Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός Ταυτοποίηση και αυθεντικοποίηση με υποδομές δημόσιου κλειδιού.

Παρουσίαση με θέμα: "Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός Ταυτοποίηση και αυθεντικοποίηση με υποδομές δημόσιου κλειδιού."— Μεταγράφημα παρουσίασης:

1 Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Ταυτοποίηση και αυθεντικοποίηση με υποδομές δημόσιου κλειδιού

2 2 Τμήμα Ψηφιακών Συστημάτων

3 Ψηφιακά Πιστοποιητικά 3 Τμήμα Ψηφιακών Συστημάτων

4 Ορισμός  Τύπος ΙΙ.  Ψηφιακό Πιστοποιητικό είναι μία ψηφιακά υπογεγραμμένη δομή δεδομένων, η οποία αντιστοιχίζει μία ή περισσότερες ιδιότητες μιας φυσικής οντότητας στο δημόσιο κλειδί που της ανήκει. 4 Τμήμα Ψηφιακών Συστημάτων

5 Συμμετρική και Ασύμμετρη Κρυπτογραφία (1/2)  Συμμετρική (Κλασική) Κρυπτογραφία  Το ίδιο κλειδί χρησιμοποιείται για την κρυπτογράφηση και για την αποκρυπτογράφηση δεδομένων  Τα συναλλασσόμενα μέρη πρέπει να συμφωνήσουν εκ των προτέρων για το κλειδί που θα χρησιμοποιηθεί  Η προστασία του κλειδιού αποτελεί κρίσιμο πρόβλημα 5 Τμήμα Ψηφιακών Συστημάτων

6 Συμμετρική και Ασύμμετρη Κρυπτογραφία (2/2)  Ασύμμετρη (Δημόσιου Κλειδιού) Κρυπτογραφία  Χρησιμοποιούνται δύο διαφορετικά κλειδιά, ένα ιδιωτικό και ένα δημόσιο, τα οποία σχετίζονται μεταξύ τους με μονόδρομες συναρτήσεις (one-way functions)  Τα δεδομένα κρυπτογραφούνται με το δημόσιο κλειδί και αποκρυπτογραφούνται αποκλειστικά με το ιδιωτικό κλειδί  Μόνο μία φυσική οντότητα γνωρίζει το ιδιωτικό κλειδί, ενώ το δημόσιο κλειδί είναι εύκολα διαθέσιμο στο κοινό  Συνήθως το δημόσιο κλειδί χρησιμοποιείται για κρυπτογράφηση και το ιδιωτικό κλειδί για αποκρυπτογράφηση. 6 Τμήμα Ψηφιακών Συστημάτων

7 Συμμετρική Κρυπτογραφία Γνωστοί Συμμετρικοί αλγόριθμοι: –DES, Triple-DES –Blowfish, SAFER, CAST –RC2, RC4 (ARCFOUR), RC5, RC6 7 Τμήμα Ψηφιακών Συστημάτων

8 Ασύμμετρη Κρυπτογραφία Γνωστοί αλγόριθμοι Δημόσιου Κλειδιού –RSA –Diffie-Hellman Key Exchange –ElGamal, Digital Signature Standard (DSS) 8 Τμήμα Ψηφιακών Συστημάτων

9 Κρυπτογραφία Δημόσιου Κλειδιού και Ψηφιακές Υπογραφές 9 Τμήμα Ψηφιακών Συστημάτων

10 Υβριδική Κρυπτογραφία (1/2)  Η ασύμμετρη κρυπτογραφία είναι μη αποτελεσματική για την κρυπτογράφηση μεγάλου όγκου δεδομένων, αντίθετα από τη συμμετρική  Συνηθισμένη χρήση της ασύμμετρης κρυπτογραφίας είναι η αποστολή ενός συμμετρικού κρυπτογραφικού κλειδιού μέσω ενός ανασφαλούς διαύλου 10 Τμήμα Ψηφιακών Συστημάτων

