Microsoft Geneva – nowe podejście do tematu tożsamości

W październiku Microsoft przedstawił publicznie nowy projekt o kodowej nazwie „Geneva”. Jest to nowa rodzina produktów Microsoft ułatwiających zarządzanie tożsamością cyfrową.
Patrząc na możliwości jakie daje Geneva, można przyjąć że Microsoft daje kolejne narzędzie programistom ułatwiające tworzenie systemów SSO (Single Sign-On). 

Podstawą platformy zarządzania tożsamością jest model dostępu oparty na wymaganiach (claims) i technologii Security Token Services (STS).

Rodzina produktów Geneva składa się z trzech elementów:

1. Geneva Framework – biblioteka ułatwiająca programistom implementację architektury we własnych programach, 
2. Geneva Server wcześniej znany pod nazwą Active Directory Federation Services (ADFS). Tu warto wspomnieć że w odróżnieniu od ADFS, Geneva Server wspiera nie tylko przeglądarki (passive clients) ale również innych klientów (active clients) np. Windows Communication Foundation (WCF). 
3. CardSpace Geneva czyli kliencka aplikacja pozwalająca użytkownikom zarządzać w prosty sposób swoją tożsamością.

architektura Geneva

 

Archtiektura Geneva to kolejny produkt w którym widać że Microsoft „otwiera się” na świat. Geneva Server wprowadza obsługę protokołu SAML 2.0, który był dotychczas domeną otwartych systemów i jest propagowany np. przez Liberty Alliance. 

Obecnie Geneva jest w fazie finalnych testów i można pobrać wersję Beta 1systemu. Natomiast wydanie wersji finalnej planowane jest na drugą połowę 2009 roku.

Wszystkim zainteresowanym tą technologią polecam whitepaper przygotowany przez Davida Chappella i zapraszam na stronę projektu Geneva.

Podpis elektroniczny – nowy projekt ustawy

Kika dni temu na stronach Ministerstwa Gospodarki ukazał się projekt ustawy o podpisach elektronicznych. Wprowadzone zmiany w stosunku do wersji z 28-go października są dość istotne. Patrząc na ostatnią wersję projektu nasuwa mi się kilka spostrzeżeń i uwag:

1. Duży wpływ na projekt nowej ustawy miał The Austrian E-Government Act. Dobrze że rząd bierze przykład ze sprawdzonych rozwiązań i nie wprowadza na siłę „własnych rozwiązań”.
2. Można zauważyć że Ministerstwo Gospodarki (wraz z MSWiA?) wpadło na pomysł jak wykorzystać dowód elektroniczny pl.ID jako nośnik e-podpisu. „Dla potrzeb elektronicznych dokumentów tożsamości wprowadzony został podpis urzędowy weryfikowany przy pomocy certyfikatów urzędowych.” Obecnie cena wydania certyfikatu bezpiecznego podpisu elektronicznego wynosi od 160 do 220 złotych, a jego roczne uaktualnienie od 90 do 95 złotych. To główny hamulec rozpowszechnienia się usług wykorzystujących e-podpis. Jeśli więc podpis urzędowy będzie darmowy i znajdzie się od razu na każdym dowodzie to jest szansa na jego wykorzystanie w szerszej skali.
3. Projekt wprowadza większą ilość, lepiej dopasowanych e-podpisów co powinno skutkować obniżeniem ich ceny. Przykładem nowego rodzaju podpisu elektronicznego może być podpis urzędowy. „Ustawa przewiduje rozszerzenie listy usług certyfikacyjnych, a zwłaszcza katalogu dostępnych rodzajów podpisu elektronicznego, co umożliwi lepsze dostosowanie narzędzi oraz ich ceny do potrzeb administracji publicznej oraz przedsiębiorców.”
4. W projekcie ustawy śladem rozwiązań austriackich odchodzi się od pojęcia bezpiecznego podpisu elektronicznego na rzecz jego odpowiednika w nomenklaturze wspólnotowej, którym jest podpis kwalifikowany (qualified aignature). Czyli w okresie przejściowym będziemy mieli pojęcia równoznaczne: bezpieczny podpis elektroniczny = podpis kwalifikowany.
5. Dziwny jest trochę zapis art. 2 pkt 15 „Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniające wymogi dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy oraz uznane za takie przez Agencję Bezpieczeństwa Wewnętrznego lub właściwy podmiot w państwie obowiązanym do stosowania tej dyrektywy (bezpieczne urządzenie).” Przecież dyrektywa definiuje twór prawny, a nie techniczny! Zapewne ukaże się rozporządzenie do ustawy, które będzie opisywać jakie są wymagania dotyczące bezpiecznego urządzenia do składania podpisu elektronicznego (SSCD Secure Signature-Creation Device).

