Смарт -карта ( SC ), чип-карта или карта интегральной схемы ( ICC или IC-карта ), используемые для управления доступом к ресурсу. Обычно это пластиковая карта размером с кредитную карту со встроенным чипом интегральной схемы (ИС). [1] Многие смарт-карты имеют набор металлических контактов для электрического соединения с внутренним чипом. Другие бесконтактные , а некоторые и то, и другое. Смарт-карты могут обеспечивать идентификацию личности, аутентификацию, хранение данных и обработку приложений. [2] Приложения включают идентификацию, финансы, общественный транспорт, компьютерную безопасность, школы и здравоохранение. Смарт-карты могут обеспечивать надежную аутентификацию безопасности для единого входа (SSO) внутри организаций. Многие страны внедрили смарт-карты среди своего населения.
Универсальная карта с интегральной схемой (UICC) для мобильных телефонов, устанавливаемая в виде сменной SIM-карты или встроенной eSIM , также является разновидностью смарт-карты. По состоянию на 2015 год ежегодно производится [обновлять]10,5 миллиардов микросхем смарт-карт, в том числе 5,44 миллиарда микросхем SIM-карт. [3]
Основой смарт-карты является кремниевая интегральная схема (ИС). [4] Он был изобретен Робертом Нойсом из Fairchild Semiconductor в 1959 году. Изобретение кремниевой интегральной схемы привело к идее включения ее в пластиковую карту в конце 1960-х годов. [4]
Идею размещения интегральной микросхемы на пластиковой карте впервые предложил немецкий инженер Гельмут Грёттруп . В феврале 1967 года Греттруп подал в Западной Германии патенты DE1574074 [5] и DE1574075 [6] на защищенный от несанкционированного доступа идентификационный переключатель на основе полупроводникового устройства и описал бесконтактную связь посредством индуктивной связи. [7] Его основное использование было предназначено для предоставления индивидуальных ключей, защищенных от копирования, для запуска процесса прослушивания на беспилотных заправочных станциях. В сентябре 1968 года Греттруп вместе с Юргеном Детлоффом в качестве инвестора подал дополнительные патенты на этот идентификационный переключатель, сначала в Австрии [8] , а в 1969 году в виде последующих заявок в США, [9] [10] Великобритании, Западной Германии. и другие страны. [11]
Независимо Кунитака Аримура из Технологического института Аримура в Японии разработал аналогичную идею включения интегральной схемы в пластиковую карту и подал патент на смарт-карту в марте 1970 года. [4] [12] В следующем году Пол Каструччи из IBM подал заявку американский патент под названием «Информационная карта» в мае 1971 года. [12]
В 1974 году Роланд Морено запатентовал защищенную карту памяти, позже получившую название «смарт-карта». [13] [14] В 1976 году Юрген Детлофф представил известный элемент (называемый «секрет») для идентификации пользователя ворот согласно USP 4105156. [15]
В 1977 году Мишель Угон из Honeywell Bull изобрел первую микропроцессорную смарт-карту с двумя чипами : один микропроцессор и один модуль памяти , а в 1978 году он запатентовал самопрограммируемый одночиповый микрокомпьютер (SPOM), который определяет необходимую архитектуру для программирования чипа. . Три года спустя Motorola использовала этот патент в своем «CP8». На тот момент у Булла было 1200 патентов, связанных со смарт-картами. В 2001 году Bull продала свое подразделение CP8 вместе с патентами компании Schlumberger , которая впоследствии объединила собственный внутренний отдел смарт-карт и CP8 для создания Axalto . В 2006 году компании Axalto и Gemplus, на тот момент два крупнейших в мире производителя смарт-карт, объединились и образовали Gemalto . В 2008 году Dexa Systems отделилась от Schlumberger и приобрела бизнес Enterprise Security Services, в который входил отдел решений для смарт-карт, ответственный за развертывание первых крупномасштабных систем управления смарт-картами на основе инфраструктуры открытых ключей (PKI).
Первое массовое использование карт в качестве телефонной карты для оплаты во французских таксофонах началось в 1983 году. [16]
После Télécarte микрочипы были интегрированы во все французские дебетовые карты Carte Bleue в 1992 году. Покупатели вставляли карту в POS-терминал продавца , затем вводили личный идентификационный номер (PIN), прежде чем транзакция была принята. Без PIN-кода обрабатываются только очень ограниченные транзакции (например, оплата небольших дорожных сборов ).
Системы « электронных кошельков » на основе смарт-карт хранят средства на карте, поэтому считывателям не требуется подключение к сети. Они поступили на вооружение Европы в середине 1990-х годов. Они были распространены в Германии ( Geldkarte ), Австрии ( Quick Wertkarte ), Бельгии ( Proton ), Франции ( Moneo [17] ), Нидерландах ( Chipknip Chipper (выведен из эксплуатации в 2015 году)), Швейцарии («Cash»), Норвегии ( « Mondex »), Испания («Monedero 4B»), Швеция («Cash», выведена из эксплуатации в 2004 г.), Финляндия («Avant»), Великобритания («Mondex»), Дания («Danmønt») и Португалия («Porta- моэдас Мультибанко»). Также были развернуты системы частных электронных кошельков, такие как Корпус морской пехоты (USMC) на острове Пэррис, позволяющие совершать небольшие платежи в столовой.
С 1990-х годов смарт-карты представляют собой модули идентификации абонента (SIM), используемые в оборудовании мобильных телефонов GSM . Мобильные телефоны широко используются во всем мире, поэтому смарт-карты стали очень распространены.
Карты и оборудование, совместимые с Europay MasterCard Visa (EMV), широко распространены, их внедрение возглавляют европейские страны. Соединенные Штаты начали внедрять технологию EMV позже, в 2014 году, и в 2019 году ее внедрение все еще продолжается. Обычно национальная платежная ассоциация страны в координации с MasterCard International, Visa International, American Express и Японским кредитным бюро (JCB) совместно планирует и внедрить системы EMV.
Исторически сложилось так, что в 1993 году несколько международных платежных компаний согласились разработать спецификации смарт-карт для дебетовых и кредитных карт. Первоначальными брендами были MasterCard, Visa и Europay . Первая версия системы EMV была выпущена в 1994 году. В 1998 году характеристики стали стабильными.