11 Υβριδική Κρυπτογραφία (2/2)  Ένα ‘Κέντρο Διανομής Κλειδιών (Key Distribution Center)’ διανέμει με ασφάλεια στα συναλλασσόμενα μέρη ένα συμμετρικό κλειδί, κρυπτογραφημένο με τα δημόσια κλειδιά των εμπλεκομένων  Οι συναλλασσόμενοι αποκρυπτογραφούν το κλειδί αυτό και ξεκινούν εμπιστευτικές συνόδους μεταξύ τους, χρησιμοποιώντας συμμετρικούς αλγόριθμους  Ο συνδυασμός των δύο τεχνολογιών ονομάζεται Υβριδική Κρυπτογραφία με Ψηφιακό Φάκελο (digital envelope) 11 Τμήμα Ψηφιακών Συστημάτων

12 Πλεονεκτήματα της Κρυπτογραφίας Δημόσιου Κλειδιού (1/2)  Τα δημόσια κλειδιά δεν απαιτούν διαφύλαξη εμπιστευτικότητας  Τα ιδιωτικά κλειδιά δεν αποκαλύπτονται και δε διανέμονται σε τρίτους, σε καμία περίπτωση  Για να σταλεί ένα εμπιστευτικό μήνυμα χρησιμοποιείται το δημόσιο κλειδί του παραλήπτη. Μόνο το ιδιωτικό κλειδί που κατέχει ο παραλήπτης μπορεί να αποκρυπτογραφήσει το μήνυμα  Για να υπογραφεί ένα μήνυμα χρησιμοποιείται το ιδιωτικό κλειδί του αποστολέα. Οποιοσδήποτε τρίτος μπορεί να επαληθεύσει την υπογραφή με το δημόσιο κλειδί του αποστολέα 12 Τμήμα Ψηφιακών Συστημάτων

13 Πλεονεκτήματα της Κρυπτογραφίας Δημόσιου Κλειδιού (2/2)  Ελαχιστοποίηση της διαχείρισης κλειδιών  Μεγάλη διάρκεια κύκλου ζωής των κλειδιών  Παρέχεται η δυνατότητα επαλήθευσης της ακεραιότητας δεδομένων 13 Τμήμα Ψηφιακών Συστημάτων

14 Προβλήματα της Κρυπτογραφίας Δημόσιου Κλειδιού  Πώς επαληθεύεται η ταυτότητα του κατόχου ενός ζεύγους κλειδιών;  Πώς διασφαλίζεται η μυστικότητα και η ακεραιότητα των κλειδιών κατά τη δημιουργία και τη χρήση τους;  Πώς διανέμονται στο κοινό τα δημόσια κλειδιά, έτσι ώστε να διασφαλίζεται η αντιστοίχησή τους με μία φυσική οντότητα;  Πώς ολοκληρώνεται ο κύκλος ζωής τους, όταν αυτό κριθεί αναγκαίο; 14 Τμήμα Ψηφιακών Συστημάτων

15 Διαφαίνεται η ανάγκη ύπαρξης μίας ‘Έμπιστης Τρίτης Οντότητας’ που διαχειρίζεται ‘Ψηφιακά Πιστοποιητικά’. 15 Τμήμα Ψηφιακών Συστημάτων Ενδιάμεσο συμπέρασμα

16 Ψηφιακά πιστοποιητικά (1/2)  Ψηφιακό Πιστοποιητικό είναι μία ψηφιακά υπογεγραμμένη δομή δεδομένων, η οποία αντιστοιχίζει μία ή περισσότερες ιδιότητες μιας φυσικής οντότητας στο δημόσιο κλειδί που της ανήκει  Το πιστοποιητικό είναι υπογεγραμμένο από μία Τρίτη Οντότητα, η οποία είναι Έμπιστη και Αναγνωρισμένη να δρα ως ‘Πάροχος Υπηρεσιών Πιστοποίησης - ΠΥΠ’ (Trusted Third Party – TTP & Certification Services Provider – CSP) 16 Τμήμα Ψηφιακών Συστημάτων

