.

Technické specifikace

ProID+Q

Kvalifikovaný elektronický podpis s jednou kartou pro každou situaci.

Bezpečnost certifikovaného prostředku QSCD pro:

  • úřady státní správy a samosprávy
  • lékaře nebo zdravotnické zařízení
  • právní a notářskou kancelář
  • kvalifikovanou certifikační autoritu

Kompletní specifikace

ProID+

Poskytněte bezpečnou dvou faktorovou autentizaci vašim zaměstnancům, nebo klientům. Vaše systémy si ochranu zaslouží, ať už jste:

  • finanční instituce
  • telekomunikační operátor
  • zdravotnické zařízení
  • výrobní podnik
  • a vlastně kdokoliv…

Kompletní specifikace

schema_proid_final

Specifikace ProID+

TYPICKÉ VYUŽITÍ

Dvoufaktorová autentizace
  • do operačního systému MS Windows
  • na WWW servery
  • do VPN

 

Elektronické podepisování
  • e-mailů
  • souborů, dokumentů,
  • dat webových/PDFpdf formulářů,
  • obrazové dokumentace

 

(De-)šifrování
  • e-mailů, souborů, dat

 

Vizuální identifikace
  • potisk karty osobními údaji držitele

 

Přístup do prostor, evidence docházky, stravovací systémy
  • využití bezkontaktního čipu karty

MULTIFUNKČNÍ PRŮKAZ ZAMĚSTNANCE

ProID+ je navrženo tak, aby splňovalo typické požadavky využití zaměstnaneckého průkazu v organizacích:

LOGICKÝ PŘÍSTUP DO APLIKAČNÍCH SYSTÉMŮ:
  • Kontaktní čip lze použít pro dvoufaktorovou autentizaci při přístupu do počítačů, informačních systémů, apod…

 

AUTORIZACE:
  • Pomocí dat na kartě lze elektronicky podepisovat a autorizovat tím dokumenty, schvalovat žádosti

 

OCHRANA CITLIVÝCH DAT
  • Data kontaktního čipu lze použít pro šifrování dokumentů, e-mailů, datových souborů

 

VIZUÁLNÍ IDENTIFIKACE:
  • Kartu lze potisknout osobními údaji držitele a informacemi o organizaci

 

FYZICKÝ PŘÍSTUP:
  • Bezkontaktní čip karty lze využít v docházkových, stravovacích, tiskových a dalších bezkontaktních systémech

 

NEJČASTĚJI VYUŽÍVÁNO V APLIKACÍCH

  • přihlášení (Smartcard Logon) v doméně s Active Directory
  • Google Chrome (klientská SSL autentizace)
  • MS Internet Explorer (klientská SSL autentizace)
  • MS Office (elektronický podpis dokumentů)
  • MS Outlook (elektronický podpis e-mailů, šifrování e-mailů)
  • Cisco VPN Client (autentizace do VPN)
  • Šifrování souborů EFS
  • Microsoft VPN
  • Autentizace na IIS s mapováním na doménového uživatele
  • Adobe Reader (elektronický podpis dokumentů)
  • Mozilla Firefox (klientská SSL autentizace)
  • Mozilla Thunderbird (elektronický podpis e-mailů, dešifrování e-mailů, klientská SSL autentizace na mail servery)
  • Chrome (klientská SSL autentizace)
  • McAfee Endpoint Encryption (pre-boot autentizace a šifrování disků)

 

ProID+ lze použít v řadě dalších aplikací, které podporují kryptografické standardy Microsoft CryptoAPI, Cryptography Next Generation nebo PKCS#11. Aplikace třetích stran nemusí být specificky připravovány pro práci s kartami ProID+; stačí, když používají standardní mechanismy kryptografických operací.

PODPOROVANÉ OPERAČNÍ SYSTÉMY

  • MS Windows Vista a vyšší, 32 i 64 bitů,
  • MS Windows Server 2003 SP1 a vyšší
  • Linux
  • Mac OS X

 

Systém PRoID+ je optimalizován pro použití s Active Directory a je základem pro implementaci Single Sign-On.