EMVCo поддерживает эти спецификации. Цель EMVco — заверить различные финансовые учреждения и розничных торговцев в том, что спецификации сохраняют обратную совместимость с версией 1998 года. EMVco обновила спецификации в 2000 и 2004 годах. [18]
Карты, соответствующие стандарту EMV, были впервые приняты в Малайзии в 2005 году [19] , а затем в США в 2014 году. MasterCard была первой компанией, которой было разрешено использовать эту технологию в США. Соединенные Штаты почувствовали необходимость использовать эту технологию из-за роста случаев кражи личных данных . Информация о кредитной карте, украденная у Target в конце 2013 года, стала одним из крупнейших индикаторов того, что информация об американских кредитных картах небезопасна. 30 апреля 2014 года компания Target приняла решение попытаться внедрить технологию смарт-чипов, чтобы защитить себя от кражи личных данных кредитной карты в будущем.
До 2014 года в Америке было единогласно, что существует достаточно мер безопасности, чтобы избежать кражи кредитных карт, и что смарт-чип не нужен. Стоимость технологии смарт-чипов была значительной, поэтому большинство корпораций не хотели платить за нее в Соединенных Штатах. Дебаты наконец закончились, когда Target разослала уведомление [20], в котором говорилось, что несанкционированный доступ к магнитным полосам [21] стоимостью более 300 миллионов долларов, а также растущая стоимость кражи онлайн-кредитов, были достаточными для того, чтобы Соединенные Штаты инвестировали в эту технологию. Адаптация EMV значительно усилилась в 2015 году, когда в октябре компании, выпускающие кредитные карты, изменили ответственность. [ уточнить ] [ нужна ссылка ]
Бесконтактные смарт-карты не требуют физического контакта между картой и считывателем. Они становятся все более популярными для оплаты и продажи билетов. Типичное использование включает оплату общественного транспорта и платных автомагистралей. Visa и MasterCard реализовали версию, развернутую в 2004–2006 годах в США, с текущим предложением Visa под названием Visa Contactless . Большинство бесконтактных систем оплаты проезда несовместимы, хотя карта MIFARE Standard от NXP Semiconductors занимает значительную долю рынка в США и Европе.
Использование «бесконтактных» смарт-карт на транспорте также расширилось за счет использования недорогих чипов NXP Mifare Ultralight и бумаги/карт/ПЭТ, а не ПВХ. Это позволило снизить стоимость носителя, поэтому его можно использовать для недорогих билетов и краткосрочных проездных на транспорт (обычно до 1 года). Стоимость обычно составляет 10% от стоимости смарт-карты из ПВХ с большим объемом памяти. Они распространяются через автоматы, билетные кассы и агентов. Использование бумаги/ПЭТ менее вредно для окружающей среды, чем традиционные карты из ПВХ.
Смарт-карты также вводятся для идентификации и предоставления прав региональными, национальными и международными организациями. Эти виды использования включают карты граждан, водительские права и карты пациентов. В Малайзии обязательный национальный идентификатор MyKad позволяет использовать восемь приложений и имеет 18 миллионов пользователей. Бесконтактные смарт-карты являются частью биометрических паспортов ИКАО , предназначенных для повышения безопасности международных поездок.
Сложные карты — это смарт-карты, соответствующие стандарту ISO/IEC 7810 и включающие в себя дополнительные компоненты к традиционным одночиповым смарт-картам. Сложные карты были изобретены Сирилом Лало и Филиппом Гийо в 1999 году, когда они разработали чиповую смарт-карту с дополнительными компонентами, основываясь на первоначальной концепции, состоящей в использовании звуковых частот для передачи данных, запатентованной Аленом Бернаром. [22] Первый прототип Complex Card был разработан совместно Сирилом Лало и Филиппом Гийо, которые в то время работали в AudioSmartCard [23] , а также Анри Бочча и Филиппом Патрисом, которые работали в Gemplus . Он соответствовал стандарту ISO 7810 и включал батарею, пьезоэлектрический зуммер, кнопку и аудиофункции — и все это на карте толщиной 0,84 мм.
Пилотный проект Complex Card, разработанный AudioSmartCard, был запущен в 2002 году французским финансовым учреждением Crédit Lyonnais . В этом пилотном проекте в качестве средства аутентификации использовались акустические сигналы. Хотя комплексные карты разрабатывались с момента зарождения индустрии смарт-карт, они достигли зрелости только после 2010 года.
На сложных картах можно разместить различные периферийные устройства, в том числе:
В то время как комплексные карты первого поколения питались от батареи, второе поколение не работает от батареи и получает питание через обычный разъем для карт и/или индукцию.
Звук, создаваемый зуммером, был предпочтительным средством связи в первых проектах, связанных с сложными картами. Позже, с развитием дисплеев, визуальная коммуникация теперь присутствует почти во всех Комплексных Картах.
Комплексные карты поддерживают все протоколы связи, присутствующие в обычных смарт-картах: контактный благодаря контактной площадке в соответствии со стандартом ISO/IEC 7816 , бесконтактный в соответствии со стандартом ISO/IEC 14443 и магнитную полосу.
Разработчики сложных карточек при их разработке учитывают несколько потребностей:
Сложную карту можно использовать для вычисления криптографического значения, например одноразового пароля . Одноразовый пароль генерируется криптопроцессором, инкапсулированным в карту. Для реализации этой функции криптопроцессор должен быть инициализирован начальным значением, которое позволяет идентифицировать OTP, соответствующие каждой карте. Хэш начального значения должен надежно храниться на карте, чтобы предотвратить несанкционированное предсказание сгенерированных OTP.
Генерация одноразовых паролей основана либо на инкрементных значениях (на основе событий), либо на часах реального времени (на основе времени). Для использования генерации одноразового пароля на основе часов необходимо, чтобы Комплексная карта была оснащена часами реального времени .
Сложные карты, используемые для создания одноразового пароля, были разработаны для:
Сложная карта с кнопками может отображать баланс одного или нескольких счетов, привязанных к карте. Обычно либо одна кнопка используется для отображения баланса в случае одной карты счета, либо, в случае карты, связанной с несколькими счетами, комбинация кнопок используется для выбора баланса конкретного счета.
В целях дополнительной безопасности к сложной карте можно добавить такие функции, как требование от пользователя ввести идентификатор или значение безопасности, например PIN -код.
Комплексные карты, используемые для предоставления информации о счетах, разработаны для:
Последнее поколение сложных карт без батареек и кнопок может отображать баланс или другую информацию, не требуя каких-либо действий со стороны владельца карты. Информация обновляется в процессе использования карты. Например, на транспортной карте может отображаться ключевая информация, такая как баланс денежной стоимости, количество оставшихся поездок или дата истечения срока действия транзитного проездного.
