Процесс регистрации выходит за рамки настоящего стандарта.
Таблица 10 - Получение биометрических информационных шаблонов(ов) - команда APDU (необязательно)
Параметры команды | Значение |
CLA INS | согласно ISO / IEC 7816-4' 'СА' – ПОЛУЧИТЬ ДАННЫЕ |
P1-P2 | '7F60' Пример: шаблон биометрической информации |
Поле Lе | '00' |
Для кодирования команды GET DATA см. ISO / IEC 7816-4, 11.4.3.
Таблица 11 - Получение биометрических информационных шаблонов (ы) - ответ APDU (необязательно)
Параметры команды | Значение |
Поле данных | BIT (поле значений шаблонов биометрических данных) |
SW1-SW2 | См. ISO / IEC 7816-4 |
Формат формата биометрической информации см. В разделе 6.3.3.3 «Биометрические шаблоны».
6.3.3 Выполнение проверки биометрического пользователя
6.3.3.1 Общие положения
Необходимо выделить две ситуации:
- Сенсорная карта;
- Датчик на плате.
Безопасная передача сообщений (см. 9.7) требуется при выполнении команд по биометрической проверке пользователя с помощью Офсетной карты.
6.3.3.2 Считыватель датчика
Датчик находится за пределами ICC, то есть захваченные биометрические данные должны быть отправлены в ICC для сопоставления на карте.
IFD извлекает шаблон биометрической информации с помощью команды GET DATA в соответствии с разделом 6.3. Соответствующий атрибут пути в приложении криптографической информации обозначает DF, который должен быть выбран до этой команды GET DATA.
Затем IFD использует команду VERIFY для обработки биометрических данных, структурированных в соответствии с биометрическим шаблоном.
Таблица 12 - Биометрическая проверка пользователя - команда APDU (биометрическая проверка)
Параметры команды | Значение |
CLA INS | согласно ISO / IEC 7816-4' 'СА' – ПРОВЕРКИ |
P1 P2 | '00' 'хх' в соответствии с 6.1.1. |
Поле Lс | Длина поля данных команды |
Поле данных | <шаблон биометрических данных> см. в таблице 14 |
Структура и содержание APDU относятся к ISO / IEC 7816 4, 11.5.6.
Таблица 13 - Биометрическая проверка пользователя 2 из 2-х ответов APDU
Параметры отклика | Значение |
Поле данных | отсутствует |
SW1-SW2 | См. ISO / IEC 7816-4 |
6.3.3.3. Биометрические шаблоны
Таблица 14 - шаблон биометрических данных
Метка | Длина | Значение |
'7F 2E' | Var. | Шаблон биометрических данных |
Метка | Длина | |
'81' | Var. | Биометрические данные со стандартным форматом (примитивное кодирование) |
Таблица 15 - Шаблон биометрической информации
Метка | Длина | Значение | Присутствие |
'7F 60' | Var. | Биометрический шаблон информации (BIT) | |
Метка | Дли на | Значение | |
'83' | '01' | Спецификатор ссылочных данных в соответствии с 6.1.1. | Обязательное |
'A1' | Var. | Биометрический шаблон заголовка (BHT) в соответствии с требованиями CBEFF | Обязательное |
Метка | Длина | Значение | |
'81' | '01' | '08' (отпечаток пальца) | Обязательный |
'82' | '01' | Биометрический подтип (см. ISO / IEC 7816 11: 2004, таблица C.3) | Обязательный |
'87' | '02' | '0101' (ISO / IEC JTC 1 / SC37) | Обязательный |
'88' | '02' | '00 05' | Обязательный |
'B1' | Var. | Параметры алгоритма биометрического сопоставления | Опционально |
Метка | Длина | Значение | |
'81' | '02' | Минимальное количество необходимых мелочей (1 байт, двоичное кодирование) || Максимальное количество принятых мелочей (1 байт, двоичное кодирование) |
6.3.3.4 Датчик на плате
Для проверки на карте команда VERIFY выбирает ссылку на биометрические данные через P2.