VYSOKÁ MÍRA INTEROPERABILITY

  • Díky důslednému dodržování standardních formátů a rozhraní dosahuje ProID+ vysokou míru interoperability s operačními systémy, čtečkami a aplikacemi třetích stran.
  • ISO 7816 1-4
  • PC/SC (interoperabilita čteček)
  • JavaCard, GlobalPlatform (platforma čipu)
  • Smart Card Minidriver Specification
  • MS CryptoAPI (CAPI)/ (CAPI2), Cryptography Next Generation (CNG)
  • Microsoft Base Smart Card Crypto Provider/Microsoft Smart Card Key Storage Provider
  • PKCS#11 (aplikační rozhraní)
  • PKCS#7/CMS (formát zabezpečení dat)
  • PKCS#12 (import klíčů)
  • PKCS#10, SPKAC (žádosti o certifikáty)
  • MS XEnroll / CertEnroll (generování žádostí o certifikáty)
  • X.509 (certifikáty)
  • S/MIME (zabezpečení e-mailových zpráv)

 

Specifikace čipových karet

Kontaktní QSCD čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

 

SOUČÁSTI DODÁVKY PROID+

  • Inicializované čipové karty připravené pro práci s certifikáty a kryptografickými klíči
  • Design a potisk těla karty
  • Bezkontaktní čip
  • Applet ProID+ nahraný na kartu.
  • Ovladač karty
  • Minidriver•Minidriverová knihovna pro Microsoft Windows,
  • Knihovna ProID+ PKCS#11
  • TokenD
  • ProID+ Manager
  • Správa karet a podpora scénářů
  • Vydání certifikátů na karty
  • Automatická obnova certifikátů
  • Potisk karty v místě vydání např. zaměstnaneckými údaji nebo fotografií
  • Evidence karet a certifikátů
  • Správa PIN
  • Recyklace karet
  • Odblokování PIN
  • Instalační průvodce ProID+

 

OCHRANA DAT DRŽITELE KARTY

Díky kryptografickému koprocesoru garantuje karta ProID+ vysokou míru ochrany PKI dat:

  • Kryptografické klíče mohou být generovány v čipu anebo mohou být na kartu importovány
  • Všechny operace se soukromým klíčem probíhají uvnitř čipu – klíč nikdy neopustí prostředí karty
  • Soukromý klíč nelze z karty exportovat
  • Použití klíče je podmíněno zadáním PIN
  • Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

 

SILNÁ KRYPTOGRAFIE

SPECIFIKACE ČIPU

Čip IDCcore 410, postavený na platformě Java Card a vybavený řadou ochranných mechanismů proti různým typům známých útoků.

Vlastnosti kontaktního čipu

  • Všechny operace s privátním klíčem probíhají uvnitř čipu – klíč neopustí prostředí karty
  • Privátní klíč uložený na kartě nelze z karty vyexportovat
  • Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu
  • Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány
  • Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

 

Čipová karta je v souladu se standardem EN 419 211 a profily:

  • BSI-CC-PP-0059,
  • BSI-CC-PP-0075,
  • BSI-CC-PP-0071,
  • BSI-CC-PP-0072,
  • BSI-CC-PP-0076.
  • Soulad se specifikací ISO 7816

 

Objekty na kartě

  • PIN Náhodný, 4 číslice, tisk na PIN formulář, max. 3 neúspěšné pokusy.
  • PUK Náhodný, 8 číslic, tisk na PIN formulář, max. 8 neúspěšných pokusů.
  • Administrační klíč Inicializovaný pro konkrétního koncového zákazníka, max. 16 neúspěšných pokusů.
  • Generování RSA klíčů v čipu anebo možnost importu klíčů ANO
  • RSA klíčů 1024 bitů 6 x
  • RSA klíčů 2048 bitů 10 x
  • Možnost uložení certifikátů CA ANO
  • Možnost uložení datových objektů ANO
  • Paměť pro uložení certifikátů na kartu spolu s klíči _ 32 K
  • Čtení veřejných informací ANO
  • Vytváření a mazání souborů PIN, PUK, Administrační klíč
  • Zajištění integrity modifikace objektů Klíč pro bezpečnou výměnu zpráv
  • Import privátního klíče Povolen
  • Recyklace karty – Administrační klíč anebo bez autorizace
  • Odblokování PIN – challenge / response pomocí administračního klíče

