INFORMAČNÍ SYSTÉMY VE VEŘEJNÉ SPRÁVĚ doc. RNDr. Ing. Roman Šperka, Ph.D. INFORMAČNÍ SYSTÉMY VE VEŘEJNÉ SPRÁVĚ IDENTIFIKACE, AUTENTIZACE, AUTORIZACE 3 Identifikace, autentizace, autorizace > 4 Způsoby autentizace osob > 5 Znalostní autentizace > 6 Identifikační prvky osystémy čárových kódů; osystémy karet; osystémy radiofrekvenční identifikace; ohardwarové klíče; oelektronické klíče. o > Čárové kódy ok dispozici je cca 50 druhů čárových kódů, navržených pro nejrůznější aplikace očasto posuzován jen vnější efekt čárového kódu (urychlení operací a odstranění chyb obsluhy pokladny) odobře navržený a správně aplikovaný IS však poskytuje daleko cennější služby, tj. informace nnapř. přesný a okamžitý přehled o struktuře a množství prodaného zboží, o pohybu osob apod. označení s využitím čárového kódu je nejpropracovanější formou automatické identifikace vůbec ou nás nejznámější je soustava značení kódem EAN, která znamená jednoznačnou identifikaci jakéhokoliv zboží, které se objeví ve světové obchodní síti, rychle se rozšiřuje i značení sdružených obalových jednotek 7 > Karty oMagnetické snímací karty nnapř. platební karty, docházkové a objednávkové systémy, kopírovací karty atd. nzáklad karty tvoří magnetický pásek nesoucí identifikační údaje o majiteli karty. nbezpečnost těchto karet je ale malá vzhledem k tomu, že není relativně žádný technický problém pořídit si kopii magnetického proužku. 8 > Karty oČipové inteligentní karty n jsou vlastně o miniaturní počítač velikosti kreditní karty, který spolehlivě autentizuje uživatele a chrání data při velmi nízkých nákladech na pořízení a udržování nmikročip může pracovat jako pouhá paměť typu EPROM (například telefonní karty), nebo jako plnohodnotný mikroprocesor. nmikroprocesor pak poskytuje celou řadu služeb, jako je autentizace pomocí uloženého hesla, či kryptografické operace. ntyto karty obsahují několik základních prvků zachování bezpečnosti: odvoufaktorová autentizace uživatele, přístup do sítě je umožněn, pouze pokud se vloží karta do čtečky a zadá číslo PIN, obezpečné uchování digitálních certifikátů na přenosném a programovatelném mediu, karta umožňuje vygenerovat a uložit držitelův soukromý klíč a digitální certifikáty se zabezpečením proti neautorizovanému přístupu nebo kopírování, oodpovědnost uživatele za elektronické transakce, lze s jistotou určit, kdo a které elektronické operace provádí, uživatelé tak jsou plně zodpovědní za svoje aktivity online, ostrategie single sign-on (jediného přihlášení), zhuštění přihlašovací procedury do jediné metody řeší problém velkého počtu uživatelských jmen hesel bez ztráty na stupni zabezpečení. 9 > Systémy radiofrekvenční identifikace okarty nebo přívěsky, opatřené integrovaným obvodem reagujícím na elektromagnetické a rádiové vlny omají vlastní paměť, z níž lze data číst i je do ní rádiem ukládat. opoužívají se na osobní identifikační karty a identifikační přívěsky pro nejrůznější pohyblivé objekty jako jsou automobily, vagóny, kontejnery a podobně. oumožňuje speciálním snímacím zařízením přečíst číslo (kód) zboží, resp. obalové jednotky onositelem kódu je subminiaturní elektronický čip (transpondér), který vysílá příslušný kód na vzdálenost několika centimetrů do svého okolí, je tvořen elektronickým obvodem, který obsahuje přijímací/vysílací anténu, nabíjecí kondenzátor a paměť obsahují naprogramované údaje opotřebnou energii většinou čipu dodá čtecí zařízení (vysílač/snímač) okonstrukce čipu pak umožňuje jeho pevné zabudování do tělesa obalové jednotky, kde je zcela chráněn před vlivy prostředí oživotnost moderních radiofrekvenčních čipů je prakticky neomezená a v této aplikaci zdaleka přesahuje životnost obalové jednotky. o 10 > Hardwarový klíč ozařízení, které se připojí na počítač nebo jiné zařízení prostřednictvím paralelního nebo sériového portu, USB apod. olze ho použít v lokálním nebo síťovém provedení olokální klíč musí být připojen přímo na počítači, síťový klíč je připojen většinou na serveru oněkteré umožňují přístup k paměti v klíči, který je chráněn pomocí PIN onenalezne-li aplikace klíč, nespustí se nebo spustí pouze omezený modul (informace, demonstrační režim atd.). opodle úrovně zabezpečení, které nám poskytují je můžeme rozdělit: ntokeny pouze s pamětí, jsou obdobou mechanických klíčů, paměť může obsahovat jednoznačný identifikační řetězec, ntokeny udržující hesla, po zadání jednoduchého uživatelského hesla vydají určený kvalitní klíč, který udržují, ntokeny s logikou, umí zpracovávat