Смарт карты
Смарт карты
Что такое смарт-карта ? Приставку Smart (интеллектуальная) карта получила не просто так. Имея вид обычной пластиковой кредитной карточки, она содержит в себе интегральную схему, которая наделяет ее способностью к хранению и обработке информации.
|
|
Смарт-карты классифицируются по следующим признакам:
- тип микросхемы
- способ считывания информации
- соответствие стандартам
- область применения
Тип применяемых микросхем в смарт-картах
В зависимости от встроенной микросхемы все смарт-карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:
- карты памяти
- микропроцессорные карты
- карты с криптографической логикой
Карты памяти предназначены для хранения информации. Память на таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.
Микропроцессорные карты также предназначены для хранения информации, но в отличие обычных карт памяти они содержат в себе специальную программу или небольшую операционную систему, которая позволяет преобразовывать данные по определенному алгоритму, осуществлять защиту информации, хранящейся на карте, при передаче, чтении и записи.
Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.
Способы считывания информации со смарт-карты
По методу считывания информации карты делятся на следующие:
- Контактные
- Бесконтактные
- Со сдвоенным интерфейсом
Контактные карты взаимодействуют со считывателем посредством непосредственного соприкосновения металлической контактной площадки карты и контактов считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании.
1. Контактная область 2. Чип (микропроцессор карты)
3. Пластиковая основа |
|
Бесконтактные карты имеют встроенную катушку индуктивности, которая в электромагнитном поле считывателя обеспечивает питанием микросхему, выдающую информационные радиосигналы. Такой метод считывания позволяет часто использовать карту без износа самой карты и считывателя.
Карты со сдвоенным интерфейсом имеют одновременно и контактную площадку и встроенную катушку индуктивности. Такие карты позволяют осуществлять работу с разными типами считывателей.
Стандарты на смарт-карты
Для смарт-карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика, и заканчивая содержанием информации на карточке, протоколов работы и форматов данных.
Стандарт ISO-7816 «Идентификационные карты — карты с микросхемой с контактами». Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена);
Стандарт EMV (Europay, MasterCard & Visa). 1-я и 2-я части базируется на ISO-7816, в последующих добавлены определения обработки транзакций , спецификации терминалов и т.д.
Область применения смарт-карт
Практически в любых областях деятельности для смарт-карт можно найти применение. Сегодня одними из основных видов применения являются:
- Телефония — Карты оплаты разговора для таксофонов, GSM-карты в мобильных телефонах.
- Финансы — Различные банковские операции, оплата товаров и услуг, кредитные и дебетовые карты, карты для начисления стипендий, зарплат и пенсий и т.д.
- Транспорт — Карты для проезда на городском транспорте и метро.
- Здравоохранение — Медицинские карты больных, страховые полисы.
- Безопасность — Разграничение доступа в помещения, компьютерные системы, идентификация пользователей и т.д.
- Карты клиентов — Программы лояльности (начисление скидок, бонусов и т.д.).
Преимущества смарт-карт
Популярность смарт-карт в последнее время становится выше и это связано с тем, что смарт-карты имеют серьезные отличия от обычных карт с магнитной полосой:
1. смарт-карта содержит в себе память, из-за этого она может нести в себе гораздо большее количество информации, которая необходима для работы. В случае платежных систем (банкоматов, касс и т.д.) при использовании магнитных карт требуется наличие соединения с банком или другим обслуживающим центром, чтобы по идентификатору, хранящемуся на карте, получить данные о счете. В случае работы со смарт-картами данные о счете хранятся непосредственно в памяти карты и не требуется наличие соединения с банком, к тому же размер памяти позволяет хранить данные о нескольких счетах сразу вместе с персональными данными клиента. Поэтому данное свойство смарт-карты позволяет экономить на специальных каналах связи и дорогостоящем компьютерном оборудовании.
2. смарт-карты имеют надежную встроенную систему защиты от считывания информации и ее подделки. Эта особенность смарт-карты уберегает ее владельца от случаев любого нелегального копирования (клонирования) карты и несанкционированного использования.
