TEOPKI - T5 TEOPKI-kortin siruprofiili

Transkriptio

1 TEOPKI MÄÄRITYS TEOPKI - T5 TEOPKI-kortin siruprofiili v0.95 Terveydenhuollon oikeusturvakeskus (TEO) Varmennepalvelut PL Helsinki Suomi

2 TEOPKI - T5 /v0.95 i Tekijät Nimi Nimikirjaimet Organisaatio Sähköposti Antti Partanen AP TEO antti.partanen@teo.fi Versiohistoria Versio Pvm Tekijä Muutokset ja huomautukset Tila AP Päivitetty EF(TokenInfo) tiedoston kuvaus, korjattu EF(UnusedSpace) esimerkin koodaus vastaamaan tyypillisiä tila-allokointeja, päivitetty viittaukset muihin TEOPKI-määritysten versionumeroihin. Luonnos AP Ensimmäinen julkinen versio Luonnos

3 TEOPKI - T5 /v0.95 ii Sisällys 1. Esipuhe TEOPKI-toimikortit Lähdeaineistot TEOPKI T Sirukortin vaatimukset Sirukortin toiminnallisuusvaatimukset Yksityiset avaimet Tunnusluvut Loppukäyttäjän varmenteet Varmentajan varmenteet Objektit Tiedostorakenne Tiedostorakenne Tiedostojen koot ja suojaukset Tiedostot MF EF(DIR) Authentication Object #1 (PIN 1) Authentication Object #3 (SO-PIN) DF(EID PKCS#15 Application) EF(TokenInfo) Authentication Object #2 (PIN 2) EF(ODF) EF(AODF) EF(PrKDF) Private RSA Key # Private RSA Key # EF(CDF #1) EF(CDF #2) EF(CDF #3 trusted certs) EF(Certificate #1) EF(Certificate #2)... 19

4 TEOPKI - T5 /v0.95 iii EF(CA Certificate #1) EF(CA Certificate #2) EF(DODF) EF(UnusedSpace) EF(EmptyArea) EF(PrivateEmptyArea) Juurivarmenne (Root certificate) Varmentajan varmenteet (CA certificates) Käyttäjävarmenteet (end entity certificates)... 21

5 TEOPKI - T5 /v0.95 iv Lyhenteet Lyhenne Pitkä muoto Suomeksi CA Certification Authority Varmentaja CA Cert CA Certificate Varmentajan varmenne CERT Certificate Varmenne DN Distinguished Name Yksilöivä nimi EID Electronic ID Sähköinen henkilöllisyys FID File Identifier Tiedoston kaksitavuinen nimi/tunnus IIN Issuer Identification Number Kortinantajatunnus OID Object IDentifier Objektin tai attribuutin yksilöivä tunnus PIN Personal Identification Number Henkilökohtainen tunnusluku PKI Public Key Infrastructure Julkisen avaimen infrastruktuuri PUK PIN Unblocking Key Avaustunnusluku QC Qualified Certificate Laatuvarmenne RFC Request For Comments IETF:n määritys ( ROOT CA Root Certification Authority Juurivarmentaja ROOT Cert Root Certificate Juurivarmenne SO_PIN Security Officer PIN Hallinnointitunnusluku TEO/NAMA National Authority of Medicolegal Affairs TEOPKI Valtteri Valvira Terveydenhuollon oikeusturvakeskus TEO:n varmennepalveluinfrastruktuuri Valtakunnallinen terveydenhuollon varmennerekisteri Sosiaali- ja terveysalan lupa- ja valvontavirasto Sanasto Applet Issuer Subject Sovelma (java-applet) Varmenteen myöntäjä (CA) Varmenteen haltija/varmennettu kohde

6 TEOPKI - T5 / v0.95 1(21) 1. Esipuhe Kaikki TEOPKI-määritykset perustuvat kansainvälisiin ja kansallisiin standardeihin ja määrityksiin. Tämä dokumentti kuvaa TEO:n toimikorttien siruprofiilin ja tietosisällön. Toimikortit sisältävät TEO:n tuottamat loppukäyttäjävarmenteet sekä TEO:n juuri- ja varmentajan varmenteet. Julkiset TEOPKI-määritykset koostuvat: TEOPKI P1 - Varmennepolitiikka- ja varmennuskäytäntöasiakirjat TEOPKI T2 - TEO:n CA-malli ja varmenteiden tietosisältö, v0.95 TEOPKI T3 - Varmennehakemistomääritys, v0.95 TEOPKI T4 - Electronic Identity Application, vx.x TEOPKI T5 - TEOPKI-kortin siruprofiili, v0.95 TEOPKI-dokumentaatio on saatavilla osoitteesta: IETF PKIX -dokumentaatio on saatavilla osoitteesta: ETSI:n dokumentaatio on saatavilla osoitteesta: PKCS-määritykset ovat saatavilla osoitteesta: ISO/IEC-standardit ovat hankittavissa osoitteesta:

7 TEOPKI - T5 / v0.95 2(21) 2. TEOPKI-toimikortit Tämä dokumentti kuvaa TEO:n toimikorttien siruprofiilin, tiedostorakenteen ja tietosisällön. TEO:n toimikorttien toteutus pohjautuu pääasiassa ISO/IEC 7816-sarjan standardeihin sekä RSA Labs PKCS#15 määritykseen. TEO:n toimikorttien pääasiallinen käyttäjäryhmä ovat terveydenhuollon ammattihenkilöt ja muut terveydenhuollon ja sen sidosryhmien toimijat Suomessa. Toimikorttien teknisissä määrityksissä on voitu hyödyntää toimialakohtaisista erityispiirteistä huolimatta kansainvälisiä yleisstandardeja ja määrityksiä sellaisenaan. Toimikortin sirun komentorajapinta on kuvattu TEOPKI T4 määrityksessä. Tämä määritys keskittyy toimikortin sirun tietosisältöön. Tässä dokumentissa ei kuvata toimikorttien visuaalista ulkoasua eikä mahdollisia muita toimikorttien teknisiä ominaisuuksia, esim. etälukua, kulunvalvontaa, yms. Toimikorteille tallennettavat käyttäjän varmenteet sekä ne myöntäneen varmentajan varmenteet on kuvattu TEOPKI T2 varmennemäärityksessä. TEO:n toimikorteissa käytetään TEO:lle myönnettyä ISO/IEC 7812 standardin mukaista kansallista kortinantajatunnusta (IIN).

8 TEOPKI - T5 / v0.95 3(21) 2.1. Lähdeaineistot Tämä määritys perustuu seuraaviin määrityksiin ja standardeihin: RSA Laboratories: PKCS #15 v1.1: Cryptographic Token Information Format Standard, June 2000 ISO/IEC 7816 Identification cards -- Integrated circuit cards -- Part 1-4, 8 ISO/IEC 7812 Identification cards -- Identification of issuers -- Part 1-2 TEO: TEOPKI T2 - TEO:n CA-malli ja varmenteiden tietosisältö, v0.95, Joulukuu

9 TEOPKI - T5 / v0.95 4(21) 3. TEOPKI T5 TEOPKI T4 määrittelee toimikortin EID-sovelluksen komentorajapinnat sekä muut yleiset ominaisuudet. Se ei kuitenkaan ota kantaa esim. sirulla olevien yksityisten avainten määrään tai niiden käyttötarkoituksiin, PIN-tunnuslukujen määrään, varmenteisiin eikä siihen miten nämä tiedot ovat sirulle tallennettu ja suojattu. Nämä yksilöintitiedot on kuvattu tässä TEOPKI T5 siruprofiilimäärityksessä. Nykyaikaiset toimikortit soveltuvan yleisesti ns. monisovelluskorteiksi jolloin samalla toimikortin sirulla voi olla useita erillisiä sovelluksia. Tämä dokumentti ei ota kantaa näihin muihin mahdollisiin sovelluksiin tai käyttökohteisiin vaan tässä määrityksessä on kuvattu ne tiedostot ja rakenteet jotka ovat kortin EID-sovelluksessa varattu TEOPKI-sovelluksen käyttöön ja jotka tulee huomioida suunniteltaessa samalle sirulle mahdollisia muita sovelluksia. 4. Sirukortin vaatimukset Toiminnallisuusvaatimukset sirun komentorajapinnalle ja sovelluksen valinnalle on kuvattu TEOPKI T4 määrityksessä. Tämän TEOPKI T5 määrityksen mukainen tiedostorakenne on toteutettavissa eri sirualustoille. Toteutuksissa tulee kuitenkin huomioida sirualustan eri osakokonaisuuksien (siru, sirun käyttöjärjestelmä, sovelmat) turvataso (esim. CC EAL 4+ tai EAL 5+), em. osakokonaisuuksien tarjoamien eri turvaominaisuuksien hyödyntäminen, yhteensopivuus käytössä oleviin muihin sirualustoihin sekä muut ominaisuudet, esim. riittävä muistikapasiteetti (vähintään 16KB, käytännössä 32KB) ja riittävä suorituskyky aiottuun käyttötarkoitukseen. 5. Sirukortin toiminnallisuusvaatimukset Sirulle tulee olla tallennettuna käyttäjän varmenteet ja niitä vastaavat yksityiset avaimet. Avaimet tulee suojata siten ettei niitä voi lukea sirulta. Avainten käyttö tulee suojata avainkohtaisilla PIN-tunnusluvuilla Yksityiset avaimet Sirulla tulee olla vähintään kahdet käyttäjäkohtaiset RSA-avaimet seuraavan taulukon mukaisesti: Avain Avaimen label X.509 keyusage Avaimen pituus Exponentti 1 Todentamis- ja salausavain (FI) digitalsignature bit Auth. and encipherment key (EN) Aut. och kryptering nyckel (SV) keyencipherment + dataencipherment 2 Allekirjoitusavain (FI) Signature key (EN) Signatur nyckel (SV) nonrepudiation 2048bit 65537

10 TEOPKI - T5 / v0.95 5(21) Yksityiset avaimet luodaan sirulla sirun käyttöjärjestelmän toimesta eikä niitä voi lukea sirulta Tunnusluvut Yksityisten avaimien käyttö suojataan avainkohtaisilla tunnusluvuilla. Sirulla tulee olla korttikohtaiset tunnusluvut seuraavan taulukon mukaisesti: Tunnusluku PIN1 PIN2 SO PIN Tunnusluvun label Perustunnusluku (FI) Basic PIN (EN) Grund PIN (SV) Allekirjoitustunnusluku (FI) Signature PIN (EN) Signatur PIN (SV) Hallinnointitunnusluku (FI) SO PIN (EN) SO PIN (SV) Tunnusluvun pituus Tunnusluvun yrityskerrat 4-8 numeroa numeroa numeroa 3 5 Avaustunnus -luvun yrityskerrat Kaikkien tunnuslukujen tulee perustua satunnaislukuihin. PIN1 ja PIN2 ovat kortinhaltijan itsensä vaihdettavissa. Tunnusluvuille on tunnuslukukohtaiset avaustunnusluvut (PUK). Avaustunnusluku voi olla sama tunnusluvuille PIN1 ja PIN2. Tunnusluvut lukkiutuvat annettaessa ne toistuvasti väärin. Taulukossa on mainittu kunkin tunnusluvun väärien syöttöyrityskertojen lukumäärä. Tunnuslukuun liittyvän avaustunnusluvunkin lukkiutuessa, kummatkin kyseiset tunnusluvut ovat pysyvästi lukittuja eikä lukkiutuneeseen tunnuslukuun liitettyä yksityistä avainta voi enää hyödyntää Loppukäyttäjän varmenteet Varmentaja muodostaa loppukäyttäjän varmenteet allekirjoittamalla loppukäyttäjän varmenteisiin talletettavat tiedot sekä sirulla olevia loppukäyttäjän yksityisiä avaimia vastaavat julkiset avaimet omilla varmentajan allekirjoitusavaimillaan. Näin syntyvät loppukäyttäjän varmenteet talletetaan toimikortin sirulle. Sirulle tulee tallentaa vähintään kahdet käyttäjävarmenteet seuraavan taulukon mukaisesti: Avain Varmenteen label X.509 keyusage 1 Todentamis- ja salausvarmenne (FI) Auth. and encipherment cert. (EN) Aut. och kryptering certifikat (SV) digitalsignature + keyencipherment + dataencipherment 2 Allekirjoitusvarmenne (FI) Signature certificate (EN) Signatur certifikat (SV) nonrepudiation Varmenteiden tulee olla TEOPKI T2 määrityksen mukaisia.

11 TEOPKI - T5 / v0.95 6(21) 5.4. Varmentajan varmenteet Sirulle tulee tallentaa juurivarmenne sekä varmentajan varmenne seuraavan taulukon mukaisesti: Varmenne (subject) Allekirjoittaja (issuer) X.509 keyusage Avaimen pituus Exponentti TEO Gov. Root CA TEO Gov. Root CA KeyCertSign + crlsign TEO sub-ca TEO Gov. Root CA KeyCertSign + crlsign 2048bit bit Juurivarmenne toimii PKI-luottamusketjun aloituspisteenä. Sirulta ladattavat varmentajan varmenteet ovat turvallisesti ja helposti otettavissa käyttöön kortinlukijaohjelmiston toimesta. Varmentajan varmenteen (em. taulukossa TEO sub-ca ) haltijan nimi ja muut tiedot ovat CA-kohtaisia. Varmenteiden tulee olla TEOPKI T2 määrityksen mukaisia. Varmentajan varmenteet ovat ladattavissa myös TEO:n www-sivuilta ( sekä varmennehakemistosta (ldap.teo.fi). 6. Objektit TEOPKI EID-sovellus koostuu PKCS#15 määrityksen mukaisesti objekteista joita ovat avaimet (Key Objects), varmenteet (Certificate Objects), tunnusluvut (Authentication Objects) ja tietorakenteet (Data Objects). Käytetyt lyhenteet: MF Master File DF Directory File EF Elementary File AODF Authentication Object Directory File CDF Certificate Directory File DODF Data Object Directory File ODF Object Directory File PrKDF Private Key Directory File PIN Authentication Object PrK Private Key Cert Certificate CA Certification Authority

12 TEOPKI - T5 / v0.95 7(21) MF 3F00 EF(DIR) 2F00 DF(PKCS#15) 5015 Authentication Object #1 PIN 1 Authentication Object #3 SO PIN EF(TokenInfo) 5032 Authentication Object #2 PIN 2 EF(ODF) 5031 EF(AODF) 4401 EF(PrkDF) 4402 Private RSA Key #1 4B01 Private RSA Key #2 4B02 EF(CDF #1) 4403 EF(CDF #2) 4404 EF(CDF #3) 4405 Cert # Cert # CA Cert # CA Cert # EID-sovelluksen sisältämät objektit ja niiden tiedostonimet (FID, File Identifier) EF(DODF) 4406 EF(UnusedSpace) 5033 EF(EmptyArea) 433F EF(PrivateEmptyArea) 433E

13 TEOPKI - T5 / v0.95 8(21) 7. Tiedostorakenne Sirun tiedostorakenne perustuu PKCS#15 -rakenteeseen ja sisältää sen mukaiset objektit. EID-sovellus voi olla joko erillinen sovelma (ns. java-kortit) tai toteutettu sirun yhteiseen tiedostorakenteeseen (ns. natiivikortit) Tiedostojen koot ja suojaukset Tiedostojen maksimikoot tavuina sekä niiden käyttöoikeussuojaukset: Tiedosto Koko Luku-/käyttöoikeus Muutosoikeus Poisto-oikeus 3F00 MF 64 ALW PIN1 SO PIN 2F00 EF(DIR) 64 ALW SO PIN SO PIN 5015 DF(PKCS#15) 64 ALW PIN1 SO PIN 5032 EF(TokenInfo) 128 ALW SO PIN SO PIN 5031 EF(ODF) 72 ALW SO PIN SO PIN 4401 EF(AODF) 256 ALW SO PIN SO PIN 4402 EF(PrkDF) 512 ALW PIN1 SO PIN 4B01 PrvRSAKey #1 512 NEV/PIN1 NEV/SO PIN SO PIN 4B02 PrvRSAKey #2 512 NEV/PIN2 NEV/SO PIN SO PIN 4403 EF(CDF #1) 256 ALW PIN1 SO PIN 4404 EF(CDF #2) 512 ALW PIN1 SO PIN 4405 EF(CDF #3) 256 ALW PIN1 SO PIN 4331 Cert # ALW SO PIN SO PIN 4332 Cert # ALW SO PIN SO PIN 4333 CA Cert # ALW SO PIN SO PIN 4334 CA Cert # ALW SO PIN SO PIN 4406 EF(DODF) 512 ALW PIN1 SO PIN 5033 EF(UnusedSpace) 512 ALW PIN1 SO PIN 433F EF(EmptyArea) 4096 ALW PIN1 SO PIN 433E EF(PrivateEmptyArea) 2048 PIN1 PIN1 SO PIN Yhteensä Lyhenteiden selitykset: PIN1/PIN2/SO PIN, toimenpide on mahdollinen mainitun tunnusluvun verifioinnin jälkeen ALW=Always, toimenpide on aina mahdollinen NEV=Never, toimenpide ei ole koskaan mahdollinen SYS=System, toimenpide on mahdollinen vain sirukäyttöjärjestelmän toimesta Huom, eräiden objektien/tiedostojen koot vaihtelevat toimikorttikohtaisesti. Näitä ovat mm. varmenteet sekä EmptyArea ja PrivateEmptyArea. Em. taulukossa on mainittu kyseisten tiedostojen tyypilliset koot. Sirukapasiteettia kuluttaa lisäksi esim. tiedostojärjestelmä.

14 TEOPKI - T5 / v0.95 9(21) 8. Tiedostot Tämä luku kuvaa sirulle tallennettujen tiedostojen käyttötarkoitukset ja niiden sisällön. Tiedostoissa oleva käyttämätön tila täytetään tyhjällä (tavulla 0x00). Tiedostot ovat muodoltaan yksinkertaisia binääritiedostoja MF EID-sovelluksen juurihakemisto. Uusien tiedostojen ja alihakemistojen luominen on suojattu perustunnusluvulla (PIN1) EF(DIR) Sisältää toimikortilla olevien sovellusten nimet (AID) ja hakemistopolun (path), sovellustyypin nimen ja yksilöivän tunnisteen (OID). Korttityyppi Kortin nimi OID TEO testikortti (kaikki testikorttityypit) TEOtestikortti Terveydenhuollon ammattihenkilön ammattivarmennekortti Terveydenhuollon muun henkilöstön varmennekortti Kansallisten palveluiden antajien henkilötoimijoiden varmennekortti TEOammattikortti TEOhenkilokortti TEOtoimijakortti Esimerkki: [APPLICATION 1] { [APPLICATION 15] IMPLICIT A B D aid [APPLICATION 16] IMPLICIT "TEOtestikortti" -- label [APPLICATION 17] IMPLICIT 3F path [APPLICATION 19] { -- ddo OBJECT_ID " " -- oid 8.3. Authentication Object #1 (PIN 1) PIN1-tunnusluku todentamis- ja salausavainten käyttöön. Tunnusluku perustuu sirun yksilöintihetkellä luotuun satunnaislukuun.

15 TEOPKI - T5 / v (21) 8.4. Authentication Object #3 (SO-PIN) SO-PIN tunnusluku toimikortin hallinnointi- ja ylläpitotoiminnoille. Tunnusluku perustuu sirun yksilöintihetkellä luotuun satunnaislukuun. SO-PIN tunnuslukua ei toimiteta kortinhaltijalle DF(EID PKCS#15 Application) Tämä hakemisto sisältää varsinaisen EID-sovelluksen (PKCS#15 rakenteen). AID = A B D EF(TokenInfo) Sisältää EID-sovelluksen sisältämän toimikortin perustiedot, kuten kortin sarjanumeron, kortin valmistajan/liikkeellelaskijan, kortin nimen ja luettelon kortin tukemista perustoiminnoista. Luettelo kortin nimistä löytyy kappaleen 8.2 taulukosta. Esimerkki: INTEGER (1) -- version v2 OCTET_STRING serialnumber LABEL "TEO" -- manufacturerid [CONTEXT_SPECIFIC 0] IMPLICIT "TEOtestikortti" -- label BIT_STRING cardflags = authrequired [CONTEXT_SPECIFIC 2] { -- supportedalgorithms INTEGER (0) -- reference INTEGER (1) -- CKM_RSA_PKCS from PKCS #11 NULL -- parameters BIT_STRING compute-signature, decipher INTEGER (1) -- reference INTEGER (3) -- CKM_RSA_X_509 from PKCS #11 NULL -- parameters BIT_STRING compute-signature, decipher INTEGER (2) -- reference INTEGER (6) -- CKM_SHA_1_RSA_PKCS from PKCS #11 NULL -- parameters BIT_STRING compute-signature

16 TEOPKI - T5 / v (21) INTEGER (3) -- reference INTEGER (0) -- CKM_RSA_PKCS_KEY_PAIR_GEN from PKCS #11 NULL -- parameters BIT_STRING generate-key 8.7. Authentication Object #2 (PIN 2) PIN2-tunnusluku allekirjoitusavainten käyttöön. Tunnusluku perustuu sirun yksilöintihetkellä luotuun satunnaislukuun EF(ODF) Sisältää tiedostoviittaukset PKCS#15 määrityksen mukaisiin rakenteisiin/objekteihin. Kortteja käsittelevien sovellusten tulee lukea ko. tiedostonimet tästä tiedostosta. Esimerkki: [CONTEXT_SPECIFIC 8] { OCTET_STRING 3F AODF [CONTEXT_SPECIFIC 0] { OCTET_STRING 3F PrkDF [CONTEXT_SPECIFIC 4] { OCTET_STRING 3F CDF #1, card holder certs [CONTEXT_SPECIFIC 4] { OCTET_STRING 3F CDF #2, additional certs [CONTEXT_SPECIFIC 5] { OCTET_STRING 3F CDF #3, trusted CA certs [CONTEXT_SPECIFIC 7] {

17 TEOPKI - T5 / v (21) OCTET_STRING 3F DODF 8.9. EF(AODF) Sisältää tiedot EID-sovelluksen käyttämistä tunnusluvuista. Näitä tietoja ovat mm. tunnuslukujen nimet, niiden minimi- ja maksimipituudet, täytemerkit (0x00) sekä PINtiedostojen (objektien) polut. Esimerkki: LABEL "Perustunnusluku" -- label BIT_STRING 06 C0 -- flags = private, modifiable OCTET_STRING authid [CONTEXT_SPECIFIC 1] { -- typeattributes BIT_STRING 02 0C -- pinflags = initialized, needs-padding ENUM (1) -- pintype = ascii-numeric INTEGER (4) -- minlength INTEGER (8) -- storedlength [CONTEXT_SPECIFIC 0] IMPLICIT pinreference OCTET_STRING padchar OCTET_STRING 3F path LABEL "Allekirjoitustunnusluku" -- label BIT_STRING 06 C0 -- flags = private, modifiable INTEGER (1) -- userconsent OCTET_STRING authid [CONTEXT_SPECIFIC 1] { -- typeattributes BIT_STRING 02 4C -- pinflags = local, initialized, needspadding ENUM (1) -- pintype = ascii-numeric

18 TEOPKI - T5 / v (21) INTEGER (4) -- minlength INTEGER (8) -- storedlength [CONTEXT_SPECIFIC 0] IMPLICIT pinreference OCTET_STRING padchar OCTET_STRING 3F path LABEL "Hallinnointitunnusluku" -- label BIT_STRING 06 C0 -- flags = private, modifiable OCTET_STRING authid [CONTEXT_SPECIFIC 1] { -- typeattributes BIT_STRING 02 4C -- pinflags = local, initialized, needspadding ENUM (1) -- pintype = ascii-numeric INTEGER (8) -- minlength INTEGER (8) -- storedlength [CONTEXT_SPECIFIC 0] IMPLICIT pinreference OCTET_STRING padchar OCTET_STRING 3F path EF(PrKDF) Sisältää tiedot EID-sovelluksen sisältämistä käyttäjän avaimista. Näitä tietoja ovat mm. avainten nimet, tunnukset, pituudet, käyttötarkoitukset ja muut ominaisuudet sekä avainten sijaintitiedot (tiedostonimet). EF(TokenInfo) (kappale 8.6) sisältää tiedon mitä avaimilla voi tehdä, ts. mitä toimintoja avaimet sisältävä toimikortti hallitsee. Esimerkki: LABEL "Todentamis- ja salausavain"

19 TEOPKI - T5 / v (21) BIT_STRING 06 C0 -- private OCTET_STRING authid OCTET_STRING id BIT_STRING usage = decrypt, sign, unwrap BIT_STRING 03 B8 -- accessflags = sensitive, alwayssensitive, neverextractable, local INTEGER (0) -- keyreference [CONTEXT_SPECIFIC 0] { [CONTEXT_SPECIFIC 0] { INTEGER (4) -- idtype, Subject public key hash OCTET_STRING EE D2 C7 3B D8 27 7A CA 4B 59 4E 81 CB E 6E idvalue [CONTEXT_SPECIFIC 1] { OCTET_STRING 3F B path INTEGER (1024) -- moduluslength LABEL "Allekirjoitusavain" BIT_STRING 06 C0 -- private OCTET_STRING authid INTEGER (1) -- userconsent OCTET_STRING id BIT_STRING usage = non_repudiation BIT_STRING 03 B8 -- accessflags = sensitive, alwayssensitive, neverextractable, local INTEGER (0) -- keyreference [CONTEXT_SPECIFIC 0] { [CONTEXT_SPECIFIC 0] { INTEGER (4) -- idtype, Subject public key hash OCTET_STRING 7B 9C B2 07 4E C8 30 7F EE A0 E8 A5 25 AB C idvalue

20 TEOPKI - T5 / v (21) [CONTEXT_SPECIFIC 1] { OCTET_STRING 3F B path INTEGER (2048) -- moduluslength Private RSA Key #1 Sisältää todentamis- ja salausavaimen. Avaimen käyttämiseksi PIN1 perustunnusluku tulee olla onnistuneesti tarkistettuna. Perustunnuslukua ei tarvitse syöttää uudelleen seuraavaa avaimenkäyttökertaa varten. Key file information: Algorithm identifier 9200h RSA CRT Modulus 1024 bits Public Exponent (010001h) Esimerkki (julkinen osa): INTEGER 00 A4 0F C7 06 FC C9 A3 D0 2A F9 90 9D 6C EB C9 4F B1 B2 8E E F6 5C 5A 5D C1 38 2B 28 EC 2B 50 E7 1B 2E 3F DB B3 FA A7 BA A7 1F 80 5B 62 F BC 46 E2 50 BE F 5A 97 7B 52 3A 58 7C 66 E9 F3 74 D5 72 BE 9F 96 C0 70 C4 61 BB A DD C0 05 8A 68 5A 73 DA 13 BB D0 01 CF F4 D0 30 EB AF 90 F0 5A 64 C2 1F DE CD 01 7A DC EE INTEGER (65537) Private RSA Key #2 Sisältää allekirjoitusavaimen. Avaimen käyttämiseksi PIN2 allekirjoitustunnusluku tulee olla onnistuneesti tarkistettuna. Jokaisen RSA-avainta käyttävän toimenpiteen jälkeen avaimen aktivointi tulee tehdä ennen seuraavaa käyttökertaa uudelleen, ts. allekirjoitustunnusluku tulee antaa uudelleen.

21 TEOPKI - T5 / v (21) Key file information: Algorithm identifier 9200h RSA CRT Modulus 2048 bits Public Exponent (010001h) Esimerkki (julkinen osa): INTEGER 00 B5 45 8D C C7 3D 64 7F BB 8A D9 1A DB 87 7F EE EC DB CC A9 CF 63 A1 E6 0B A8 71 7F 4E FA CD 1D F3 5E FD 53 0D 09 4E ED AD E D C B6 5C BF 2D 35 A2 AA FB 79 BE C8 B9 A5 FD 3C B F3 AB C4 5D B 54 5B 38 C6 91 D1 B8 54 B E3 4B E 56 E C 88 1B BA 1E BD CC 44 BC F5 34 E6 13 CE 02 DD 1E F D2 7C FF EC E 26 AA A 62 FC 2D FE 6B 86 D2 AF 39 F2 F9 93 C1 B4 5F 4F FB 4B E9 1A 6D E5 D6 76 2C 6E EF D8 EE FD 53 D B7 D A 29 D7 83 E5 E7 09 7B BB A3 3A DC BC EF D3 69 9B 2E 08 DB 12 1F 62 1A 65 BF E 77 0A FA 8B AC 07 F6 DC 85 F9 7A 0B A6 49 CB 4A B0 04 A BE D4 D0 4D DF 35 C5 B F1 4C C9 3D INTEGER (65537) EF(CDF #1) Sisältää tiedot EID-sovelluksen sisältämistä käyttäjän varmenteista. Näitä tietoja ovat mm. varmenteiden nimet, tunnukset ja muut ominaisuudet sekä varmenteiden sijaintitiedot (tiedostonimet). Esimerkki: LABEL "Todentamis- ja salausvarmenne" -- label BIT_STRING flags = modifiable OCTET_STRING id

22 TEOPKI - T5 / v (21) INTEGER (2) -- idtype, Subject key identifier OCTET_STRING A8 A4 0F 56 B5 B7 32 D3 3C 54 E EE 04 9C E 6E [CONTEXT_SPECIFIC 1] { -- PKCS15X509CertificateAttributes OCTET_STRING 3F path LABEL "Allekirjoitusvarmenne" -- label BIT_STRING flags = modifiable OCTET_STRING id INTEGER (2) -- idtype, Subject key identifier OCTET_STRING 0E 43 0E 26 C2 18 8D 7C 30 C1 00 7E C3 66 5A 65 3D 8B 79 0D [CONTEXT_SPECIFIC 1] { -- PKCS15X509CertificateAttributes OCTET_STRING 3F path EF(CDF #2) Sisältää tiedot ja linkit kortin yksilöinnin jälkeen sirulle lisätyistä varmenteista. Lisävarmenteet tulee tallentaa EF(EmptyArea)-tiedostoon ja samalla päivittää EF(UnusedSpace)-linkkitiedostoa. Tarkempi kuvaus on PKCS#15-määrityksessä. Oletuksena tiedosto on tyhjä.

23 TEOPKI - T5 / v (21) EF(CDF #3 trusted certs) Sisältää tiedot EID-sovelluksen sisältämistä varmentajan varmenteista. Näitä tietoja ovat mm. varmenteiden nimet, tunnukset ja muut ominaisuudet sekä varmenteiden sijaintitiedot (tiedostonimet). Esimerkki: LABEL "CA varmenne" -- label BIT_STRING flags = modifiable OCTET_STRING id BOOLEAN True -- CA certificate INTEGER (2) -- idtype, Subject key identifier OCTET_STRING BE 97 F2 8E 36 4B 33 6A B8 BA 5C FE E5 BC CF B [CONTEXT_SPECIFIC 1] { -- PKCS15X509CertificateAttributes OCTET_STRING 3F path LABEL "Root varmenne" -- label BIT_STRING flags = modifiable OCTET_STRING id BOOLEAN True -- CA certificate INTEGER (2) -- idtype, Subject key identifier OCTET_STRING 4C 98 6F 4A 18 3E 7A 6C F4 AB A9 AA C 1D B EF

