Sborník Příspěvků Conference Proceedings
Total Page:16
File Type:pdf, Size:1020Kb
Česká společnost uživatelů otevřených systémů EurOpen.CZ Czech Open System Users’ Group www.europen.cz XXX. konference – XXXth conference Sborník příspěvků Conference proceedings Hotel MALEVIL, s. r. o., Jablonné v Podještědí 20.–23. května 2007 Sborník příspěvků z XXX. konference EurOpen.CZ, 20.–23. května 2007 c EurOpen.CZ, Univerzitní 8, 306 14 Plzeň Plzeň 2007. První vydání. Editor: Vladimír Rudolf, Jiří Felbáb Sazba a grafická úprava: Ing. Miloš Brejcha – Vydavatelský servis, Plzeň e-mail: [email protected] Tisk: TYPOS – Digital printing, spol. s. r. o. Podnikatelská 1 160/14, Plzeň Upozornění: Všechna práva vyhrazena. Rozmnožování a šíření této publikace jakýmkoliv způ- sobem bez výslovného písemného svolení vydavatele je trestné. Příspěvky neprošly redakční ani jazykovou úpravou. ISBN 978-80-86583-12-9 XXX. konference EurOpen.CZ 3 Obsah Jan Okrouhlý Tutorial – Co obnáší současný standard platebních karet ............ 5 Ladislav Lhotka History of Unix .................................................... 23 Peter Sylvester Identity and Authorization multi-organisation contexts.............. 37 Ralf Knöringer Identity Management – Compliance and Cost Control ............... 49 Jiří Bořík Identity Management – ORION implementation .................... 59 Marta Vohnoutová Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro hete- rogenní prostředí ................................................... 65 Jakub Balada Implementation of workflow for identity management ............... 75 Libor Dostálek Reverzní proxy neboli Access manager .............................. 83 Martin Čížek Implementace Access Managementu s open source produkty......... 95 Aleksej Jerman Blazic Trusted Archive Authority – Long Term Trusted Archive Services ... 107 Aleksej Jerman Blazic Long Term Archiving Implementation – Slovenian Experience with Long Term Archiving............................................... 121 Peter Sylvester The French Amdinistration’s profile for XAdES ..................... 131 4 Peter Sylvester Electronic notary services........................................... 135 Michal Hojsík Jak je to se sílou algoritmů pro výpočet hash ....................... 145 Petr Břehovský Jak opravdu anonymně vystupovat na Internetu .................... 155 Radoslav Bodó Kovářova kobyla... ................................................ 163 Michal Švamberg ...už nechodí bosa ................................................. 175 XXX. konference EurOpen.CZ 5 Tutorial – Co obnáší současný standard platebních karet Jan Okrouhlý E-mail: [email protected] Abstrakt Kartu s čipem již má asi téměř každý, co ale její výroba a používání obnáší? Lehký úvod do standardu čipových karet ISO 7816 a do EMV standardu pro platební aplikace bude následovat praktická ukázka komunikace s čipovou kartou, včetně předvedení platební transakce. Hlavní důraz bude kladen na přiblížení reálného životního cyklu aplikace od přípravy prostředí, výběru a testování čipu, přes výrobu a certifikace až po reálné použití. Jaké jsou další aplikační možnosti využití čipu, bezpečnostní aspekty platebních karet v praxi a kam dále hodlá vývoj standardů kráčet. Proč čipové karty Magnetický pásek má nízkou kapacitu a neposkytuje dostatek flexibility ani ka- pacitu pro nové aplikace. Smart karty1 přinášejí nové možnosti využití jak v po- době sloučení platební aplikace se zákaznickým bonus programem, tak při pou- žití pro jednotliví nezávislé aplikace a nebo naopak jako kombinaci více různých aplikací na jedné čipové kartě. Historicky sahají první bezpečnostní požadavky na karty vybavené mikro- procesorem až do konce 70. let minulého století. Smart karty byly původně vyvinuty za účelem snížení bezpečnostních problémů a dosud poskytují dosta- tečně bezpečné řešení pro mnoho aplikací jakými jsou typicky platební, iden- tifikační či autorizační aplikace, omezující fyzický přístup, či logický přístup k systémům nebo datům. Platby2 smart kartami jsou pro redukci podvodů za- loženy na principech a funkcích specifikovaných EMV (Europay MasterCard Visa). 1Zkráceně též označovány PC/SC, což je též název příslušné pracovní skupiny (hlavními členy jsou Gemalto, Infineon, Microsoft a Toshiba). 