Особенности защиты бесконтактных смарт карт

Технологии чипа и аппаратного обеспечения мало зависят от того, является смарт­-карта контактной или бесконтактной. Однако, в отличие от контактной смарт-­карты, в бесконтактной появляется радиочастотный канал связи между картой и считывателем, что создает условия для новых атак и угроз. Другой важной особенностью бесконтактной смарт-карты является приложение, основанное на такой карте. Во многих случаях могут возникать новые угрозы, связанные с конкретными приложениями, и это также должно быть принято в расчет.


1. Подслушивание. Для пользователей бесконтактных смарт-карт подслушивание является, очевидно, наиболее распространенной угрозой. Поскольку передача информации осуществляется не через прямой контакт между смарт-картой и терминалом, а по радиочастотному каналу, нарушитель может легко перехватить и подслушать передачу без ведома законного пользователя или терминала. Это может привести к нежелательному раскрытию хранимой на карте информации, которую пользователь не хотел бы предавать огласке. Поэтому для защиты от пассивных злоумышленников, занимающихся перехватом данных, применяется шифрование передаваемых данных между картой и считывателем.

Конкретным примером защиты от угрозы подслушивания является реализованный нашим предприятием проект системы контроля доступа на базе смарт-карт для офиса строительно-производственного холдинга "Строймода", который производит системы ограждений из стекла, когда сотрудники предприятия подтверждают свою подлинность смарт-карте путем ввода РIN-кода с клавиатуры, закрепленной на терминале. Значение РIN-кода, отправляемое с терминала на карту для проверки подлинности сотрудника, передается в зашифрованном виде. Поэтому любые возможные угрозы пресекаются шифрованием и аутентификацией канала связи между картой и терминалом, используя методы защиты сообщений, применяемые и для контактных смарт-карт.

2. Прерывание работы. Другая заслуживающая внимания угроза в контексте бесконтактной технологии основывается на том факте, что системе неизвестно, когда пользователь собирается прекратить работу. Поэтому удаление пользователем карты из электромагнитного поля не является каким-то необычным действием и может произойти в любой момент. Такие прерывания в карте или терминале не должны компрометировать проводящиеся транзакции. Поэтому необходимо реализовать резервные или эквивалентные механизмы для доведения транзакции до правильного завершения.

В отличие от контактных смарт-карт, в бесконтактном варианте либо карта, либо считыватель должны удостовериться, что авторизация прошла полностью, а отработка риска, связанного с этой угрозой, должна поддерживаться всей системой. Например, предположим, что пользователю предоставляется доступ к общественному транспорту по его бесконтактной карте и что после снятия с его карты соответствующей суммы доступ ему не предоставлен, скажем, из-за механического повреждения дверей. В этом случае считыватель должен проконтролировать, чтобы транзакция не была проведена и кредит соответственно возвращен на карту.


3. Отказ в обслуживании. Отказ в обслуживании относится к довольно распространенному классу угроз. Каждая карта уязвима к атакам, в которых целью злоумышленника является вывод из строя канала связи между картой и терминалом каким-либо способом, или прерывание работы карты в решающий момент, или использование карты без согласия законного пользователя для того, чтобы вывести из строя сервисы, которые карта могла бы предложить в дальнейшем пользователю. Простой контрмерой может быть придание приложению сертификатов терминала для того, чтобы смарт-карта имела возможность проверить подлинность терминала, с которым осуществляется связь. С другой стороны, атаки отказа в обслуживании для бесконтактного варианта считывателей организовать намного труднее, чем вывести из строя нормально работающий контактный считыватель, просто блокируя щель, в которую вставляет пользователь свою карту.

4. Разрушение карты на расстоянии. Другая относительно простая в реализации угроза состоит в разрушении карты на расстоянии с помощью разрушающего электромагнитного поля без уведомления об этом законного пользователя. Физическое разрушение контактной карты намного очевиднее, чем разрушение радиочастотного интерфейса бесконтактных карт.

5. Кража карты. Поскольку законный пользователь во время бесконтактных транзакций фактически никогда не отдает свою карту на сторону, у него очень трудно украсть эту карту. При контактной технологии очень часто просят пользователя передать его карту продавцу для осуществления транзакции.

6. Клонирование карты. После раскрытия всей ценной информации, хранимой на карте, подслушиванием или другими способами атакующий обычно старается создать абсолютную копию (клон) полноценной карты. В приложениях бесконтактной технологии обычно существуют визуальные методы и средства контроля, которые позволяют установить, что карта не является клоном. Например, в общественном транспорте контролеры могут попросить пользователей показать их смарт-карты и выполнить такую дополнительную проверку идентичности, как проверка наличия на карте изображения или идентификационного номера ID, соответствующего графическому изображению ID.


7. Пиратские операции с картой. Типичным примером такой атаки являются действия мошенника-продавца, осуществляющего коммуникацию с помощью карты пользователя без его разрешения. Этот продавец может дебетовать несколько кредитных единиц в то время, когда пользователь думает, что он платит только один кредит. Соответственно предоставляемый картой сервис оказывается намного дороже, чем ожидает пользователь, и после определенного периода времени эта карта не сможет работать, поскольку со счета пользователя исчезнут все кредиты.

Анализ угроз, непосредственно связанных с чипом на карте, показал, что не существует особой разницы между режимами чипов контактной и бесконтактной смарт-карт. Для обеих технологий агрессивные и не агрессивные атаки на аппаратное обеспечение выполняются практически одинаково.