Комплексная карта, используемая в качестве платежной карты, может быть оснащена возможностью обеспечения безопасности транзакций. Как правило, онлайн-платежи становятся безопасными благодаря коду безопасности карты (CSC) , также известному как код проверки карты (CVC2) или значение проверки карты (CVV2). Код безопасности карты (CSC) — это 3- или 4-значный номер, напечатанный на кредитной или дебетовой карте и используемый в качестве функции безопасности для транзакций по платежным картам без предъявления карты (CNP) для снижения случаев мошенничества.
Код безопасности карты (CSC) должен быть предоставлен продавцу владельцем карты для завершения транзакции без предъявления карты. CSC передается вместе с другими данными транзакции и проверяется эмитентом карты. Стандарт безопасности данных индустрии платежных карт (PCI DSS) запрещает хранение CSC продавцом или любым участником платежной цепочки. Несмотря на то, что статический CSC спроектирован как функция безопасности, он подвержен мошенничеству, поскольку его может легко запомнить продавец, который затем может использовать его для мошеннических онлайн-транзакций или продаж в даркнете.
Эта уязвимость побудила отрасль разработать динамический код безопасности карты (DCSC), который можно менять через определенные промежутки времени или после каждой контактной или бесконтактной транзакции EMV. Этот динамический CSC обеспечивает значительно лучшую безопасность, чем статический CSC.
Для первого поколения карт Dynamic CSC, разработанных NagraID Security, требовалась батарея, кварц и часы реального времени (RTC), встроенные в карту, для питания вычислений нового Dynamic CSC после истечения запрограммированного периода.
Второе поколение карт Dynamic CSC, разработанное компанией Ellipse World, Inc., не требует каких-либо батарей, кварца или часов реального времени для вычисления и отображения нового динамического кода. Вместо этого карта получает питание либо через обычный разъем карты, либо путем индукции во время каждой транзакции EMV от терминала торговой точки (POS) или банкомата (АТМ) для вычисления нового DCSC.
Динамический CSC, также называемый динамической криптограммой, продается несколькими компаниями под разными торговыми марками:
Преимущество динамического кода безопасности карты (DCSC) заключается в том, что новая информация передается вместе с платежными транзакциями, что делает бесполезным ее запоминание или хранение для потенциального мошенника. Транзакция с динамическим кодом безопасности карты выполняется точно так же, с теми же процессами и использованием параметров, что и транзакция со статическим кодом в транзакции без предъявления карты. Обновление до DCSC позволяет держателям карт и продавцам беспрепятственно продолжать свои платежные привычки и процессы.
Сложные карты могут быть оснащены биометрическими датчиками, обеспечивающими более надежную аутентификацию пользователя. В типичном случае использования датчики отпечатков пальцев интегрированы в платежную карту, чтобы обеспечить более высокий уровень аутентификации пользователя, чем PIN-код.
Чтобы реализовать аутентификацию пользователя с использованием смарт-карты с отпечатком пальца, пользователь должен аутентифицировать себя на карте с помощью отпечатка пальца перед началом платежной транзакции.
Несколько компаний [29] предлагают карты с датчиками отпечатков пальцев, в том числе:
Сложные карты могут включать в себя самые разные компоненты. Выбор компонентов определяет функциональность, влияет на стоимость, потребности в источнике питания и сложность производства.
В зависимости от типов сложных карт добавляются кнопки, позволяющие легко взаимодействовать между пользователем и картой. Обычно эти кнопки используются для:
Хотя на первых порах в прототипах использовались отдельные клавиши , сейчас наиболее популярным решением являются емкостные клавиатуры, благодаря технологическим разработкам AudioSmartCard International SA. [30]
Взаимодействие с емкостной клавиатурой требует постоянного питания, поэтому для активации карты потребуется батарейка и механическая кнопка.
Первые Комплексные карты были оснащены зуммером, позволяющим транслировать звук. Эта функция обычно использовалась по телефону для отправки идентификационных данных, таких как идентификатор и одноразовые пароли (OTP). Технологии, используемые для передачи звука, включают DTMF ( двухтональная многочастотная сигнализация ) или FSK ( частотная манипуляция ).
Компании, предложившие карты со звуковыми сигналами, включают:
Отображение данных является важной частью функций Complex Card. В зависимости от информации, которую необходимо отобразить, дисплеи могут быть цифровыми или буквенно-цифровыми и различной длины. Дисплеи могут быть расположены как на передней, так и на задней стороне карты. Передний дисплей является наиболее распространенным решением для отображения такой информации, как одноразовый пароль или баланс электронного кошелька. Задний дисплей чаще используется для отображения динамического кода безопасности карты (DCSC).
Дисплеи могут быть изготовлены по двум технологиям:
Если сложная смарт-карта предназначена для выполнения криптографических вычислений, таких как создание; одноразовый пароль, для него может потребоваться защищенный криптопроцессор .
Поскольку сложные карты содержат больше компонентов, чем традиционные смарт-карты, их энергопотребление необходимо тщательно контролировать.
Комплексным картам первого поколения требуется питание даже в режиме ожидания. Таким образом, дизайнеры продуктов обычно включали в свои конструкции батарею. Включение батареи создает дополнительную нагрузку с точки зрения сложности, стоимости, пространства и гибкости в и без того плотной конструкции. Включение батареи в сложную карту увеличивает сложность производственного процесса, поскольку батарею нельзя ламинировать горячим способом.
Комплексные карты второго поколения не требуют батарей. Эти карты собирают необходимую мощность из внешних источников; например, когда карта контактным или бесконтактным способом взаимодействует с платежной системой или смартфоном с поддержкой NFC. Использование бистабильного дисплея в конструкции карты гарантирует, что экран остается читаемым даже тогда, когда Комплексная карта не подключена к источнику питания.
Сложные методы производства карт унаследованы от индустрии смарт-карт и индустрии монтажа электроники. Поскольку сложные карты включают в себя несколько компонентов, при этом их толщина должна оставаться в пределах 0,8 мм, быть гибкими и соответствовать стандартам ISO/IEC 7810 , ISO/IEC 7811 и ISO/IEC 7816 , что делает их производство более сложным, чем стандартные смарт-карты.
Одним из самых популярных производственных процессов в индустрии смарт-карт является ламинирование. Этот процесс включает в себя ламинирование вставки между двумя сторонами карты. Вкладка содержит необходимые электронные компоненты с антенной, напечатанной на инертной подложке.
Обычно сложные карты с батарейным питанием требуют процесса производства холодного ламинирования. Этот процесс влияет на время изготовления и общую стоимость такой сложной карты.