2Pro snížení telekomunikačních výdajů jsou tyto platby zpracovávány v centrálách, které jsou rozmístěny po Evropě, Latinské Americe a Asii. 6 Jan Okrouhlý Hlavní přínosy čipových karet: • Kapacita paměti čipu poskytuje prostor pro další software, s možností do- plnit další softwarové bezpečnostní prvky, a také prostor pro nové aplikace • Obtížná výroba kopie. Získání stejného čipu a operačního systému včetně získání dat, která jsou šifrována a dostupná jen čipu. • Vylepšení procesu rozhodování čtečky karet. Podpora online i offline ově- ření pravosti karty a možnost použití náročnějších šifer, což přináší lepší ochranu na bezobslužných terminálech. • Ověření identity majitele raději znalostí PIN než podpisem, které může být doplněno i o biometrické informace (zatím se nepoužívá při platbách, ale běžně např. pro přístup k datům). • Možnost reakce na nově vznikající požadavky – doplnění risk manage- mentu, či aktualizace konfigurace aplikací. Standard ISO 7816 Mezinárodní standard pro elektronické identifikační karty, zvláště pak smart karty, spravovaný společně ISO (International Organization for Standardization) a IEC (International Electrotechnical Commission). Skládá se z mnoha rozdílných částí, z nichž pro potřeby současných platebních karet vystačíme s těmito čtyřmi základními: • 7816-1: Fyzické charakteristiky; • 7816-2: Rozměry a umístění kontaktů; • 7816-3: Elektrické charakteristiky a třídy pro čipové karty pracující s 5 V, 3V a 1,8V; • 7816-4: Organizace, bezpečnost a příkazy pro datovou komunikaci. První tři části jsou podstatné spíše pro výrobu a testování karet a čipů. Při orientaci na platební aplikace bude pro nás z hlediska obsahu nejpodstatnější část 7816-4, která specifikuje: • Obsah párů příkaz–odpověď probíhajících skrz interface; • Prostředky pro získávání datových elementů a datových objektů z karty; • Struktury a obsah bytů historie popisující operační charakteristiku karty; XXX. konference EurOpen.CZ 7 • Struktury pro aplikace a data na kartě z pohledu rozhraní při zpracování příkazů; • Přístupové metody k souborům a datům na kartě; • Bezpečnostní architektura definující přístupová práva k souborům a datům na kartě; • Prostředky a mechanismy pro identifikaci a adresaci aplikací na kartě; • Metody pro secure messaging; • Metody přístupu k algoritmům zpracovávaným kartou (nepopisuje tyto algoritmy). Tato specifikace nepokrývá interní implementaci, ani její okolí, a je nezávislá na technologii fyzického rozhraní. Používá se pro karty s přístupem jednou či více metodami, tj. kontakty, těsnou indukční vazbou či vysokofrekvenčním přenosem. Standard EMV 2000 Jedná se o specifikaci čipových karet pro platební systémy aktuálně spravovaný společností EMVCo, jejímiž členy jsou platební asociace JCB, MasterCard a Visa (dále jen asociace). EMVCo byla zformována v únoru 1999 z Europay International, MasterCard International a Visa International za účelem správy, udržování a vylepšování spe- cifikací EMV. Europay akvizicí pohltila v roce 2002 asociace MasterCard a v roce 2005 se k organizaci připojila JCB International. Společnost EMVCo je rovněž zodpovědná za proces typových zkoušek platebních terminálů. Testování zajiš- ťuje použitelnost platebních karet v různých platebních systémech za dodržení specifikací EMV. V současné době je standard ve verzi EMV 4.1 a skládá se ze čtyř celků: • Book 1 specifikuje aplikačně nezávislé požadavky na čipové karty a pla- tební terminály (především elektromechanické charakteristiky jako jsou rozměry, či úrovně napájení), přenosové protokoly (znakový T = 0 a blo- kový T = 1), mechanismus volby aplikací a strukturu souborů a příkazů; • Book 2 specifikuje bezpečnostní požadavky, především mechanismus of- fline autentizace, šifrování PINů, generování aplikačních kryptogramů a management kryptografických klíčů; • Book 3 specifikuje požadavky na jednotlivé aplikace, např. definice jed- notlivých APDU (Application Protocol Data Unit) příkazů; 8 Jan Okrouhlý • Book 4 specifikuje povinné, doporučené a volitelné požadavky na platební terminály pro zajištění kompatibility s platebními kartami. V praxi se v současnosti nejčastěji setkáváme s platebními kartami dle stan- dardu EMV 2000, odpovídající EMV 4.0, příp. obsahujícími implementaci aktu- alizací a dodatků k této verzi a tím se funkčně blížícími k verzi 4.1. Specifikace EMV je postavena především na ISO/IEC 7816-4, ale z důvodů standardizace čerpá též z dalších specifikací jakými jsou např. tyto: • ISO 639 definující reprezentaci jmen a jazyků; • ISO/IEC 7811 definujících umístění a provedení embosingu; • ISO 8859 pro osmibitové kódování grafických znakových sad. Komunikace na aplikační úrovni Krok v aplikačním protokolu se skládá ze zprávy s příkazem, jejího zpracování v příjemci a odeslání příslušné odpovědi. APDU (Application protocol data unit) obsahují buď příkaz nebo odpověď. Obě součásti páru příkaz–odpověď mohou obsahovat data, což sumárně dává čtyři možné typy zapouzdření. Číslování základních typů zapouzdření: Zapouzdření Data v příkazu Očekávaná data v odpovědi 1 Žádná Žádná 2 Žádná Data 3 Data Žádná 4 Data Data Rámec každého příkazu musí mít definováno, dle kterého zapouzdření má být sestaven3. Příkazová APDU ISO 7816 definuje příkazovou APDU jako povinnou hlavičku a podmíněné tělo proměnné velikosti. 3Pokud toto při implementaci příkazů nedůsledně implementováno, těžko se taková chyba odhalí