V případě zájmu zákazníka je možné za specifických podmínek upra- vit rozložení paměti (např. počet RSA klíčů) nebo nastavení bezpeč- nostních politik (počet autentizačních objektů typu PIN, klíč).

KOMPATIBILITA S CA

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně kvalifikovaných certifikátů, vydaných akreditovanými poskytovateli.

  • Active Directory Certificate Services (ADCS)
  • CA v doméně MS Windows (Active Directory Certificate Services)
  • eIdentity
  • PostSignum (CA České pošty)
  • I.CA
  • a dalších CA, které fungují na standardních formátech

 

 

Specifikace ProID+Q

VYUŽITÍ ProID+ Q

  • Autentizace do operačního systému MS Windows (Smartcard Logon)
  • Autentizace na WWW servery
  • Autenizace do VPN
  • Elektronické podepisování e-mailů, souborů, dat webových/pdf formulářů, obrazové dokumentace
  • Podpora kvalifikovaných certifikátů
  • (De-)šifrování e-mailů, souborů, dat

 

SOUČÁSTI DODÁVKY PROID+ Q

  • Inicializované čipové karty připravené pro použití se softwarem ProID+
  • Design a potisk těla karty
  • Applet ProID+ nahraný na kartu.
  • Obslužný software
  • Minidriverová knihovna pro Microsoft Windows,
  • Knihovna ProID+ PKCS#11
  • TokenD

 

ProID+ Manager

  • Kartové centrum
  • Automatická obnova certifikátů (vč. certifikátu pro kvalifikovaný el. podpis)
  • Potisk karty v místě vydání např. zaměstnaneckými údaji nebo fotografií
  • Evidence objektů na kartě
  • Propojení s AD
  • Recyklace karet
  • Instalační průvodce ProID+

 

PODPOROVANÉ OPERAČNÍ SYSTÉMY

  • Windows 8, 10 32 i 64 bitů,
  • Windows Server 2003 SP1, Windows Server 2012,
  • Linux
  • Mac OS X
 

TESTOVANÉ APLIKACE

  • Smartcard Logon
  • MS Internet Explorer (klientská SSL autentizace)
  • MS Office (elektronický podpis dokumentů)
  • MS Outlook (elektronický podpis e-mailů, šifrování e-mailů)
  • Šifrování souborů MS EFS
  • Microsoft VPN
  • Autentizace na IIS s mapováním na doménového uživatele
  • Adobe Reader (elektronický podpis formulářů)
  • Mozilla Firefox (klientská SSL autentizace)
  • Mozilla Thunderbird (elektronický podpis e-mailů, dešifrování e-mailů, klientská SSL autentizace na mail servery)
  • Chrome (klientská SSL autentizace)
  • Cisco VPN Client (autentizace do VPN)
  • McAfee Endpoint Encryption (pre-boot autentizace a šifrování disků)
  • TrueCrypt (uložení keyfiles pro de/šifrování disků)

 

ProID+ Q lze použít v řadě dalších aplikací, které podporují kryptografické standardy Microsoft CryptoAPI, Cryptography Next Generation a PKCS#11

Systém PRoID+Q je optimalizován pro použití s Active Directory a je základem pro implementaci Single Sign-On.

 

PODPOROVANÉ STANDARDY

Díky důslednému dodržování standardních formátů a rozhraní dosahuje ProID+ vysokou míru interoperability s operačními systémy, čtečkami a aplikacemi třetích stran.