jednoduché podněty typu vydej následující klíč, vydej cyklickou sekvenci klíčů, může mít omezen počet použití, pomocí těchto tokenů lze realizovat systém s one-time hesly, k ochraně programů, přístupům nk nejrůznějším placeným službám apod. ojsou nejpoužívanější ochranou pro komerční software vyšších cenových kategorií, ochraně aplikací již nainstalovaných na počítači a dat 11 > Elektronický klíč oplní funkce autentizace a certifikace (jednoznačné potvrzení správnosti předávaných dat) za pomoci šifrování. omobilní elektronický klíč se používá prostřednictvím mobilního telefonu oumožňuje to technologie GSM SIM Toolkit, kterou je dnes vybavena většina přístrojů opřístup k mobilnímu elektronickému klíči v telefonu je chráněn speciálním osobním identifikačním číslem (BPIN), veškerá komunikace s bankou probíhá šifrovaně 12 > PIN kalkulátor otechnicky autonomní zařízení s kódovanou čipovou sadou, která generuje autentizační kód okalkulátor pracuje samostatně bez jakéhokoli přímého propojení s počítačem nebo bankou ona základě vnitřních hodin PIN kalkulátoru (datum a čas) je generován v časovém intervalu cca 30 s autentizační kód opro každý tento časový interval a PIN kalkulátor je vygenerovaný kód jiný oověření správnosti kódu probíhá v zabezpečeném prostředí banky. opoužití SSL umožňuje autentizaci založenou na asymetrické kryptografii (typ 3), konkrétně X.509 certifikátech ouživatel obdrží osobní certifikát od certifikační autority os tímto certifikátem se pak může autentizovat v rámci skupiny serverů, které této certifikační autoritě důvěřují ouživatel může bez rizika použít jeden certifikát pro autentizaci na více místech (web serverech) ona rozdíl od jména/hesla, které je možno si lehce zapamatovat, certifikát nemusí mít uživatel vždy po ruce oosobní certifikáty obsahují základní údaje o uživateli a jsou tedy velmi vhodné pro "instantní registraci", tj. uživatel je ušetřen zdlouhavého vyplňování formulářů, protože základní údaje jsou převzaty právě přímo z certifikátu 13 > Biometrika ometoda identifikace podle biologických vlastností uživatele omezi tyto metody patří: notisky prstů; noční sítnice; noční duhovka; ntvář; nhlas; npodpis; ngeometrie ruky. 14 > Otisky prstů osystémy poměrně pokročilé také v oblasti verifikace přístupů do různých prostorů a k počítačům a sítím osnímače otisků využívají nejčastěji elektrický, optický, ultrazvukový, tepelný a tlakový princip snímání: 15 > Oko osnímání je prováděno kamerou, uloženou za zrcadlem opři snímání systém nejprve zaregistruje drobné mimoděčné pohyby pro ověření „živosti“ oka, pak proběhne zaostření sejmutí a vyhodnocení. 16 > Rozpoznávání obličeje ovyužívají programově simulovaných neuronálních sítí a prvků umělé inteligence opři videoanalýze napodobují algoritmy lidského mozku, tím je dodávána novým systémům schopnost „naučit“ se podobu jednotlivých osob a následně ji porovnávat se snímaným obrazem otechnologie používá jako základ pro biometrickou identifikaci obličejovou charakteristiku., pro zakódování obličeje jsou používány speciální algoritmy omatematické transformace zajistí převod do indexu, který může být uložen ve standardní databázi pro velmi rychlé následné prohledávání. ok hlavním výhodám patří nenáročnost na uživatele a přirozený způsob verifikace a identifikace odpovídající lidským postupům ou špičkových systémů lze dosáhnout velmi vysoké bezpečnosti a spolehlivosti bez možnosti oklamání 17 > Verifikace lidského hlasu oidentifikace osoby pomocí rozšířené analýzy digitálního „otisku hlasu“ otvar hlasivek, ústní dutiny, jazyka a zubů způsobují, že rezonance vokálního traktu je u různých osob dostatečně odlišná ojednou z nejúspěšnějších technik je porovnávání vzorků pomocí analýzy signálů řeči ntestovaný subjekt přečte systémem náhodně zvolenou frázi, sejmutá zvuková stopa je kmitočtově omezena (nejčastěji 3kHz) a je proveden rozbor zvuku na základě původu jednotlivých složek zvuku v činnosti hlasového aparátu a jazykových pravidel nvýsledek je komprimován na vzorek velikosti 1 až 2 kB a porovnán se srovnávacím vzorkem. Verifikace hlasu se používá zejména k řízení přístupu do informačních systémů prostřednictvím telefonu 18 > Podpis oosoba se musí podepsat na speciální podložku pomocí speciálního pera osystém ověřuje podpis osoby na základě porovnání s uloženým podpisovým vzorem, který popisuje, jak byl popis napsán. onení důležitá jen podoba podpisu či tvar písmen, ale důraz je kladen na dynamiku podpisu, provedení tahů, sílu, kterou tlačíme při psaní na podložku, rychlost psaní, změny tlaku, zrychlení v jednotlivých částech, celkový průběh zrychlení, zarovnání jednotlivých částí podpisu, celková rychlost, celková dráha a doba pohybu pera na a nad papírem apod. oto vše podává jednoznačnou charakteristiku libovolného podpisu oze získaných hodnot je opět vytvořen vzorek, který je porovnán se srovnávacím vzorkem odo této skupiny lze zařadit i metody využívající sledování rytmu psaní na klávesnici. 