Hlavní navigace

Využití bezkontaktní části multitechnologických karet

17. 6. 2011

Sdílet

Z aplikací využívajících kontaktní a bezkontaktní části karet lze uvést elektronickou peněženku, jež obsahuje 2 čipy (s kontaktním a bezkontaktním rozhraním), s fotografií a vizuálním ochranným prvkem a jejíž obsah je chráněn pomocí PIN.

V  článku uveřejněném v SecurityWorldu 4/2009 o nasazení PKI karet v podnikové síti byl popsán způsob nahrání certifikátu a celkové personalizace multitechnologické karty Crescendo a také způsob vydávání PKI karet v podnikové síti za pomoci aplikace S-CMS. Jednalo se o řešení pro kontaktní část této karty. Nicméně důležitá je i bezkontaktní část této karty.

 

Jde to i bez drátů

Bezkontaktní část karty je reprezentována čipem a anténkou. Jak již bylo popsáno v SecurityWorldu 2/2009, jedná se zejména o čipy pracujících na frekvencích 125 KHz nebo 13,56 MHz. Mezi první lze zařadit karty typu EM Marin, Hitag 1 a 2 a další nebo pak karty Proximity HID. V těchto kartách je vypáleno pouze identifikační číslo v různých formátech – podle výrobce.

Slouží tedy zejména pro identifikaci jejího majitele, většinou se do ní nedá nic nahrát, je pomalejší, a zabezpečení takovéto karty je minimální, hodně záleží i na jedinečnosti identifikačního čísla čipu (UID). Přenos tohoto čísla do čtečky a PC nebývá u těchto karet nijak šifrován, záleží spíše na jeho implementaci do systému. Většinou se zapisuje jen toto číslo do databáze a pomocí tohoto čísla je tak karta přiřazena určitému uživateli.

Z hlediska bezpečnosti jsou pak dnes mnohem významnější karty využívající frekvenci 13,56 MHz, které díky výrazně vyšší rychlosti komunikace dovolují přenášet i větší objemy dat, a proto je možné zajistit i mnohem vyšší bezpečnost takovýchto karet. U těchto karet je pak možné provádět vzájemnou autentizaci se čtečkou, šifrovat, ukládat a chránit data.

 

Možná provedení karet

Existují 3 základní typy těchto karet: Mifare, DESFire a pak karty iClass. Zde už je z hlediska bezpečného použití velice významná jejich architektura a použitý systém zápisu a čtení dat, krytování s využitím klíčů atp. Taktéž velice záleží na implementaci takovýchto karet do systému, její vazby na čtečku, hashování (vytváření jakési kombinace seriových čísel či použitych klíču čtečky a karty) atd.

To je pak důležité např. pro bezpečné a rychlé ověřování identity osob, které karty s bezkontaktním čipem používají. Jako příklad lze uvést ověřování osob vstupujících do objektu. Při vstupu se osoba identifikuje přiblížením karty k instalované čtečce. Poté je okamžitě ověřována platnost karty – např. zasláním UID čipové karty s dotazem na její platnost přes webovou službu, která tuto ověří v informačním systému a vrátí status platná/neplatná karta.

Osobě s neplatnou kartou je zamezen vstup do objektu. Ověření lze provádět např. na centrálním serveru podniku, veřejné správy či jiné instituce. U karet DESFire je zajištěna unikátnost jejího UID.

DESFire je čip od firmy NXP - všichni výrobci karet tento čip používají, takže zde není žádny rozdíl v bezpečnosti. Unikátní sériové číslo čipu (UID/seriové číslo) DESFire je hexadecimální identifikátor délky 7 byte. Toto číslo je vypáleno do uzamčené části paměti již při výrobě čipu, která je rezervována pouze pro výrobce, přičemž je neměnitelné. Podle normy ISO/IEC 14443-3 jsou zde též aplikovány antikolizní funkce. Při implementaci může být prováděna vícestupňová vzájemná autentizace karta-čtečka apod.

 

Na co to lze použít

Z možných aplikací využívajících kontaktní a bezkontaktní části karet lze vybrat například elektronickou peněženku, jež obsahuje 2 čipy (s kontaktním a bezkontaktním rozhraním), s fotografií a vizuálním ochranným prvkem a jejíž obsah je chráněn pomocí PIN.

Kontaktní část – s větší kapacitou – obsahuje občanský průkaz ve formě certifikátu vydaný místním úřadem, řidičský průkaz ve formě certifikátu vystavený dopravním inspektorátem, poukazy na léky (recept) jako certifikát vydaný ošetřujícím lékařem. Bezkontaktní část – s menší kapacitou -- vedle identifikace jejího držitele i s možností platit „na dálku" jen průchodem čtecím rámem, jako jízdenka v MHD či debetní karta pro malé částky. Nevýhodou toho řešení jsou ale relativně vysoké náklady na vybudování infrastruktury.

 

Autor je ředitelem společnosti Sovte.

bitcoin_skoleni

Technologickým partnerem tohoto příspěvku je firma Sovte.

Tento článek vyšel v SecurityWorldu 3/2011.