Kormányzati Hitelesítés Szolgáltató
-
Gemalto ID Classic 340 intelligens kártya
2015-04-20 15:05
- A kártya minősítése: BALE (Biztonságos Aláírás-létrehozó Eszköz)
- Védelmi profil megfelelőség: SSCD 2-es és 3-as típus
- Értékelési szint: Common Criteria 2.3 szerinti EAL 4+
- A BALE tanúsítás száma: ANSSI-CC-2012/76
- Az eredeti, francia nyelvű tanúsítvány letölthető innen
- Az eredeti, francia nyelvű tanúsítási jelentés elérhető itt.
- A tanúsítási jelentés magyar nyelvű fordítása letölthető innen
- A tanúsítási jelentés karbantartásáról szóló 2015-ös jelentés (lásd https://www.ssi.gouv.fr/uploads/2012/12/ANSSI-CC-2012_76_M01.pdf)
- A BALE pontos neve és verziója a tanúsítási jelentés alapján: IAS Classic v3 alkalmazás Java Card platformon, nyílt konfigurációban, MultiApp ID V2.1 chipkártyán P5CC081V1A komponensen, MPH117 V2.2 szűrővel.
"On-board" kulcsgenerálásA Gemalto ID Classic 340 intelligens kártya megfelel a legszigorúbb jogszabályi és műszaki feltételeknek, így a kulcspárok biztonsága garantált. A kártya támogatja az ún. "on-board" kulcsgenerálást, azaz a tanúsítványhoz kapcsolódó kulcspár a kártyán jön létre, és a magánkulcs (aláírás-létrehozó adat) semmilyen körülmények között nem hagyja el az eszközt. A kártya támogatja a Secure Messaging (biztonságos üzenetváltás) protokollt is, amely lényegében egy SSL csatornát valósít meg a kártya és az aláíró alkalmazás között, így lehetővé téve a PIN kód és az aláírandó dokumentum lenyomatának védelmét az esetleges rosszindulatú felhasználástól. Ahhoz, hogy ez a védelem megvalósuljon, az aláíró alkalmazásnak is támogatnia kell ezt a protokollt. Ennek hiányában a kártya csak biztonságos környezetben használható minősített aláírásra, ahol a felhasználó saját felelőssége, hogy a PIN kód illetéktelen számára hozzáférhetetlen legyen, valamint az aláírandó üzenet lenyomatának integritása ne sérülhessen az alkalmazás és a kártya közötti kommunikáció közben.
SHA2/2048 támogatás, konténerek
A Gemalto ID Classic 340 intelligens kártya lehetővé teszi mind az 1024 bit hosszúságú, mind a 2048 bit hosszúságú kulcspárok illetve tanúsítványok felhasználását, és támogatja úgy az SHA1, mint az SHA2 lenyomatoló algoritmusokat, megfelelve ezáltal a legszigorúbb biztonsági ajánlásoknak. A Gemalto ID Classic 340 intelligens kártya ún. többcélú kártya: egyszerre tárolhat minősített és nem minősített (pl. aláíró és tikosító) tanúsítványt is, mivel a kártya 12 db ún. "kulcskonténerrel" rendelkezik, és minden egyes konténerbe elhelyezhető egy felhasználói tanúsítvány illetve a kapcsolódó kulcspár. Ezáltal lehetővé válik, hogy egy nem-minősített tanúsítvány lejáratát és megújítását követően (azaz 2 év használat után) a kártyára további tanúsítványt adjunk ki, így a kártya - fizikai állapotától függően és bizonyos feltételek fennállása mellett - több évig is használható. A kártya egyik fontos biztonsági jellemzője, hogy a Qualified Signature RSA key típusú konténerekben elhelyezett magánkulcs felhasználását a kártya kizárólag elektronikus aláírások létrehozására engedélyezi; a Szabványos RSA kulcs megjelölésű konténerekben pedig a titkosítás vagy azonosítás (authentikáció) célú kulcsok illetve tanúsítványok használata javasolt.
Kártyakezelő alkalmazás
A Gemalto ID Classic 340 intelligens kártya használatához szükség van egy kártyakezelő alkalmazásra is, melyet a felhasználó számítógépére kell telepíteni. Fontos megjegyezni, hogy a Társaságunk által forgalmazott chipkártyák megfelelő működése csak az általunk rendelkezésre bocsátott kártyakezelő alkalmazással garantált; az alkalmazás (Classic Client Toolbox) egyébként díjmentesen letölthető társaságunk honlapjáról.
A kártyával együtt átadott PIN-borítékban két kód található. A PIN-kódot a kártya rendeltetésszerű felhasználásakor (pl. elektronikus aláíráskor) kell megadni, míg az Admin PIN (vagy PUK-kód) a leblokkolt kártya feloldásához szükséges. A borítékban található PIN-kódot a kártya első használatba vétele előtt a tulajdonosnak meg kell változtatni, ahogy ezt a kártyakezelő alkalmazás automatikusan kéri. A PIN-kódnak ezen "kikényszerített" megváltoztatása a kártya tulajdonosának egyértelműen igazolja, hogy az eszköz még nem volt használatban.
Fontos kiemelni, hogy a kártyakezelő alkalmazás használata körültekintést igényel. Egyrészt, a PIN-kód megadásával a kártyáról törölni lehet nemcsak a tanúsítványt, hanem a hozzá tartozó magánkulcsot is, és amennyiben a felhasználó törölte aláíró magánkulcsát, azt Társaságunknak sem áll módjában pótolni. Hasonlóan körültekintően kell az Admin PIN-t (PUK-kódot) is használni, mivel háromszori rossz megadást követően a kártya blokkolódik és többé már nem használható. A chipkártya illetve a kártyakezelő alkalmazás felhasználásának további részleteit a honlapunkról letölthető ismertető tartalmazza.