Příklady využití HW tokenů
Masarykova univerzita Fakulta informatiky
Honza Krhovják Vašek Matyáš Zdeněk Říha
HW tokeny a jejich využití
Uchovávání citlivých dat
o    zejména kryptografické klíče o    údaje nezbytné pro využívání předplacených služeb přihlášení do GSM sítě, dekódování satelitního signálu
Autentizace uživatelů
o    vstup do zabezpečené místnosti
o     přihlašování do operačního systému
o     přihlašování do e-bankovnictví
o    autorizace bezhotovostní platby
o    výběr hotovosti z bankomatu
Identifikace uživatelů
o    elektronické dokumenty (pasy, řidičské průkazy, atd.)
Autorizace finančních transakcí
■   Typicky dvoufaktorová autentizace
o    použití tokenu (karta s magnet, proužkem, čipová karta) o    použití biometriky nebo znalosti peněžní bankomaty - PIN
bezhot. platba z místa prodeje - podpis nebo PIN
o    typicky závisí na typu (magnetický proužek nebo čip) i na druhu (např. MasterCard nebo VISA) karty
o    v praxi ne vždy výlučně (po PI Nu může být žádán i podpis) ■    bezhot. platba z Internetu - CW/CVC/CID čísla
o    je-li úspěšná, následuje ověření velikosti disponibilního zůstatku a je-li ten dostatečný, tak platba proběhne
o    je-li neúspěšná, tak ji lze v závislosti na bezpečnostní politice vydávající banky několikrát zopakovat
ra bankovní sítě
■    Základní terminologie
o    vydávající banka - banka kde má zákazník účet a která vydala vlastníkovi účtu kartu a PIN
o    poskytující banka - banka počátečně zodpovědná za transakci uživatele (např. provozující danou síť bankomatů či zajišťující příjem bezhotovostních plateb v místě prodeje)
■    Banky vzájemně propojeny pomocí přepínačů
o    využití symetrické kryptografie (typicky 3DES)
potřeba předem ustavených tajných šifrovacích klíčů
Online verifikace PINu I
■   Probíhá vzdáleně ve vydávající bance
o    potřeba bezpečného přenosu PINu od poskytující k vydávající bance (jiný PIN než u běžné čipové karty!)
banky si vzájemně nedůvěřují, nedůvěřují svým pracovníkům, a nedůvěřují ani zákazníkům
řeší HSM a různá administrativní/procedurální opatření
o    bankomat či platební terminál v místě prodeje je typicky
bezpečné zařízení (HW bezpečnostní modul)
po vložení je PIN formátován do PIN-bloku
o    struktura obsahující PIN a další data zvyšující celkovou entropii
tento PIN-blok je odpovídajícím klíčem zašifrován a odeslán
na přepínačích dochází k přešifrovávání a někdy také k přeformátovávání PIN-bloku (různé sítě => různé formáty)
Online verifikace PINu II
■    Originální PIN není v bance uložen
o    vygenerován v HW modulu na základě čísla účtu a bezpečně uloženého tajného PIN generujícího klíče
o    bezpečně vytištěn, zalepen do obálky, zaslán držiteli karty
■    Verifikace také probíhá uvnitř HW modulu
o    přijatý PIN je dešifrován a extrahován z PIN-bloku
o    originální PIN je znovu vygenerován
o    přijatý PIN je srovnán s tímto originálním PINem
■    Problém: nejednotnost standardů
o    mnoho formátů PIN-bloků, různé metody generování PINů a šifrování => špatná interoperabilita + bezpečný návrh HW modulů a jejich API se stává obtížný (ne-li nemožný)
Specifikace EMV
■   Standard EMV 4.1 (Europay, MasterCard, VISA) je definován ve čtyřech samostatných dokumentech
o    aplikačně nezávislé požadavky na čipové karty a platební terminály
elektromechanické charakteristiky (např. rozměry čipu), přenosové protokoly, struktura souborů a příkazů, ...
o    bezpečnostní požadavky
mechanizmy offline autentizace dat a šifrování PINů, management kryptografických klíčů, ...
o    požadavky na jednotlivé aplikace
definice konkrétních APDU příkazů, ...
