Upload
oksystem
View
435
Download
3
Embed Size (px)
Citation preview
Spojujeme software, technologie a služby
Porovnání realizace v ČR a Německu
eOP s čipem
Ing. Ivo Rosol, CSc.
Smart Cards & Devices Forum
2012
1
Spojujeme software, technologie a služby
Smart karty a zařízení vybavené čipy jsou všude kolem nás,
nejnověji také v občanských průkazech vydávaných v ČR od
začátku letošního roku.
z jakého důvodu se umísťuje čip do ID dokladů
k čemu slouží čip v eOP vydávané v ČR
srovnání s německým eOP
Téma prezentace
2
Spojujeme software, technologie a služby
Hybridní doklady – kombinace klasického „papírového“ dokladu s
elektronickým čipem – umožňují klasickou, elektronickou nebo
kombinovanou inspekci dokladu.
Čip v dokladu je nový bezpečnostní element, který umožňuje:
zlepšit odolnost proti padělání dokladu
pasivní autentizace (elektronicky podepsané údaje, včetně údajů vytištěných
na dokladu)
aktivní autentizace/EAC (zajištění pravosti čipu, odolnost proti kopírování)
řídit přístup k údajům uloženým na čipu (EAC)
uložit biometrické údaje držitele pro posílení vazby mezi dokladem a
držitelem s možností automatické kontroly
využití on-line služeb (elektronická identita, využití služeb IAS)
Úloha čipu u eID dokladu
3
Spojujeme software, technologie a služby
Kontaktní vs. RF rozhraní
Pro cestovní a ID doklady se obvykle využívá RF rozhraní.
Důvodem je:
zvýšení spolehlivosti
jednoduchost obsluhy
vyšší přenosová rychlost
Pro RF komunikaci se využívá standard ISO 14443, díl 1-4
Nevýhodou RF komunikace jsou nové bezpečnostní hrozby, které se eliminují pomocí vhodně navržených kryptografických technologií a schémat.
Základní hrozbou je absence vědomého vložení karty do čtečky, jako nezbytné podmínky pro použití karty.
Další hrozbou je odposlouchávání komunikace mezi čtečkou a čipem (eavesdropping) a neoprávněné čtení údajů z čipu (skimming).
4 SmartCard Forum 2008
Spojujeme software, technologie a služby
BAC je protokol sloužící k vygenerování dočasných klíčů s nízkou entropií pro vybudování bezpečného komunikačního kanálu mezi čipem a terminálem (SM). Odvozuje přístupové klíče z vybraných údajů, vytištěných v strojově čitelné zóně (MRZ) – číslo dokladu (9 znaků), datum narození držitele dokladu (6 znaků) a datum konce platnosti dokladu (6 znaků). Všechny tyto údaje jsou chráněny kontrolní číslicí, která umožňuje detekovat chyby při optickém čtení údajů.
Základní kryptografické zabezpečení dokladů - BAC
5
Spojujeme software, technologie a služby
PACE je protokol sloužící k vygenerování dočasných klíčů s vysokou entropií pro vybudování bezpečného komunikačního kanálu mezi čipem a terminálem (SM) na základě znalosti sdíleného tajemství (hesla sdíleného mezi personalizovaným čipem a tělem dokladu nebo držitelem). Heslo není většinou spojeno s hodnotami, které může útočník odhadnout (datum narození, konec platnosti dokladu):
Card Access Number (CAN) logické číslo, které může být statické, nebo dynamické. Statická forma může být vytištěna na dokladu, dynamická zobrazena na displeji dokladu
Personal Identification Number (PIN) krátké heslo, které je známé výhradně držiteli dokladu
Machine Readable Zone (MRZ) heslo odvozené z MRZ , které je možné použít pro PACE i BAC (pro zpětnou kompatibilitu)
Kryptografické zabezpečení dokladů - PACE
6
Spojujeme software, technologie a služby
Kryptografické zabezpečení dokladů
Metoda Výhoda Nevýhoda
PA Autenticita LDS Neodstraňuje klonování a
substituci čipu
AA Zabraňuje klonování a výměně čipu Vyžaduje kryptografický čip,
neodstraňuje sémantiku výzvy
BAC Zabraňuje neoprávněnému čtení a
odposlouchávání komunikace mezi
čipem a oprávněným terminálem
Vyžaduje kryptografický čip, klíče
mají nízkou entropii (34 – 73 bitů)
PACE Náhrada BAC, odvozuje klíče s
vysokou entropií na základě
sdíleného hesla
Vyžaduje kryptografický čip s
podporou PACE
EAC/EACv2 Zabraňuje neoprávněnému přístupu
k citlivým biometrickým údajům,
zabraňuje klonování čipu
Vyžaduje komplexní
infrastrukturu PKI
7 SmartCard Forum 2008
elektronický občanský průkaz
8
Spojujeme software, technologie a služby
Od 1. 1. 2012 je vydáván občanský průkaz se strojově
čitelnými údaji (3 řádky MRZ), s čipem nebo bez čipu. Je
vyroben ve formě plastové karty ve formátu ID-1 (54 x 85,6
mm). OP je personalizován technologií laserového
gravírování. Za vydání OP s čipem je stanoven správní
poplatek 500 Kč.
