ISO / IEC 20248 Técnicas de captura de datos e identificación automática - Estructuras de datos - La metaestructura de firma digital es una especificación estándar internacional en desarrollo por ISO / IEC JTC1 SC31 WG2. Este desarrollo es una extensión de SANS 1368, que es la especificación publicada actualmente. ISO / IEC 20248 y SANS 1368 son especificaciones estándar equivalentes. SANS 1368 es un estándar nacional sudafricano desarrollado por la Oficina de Estándares de Sudáfrica .
ISO / IEC 20248 [y SANS 1368] especifica un método mediante el cual los datos almacenados dentro de un código de barras y / o etiqueta RFID se estructuran y firman digitalmente . El propósito del estándar es proporcionar un método abierto e interoperable, entre los servicios y los portadores de datos, para verificar la originalidad y la integridad de los datos en un caso de uso fuera de línea . La estructura de datos ISO / IEC 20248 también se denomina "DigSig", que se refiere a una firma digital pequeña, en número de bits.
ISO / IEC 20248 también proporciona un método eficaz e interoperable para intercambiar mensajes de datos en el Internet de las cosas [IoT] y los servicios de máquina a máquina [M2M] que permiten a los agentes inteligentes en dichos servicios autenticar mensajes de datos y detectar alteraciones de datos.
Descripción
ISO / IEC 20248 puede verse como una especificación de aplicación X.509 similar a S / MIME . Las firmas digitales clásicas suelen ser demasiado grandes (el tamaño de la firma digital suele ser de más de 2k bits) para caber en códigos de barras y etiquetas RFID mientras se mantiene el rendimiento de lectura deseado. Las firmas digitales ISO / IEC 20248, incluidos los datos, suelen tener un tamaño inferior a 512 bits. Los certificados digitales X.509 dentro de una infraestructura de clave pública (PKI) se utilizan para la distribución de descripciones de datos y claves. Este método asegura la decodificación abierta y verificable de los datos almacenados en un código de barras y / o etiqueta RFID en una estructura de datos etiquetados; por ejemplo JSON y XML .
ISO / IEC 20248 aborda la necesidad de verificar la integridad de los documentos y objetos físicos. El estándar contabiliza los costos de verificación de los servicios en línea y los ataques de malware de dispositivo a servidor al proporcionar un método para la verificación de múltiples dispositivos y fuera de línea de la estructura de datos. Ejemplos documentos y objetos son la educación y los certificados médicos , fiscales y compartir / certificados de acciones , licencias , permisos, contratos, billetes , cheques , documentos fronterizos, nacimiento / muerte / documentos de identidad , placas de matrícula del vehículo , el arte, el vino, las piedras preciosas y la medicina.
Un DigSig almacenado en un código QR o una etiqueta RFID de comunicaciones de campo cercano (NFC) se puede leer y verificar fácilmente utilizando un teléfono inteligente con una aplicación compatible con ISO / IEC 20248. La aplicación solo necesita conectarse una vez para obtener el certificado DigSig apropiado, después de lo cual puede verificar sin conexión todos los DigSigs generados con ese certificado DigSig.
Un DigSig almacenado en un código de barras se puede copiar sin influir en la verificación de datos. Por ejemplo; se puede copiar un certificado de nacimiento o escolar que contenga un código de barras DigSig. También se puede verificar que el documento copiado contenga la información correcta y el emisor de la información. Un código de barras DigSig proporciona un método para detectar la manipulación de los datos.
Un DigSig almacenado en una etiqueta RFID / NFC permite la detección de datos copiados y manipulados, por lo que se puede utilizar para detectar el documento u objeto original. El identificador único de la etiqueta RFID se utiliza para este propósito.
El sobre DigSig
ISO / IEC 20248 llama a la metaestructura de firma digital una envolvente DigSig. La estructura del sobre de DigSig contiene el identificador del certificado DigSig, la firma digital y la marca de tiempo. Los campos se pueden contener en un sobre DigSig de 3 formas; Considere el sobre DigSig {a, b , c } que contiene conjuntos de campos un , b y c .
- a los campos están firmados e incluidos en el sobre de DigSig. Toda la información (el valor del campo firmado y el valor del campo se almacena en el AIDC) está disponible para verificar cuándo se lee la estructura de datos del AIDC (código de barras y / o RFID).