o    povinné, doporučené, a volitelné požadavky na platební terminály
Chip and PIN
Offline autentizace dat
■    Cílem je detekce falešných/padělaných karet
o    založeno na asymetrické kryptografii (RSA) a PKI RSA veřejný klíč musí být vždy 3 nebo 216 + 1
o    vyžadována existence certifikační autority (CA) certifikuje veřejné klíče vydávajících bank každý terminál musí obsahovat veřejný klíč CA musí být zajištěna integrita přenášených veřejných klíčů
■    Tři základní mechanizmy
o    SDA: statická autentizace dat
o    DDA: dynamická autentizace dat
o    CDA: kombinovaná DDA a generování aplikačního kryptogramu
Statická autentizace dat I
■    Základní vlastnosti SDA
o    potvrzuje pravost statických dat uložených v čipové kartě detekuje neautorizovanou změnu dat po personalizaci karty o    prováděna terminálem (čip pouze zasílá potřebná data)
■    Princip a průběh SDA obrázek na dalším slajdu)
o    veřejný klíč CA je uložen v každém terminálu
o    veřejný klíč vydávající banky je certifikován CA a uložen uvnitř čipu
o    statická aplikační data jsou podepsána soukromým klíčem vydávající banky a uložena uvnitř čipu
■    Bezpečnost SDA
o    závisí na bezpečnosti soukromých RSA klíčů o    padělání/duplikace čipových karet nevyřešena
Statická autentizace dat II
Statická aplikační
DATA (SAD)
Cipová
KARTA
Vydavatel
Soukromý
klíč vydavatele
Podepsaná statická aplikační
DATA(SSAD)
Veřejný
klíč
vydavatele
Certifikát
veřejného klíče
vydavatele
Certifikační autorita
Soukromý klíč CA
Veřejný klíč CA
Poskytovatel
Platební terminál
Dynamická autentizace dat I
■    Základní vlastnosti DDA
o    prováděna terminálem i kartou (potřeba čip s koprocesorem)
o    potvrzuje pravost statických dat uložených a generovaných v čipové kartě a dat obdržených z terminálu
detekuje padělané/duplikované karty
■    Princip a průběh DDA    brázek na dalším slajdu)
o    oproti SDA je v čipu uložen nový unikátní pár RSA klíčů
soukromý klíč je bezpečně uložen v čipu (nikdy jej neopouští) veřejný klíč je podepsán a uložen společně ze stát. apl. daty
■    Bezpečnost DDA
o    závisí také na bezpečnosti soukromých RSA klíčů
čipová karta musí být také schopna zajistit bezpečnost svého soukromého RSA klíče
Dynamická autentizace dat II

Soukromý klíč
KARTY
Statická aplikační
DATA (SAD)
Vydavatel
Veřejný klíč
KARTY
Soukromý
klíč vydavatele
Certifikát
veřejného
klíče karty
ASSAD
Cipová
KARTA
Veřejný
klíč vydávate
Certifikát
veřejného klíče
vydavatele
Certifikační autorita
Soukromý klíč CA
Veřejný klíč CA
Poskytovatel
Platební terminál
Kombinovaná DDA a ACG
■    Základní vlastnosti CDA
o    prováděna terminálem i kartou společně s analýzou akcí karty (která se normálně provádí později)
■    Princip a průběh CDA
o    náhodná výzva je oproti DDA součástí požadavku na získání aplikačního kryptogramu
o    je tedy i součástí podepsaného aplikačního kryptogramu
■    Bezpečnost CDA
o    stejné požadavky jako v případě DDA
o    CDA navíc zabezpečuje zasílaný aplikační kryptogram
výhoda zejména pokud nelze garantovat bezpečnou komunikaci mezi terminálem a čipovou kartou
Dohoda autentizační metody
■    Vzájemná komunikace mezi terminálem a kartou
o    Přichází na řadu ihned po offline autentizaci
o    Základní podporované metody použití podpisu (ručně psaného) použití PINu (online/offline, plaintext/encrypted) některé kombinace (např. online => encrypted)
■    Prioritně uspořádaný seznam podporovaných metod je uložen v každé čipové kartě
o    terminál zvolí první podporovanou metodu ze seznamu zvolená metoda je závislá na typu terminálu jedna z metod může být „autentizace nevyžadována"
o    úspěšná verifikace PINu
alespoň jedna z metod úspěšně proběhla seznam je vyčerpán
Autorizace platby
■    Autentizace založená na podpise či na online verifikaci PI Nu
o    stejný proces jako u karet s magnetickým proužkem PIN je formátován do PIN-bloku, zašifrován, ...
