V článku uveřejněném v SecurityWorldu 4/2009 o nasazení PKI karet v podnikové síti byl popsán způsob nahrání certifikátu a celkové personalizace multitechnologické karty Crescendo a také způsob vydávání PKI karet v podnikové síti za pomoci aplikace S-CMS. Jednalo se o řešení pro kontaktní část této karty. Nicméně důležitá je i bezkontaktní část této karty.
Jde to i bez drátů
Bezkontaktní část karty je reprezentována čipem a anténkou. Jak již bylo popsáno v SecurityWorldu 2/2009, jedná se zejména o čipy pracujících na frekvencích 125 KHz nebo 13,56 MHz. Mezi první lze zařadit karty typu EM Marin, Hitag 1 a 2 a další nebo pak karty Proximity HID. V těchto kartách je vypáleno pouze identifikační číslo v různých formátech – podle výrobce.
Slouží tedy zejména pro identifikaci jejího majitele, většinou se do ní nedá nic nahrát, je pomalejší, a zabezpečení takovéto karty je minimální, hodně záleží i na jedinečnosti identifikačního čísla čipu (UID). Přenos tohoto čísla do čtečky a PC nebývá u těchto karet nijak šifrován, záleží spíše na jeho implementaci do systému. Většinou se zapisuje jen toto číslo do databáze a pomocí tohoto čísla je tak karta přiřazena určitému uživateli.
Z hlediska bezpečnosti jsou pak dnes mnohem významnější karty využívající frekvenci 13,56 MHz, které díky výrazně vyšší rychlosti komunikace dovolují přenášet i větší objemy dat, a proto je možné zajistit i mnohem vyšší bezpečnost takovýchto karet. U těchto karet je pak možné provádět vzájemnou autentizaci se čtečkou, šifrovat, ukládat a chránit data.
Možná provedení karet
Existují 3 základní typy těchto karet: Mifare, DESFire a pak karty iClass. Zde už je z hlediska bezpečného použití velice významná jejich architektura a použitý systém zápisu a čtení dat, krytování s využitím klíčů atp. Taktéž velice záleží na implementaci takovýchto karet do systému, její vazby na čtečku, hashování (vytváření jakési kombinace seriových čísel či použitych klíču čtečky a karty) atd.
To je pak důležité např. pro bezpečné a rychlé ověřování identity osob, které karty s bezkontaktním čipem používají. Jako příklad lze uvést ověřování osob vstupujících do objektu. Při vstupu se osoba identifikuje přiblížením karty k instalované čtečce. Poté je okamžitě ověřována platnost karty – např. zasláním UID čipové karty s dotazem na její platnost přes webovou službu, která tuto ověří v informačním systému a vrátí status platná/neplatná karta.
Osobě s neplatnou kartou je zamezen vstup do objektu. Ověření lze provádět např. na centrálním serveru podniku, veřejné správy či jiné instituce. U karet DESFire je zajištěna unikátnost jejího UID.
DESFire je čip od firmy NXP - všichni výrobci karet tento čip používají, takže zde není žádny rozdíl v bezpečnosti. Unikátní sériové číslo čipu (UID/seriové číslo) DESFire je hexadecimální identifikátor délky 7 byte. Toto číslo je vypáleno do uzamčené části paměti již při výrobě čipu, která je rezervována pouze pro výrobce, přičemž je neměnitelné. Podle normy ISO/IEC 14443-3 jsou zde též aplikovány antikolizní funkce. Při implementaci může být prováděna vícestupňová vzájemná autentizace karta-čtečka apod.
Na co to lze použít
Z možných aplikací využívajících kontaktní a bezkontaktní části karet lze vybrat například elektronickou peněženku, jež obsahuje 2 čipy (s kontaktním a bezkontaktním rozhraním), s fotografií a vizuálním ochranným prvkem a jejíž obsah je chráněn pomocí PIN.
Kontaktní část – s větší kapacitou – obsahuje občanský průkaz ve formě certifikátu vydaný místním úřadem, řidičský průkaz ve formě certifikátu vystavený dopravním inspektorátem, poukazy na léky (recept) jako certifikát vydaný ošetřujícím lékařem. Bezkontaktní část – s menší kapacitou -- vedle identifikace jejího držitele i s možností platit „na dálku" jen průchodem čtecím rámem, jako jízdenka v MHD či debetní karta pro malé částky. Nevýhodou toho řešení jsou ale relativně vysoké náklady na vybudování infrastruktury.
Autor je ředitelem společnosti Sovte.
Technologickým partnerem tohoto příspěvku je firma Sovte.
Tento článek vyšel v SecurityWorldu 3/2011.