Комплексные карты второго поколения без батареек могут быть изготовлены с помощью существующего процесса горячего ламинирования. Этот автоматизированный процесс, унаследованный от традиционного производства смарт-карт, позволяет производить сложные карты в больших количествах, сохраняя при этом затраты под контролем, что необходимо для перехода от нишевого рынка к массовому рынку.
Как и стандартные смарт-карты, сложные карты проходят жизненный цикл, состоящий из следующих этапов:
Поскольку сложные карты предоставляют больше функций, чем стандартные смарт-карты, и из-за их сложности их персонализация может занять больше времени или потребовать большего количества входных данных. Наличие сложных карт, которые можно персонализировать с помощью тех же машин и тех же процессов, что и обычные смарт-карты, позволяет легче интегрировать их в существующие производственные цепочки и приложения.
Комплексные карты первого поколения с батарейным питанием требуют особых процессов переработки , предписанных различными регулирующими органами. Кроме того, хранение комплексных карт с батарейным питанием в течение длительного периода времени может снизить их производительность из-за старения батареи .
Безбатарейная технология второго поколения обеспечивает работу в течение всего срока службы карты и исключает саморазряд, обеспечивая увеличенный срок хранения и более экологична.
С момента появления смарт-карт новаторы пытались добавить им дополнительные функции. По мере развития и индустриализации технологий несколько игроков индустрии смарт-карт стали участвовать в разработке сложных карт.
Концепция комплексной карты зародилась в 1999 году, когда ее изобретатели Сирил Лало и Филипп Гийо впервые разработали смарт-карту с дополнительными компонентами. Первый прототип был разработан совместно Сирилом Лало, который в то время был генеральным директором AudioSmartCard, и Анри Бочча и Филиппом Патрисом из Gemplus. Прототип включал кнопку и аудиофункции на карте толщиной 0,84 мм, соответствующей стандарту ISO 7810.
С тех пор комплексные карты массово внедряются, главным образом, компанией NagraID Security.
AudioSmartCard International SA [33] сыграла важную роль в разработке первой комплексной карты, которая включала в себя батарею, пьезоэлектрический зуммер, кнопку и аудиофункции на карте толщиной 0,84 мм, совместимой с ISO 7810.
AudioSmartCard была основана в 1993 году и специализировалась на разработке и маркетинге акустических токенов с функциями безопасности. Эти акустические токены обменивались данными в виде звуков, передаваемых по телефонной линии. В 1999 году AudioSmartCard перешла к новому руководству под руководством Сирила Лало и Филиппа Гийо, которые также стали основными акционерами. Они заставили AudioSmartCard эволюционировать в мир смарт-карт. В 2003 году Prosodie, [34] дочерняя компания Capgemini , присоединилась к акционерам AudioSmartCard.
AudioSmartCard была переименована в nCryptone [35] в 2004 году.
Компания CardLab Innovation [36] , зарегистрированная в 2006 году в Херлеве, Дания, специализируется на сложных картах, включающих переключатель, биометрический считыватель, глушитель RFID и одну или несколько магнитных полос. Компания работает с партнерами-производителями в Китае и Таиланде и владеет фабрикой по ламинированию карт в Таиланде.
Coin — американский стартап [37], основанный в 2012 году Канишком Парашаром. [38] Компания разработала комплексную карту, способную хранить данные нескольких кредитных и дебетовых карт. Прототип карты был оснащен дисплеем [39] и кнопкой , позволяющей пользователю переключаться между различными картами . В 2015 году первоначальная концепция монетной карты превратилась в Coin 2.0, добавив бесконтактную связь к исходной эмуляции магнитной полосы. [40]
Coin была приобретена Fitbit в мае 2016 года [41] , а вся деятельность Coin была прекращена в феврале 2017 года. [42]
Компания Ellipse World, Inc. [43] была основана в 2017 году Сирилом Лало и Себастьяном Пошиком, признанными экспертами в области технологии комплексных карт. Ellipse World, Inc. специализируется на технологии комплексных карт без использования батареек.
Запатентованные технологии Ellipse позволяют производителям смарт-карт использовать существующий процесс производства платежных карт с двойным интерфейсом и цепочку поставок для создания безбатарейных комплексных карт второго поколения с возможностями дисплея. Благодаря такой простоте интеграции производители смарт-карт могут работать на рынках банковских, транзитных и предоплаченных карт.
Компания EMue Technologies со штаб-квартирой в Мельбурне, Австралия, с 2009 по 2015 год проектировала и разрабатывала решения для аутентификации для индустрии финансовых услуг. [45] Флагманским продуктом компании, разработанным в сотрудничестве с Сирилом Лало и Филиппом Гийо, была карта eMue Card , кредитная карта Visa CodeSure [46] со встроенной клавиатурой, дисплеем и микропроцессором.
Feitian Technologies, китайская компания, созданная в 1998 году, предоставляет продукты и решения в области кибербезопасности. Компания предлагает решения безопасности на основе смарт-карт, а также других устройств аутентификации. К ним относятся сложные карты, включающие дисплей, [47] клавиатуру [48] или датчик отпечатков пальцев. [49]
Fingerprint Cards AB (или Fingerprints [50] ) — шведская компания, специализирующаяся на биометрических решениях. Компания продает биометрические датчики и недавно представила платежные карты со встроенным датчиком отпечатков пальцев [51] , такие как карта Zwipe [52] — биометрическая платежная карта с двойным интерфейсом, использующая встроенный датчик от Fingerprints.
Giesecke & Devrient , также известная как G+D, [53] — немецкая компания со штаб-квартирой в Мюнхене, которая производит банкноты, защищенную печать, смарт-карты и системы обработки наличных денег. В ее портфолио смарт-карт входят карты отображения, карты OTP, а также карты с динамическим CSC.
Gemalto , подразделение Thales Group , является крупным игроком в индустрии безопасных транзакций. В портфолио компании Complex Card входят карты с дисплеем [54] или датчиком отпечатков пальцев. [55] На этих картах может отображаться OTP [56] или динамический CSC. [57]
IDEMIA — продукт слияния Oberthur Technologies и Morpho в 2017 году [58] . Объединенная компания позиционирует себя как глобальный поставщик финансовых карт, SIM-карт, биометрических устройств, а также решений для государственной и частной идентификации. В связи с приобретением Oberthur компании NagraID Security в 2014 году предложения Idemia Complex Card включают в себя биометрическую платежную карту F.CODE [59] , включающую датчик отпечатков пальцев, и карту Motion Code [60] с питанием от батареи , на которой отображается динамический CSC.