o    čipové karty by navíc měly poskytnout ochranu proti skimmingu (zkopírování dat z karty)
■    Autentizace založená na offline verifikaci se šifrováním PINu
o    vyžaduje nový RSA pár klíčů pro šifrování PINů
o     uložen/certifikován jako pár klíčů pro DDA (či CDA)
o    originální PIN (nutný pro verifikaci) bezpečně uložen v čipu
o     PINpad/terminál musí být fyzicky/logicky dobře zabezpečen
Automatická správa rizik I
■    Přichází na řadu po úspěšné autentizaci uživatele
■    Ochrana proti hrozbám nedetekovatelným v offline prostředí
o    rozhoduje zda by transakce měla být:
přijata offline, zamítnuta offline, autorizována online
■    Správa rizik terminálu
o    kontrola horního limitu stanoveného obchodníkem
typicky při provádění několika malých oddělených transakcí
o    kontrola rychlosti oběhu peněz
omezení počtu po sobě jdoucích offline transakcí
o    náhodný výběr transakce pro online autorizaci
■    Analýza akcí terminálu a karty
o    terminál má při zamítnutí transakce rozhodující slovo
Důsledky specifikace EMV
■    Zajištění interoperability platebních systému založených na použití kontaktních čipových karet
o    jeden standard (ideálně akceptovaný všemi stranami)
■    Zavedením autorizace PINem je zodpovědnost za transakce převedena na zákazníka
o    výhodné pro banky i obchodníky - ne pro zákazníka
■    Častá tvrzení o EMV a technologii Chip&PIN
o    čipové karty poskytují bezpečnější úložiště pro citlivá data pokud se nepoužívá SDA ...
o    autentizace uživatelů pomocí PINu je bezpečnější pokud je vyjednána bezpečná metoda ...
Bezdrátová technologie RFID
o
RFID - Radio Frequency Identification
o    určeno k automatické identifikaci objektů
o    umožňuje přenos dat pomocí elektromagnetického pole
Základní rozdělení RFID tagů (kromě R/O a R/W)
pasivní - bez vlastního zdroje energie
velmi malé (bez antény 0,15 mm * 0,15 mm) a tenké (7,5 |jm) levné a téměř neomezená životnost (není limitována baterií) dosah max. několik metrů (v závislosti na frekvenci a anténě)
aktivní - vlastní zdroj energie a větší paměť/výkon mohou šířit svůj vlastní signál - tzv. majáky (beacons) dražší, dosah desítky metrů, životnost baterie až 5 let
semi-aktivní (či semi-pasivní) - vlastní zdroj energie pouze pro napájení čipu => rychlejší odezva než pasivní tágy
o
o
Bezpečnost RFID
■    Bezkontaktní komunikace s RFID tágem většinou nevyžaduje přímou viditelnost
o    komunikační vlastnosti závisí na použitém frekv. pásmu
většina tagů pracuje na 13,56 MHz => nelze přečíst na vzdálenost větší než 1 m
tágy pracující na 868/915MHz => vyžadují přímou viditelnost
o    v blízkosti čtečky vysílá jedinečný identifikátor (číselný kód)
EPC kód obsahuje další inf. (výrobce, typ produktu apod.)
■    Bezpečnostní problémy RFID (předmětem výzkumu)
o    soukromí - problém sledování a inventarizace
ochrana tagů proti neautorizovanému čtení o    autentizace - problém snadného falšování/padělání tagů
ochrana čteček proti padělaným tágům
Techniky zajištění soukromí I
■    Deaktivace tágu (absolutní jistota)
o    typicky čtečkou a na místě, kde zákazník přebírá zboží o    ne vždy lze použít (knihovny, obchody nevyužívající RFID)
■    Pasivní či aktivní rušení
o    pasivní - princip Faradayovy klece (kovová síť či hliníková fólie bránící průchodu rádiových signálů)
o    aktivní - použití speciálního rušícího zařízení (dlouhé rušení může být nelegální a pro okolní RFID nežádoucí)
■    Měření vzdálenosti (pomocí poměru signál/šum)
o    pokus o vzdálené čtení => odvysílání nesprávných dat
■    Využití prostředníka (nutná autentizace vůči tágu)
Techniky zajištění soukromí II
■    Změna jedinečného identifikátoru
o    nepravidelná: jednorázové přeznačení (neeliminuje problém sledování) či smazání (ostatní data zůstanou)
o    pravidelná: malá množina pseudonymů (rozpozná je pouze autorizovaná čtečka) či přešifrovávání
■    Selektivní blokování
o    identifikátory rozděleny dle 1. bitu na soukromé a veřejné o    blokující RFID tag „ruší" čtení soukromých identifikátorů využívá antikolizního protokolu používaného čtečkou ne vždy funguje spolehlivě (závisí na umístění) po úpravě lze zneužít k úplnému blokování identifikátorů
Podrobnější informace lze nalézt na http://www.rsasecurity.com/rsalabs/node.asp?id=2115 konkrétně v http://www.rsasecurity.com/rsalabs/staff/bios/ajuels/publications/pdfs/rfid_survey_28_09_05.pdf
Cestovní pasy
■    Pas je identifikační průkaz nutný k přechodu státních hranie (až na výjimky)           =>
■    Kontroluje se
o    zda je pas originál (vydaný patričnou autoritou), a ne padělek
tiskové technologie, vodoznak, prvky viditelné v UV světle ...