17 Ψηφιακά πιστοποιητικά (2/2)  Διασφαλίζει με τεχνικά, αλλά και νομικά, μέσα ότι ένα δημόσιο κλειδί ανήκει σε μία και μόνο συγκεκριμένη οντότητα και συνεπώς ότι η οντότητα αυτή είναι ο νόμιμος κάτοχος του αντίστοιχου ιδιωτικού κλειδιού 17 Τμήμα Ψηφιακών Συστημάτων

18 Περιεχόμενα ενός πιστοποιητικού (1/2) Ένα ψηφιακό πιστοποιητικό περιέχει τις παρακάτω βασικές ομάδες πεδίων:  Αναγνωριστικά πιστοποιητικού: Τύπος – Πρότυπο, Έκδοση, Σειριακός αριθμός, Αλγόριθμος υπογραφής  Περίοδος Ισχύος: Από – Έως  Πληροφορίες Εκδότη: Διακριτικό όνομα, Σημείο πρόσβασης, Αναγνωριστικό κλειδιού  Υποκείμενο: Πλήρες Διακριτικό Όνομα του κατόχου του πιστοποιητικού 18 Τμήμα Ψηφιακών Συστημάτων

19 Περιεχόμενα ενός πιστοποιητικού (2/2)  Δημόσιο κλειδί που αντιστοιχεί στο υποκείμενο  Επεκτάσεις: Επιτρεπόμενες χρήσεις, Σημείο διανομής πληροφοριών κατάστασης, άλλα εξειδικευμένα ανά εφαρμογή πεδία  Κρίσιμες επεκτάσεις: Όπως οι προηγούμενες, αλλά χαρακτηρισμένες ως ‘απαράβατες’.  Υπογραφή Εκδότη σε όλη τη δομή  Σύνοψη πιστοποιητικού ως κλειδί αναφοράς 19 Τμήμα Ψηφιακών Συστημάτων

20 Δείγμα πιστοποιητικού X.509 v3 σε μορφή κειμένου 20 Τμήμα Ψηφιακών Συστημάτων Certificate: Data: Version: 3 (0x0) Serial Number: 2003532 (0x0) Signature Algorithm: md5withRSAEncryption Issuer: C=GR, L=Athens, O=University of the Aegean, OU=Certification Authority, CN=ca.aegean.gr, Email=ca@aegean.gr Validity Not Before: Nov 14 17:15:25 2003 GMT Not After : Dec 14 17:15:25 2003 GMT Subject: C=GR, L=Hermoupolis, O= University of the Aegean, OU=Syros, CN=www.aegean.gr, Email=webmaster@aegean.gr Subject Public Key Info: Public Key Algorithm: rsaEncryption Modulus:00:9a:92:25:ed:a4:77:69:23:d4:53 :05:2b:1f:3a:55:32:bb:26:de:0a:48:d8:fc:c8 :c0:c8:77:f6:5d:61:fd:1b:33:23:4f:f4:a8:2d:9 6:44:c9:5f:c2:6e:45:6a:9a:21:a3:28:d3:27:a 6:72:19:45:1e:9c:80:a5:94:ac:8a:67 Exponent: 65537 (0x10001) Key Usage: Digital Signature, Key Encipherment, Client Authentication Signature Algorithm: md5withRSAEncryption 7c:8e:7b:58:b9:0e:28:4c:90:ab:20:83:61:9e :ab:78:2b:a4:54:39:80:7b:b9:d9:49:b3:b2:2 a:fe:8a:52:f4:c2:89:0e:5c:7b:92:f8:cb:77:3f: 56:22:9d:96:8b:b9:05:c4:18:01:bc:40:ee:bc :0e:fe:fc:f8:9b:9d:70:e3

