Wykorzystanie protokołu T=CL w systemach kontroli dostępu

Podobne dokumenty
Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Laboratorium nr 3 Podpis elektroniczny i certyfikaty

Laboratorium Programowania Kart Elektronicznych

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Laboratorium nr 2 Szyfrowanie, podpis elektroniczny i certyfikaty

Bezpieczna poczta i PGP

Przewodnik użytkownika

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Zdalne logowanie do serwerów

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Zastosowania PKI dla wirtualnych sieci prywatnych

Bezpieczeństwo korespondencji elektronicznej

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Bezpieczeństwo usług oraz informacje o certyfikatach

Szczegółowy opis przedmiotu zamówienia

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

WSIZ Copernicus we Wrocławiu

Elektroniczna Legitymacja Studencka jako narzędzie wielofunkcyjne Oberthur Technologies

Szyfrowanie RSA (Podróż do krainy kryptografii)

5. Metody uwierzytelniania i bezpiecznej komunikacji Certyfikat klucza publicznego oparty o standard X.509

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Tarnowska Karta Miejska dokumentacja techniczna

SSL (Secure Socket Layer)

Technologie informacyjne - wykład 5 -

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Bezpiecze ństwo systemów komputerowych.

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 ZABEZPIECZANIE DOSTĘPU DO SYSTEMÓW OPERACYJNYCH KOMPUTERÓW PRACUJĄCYCH W SIECI.

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

ZiMSK. Konsola, TELNET, SSH 1

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 9

OPIS PRZEDMIOTU ZAMÓWIENIA

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek

Szczegółowy opis przedmiotu zamówienia

Opis przedmiotu zamówienia/specyfikacja techniczna

Podpis elektroniczny

System Użytkowników Wirtualnych

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Wykład I. Oprogramowanie kryptograficzne. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Bezpieczeństwo w Internecie

Bezpieczeństwo danych, zabezpieczanie safety, security

Podstawy Secure Sockets Layer

PŁATNOŚCI ELEKTRONICZNE I NIE TYLKO

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 5

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

PKI NBP Polityka Certyfikacji dla certyfikatów ESCB Szyfrowanie. OID: wersja 1.2

Karta kibica - wymagania dla systemów stadionowych Strona 1 z 9

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Sieci komputerowe. Wykład 11: Podstawy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

WdroŜenie infrastruktury klucza publicznego w firmie Polkomtel S.A. Mateusz Kantecki. Polkomtel S.A.

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Nowy klucz jest jedynie tak bezpieczny jak klucz stary. Bezpieczeństwo systemów komputerowych

Bezpieczeństwo systemów komputerowych. Opis działania PGP. Poczta elektroniczna. System PGP (pretty good privacy) Sygnatura cyfrowa MD5

PKI NBP Polityka Certyfikacji dla certyfikatów ESCB Logowanie. OID: wersja 1.7

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Od Wydawcy Krzywe eliptyczne w kryptografii Wykorzystanie pakietu SAGE... 9

Szczegółowy opis przedmiotu zamówienia

Laboratorium nr 6 VPN i PKI

edowód jako narzędzie do bezpiecznej komunikacji w e-administracji oraz inne zmiany

Bezpieczeństwo kart elektronicznych

Spis treści. Od Wydawcy

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Problemy z bezpieczeństwem w sieci lokalnej

Bezpieczeństwo systemów komputerowych

WorkshopIT Komputer narzędziem w rękach prawnika

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Polityka Certyfikacji dla Certyfikatów PEMI

Bezpieczeństwo systemów komputerowych. Poczta elektroniczna. System PGP (pretty good privacy) Opis działania PGP BSK_2003

Laboratorium nr 4 Sieci VPN

Zastosowania informatyki w gospodarce Wykład 5

Bringing privacy back

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

SET (Secure Electronic Transaction)

Opis przedmiotu zamówienia (OPZ)

E-DOWÓD FUNKCJE I KONSTRUKCJA. Maciej Marciniak

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Authenticated Encryption

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Bezpieczeństwo i szyfrowanie poczty elektronicznej z wykorzystaniem certyfikatów kwalifikowanych i niekwalifikowanych

Infrastruktura klucza publicznego w sieci PIONIER

Nowa legitymacja studencka w aplikacji Uczelnia.cl

Bezpieczna poczta i PGP

Instrukcja generowania żądania CSR SOW WERSJA 1.6

PKI NBP Polityka Certyfikacji dla certyfikatów ESCB Podpis. OID: wersja 1.5

Bezpieczeństwo informacji w systemach komputerowych

Transkrypt:

Wykorzystanie protokołu T=CL w systemach kontroli dostępu

Agenda Obecne systemy kontroli dostępu Technologia MIFARE Tożsamość cyfrowa i PKI Protokół T=CL w systemach KD Aplikacje PKI w KD Wykorzystanie innych aplikacji Dyskusja Podsumowanie 2/35

Co to jest system KD? System kontroli dostępu system sprzętowo programowy mający na celu identyfikację podmiotu i udzielenie dostępu do zasobów: ważne pomieszczenia (magazyn, serwerownia) wszystkie pomieszczenia zasoby sprzętowe (dostęp do dysku, podsieci komputerowej) zasoby programowe (dostęp do aplikacji) Metody realizacji KD do pomieszczeń: offline online 3/35

Poziomy bezpieczeństwa Poziomy zabezpieczeń: niski (pamięć) kod numeryczny średni (klucz) kod kreskowy karta magnetyczna karta chipowa karta zbliżeniowa wysoki (biometryka) odcisk palca geometria dłoni układ naczyń krwionośnych tęczówka oka siatkówka oka Głos Większość systemów KD wykorzystuje technologie zbliżeniowe. 4/35

Technologia MIFARE Standardowa karta MIFARE ma pojemność 1024 lub 4096 bajtów i jest podzielona na 16 sektorów. Sektor składa się z 4 bloków, z których każdy ma wielkość 16 bajtów pamięć = 16 sektorów Sektor 0 Sektor 1 Sektor 2 Sektor 14 Sektor 15 sektor = 4 bloki Blok 0 Blok 1 Blok 2 Blok 3 blok = 16 bajtów W pierwszym bloku pierwszego sektora pamiętany jest unikalny numer seryjny (nadany na etapie produkcji chipa karty) 5/35

Technologia MIFARE Pozostały obszar pamięci dostępny jest dla aplikacji Dostępne są proste operacje pozwalające na: Zarządzanie prawami dostępu dla poszczególnych bloków Zarządzanie i autentykację kluczami (key A, key B) Zapisywanie i odczytywanie danych z poszczególnych bloków danych Obsługę bloków licznikowych (value block), zapis, odczyt, atomowe zwiększanie, zmniejszanie wartości 6/35

Technologia MIFARE w KD Najpopularniejsze wykorzystanie technologii MIFARE w systemach kontroli dostępu: Wykorzystują numer seryjny do identyfikacji użytkownika Wykorzystują dodatkowe dane przechowywane na karcie w celu zwiększenia bezpieczeństwa Wprowadzane dodatkowe dane na kartę zwykle nie są związane z użytkownikiem Sektory mogą być zajęte Systemy KD zwykle nie udostępniają API, a często potrzebna jest integracja z innymi systemami 7/35

Wykorzystanie kart Bankowość karty płatnicze Telekomunikacja karty telefoniczne, SIM Komunikacja KOMkarta Identyfikatory legitymacje studenckie Kontrola dostępu do pomieszczeń i do zasobów 8/35

Tożsamość cyfrowa Coraz większa popularność kart aplikacyjnych (głównie z maszyną wirtualną Java) Często na karcie przechowywane są informacje związane z tożsamością użytkownika Istnieją rozbudowane systemy zarządzania tymi informacjami (CMS) Zamiast korzystać z odrębnego obszaru pamięci MIFARE, można by wykorzystać te informacje oraz funkcjonalność aplikacji z nimi związanych Możliwość napisania własnej aplikacji posiadającej większe możliwości niż MIFARE. 9/35

Rodzaje kryptografii Symetryczna: jeden klucz służący do szyfrowania i deszyfrowania, wydajne algorytmy szyfrowanie dużej ilości danych, problem z przekazywaniem klucza. Asymetryczna: para kluczy powiązanych ze sobą, jednym kluczem szyfrujemy, drugim odszyfrowujemy, jeden z kluczy nazywamy prywatnym, drugi publicznym, nie ma problemów z przekazywaniem klucza, mało wydajne algorytmy. 10/35

Standardy oparte o PKI Bezpieczny Internet SSL (Secure Socket Layer) TSL (Transport Layer Security) Bezpieczna poczta S/MIME (Secure Multipurpose Internet Mail Extensions) Bezpieczny dostęp VPN (Virtual Private Network) protokoły IPsec Inne aplikacje SET (Secure Electronic Transactions) 11/35