digitální podpis dat, aktivní autentizace
o    zda osoba, které jej předkládá, je osoba, jíž byl pas vydán (a ne někdo kdo pas našel, ukradl ...)
fotka oprávněného držitele
biometrické údaje
o    zda pas je stále platný (doba platnosti případně další omezení (lidé, po nichž je vyhlášeno pátrání, jimž bylo omezeno právo cestovat apod.))
policejní databáze (např. Intepol)
automatizované čtení dat z pasu
Automatizovaná kontrola
■    Dnes jen za pomoci strojově čitelné zóny (MRZ), max. 88 znaků:
Ptzzzjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjj cccccccccKnnnRRMMDDKprrmmddKooooooooooooooKX
■    t (typ pasu), z (země vydání), j (jména a příjmení),
c (číslo pasu),                        j
RRMMDD (datum narození),
p (pohlaví),
rrmmdd (datum platnosti),
o (osobní číslo - RČ),
X & K (kontrolní číslice)
< (položka nevyužita)            \
ČESKÁ REFUBL1KA/CZECH REPUBLIC
Cimmii rtí / Paíífcwf
99003771
Trn           K*.
P               CZE
tím      nrnwrt/ftiPíwi
SPECIMEN                                                           A
Vzor
OlMNK-Oriroi KJd*uun                                                         I   ' .
ČESKÁ REPUBLIKA / CZECH REPUBLIC        dSF' M HMnMwdniHr-iwnúihHn                                     oí ku>,íciíll-. nuxľn.
01,01,1911                                                   110101/111
totvtůMtSa     tn tom lixnnňí met aunm
\\              PRAHA
At Daw vmOíf jBuj of ün»     «rvuvrnm AĽTHMm
04.07.2002                PRAHA
UJPumchido/Dwioiíifiij   tiroonipifmiis 04 07 201 2                HMMHUWMWI
tiŕťZte/^^^
P<C2ESPECIMEN«VZ0R««<<««««<«««<«<
9900377KSCZE1101018«1207046110101111««<90
ePasy - elektronické pasy
■    Pasy s vloženým RFID čipem
o     bezdrátová čipová karta podle ISO 14443
o     komunikace na 13,56 MHz
o    obvykle čtecí rozsah 0-10 cm
o    data uložena v 16 souborech (DG1 až DG16)
o    metadata v souboru EF.COM (verze + indikace, který z 16 DG je přítomen)
o    bezpečnostní soubor EF.SOD
■    Na přední straně typicky označeny logem ■_■
Obrázky ePasů převzaty z http://www.bundesdruckerei.de/
ePasv - další obrázky
Inlay with integrated con tactless chip
laminated protective layer
Data page with data and photograph
Inlay with contact!ess chip
laminated protective layer
^ The contactless chip can be Integrated into either the cover page or the data page.
