Технологии чипа и аппаратного обеспечения мало зависят от того, является смарт­-карта контактной или бесконтактной. Однако, в отличие от контактной смарт-­карты, в бесконтактной появляется радиочастотный канал связи между картой и считывателем, что создает условия для новых атак и угроз. Другой важной особенностью бесконтактной карты является приложение, основанное на такой карте. Во многих случаях могут возникать новые угрозы, связанные с конкретными приложениями, и это также должно быть принято в расчет.

Особенности защиты бесконтактных смарт карт

Для пользователей бесконтактных смарт-карт подслушивание является, очевидно, наиболее распространенной угрозой. Поскольку передача информации осуществляется не через прямой контакт между смарт-картой и терминалом, а по радиочастотному каналу, нарушитель может легко перехватить и подслушать передачу без ведома законного пользователя или терминала.

  
Очевидно, что все усилия по обеспечению физической защиты карты будут напрасны, если уязвима система разграничения доступа ОС. Разграничение доступа производится на уровне структур данных, которые регламентируются международным стандартом ISO 4. Основной единицей хранения информации является файл. Файл может быть бесструктурным массивом данных или состоять из записей. Записи бывают фиксированной или переменной длины. В зависимости от организации доступа к записям выделяют линейные и циклические файлы.

Организация разграничения доступа к данным смарт-карты на уровне операционной системы

В циклических файлах каждая новая запись замещает наиболее старую, если пустого места больше нет. Это удобно для ведения автоматически обновляющихся списков данных по транзакциям. Базовые структуры данных могут быть расширены и специализированы. Так, на основе циклического файла записей фиксированной длины можно реализовать электронный кошелек. Электронный кошелек обычно содержит текущий баланс состояние счета и счетчик транзакций, позволяющий однозначно идентифицировать каждую транзакцию по номеру. Оба поля непосредственно недоступны для модификации и управляются ОС карты. Помимо последнего значения электронный кошелек содержит предысторию из нескольких транзакций, позволяющую отследить движение средств.

  
В основу формирования сертификатов открытых ключей положены принципы строгой аутентификации, рекомендованные стандартом Х.509 и базирующиеся на свойствах криптосистем с открытым ключом. Криптосистемы с открытым ключом предполагают наличие у пользователя парных ключей - секретного и открытого (общедоступного). Оба ключа могут быть использованы в целях шифрования, причем, если шифрование осуществлялось открытым ключом, то расшифрование должно выполняться секретным, и наоборот, если шифрование осуществлялось секретным ключом, то расшифрование должно выполняться открытым ключом.

Строгая аутентификация и сертификаты открытых ключей смарт-карт

Процедура установления подлинности пользователя называется аутентификацией. Например, после открытия нового направления на любом предприятии осуществляется подбор и оценка персонала отдела, и после принятия на работу каждый сотрудник получает персональную идентификационную смарт-карту. При этом каждый сотрудник идентифицируется с помощью своей смарт-карты (секретного ключа).

  
Распределение ключей является самым ответственным процессом в управлении ключами. При использовании симметричной криптосистемы две вступающие в информационный обмен стороны должны сначала согласовать секретный сессионный ключ, то есть ключ для шифрования всех сообщений, передаваемых в процессе обмена. Этот ключ должен быть неизвестен всем остальным и периодически обновляться одновременно у отправителя и получателя. Процесс согласования сессионного ключа называют также обменом, или распределением ключей. Спецификация совместимости PC/SC рекомендует поддержку смарт-картами операций обмена ключами.

Операции обмена ключами смарт-карт

К распределению ключей предъявляются следующие требования:
1. оперативность и точность распределения;
2. конфиденциальность и целостность распределяемых ключей.

  
Альтернативой криптоинтерфейсам на стороне ПК является определение переносимого приложения, обеспечивающего криптографические сервисы. Такой апплет может быть написан для смарт-карты JаvаСаrd и затем загружаться на совместимые с JavaCard смарт-карты от различных производителей. Если для общения с этим апплетом написан провайдер сервисов SSP, то можно получить действительный интерфейс со стороны карты для поддержки смарт-картой криптографических операций.

