Применение для смарт-карт биометрических методов идентификации

С применением РIN-кода связана еще одна не очевидная, но важная проблема. Во многих случаях ввод и проверка РIN-кода не только идентифицирует пользователя и подтверждает законное владение данной смарт-картой. Эти операции могут рассматриваться также как объявление намерений пользователя, который, вводя РIN-код, как бы объявляет о своем согласии на определенное действие. В отличие от РIN-кода, применение биометрических методов идентификации необязательно означает объявление пользователя о своем намерении, поскольку биометрические признаки могут проверяться без явного разрешения данного человека.


Следует отметить растущий интерес к применению для смарт-карт биометрических методов идентификации. В ряде приложений эти методы могут оказаться более безопасными и удобными для пользователя, чем ввод РIN-кода. Кроме того, биометрические признаки не могут быть переданы другому человеку так же легко, как РIN-код. В качестве примера можем указать реализованный в прошлом квартале нашими специалистами проект распределенной СКУД (системы контроля и управления доступом) для одной из компаний, в которой были интегрированы смарт-карты и биометрический модуль проверки отпечатков пальцев. Этот модуль сканирует отпечатки пальцев сотрудников компании и сравнивает их с хранящимися в памяти карты, а затем посылает зашифрованные данные терминалу.

В потенциально небезопасной среде существуют определенные риски вторжения в передачу данных. Для пользователей бесконтактных смарт-карт наиболее распространенной угрозой является подслушивание. Поскольку передача информации осуществляется не через прямой контакт между смарт-картой и терминалом, а по радиочастотному каналу, нарушитель может легко перехватить и подслушать передачу без ведома законного пользователя или терминала. Это может привести к нежелательному раскрытию хранимой на карте информации, которую пользователь не хотел бы предавать огласке.


Конкретным примером угрозы подслушивания является ситуация, когда пользователь подтверждает свою подлинность смарт-карте путем ввода РIN-кода с клавиатуры, закрепленной на терминале. Чтобы предотвратить этот вид атаки, нужно обеспечить защиту передаваемых сообщений. Для защиты от пассивных злоумышленников, занимающихся перехватом данных, применяется шифрование передаваемых данных между смарт-картой и считывателем. В частности, значение РIN-кода, отравляемое с терминала на карту для проверки подлинности законного пользователя, должно быть зашифровано.