Technické specifikace

ProID+Q

Kvalifikovaný elektronický podpis s jednou kartou pro každou situaci.

Bezpečnost certifikovaného prostředku QSCD pro:

  • úřady státní správy a samosprávy
  • lékaře nebo zdravotnické zařízení
  • právní a notářskou kancelář
  • kvalifikovanou certifikační autoritu

Kompletní specifikace

ProID+

Poskytněte bezpečnou dvou faktorovou autentizaci vašim zaměstnancům, nebo klientům. Vaše systémy si ochranu zaslouží, ať už jste:
  • finanční instituce
  • telekomunikační operátor
  • zdravotnické zařízení
  • výrobní podnik
  • a vlastně kdokoliv…

Kompletní specifikace

schema_proid_final

 

SPECIFIKACE ProID+

TYPICKÉ VYUŽITÍ KARTY

Dvoufaktorová autentizace
  • do operačního systému MS Windows
  • na WWW servery
  • do VPN

 

Elektronické podepisování
  • e-mailů
  • souborů, dokumentů,
  • dat webových/PDF formulářů,
  • obrazové dokumentace

 

(De-)šifrování
  • e-mailů, souborů, dat

 

Vizuální identifikace
  • potisk karty osobními údaji držitele

 

Přístup do prostor, evidence docházky, stravovací systémy
  • využití bezkontaktního čipu karty

 

NEJČASTĚJI VYUŽÍVÁNO V APLIKACÍCH

  • přihlášení (Smartcard Logon) v doméně s Active Directory
  • Google Chrome (klientská SSL autentizace)
  • MS Internet Explorer (klientská SSL autentizace)
  • MS Office (elektronický podpis dokumentů)
  • MS Outlook (elektronický podpis e-mailů, šifrování e-mailů)
  • Cisco VPN Client (autentizace do VPN)
  • Šifrování souborů EFS
  • Microsoft VPN
  • Autentizace na IIS s mapováním na doménového uživatele
  • Adobe Reader (elektronický podpis dokumentů)
  • Mozilla Firefox (klientská SSL autentizace)
  • Mozilla Thunderbird (elektronický podpis e-mailů, dešifrování e-mailů, klientská SSL autentizace na mail servery)
  • Chrome (klientská SSL autentizace)
  • McAfee Endpoint Encryption (pre-boot autentizace a šifrování disků)

 

ProID+ lze použít v řadě dalších aplikací, které podporují kryptografické standardy Microsoft CryptoAPI, Cryptography Next Generation nebo PKCS#11. Aplikace třetích stran nemusí být specificky připravovány pro práci s kartami ProID+; stačí, když používají standardní mechanismy kryptografických operací.

 

PODPOROVANÉ OPERAČNÍ SYSTÉMY

  • MS Windows Vista a vyšší, 32 i 64 bitů,
  • MS Windows Server 2003 SP1 a vyšší
  • Linux
  • Mac OS X

 

Systém ProID+ je optimalizován pro použití s Active Directory a je základem pro implementaci Single Sign-On.

 

VYSOKÁ MÍRA INTEROPERABILITY

  • Díky důslednému dodržování standardních formátů a rozhraní dosahuje ProID+ vysokou míru interoperability s operačními systémy, čtečkami a aplikacemi třetích stran.
  • ISO 7816 1-4
  • PC/SC (interoperabilita čteček)
  • JavaCard, GlobalPlatform (platforma čipu)
  • Smart Card Minidriver Specification
  • MS CryptoAPI (CAPI)/ (CAPI2), Cryptography Next Generation (CNG)
  • Microsoft Base Smart Card Crypto Provider/Microsoft Smart Card Key Storage Provider
  • PKCS#11 (aplikační rozhraní)
  • PKCS#7/CMS (formát zabezpečení dat)
  • PKCS#12 (import klíčů)
  • PKCS#10, SPKAC (žádosti o certifikáty)
  • MS XEnroll / CertEnroll (generování žádostí o certifikáty)
  • X.509 (certifikáty)
  • S/MIME (zabezpečení e-mailových zpráv)

 

Specifikace čipových karet

Multifunkční čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

 

SOUČÁSTI DODÁVKY PROID+

  • Inicializovaná čipová karta připravená pro práci s certifikáty a kryptografickými klíči
  • Design a potisk těla karty
  • Bezkontaktní čip (volitelně)
  • Applet ProID+ nahraný na kartu.
  • Ovladač karty
    • Minidriver•Minidriverová knihovna pro Microsoft Windows,
    • Knihovna PKCS#11
    • TokenD
  • ProID+ Manager
    • Správa karet a podpora scénářů
    • Vydání certifikátů na karty
    • Automatická obnova certifikátů
    • Potisk karty v místě vydání např. zaměstnaneckými údaji nebo fotografií
    • Evidence karet a certifikátů
    • Správa PIN
    • Recyklace karet
    • Odblokování PIN
  • Instalační průvodce ProID+

 

 Pozn. Instalační balíček je společný pro karty ProID+ i ProID+Q

 

OCHRANA DAT DRŽITELE KARTY

Díky kryptografickému koprocesoru garantuje karta ProID+ vysokou míru ochrany PKI dat:

  • Kryptografické klíče mohou být generovány v čipu anebo mohou být na kartu importovány
  • Všechny operace se soukromým klíčem probíhají uvnitř čipu – klíč nikdy neopustí prostředí karty
  • Soukromý klíč nelze z karty exportovat
  • Použití klíče je podmíněno zadáním PIN
  • Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

 

SILNÁ KRYPTOGRAFIE

SPECIFIKACE ČIPU

Čip IDCecore 40, postavený na platformě Java Card a vybavený řadou ochranných mechanismů proti různým typům známých útoků.

