- EF. SN, который содержит серийный номер карты
- EF. DM, который содержит отображаемое сообщение
- EF. SD, который содержит восстанавливаемые данные для описания службы.
Атрибут метки используется как уникальная ссылка для этих файлов в информационном объекте контейнера данных.
- EF. DCOD
en14890-1-EFDCOD EFDCOD :: =
{
- EF. SN содержит серийный номер ICC
opaqueDO:
{
commonObjectAttributes
{
ярлык «EF. SN»,
accessControlRules
{
{
accessMode {read},
securityConditionalways: NULL
}
}
},
classAttributes
{
applicationName "A000000167455349474E"
},
typeAttributes
косвенный: путь: {efidOrPath '3F002F02'H}
},
- Отображать сообщение
- Механизм отображения сообщений используется держателем карты, чтобы убедиться, что надежный канал между IFD и ICC установлен, см. «Чтение отображаемого сообщения» EN 419212-3, п. 3.14.
opaqueDO:
{
commonObjectAttributes
{
метка «EF. DM»,
флаги {частные, модифицируемые},
accessControlRules
{
accessMode {update},
securityCondition или:
{
и:
{
authId: '01'H, - Перекрестная ссылка на PIN. CH. AUT
authReference:
{
authMethod {userAuthentication},
seIdentifier 1
}
},
и:
{ authId: '01'H, - Перекрестная ссылка на PIN. CH. AUT
authReference:
{
authMethod
{
secureMessaging,
extAuthentication,
userAuthentication
},
seIdentifier 2
}
}
}
accessMode {read},
securityConditionauthReference:
{
authMethod {secureMessaging, extAuthentication},
seIdentifier 2
}
}
},
- applicationName или applicationOID должны присутствовать
classAttributes
{
applicationName "A000000167455349474E" - ПОМОЩЬ приложения EN 14890-1
},
- путь к EF, который содержит отображаемое сообщение
typeAttributes
косвенный: путь: {efidOrPath '3F003F01D000'H}
},
- Описание услуг
- EF. SD содержит восстанавливаемые данные в соответствии с
- Стандарт ISO/IEC 24727
opaqueDO:
{
commonObjectAttributes
{
ярлык «EF. SD»,
accessControlRules
{
{
accessMode {read},
securityConditionalways: NULL
}
}
},
classAttributes
{
applicationName "A000000167455349474E"
},
typeAttributes
косвенный: путь: {efidOrPath 'C0'H}
}
}
Приложение A
(Обязательное)
Среда безопасности
А.1 Общие положения
Среда безопасности определяет набор параметров безопасности, например, ключевые идентификаторы, идентификаторы алгоритмов и режимы операций безопасного обмена сообщениями. Файлы и объекты данных содержат определения доступа, которые могут ссылаться на эти среды безопасности или напрямую ссылаться на параметры безопасности.
Среда безопасности состоит из набора шаблонов контрольных ссылок (CRT), которые кодируют конкретные значения параметров безопасности.
Любая среда безопасности кодируется как объект данных «7B». В файле EF_SECENV можно указать несколько сред безопасности, на которые можно ссылаться в информации управления файлом файла с тегом «8D»). Соответствующий номер среды безопасности упоминается в действительных условиях доступа к файлу / объекту данных.
Рисунок A.1 - Среды безопасности и CRTs
На рисунке A.1 показан пример трех сред безопасности, определенных в этой главе. Первая среда безопасности используется в качестве среды безопасности по умолчанию.
Если используются дополнительные службы из этой части, различным службам могут потребоваться разные среды безопасности. В частности, если для разных служб используется одна и та же команда (например, COMPUTE DS для генерации подписи и аутентификации Client/Server), для выбора различий между этими случаями требуется выбор SE.
Следующие кодировки служат в качестве «языка» для выражения функциональности, которая должна быть достигнута для среды безопасности. Только функциональность является обязательной, однако одна и та же функциональность может быть достигнута путем другого кодирования.
____________________________
7) согласно ISO-7816-4
Определения, приведенные в следующих A.2-A.4, определяют конкретный пример среды безопасности и соответствующих кодов правил доступа. Для этих примеров были сделаны следующие варианты
- ключевой транспортный протокол
- проверка знаний на основе знаний
- Команда PSO: COMPUTE DIGITAL SIGNATURE в контексте проверки подлинности клиента / сервера.
A.2 Определение CRTs (примеры)
А.2.1 Общие положения
Для применения ESIGN межсетевые типы контрольных шаблонов управления (CRT) в соответствии с ISO / IEC 7816 4 и ISO / IEC 7816 9 должны использоваться в контексте сред безопасности.
