Technická specifikace čipových karet ProID

Karty ProID+ a ProID+Q

DVOUFAKTOROVÁ AUTENTIZACE

• do operačního systému MS Windows
• na WWW servery
• do VPN

ELEKTRONICKÉ PODEPISOVÁNÍ

• e-mailů
• souborů, dokumentů,
• dat webových/PDF formulářů,
• obrazové dokumentace

(DE-)ŠIFROVÁNÍ

• e-mailů, souborů, dat

VIZUÁLNÍ IDENTIFIKACE

• potisk karty osobními údaji držitele

PŘÍSTUP DO PROSTOR, EVIDENCE DOCHÁZKY, STRAVOVACÍ SYSTÉMY

• využití bezkontaktního čipu karty

NEJČASTĚJI VYUŽÍVÁNO V APLIKACÍCH

• přihlášení (Smartcard Logon) v doméně s Active Directory
• Google Chrome (klientská SSL autentizace)
• MS Internet Explorer (klientská SSL autentizace)
• MS Office (elektronický podpis dokumentů)
• MS Outlook (elektronický podpis e-mailů, šifrování e-mailů)
• Cisco VPN Client (autentizace do VPN)
• Šifrování souborů EFS
• Microsoft VPN
• Autentizace na IIS s mapováním na doménového uživatele
• Adobe Reader (elektronický podpis dokumentů)
• Mozilla Firefox (klientská SSL autentizace)
• Mozilla Thunderbird (elektronický podpis e-mailů, dešifrování e-mailů, klientská SSL autentizace na mail servery)
• McAfee Endpoint Encryption (pre-boot autentizace a šifrování disků)

ProID+Q a ProID+ lze použít v řadě dalších aplikací, které podporují kryptografické standardy Microsoft CryptoAPI, Cryptography Next Generation nebo PKCS#11. Aplikace třetích stran nemusí být specificky připravovány pro práci s kartami ProID; stačí, když používají standardní mechanismy kryptografických operací.

SPECIFIKACE ČIPU – karta ProID+Q

Čip Gemalto MultiApp ID v4 , postavený na platformě Java Card a vybavený řadou ochranných mechanismů proti různým typům známých útoků.

VLASTNOSTI ČIPU

• Všechny operace s privátním klíčem probíhají uvnitř čipu – klíč neopustí prostředí karty
• Privátní klíč uložený na kartě nelze z karty vyexportovat
• Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu
• Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány
• Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

Čipová karta je v souladu se standardem EN 419 211 a profily:

• BSI-CC-PP-0059,
• BSI-CC-PP-0075,
• BSI-CC-PP-0071,
• BSI-CC-PP-0072,
• BSI-CC-PP-0076.
• Soulad se specifikací ISO 7816

Objekty na kartě

• PIN, 4-16 číslic, nastavena 4-místná konstantní hodnota, max. 3 neúspěšné pokusy.
• QPIN, 5-16 číslic, nastavena 5-místná konstantní hodnota, max. 3 neúspěšné pokusy.
• PUK8-16 číslic, nastavena 8-místná konstantní hodnota, max. 5 neúspěšných pokusů.
• Generování RSA/ECC klíčů v čipu (RSA max 2048 bitů, ECC max 521 bitů) anebo možnost importu klíčů (RSA max 4096 bitů, ECC max 521 bitů) ANO
• RSA klíčů/kvalifikovaných max 4096 bitů 4x
• RSA klíčů/komerčních max 4096 bitů 6x
• ECC klíčů/kvalifikovaných max 521 bitů 3x
• ECC klíčů/komerčních max 521 bitů 3x
• Možnost uložení certifikátů CA ANO
• Možnost uložení datových objektů ANO
• Čtení veřejných informací ANO
• Vytváření a mazání souborů PIN, PUK,
• Zajištění integrity modifikace objektů Klíč pro bezpečnou výměnu zpráv
• Import privátního klíče Povolen

SPECIFIKACE ČIPU – karta ProID+

Čip IDCecore 40, postavený na platformě Java Card a vybavený řadou ochranných mechanismů proti různým typům známých útoků.

VLASTNOSTI ČIPU

• Všechny operace s privátním klíčem probíhají uvnitř čipu – klíč neopustí prostředí karty
• Privátní klíč uložený na kartě nelze z karty vyexportovat
• Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu
• Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány
• Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

Čipová karta je v souladu se specifikací standardu ISO 7816

HW karty a operační systém je certifikován dle CC EAL5+

OBJEKTY NA KARTĚ

• PIN Náhodný, 4 číslice, tisk na PIN formulář, max. 3 neúspěšné pokusy.
• PUK Náhodný, 8 číslic, tisk na PIN formulář, max. 8 neúspěšných pokusů.
• Administrační klíč Inicializovaný pro konkrétního koncového zákazníka, max. 16 neúspěšných pokusů.
• Generování RSA klíčů v čipu anebo možnost importu klíčů ANO
• RSA klíčů 1024 bitů 6 x
• RSA klíčů 2048 bitů 10 x
• Možnost uložení certifikátů CA ANO
• Možnost uložení datových objektů ANO
• Čtení veřejných informací ANO
• Vytváření a mazání souborů PIN, PUK, Administrační klíč
• Zajištění integrity modifikace objektů Klíč pro bezpečnou výměnu zpráv
• Import privátního klíče Povolen
• Recyklace karty – Administrační klíč anebo bez autorizace
• Odblokování PIN – challenge / response pomocí administračního klíče

SOUČÁSTI DODÁVKY PROID+ Q

• Inicializovaná čipová karta připravená pro práci s certifikáty a kryptografickými klíči
• Design a potisk těla karty
• Bezkontaktní čip (volitelně)
• Ovladač karty
  • Minidriver – Minidriverová knihovna pro Microsoft Windows,
  • Knihovna PKCS#11
  • TokenD
•  ProID+ Manager
  • Správa karet a podpora scénářů
  • Vydání certifikátů na karty
  • Automatická obnova certifikátů
  • Potisk karty v místě vydání např. zaměstnaneckými údaji nebo fotografií
  • Evidence karet a certifikátů
  • Správa PIN
  • Recyklace karet
  • Odblokování PIN
• Instalační průvodce ProID+

Pozn. instalační balíček je společný pro karty ProID+ i ProID+Q

SOUČÁSTI DODÁVKY PROID+

• Inicializovaná čipová karta připravená pro práci s certifikáty a kryptografickými klíči
• Design a potisk těla karty
• Bezkontaktní čip (volitelně)
• Applet ProID+ nahraný na kartu.
• Ovladač karty
  • Minidriver•Minidriverová knihovna pro Microsoft Windows,
  • Knihovna PKCS#11
  • TokenD
• ProID+ Manager
  • Správa karet a podpora scénářů
  • Vydání certifikátů na karty
  • Automatická obnova certifikátů
  • Potisk karty v místě vydání např. zaměstnaneckými údaji nebo fotografií
  • Evidence karet a certifikátů
  • Správa PIN
  • Recyklace karet
  • Odblokování PIN
• Instalační průvodce ProID+