Do čipu je přípustné nahrát pouze kvalifikované certifikáty,
vydané k datům pro ověření zaručeného elektronického
podpisu (§17b ZoEP). Tuto službu nabízejí všichni
akreditovaní poskytovatelé certifikačních služeb
Občanské průkazy
9
Spojujeme software, technologie a služby
Závazný vzor nového OP (vyobrazení) uvedený ve vyhlášce č. 400/2011 Sb. neobsahuje personalizační údaje, s jedinou výjimkou – 2D kód (neobsahuje ani MRZ, ve vyhlášce je pouze v textu určena poloha ve stanovené zóně v dolní části zadní strany). Pozice personalizačních údajů lze vytušit podle vyobrazených pozic návěští, s výjimkou fotografie, která žádný label nemá, takže vlastně není určeno, kde má být.
Kontaktní čip se nachází na zadní straně OP (určeno v textu, není zmíněno kde, ani žádný odkaz na ISO standardy, vyobrazeno je to správně).
Úplný vzhled OP tedy určují až „specimeny“
Vzor eOP
10
Spojujeme software, technologie a služby 11
Vzor a provedení
Vyhláška č. 400/2011 Specimen
Spojujeme software, technologie a služby
Funkce pro držitele:
Do kontaktního čipu lze uložit kvalifikovaný certifikát
Funkce pro kontrolu:
Čip obsahuje aplikaci, která umožňuje zkontrolovat, že čip
patří k tělu karty pomocí digitálního podpisu čísla dokladu.
Funkce pro světlé zítřky eOP:
Aplikace dále umožňuje zjistit velikost volné paměti na
čipu.
Současné funkce čipu v eOP
12
Spojujeme software, technologie a služby
http://www.mvcr.cz/clanek/obsluzna-aplikace-eop-middleware.aspx
Podporováno zatím pouze prostředí MS Windows (XP, Vista,
7, Server 2003, Server 2008).
Middleware pro eOP
13
Spojujeme software, technologie a služby
K dnešnímu dni bylo od začátku roku vydáno asi 7.000 eOP s čipem z celkem 457.000 OP, cca 1,6% z celkového počtu.
Po počátečním boomu, kdy v lednu bylo vydáno 3.000 eOP s čipem ze 150.000 OP, se čísla ustálila na asi 1.000 eOP/měsíc z celkového počtu 100.000, cca 1% z celkového počtu.
Správní poplatky, které jsou příjmem obcí, činí nezanedbatelných 500 mil. Kč (při 1% eOP!).
Počty vydaných QC na eOP nelze podle prohlášení poskytovatelů zjistit (to je pochopitelné).
Počty vydaných eOP
14
Spojujeme software, technologie a služby
aplikaci eOP – data vytištěná na OP by měla být uložena
na čipu a chráněna minimálně pasivní autentizací,
případně dalšími sofistikovanějšími mechanismy
aplikaci Cestovní doklad ve formě kompatibilní ke
specifikacím ICAO – vyžaduje bezkontaktní rozhraní
aplikaci pro identifikaci a autentizaci
aplikaci umožňující kryptografickou kontrolu pravosti
elektronické služby na základě ověření CV certifikátů
Co čip eOP neobsahuje (a měl by)
15
Spojujeme software, technologie a služby
Podle §8a zákona o občanských průkazech platí:
Bezpečnostní osobní kód (BOK) slouží k autentizaci při
elektronické identifikaci držitele OP při komunikaci s
informačními systémy veřejné správy.
BOK je kombinace 4 – 10 číslic.
Občan zvolí BOK povinně při převzetí OP.
Možný zmatek: pozor BOK není PIN k eOP.
