Electronic Passports Varga Tamás

2014.12.04.

Áttekintés:

Elektronikus útlevél

Biometrikus azonosítások összehasonlítása

Ujjlenyomat azonosítás fajtái

RFID, csoportosításai, összehasonlítása

E-útlevél generációk

Elektronikus aláírás és adatok kiolvasása

Működése (hazai példa)

Technológia

CV tanúsítvány

ECC algoritmus

Elektronikus útlevél

A biometrikus útlevél a hagyományos útlevélhez képest két kiegészítő biztonsági elemet

tartalmaz:

(1) biometrikus azonosítókat: digitálisan rögzítet arcképet és ujjnyomatokat, amit egy

(2) rádiófrekvenciásan leolvasható(RFID) mikroáramkör tárol.

A biometrikus azonosítások az emberi szervezet vagy viselkedés valamely egyedi

jellemzőjének felismerésén alapulnak.

A biometrikus azonosítási módszerek egy mintaillesztő algoritmusra épülnek.

A beléptető rendszer, az előzőleg adatbázisban rögzített mintát, az egyén be- vagy

kilépésekor összehasonlítja az aktuális adattal, vagyis felismeri azt.

Biometrikus azonosítások összehasonlítása

Arcfelismerés 2000:1

Hangazonosítás 500:1

Ujjlenyomat azonosítás 1 000 000:1

Íriszvizsgálat 10 000 000:1

Retina azonosítás 10 000 000:1

A két példán is látható, hogy elég nagy

eltérések vannak ugyanazon típusnál.

Ez köszönhető a technológia folyamatos

fejlődésének is.

A bal oldali táblázat a Hadmérnök 2013.

márciusi kiadásában szerepel, míg a

jobboldali egy cég honlapján.

Ujjlenyomat azonosítás fajtái

Kapacitív érzékelők: apró kondenzátorok segítségével alkotják meg a térképet az ujjról.

Termikus elemzés: A szenzor a bőr barázdáinak hőmérséklet különbségeit érzékeli,

ennek következtében kis barázdáltságú ujjlenyomatoknál is megbízható.

Az E-mező technológia: Ez az elektronikus leolvasás egy elektromos mezőt alakít ki az ujj

és a vele érintkező félvezető körül, amely felveszi az ujjlenyomat barázdáltságát.

Optikai érzékelési mód: A leolvasó egy CCD scanner, amely az üveglapra helyezett ujjról

alulról készít egy felvételt és azt digitalizálja.

A nyomásérzékelő technológia: a bőr barázdáinak a teteje ér hozzá a piezo érzékelő

fóliához.

RFID-Radio Frequency IDentification

• Birtok alapú azonosítási rendszerek közé soroljuk

• Automatikus azonosítási rendszer – emberi beavatkozás nélkül olvassák ki a tag-ek adatait

• Rádiófrekvenciás működés jellemzi – különböző működési frekvenciák

Legalább két eszközre van szükség:

• Azonosítandó

• Azonosító berendezés - adatkapcsolatot kezdeményez az azonosítandóval, mely során az

egyik, vagy mindkét irányban adatátvitel történik

Traszponder: azonosítani kívánt objektumon – mikrochip + antenna

Olvasó: olvasni és/vagy írni tudja a transzpondert

RFID csoportosításai

Transzponderbeírás módja szerint

• Előre felprogramozott

• Írható(EEPROM, SRAM)

Energiaellátás szerint

• Aktív – beépített tápellátás

• Aktív – jelzésre ébred fel (díjbeszedés, ellenőrzőpont)

• Beacon–folyamatos (nyomkövetés)

• Passzív – energiát a mágneses/elektromos mezőből nyerik

Működési frekvencia szerint (olvasó által adott jel vivőfrekvenciája)

• LF (30..300 KHz) –lowfr.

• HF (3..30 MHz) –highfr.

• UHF (0,3..3 GHz) –ultra-highfr.

• Mikrohullámú(> 3GHz)

RFID-k összehasonlítása frekvencia szerint

E-útlevél generációk

A biometrikus útlevél szabványosításával a Nemzetközi Polgári Repülési Szervezet

(International Civil Aviation Organisation (ICAO)) foglalkozik.