21 Γενική Κατηγοριοποίηση (1/2)  Προσωπικό πιστοποιητικό ή Πιστοποιητικό Ταυτότητας (Personal or Identity certificate): Το υποκείμενο είναι φυσικό πρόσωπο  Πιστοποιητικό Συσκευής ή Εξυπηρετητή (Server or Device certificate): Π.χ. Δρομολογητής ή Web server  Πιστοποιητικό Ρόλου (Role-based certificate): Το υποκείμενο δεν είναι φυσικό πρόσωπο και ο κάτοχος του ιδιωτικού κλειδιού μπορεί να αλλάζει  Πιστοποιητικό Οργανισμού (Organisational certificate): Π.χ. ‘Microsoft Corp’ για την υπογραφή λογισμικού 21 Τμήμα Ψηφιακών Συστημάτων

22 Γενική Κατηγοριοποίηση (2/2)  Πιστοποιητικό Ιδιοτήτων (Attribute certificate): Χωρίς κλειδί. Αποδίδει ρόλους και δικαιώματα σε μια φυσική οντότητα  Ομαδικό Πιστοποιητικό (Group certificate): Ταυτοποιεί μία ομάδα και επιβεβαιώνει τη συμμετοχή οντοτήτων σε αυτή  Πιστοποιητικό Αντιπροσώπου ή Προσωρινό (Proxy certificate): Παράγεται από το ίδιο το υποκείμενο, έχει διάρκεια ισχύος λίγων ωρών, π.χ. μηχανισμοί single- sign-on 22 Τμήμα Ψηφιακών Συστημάτων

23 Κατηγοριοποίηση ανάλογα με τη θέση στην ιεραρχία  Προσωπικό Πιστοποιητικό: Κατέχω το ιδιωτικό κλειδί  Πιστοποιητικό Τρίτου: Για χρήση στις συναλλαγές μαζί τους  Πιστοποιητικό Ριζικής Αρχής Πιστοποίησης: Του εκδότη που βρίσκεται υψηλότερα στην ιεραρχία. Αυτο- υπογραφόμενο  Πιστοποιητικό Ενδιάμεσης Αρχής Πιστοποίησης: Του εκδότη που βρίσκεται ιεραρχικά κάτω από άλλον, ο οποίος το υπογράφει 23 Τμήμα Ψηφιακών Συστημάτων

24 Αναγνωρισμένα Πιστοποιητικά (Qualified Certificates – QC)  Μονοσήμαντος προσδιορισμός ταυτότητας του Παρόχου  Μονοσήμαντος προσδιορισμός ταυτότητας του Υποκειμένου  Προσδοκώμενη χρήση  Δεδομένα για την επαλήθευση της υπογραφής (Signature Verification Data) που αντιστοιχούν στο υποκείμενο  Περίοδος Ισχύος  Κωδικός αναγνώρισης του πιστοποιητικού  Ηλεκτρονική Υπογραφή του Παρόχου  Τυχόν Περιορισμοί στη χρήση και ευθύνες του παρόχου  Επεκτάσεις κατά περίπτωση εφαρμογής 24 Τμήμα Ψηφιακών Συστημάτων Directive 1999/93/EC http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:en:HTML

25 Τι απαιτείται από τον CSP για έκδοση αναγνωρισμένων πιστοποιητικών (1/2)  Επίδειξη της απαραίτητης αξιοπιστίας  Διασφάλιση των μηχανισμών έκδοσης, δημοσίευσης και ανάκλησης πιστοποιητικών  Διασφάλιση ότι ο χρόνος έκδοσης ή ανάκλησης ενός πιστοποιητικού μπορεί να προσδιοριστεί επακριβώς  Αδιαμφισβήτητη επαλήθευση της ταυτότητας της πιστοποιούμενης οντότητας  Απασχόληση κατάλληλα εκπαιδευμένου προσωπικού 25 Τμήμα Ψηφιακών Συστημάτων

26 Τι απαιτείται από τον CSP για έκδοση αναγνωρισμένων πιστοποιητικών (2/2)  Χρήση αξιόπιστων Πληροφοριακών Συστημάτων  Προστασία των δεδομένων δημιουργίας υπογραφής (signature creation data) του ίδιου του CSP  Τήρηση Ημερολογίου πράξεων (audit log)  Δημοσίευση Πολιτικών και Πρακτικών  Διασφάλιση ικανών οικονομικών, υλικών και ανθρώπινων πόρων  Φυσική ασφάλεια 26 Τμήμα Ψηφιακών Συστημάτων

