with contacts: Interindustry commands for interchange (Second edition, 2005-01-15)

[20]

ISO/IEC 7816 Part 5: Identification cards –– Integrated circuit(s) cards with contacts: Numbering system and registration procedure for application identifiers

[21]

ISO/IEC 7816 Part 6: Identification cards –– Integrated circuit(s) cards with contacts: Interindustry data elements

48

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

[22]

ISO/IEC 7816 Part 8: Identification cards –– Integrated circuit(s) cards with contacts: Security related interindustry commands

[23]

ISO/IEC 7816 Part 9: Identification cards –– Integrated circuit(s) cards with contacts: Commands for card management

[24]

ISO/IEC 7816 Part 15: Identification cards –– Integrated circuit(s) cards with contacts: Cryptographic information application (First edition, 2004-01-15)

[25]

ISO 14443: Identification cards –– Contactless integrated circuit(s) cards – Proximity cards

[26]

EMV ’96: Integrated Circuit Card Specification for Payment Systems

[27]

EMV2000: Integrated Circuit Card Specification for Payment Systems

[28]

RFC 3369 - Cryptographic Message Syntax (August 2002)

[29]

Austrian Citizen Card

[30]

Estonian e-ID Card

[31]

Finnish e-ID Card (FINEID)

[32]

Italian e-ID Card

[33]

Swedish e-ID Card

[34]

German Office ID Card

[35]

OSCIE Volume 4 Part 2 – Public Electronic Identity, Electronic Signature and PKI, Study on legal issues in relation to the use of public Electronic Identity

[36]

CEN/TS 15480-2 Europen Citizen Card. Part 2. Logical data structures and card services

49

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

14 I. számú melléklet – DCOD bejegyzések A HUNEID Alkalmazás alatt lévı EF.DCOD lehetıvé teszi, hogy a szabvány által kötelezıvé tett hivatkozásokon túlmenıen, az EID Alkalmazások által tárolt IDDO adatok is elérhetık legyenek. A tárolt objektumokra az EF.DCOD fájlból – az ISO/IEC 7816-15:2004-01-15, 8.8.2 pontja által definiált – opaqueDO típusú konténer objektumokkal kell hivatkozni. Az egyes HUNEIDspecifikus objektumok két, a szabvány által elıre definiált attribútum (classAttributes.iD és classAttributes.label) speciális értelmezéseként valósulnak meg. A classAttributes.label attribútum kötelezı megadása mellett IDDO adatokra való hivatkozáskor a classAttributes.iD attribútum megadása is kötelezı. A 13. táblázat – DCOD bejegyzések – tartalmazza a szabványos DCOD hivatkozásokat. 13. táblázat – DCOD bejegyzések

iD33

label34

path35

applicationName36

Megjegyzés

-

“EF.SN”

EF.SN

AIDDF.IAS

Kötelezı

-

“EF.DM”

EF.DM

AIDDF.IAS

Kötelezı

-

“EF.DH”

EF.DH

AIDDF.IAS

Aszimmetrikus eszköz hitelesítés privacy-val esetén Kötelezı

IDDO.

Azonosító neve MNAS szerint

DF.EID
EF.EID
IDDO

AIDDF.EID

Javasolt

−

Serial Number. A commonObjectAttributes.label értéke kötelezıen „EF.SN”, lásd: 11.10.

−

Display Message. A commonObjectAttributes.label értéke kötelezıen „EF.DM”, lásd: 11.11.

−

Diffie-Hellman paraméterek. A lásd: 11.12.

−

azonosító adatra (IDDO-ra) való hivatkozás. Az adott EID Alkalmazás Szolgáltatója határozza meg, hogy mely IDDO-kra hivatkozik DCOD-bıl. A classAttributes.iD megadása kötelezı, értéke megegyezik a referált IDDO. értékével. A commonObjectAttributes.label értéke kötelezıen megadandó MNAS szerint.

33

classAttributes.iD

34

commonObjectAttributes.label

35

typeAttributes.indirect.path

36

classAttributes.applicationName

commonObjectAttributes.label

50

értéke kötelezıen „EF.DH,

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

15 II. számú melléklet – EID Applet kötelezı funkciók Jellemzı (CEN/TS 15480-2:2007, Table D.2)

Szabvány hivatkozás / megjegyzés

Symmetric device authentication

CEN/TS 15480-2:2007, 6.4

Asymmetric device authentication

CEN/TS 15480-2:2007, 6.4.4, Opc.

Secure Messaging

CEN/TS 15480-2:2007, 6.4.7

Symmetric Role Authentication

CEN/TS 15480-2:2007, 6.2.6.1, Opc.

Asymmetric Role Authentication

CEN/TS 15480-2:2007, 6.2.6.2, Opc.

Command chaining

CEN/TS 15480-2:2007, 6.2, Opc.

Logical channels

CEN/TS 15480-2:2007, A.4, Opc.

Short length fields

CEN/TS 15480-2:2007, A.5

Extended length fields

CEN/TS 15480-2:2007, A.5, Opc.

Status words

CEN/TS 15480-2:2007, A.6

SELECT

CEN/TS 15480-2:2007, A.7.2.1

MANAGE CHANNEL

CEN/TS 15480-2:2007, A.7.2.2, Opc.

READ BINARY

CEN/TS 15480-2:2007, A.7.3.2

UPDATE BINARY

CEN/TS 15480-2:2007, A.7.3.3

INTERNAL AUTHENTICATE

CEN/TS 15480-2:2007, A.7.5.1

GET CHALLENGE

CEN/TS 15480-2:2007, A.7.5.2

EXTERNAL AUTHENTICATE

CEN/TS 15480-2:2007, A.7.5.3

MUTUAL AUTHENTICATE

CEN/TS 15480-2:2007, A.7.5.4

VERIFY with even instruction code

CEN/TS 15480-2:2007, A.7.5.5, Opc.

VERIFY with odd instruction code

CEN/TS 15480-2:2007, A.8.5.5, Opc.

CHANGE REFERENCE DATA

CEN/TS 15480-2:2007, A.7.5.6, Opc.

RESET RETRY COUNTER

CEN/TS 15480-2:2007, A.7.5.7

MSE:RESTORE

CEN/TS 15480-2:2007, A.7.5.8

MSE:SET

CEN/TS 15480-2:2007, A.7.6.1

PSO:VERIFY CERTIFICATE

CEN/TS 15480-2:2007, A.6.3, Opc.

GET RESPONSE for T = 0

CEN/TS 15480-2:2007, A.7.7.1, Opc.

51

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

16 III. számú melléklet – ASN.1 példák HUNEID specifikus objektumokra -- Serial Number ASN.1 value notation opaqueDO : { commonObjectAttributes { label “EF.SN”, accessControlRules { { accessMode { read }, securityCondition always:NULL } } }, classAttributes { applicationName “A000000167455349474E” }, typeAttributes { value indirect : path : { efidOrPath ’3F002F02’H -- Local path to the EF.SN } } } -- Display Message ASN.1 value notation opaqueDO : { commonObjectAttributes { label “EF.DM”, flags { private, modifiable }, accessControlRules { { accessMode { read }, authId: ‘03’H, -- CV Certificate }, { accessMode { update }, authId: ‘02’H, -- PIN.GLOBAL } } }, classAttributes { applicationName “A000000167455349474E” }, typeAttributes { value indirect : path : { efidOrPath ‘3F003F01D000’H } }

52

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

} -- DH Params ASN.1 value notation opaqueDO : { commonObjectAttributes { label “EF.DH”, }, classAttributes { applicationName “A000000167455349474E” }, typeAttributes { value indirect : path : { efidOrPath ‘3F002F08’H } } } -- Private protected IDDO ASN.1 value notation opaqueDO : { commonObjectAttributes { label “TAX_ID”, flags { private, modifiable }, accessControlRules { { accessMode { read }, and: { authId: ‘03’H, -- CV Certificate }, and: { authId: ‘02’H, -- PIN.GLOBAL } } { accessMode { update }, and: { authId: ‘03’H, -- CV Certificate }, and: { authId: ‘02’H, -- PIN.GLOBAL } } } }, classAttributes { applicationName “A000000000032451234”, iD ‘11’H }, typeAttributes { value indirect :

53

HUNEID követelmények, v1.0

KIB 26. SZÁMÚ AJÁNLÁS

path : { efidOrPath ‘3F00DF012F01’H } } } -- SCC1 allowed container ASN.1 value notation opaqueDO : { commonObjectAttributes { label “SOCSECID”, flags { private, modifiable }, accessControlRules { { accessMode { read }, authId: ‘06’H, -- secret key of the SCC1 }, { accessMode { update }, and: { authId: ‘06’H, -- secret key of the SCC1 }, and: { authId: ‘02’H, -- PIN.GLOBAL } } } }, classAttributes { applicationName “A000000000032451234”, iD ‘13’H }, typeAttributes { value indirect : path : { efidOrPath ‘3F00DF022F01’H } } }

54