IDEX Biometrics ASA, зарегистрированная в Норвегии, специализируется на технологиях идентификации по отпечаткам пальцев для аутентификации личности. Компания предлагает датчики отпечатков пальцев [61] и модули [62] , готовые для встраивания в карты. [63]
Компания Innovative Card Technologies, основанная в 2002 году Аланом Финкельштейном, разработала и коммерциализировала усовершенствования для рынка смарт-карт. Компания приобрела активы видеокарт nCryptone [64] в 2006 году. Innovative Card Technologies прекратила свою деятельность.
Nagra ID, ныне известная как NID, [65] до 2014 года была дочерней компанией Kudelski Group. NID ведет свою историю с Complex Cards с 2003 года, когда она сотрудничала в разработке с nCryptone. Компания Nagra ID сыграла важную роль в разработке процесса холодного ламинирования для производства сложных карт.
Nagra ID производит сложные карты [66] , которые могут включать в себя батарею, кнопки, дисплеи или другие электронные компоненты.
Компания Nagra ID Security начала свою деятельность в 2008 году как дочерняя компания Nagra ID, специализирующаяся на разработке и производстве сложных карт. Компания принадлежала Kudelski Group (50%), Сирилу Лало (25%) и Филиппу Гийо (25%).
NagraID Security быстро стала ведущим игроком во внедрении сложных карт, во многом благодаря разработке карт MotionCode с небольшим дисплеем для включения кода безопасности карты (CVV2) .
NagraID Security была первым производителем сложных карт, который создал массовый рынок платежных карт. Среди их клиентов были:
NagraID Security также поставляла карты с одноразовым паролем компаниям, в том числе:
В 2014 году NagraID Security была продана компании Oberthur Technologies (ныне IDEMIA ).
nCryptone появился в 2004 году в результате переименования AudioSmartCard. nCryptone возглавляли Сирил Лало и Филипп Гийо [68] и разработали технологии, связанные с серверами и устройствами аутентификации.
Активы видеокарт nCryptone были приобретены компанией Innovative Card Technologies в 2006 году. [69]
Oberthur Technologies , ныне IDEMIA , является одним из крупнейших игроков в индустрии безопасных транзакций. В 2014 году он приобрел бизнес NagraID Security. Затем Oberthur объединился с Morpho, и в 2017 году объединенная компания была переименована в Idemia.
Основные рекомендации в сфере комплексных карточек:
Созданная в 2009 году компания Plastc анонсировала единую карту, которая могла бы хранить в цифровом виде данные до 20 кредитных или дебетовых карт. Компании удалось собрать 9 миллионов долларов США за счет предварительных заказов, но не удалось доставить ни одного продукта. [73] Затем в 2017 году Plastc был приобретен [74] компанией Edge Mobile Payments, [75] финтех-компанией из Санта-Крус. Проект Plastc продолжается как карта Edge, [76] динамическая платежная карта, объединяющая несколько платежных карт в одном устройстве. Карта оснащена аккумулятором и экраном ePaper и может хранить данные до 50 кредитных, дебетовых, лояльных и подарочных карт.
Stratos [77] был создан в 2012 году в Анн-Арборе, штат Мичиган, США. В 2015 году компания Stratos разработала карту Stratos Bluetooth Connected Card [78] , которая была разработана для интеграции до трех кредитных и дебетовых карт в одном формате и содержала приложение для смартфона, используемое для управления картой. Благодаря литий-ионному тонкопленочному аккумулятору карта Stratos была оснащена светодиодами и обменивалась данными в бесконтактном режиме и по Bluetooth с низким энергопотреблением.
В 2017 году Stratos была приобретена [79] компанией CardLab Innovation, штаб-квартира которой находится в Херлеве, Дания.
SWYP [80] — торговая марка карты, разработанной Qvivr, компанией, зарегистрированной в 2014 году во Фримонте, Калифорния. SWYP был представлен в 2015 году и получил название первого в мире умного кошелька. SWYP представляла собой металлическую карту с возможностью объединения более 25 кредитных, дебетовых, подарочных карт и карт лояльности. Карта работала совместно с приложением для смартфона, используемым для управления картами. Карта Swyp включала в себя батарею, кнопку и матричный дисплей, показывающий, какая карта используется. Компания зарегистрировала пользователей в своей программе бета-тестирования, но продукт так и не поступил в коммерческое производство.
Qvivr привлек 5 миллионов долларов США в январе 2017 года [81] и прекратил свою деятельность в ноябре 2017 года.
Комплексные карты были приняты многими финансовыми учреждениями по всему миру. Они могут включать в себя различные функции, такие как платежные карты (кредитные, дебетовые, предоплаченные), одноразовый пароль , общественный транспорт и динамический код безопасности карты (CVV2) .
Технология Complex Card используется многими финансовыми учреждениями, в том числе:
Смарт-карта может иметь следующие общие характеристики:
С апреля 2009 года японская компания производит многоразовые финансовые смарт-карты из бумаги. [98]
Как упоминалось выше, данные на смарт-карте могут храниться в файловой системе (ФС). В файловых системах смарт-карт корневой каталог называется «главным файлом» («MF»), подкаталоги называются «выделенными файлами» («DF»), а обычные файлы называются «элементарными файлами» («EF»). [99]
Упомянутая выше файловая система хранится в EEPROM (хранилище или памяти) смарт-карты. [99] В дополнение к EEPROM могут присутствовать и другие компоненты, в зависимости от типа смарт-карты. Большинство смарт-карт имеют один из трех логических макетов:
В картах с микропроцессорами микропроцессор расположен между считывателем и другими компонентами. Операционная система, работающая на микропроцессоре, обеспечивает доступ читателя к этим компонентам, предотвращая несанкционированный доступ. [99]
Контактные смарт-карты имеют площадь контактов примерно 1 квадратный сантиметр (0,16 кв. дюйма) и состоят из нескольких позолоченных контактных площадок . Эти площадки обеспечивают электрическое соединение при вставке в считывающее устройство , [102] которое используется в качестве средства связи между смарт-картой и хостом (например, компьютером, терминалом торговой точки) или мобильным телефоном. Карты не содержат батареек ; Питание подается через картридер.