Algorytmy PKI Opierają się o matematyczną trudność rozkładu dużych liczb na czynniki. Łatwo dla małych liczb: 21 = 3 x 7 125 = 5 3 Trudniej dla dużych liczb: 43857348753487543543 = X x Y 3248243789234723847 = X Y 12/35

Funkcja mieszająca Funkcja mieszająca to przekształcenie, które dla dowolnych danych wejściowych generuje unikalny ciąg znaków o stałej długości. H(m) = h Wymagania dla kryptografii: łatwość obliczeń dla dowolnych danych wejściowych niodwracalność (znając h niemożna wyznaczyć m) bezkolizyjność (różne dane różne wartości funkcji) 13/35

Przykłady algorytmów Funkcje mieszające (hashujące): MD5 wyjście 128 bitów SHA1 wyjście 160 bitów RIPEMD-160 wyjście 160 bitów Kryptografia asymetryczna: RSA Dffie-Hellman Merkle-Hellman 14/35

Generowanie kluczy Wygenerowana para kluczy zawsze zawiera klucz prywatny i klucz publiczny Klucze mogą być generowane przez: kartę inteligentną (SmartCard), HSM (Hardware Security Module), komputer. Miejsce generowania kluczy jest często zdeterminowane sposobem ich użycia: podpis, niezaprzeczalność SmartCard, szyfrowanie, pufność HSM. 15/35

Zastosowanie kluczy Co Małgosia może zrobić z kluczami? klucz prywatny Małgosi klucze publiczne Jasia i Małgosi klucz prywatny Jasia Podpisać wiadomość do Jasia, używając klucza prywatnego Małgosi. Chronić swoje dane (pliki), używając klucza publicznego Małgosi. Zaszyfrować wiadomość do Jasia, używając klucza publicznego Jasia. 16/35

Certyfikat Certyfikat wiąże w bezpieczny sposób: klucz publiczny, właściciela (posiadacza klucza prywatnego), czas ważności, użycie klucza (tylko podpis, tylko szyfrowanie,...), inne informacje. Certyfikat jest podpisywany przez zaufane centrum certyfikacji. 17/35

Typy certyfikatów Obecnie używany: X.509 v3 Informacje o X.509 v3 IETF (Internet Engineering Task Force) PKIX (Public Key Infrastructure X.509 Working Group) RFC 2459 Inne typy certyfikatów: Poprzednie wersje X.509: v1, v2 SPKI (Simple Public Key Infrastructure) PGP (Pretty Good Privacy) Attribute Certificates 18/35

Struktura X.509 v3 Podpisany przez urząd certyfikacji (wystawcę) Wersja Numer seryjny Podpis Wystawca Ważność Podmiot Klucz publiczny ID wystawcy ID podmiotu Rozszerzenia Wersja certyfikatu Unikalna liczba całkowita ID alg. użytego do podpisania cert. Unikalna nazwa wystawcy cert. Daty: nie przed / nie po Unikalna nazwa właściciela cert. Klucz publiczny właściciela cert. Nieobow. unikalny ID centrum cert. Nieobow. unikalny ID podmiotu Nieobow. rozszerzenia 19/35

Wystawianie certyfikatu Wystawianie certyfikatu Policzony skrót certyfikatu Przygotowanie danych Klucz prywatny urzędu certyfikacji Podpisany skrót certyfikatu Klucz publiczny urzędu certyfikacji Weryfikacja certyfikatu Odszyfrowany skrót certyfikatu? =? Policzony skrót certyfikatu Urząd certyfikacji Użytkownik 20/35

Podpisywanie Małgosia pisze list do Jasia. e-mail Tworzony jest skrót wiadomości. e-mail skrót wiadomości Skrót jest szyfrowany kluczem prywatnym Małgosi. Wiadomość jest wysyłana do Jasia. e-mail A67D875E Do wiadomości dołączany jest certyfikat Małgosi. e-mail A67D875E 21/35

Weryfikowanie podpisu Przychodzi list od Małgosi. e-mail Weryfikacja certyfikatu Liczony jest skrót wiadomości. A67D875E Skrót wiadomości jest odszyfrowywany kluczem publicznym Małgosi, pobranym z certyfikatu. Obliczony skrót wiadomości? =? Skróty są porównywane. Odszyfrowany skrót wiadomości 22/35

Szyfrowanie Małgosia pisze list do Jasia. Wiadomość jest szyfrowana symetrycznym kluczem sesji e-mail Symetryczny klucz sesji jest szyfrowany kluczem publicznym Jasia. A67D875E Wiadomość jest wysyłana do Jasia. 6A7EF82 6D67A A67D875E Zaszyfrowany klucz sesji jest dołączany do wiadomości. 23/35