3. Обмен информацией со смарт-картой проходит в зашифрованном виде, поэтому ее просто невозможно перехватить или изменить. Эта возможность позволяет со стопроцентной уверенностью утверждать, что Ваша информация не будет прослушана кем-либо. Ваши данные о счете и балансе останутся не известны кассиру или продавцу.
4. смарт-карта является более долговечной. Она не подвержена влиянию электромагнитных излучений и менее подвержена влиянию воды, грязи и химикатам. Срок службы смарт-карт различных производителей в зависимости от условий использования составляет от 3 до 10 лет. Магнитные же карты служат всего 1-2 года.
Актуальность использования
Обеспечение конфиденциальности информации является основной задачей разработчиков систем компьютерной безопасности. В большинстве современных электронных систем часто используется целый ряд технологий, позволяющих осуществлять контроль над информацией.
Несанкционированное использование и доступ к конфиденциальной информации может происходить во время:
1. Хранения информации
2. Передачи информации
При хранении может быть получен несанкционированный доступ к информации непосредственно в месте хранения и обработки (например, в файлах или базах данных) или в месте архивного хранения на носителях.
При передаче информации по каналам (особенно по сетям общественного доступа, например Интернет) есть большая вероятность перехвата или прослушивания информации.
В любых случаях может помочь шифрование информации, но тут возникает вопрос безопасного хранения и управления ключевой информацией. Решением проблемы является использование технологий, основанных на смарт-картах. Они могут обеспечить полную информационную и физическую безопасность из-за своей архитектуры.
Защита информации в смарт-картах
Механизмы защиты информации
Пассивная аутентификация — проверка разрешения на выполнение команды при помощи ввода PIN кода или пароля.
Активная аутентификация — внутренняя и внешняя аутентификация методом challenge-response.
Аутентификация данных — использование защищенной передачи данных и команд (чтения, записи, обновления) по каналу.
Шифрование данных — использование шифрации данных в командах чтения, записи и обновления.
Возможности обеспечения безопасности при использовании смарт-карт
Аутентификация карт
- Терминал проверяет подлинность карты перед началом транзакции.
- Перед выпуском её в обиход эмитент вводит в каждую карту и терминал секрет.
- Карта должна подтвердить терминалу, что она знает секрет.
- Карта не должна раскрывать секрет во время аутентификации.
- Так как карта знает секрет, значит это подлинная карта.
Аутентификация терминала
- Перед выпуском карты эмитент записывает в каждую карту и терминал секрет.
- Подлинный терминал должен уметь проверять, что он знает тот же секрет, который записан в карте.
- Так как терминал проверяет подлинность карты, она в свою очередь предоставляет требуемые права на доступ.
Аутентификация держателя карты
- Карта гарантирует, что только держатель карты может её использовать.
- Эмитент записывает в каждую карту PIN держателя карт.
- Карта предоставляет карт держателю доступ, так как он знает PIN.
- Карта может быть запрограммирована так, что при введении неправильного PIN кода она заблокируется.
- Биометрическая аутентификация (по отпечатку большого пальца, по сетчатке глаза, по динамической подписи)
Сертификация транзакций
- Эмитент записывает в каждую карту уникальный сертификационный ключ, подтверждающий право доступа держателя карт.
- После успешного прохождения терминальной аутентификации и аутентификации держателя карты, терминал посылает транзакцию в карту.
- На основе сертификационного ключа карта генерирует электронную подпись.
- Тот факт, что подпись проверена, указывает на легитимность транзакции.
Конфиденциальность данных
- Эмитент записывает в каждую карту уникальный ключ шифрования перед ее выпуском.
- Этот ключ используется для шифрования данных между терминалом и удаленным компьютером.
Термины и определения
- Авторизация — операция, являющаяся частью операций расчета за услуги с помощью платежных карточек. Авторизация состоит из последовательности процедур аутентификации и подтверждения обязательств эмитента карточки выполнить окончательный и безотзывный платеж со счета держателя.
- Аутентификация — операция подтверждения подлинности документа или сообщения. Аутентификация электронных сообщений и документов выполняется специальными процедурами электронной подписи. Аутентификация криптографированных электронных сообщений и документов, как правило, ограничивается процедурами шифрования и дешифрования.
- Аутентификация пластиковой карточки — операция подтверждения подлинности платежной карточки, а также того, что покупатель товаров и услуг является ее законным владельцем. В зависимости от вида карточки процедуры аутентификации выполняются по-разному. Для платежных smart-карточек операция выполняется процедурами, исполняемыми процессорами торгового автомата и самой карточки без участия процессингового центра и соответственно без сетевого соединения торговых автоматов с системой процессингового центра. Подтверждение законности владения платежной карточкой осуществляется с помощью проверки PIN-кода, введенного покупателем при выполнении операций расчета. При вводе правильного PIN-кода законность владения карточкой подтверждается. Процедуры аутентификации могут включать также и визуальные средства в тех случаях, если эмиссия карточек производится с нанесением на эмитируемую карточку изображений, текста и если на карточке отведено место для образца подписи владельца карточки. Визуальную аутентификацию выполняет оператор торговой точки.
- Дебитная (платежная) карточка — пластиковая карточка с ограничением размера платежа. Ограничение определяется остатком на специальном расчетном счете владельца пластиковой карточки. Для дебитных карточек на размеры отдельных платежей могут накладываться и другие специальные ограничения, используемые в целях управления рисками, включая риски, связанные с кражей карточки и другими формами криминального использования платежной карточки. Как правило, дебитные карточки не предусматривают возможности предоставления кредита владельцу карточки. Однако в отдельных случаях эмитент в соответствии с контрактными условиями, заключаемыми с владельцем карточки, и в целях увеличения спектра услуг, предоставляемых владельцам карточек, может предоставлять кредиты в пределах лимитов, установленных для отдельных постоянных клиентов. В зависимости от вида дебитной карточки состояние расчетного счета владельца карточки, ограничения и лимиты могут храниться по-разному. Если в качестве платежного средства используются smart-карточки, то указанная информация, как правило, хранится в памяти карточки, а состояние расчетного счета изменяется процедурами приложений, исполняемыми процессорами чипов smart-карточек и процессорами торговых автоматов. Управление лимитами платежной карточки, если таковые применяются, всегда осуществляется эмитентом карточки.
- Дебетование платежной карточки — операция, выполняемая при расчетах с использованием дебитной платежной карточки. В результате операции состояние расчетного счета владельца карточки уменьшается на сумму платежа (списание средств с расчетного счета владельца карточки).
- Кредитная (платежная) карточка — пластиковая карточка, при использовании которой эмитент ограничивает размер отдельного платежа, а владелец карточки обязуется по истечении определенного срока (как правило, в начале следующего месяца) погасить обязательства, возникшие после всех операций расчета за приобретенные товары и предоставленные услуги. Во всех операциях расчета с помощью кредитной карточки эмитент карточки выступает в качестве кредитора относительно владельца карточки и гаранта окончательного и безотзывного платежа в отношении торговца.
- Кредитование платежной карточки — операция, позволяющая изменить состояние расчетного счета владельца дебитной платежной карточки (пополнение счета денежными средствами). Кредитование осуществляется с использованием торговых автоматов (терминалов кредитования). При этом состояние расчетного счета увеличивается на величину внесенной суммы.
- Криптование (шифрование) - преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной только для получающей стороны. Криптографирование производится с помощью специальных ключей, доступных только отправителю электронного сообщения. Некоторые алгоритмы криптографирования для повышения степени защиты (повышения стойкости ключа) подразумевают использование открытого ключа, который передается вместе с зашифрованным сообщением и используется получающей стороной для дешифрования. Открытые ключи генерируются системой шифрования на основе алгоритмов случайных чисел.
- Механическая персонализация (эмбоссирование) — дополнительное средство визуальной аутентификации пластиковой карточки. При механической персонализации регистрационная информация наносится на лицевую поверхность карточки с помощью специального технологического оборудования.
- Персональный идентификационный код (ПИН-код, PIN code) — код, известный только владельцу платежной карточки и используемый в операциях аутентификации карточек. Операция аутентификации является успешно завершенной, если покупатель введет правильный PIN-код хотя бы в одной из трех попыток при проведении операции расчета за товары и услуги.
- Платежная (пластиковая) карточка со встроенным микропроцессором (smart-карточка, smart card) — пластиковая карточка, в которую при изготовлении устанавливается микросхема, содержащая процессор и модуль памяти. Память микросхемы разделяется на сегменты, доступ к которым ограничен только для определенных приложений, типов устройств считывания и записи. Отдельные сегменты могут использоваться только изготовителями и эмитентами карточки.
- Платежная транзакция — платежная операция расчетов за приобретенные товары и услуги, выполняемая с использованием платежных карточек, чеков, наличных денег и других законных платежных средств. При использовании платежных карточек транзакция включает последовательность процедур авторизации, необходимых для выполнения аутентификации и подтверждения обязательств эмитента карточки выполнять платежи за товары и услуги, приобретаемые покупателем — владельцем карточки.
- Процессинг — деятельность, включающая в себя сбор, обработку и рассылку участникам расчетов информации по операциям со смарт-картами осуществляемых процессинговым центром.
- Процессинговый центр — юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов. Процессинговый центр осуществляет: персонализацию платежных карточек, ведение всей базы карточных счетов, обработку платежных транзакций, выдачу отчетности и мониторинг безопасности системы.
- Расходный лимит (лимит авторизации) — предельная сумма денежных средств, доступная держателю карты в течение определенного периода для совершения операций с использованием карты.
- Режим реального времени (режим on-line) — режим обработки платежных транзакций, когда авторизация выполняется в режиме соединения с процессинговым центром. В этом случае вся необходимая для авторизации информация хранится в процессинговом центре или может быть доставлена с помощью процедур информационных систем процессингового центра. Режим реального времени предъявляет высокие требования к качеству и производительности используемых линий телекоммуникаций, к производительности компьютерного, сетевого и коммуникационного оборудования, оборудования информационной безопасности и программного обеспечения процессингового центра.
- Режим пакетной обработки (off-line) — режим обработки платежных транзакций, когда авторизация производится в системе торгового терминала. Режим используется во всех операциях розничной торговли с применением smart-карточек. Как правило, память таких карточек содержит информацию, необходимую и достаточную для операций авторизации. Уровень защиты smart-карточек является достаточно высоким и превосходит уровень защиты карточек с магнитной полосой. Применение технологий карточек со встроенным чипом не предъявляет специальных требований к линиям телекоммуникаций, оборудованию и программному обеспечению процессинговых центров.
- Стоп-лист (Черный список) — список пластиковых карточек, распространяемый процессинговым центром и перечисляющий пластиковые карточки, либо запрещенные к приему, либо расчеты по которым в настоящее время приостановлены. В любом случае эмитенты пластиковых карточек не принимают обязательств окончательного платежа по всем карточкам, указанным в стоп-листах. Запрещенные к приему карточки подлежат изъятию из оборота. По всем другим карточкам стоп-листа торговые автоматы не должны выполнять операций расчета и в зависимости от действующих соглашений либо подлежат изъятию, либо возвращаются владельцу карточки без выполнения процедур расчета.
- Торговый терминал (Платежный терминал, EFTPOS terminal) — устройство специального назначения, обеспечивающее выполнение расчетов с использованием платежных карточек в качестве средства платежа. В зависимости от типа используемого оборудования торговые терминалы позволяют также автоматизировать операции расчетов с использованием других видов платежных средств таких, как наличные деньги, чеки и т.п. Электрическая персонализация — запись в микросхему пластиковой карточки идентификационных данных, ключей, персональной информации о клиенте, платежных лимитов и начальной суммы средств.
- Электронная подпись — аутентификация электронных сообщений. Преобразование информации, которое выполняется для того, чтобы при обмене электронными сообщениями обратное преобразование (точное воспроизведение исходной информации) было возможным только при использовании согласованного с алгоритмом шифрования алгоритма дешифрации и специальной информации (ключей), доступной для получающей стороны. Криптографирование производится с помощью специальных ключей.
- Эмиссия пластиковых карт — деятельность по выпуску карт, открытию счетов и расчетно-кассовому обслуживанию клиентов при совершении операций с использованием выданных им карт.
- Эмитент пластиковых карточек — учреждение, которое участвует в платежной системе и имеет право эмиссии пластиковых карточек.