Első generáció:

• 2006. augusztus 29-től (Magyarországon)

• Az RFID tartalmazza: az útlevélben feltüntetett adatokat (név, stb.) és az arcképet

• Az arckép az egyetlen biometrikus azonosító

Második generáció:

• 2009. június 28-tól (Magyarországon)

• Tartalmazza az első generációs adatokat

• Az arckép mellet megjelenik az ujjlenyomat is, mint biometrikus azonosító

Elektronikus aláírás és adatok kiolvasása I.

Elektronikus aláírás

Az útlevélchipen szereplő adatokat az útlevelet kibocsátó hatóság, a Microsec által

szállított rendszer segítségével, elektronikus aláírással látja el, de ez nem a hagyományos

értelemben vett elektronikus aláírás, hiszen nem tartozik hozzá semmilyen felelősségvállalás.

Ez egy passzív authentikáció, vagyis az elektronikus aláírás csupán azt bizonyítja, hogy ezzel

az adattartalommal egy útlevél létezik Magyarországon. Mindkét generációnál elektronikus

aláírással vannak ellátva az adatok.

Kiolvasás

Az első generációs útleveleknél:

• nincs külön jogosultság

• az olvasó érzékeli a dombornyomott számkódot->előállítja a szimmetrikus kulcsot->

titkosított kapcsolat felépítése->adatok elérhetőek

• bármely olvasóval kinyerhetőek az adatok

Elektronikus aláírás és adatok kiolvasása II.

Kiolvasás

A második generációs útleveleknél:

• érzékeny biometrikus adat (ujjlenyomat)

• minden más adat, mint az első generációsnál

• ujjlenyomatot csak jogosult olvasó (authentikációs tanúsítvánnyal rendelkezik)

• az authentikációs tanúsítványt az útlevelet kibocsátó ország legfelső szintű hitelesítő

egységére lehet visszavezetni

• ország hozzájárulása kell, hogy más országban is leolvasható legyen

Működése (hazai példa) I.

Idén nyáron tesztüzem a Liszt Ferenc Nemzetközi Repülőtéren (2-es terminál).

Működése (hazai példa) II.

Regisztrációs lehetőség: számítógéppel, nyomtatóval ellátott munkaállomás, melyen a

regisztráláshoz szükséges szoftveres alkalmazás fut, kiegészítve ujjnyomat- és okmányolvasó

berendezéssel.

Feladata: az utas hatósági ellenőrzése, tájékoztatása, az okmány és ujjnyomat adatok

levétele, kezelése, illetve az utas nyilatkoztatása az adatok kezeléséről.

Kioszk: okmányolvasóval és érintőképernyővel ellátott berendezés, kiegészítve piktogramot

tartalmazó táblával, valamint nagyméretű kijelzővel.

Feladata: animációk segítségével az utas tájékoztatása, illetve a ráhelyezett okmány

adatainak kiolvasása, kezelése.

eGate: automata beléptető, vezérelt kiléptető ajtókkal, ujjnyomat olvasókkal, és a

kisméretű kijelzőkkel, valamint biztonsági érzékelő rendszerrel.

Feladata: az utas automatikus beléptetése, animációk segítségével az utas tájékoztatása,

és az ujjnyomatok levétele, azonosítása után az átléptetésének biztosítása.

Működése (hazai példa) III.

Regisztráció

Működése (hazai példa) IV.

Kiosk

Működése (hazai példa) V.

E-Gate

Technológia

Az authentikáció és a biztonságos csatornák kiépítése PKI alapon történik, dedikált,

nem nyilvános tanúsítvány-hierarchiák alapján.

A Nyilvános Kulcsú Infrastruktúra (PKI) egy olyan rendszer, amelyben minden résztvevőnek,

aki az általa küldött elektronikus dokumentumokat elektronikusan alá szeretné írni, vagy

saját magát azonosítani kívánja, illetve lehetővé akarja tenni, hogy mások számára titkosított

és csak általa visszafejthető elektronikus dokumentumokat küldjenek, rendelkeznie kell egy

magán (vagy privát) és egy ehhez szorosan kapcsolódó nyilvános (publikus) kulccsal (kulcspár).

A második generációs útlevelek már nem az X509-es tanúsítványokra és RSA algoritmusra

épülnek, hanem CV tanúsítványokat és ECC algoritmust használ. Ennek a technológiának az az

előnye, hogy sokkal kisebb bithosszúsággal el lehet érni ugyanazt a biztonságot, így sokkal

helytakarékosabb.

Például egy 160 bites ECC kulcs egy 1024 bites RSA kulcs biztonságával ér fel.

CV tanúsítvány I.

