Sigurnosni mehanizmi za rad sa pametnim karticama

Uvod

Pametna kartica (engl. smart card) je plastična kartica koja u sebi ima ugrađen integrirani sklop (engl. integrated circuit chip), a dimenzije su joj iste kao i kod kreditnih kartica. Glavne funkcije kartice su autentifikacija, pohranjivanje podataka, vrednovanje (engl. validation), te mehanizam samozaključavanja. Otporna je na vanjske napade i ne ovisi o potencijalno ranjivim vanjskim resursima. Baš zbog tih svojstava se pametne kartice često koriste u različitim aplikacijama koje zahtijevaju visoku razinu sigurnosne zaštite i autentifikacije. Na primjer, pametne kartice mogu služiti za identifikaciju vlasnika kartice, kao zdravstvena kartica, ili kao kreditna/debitna bankovna kartica koja omogućava financijske transakcije. Sve te
aplikacije koriste osjetljive podatke spremljene na kartici kao što su biometrijski podaci o vlasniku, medicinski podaci, kriptografski ključevi za autentifikaciju itd.
Uskoro će uobičajene kartice s magnetskom trakom biti potpuno zamijenjene i integrirane unutar jedne multiaplikacijske pametne kartice koja se u industriji pametnih kartica naziva još i ”elektronički novčanik”. Neprestanim unaprijeđivanjem sigurnosnih svojstava pametna kartica postaje vrlo pouzdan medij za pohranjivanje najosjetljivijih podataka čime se smanjuje broj argumenata za sumnju u njezinu isplativnost.

Sigurnost pametnih kartica se razmatra iz tri različita aspekta. U prvom se opisuje fizička struktura kartice i način na koji je provedena zaštita tijekom životnog ciklusa pametne kartice. Drugi opisuje način na koji je provedena zaštita podataka logičkim kontrolama nad datotekama koje se nalaze na kartici. Treći aspekt opisuje kako kartica pruža sigurnosno i autentifikacijsko okruženje za aplikacije pomoću proceduralnih operacija i mehanizama. Nakon toga se u radu opisuju neke tehnike narušavanja sigurnosti i napada na pametne kartice.

Postojanje niza načina ugrožavanja sigurnosti pametnih kartica ne znači da pametna kartica nije sigurna. Napadi da sigurnosne sustave bilo koje vrste nisu novost. Nigdje ne postoji 100%-tna sigurnost, pa tako ni kod pametnih kartica. Glavna odluka o tome da li je sustav siguran ili ne, ovisi o ispunjavanju sigurnosnih zahtjeva sustava. Nadalje, većina napada na pametne kartice se mogu klasificirati u tri klase, što znači da je cijena probijanja sustava puno veća nego njegova vrijednost, ili je potreban vrlo dugi vremenski period da bi se probili kriptografski algoritmi. No, kako tehnologija vrlo brzo napreduje, proizvođači su primorani stalno ažurirati sigurnosna svojstva svojih produkata.

Postoji nekoliko vrsta pametnih kartica, od običnih memorijskih kartica koje nemaju svojstvo procesiranja podataka, do kartica s procesorom i kriptografskim procesorom koje proširuju područje upotrebe kartice, ali i razinu sigurnosti. Najnovija vrsta kartica su beskontaktne kartice koje, osim izbjegavanja problema s kontaktima na prihvatnim uređajima, donose i niz prednosti kojima postižu veću popularnost kod krajnjih korisnika.

Sigurnosni mehanizmi su osnovna sredstva kojima se postiže vrlo visoka razina sigurnosti kod pametnih kartica. Oni se temelje na vrlo kompleksnim matematičkim proračunima koje vrlo teško mogu izračunavati obična računala bez specijaliziranog sklopovlja. U mehanizme se ubrajaju algoritmi kriptiranja, funkcije sažimanja, te algoritmi za ramjenu ključeva. 6
Vrlo visoka razina sigurnosti kod pametnih kartica je postignuta algoritmima koji podržavaju duljine ključeva od nekoliko tisuća bitova (na primjer, 2048 ili 4096). No, ubrzani razvoj računalne snage primorava autore kriptografskih algoritama da konstantno povećavaju razinu sigurnosti algoritama kako bi izbjegli ugrožavanje sigurnosti tehnologije koja ih koristi. Zbog sve češćih napada na prihvatne uređaje za pametne kartice (čitače na kojima su neovlašteno ugrađeno skopovlje koje omogućava krivotvorenje kartice i krađu PIN-a) nastoje se proizvesti kartice koje minimalno ovise o vanjskim resursima. Prvi korak planiranja u tom smjeru je tzv. super pametna kartica (engl. Super Smart Card) koja osim vlastitog napajanja
sadržava ekran, tipkovnicu itd., što je veliki korak naprijed na području sigurnosti, ali i veliki udarac potencijalnim kriminalcima koji nikad ne spavaju i neprestano ugrožavaju postojeću sigurnost pametnih kartica i sličnim tehnologija.