Поток выполнения
Таблица 16 - Биометрическая проверка - команда APDU
Параметры команды | Значение |
CLA | Согласно ISO/IEC 7816‑4 |
INS | '21' ПРОВЕРКИ |
P1 | '00' не указан алгоритм |
P2 | ['0x' | '8'x] спецификатор ссылочных данных в соотв. к 6.1.1. |
Lc поле | Длина поля данных команды |
Поле данных | '5F2E' '00' || '4D' '00' пустая проверка DO и расширенная. список заголовков DO |
Описание команды относится к ISO/IEC 7816-4, 11.5.6.
Длина существующих эталонных данных известна в ICC, поэтому ни разделитель, ни заполнение для заполнения фиксированных форматов не требуется.
Таблица 17 - Биометрическая проверка - ответ APDU
Параметры отклика | Значение |
Поле данных | отсутствует |
SW1-SW2 | См. ISO / IEC 7816-4 [2] |
Структура и содержание APDU относятся к ISO / IEC 7816-4, 11.5.6.
6.3.4 Сброс RC
Для сброса RC см. Раздел 6.1.5. В отношении биометрических справочных данных в этом документе указаны только варианты команд RESET RETRY COUNTER, которые используют P1 = '01' и P1 = '03'. Использование вариантов команд с P1 = '00' и P1 = '02' выходит за рамки документа, так как процесс регистрации не определен в этом документе.
7 Служба цифровой подписи
7.1 Общие положения
Эта глава связана с техническими аспектами электронных подписей в соответствии с разделом 3 «Электронная подпись» Правил ЕС [1].
ПРИМЕЧАНИЕ. Для QES дополнительные организационные аспекты должны рассматриваться как оценка, сертификация, аккредитация CA.
Технические требования выполняются в соответствии с требованиями настоящего стандарта.
7.2. Алгоритмы генерации подписи
Для генерации сигнатур применяются алгоритмы, указанные в существующих европейских и национальных каталогах алгоритмов. Примеры существующих документов приведены в [4] [5] [6] [7].
7.3. Активация службы цифровой подписи
Чтобы включить услугу цифровой подписи, пользовательская проверка должна применяться до генерации подписи.
Select signature key and paramenters – Выбор ключа подписи и параметров
User Verification - Проверка пользователей
Signature Generation - Генерация подписи
ПРИМЕЧАНИЕ. Цикл управляется подписывающим устройством, т. Е. Подпись не создается без преднамеренного действия.
Рисунок 4 - Пользовательская проверка подписчика
См. Рисунок 1 для обзора потока генерации подписи.
Основанное на знаниях взаимодействие всегда выражает явную волю владельца карты подписать документ, тогда как биометрическая идентификация не обязательно подразумевает намерение подписать.
Описание проверки пользователя см. В разделе 6.
7.4 Общие аспекты
Процесс цифровой подписи состоит из нескольких этапов. Некоторые из них выполняются за пределами ICC, некоторые из них выполняются внутри ICC, а некоторые из них могут выполняться с обеих сторон.
Рисунок 5 - Схема потока данных для процесса генерации подписи (пример RSA)
На рисунке 5 показан пример альтернатив для обработки подписи хэш-данных. Элементы форматирования ввода подписи не рассматриваются на рисунке 5. Номера 1..5 относятся к шагам, описанным ниже. Промежуточный хеш-код - это дайджест предыдущих раундов хеширования, за которым следует большой бит бит. Передаются только полные хэшированные блоки, поэтому длина data_1 (при частичном хешировании) всегда кратно размеру дайджеста, связанного с применяемым алгоритмом.
В принципе, процесс генерации подписи работает следующим образом:
1. Процесс генерации подписи начинается с произвольного сообщения.
2. Необязательно исходное сообщение отформатировано определенным образом. Как правило, к произвольному сообщению добавляются атрибуты подписи и другая форматная информация, кроме фактического документа, который должен быть подписан. Процесс предварительной форматирования хэшируемых данных выражается как механизм Format_1. Спецификация механизма форматирования формата Format_1 выходит за рамки этого документа. Это может потребовать, например, также дополнительный поток данных от или до ICC.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