A CV tanúsítványok (Card Verifiable Certificate) a kártya, illetve a terminál hitelesítő

kulcsaihoz tartozó tanúsítványok, melyekből a hitelesítési folyamat során a hitelesítendő fél

nyilvános kulcsát kapjuk, ugyanakkor a kártya, illetve a terminál, vagy az ezeket kibocsátó

szervezet kulcspárjainak a hitelességét igazolják.

A kibocsátó szervezetek hierarchiájának megfelelően tanúsítvány láncok jönnek létre,

melynek csúcsán a ROOT CA kulcs, a végein pedig a kártya/terminál hitelesítő kulcsai állnak.

A kulcsokra kulcs index alapján hivatkozunk, mely a kulcsot tanúsító tanúsítvány CHR

mezőjében található. Egy adott kulcshoz tartozó tanúsítványt az őt kibocsátó szervezet aláíró

kulcsának nyilvános részével lehet kibontani, melyre a tanúsítványban levő CAR mező hivatkozik.

A tanúsítványok rendelkeznek egy jogkört meghatározó mezővel is (CHA), melyet a

tanúsítvány-lánc bemutatásakor a kártya/terminál ellenőriz.

A CV tanúsítványokat BER-TLV kódolással ábrázoljuk.

CV tanúsítvány II.

Minden útlevél-kibocsátó ország létrehozott egy-egy dedikált gyökér hitelesítés-

szolgáltatót (CVCA, country verifying certification authority), és az adott ország által

üzemeltetett vagy elfogadott olvasó berendezéseinek tanúsítványai ezen megbízható

gyökértanúsítványokra vezethetőek vissza.

E CVCA-k biztonságos környezetben működnek, ők köztes szolgáltatói tanúsítványokat

bocsátanak ki ún. DV (document verifier) hitelesítés-szolgáltatók számára.

Az útlevél ellenőrző berendezések (terminálok) tanúsítványait e DV köztes hitelesítő

egységek bocsátják ki.

CV tanúsítvány III.

Minden ország a saját CVCA tanúsítványát telepíti az általa kibocsátott útlevelekre, az

útleveleken lévő chipek kizárólag ezt a CVCA tanúsítványt tekintik majd megbízható

tanúsítványnak, csak a rá visszavezethető tanúsítvánnyal rendelkező olvasó

berendezéseknek engedik kiolvasni az ujjlenyomatot.

Az országok kereszthitelesítik egymás DV CA-it, azaz újabb tanúsítványt bocsátanak ki a

másik ország DV CA-i számára, így az országok egymás olvasó berendezéseit is elfogadják.

E kereszthitelesítéssel az egyes országok meghatározhatják, hogy más országok mely DV

CA-i által felülhitelesített egységeknek mennyi időre, és milyen típusú hozzáférést adnak

az ujjlenyomatokhoz.

CV tanúsítvány IV.

ECC algoritmus I.

Az elliptikus görbék elméletére épülő kriptográfia (elliptic curve cryptography, ECC) az ún.

ECDLP (elliptic curve discrete logarithm problem) nevű matematikai problémára épülő

kriptográfiai megoldások együttes elnevezése.

Az elliptikus görbék kriptográfiai jelentõségét az adja, hogy egyes véges testek felett

értelmezett elliptikus görbék pontjain a diszkrét logaritmus probléma (DLP), azaz az ECDLP

„nehéz” feladat, nem ismert rá hatékony algoritmus.

ECC alatt több algoritmust is értünk, köztük aláírásra (pl. ECDSA), titkosításra (pl. EC ElGamal)

és authentikációra (pl. ECDH) szolgáló algoritmusokat is.

A használt ECC kulcsméret legalább 224 bit (=2048 bit RSA), és vagy az NIST, vagy az európai „Brainpool”

Munkacsoport által javasolt görbéket kell használni.

ECC algoritmus II.

ECDH – elliptikus görbék feletti Diffie-Hellman protokoll

Az ECDH protokoll segítségével két fél nyilvános csatornán keresztül állapodhatnak meg

közös titokban.

Ha a csatornán hallgatózó támadó nem tudja megoldani az ECDLP-t, akkor a kapott

adatokból nem ismeri meg sem kA-t, sem kB-t. Az eredményül kapott, kA*kB*Q

értéket csak ők ketten tudják kiszámítani, csak ők ismerik.

Ez az érték lesz a közös titkuk, ebből képezhetnek közös szimmetrikus kulcsot.

Köszönöm a figyelmet!

Kérdések?