Pasivní autentizace
■    Pasivní i aktivní autentizace do jisté míry podobná metodám SDA a DDA ve specifikaci EMV
■    Všechna data (každá datová skupina DG) jsou digitálně podepsána vydávající autoritou
■    Soubor EF.SOD obsahuje podepsané haše všech uložených DG
■    Pro ověření podpisu je třeba mít k dispozici certifikát vydavatele (certifikační řetěz je obvykle uložen v pase)
o    kořenové certifikáty je pochopitelně nutné získat bezpečnou cestou (diplomatickou poštou nebo pomocí nově vznikající infrastruktury ICAO)
Aktivní autentizace
■    Digitálně podepsaná data lze kopírovat (zkopírují se data včetně jejich podpisu)
■    Snadnému kopírovaní se pasy mohou bránit aktivní autentizací
■    Asymetrický pár klíče
o    soukromý klíč uložen v čipu, bez možnosti jeho přímého získání (čip je fyzicky bezpečný)
o    veřejný klíč je uložen v DG15 (tj. je digitálně podepsán)
■    Protokol výzva-odpověď pro ověření, zda má pas k dispozici soukromý klíč
o    přečtu veřejný klíč pasu (DG15) a ověřím jeho podpis pomocí veřejného klíče vydávající autority
o    pošlu pasu náhodné číslo
o    pas náhodné číslo doplní svou náhodnou částí a podepíše
o    ověřím digitální podpis na základě veřejného klíče pasu
Biometriky
Pro automatizovanou verifikaci identity předkladatele pasu (DG 2-4)
o    obličej (ve formátu JPEG/JPG2000 s případnými dalšími významnými biometrickými body, viz ISO 19794-5 )
o    otisk prstu (obrázek WSQ nebo zpracovaná data ve formě markantu, vzorů apod., viz ISO 19794-2, 19794-3, 19794-4, 19794-8)
o    duhovka (obrázek viz ISO 19794-6)
Dále jako digitální verze vytištěných dat (DG5-7)
o    fotografie držitele (viz ISO 10918) o    podpis držitele (viz ISO 10918)
Struktura dat
ISSUING STATE or ORGANIZATION
RECORDED DATA
Detail (S)
Recorded
in
MRZ
Document Type
Issuing State or organization
Name (of Hol der)
Document Number
Check Digit- Doc Number
Nationality
Date of Birth
Encoded
Identification
Featureis)
Chert Digit - DOB
Sex
Date of Expiry or Valid Until Date
CheckDigit-DQE/VUD
Optional Data
Check Digit - Optional Data Field
composite Check Digit
GLOBAL INTERCHANGE _______FEATURE_______
Additional Feature^)
Encoded Face
Encoded Fingers)
Encoded Eye(sj
Displayed
Identification
Featureis)
Displayed Portrait
Reserved for Future Uss
Displayed Signature or Usual Mark
Encoded
Security
Featureis)
DataFeaturefs)
Structure Feature!b)
Substance Feature(s)
Additional Personal Detail(s)
Additional Document Detail(s)
Optional Detail (s)
Reserved for Future Use
Active Authentication Public Key Info
Person (s) to Notify
	ADDITIONAL PERSONAL DETAIL{S)
	
	Additional Personal Detailis)
*\ ADDITIONAL DOCUMENT DETAJL(S}
Additional Document Detail(s)
OPTIONAL DETA!L(S}
Optional Detail(s)
PERSON(S)TONOTIFY
Person{s)to hfotify
Ochrana dat
■    RFID umožňuje zjištění existence čipu i čtení dat z čipu na dálku
o    viz techniky zajišťující soukromí
u ePasů zatím pouze pasivní rušení/stínění o    efektivní pouze pokud je pas uzavřen
o    navíc také logické omezení přístupu k datům
■    Řízení přístupu k datům
o    základní řízení přístupu (BAC)
tajný klíč lze získat z dat v MRZ
o    rozšíření řízení přístupu (EAC)
stejné jako BAC, ale tajný klíč se získá jiným způsobem (není řečeno jak)
Základní řízení přístupu
■    Z MRZ je třeba získat
o    číslo pasu
o    datum narození
o    datum vypršení platnosti
■    Hašujeme SHA-1 a generujeme dva 3DES-2 klíče
■    Podle ISO 11770-2 autentizujeme a ustavíme sdílený šifrovací klíč
o    následná komunikace je šifrovaná, což brání odposlechu přenášených dat
■    Data používaná k odvození klíče mají teoretickou entropii ±56 bitů (v praxi však klesá ke 35 bitům)
o    odposlechneme-li úspěšnou komunikaci, lze hrubou silou zjistit klíče a přenášená data dešifrovat
Více informací o strojově čitelných cestovních dokumentech lze nalézt na http://www.icao.int/mrtd/Home/
Otázky?
Vítány!!!
Tato přednáška nebude součástí zkoušky.
Termíny zkoušek: 22.,26. 5.;  1.,12.,14. 6.
S sebou vždy doklad (ISIC, OP) a psací
potřeby.
matyas@fi.muni.cz zriha@fi.muni.cz