  • ISO 7816 1-4
  • PC/SC (interoperabilita čteček)
  • JavaCard, GlobalPlatform (platforma čipu)
  • Smart Card Minidriver Specification
  • MS CryptoAPI (CAPI)/ (CAPI2), Cryptography Next Generation (CNG)
  • Microsoft Base Smart Card Crypto Provider/Microsoft Smart Card Key Storage Provider
  • PKCS#11 (aplikační rozhraní)
  • PKCS#7/CMS (formát zabezpečení dat)
  • PKCS#12 (import klíčů)
  • PKCS#10, SPKAC (žádosti o certifikáty)
  • MS XEnroll / CertEnroll (generování žádostí o certifikáty)
  • X.509 (certifikáty)
  • S/MIME (zabezpečení e-mailových zpráv)

 

Specifikace čipových karet

Kontaktní QSCD čipová karta s personalizovanou PKI aplikací. Čipové karty lze dodat ve formátu ID-1 (velikost bankovní karty) nebo ID-000 (SIM) pro využití v USB nebo Bluetooth tokenech.
Karta ID-1 může mít do těla integrovaný libovolný bezkontaktní čip na technologiích Emarine, DESFire, Mifare, atd.

 

SPECIFIKACE ČIPU

Čip Gemalto MultiApp ID v4 , postavený na platformě Java Card a vybavený řadou ochranných mechanismů proti různým typům známých útoků.

 

Vlastnosti kontaktního čipu

Všechny operace s privátním klíčem probíhají uvnitř čipu – klíč neopustí prostředí karty
Privátní klíč uložený na kartě nelze z karty vyexportovat
Klíče pro kvalifikovaný elektronický podpis jsou generovány v čipu
Klíče, které nejsou určeny pro kvalifikovaný elektronický podpis, mohou být generovány v čipu anebo mohou být na kartu importovány
Ke klíčovým párům lze na kartu uložit i příslušné certifikáty

Čipová karta je v souladu se standardem EN 419 211 a profily:

  • BSI-CC-PP-0059,
  • BSI-CC-PP-0075,
  • BSI-CC-PP-0071,
  • BSI-CC-PP-0072,
  • BSI-CC-PP-0076.
  • Soulad se specifikací ISO 7816

 

Objekty na kartě

  • PIN Náhodný, 4 číslice, tisk na PIN formulář, max. 3 neúspěšné pokusy.
  • PUK Náhodný, 8 číslic, tisk na PIN formulář, max. 8 neúspěšných pokusů.
  • Administrační klíč Inicializovaný pro konkrétního koncového zákazníka, max. 16 neúspěšných pokusů.
  • Generování RSA klíčů v čipu anebo možnost importu klíčů ANO
  • RSA klíčů 1024 bitů 6 x
  • RSA klíčů 2048 bitů 10 x
  • Možnost uložení certifikátů CA ANO
  • Možnost uložení datových objektů ANO
  • Paměť pro uložení certifikátů na kartu spolu s klíči _ 32 K
  • Čtení veřejných informací ANO
  • Vytváření a mazání souborů PIN, PUK, Administrační klíč
  • Zajištění integrity modifikace objektů Klíč pro bezpečnou výměnu zpráv
  • Import privátního klíče Povolen

V případě zájmu zákazníka je možné za specifických podmínek upravit rozložení paměti (např. počet RSA klíčů) nebo nastavení bezpečnostních politik (počet autentizačních objektů typu PIN, klíč).

 

KOMPATIBILITA S CA

Na čipové kartě mohou být uloženy certifikáty od různých certifikačních autorit a pro rozmanité účely, včetně kvalifikovaných certifikátů, vydaných akreditovanými poskytovateli.

  • Active Directory Certificate Services (ADCS)
  • CA v doméně MS Windows
  • eIdentity
  • PostSignum (CA České pošty)
  • I.CA
  • a dalších CA, které fungují na standardních formátech