Under 23-27 september hade ISO/SC17 möte i Singapore. Jag hade nöjet att representera Sverige i “Work group 4” och tänkte dela med mig lite av det som händer.
Vi har alla läst om hur lätt Mifare är att knäcka. Samtidigt fortsätter nästan hela marknaden av passagesystem att jobba med oskyddad kommunikation, i de flesta fall bara ett oskyddat serienummer.
Sedan 2010 finns den Australienska standarden AU 5185-2010 som jobbar med RSA, AES och SHA-1. Australien har sedan dess jobbat hårt för att ISO ska höja upp den till internationell standard.
Jag tycker den här utvecklingen är riktigt spännande. Att få en standard som gör att vi skulle kunna använda befintliga generiska dual interface kort (alltså kort som man kan komma åt både via vanlig kortläsare och trådlös kortläsare) till valfritt inpasseringssystem tycker jag låter som en utmärkt idé som kan sänka kostnaderna för många.
Det finns några ändringar som ISO kommer att göra i jämförelse med den Australienska standarden, främst att byta till RSA med 2048 bitar och SHA-256.
WG1, WG4 och WG11 håller på att ta fram en ny standardserie, ISO/IEC 18328 som handlar om “enheter på smarta kort” (“Devices on Smart cards”).
Serien går ut på att standardisera kopplingen till enheter som egentligen inte är en del av det smarta kortet, men som fysiskt eller logiskt tillhör det. Exempel på det är en display som är en del av det fysiska kortet eller en pin-pad som är en del av det fysiska kortet.
Ett användningsfall är en säker signaturenhet (“Secure Signature Creation Device” = SSCD) som används när man skapar kvalificerade signaturer. Applikationen kan då, via SecureMessaging, skicka ner det som användaren ska signera till kortet som då visar det på skärmen och sedan ber användaren om sin PIN-kod. Användaren skriver sedan sin PIN-kod direkt på kortet som har egna knappar för det. På det viset slipper man helt att PIN-koden finns i den trojansmittade datorn.
Det finns en ny standardserie, ISO/IEC 18370, som hanterar “blinda signaturer”. I Sverige hanteras den av SIS/TK318.
Som jag har förstått det är “blinda signaturer” egentligen ett dåligt begrepp, då jag uppfattar att det har mer med skydd av privatlivet (”privacy”) att göra. Varken signatören eller mottagaren av signaturen ska kunna spåra signaturen.
Det finns en skrivning i standarden som ger mig lite fjärilar i magen och det är att signatören inte verkar kunna se vad som signeras, vilket då skulle vara en signatur i blindo. Med tanke på det tror jag inte att det kommer att vara så intressant i Sverige, men vem vet?
Referenser: ISO/IEC 18370, ISO/IEC 9796 (signaturformat) och ISO/IEC 14888.
Alla standarder revideras var 5:e år och just nu pågår den uppdateringen för 7816-15. Detta är en relativt stabil standard och jag upplever att den inte så intressant för de flesta av medlemmarna.
Ett behov som vi sett från Sverige är möjligheten att peka ut oanvända nycklar. Historiskt har vi i Sverige gjort det i filen 5033, vilket är EmptyArea. Det är inte en korrekt lösning och 5033 ska inte heller användas i ISO/IEC 7816-15. Därför hade vi föreslagit två olika förändringar till WG4. Det slutade med att Frankrike och vi enades om en gemensam lösning där vi lägger till ett fält (“currentlcs”) i CommonObjectAttributes som kommer att indikera statusen på nyckeln.
Standarden går till nu till tredje steget, “committee draft”.
Ett problem som uppmärksammades är att det idag inte finns något sätt att ropa tillbaka från kortet till datorn. Tänk dig t.ex. scenariot med ett jobb som kommer att ta lång tid på det smarta kortet. Det vore då praktiskt att få information hur långt jobbet har kommit så att man kan informera användaren om det. På så vis kan användaren få en indikation om att jobbet inte har hängt sig och ungefär hur lång tid det är kvar.
I ISO/IEC 7816-3 så har vi alltid ett kommando och ett svar (“Command-Response pair”) och det finns inte någon möjlighet där att få information från kortet som inte initierats utifrån.
Det är i dagsläget svårt att se hur en lösning skulle kunna implementeras.
En större uppdatering görs just nu av ISO/IEC 7816-11 för att kunna bättre hantera biometrisk inloggning mot kortet istället för att ange en PIN-kod.
7816-4 släpptes i en ny version 2013 och ISO jobbar nu på ett felrättningar, bl.a. för att ISO-editorn lyckades med att förstöra en del referenser i samband med publiceringen.
Eftersom det är en felrättning får man formellt inte införa någon ny funktionalitet och inte heller rätta ”fel-tänk” utan det ska vara otydligheter och skrivfel som avses. Eftersom 7816-4 är en ”låg” standard så bygger många andra standarder på den och intresset är högt.
Många av diskussionerna som uppstår är huruvida en föreslagen ändring verkligen är en felrättning eller om det är en ändring.
Frankrike ville påbörja ett tillägg (addendum) till standarden för att få in mer funktionalitet med tanke på kraven från ISO/IEC 18370, ”Blinda signaturer”, vilket dock röstades ner av övriga medlemmar.
Det kommer att vara ett Ad-hoc möte i Madrid 6-8 oktober och nästa formella möte är i London slutet av januari.