Odszyfrowywanie Przychodzi list od Małgosi 6A7EF82 6D67A A67D875E Z wiadomości pobierany jest zaszyfrowany symetryczny klucz sesji. A67D875E Wiadomość jest odszyfrowywana symetrycznym kluczem sesji Symetryczny klucz sesji jest odszyfrowywany kluczem prywatnym Jasia e-mail 24/35

Logowanie Podpisane dane Weryfikacja podpisu Jeżeli dane są podpisane prawidłowo to znaczy, że: posiadasz klucz prywatny związany z certyfikatem, a to znaczy, że: jesteś tym, za kogo się podajesz o ile ufam CA, które wystawiło Ci certyfikat. 25/35

Zastosowanie kluczy Co Małgosia może zrobić z kluczami? klucz prywatny Małgosi klucze publiczne Jasia i Małgosi klucz prywatny Jasia Podpisać wiadomość do Jasia, używając klucza prywatnego Małgosi. Chronić swoje dane (pliki), używając klucza publicznego Małgosi. Zaszyfrować wiadomość do Jasia, używając klucza publicznego Jasia. 26/35

Wykorzystanie T=CL Zwykle aplikacje dostępne są poprzez interfejs stykowy karty Interfejs bezstykowy udostępnia MIFARE Nowoczesne karty posiadające interfejs dualny pozwalają na dostęp do aplikacji poprzez interfejs bezstykowy Możliwość wykorzystania w systemach KD 27/35

Wykorzystanie T=CL Brak ograniczenia technologii MIFARE Dostęp do większego obszaru pamięci Dostęp do bardziej zaawansowanych operacji Wykorzystanie danych użytkownika związanych z jego tożsamością cyfrową (głównie PKI) 28/35

Wykorzystanie PKI w KD Identyfikowanie użytkownika: Wygeneruj losowyciąg znaków (challenge) losowe dane Weryfikacja podpisu i identyfikacja podmiotu podpisane dane + certyfikat. Udzielenie dostępu lub odmowa dostępu do zasobu sygnał sterujący 29/35

Wykorzystanie PKI w KD Zarządzanie KD Zarządzanie cyfrową tożsamością Wykorzystanie wspólnych danych związanych z użytkownikiem Wykorzystanie istniejących systemów zarządzania (CMSy) 30/35

Interfejs karty Obecne protokoły T=0, T=1, T=CL Protokoły (T=0/1, T=CL, USB ) są protokołami na poziomie komunikacji/warstwy fizycznej, korzystając z nich w warstwie aplikacyjnej zwykle używamy komend o strukturze APDU. Komendy uzależnione są od aplikacji znajdującej się na karcie (profil karty) Przykład: wybór aplikacji po AID (karta java`owa, aplikacja aplet IDOne): -> 00 A4 04 0C 10 A0 00 00 00 77 01 03 03 00 00 00 F1 00 00 00 02 <- 90 00 31/35

Wykorzystanie PKI z T=CL Odczyt certyfikatu z karty: reader.transmitcommand( new SelectIdOneAppletCommad() ); reader.transmitcommand( new SelectFileCommad(0x3F, 0x00)); reader.transmitcommand( new SelectFileCommad(0x50, 0x11)); reader.transmitcommand( new SelectFileCommad(0x90, 0x01)); byte[] certificatebytes = readbinaryfile(reader, 0x20, 0x00); 00 A4 04 0C 10 A0 00 00 00 77 01 03 03 00 00 00 F1 00 00 00 02 -> 90 00 00 A4 00 0C 02 3F 00 -> 90 00 00 A4 00 0C 02 50 11 -> 90 00 00 A4 00 0C 02 90 01 -> 90 00 00 A4 00 0C 02 20 00 -> 90 00 00 A4 00 00 02 20 00 -> 90 00 6F 16 80 02 02 D6 82 02 01 01 83 02 20 00 86 08 00 00 00 FF FF 00 B0 00 00 FF -> 90 00 30 82 02 32/35

Dedykowane aplikacje KD Możliwość stworzenia dedykowanej aplikacji dla systemu kontroli dostępu. Przeniesienie części logiki systemu KD na kartę: informacje nt. dostępu do pomieszczeń liczniki Możliwość oddzielenia funkcjonalności ładowania kredytów od zarządzania kontrolą dostępu. 33/35

34/35 Pytania

Dziękujemy za uwagę

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres