Hitachi MULTOS IKD nowa propozycja wielofunkcyjnej karty dostępowej Tadeusz Woszczyński ski Dyrektor w Polsce i Regionie CEE Pion Rozwiązań Bezpieczeństwa IT Hitachi Europe Ltd.
MULTOS IKD: Agenda Wprowadzenie do platformy kartowej MULTOS MULTOS IKD - Opis rozwiązania i zastosowania - Specyfikacja techniczna - Aplikacje na karcie - Oprogramowanie - Certyfikacja i bezpieczeństwo karty - MULTOS IKD w Polsce Podsumowanie 2
Wprowadzenie do technologii kartowej MULTOS 3
MULTOS co to jest? MULTOS bezpieczny, otwarty system operacyjny na karty chipowe, przeznaczony dla kart multiaplikacyjnych Karta MULTOS karta oparta na systemie operacyjnym MULTOS i bezpiecznym układzie scalonym (min. EAL4+) wraz z zestawem aplikacji kartowych Powstał w 1993 roku na potrzeby pierwszej elektronicznej portmonetki Mondex wprowadzonej przez Natwest Bank MULTOS jest wspierany i rozwijany przez wszystkie największe firmy kartowe, na czele z MasterCard, Hitachi czy Keycorp (Multos Int) Ponad 200 milionów kart w tym udział w najbardziej prestiżowych i przełomowych projektach kartowych w historii Źródło: www.multos.com 4
MULTOS kluczowe założenia BEZPIECZEŃSTWO - certyfikacja OS certyfikowana na poziomie ITSEC E6 (EAL7) - mikroprocesor na min. EAL4+, cała platforma min. EAL4+ - bezpieczne dodawanie/usuwanie aplikacji z karty MULTOS przy pomocy specjalnych, unikalnych certyfikatów - aplikacje na karcie separowane przy pomocy specjalnych firewalli - dodawanie/usuwanie aplikacji nie ma wpływu na kod i dane istniejących aplikacji - OS zapewnia integralność i poufność danych w aplikacji - dla każdej aplikacji alokowana (wydzielona) pamięć - ścisłe zarządzanie kluczami przez MULTOS KMA MULTIAPLIKACYJNOŚĆ - ok. 300 aplikacji dostępnych na platformę MULTOS począwszy od płatności elektronicznych, PKI, e- health, biometrię po aplikacje transportowe - możliwość dodawania aplikacji i zarządzania nimi po tym jak karta zostanie wydana, bez ryzyka że dane lub istniejące aplikacje mogą być naruszone poprzez aktualizacje - bezpieczne i dynamiczne pobieranie aplikacji i post-wydawnictwo w jakimkolwiek kanale OTWARTOŚĆ I INTEROPERACYJNOŚĆ - rozwiązania MULTOS zawsze interoperacyjne niezależnie od dostawcy - możliwość tworzenia własnych aplikacji (C, Java, MEL) przy pomocy ogólnodstępnych, darmowych narzędzi 5
MULTOS: Platforma prawdziwie multiaplikacyna EMV Bank/ Portponetka Biometria ID do kontroli dostępu Służba zdrowia Paszport Transport Programy lojalnościowe ID ID ID ID Możliwo liwość obsługi wszystkch typów aplikacji kartowych Możliwo liwość obsługi EMV z SDA i DDA/CDA Bezpieczeństwo przekazywania wymagań certyfikacyjnych urzędów międzynarodowych Możliwo liwość opracowywania własnych aplikacji i dodawania ich później p Technologia przysz przyszłości ci,, przez co nigdy nie będzie b przestarzała MULTOS wspiera dzisiaj wszystkie te wymagania 6
MULTOS: Porównania MULTOS i JAVA Karty MULTOS W pełni interoperacyjne. Interoperacyjność zapewniona przez organizację MAOSCO Właściciel/Wydawca karty ma pełną władzę dot. dodwania i usuwania aplikacji na karcie MULTOS W celach bezpieczeńśtwa cykl życia kart Multos jest nadzorowany przez niezalezne MULTOS KMA (Key Management Authority). Np. dodawanie aplikacji jest autoryzowane specjalnym certyfikatem (ALC) wydanym właścielowi przez Multos KMA. Nie wymaga bezpiecznej sesji do ładowania aplikacji (deszyfracja następuje na karcie, kluczem prywatnym) Dystrybucja aplikacji 1 do 1, 1 do wielu Dystrybucja aplikacji w czasie rzeczywistym i nierzeczywistym, on-line lub off-line Wymagane najwyższe bezpieczeństwo (obligatoryjnie). OS certyfikowany na poziomie ITSEC E6. Zawsze używany jest bezpieczny (min. EAL4+) mikroprocesor. Mniejszy rozmiar kodu = tańsze mikroprocesory Brak interoperacyjności i organizacji nadzorującej interoperacyjność Dodawanie/usuwanie aplikacji musi być uzgodnione z producentem Cykl życia jest zgóry definiowany przez producenta karty Wymaga bezpiecznej sesji do ładowania aplikacji Dystrybucja aplikacji tylko 1:1 Dystrybucja aplikacji tylko w czasie rzeczywistym, on-line Opcjonalne Karty Java Większy rozmiar kodu = większe wymagania dotyczące rozmiaru chipa 7
Przykładowe referencje kart MULTOS 1. Siły NATO w Turcji Obecnie 7 milionów wydanych kart MULTOS (2 mln 14c, 5 mln 14f) 2 największe Państwo NATO Karty wyposażone w aplikacje: - PKI (eid) - e-health (osobiste dane zdrowotne) - e-purse (portponetka) - Biometria (odciski palców) - Kontrola dostępu Źródło: www.multos.com 2. BuyPass nowoczesny podpis elektroniczny w Norwegii 2 mln kart Wydawane przez Pocztę Norweską i Totalizator PKI + aplikacja płatnicza Służy m.in. do identyfikacji i realizacji płatności podczas gier hazardowych w internecie (loterie). Posiadacz karty ma możliwość korzystania z usług e-government, jak np. płacenie podatków, e-health, zwrot podatków czy też głosowanie. Karta w wersji enterprise można stosować także do logicznej kontroli dostępu (aplikacje, systemy, VPN), podpisywania i szyfrowania maili, jak i fizycznej kontroli dostępu 8
Przykładowe referencje kart MULTOS 3. Dowody osobiste i paszporty w Hong Kongu Między 2003 a 2007 rokiem w Hong Kongu wydano ponad 7 milionów kart inteligentnych ID na platformie MULTOS. Karty te miały stanowić bezpieczny dowód tożsamości, który umożliwiał szybsze i bezpieczniejsze przekraczanie granic. Dowód elektroniczny był stosowany także do identyfikacji podczas głosowania, w pracy, a także podczas korzystania z opieki zdrowotnej i społecznej. Właściciele kart mogli korzytać z tego dowodu także do autoryzacji transakcji w uslugach e-government (w kioskach interaktywnych). Projekt rozszerzony także o e-paszporty (wydano 600 000 paszportów MULTOS), zgodnych z ICAO. 4. Taiwan Money Największy projekt karty miejskiej w Azji Pierwsza karta płatnicza połączona z kartą miejską Jedna karta dla mieszkańców miasta do wielu zadań Specjalne karty dla dzieci Źródło: www.multos.com Źródło: www.multos.com 9
Inteligentna Karta Dostępowa MULTOS IKD 10
MULTOS IKD Hitachi MULTOS IKD to odpowiedź na potrzeby rynku kartowego, poszukującego wielozadaniowej karty dla pracowników, która zapewni równocześnie: - Zabezpieczenie systemów IT i poczty elektronicznej - Zabezpieczenie inteligentnych telefonów komórkowych (BlackBerry) - Kontrolę dostępu umozliwiając równocześnie ciągły rozwój. 11
Karta dostępowa MULTOS Karta MULTOS IKD posiada wiele zastosowań wykorzystywanych przy zabezpieczeniu systemów IT w firmie, w tym: Zabezpieczenie stacji roboczych / logowanie do systemu Szyfrowanie/deszyfrowanie poczty e-mail Logowanie VPN (Cisco, Checkpoint itd.) Zabezpieczenie telefonów BlackBerry (logowanie, poczta, uwierzytelnienie kartaużytkownik) Kontrola Dostępu do pomieszczeń (Mifare, Legic, Mu-Chip, IP-X UHF, IP-X DF) Łatwe wdrożenie bez konieczności dużych zmian w infrastrukturze KD 12
Karta dostępowa MULTOS Hitachi Europe opracowało specjalną aplikację na telefony BlackBerry która oferuje następujące funkcje przy wykorzystaniu karty MULTOS IKD: - Logowanie do telefonu BlackBerry przy pomocy karty inteligentnej - Podpisywanie wiadomości e-mail - Szyfrowanie/deszyfrowanie poczty email - Wzajemne uwierzytelnianie pomiędzy telefonem BlackBerry a kartą dostępową - Logowanie do komputera PC poprzez czytnik kart BlackBerry + + 13