Серии стандартов ISO /IEC 7810 и ISO/IEC 7816 определяют:
Поскольку чипы в финансовых картах такие же, как и в модулях идентификации абонента (SIM) в мобильных телефонах, запрограммированы по-другому и встроены в другой кусок ПВХ , производители чипов переходят на более требовательные стандарты GSM/3G. Так, например, хотя стандарт EMV позволяет чип-карте потреблять ток 50 мА от терминала, ток карты обычно значительно ниже предела в 6 мА, установленного в телефонной отрасли. Это позволяет использовать терминалы для финансовых карт меньшего размера и дешевле.
Протоколы связи для контактных смарт-карт включают T=0 (протокол передачи на уровне символов, определенный в ISO/IEC 7816-3) и T=1 (протокол передачи на уровне блоков, определенный в ISO/IEC 7816-3).
Бесконтактные смарт-карты обмениваются данными со считывателями по протоколам, определенным в стандарте ISO/IEC 14443 . Они поддерживают скорости передачи данных 106–848 кбит/с. Этим картам для связи требуется только близость к антенне. Как и смарт-карты с контактами, бесконтактные карты не имеют внутреннего источника питания. Вместо этого они используют катушку рамочной антенны для захвата части падающего радиочастотного сигнала запроса, его исправления и использования для питания электроники карты. Бесконтактные интеллектуальные носители могут быть изготовлены из ПВХ, бумаги/карты и ПЭТ для удовлетворения различных требований к производительности, стоимости и долговечности.
Передача APDU через бесконтактный интерфейс определена в ISO/IEC 14443-4 .
Гибридные карты реализуют бесконтактные и контактные интерфейсы на одной карте с неподключенными чипами, включая выделенные модули/хранилище и обработку.
Карты с двойным интерфейсом реализуют бесконтактные и контактные интерфейсы на одном чипе с общим хранилищем и обработкой. Примером может служить многофункциональная транспортная карта Порту под названием Andante , в которой используется чип как с контактным, так и с бесконтактным интерфейсом (ISO/IEC 14443, тип B). Многие платежные карты по всему миру основаны на технологии гибридных карт, позволяющей им общаться как в бесконтактном, так и в контактном режимах.
CCID (устройство интерфейса чип-карты) — это протокол USB, который позволяет подключать смарт-карту к компьютеру с помощью устройства чтения карт, имеющего стандартный интерфейс USB . Это позволяет использовать смарт-карту в качестве токена безопасности для аутентификации и шифрования данных, например Bitlocker . Типичный CCID представляет собой USB-ключ и может содержать SIM-карту.
Различные смарт-карты реализуют один или несколько протоколов на стороне считывателя. Общие протоколы здесь включают CT-API и PC/SC . [99]
Операционные системы смарт-карт могут предоставлять интерфейсы прикладного программирования (API), чтобы разработчики могли писать программы («приложения») для запуска на смарт-карте. Некоторые такие API, такие как Java Card , позволяют загружать программы на карту без замены всей операционной системы карты. [99]
Смарт-карты служат кредитными картами или картами для банкоматов , топливными картами , SIM-картами для мобильных телефонов , авторизационными картами для платного телевидения, картами предоплаты за коммунальные услуги, идентификационными картами высокого уровня безопасности и пропусками доступа , а также платежными картами для общественного транспорта и общественных телефонов.
Смарт-карты также могут использоваться в качестве электронных кошельков . Чип смарт-карты можно «загрузить» средствами для оплаты парковочных автоматов, торговых автоматов или торговых точек. Криптографические протоколы защищают обмен денег между смарт-картой и машиной. Никакой связи с банком не требуется. Владелец карты может ею воспользоваться, даже если она не является владельцем. Примерами являются Proton , Geldkarte , Chipknip и Moneo . Немецкая карта Geldkarte также используется для проверки возраста покупателя в торговых автоматах по продаже сигарет.
Это наиболее известные платежные карты (классическая пластиковая карта):
Внедрение началось в 2005 году в США, Азии и Европе, а затем в 2006 году. Бесконтактные (без PIN-кода) транзакции охватывают диапазон платежей в размере ~ 5–50 долларов США. Существует реализация PayPass ISO/IEC 14443 . Некоторые, но не все реализации PayPass соответствуют EMV.
Карты без EMV работают как карты с магнитной полосой . Это распространено в США (PayPass Magstripe и Visa MSD). Карты не удерживают и не поддерживают баланс счета. Все платежи проходят без ПИН-кода, как правило, в офлайн-режиме. Безопасность такой транзакции не выше, чем при транзакции по карте с магнитной полосой. [ нужна цитата ]
Карты EMV могут иметь контактный или бесконтактный интерфейс. Они работают так, как будто это обычная карта EMV с контактным интерфейсом. Через бесконтактный интерфейс они работают несколько иначе: команды карты обеспечивают улучшенные функции, такие как снижение энергопотребления и сокращение времени транзакций. Стандарты EMV включают положения о контактной и бесконтактной связи. Обычно современные платежные карты основаны на технологии гибридных карт и поддерживают как контактный, так и бесконтактный режимы связи.
Модули идентификации абонента , используемые в системах мобильных телефонов, представляют собой смарт-карты уменьшенного размера, в которых используются идентичные технологии.
Смарт-карты могут удостоверять личность. Иногда они используют инфраструктуру открытых ключей (PKI). На карте хранится зашифрованный цифровой сертификат, выданный поставщиком PKI, а также другая соответствующая информация. Примеры включают карту общего доступа (CAC ) Министерства обороны США (DoD ) и другие карты, используемые правительствами других стран для своих граждан. Если карты содержат биометрические идентификационные данные, они могут обеспечить превосходную двух- или трехфакторную аутентификацию.
Смарт-карты не всегда повышают конфиденциальность, поскольку субъект может содержать на карте компрометирующую информацию. Бесконтактные смарт-карты, которые можно прочитать из кошелька или даже одежды, упрощают аутентификацию; однако преступники могут получить доступ к данным с этих карт.
Криптографические смарт-карты часто используются для единого входа . Большинство современных смарт-карт содержат специализированное криптографическое оборудование, использующее такие алгоритмы, как RSA и алгоритм цифровой подписи (DSA). Современные криптографические смарт-карты генерируют пары ключей на борту, чтобы избежать риска наличия более одной копии ключа (поскольку по конструкции обычно не существует способа извлечь секретные ключи из смарт-карты). Такие смарт-карты в основном используются для цифровых подписей и безопасной идентификации.
Самый распространенный способ доступа к функциям криптографических смарт-карт на компьютере — использование предоставленной поставщиком библиотеки PKCS#11 . [ нужна цитация ] В Microsoft Windows также поддерживается API поставщика служб шифрования (CSP ) .