Bezpečnostní osobní kód
16
Spojujeme software, technologie a služby
Volně podle Jiří Peterka: http://www.lupa.cz/clanky/nove-e-obcanky-co-nejsou-e/
Původní představa MV o eOP, i když nebude obsahovat čip:
Nové občanky jsou totiž v jistém smyslu dvoudílné: kus plastu, velikosti platební karty, se strojově čitelnými zónami a s čipem nebo bez něj, je pouze prvním dílem průkazu. Tím druhým je obsah, uložený v základních registrech a v navazujících agendových informačních systémech.
První díl občanky bude „minimalizován“ co do údajů, které obsahuje, a bude sloužit jen pro nejzákladnější identifikaci svého držitele (jak se jmenuje, jak vypadá). Především ale bude sloužit jako ukazatel (index) do druhého dílu, kde už budou obsaženy detailnější údaje:
v základním registru obyvatel: jméno, příjmení, adresa místa pobytu, datum, místo a okres narození, státní občanství, čísla elektronicky čitelných identifikačních dokladů a záznam o zpřístupnění datové schránky. Údaje o adresách jsou fakticky vedeny jako odkazy do jiného základního registru (územní identifikace, adres a nemovitostí),
v agendovém informačním systému evidence obyvatel: rodinný stav, vznik nebo zánik registrovaného partnerství, rodné číslo, zbavení nebo omezení způsobilosti k právním úkonům, ev. údaje o opatrovníkovi
v evidenci občanských průkazů: digitální zpracování podoby občana a jeho podpisu, číslo občanského průkazu, datum vydání, datum skončení platnosti a označení úřadu, který jej vydal.
ALE: OP a eOP neslouží pouze pro veřejnou správu a mimo ní není přístup ani k základním registrům, ani k BOK.
Chybný předpoklad
17
Německý
elektronický občanský průkaz
18
Spojujeme software, technologie a služby
Od 1. listopadu 2010 vydává Spolkové ministerstvo vnitra
nový identifikační dokument ve formátu plastové karty
formátu ID1 s bezkontaktním elektronickým čipem, který je
označován zkratkou „IDD“. Za vydání nového dokladu je
stanoven poplatek 28,80 € pro osoby od 24 let s platností na
10 let a 22,80€ pro osoby pod 24 let s platností na 6 let.
Velikosti kreditní karty, materiál PC
Bezkontaktní čip v kartě
Základní infornace na portálu: http://www.personalausweisportal.de/DE/Home/home_node.html
Německý eID
19
Spojujeme software, technologie a služby
RF komunikace ISO 14443 typ A
ISO 7816
kryptografie ECC a AES, TRNG
certifikován jako SSCD podle německého zákona o
elektronickém podpisu
Vlastnosti čipu
20
Spojujeme software, technologie a služby 21
Německý eID – vzhled a fyzické bezpečnostní prvky
1 + 14 - vícebarevné giloše
2 + 15 - mikrotext
3 + 16 - UV – potisk
4 - OVI (opticky variabilní barvy)
5 - holografický portrét
6 - 3D Spolková orlice
7 - kinematické pohybové struktury
8 - makro písmo
9 - inverze kontrastu
10 - strojově kontrolovatelná struktura
11 - integrační technika barvy (Innosec Fusion®)
12+20 - laserové gravírování
13 - taktilní vlastnosti laserového gravírování
17 - logo personálního dokladu
18 - melírované vlákna
19 - ražba na povrchové vrstvě
21 - sklopný obrázek laserový
22 - strojově čitelná zóna (MRZ)
23 - personalizovaný bezpečnostní proužek
Spojujeme software, technologie a služby
Sériové číslo (4auth. ID + 5 pseudonáhodných číslic)
Příjmení a rodné příjmení
Křestní jméno
Akademický titul
Datum a místo narození
Národnost
Datum konce platnosti dokladu
Fotografie (jpeg2000)
Podpis
Přístupové číslo karty (CAN) pro PACE
Barva očí
Výška
Datum vydání
Vydavatel
Adresa
Náboženské nebo umělecké jméno
Data vytištěná na kartě
22
Spojujeme software, technologie a služby
Všechna data vytištěná na kartě jsou též uložena v čipu.
Data, která je možné držitelem uvolnit pro on-line funkce:
Jméno a příjmení
Datum a místo narození
Adresa a PSČ
Pseudonym
akademické tituly
Společně s uvolněnými údaji je současně zaslána informace
o platnosti dokladu.
