Основне карактеристике smart

картица
 Микропроцесорски
управљана уз поседовање
PIN кодом заштићених
делова меморије.
 Криптографске функције
се реализују на smart
картицама:
 Генерисање и чување
кључева,
 Асиметрични алгоритам.
 Врсте smart картица –
хардверска обележја
 Меморијске картице
 Микропроцесорске
картице
 Микропроцесорске
картице са PKI
могућностима (генерисање
и чување кључева,
асиметрични алгоритам)
 Микропроцесори: 8-битни,
16-битни и 32-битни
 Блок дијаграм smart картице -
пример
VSS VDD CLK

Crypto Triple DES

Power-On/Off Clock RAM EEPROM
Reset Input Filter coprocessor coprocessor

Phase Driver Data &

Security Data Program
FameX DES-3
Sensors Memory Memory

Reset
Generator
True Random
Number Generator
80C51
CPU

Timers ROM I/O

Programmable
16 bit 16 bit Program I/O
Interrupt T0 T1 Memory
ISO - UART
System

RST
I/O1 I/O2
 Врсте smart картица –
Оперативни систем

 RFID и контактне
 Smart картице са
приватним оперативним
системом
 JAVA smart картице
PKI системи
 PKI систем обезбеђује поуздано окружење
за реализацију четири основне функције
заштите комерцијалних и пословних
трансакција:
 Аутентичност страна у комуникацији
 Интегритет података
 Немогућност накнадног порицања трансакција
 Заштиту тајности података
 PKI системи

 PKI системи представљају кључни аспект

и најважнију компоненту система
електронског пословања и трговине (e-
business и e-commerce), као и савремених
финансијских и корпорацијских
рачунарских мрежа које доживљавају
експлозиван раст у последње време.
 PKI системи
 PKI систем представља комбинацију
хардверских и софтверских елемената,
политика и процедура.
 PKI систем остварује ланац поверења у
електронском пословању тако да субјекти
који се не познају могу комуницирати
потпуно безбедно у небезбедном окружењу
TCP/IP мрежа.
 PKI систем се базира на дигиталним
цертификатима.
Компоненте PKI система

 Цертификационо тело (CA)

 Регистрационо телo (RA)
 CRL – База повучених сертификата
 Систем за дистрибуцију цертификата
 Апликације које се базирају на PKI
систему
 Основни документ PKI система
 Документ који детаљно описује све процедуре
битне за функционисање PKI система, као и
безбедносну политику која се примењује.
 Типично, овај документ прописује рад
Цертификационог тела, прописује начин рада са
дигиталним цертификатима (начин издавања и
повлачења, израда цертификационих листа) и
прописује начин рада са криптографским
кључевима (генерисање, чување и издавање
корисницима).
Цертификационо тело - Certificate Authority
(CA)
 Срце PKI система представља Цертификационо
тело чија је основна функција поуздано
успостављање заштићеног дигиталног
идентитета свих учесника за комуникацију у
небезбедној рачунарској мрежи. Најважније
функције CA су:
 Издавање цертификата
 Управљање роком важности издатих цертификата
 Управљање повлачењем цертификата и
публиковањем листа повучених цертификата
Садржај електронског
цертификата
Верзија формата цертификата (v3)
Серијски број цертификата
Идентификатор алгоритма којим се врши дигитални
потпис
Назив Цертификационог тела које је издало цертификат

Рок важности цертификата

Власник цертификата
Јавни кључ власника цертификата
Одређени специфични подаци који се односе на услове
коришћења цертификата
ДИГИТАЛНИ ПОТПИС ЦЕРТИФИКАТА ТАЈНИМ
КЉУЧЕМ ЦЕРТИФИКАЦИОНОГ ТЕЛА
 Систем за дистрибуцију
цертификата
 Дигитални цертификати могу бити
дистрибуирани на многе начине у зависности од
структуре PKI окружења:
 Преузимани од стране самих корисника
 Заштићеном електронском поштом
 WEB сајт ЦА
 Преко директоријумског сервиса (DAP/LDAP)
 Директоријумски сервер може егзистирати у
оквиру организације или може бити испоручен
као део PKI решења.
 Регистрационо тело - Registration
Authority (RA)

 Регистрационо тело омогућава интерфејс

између корисника и CA.
 RA прихвата захтеве за издавањем цертификата,
проверава идентитет корисника и прослеђује
захтеве у одређеном формату ка CA.
 Квалитет начина провере идентитета
подносиоца захтева одређује ниво поверења
који се уграђује у захтев.
Публиковање статуса повучености
цертификата - CRL

 CRL може бити публиковано на више

начина:
 На WEB сајту ЦА
 LDAP сервер
 OCSP responder
 Достава CRL путем e-mail-a
 PKI апликације
 Заштићене WEB трансакције
 Заштићен E-mail
 Заштићен FTP
 Формирање VPN
 Безбедно управљање документацијом
 Безбедна функција контроле приступа
 Поуздано управљање радним временом
запослених
 Безбедна плаћања путем Internet-а
PKI системи - пример
 PKI безбедносни аспекти
 Заштита PKI система обухвата: контролу
приступа, аутентикацију и коришћење
хардверских криптографских модула (HSM).
 Тајни кључеви CA и RA и њихових оператера
морају бити заштићени криптографским
решењима највишег квалитета.
 Базе података CA и RA такође морају бити
поуздано заштићене.
 Поља примене

 Заштићено електронско плаћање

 E-government систем
 B2B системи
 E-business у медицини
 ...
Предуслови за успостављање
Цертификационог тела
 Доношење Закона о електронском
потпису
 Усвајање подзаконског акта о
функционисању ЦА
 Успостављање владиног Акредитационог
тела
 Примена усвојене акредитационе шеме
 Типови ЦА

 Појединачна ЦА одређених предузећа

(Corporate CA)
 ЦА затворених група корисника
 ЦА вертикалних индустрија
 Јавна ЦА (домаћа – интернационална)
 Начин реализације ЦА

 Коришћење услуга постојећег ЦА

(outsourced CA)
 Изградња сопственог ЦА на бази
иностране технологије (insourced CA)
 Изградња сопственог ЦА на бази
сопствене технологије (insourced CA)
 Симетрични криптографски
системи
Криптоаналитичар

Извор X Y X
EA DA Одредиште
поруке

K
Безбедни канал

Извор
кључа
 Дигитални потпис
M HASH
M трансф. H1
1

порука HASH
H S S
М трансф.

EA DB H
Тајни кључ
пошиљаоца Јавни кључ
пошиљаоца
 Дигитална енвелопа
Alice’s random
SYM key
Digital
envelope
(1)

Bob’s
public key
(3)

(2)
 Digital Envelope (cont’d)
Message decryption
*#$fjda^j u539! (e.g. DES) A quick brown
3tt389E &* ... fox jumped ...

Symmetric
Key
Asymmetrical
Secret Key algorithm (e.g.
RSA)