ZAŁĄCZNIK III – Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE

Wymogi dotyczące bezpiecznych urządzeń służących do składania podpisu elektronicznego

1. Bezpieczne urządzenia służące do składania podpisów muszą przez właściwe środki techniczne i proceduralne zapewnić co najmniej, że:

a) dane użyte do złożenia podpisu praktycznie stykają się tylko raz oraz zapewniona jest ich poufność w rozsądny sposób;

b) można mieć wystarczającą pewność, że dane służące do składania podpisu użyte do złożenia podpisu nie mogą, być pozyskane poprzez dedukcję oraz podpis jest chroniony przed fałszowaniem za pomocą aktualnie dostępnej technologii;

c) dane użyte do złożenia podpisu mogą być chronione przez uprawnionego podpisującego przed użyciem przez innych w sposób godny zaufania.

2. Bezpieczne urządzenia służące do składania podpisu nie mogą zmieniać danych które mają być podpisane ani nie mogą uniemożliwiać, by dane te zostały przedstawione podpisującemu przed złożeniem podpisu.

CDN.

Warto zobaczyć:

http://www.piit.org.pl/piit2/index.jsp?place=Lead02&news_cat_id=19&news_id=4268&layout=2&page=text

http://www.id.ee/?lang=en

 

PKI Smart Cards GigaCon 2008

Już po raz piąty w Warszawie odbędzie się konferencja GigaCon. W tym roku konferencja nosi nazwę PKI Smart Cards GigaCon 2008 i została podzielona na dwa tematy: infrastruktura klucza publicznego i karty inteligentne. Organizatorem konferencji jest wydawnictwo Software –  wydawca Software Developer’s Journal i Boston IT Security Review.  

Akurat w tym czasie będę w Warszawie więc z chęcią zobaczę co ciekawego powiedzą/przedstawią rodzime firmy. Więcej informacji na temat konferencji znajdziecie na stronie http://www.pkismartcards.gigacon.org.

Czytaj dalej →

CARTES 2008 – Infineon

Nowa rodzina procesorów SLE78 pozwoliła na zdobycie nagrody Sesames 2008 w kategorii Hardware. Widać że inżynierowie Infineona podeszli do projektu SLE78 poważnie. Rozwiązania które w nim zastosowali można z powodzeniem nazwać innowacyjnymi. Wg mnie nagroda w pełni zasłużona. Tyle nowych rozwiązań wprowadzonych w jednym produkcie dawno nie było. 

 

Co wyróżnia mikrokontroler SL78?

• architektura Dual CPU
• pełne szyfrowanie CPU, pamięci i magistrali
• detekcja błędów we wszystkich modułach pamięci (Error Detection Codes, EDC)
• ochrona przed błędami na poziomie pamięci cache (Post Failure Detection, PFD)
• kodowanie adresu i danych w pamięci (Address and data scrambling of memories)
• ochrona przesyłanych sygnałów – Active I2-Shield

architektura mikrokontrolera SLE 78

Mikrokontroler SLE78 obejmuje 6 produktów. Wszystkie wspierają 3DES, AES, RSA, ECC i różnią się wielkością dostępnej pamięci EEPROM – od 36KB (SLE 78CX360P) do 144KB (SLE 78CX1440P).

Czytaj dalej →

Personalizacja kart wg NBS Technologies

Nie każdy widział w jaki sposób personalizowane są karty płatnicze (i nie tylko). Jeśli ciekawi cię jak wygląda proces tłoczenia wypukłego, grawerowanie laserowe czy też drukowanie, to przygotowałem krótki filmik z targów pokazujący jak to robi system Horizon Evolution firmy NBS Technologies. Nowa wersja Horizon Evolution przedstawiona na targach oznaczona była symbolem HD (Heavy Duty). Zaprojektowana została jako platforma do personalizacji kart – dla instytucji finansowych, urzędów państwowych, funduszów ubezpieczeniowych, jednostek rządowych, opieki zdrowotnej, kompani telekomunikacyjnych lub sprzedaży detalicznej.