Data uložená na čipu - 1
23
Spojujeme software, technologie a služby
Pouze pro následující, zákonem určené úřady:
orgány činné v trestním řízení
celní správa
daňové vyšetřovací jednotky spolkových zemí
úřady vydávající občanské průkazy a cestovní doklady
je povoleno použít následující údaje k ověření pravosti dokladu a totožnosti jeho držitele:
Digitální fotografie držitele
Otisky 2 prstů - volitelně, držitel se rozhodne, zdali chce mít otisky prstů uloženy na čipu:
Sériové číslo dokladu
Data uložená na čipu - 2
24
Spojujeme software, technologie a služby
Data na čipu jsou organizována ve 3 aplikacích:
biometrická aplikace – stejný formát jako u ePasu podle ICAO Doc 9303 part 3
eID aplikace
podpisová aplikace pro kvalifikované podpisy (v ZoEP není)
Interní organizace dat na čipu
25
Spojujeme software, technologie a služby
Uložení otisků prstů žadatele je volitelná (dobrovolná)
funkce
pouze vyjmenované státní úřady mohou použít otisky
prstů a to výhradně pro identifikaci
otisky nejsou uloženy v žádné databázi a po výrobě karty
jsou smazány ze systému a zůstávají pouze na kartě
Otisky prstů
26
Spojujeme software, technologie a služby
CAN je 6-ti místné náhodné desítkové číslo Card Access Number, které se používá jako
heslo pro PACE k navázání SC protokolu mezi kartou a terminálem a dále k umožnění 3.
pokusu o zadání PIN (ochrana proti DoS útoku na bezkontaktní rozhraní čipu). PACE a
CAN se používá jako modernější náhrada protokolu BAC u ePasů 1. a 2. generace, kdy se
využívala jako důkaz držení pasu a pro získání klíče pro přístup k DG1 a DG2
Data z MRZ (SHA-1 (číslo dokumentu, datum narození, datum konce platnosti)) pro BAC
eID PIN (operační PIN) je 6 místné číslo známé pouze držiteli karty. Operační PIN může
změnit držitel se znalostí původní hodnoty PIN, nebo autorita, která provede autentizaci
terminálu
Transportní PIN je 5 místné číslo zaslané držiteli, nelze použít pro autentizaci držitele,
pouze k nastavení operačního PIN
Signature PIN – pro kvalifikovaný podpis. Při vydání dokladu není nastaven. Blokuje se po
3 neplatných zadáních.
PUK 10 místné číslo zaslané držiteli. Odblokovává eID PIN i Signature PIN. Blokuje se pro
10 neplatných zadáních.
Hesla
27
Spojujeme software, technologie a služby
PACE – Password Authenticated Connection Establishment podle BSI-TR 03110. Slouží k navázání bezpečné komunikace (šifrované s kontrolou integrity) mezi čipem a terminálem a k ustanovení sdíleného tajemství mezi terminálem a čipem.
TA2 – Terminal Authentication v2 podle BSI-TR 03110. TA2 slouží k autorizaci přístupového práva terminálu respektive poskytovatele služeb. Povinné pro všechna data s výjimkou DG1 a DG2.
PA – Passive Authentication podle ICAO 9303
CA2 – Chip Authentication v2 podle BSI-TR 03110
Tyto kryptografické protokoly umožňují přistupovat k datům uloženým na čipu podle General Authentication Procedure definované v BSI-TR 03110
Autentizační metody
28
Spojujeme software, technologie a služby
On-line identifikace
identifikace má vlastní 6 místný PIN
autorizační certifikát poskytovatele on-line služeb určuje
maximální rozsah přístupu k údajům na kartě
uživatel navíc vždy povoluje, zda poskytovateli poskytne
přístup k údajům a v jakém rozsahu
data jsou vždy přenášena zabezpečeným šifrovaným
spojením
Zaručený elektronický podpis
podpis má vlastní podpisový PIN
je k dispozici PIN-pad čtečka s displejem
On-line funkce
29
Spojujeme software, technologie a služby 30
Spojujeme software, technologie a služby
Nově personalizovaná karta je chráněna kódy PIN a PUK (přepravní/aktivační kódy), které jsou zaslány držiteli v bezpečnostní obálce.