Hitachi Multos IKD: Aplikacje biometryczne Karty Multos IKD mogą być rozszerzone o aplikacje biometryczne służące do przechowywania i porównywania na karcie danych biometrycznych (Match-on-Card) Zestawy biometryczne dla kart MULTOS Biometria odcisku palca (Finger Print) - Aplikacja Precise Finger Print Match-on- Card for Multos - Baza danych Finger Print - czytnik FP MC205 (zintegrowany z czytnikiem karty) -Biblioteki do czytnika MC205 Biometria naczyń krwionośnych nych palca (Finger Vein) - Aplikacja Hitachi Finger Vein Match-on- Card for Multos - Baza danych Finger Vein - czytnik Finger Vein 602UE - Biblioteki do czytnika FV - czytnik kart chipowych (opcja) 14
Specyfikacja techniczna Nazwa: Dostawca: Platforma: Implementator: Mikroprocesor: Producent mikroprocesora: Pamięć EEPROM: Interfejs: Interfejs stykowy: Interfejs bezstykowy: Interfejs KD w standardzie: Interfejsy KD opcjonalne: Certyfikacja platformy (ML1) Certyfikacja mikroprocesora Certyfikacja systemu operacyjnego MULTOS IKD Hitachi Europe Ltd. ML-1 Multos International SLE66CLX 360PEM, SLE66CLX800PEM Infineon 36k, 80k Dualny 7618 ISO 14443 A i B, MiFare MiFare Legic, MuChip, IP-X DF Common Criteria EAL4+ Common Criteria EAL4+ ITSEC E6 15
MULTOS IKD: aplikacje Karta MULTOS IKD posiada zestaw 3 aplikacji: MULTOS PKI (eid) BIO-PIN Match-on on-card Jeśli klient nie chce korzystać z aplikacji biometrycznych pozostają one nieaktywne. IKD może być również wydania w formie karty płatnicznej / zbliżeniowej MasterCard. Posiada wgrane domyślnie aplikacje płatnicze 16
MULTOS IKD: aplikacje MULTOS PKI (eid) - przechowanie 3+ par certyfikatów elektronicznych pochodzących z różnych CA - możliwość kontenera z dodatkowym PINem dostępowym na certyfikat specjalny BIO-PIN - przechowuje bezpiecznie kod PIN - po poprawnej autoryzacji biometrycznej przekazuje PIN do aplikacji PKI na poziomie karty (nie middleware) MoC - przechowuje dane biometryczne - porównuje dane biometryczne na karcie 17
MULTOS IKD: oprogramowanie MULTOS PKI Middleware - funkcje PKCS#11, MS CSP - Windows Logon - Token Manager - Biometric Authentication (opcja) Hitachi BlackBerry eid driver - certyfikowany przez BlackBerry - zabezpiecza telefony BB przy pomocy MULTOS IKD MULTOS AMS - dodawanie, usuwanie, aktualizacja aplikacji kartowych - zdalnie (www, email) lub lokalnie - przechowywanie informacji o kartach MULTOS, aplikacji, certyfikatów dostępowych (ALC, ALD) itd. 18
Certyfikacja Certyfikacja karty Multos IKD: CC EAL4+ na platformę (MULTOS ML-1) CC EAL4+ na mikrokontroler (SLE66CLX360PEM/800PEM ITSEC E6 na system operacyjny (MULTOS v4) 19
IKD w Polsce Partnerem strategicznym w Polsce jest firma WASKO S.A. z Gliwic Rozwiązanie Hitachi MULTOS IKD jest dostarczane wraz z kompletem oprogramowania dodatkowego w tym: - centrum certyfikacji (Wasko Intracert) - systemem personalizacji (Wasko PERSON) - menadżerem kart (Wasko Menadżer Kart) MULTOS IKD zostało już dostarczone w kilku tysiącach sztuk do jednego z Ministerstw RP 20
Podsumowanie 21
MULTOS: Podsumowanie MULTOS IKD to idealne rozwiązanie dla pracowników firm oraz urzędników Państwowych, ktorzy chcieliby posiadać jeden nośnik bezpieczeństwa który zapewni im bezpieczny dostęp zarówno do systemów IT, jak również inteligentnych telefonów które są nośnikiem wielu wrażliwych informacji oraz jednocześnie kartą do kontroli dostępu. Dzięki temu nie ma potrzeba noszenia kolejnych kart w portfelu. MULTOS IKD jest unikalnym rozwiązaniem, które zapewnia wysokie bezpieczeństwo w połączeniu z pelną multiaplikacyjnością. MULTOS IKD może być ciągle rozwijany dlatego też departamenty bezpieczeństwa i IT mogą tworzyć kolejne, nowe koncepcje wykorzystania karty MULTOS IKD w późniejszym czasie, a nie jak to bywa podczas wykorzystania innego rodzaju kart przed jej wydaniem 22
23