24 TEOPKI - T5 / v (21) [CONTEXT_SPECIFIC 1] { -- PKCS15X509CertificateAttributes OCTET_STRING 3F path EF(Certificate #1) Sisältää käyttäjän todentamis- ja salausvarmenteen binäärimuodossa, DER-koodattuna EF(Certificate #2) Sisältää käyttäjän allekirjoitusvarmenteen binäärimuodossa, DER-koodattuna EF(CA Certificate #1) Sisältää varmentajan varmenteen binäärimuodossa, DER-koodattuna EF(CA Certificate #2) Sisältää varmentajan juurivarmenteen binäärimuodossa, DER-koodattuna EF(DODF) Sisältää PKCS#15-määrityksen mukaisesti tiedot ja viittaukset objekteihin tai attribuutteihin jotka on tallennettu sirulle sen yksilöinnin jälkeen. Tätä tiedostoa tulee päivittää tarvittaessa vastaamaan sirun päivittynyttä sisältöä. Tarkemmat tiedot näiden tiedostojen käsittelystä löytyvät PKCS#15-määrityksestä. Tiedosto on oletuksena tyhjä EF(UnusedSpace) Sisältää viittaukset tiedostoalueisiin ja niiden vapaisiin kapasiteetteihin joihin on mahdollista tallentaa sirun yksilöinnin jälkeen lisätietoa. Tiedot voivat olla joko varmenteita tai muuta dataa, esim. salasanoja.

25 TEOPKI - T5 / v (21) Kortilla on kaksi erityyppistä tallennuspaikkaa: EF(EmptyArea) tiedoille jotka voivat olla aina luettavissa, esim. lisävarmenteet sekä EF(PrivateEmptyArea) joka on tarkoitettu tiedoille joiden lukeminen sirulta tulee suojata perustunnusluvulla. Tietojen päivittäminen kumpaankin em. tallennuspaikkaan vaatii kortin perustunnusluvun antamista. Sirun yksilöinnin jälkeen EF(UnusedSpace) sisältää kaksi viittausta em. tyhjiin tiedostoihin. Uusia objekteja lisättäessä tai poistettaessa tulee viittauksia vapaaseen tilaan vastaavasti päivittää. Tarkemmat tiedot näiden tiedostojen käsittelystä löytyvät PKCS#15-määrityksestä. Esimerkki: OCTET_STRING 3F E -- path INTEGER (0) -- index [CONTEXT_SPECIFIC 0] IMPLICIT length (2KB) BIT_STRING 06 C0 -- accessmode = read, update OCTET_STRING securitycondition authid OCTET_STRING 3F F -- path INTEGER (0) -- index [CONTEXT_SPECIFIC 0] IMPLICIT length (4KB) OCTET_STRING securitycondition authid EF(EmptyArea) Oletuksena tyhjä. Tähän tilaan talletetut tiedot ovat aina luettavissa. Tähän tilaan tyypillisesti tallennetaan mahdollinen sirun yksilöinnin jälkeen myönnettävä lisävarmenne tai lisävarmenteet. Ennen tilaan tallennusta, tulee sovelluksen tarkistaa EF(UnusedSpace) tiedostosta että vapaata tilaa on riittävästi. Mikäli tilaan joko tallennetaan tai siitä poistetaan tietoa/objekti, tulee EF(UnusedSpace) tiedoston pointtereita ylläpitää vastaavasti. Mikäli lisättävä tieto on varmennetiedosto, tulee tieto siitä päivittää myös tiedostoon EF(CDF #2). Tilavarauksen koko voi vaihdella riippuen käytetyn sirun vapaana olevasta kapasiteetista. Tyypillinen tilavaraus on 4096 tavua (4 kilotavua). Tällöin tila riittää kahdelle lisävarmenteelle.

26 TEOPKI - T5 / v (21) EF(PrivateEmptyArea) Oletuksena tyhjä. Tähän tilaan talletetut tiedot ovat luettavissa PIN1-tunnusluvun onnistuneen syöttämisen jälkeen. Tähän tilaan tyypillisesti tallennetaan erilaista suojattavaa tietoa, esim. salasanoja, tms. Ennen tilaan tallennusta, tulee sovelluksen tarkistaa EF(UnusedSpace) tiedostosta että vapaata tilaa on riittävästi. Mikäli tilaan joko tallennetaan tai siitä poistetaan tietoa/objekti, tulee EF(UnusedSpace) tiedoston pointtereita ylläpitää vastaavasti. Mikäli lisättävä tieto on PKCS#15-määrityksen mukainen objekti tai attribuutti, tulee tieto siitä päivittää myös tiedostoon EF(DODF). Tilavarauksen koko voi vaihdella riippuen käytetyn sirun vapaana olevasta kapasiteetista. Tyypillinen tilavaraus on 2048 tavua (2 kilotavua). 9. Juurivarmenne (Root certificate) Juurivarmenteen tietosisältö on kuvattu TEOPKI T2 varmennemäärityksessä. 10. Varmentajan varmenteet (CA certificates) Varmentajan varmenteiden tietosisältö on kuvattu TEOPKI T2 varmennemäärityksessä. 11. Käyttäjävarmenteet (end entity certificates) Käyttäjävarmenteiden tietosisältö on kuvattu TEOPKI T2 varmennemäärityksessä.

27 Terveydenhuollon oikeusturvakeskus 2008