- Los campos b están firmados pero NO incluidos en el sobre de DigSig; solo el valor del campo firmado se almacena en el AIDC. Por lo tanto, elverificador debe recopilarel valor de un campo b antes de que se pueda realizar la verificación. Esto es útil para vincular un objeto físico con un código de barras y / o etiqueta RFID que se utilizará comomedidacontra la falsificación ; por ejemplo, el número de sello de una botella de vino puede ser un campo b . El verificador debe ingresar el número de sello para una verificación exitosa, ya que no está almacenado en el código de barras de la botella. Cuando se rompe el sello, el número del sello también puede destruirse y resultar ilegible; por lo tanto, la verificación no puede tener lugar ya que requiere el número de precinto. Un sello de reemplazo debe mostrar el mismo número de sello; el uso de hologramas y otras técnicas puede hacer que la generación de un nuevo número de sello copiado no sea viable. De manera similar, el ID de etiqueta único, también conocido como TID en ISO / IEC 18000 , se puede usar de esta manera para demostrar que los datos están almacenados en la etiqueta correcta. En este caso, el TID es un campo b . El interrogador leerá el sobre DigSig de la memoria de etiquetas intercambiables y luego leerá el TID único no modificable para permitir la verificación. Si los datos se copiaron de una etiqueta a otra, el proceso de verificación del TID firmado, almacenado en el sobre de DigSig, rechazará el TID de la etiqueta copiada.
- c Los campos NO están firmados, sino incluidos en el sobre de DigSig; solo el valor del campo se almacena en el AIDC. Por lo tanto, un campo c NO se puede verificar, sino extraer del AIDC. Este valor de campo se puede cambiar sin afectar la integridad de los campos firmados.
La ruta de datos de DigSig
Normalmente, los datos almacenados en un DigSig se originan como datos estructurados; JSON o XML. Los nombres de los campos de datos estructurados se asignan directamente en la descripción de datos DigSig [DDD]. Esto permite al generador DigSig firmar digitalmente los datos, almacenarlos en el sobre de DigSig y compactar el sobre de DigSig para que quepa en el tamaño de bits más pequeño posible. Luego, el sobre DigSig se programa en una etiqueta RFID o se imprime dentro de una simbología de código de barras.
DigSig Verifier lee el sobre DigSig del código de barras o etiqueta RFID. Luego identifica el certificado DigSig relevante, que utiliza para extraer los campos del sobre de DigSig y obtener los campos externos. Luego, el Verificador realiza la verificación y hace que los campos estén disponibles como datos estructurados, por ejemplo, JSON o XML.
Ejemplos de
Ejemplo de QR
Los siguientes ejemplos de certificados educativos utilizan el formato de sobre URI -RAW DigSig. El formato URI permite que un lector de código de barras genérico lea el DigSig, donde después se puede verificar en línea utilizando el URI del emisor de confianza del DigSig. A menudo, la aplicación (App) para teléfonos inteligentes que cumple con la norma ISO / IEC 20248 estará disponible en este sitio web para su descarga, después de lo cual DigSig se puede verificar sin conexión. Tenga en cuenta que una aplicación compatible debe poder verificar DigSigs de cualquier emisor de DigSig de confianza.
El ejemplo de certificado universitario ilustra el soporte multilingüe de SANS 1368.
Ejemplo de RFID y QR
En este ejemplo, una placa de matrícula del vehículo está equipada con una etiqueta RFID ISO / IEC 18000-63 (Tipo 6C) y está impresa con un código de barras QR. La placa es verificable fuera de línea usando un teléfono inteligente, cuando el vehículo está parado; o usando un lector RFID, cuando el vehículo pasa por el lector.
Tenga en cuenta los 3 formatos de sobres DigSig; RAW, URI-RAW y URI-TEXT.
El DigSig almacenado en la etiqueta RFID suele estar en formato de sobre RAW para reducir el tamaño del formato de sobre URI. Los códigos de barras suelen utilizar el formato URI-RAW para permitir que los lectores de códigos de barras genéricos realicen una verificación en línea. El formato RAW es el más compacto, pero solo se puede verificar con una aplicación compatible con SANS 1368.
El DigSig almacenado en la etiqueta RFID también contendrá el TID (Identificador único de etiqueta) dentro de la parte de la firma. Por lo tanto, un Verificador DigSig podrá detectar datos copiados en otra etiqueta.
QR con ejemplo de datos externos
El siguiente código de barras QR se adjunta a una computadora o teléfono inteligente para demostrar que pertenece a una persona específica. Utiliza un campo de tipo b , descrito anteriormente, para contener un número de identificación personal seguro [PIN] recordado por el propietario del dispositivo. El Verificador DigSig le pedirá que ingrese el PIN antes de que pueda llevarse a cabo la verificación. La verificación será negativa si el PIN es incorrecto. El PIN del ejemplo es "123456".