System NBS Horizon to wysokiej klasy modułowy system do masowej personalizacji kart. Konstrukcja urządzenia jest oparta na budowie modułowej, które w tej maszynie określane są jako podzespoły CPE – Card Personalization Element. Modułowość umożliwia modernizację urządzenia w dowolnej chwili, kiedy będzie to wymagane. Sama budowa urządzenia zapewnia wyjątkową uniwersalność  i pozwoli na modernizację nawet za kilka lat, o moduły do personalizacji kart, które w obecnej chwili dopiero są opracowywane przez inżynierów.

Każdy moduł (CPE) został zbudowany, aby wykonywać jeden określony proces personalizacji taki jak:

• tłoczenie wypukłe (embossing), 
• tłoczenie płaskie przednie lub tylne (indenting), 
• koloryzowanie wytłoczeń (tipping), 
• kodowanie paska magnetycznego, 
• programowanie kart inteligentnych (zapis mikroprocesora), 
• grawerowanie laserowe, 
• drukowanie przodu lub tyłu kart w jednym kolorze lub w pełnej palecie kolorów, 
• laminowanie folią zabezpieczającą, 
• naklejanie naklejek. 

Spersonalizowane karty mogą zostać następnie spakowane w koperty i zaadresowane do ich właścicieli w jednym cyklu personalizacji kart. I to się nazywa pełna linia produkcyjna 🙂

 

CARTES 2008 – Oberthur

 

Oberthur to firma, która znana jest m.in. z innowacyjnych materiałów wykorzystywanych przy produkcji kart. Wszyscy już widzieli karty z hologramami, przeźroczyste, luminescencyjne, o różnych kształtach czy też biodegradowalne (przy produkcji niektórych wykorzystywane są ziemniaki). Jednak moją uwagę przykuł produkt, którego nie było nawet na stoisku Oberthura – Smart Lumiere. Pozornie nic ciekawego, ot zwykła karta zbliżeniowa z nadrukiem przedstawiającym sygnalizację świetlną. Jednak gdy karta znajdzie się w zasięgu pola elektromagnetycznego to zapala się zielone światło sygnalizatora. Może mało innowacyjne ale za to jakie efektowne.

 

Z kuluarowych rozmów dowiedziałem się że jest duża szansa na całkiem nowy middleware do kart (zostanie zakupiony?), który zastąpi wysłużony już AuthentIC Web Pack. Myślę że każdy kto miał do czynienia z AuthentIC Web Pack zgodzi się ze mną że jest to produkt, który zatrzymał się w rozwoju ładnych parę lat temu. 

CARTES & IDentifications 2008 – krótka relacja

Po trzech dniach zapełnionych spotkaniami, prezentacjami i warsztatami znalazłem czas żeby usiąść i zebrać informacje na temat tego co się działo w Paryżu.

Impreza zrobiła na mnie wielkie wrażenie swym ogromem. Ponad 500 wystawców i około 20 000 zwiedzających – czasami ciężko było przejść, nie mówiąc już o dopchaniu się do restauracji.

Największe zaskoczenie spotkało mnie jednak na stoiskach, gdzie zazwyczaj po kilku bardziej technicznych pytaniach kierowano mnie do inżyniera, który był w stanie udzielić wyczerpującej odpowiedzi. I tu dochodzimy do sedna sprawy. Nie zawsze to co znajdziemy na stronie WWW czy w materiałach promocyjnych jest prawdą. Zresztą przekonałem się o tym już dużo wcześniej.

Po obejrzeniu kilku stoisk można było zauważyć że prawie każda firma prezentuje coś związanego z płatnościami zbliżeniowymi (contactless payment) lub z wszechobecnym NFC (Near Field Communication). Zresztą nie ma się co dziwić. Prognozę rynku „zbliżeniowego” na rok 2008 przedstawił Eurosmart na wtorkowej konferencji. Poniżej tabela z przewidywaniami narok 2008.

	Secure Memory Contactless (Mu)	Secure Microprocessor Contactless (Mu)
Financial services	–	80
Government / Healtcare	200	60
Transport	160	30
Ohters	50	30
Total 2008	410	200

Warto wspomnieć że wzrost sprzedaży kart procesorowych – zbliżeniowych w sektorze finansowym wzrósł o 33% w stosunku do roku ubiegłego i wyniesie 80 mln kart. Przedstawiony na konferencji raport dostępny jest pod adresem Raport – 2008 figures of the Smart Security market.

To na tyle. W kolejnych wpisach przedstawię kilka ciekawych rozwiązań zaprezentowanych podczas targów.