CRTs безопасности, как показано на рисунке A.1.
Таблица A.1 - Шаблоны контрольных ссылок для сред безопасности
Метка | Значение |
‘A4’ | CRT, действительный для аутентификации (AT) |
‘B4’ | CRT, действительный для криптографической контрольной суммы (CCT) |
‘B6’ | CRT, действительный для цифровой подписи (DST) |
‘B8’ | CRT действует для конфиденциальности (CT) |
Содержимое CRT DOs, на которое ссылаются эти теги, состоит из ДО из следующего списка:
Таблица A.2. Объекты данных в CRTs
Метка | Длина | Значение |
‘95’ | ‘01’ | Байт байта использования (UQB) |
‘83’ | переменная | Ссылка на открытый или секретный (symm. Case) ключ |
‘84’ | переменная | Ссылка на закрытый ключ |
‘80’ | переменная | ID алгоритм |
Байт квалификатора использования (UQB) может указывать использование шаблона либо в качестве условия безопасности, либо в соответствии с командой MSE.
DO с тегом «83» ссылается на секретный (например, сеанс)) или открытый ключ, тег «84» ссылается на закрытый ключ, см. ISO / IEC 7816-4. Идентификаторы ключей не предписываются спецификацией E Sign K. Идентификаторы ключей указаны в приложении CIA.
Если присутствует идентификатор алгоритма, он должен соответствовать спецификации E Sign K.
____________________
?) ISO 7816-4 определяет тег '84' для ключа, который вычисляет ключ сеанса, однако в этом примере уже вычисленный ключ сеанса ссылается на тег '83'.
A.2.2 CRT для аутентификации (AT)
UQB является необязательным, а также идентификатором алгоритма.
Требуются следующие шаблоны аутентификации:
- AT_1 для проверки пользователя на основе знаний с использованием глобального PIN-кода:
PIN. CH. ADMIN
- AT_2 для проверки пользователя на основе знаний с помощью PIN-кода PIN. CH. DS
- AT_3/4 для аутентификации внешних устройств и для внутренней аутентификации устройства (может быть объединен)
Эти шаблоны кодируются следующим образом АТ_1
Таблица A.3 - Структура и содержание AT_1
‘A4’ | LA4 | CRT аутентификация (AT) |
‘95’ | ‘01’ | '08' = UQB: пользовательская проверка, основанная на знаниях |
‘83’ | L83 | ссылка на глобальный пароль PIN. CH. ADMIN |
... другие DO, если требуется |
AT_2
Таблица A.4 - Структура и содержание AT_2
‘A4’ | LA4 | CRT аутентификация (AT) |
‘95’ | ‘01’ | '08' = UQB: пользовательская проверка, основанная на знаниях |
‘83’ | L83 | ссылка на PIN. CH. DS |
... другие DO, если требуется |
AT_3
Таблица A.5 - Структура и содержание AT_3
‘4’ | LA4 | CRT аутентификация (AT) |
‘95’ | ‘01’ | '80' = UQB: внешняя аутентификация |
‘83’ | L83 | ссылка на PuK. IFD. AUT |
‘84’ | L84 | ссылка на PrK. ICC. AUT |
‘80’ | ‘01’ | 'Xx' = ссылка на алгоритм, см. EN 419212-1, Таблица 144. |
... другие DO, если требуется |
AT_4
Таблица A.6 - Структура и содержание AT_4
‘A4’ | LA4 | CRT аутентификация (AT) |
‘95’ | ‘01’ | '80' = UQB: внешняя аутентификация |
‘83’ | L83 | ссылка на PuK. IFD. AUT |
‘84’ | L84 | ссылка на PrK. ICC. AUT |
‘80’ | ‘01’ | 'Xx' = ссылка на алгоритм, см. EN 419212-1, Таблица 144. |
... другие DO, если требуется |
A.2.3 CRT для криптографической контрольной суммы (CCT)
UQB является необязательным, ключевая ссылка обязательна, идентификатор алгоритма не должен использоваться.
Требуются следующие шаблоны CCT:
- CCT_1/_2 для безопасного обмена сообщениями в полях данных команды и в полях данных ответа (может быть объединен)
Эти шаблоны кодируются следующим образом:
CCT_1
Таблица A.7 - Структура и содержание CCT_1
‘B4’ | LB4 | CRT Криптографическая контрольная сумма (CCT) |
‘95’ | ‘01’ | '10' - UQB: SM в поле данных команд |
‘83’ | L83 | ссылка на ключ сеанса связи K (MAC) |
... другие DO, если требуется |
CCT_2
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