La descripción de datos de DigSig para el DigSig anterior es la siguiente:
{ "defManagementFields" : { "mediasize" : "50000" , "specificationversion" : 1 , "country" : "ZAR" , "DAURI" : "https://www.idoctrust.com/" , "verifyURI" : " http://sbox.idoctrust.com/verify/ " "revocationURI" : "https://sbox.idoctrust.com/chkrevocation/" , "optionalManagementFields" : {}}}, "defDigSigFields" : [{ " fieldID " : " cid " , " type " : " unsignedInt " , " benvelope " : false }, { " fieldid " : " signature " , " type " : " bstring " , " binaryformat " : " {160} " , " bsign " : false }, { " fieldid " : " timestamp " , " type " : " date " , " binaryformat " : " Tepoch " }, { " fieldid " : " nombre " , " fieldname " : { " eng " : " Nombre " }, " tipo " : " cadena " , " rango " : " [a-zA-Z] " , " anulable " : falso }, { " fieldid " : " idnumber " , " fieldname " : { " eng " : "Número de identificación del empleado" }, "type" : "string" , "range" : "[0-9]" }, { "fieldid" : "sn" , "fieldname" : { "eng" : "Asset Serial Número " }, " tipo " : " cadena " , " rango " : " [0-9a-zA-Z] " }, { " fieldid " : " PIN " , " fieldname " : { " eng " : " 6 número PIN " }, " tipo " : " cadena " , " bi naryformat " : " {6} " , " rango " : " [0-9] " , " benvelope " : false , " pragma " : " enterText " }]}
Referencias
- SANS 1368, Técnicas de identificación automática y captura de datos - Estructuras de datos - Metaestructura de firma digital
- FIPS PUB 186-4, Estándar de firma digital (DSS) - Seguridad informática - Criptografía
- IETF RFC 3076, Canonical XML Versión 1.0
- IETF RFC 4627, el tipo de medio de aplicación / JSON para la notación de objetos JavaScript (JSON)
- IETF RFC 3275, (Lenguaje de marcado extensible) Sintaxis y procesamiento de firma XML
- IETF RFC 5280, certificado de infraestructura de clave pública de Internet X.509 y perfil de lista de revocación de certificados (CRL)
- ISO 7498-2, Sistemas de procesamiento de información - Interconexión de sistemas abiertos - Modelo de referencia básico - Parte 2: Arquitectura de seguridad
- ISO / CEI 9594-8 (UIT X.509), Tecnología de la información - Interconexión de sistemas abiertos - El directorio: Marcos de certificado de atributo y clave pública
- ISO / IEC 10181-4, Tecnología de la información - Interconexión de sistemas abiertos - Marcos de seguridad para sistemas abiertos: Marco de no repudio
- ISO / IEC 11770-3, Tecnología de la información - Técnicas de seguridad - Gestión de claves - Parte 3: Mecanismos que utilizan técnicas asimétricas
- ISO / IEC 11889 (todas las partes), Tecnología de la información - Módulo de plataforma confiable
- ISO / IEC 15415, Tecnología de la información - Técnicas de identificación automática y captura de datos - Especificación de prueba de calidad de impresión de códigos de barras - Símbolos bidimensionales
- ISO / IEC 15419, Tecnología de la información - Técnicas de captura de datos e identificación automática - Pruebas de rendimiento de impresión e imagen digital de códigos de barras
- ISO / IEC 15423, Tecnología de la información - Técnicas de identificación automática y captura de datos - Pruebas de rendimiento del escáner y decodificador de códigos de barras
- ISO / IEC 15424, Tecnología de la información - Técnicas de identificación automática y captura de datos - Identificadores de portadores de datos (incluidos los identificadores de simbología)
- ISO / IEC 15963, Tecnología de la información - Identificación por radiofrecuencia para la gestión de artículos - Identificación única para etiquetas RF
- ISO / IEC 16022, Tecnología de la información - Identificación automática y técnicas de captura de datos - Especificación de simbología de código de barras Data Matrix
- ISO / IEC 16023, Tecnología de la información - Especificación de simbología internacional - MaxiCode
- ISO / IEC 18000 (todas las partes), Tecnología de la información - Identificación por radiofrecuencia para la gestión de artículos
- ISO / IEC 18004, Tecnología de la información - Técnicas de identificación automática y captura de datos - Especificación de simbología de código de barras QR Code 2005
- ISO / IEC TR 14516, Tecnología de la información - Técnicas de seguridad - Directrices para el uso y la gestión de servicios de terceros de confianza
- ISO / IEC TR 19782, Tecnología de la información - Identificación automática y técnicas de captura de datos - Efectos del brillo y la baja opacidad del sustrato en la lectura de símbolos de códigos de barras
- ISO / IEC TR 19791, Tecnología de la información - Técnicas de seguridad - Evaluación de la seguridad de los sistemas operativos
- ISO / IEC TR 29162, Tecnología de la información - Directrices para el uso de estructuras de datos en medios AIDC
- ISO / IEC TR 29172, Tecnología de la información - Identificación y gestión de elementos móviles - Arquitectura de referencia para servicios AIDC móviles