 

Vlastnosti kontaktního čipu

  • Všechny operace s privátním klíčem probíhají uvnitř čipu – klíč neopustí prostředí karty
  • Privátní klíč uložený na kartě nelze z karty vyexportovat
  • Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu
  • Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány
  • Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

 

Čipová karta je v souladu se specifikací standardu ISO 7816

HW karty a operační systém je certifikován dle CC EAL5+

 

Objekty na kartě

  • PIN Náhodný, 4 číslice, tisk na PIN formulář, max. 3 neúspěšné pokusy.
  • PUK Náhodný, 8 číslic, tisk na PIN formulář, max. 8 neúspěšných pokusů.
  • Administrační klíč Inicializovaný pro konkrétního koncového zákazníka, max. 16 neúspěšných pokusů.
  • Generování RSA klíčů v čipu anebo možnost importu klíčů ANO
  • RSA klíčů 1024 bitů 6 x
  • RSA klíčů 2048 bitů 10 x
  • Možnost uložení certifikátů CA ANO
  • Možnost uložení datových objektů ANO
  • Čtení veřejných informací ANO
  • Vytváření a mazání souborů PIN, PUK, Administrační klíč
  • Zajištění integrity modifikace objektů Klíč pro bezpečnou výměnu zpráv
  • Import privátního klíče Povolen
  • Recyklace karty – Administrační klíč anebo bez autorizace
  • Odblokování PIN – challenge / response pomocí administračního klíče

V případě zájmu zákazníka je možné za specifických podmínek upra- vit rozložení paměti (např. počet RSA klíčů) nebo nastavení bezpeč- nostních politik (počet autentizačních objektů typu PIN, klíč).

 

KOMPATIBILITA S CA

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně certifikátů, vydaných akreditovanými poskytovateli (certifikáty nebudou mít příznak uložení na kvalifikovaném prostředku).

  • CA v doméně MS Windows (Active Directory Certificate Services)
  • eIdentity
  • PostSignum (CA České pošty)
  • I.CA
  • a dalších CA, které fungují na standardních formátech

 

 

SPECIFIKACE ProID+Q

TYPICKÉ VYUŽITÍ KARTY

Dvoufaktorová autentizace
  • do operačního systému MS Windows (Smartcard Logon)
  •  na WWW servery
  •  do VPN
 
Elektronické podepisování e-mailů, souborů, dat webových/pdf formulářů, obrazové dokumentace
  • e-mailů
  • souborů, dokumentů,
  • dat webových/PDF formulářů,
  • obrazové dokumentace
 
(De-)šifrování
  • e-mailů, souborů, dat
 
Vizuální identifikace
  • potisk karty osobními údaji držitele
 
Přístup do prostor, evidence docházky, stravovací systémy
  •  využití bezkontaktního čipu karty

 

NEJČASTĚJI VYUŽÍVÁNO V APLIKACÍCH

  • přihlášení (Smartcard Logon) v doméně s Active Directory
  • Google Chrome (klientská SSL autentizace)
  • MS Internet Explorer (klientská SSL autentizace)
  • MS Office (elektronický podpis dokumentů)
  • MS Outlook (elektronický podpis e-mailů, šifrování e-mailů)
  • Cisco VPN Client (autentizace do VPN)
  • Šifrování souborů EFS
  • Microsoft VPN
  • Autentizace na IIS s mapováním na doménového uživatele
  • Adobe Reader (elektronický podpis dokumentů)
  • Mozilla Firefox (klientská SSL autentizace)
  • Mozilla Thunderbird (elektronický podpis e-mailů, dešifrování e-mailů, klientská SSL autentizace na mail servery)
  • McAfee Endpoint Encryption (pre-boot autentizace a šifrování disků)

 

ProID+Q lze použít v řadě dalších aplikací, které podporují kryptografické standardy Microsoft CryptoAPI, Cryptography Next Generation nebo PKCS#11. Aplikace třetích stran nemusí být specificky připravovány pro práci s kartami ProID+Q; stačí, když používají standardní mechanismy kryptografických operací.

 

PODPOROVANÉ OPERAČNÍ SYSTÉMY

  • Windows Vista a vyšší, 32 i 64 bitů,
  • Windows Server 2003 SP1 a vyšší
  • Linux Ubuntu, CnetOS a RedHat (poslední 2 distribuce)
  • Mac OS X (poslední 2 distribuce)

 

VYSOKÁ MÍRA INTEROPERABILITY

Díky důslednému dodržování standardních formátů a rozhraní dosahuje ProID+Q vysokou míru interoperability s operačními systémy, čtečkami a aplikacemi třetích stran.