Наиболее широко используемые криптографические алгоритмы в смарт-картах (за исключением так называемого «криптоалгоритма» GSM) — Triple DES и RSA . Набор ключей обычно загружается (DES) или генерируется (RSA) на карту на этапе персонализации.
Некоторые из этих смарт-карт также поддерживают стандарт Национального института стандартов и технологий (NIST) для проверки личности , FIPS 201 .
Турция внедрила первую систему выдачи водительских прав со смарт-картами в 1987 году. В Турции был высокий уровень дорожно-транспортных происшествий, и поэтому было принято решение разработать и использовать цифровые тахографы на тяжелых транспортных средствах вместо существующих механических, чтобы уменьшить количество нарушений скорости. С 1987 года профессиональные водительские права в Турции выдаются в виде смарт-карт. Профессиональный водитель обязан вставить свои водительские права в цифровой тахограф, прежде чем начать движение. Блок тахографа фиксирует нарушения скорости для каждого водителя и выдает распечатанный отчет. Время вождения каждого водителя также отслеживается и сообщается. В 1990 году Европейский Союз провел через BEVAC Consulting Engineers технико-экономическое обоснование под названием «Технико-экономическое обоснование европейских электронных водительских прав (на основе смарт-карты) от имени Генерального директората VII». В седьмой главе этого исследования описан опыт Турции.
Аргентинская провинция Мендоса начала использовать водительские права со смарт-картой в 1995 году. В Мендосе также наблюдался высокий уровень дорожно-транспортных происшествий, нарушений правил вождения и плохая статистика взыскания штрафов. [ нужна цитата ] Смарт-лицензии содержат актуальные записи о нарушениях вождения и неоплаченных штрафах. Они также хранят личную информацию, тип и номер лицензии, а также фотографию. По желанию владельца карты на чипе может храниться информация о неотложной медицинской помощи, такая как группа крови, аллергия и биометрические данные (отпечатки пальцев). Правительство Аргентины ожидает, что эта система поможет собирать штрафы на сумму более 10 миллионов долларов в год.
В 1999 году Гуджарат стал первым штатом Индии, который ввел систему лицензирования смарт-карт. [103] По состоянию на 2005 год он выдал своим гражданам 5 миллионов водительских прав со смарт-картами. [104]
В 2002 году правительство Эстонии начало выпускать смарт-карты ID Kaart в качестве основного удостоверения личности граждан, заменяющие обычный паспорт во внутреннем использовании и в ЕС. По состоянию на 2010 год выпущено около 1 миллиона смарт-карт (общая численность населения около 1,3 миллиона), и они широко используются в интернет-банкинге, покупке билетов на общественный транспорт, авторизации на различных сайтах и т. д.
К началу 2009 года всему населению Бельгии были выданы карты eID, которые используются для идентификации. Эти карты содержат два сертификата: один для аутентификации и один для подписи. Эта подпись имеет юридическую силу. Все больше и больше сервисов в Бельгии используют eID для авторизации . [105]
Испания начала выдавать национальные удостоверения личности (DNI) в форме смарт-карт в 2006 году и постепенно заменила все старые карты смарт-картами. Идея заключалась в том, что многие или большинство бюрократических действий можно было совершать онлайн, но это провалилось, поскольку администрация не адаптировалась и по-прежнему в основном требует бумажных документов и личного присутствия. [106] [107] [108] [109]
14 августа 2012 года в Пакистане были заменены удостоверения личности . Смарт-карта — это документ, удостоверяющий личность на основе чипа третьего поколения , изготовленный в соответствии с международными стандартами и требованиями. Карта имеет более 36 функций физической безопасности и новейшие коды шифрования . Эта смарт-карта заменила NICOP (удостоверение личности пакистанцев, проживающих за границей ).
Смарт-карты могут идентифицировать аварийно-спасательных служб и их навыки. Подобные карточки позволяют службам быстрого реагирования обойти организационные документы и уделять больше времени разрешению чрезвычайной ситуации. В 2004 году Альянс смарт-карт выразил потребности: «усилить безопасность, повысить эффективность правительства, сократить мошенничество с личными данными и защитить личную конфиденциальность путем установления обязательного общегосударственного стандарта для безопасных и надежных форм идентификации». [110] Сотрудники служб экстренного реагирования могут носить с собой эти карточки, чтобы их можно было идентифицировать в чрезвычайных ситуациях. Корпорация WidePoint , поставщик смарт-карт для FEMA , производит карты, которые содержат дополнительную личную информацию, например, медицинские записи и набор навыков.
В 2007 году Open Mobile Alliance (OMA) предложил новый стандарт, определяющий V1.0 веб-сервера смарт-карт (SCWS), HTTP-сервера, встроенного в SIM-карту, предназначенного для пользователя смартфона . [111] Некоммерческая торговая ассоциация SIMalliance содействует разработке и внедрению SCWS. SIMalliance заявляет, что SCWS предлагает конечным пользователям знакомый, независимый от ОС браузерный интерфейс для защиты личных данных SIM-карты. По состоянию на середину 2010 года SIMalliance не сообщал о широком признании SCWS в отрасли. [112] OMA поддерживает стандарт, одобрив версию V1.1 стандарта в мае 2009 года, а утверждение версии V1.2 ожидается в октябре 2012 года. [113]
Смарт-карты также используются для идентификации учетных записей пользователей на игровых автоматах. [114]
Смарт-карты, используемые в качестве транзитных пропусков , и интегрированные билеты используются многими операторами общественного транспорта. Пользователи карт также могут совершать с их помощью небольшие покупки. Некоторые операторы предлагают баллы за использование, обмен в розничных магазинах или на другие выгоды. [115] Примеры: CEPAS в Сингапуре, Touch n Go в Малайзии , карта Presto в Онтарио, карта Octopus в Гонконге , карты Suica и PASMO в Токио , карта Oyster в Лондоне , карта Leap в Ирландии , MoBIB в Брюсселе , карта OPUS в Квебеке, CharlieCard в Бостоне , Clipper в Сан-Франциско. card , SmarTrip в Вашингтоне, округ Колумбия , AT Hop в Окленде , go card в Брисбене, SmartRider в Перте , карта Opal в Сиднее и myki в Виктории . Однако они представляют угрозу конфиденциальности , поскольку позволяют оператору общественного транспорта (и правительству) отслеживать перемещение человека. В Финляндии, например, омбудсмен по защите данных запретил транспортному оператору Helsinki Metropolitan Area Council (YTV) собирать такую информацию, несмотря на аргумент YTV о том, что владелец карты имеет право на список поездок, оплаченных с помощью карты. Ранее такая информация была использована при расследовании взрыва в Мюрманни . [ нужна цитата ]
Министерство транспорта Великобритании поручило смарт-картам управлять льготами на проезд для пожилых людей и жителей с ограниченными возможностями. Эти схемы позволяют жителям использовать карты не только для проезда на автобус. Их также можно использовать для такси и другого льготного транспорта. Одним из примеров является схема «Smartcare go», предоставленная Ecebs. [116] Системы Великобритании используют спецификацию ITSO Ltd. Другие схемы в Великобритании включают проездные на определенный период, книжки на билеты или дневные пропуска, а также накопленную стоимость, которую можно использовать для оплаты поездок. Поддерживаются и другие льготы для школьников, студентов и ищущих работу. В основном они основаны на спецификации ITSO Ltd.