27 Πιθανές πρόσθετες απαιτήσεις  Εκτίμηση κινδύνων / Risk Analysis  Πιστοποίηση ποιότητας κατά ISO 9000  Προστασία Προσωπικών Δεδομένων  Ασφάλιση  Μακροχρόνια αποθήκευση δεδομένων για την επαλήθευση υπογραφών 27 Τμήμα Ψηφιακών Συστημάτων

28 Ανάκληση Πιστοποιητικών  Λόγοι ανάκλησης  Απώλεια ιδιωτικού κλειδιού  Κλοπή ή διαρροή ιδιωτικού κλειδιού  Αλλαγή στοιχείων ή ρόλου  Παύση λειτουργίας CSP  Δημοσίευση της Πληροφορίας Κατάστασης Πιστοποιητικών (Certificate Status Information – CSI)  Λίστα Ανάκλησης Πιστοποιητικών (CRL – Certificate Revocation List)  Online Certification Status Protocol – OCSP (RFC-2560)  delta-CRL: Μόνο τα ανακληθέντα πιστοποιητικά που δεν υπήρχαν στην προηγούμενη delta-CRL 28 Τμήμα Ψηφιακών Συστημάτων

29 Ανάκληση Πιστοποιητικών http://community.websense.com/blogs/securitylabs/archive/2013/07/11/digging-into-certificate- revocation-lists.aspx 29 Τμήμα Ψηφιακών Συστημάτων

30 Πρότυπα 30 Τμήμα Ψηφιακών Συστημάτων  Μορφοποίηση  X.509 (ITU)  SPKI – SDSI - PKIX (IETF)  PGP  PKCS#6 (RSA)  Αίτηση  PKCS#10 (RSA)  RFC-2511 (IETF)  Διανομή  PKCS#7 & PKCS#12 (RSA)  Πληροφορίες κατάστασης  RFC-2560: OCSP (IETF)  TR 102-030 (ETSI)

31 Πρότυπα Ψηφιακών Πιστοποιητικών  PKIX (Internet PKI based on X.509)  SPKI (Simple Public Key Infrastructure)  PGP (Pretty Good Privacy) 31 Τμήμα Ψηφιακών Συστημάτων

32 Πρότυπα Ψηφιακών Πιστοποιητικών 32 Τμήμα Ψηφιακών Συστημάτων Τύπος πιστοποιητικού Χαρακτηριστικά εμπιστοσύνης και πιστοποίησης Πεδίο αναγνώρισης πιστοποιητικού PKIX (Χ.509)Ιεραρχική εμπιστοσύνη, Ονοματοδοσία οικουμενικής εμβέλειας, Δια-πιστοποίηση, Πολιτικές και δηλώσεις πρακτικών Οικουμενικά μοναδικό, αλλά πρακτικά τοπικό (Χ.500 Διακριτικό όνομα επιλεγμένο και μοναδικό από τον πάροχο) SPKIΑυτόνομη αρχή πιστοποίησης, Ονόματα τοπικής εμβέλειας, Δεν απαιτούνται δηλώσεις πρακτικών (Certification Practices Statement) Τοπικό και αυθαίρετο: Δημόσιο κλειδί PGPΠλέγμα εμπιστοσύνης (Web of Trust), Πολλαπλές εναλλακτικές διαδρομές πιστοποίησης, Υπογραφή πιστοποιητικού από οποιονδήποτε, Δεν επιβάλλεται πολιτική, N to N trust relationships Οικουμενικά μοναδικό αλλά μη σταθερό: Διεύθυνση e-mail (μοναδικότητα λόγω του Domain Name System)