  • ISO 7816 1-4
  • PC/SC (interoperabilita čteček)
  • JavaCard, GlobalPlatform (platforma čipu)
  • Smart Card Minidriver Specification
  • MS CryptoAPI (CAPI)/ (CAPI2), Cryptography Next Generation (CNG)
  • Microsoft Base Smart Card Crypto Provider/Microsoft Smart Card Key Storage Provider
  • PKCS#11 (aplikační rozhraní)
  • PKCS#7/CMS (formát zabezpečení dat)
  • PKCS#12 (import klíčů)
  • PKCS#10, SPKAC (žádosti o certifikáty)
  • MS XEnroll / CertEnroll (generování žádostí o certifikáty)
  • 509 (certifikáty)
  • S/MIME (zabezpečení e-mailových zpráv)

 

SPECIFIKACE ČIPOVÝCH KARET

Kontaktní QSCD čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

 

SOUČÁSTI DODÁVKY PROID+ Q

  • Inicializovaná čipová karta připravená pro práci s certifikáty a kryptografickými klíči
  • Design a potisk těla karty
  • Ovladač karty
    • Minidriver – Minidriverová knihovna pro Microsoft Windows,
    • Knihovna PKCS#11
    • TokenD
  •  ProID+ Manager
    • Správa karet a podpora scénářů
    • Vydání certifikátů na karty
    • Automatická obnova certifikátů
    • Potisk karty v místě vydání např. zaměstnaneckými údaji nebo fotografií
    • Evidence karet a certifikátů
    • Správa PIN
    • Recyklace karet
    • Odblokování PIN
  • Instalační průvodce ProID+

 

Pozn. instalační balíček je společný pro karty ProID+ i ProID+Q

 

OCHRANA DAT DRŽITELE KARTY

Díky kryptografickému koprocesoru garantuje karta ProID+Q vysokou míru ochrany PKI dat:

  • Kryptografické klíče mohou být generovány v čipu anebo mohou být na kartu importovány
  • Všechny operace se soukromým klíčem probíhají uvnitř čipu – klíč nikdy neopustí prostředí karty
  • Soukromý klíč nelze z karty exportovat
  • Použití klíče je podmíněno zadáním PIN
  • Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

 

SILNÁ KRYPTOGRAFIE

 SPECIFIKACE ČIPU

Čip Gemalto MultiApp ID v4 , postavený na platformě Java Card a vybavený řadou ochranných mechanismů proti různým typům známých útoků.

 

VLASTNOSTI KONTAKTNÍHO ČIPU

Všechny operace s privátním klíčem probíhají uvnitř čipu – klíč neopustí prostředí karty
Privátní klíč uložený na kartě nelze z karty vyexportovat
Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu
Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány
Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

Čipová karta je v souladu se standardem EN 419 211 a profily:

  • BSI-CC-PP-0059,
  • BSI-CC-PP-0075,
  • BSI-CC-PP-0071,
  • BSI-CC-PP-0072,
  • BSI-CC-PP-0076.
  • Soulad se specifikací ISO 7816

 

Objekty na kartě

  • PIN, 4-16 číslic, nastavena 4-místná konstantní hodnota, max. 3 neúspěšné pokusy.
  • QPIN, 5-16 číslic, nastavena 5-místná konstantní hodnota, max. 3 neúspěšné pokusy.
  • PUK8-16 číslic, nastavena 8-místná konstantní hodnota, max. 5 neúspěšných pokusů.
  • Generování RSA/ECC klíčů v čipu (RSA max 2048 bitů, ECC max 521 bitů) anebo možnost importu klíčů (RSA max 4096 bitů, ECC max 521 bitů) ANO
  • RSA klíčů/kvalifikovaných max 4096 bitů 4x
  • RSA klíčů/komerčních max 4096 bitů 6x
  • ECC klíčů/kvalifikovaných max 521 bitů 3x
  • ECC klíčů/komerčních max 521 bitů 3x
  • Možnost uložení certifikátů CA ANO
  • Možnost uložení datových objektů ANO
  • Čtení veřejných informací ANO
  • Vytváření a mazání souborů PIN, PUK,
  • Zajištění integrity modifikace objektů Klíč pro bezpečnou výměnu zpráv
  • Import privátního klíče Povolen

 

V případě zájmu zákazníka je možné za specifických podmínek upravit rozložení paměti (např. počet RSA klíčů) nebo nastavení bezpečnostních politik (počet autentizačních objektů typu PIN, klíč).

 

KOMPATIBILITA S CA

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně kvalifikovaných certifikátů, vydaných akreditovanými poskytovateli (certifikáty budou mít příznak uložení na kvalifikovaném prostředku).

  • CA v doméně MS Windows (Active Directory Certificate Services)
  • eIdentity
  • PostSignum (CA České pošty)
  • a dalších CA, které fungují na standardních formátech