19 > Tvar ruky oměření fyzikálních charakteristik ruky a prstů z hlediska třídimensionální perspektivy ozkoumá se délka a šířka dlaně a jednotlivých prstů, boční profil ruky apod. otvar ruky je snímán speciálním skenerem, který produkuje třírozměrnou fotografii a redukuje tato data do malého vzorku ospeciální systémy mohou využívat identifikaci podle tvaru chodidla, způsobu chůze atd. 20 > Doklady odoklady, jejichž primární funkcí je určení totožnosti majitele nnapř. občanský průkaz apod.; odoklady, pomocí kterých majitel prokazuje určité oprávnění nnapř. řidičský průkaz apod. 21 > Strojově čitelné cestovní doklady ospecifikace jsou stanoveny v dokumentu 9303 Mezinárodní organizace pro civilní letectví (ICAO) opodle těchto norem se strana s osobními údaji dělí na dvě zóny: 22 > Strojově čitelné zóny - formáty 23 > Strojově čitelné údaje otyp dokladu, okód vydávajícího státu, opříjmení jméno, popřípadě jména občana, očíslo cestovního dokladu, ostátní občanství, odatum narození, opohlaví, odoba platnosti dokladu, orodné číslo okontrolní číslice, které jsou číselným vyjádřením vybraných údajů ve strojově čitelné zóně. 24 > Nosič dat (čip) ouchování údajů o nzobrazení obličeje, notiscích prstů rukou, núdajích zpracovaných na datové stránce cestovního pasu ndalších bezpečnostních prvcích stanovených přímo použitelnými právními předpisy Evropských společenství nobsahuje digitálně zpracovanou fotografii občana a jeho podpisu ouvedené biometrické údaje lze použít výlučně pro ověření totožnosti občana pomocí osobních údajů zapsaných v cestovním dokladu a prostřednictvím technického zařízení umožňuje srovnání aktuálně zobrazených biometrických údajů občana (zobrazení obličeje, otisky prstů) s údaji zpracovanými v nosiči dat cestovního dokladu ok žádosti o vydání cestovního pasu se nepředkládá fotografie, úředník pořídí fotografii žadatele přímo na oddělení cestovních dokladů oelektronické doklady se obvykle využívá rádio-frekvenční rozhraní 25 > Zabezpečení dokladů oprvky zamezujícími jejich falzifikaci oochrany před nkopírováním nneoprávněným čtením dat z čipu omechanismus autentizace je realizován jako digitální podpis datových souborů označovaných DG1 až DG19, což jsou soubory nesoucí aplikační data pasu ona českých pasech jsou využívány: oDG1 – kopie strojově čitelné zóny pasu; oDG2 - biometrická fotografie držitele oDG3 - otisk palce; oDG15 - veřejný klíč aktivní autentizace 26 > Identifikační doklady odvě hlavní kategorie identifikačních dokladů: ncestovní dokumenty; nnárodní průkazy totožnosti. ovšechny, bez ohledu na využívané technologie musí být chráněny proti padělání a krádežím (usurpování) identity orůznost předpisů a zvyklostí nejen ve světě, ale i uvnitř Evropské unie. Jde především o to, že: nv některých zemích je národní průkaz totožnosti dobrovolný, někde není využíván vůbec a jeho funkci plní pas; nna území jednotlivých států platí zároveň několik typů dokumentů, založených na různých technologiích o 27 > Identifikační doklady odvě hlavní kategorie identifikačních dokladů: ncestovní dokumenty; nnárodní průkazy totožnosti. ovšechny, bez ohledu na využívané technologie musí být chráněny proti padělání a krádežím (usurpování) identity orůznost předpisů a zvyklostí nejen ve světě, ale i uvnitř Evropské unie. Jde především o to, že: nv některých zemích je národní průkaz totožnosti dobrovolný, někde není využíván vůbec a jeho funkci plní pas; nna území jednotlivých států platí zároveň několik typů dokumentů, založených na různých technologiích o 28 > Občanský průkaz ona zadní straně je umístěn kontaktní elektronický čip, do kterého lze nahrát elektronický podpis (podle § 17b odst. 1 zákona číslo 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů). 29 > Cestovní doklady s biometrickými prvky 30 Pas.gif > Vízum 31 Vizum.gif > Průkaz o povolení k pobytu pro cizince z třetích zemí 32 PP1.gif PP2.gif > Řidičský průkaz 33 http://international.drivingpermit.org.uk/licence/samples/idp_book_2.jpg > Děkuji za pozornost. Otázky?