33 Έξυπνες κάρτες 33 Τμήμα Ψηφιακών Συστημάτων

34 Αυθεντικοποίηση με πειστήρια (tokens)  Χαρακτηριστικά καλών tokens  Μοναδικότητα  Δυσκολία αντιγραφής  Μεταφερσιμότητα και ευκολία χρήσης  Φθηνή και εύκολη αντικατάσταση  Είδη tokens  Παθητικά (αποθήκευση ενός μυστικού και μετάδοσή του σε εξωτερική συσκευή)  Ενεργά (αποθήκευση ενός μυστικού και επεξεργασία του) 34 Τμήμα Ψηφιακών Συστημάτων

35 Τεχνολογίες tokens  Παθητικά  Μαγνητικές κάρτες  Ενεργά  One-time password generators (clock-based, counter-based)  Έξυπνες κάρτες  USB και PCMCIA tokens  Αυθεντικοποίηση δύο παραγόντων  Token-password  Token-biometrics 35 Τμήμα Ψηφιακών Συστημάτων

36 Από τις μαγνητικές κάρτες στις έξυπνες κάρτες  Μαγνητικές κάρτες: εύκολο να αναγνωσθεί ή να αλλάξει η αποθηκευμένη πληροφορία, με σχετικά απλό εξοπλισμό.  Κάρτες με ψηφιακή μνήμη: Έλεγχος πρόσβασης με υλικό που υλοποιούσε απλές μηχανές πεπερασμένων καταστάσεων. Καλύτερη προστασία, αλλά και αυτή παρακάμφθηκε (προπληρωμένες τηλεφωνικές κάρτες)  Κάρτες με ενσωματωμένο μικροεπεξεργαστή: Αναγκαίος για την εκτέλεση κρυπτογραφικών πράξεων. Συνήθως συνυπάρχει με ειδικής χρήσης κρυπτογραφικούς συνεπεξεργαστές. Επίσης υπάρχουν αισθητήρες ανίχνευσης παραβιάσεων και αντίμετρα κατά γνωστών επιθέσεων. 36 Τμήμα Ψηφιακών Συστημάτων

37 Έξυπνες κάρτες  Τύπος ΙΙ.  Κύριο γνώρισμα η ικανότητα να αποθηκεύουν και να επεξεργάζονται πληροφορίες με ένα ασφαλή τρόπο.  Πλεονεκτήματα: προστασία των δεδομένων που περιέχουν, φορητότητα και ευκολία χρήσης. 37 Τμήμα Ψηφιακών Συστημάτων

38 Εφαρμογές Έξυπνων Καρτών 38 Τμήμα Ψηφιακών Συστημάτων GSM Health Identification/Loyalty PAY TV SYSTEM SECURITY BANKING EFT / POS Electronic purse Access

39 Έξυπνες κάρτες: τυποποιημένες μορφές (ISO/IEC 7816) 39 Τμήμα Ψηφιακών Συστημάτων

40 Έξυπνες κάρτες: Τύποι (1/2)  Με επαφή: ISO/IEC 7816-2  Οκτώ επαφές: Δύο για παροχή τάσης, μία για το ρολόι, μία για τάση προγραμματισμού, μία για επικοινωνίες (και προς τις δύο κατευθύνσεις), μία για reset και δύο “Reserved for Future Use”.  Μειονεκτήματα: Φθορά επαφών, βανδαλισμοί, μεγάλος χρόνος επικοινωνίας με τον χρήστη. 40 Τμήμα Ψηφιακών Συστημάτων

41 Έξυπνες κάρτες: Τύποι (2/2)  Χωρίς επαφή ή ασύρματες (ISO 1443)  Παροχή ισχύος από το Η/Μ πεδίο που δημιουργεί ο αναγνώστης, με αυτεπαγωγή.  Επικοινωνία με τον αναγνώστη στις ραδιοσυχνότητες.  Ανάγνωση από απόσταση μερικών εκατοστών.  Λειτουργικότητα ανάλογη με εκείνη των καρτών με επαφές.  Κάρτες με διπλό interface 41 Τμήμα Ψηφιακών Συστημάτων