Před prvním použitím on-line funkcí je nutno kartu aktivovat a změnit aktivační PIN na 6 místný osobní PIN
Po 2 neplatných zadáních PIN je nutno zadat přístupový kód CAN, personalizovaný na lícové straně dokladu. Po 3 neplatných zadáních je PIN blokován.
Odblokovat PIN lze zadáním kódu PUK, po 10 neplatných zadáních je PUK blokován. Resetovat PUK může pouze vydavatel (v ČR nelze).
On-line funkce lze kdykoli zablokovat, telefonicky nebo osobně na úřadě. K tomu je nutné sdělit heslo pro blokování, které bylo zasláno držiteli poštou. Podpisové certifikáty je nutno odvolat zvlášť u poskytovatele certifikačních služeb.
Aktivace on-line funkcí
31
Spojujeme software, technologie a služby
získání informace a jistoty o identitě poskytovatelů on-line
služeb na základě osvědčení o registraci (CV certifikátu)
poskytovatele služby
poskytnutí ověřené informace o identitě držitele dokladu
eliminace on-line útoků, zaměřených na sociální inteligenci
typu phishing. Poskytovatel falešných stránek nemá CV
certifikát ověřitelný na kartě, karta tak chrání svého držitele
jsou posílána pouze ta data, která je nutné získat
lze zajistit ochranu nezletilých před on-line službami, které smí
používat pouze plnoletí
Výhody on-line funkcí
32
Spojujeme software, technologie a služby
Omezená informace o věku držitele
doklad místo celého data narození pouze zodpoví, zdali bylo dosaženo požadovaného věku (například plnoletosti)
Omezená informace o adrese pobytu
doklad místo celé adresy pouze zodpoví, zdali je bydliště v požadované hierarchicky členěné lokalitě. Tato informace je uložena v DG18 – Community ID: Spolková země – 2 číslice, administrativní oblast – 1 číslice, město nebo okres – 2 číslice, obec – 3 číslice
Omezená informace o identitě – přístup pod číselnými identifikátory
doklad poskytne pro každou on-line službu bezvýznamovou unikátní posloupnost čísel, identifikujících držitele k této službě (např. pro internetová fóra)
Speciální on-line funkce
33
Spojujeme software, technologie a služby
Seznam on-line aplikací na portále http://www.ccepa.de/onlineanwendungen
Zákaznický management – například uzavírání pojistek přes internetový portál pojišťoven.
Potvrzení stáří držitele e-ID – při nákupu produktů omezených určitou věkovou hranicí
Potvrzení bydliště držitele e-ID – používá se pro slevy v rámci cestovního ruchu, které jsou určeny pouze pro občany z jiných regionů.
Přístup pod bezvýznamovým identifikátorem („cookie na kartě“) – používá se pro zjednodušení přihlašovacího procesu a znovu poznání občana pro internetové aplikace, což zvyšuje bezpečnost ochrany osobních údajů.
Podpisové funkce – elektronický podpis a komunikace E-mailem
Online – administrativní postupy – např. přihlašování psů
Bezpečné e-maily a de-maily (komunikační prostředek pro výměnu dokumentů).
Příklady použití DE eID
34
Spojujeme software, technologie a služby
Online ID funkce pro použití v bankomatech a na internetu (k dispozici na vyžádání od věku 16 let)
Digitální fotografie a otisky prstů pro jednoznačnou identifikaci držitele
Kvalifikovaný elektronický podpis (zaručený elektronický podpis založený na kvalifikovaném certifikátu, vytvořený pomocí bezpečného zařízení pro vytváření elektronických podpisů)
Pokročilé bezpečnostní funkce
Zvláštní ochrana biometrických údajů
Příklady použití DE eID
35
Spojujeme software, technologie a služby
Doporučené čtečky mají certifikaci podle specifikace BSI-TR 03119 (10 čteček). Vláda uvolnila finanční podporu 24 M EUR pro cca 1,5 mil. sad s čtečkou zdarma nebo za sníženou cenu.
základní čtečka, kde PIN je zadáván na klávesnici počítače (nebezpečí škodlivého kódu, keylogger). PIN je možné zadat z virtuální klávesnice na obrazovce (AusweisApp)
standardní PIN-pad čtečka s klávesnicí a displejem
komfortní PIN-pad čtečka s klávesnicí, displejem a kryptografickým modulem certifikovaným podle CC na úroveň zabezpečení EAL4+. Tato čtečka je povinná pro podpisové funkce, má certifikát SigG/SigV podle specifikace QES (REINERSCT Cyber Jack RFID komfort).