Стандартизация переносимого приложения смарт-карты

Группа Muscle выпустила открытую независимую от карты спецификацию и создала реализацию апплета JаvаСагd, названную интерфейсом со стороны криптографической карты CCEI (MuscleCaгd Cryptographic Card Edge Interface). Идея состоит в создании апплета, который благодаря его согласованности со спецификацией JavaCard может получить широкое распространение. Данный апплет позволяет поставщику приложения использовать любую (совместимую c JavaCaгd) карту, согласованную с этой спецификацией.

  
В начале 1990-х годов компания RSA Laboratories выпустила новую спецификацию для криптографических устройств, известную как PKCS-11, или Cryptoki (Crypto­graphic Token lnterface). Этот стандартизованный криптоинтерфейс предоставляет абстракцию криптографических ключей, общее использование сервисов и управление ключами и данными при обращении с устройством как с объектом.

Криптоинтерфейс для смарт-карт PKCS-11

После своего появления PKCS-11 стал широко используемым криптографическим подключаемым интерфейсом и был реализован в таких приложениях и инфраструктурах, как Netscape и CDSA, а также во многих других. Криптоинтерфейс PKCS-11 предлагает такие криптографические сервисы, как цифровая подпись, хэширование, шифрование / расшифрование, проверка подписи, генерация ключей и управление сертификацией.

  
Основной целью применения смарт-карт в компьютерных системах общего назначения является обеспечение криптографических сервисов для поддержки общих инфраструктур безопасности. В частности, смарт-карта является наилучшим местом хранения закрытого ключа (из пары открытый/закрытый ключ), который используется для проведения аутентификации в инфраструктуре с открытым ключом. Смарт-карта также является платформой безопасных вычислений и лучшим местом проведения операции цифровой подписи с применением закрытого ключа.

Архитектура криптоинтерфейсов для смарт-карт - криптоинтерфейс CryptoAPI

В настоящее время существует два основных криптографических модуля, обеспечивающих криптографические сервисы прикладного уровня:
1. CryptoAPI на платформе Windows;
2. PKCS-11 на платформе Windows и других платформах.
Оба программных пакета допускают применение смарт-карт как персонализированных средств безопасности в компьютерных системах общего назначения.

  
Менеджер ресурсов смарт-карт решает следующие проблемы при управлении доступом к множеству считывателей и смарт-карт. Во-первых, он отвечает за идентификацию и отслеживание ресурсов. Сюда входят:
1. отслеживание инсталлированных считывателей и обеспечение доступности этой информации другим приложениям;

Менеджер ресурсов смарт-карт

2. отслеживание известных типов смарт-карт вместе со связанными с ними сервис-провайдерами и поддерживаемыми интерфейсами и обеспечение доступности этой информации другим приложениям;
3. отслеживание событий вставки и удаления смарт-карт, чтобы обеспечить точную информацию по смарт-картам в считывателях.

  
Главной целью архитектуры и спецификации взаимодействия карт с микросхемами и системами персональных компьютеров PC/SC (Interoperability Specification for ICC and Personal Computer Systems) является обеспечение возможности независимой разработки продуктов производителями считывателей и производителями смарт-карт при гарантии, что результаты их усилий будут работать вместе беспрепятственно.

Архитектуры поддержки смарт-карт в системах персональных компьютеров

В спецификации PC/SC разработан ряд требований к совместимости микропроцессорных карт и считывателей смарт-карт:
1. карты и считыватели должны соответствовать стандартам ISO 7816-1/2/3;
2. карта должна выдавать асинхронный отклик на сигнал сброса;
3. для обмена данными необходима поддержка протоколов T=0 и T=1;
4. считыватели должны быть совместимы со специальными терминальными устройствами с клавиатурой и дисплеем.

  
Семейство смарт-карт Micardo компании Orga обеспечивает безопасность данных в следующих важных областях:
1. безопасная идентификация и аутентификация с помощью цифровой подписи или биометрии;
2. защита особо конфиденциальных медицинских данных в картах медицинского страхования;
3. цифровые подписи для электронных бизнес-транзакций как часть онлайновых банковских операций или покупок товаров через Internet.

Защищенные смарт-карты Micardo компании Orga Systems

Компания Orga разработала набор смарт-карт продуктов, которые удовлетворяют индивидуальные потребности каждого заказчика:
1. Micardo Public;
2. Micardo Elliptic;
3. JavaCard Open Platform (JCOP).


Яндекс.Метрика Rambler's Top100 Рейтинг@Mail.ru   "СМАРТ Системы"      © 2007-2016 Все права защищены.