42 Έξυπνες κάρτες: Αρχιτεκτονική 42 Τμήμα Ψηφιακών Συστημάτων

43 Μνήμες  Η μνήμη εργασίας (working memory – Random Access Memory)  Η μη διαγράψιμη μνήμη ROM (Read Only Memory)  Η μνήμη εφαρμογών (EEPROM)  Μυστική Περιοχή (Secret Area)  Κλειδί εργοστασίου, κύρια και δευτερεύοντα κλειδιά εκδότη, PIN, κλειδιά κρυπτογραφίας  Περιοχή Ιστορικού Πρόσβασης (Access Area)  Περιοχή Ελεύθερης Πρόσβασης (Public Area)  Περιοχή Εργασίας (Work Area) 43 Τμήμα Ψηφιακών Συστημάτων

44 Μνήμη Εφαρμογών EEPROM Τύπος 1 44 Τμήμα Ψηφιακών Συστημάτων  Διαθέσιμη μνήμη: 2Kb - 64 Kb  Αλγόριθμος κρυπτογραφίας: DES/3DES  Single Service Provider – Multiple Applications SECRET AREA ACCESS AREA WORK AREA 2 WORK AREA PUBLIC AREA MANUFACTURING AREA

45 Μνήμη Εφαρμογών EEPROM 45 Τμήμα Ψηφιακών Συστημάτων Secret Zone Access Tracking Zone Working Zone 1 Working Zone 2 Free Reading Zone Manufacturing Zone

46 Μνήμη Εφαρμογών EEPROM Τύπος 2 46 Τμήμα Ψηφιακών Συστημάτων Master File Dedicated File Elementary Files  Available Memory Sizes: 8 - 64 Kb EEPROM  Cryptographic Algorithm: DES - RSA  Multi-Application - Multi Service Provider

47 Κλειδιά μυστικής περιοχής  Κλειδί εργοστασίου: Προστατεύει την κάρτα από την κατασκευή έως την προσωποποίηση  Κύρια και δευτερεύοντα κλειδιά του εκδότη: Προστατεύουν την εμπιστευτικότητα και ακεραιότητα των δεδομένων κάποιας εφαρμογής  Μυστικός προσωπικός αριθμός: Περιορίζει την πιθανότητα χρήσης από άτομα διαφορετικά του κατόχου  Κλειδιά κρυπτογραφίας: Κλειδιά για την υποστήριξη συμμετρικής ή ασύμμετρης κρυπτογραφίας 47 Τμήμα Ψηφιακών Συστημάτων

48 Ταυτοποίηση  Η ταυτοποίηση του κατόχου της έξυπνης κάρτας γίνεται μέσω του μυστικού προσωπικού κωδικού του (PIN).  Ο κωδικός συγκρίνεται με τον αντίστοιχο κωδικό που είναι αποθηκευμένος στη μυστική περιοχή της μνήμης της έξυπνης κάρτας.  Η διαδικασία σύγκρισης εκτελείται εσωτερικά στην έξυπνη κάρτα. 48 Τμήμα Ψηφιακών Συστημάτων

49 Διαδικασία Προσωποποίησης Έξυπνων Καρτών 49 Τμήμα Ψηφιακών Συστημάτων DES R (64 bits) DIV (64 bits) Μητρικός Μυστικός Κωδικός (64 bits) Σειριακός Αριθμός Κάρτας (48 bits) + ADDR (16 bits) R1R2 R1R2 + [ADDR] (32 bits) R' (64 bits) Κλειδί/Κωδικός Κάρτας (64 bits) [ADDR] (32 bits) ΠροκαθορισμένηADDR (16 bits) Σειριακός Αρτιθμός Κάρτας (48 bits) Μητρική Έξυπνη Κάρτα Κάρτες Χρηστών Μητρικός Μυστικός Κωδικός (64 bits) Μητρικός Μυστικός Κωδικός (64 bits) Δεδομένα και Λειτουργίες Εσωτερικά στη Μητρική Έξυπνη Κάρτα

50 Διαδικασία Αυθεντικοποίησης της κάρτας 50 Τμήμα Ψηφιακών Συστημάτων

51 51 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!