Čtečky karet
36
Spojujeme software, technologie a služby
AusweisApp middleware a správce karty. Specifikace je založena na eCard API Framework, TR03112, vydané BSI (Spolkový úřad pro informační bezpečnost).
Windows XP/Vista/7, IE 6 – 9, Mozilla Firefox
Linux distribuce Ubuntu, Debian a openSUSE
Mac OS v přípravě
Software
37
Spojujeme software, technologie a služby
Provozovatel kořenové CA – Bundesamt für Sicherheit in der Informationstechnik (BSI) Spolkový úřad pro informační bezpečnost
Registrační autorita pro schvalování přístupových certifikátů a služba blokování - Bundesverwaltungsamt (BVA) Spolkový úřad pro správu
Technické specifikace (BSI):
BSI-TR 03110 EAC a PACE
BSI-TR 03112 eCard API
BSI-TR 03127 architektura
BSI-TR 03130 eID serveru
Infrastruktura
38
Spojujeme software, technologie a služby
PKI pro kontrolu pravosti – 2 úrovně, certifikáty X.509
kořenová CSCA, provozovaná Bundesamt für Sicherheit in der
Informationstechnik (BSI) Spolkový úřad pro informační
bezpečnost.
CSCA vydává certifikáty pro výrobce dokladů, který provozuje
entitu Document Signer
Určitá data uložená na čipu jsou digitálně podepsána DS při
personalizaci dokladu. Tento podpis je kontrolován pomocí
certifikátů pravosti.
Infrastruktura PKI – certifikáty pravosti
39
Spojujeme software, technologie a služby
PKI pro řízení přístupu, podle BSI TR 03128 - 3 úrovně, CV
certifikáty podle ISO 7816-6
kořenová CVCA, provozovaná BSI
CVCA vydává certifikáty pro několik entit Document Verifier DV
DV vydávají certifikáty pro inspekční systémy (IS), autentizační
terminály a podpisové terminály
Čip nemá vlastní hodiny reálného času pro ověření platnosti
certifikátu, používá a aktualizuje proto přibližný syntetický
čas, odvozený z data vydání důvěryhodných certifikátů
CVCA, DV a dále z oficiálních německých IS a
autentizačních terminálů.
Infrastruktura PKI – certifikáty přístupu
40
Spojujeme software, technologie a služby
Přístupové certifikáty pro komerční a zahraniční autentizační terminály (tj. pro on-
line aplikace e-business a e-government) jsou vydávány autorizačními CA (DV) na
základě licence vydané úřadem VfB pro poskytovatele služeb. Poskytovatelé musí
prokázat splnění řady požadavků zákona PAuswG, zejména:
údaje o identitě poskytovatele a kontaktní detaily, včetně jména osoby
odpovědné za ochranu dat
údaje o společnosti a nabízených službách
údaje o datech, které mají být čteny a důvod
informace o použití dat, které mají být čteny
realizaci bezpečnostního konceptu podle BSI TR 03130 k ochraně privátního
klíče přístupového certifikátu a ochrany osobních dat přečtených z karty
Vydaná licence opravňuje poskytovatele k vyžádání certifikátu od vybraného DV po
dobu maximálně 3 let.
Infrastruktura PKI – certifikáty přístupu
41
Spojujeme software, technologie a služby
CV certifikáty obsahují informaci, která se uživateli zobrazí při on-line autentizaci:
subjectName: jméno poskytovatele služeb
issuername: jméno vydavatele – autorizační CA
termsOfUsage: jméno a e-mail poskytovatele služeb, důvod požadavku
commCertificates: hash TLS certifikátu poskytovatele služeb
Certifikáty přístupu jsou vydány s platností pouze na 2 dny, nepoužívají se proto CRL.
Infrastruktura PKI – certifikáty přístupu
42
Spojujeme software, technologie a služby
Vydání dokladů s čipem je pouze malá, i když lépe viditelná
část systému. Podstatně důležitější je infrastruktura PKI,
infrastruktura služeb a celková bezpečnostní koncepce.
Bez těchto předpokladů nelze považovat prostředky
věnované na eOP s čipem za efektivně vynaložené.
Závěr
43
Spojujeme software, technologie a služby 44
OKsystem s.r.o.
Na Pankráci 125
140 21 Praha 4
tel: +420 236 072 111
www.oksystem.cz
www.oksmart.cz
www.okbase.cz
Otázky?
Děkuji za pozornost
Ivo Rosol