Многие «умные» транспортные схемы включают использование недорогих «умных» билетов для простых поездок, однодневных пропусков и пропусков для посетителей. Примеры включают метро Глазго SPT . Эти смарт-билеты изготовлены из бумаги или ПЭТ, который тоньше, чем смарт-карта из ПВХ, например смарт-носитель Confidex. [117] Смарт-билеты могут поставляться с предварительной печатью, с надпечаткой или с печатью по требованию.
В Швеции в 2018–2019 годах смарт-карты начали постепенно вытесняться и заменяться приложениями для смартфонов . Телефонные приложения обходятся дешевле, по крайней мере, для транспортных операторов, которым не нужно какое-либо электронное оборудование (его предоставляют пассажиры). Пассажиры могут покупать билеты где угодно, и им не нужно загружать деньги на смарт-карты. Смарт-карты все еще будут использоваться в обозримом будущем (по состоянию на 2019 год).
В японских игровых автоматах производители игр используют бесконтактные смарт-карты (обычно называемые «IC-картами») как метод доступа игроков к внутриигровым функциям (как онлайн, например Konami E-Amusement и Sega ALL.Net , так и офлайн). и в качестве поддержки памяти для сохранения прогресса игры. В зависимости от конкретного случая, машины могут использовать карту, специфичную для игры, или «универсальную», которую можно использовать на нескольких машинах от одного и того же производителя/издателя. Среди наиболее широко используемых — Banapassport от Bandai Namco , E-amusement pass от Konami , Aime от Sega и Nesica от Taito .
В 2018 году, стремясь сделать IC-карты для аркадных игр более удобными для пользователя, [118] Konami, Bandai Namco и Sega договорились о единой системе карт под названием Amusement IC . Благодаря этому соглашению три компании теперь используют унифицированные устройства считывания карт в своих игровых автоматах, чтобы игроки могли использовать свои карты, будь то Banapassport, e-Amusement Pass или Aime, с аппаратным обеспечением и услугами идентификации. всех трех производителей. Был создан общий логотип для карт Amusement IC , который теперь отображается на совместимых картах всех трех компаний. В январе 2019 года Taito объявила [119] , что их карта Nesica также присоединилась к соглашению Amusement IC с тремя другими компаниями.
Смарт-карты можно использовать в качестве токена безопасности .
Веб-браузер Mozilla Firefox может использовать смарт-карты для хранения сертификатов , которые можно использовать при безопасном просмотре веб-страниц. [120]
Некоторые системы шифрования дисков , такие как VeraCrypt и BitLocker от Microsoft , могут использовать смарт-карты для безопасного хранения ключей шифрования, а также для добавления еще одного уровня шифрования к критическим частям защищенного диска.
GnuPG , известный пакет шифрования, также поддерживает хранение ключей на смарт-карте. [121]
Смарт-карты также используются для единого входа в систему на компьютерах.
Смарт-карты предоставляются учащимся в некоторых школах и колледжах. [122] [123] [124] Область применения включает:
Интеллектуальные медицинские карты могут повысить безопасность и конфиденциальность информации о пациентах, обеспечить безопасный носитель портативных медицинских записей , сократить мошенничество в сфере здравоохранения , поддержать новые процессы для портативных медицинских записей, обеспечить безопасный доступ к информации о неотложной медицинской помощи, обеспечить соответствие правительственным инициативам (например, , донорство органов ) и мандаты, а также предоставить платформу для реализации других приложений по мере необходимости организации здравоохранения . [125] [126]
Смарт-карты широко используются для шифрования потоков цифрового телевидения. VideoGuard — это конкретный пример того, как работает безопасность с помощью смарт-карт.
Правительство Малайзии продвигает MyKad как единую систему для всех приложений смарт-карт. MyKad начинался как удостоверения личности, которые носили все граждане и резиденты-неграждане. Доступные приложения теперь включают удостоверения личности, проездные документы, водительские права, медицинскую информацию, электронный кошелек, банкоматную банковскую карту, оплату проезда по дорогам общего пользования и транзитные платежи, а также инфраструктуру шифрования с открытым ключом. Персональную информацию внутри карты МИКАД можно прочитать с помощью специальных команд APDU. [127]
Смарт-карты рекламируются как подходящие для задач идентификации личности, поскольку они разработаны с учетом защиты от несанкционированного доступа . Чип обычно реализует некоторый криптографический алгоритм. Однако существует несколько методов восстановления части внутреннего состояния алгоритма.
Анализ дифференциальной мощности включает измерение точного времени и электрического тока , необходимых для определенных операций шифрования или дешифрования. Это может определить встроенный в кристалл закрытый ключ, используемый алгоритмами открытого ключа, такими как RSA . Некоторые реализации симметричных шифров также могут быть уязвимы для атак по времени или мощности .
Смарт-карты можно физически разобрать с помощью кислоты, абразивов, растворителей или другого метода, чтобы получить неограниченный доступ к встроенному микропроцессору. Хотя такие методы могут включать в себя риск необратимого повреждения чипа, они позволяют извлечь гораздо более подробную информацию (например, микрофотографии шифровального оборудования).
Преимущества смарт-карт напрямую связаны с объемом информации и приложений, запрограммированных для использования на карте. На одну контактную/бесконтактную смарт-карту можно запрограммировать несколько банковских учетных данных, медицинских прав, водительских прав/права на общественный транспорт, программ лояльности и членства в клубах, и это лишь некоторые из них. Многофакторная и бесконтактная аутентификация может быть встроена в смарт-карты для повышения безопасности всех услуг на карте. Например, смарт-карту можно запрограммировать на разрешение бесконтактной транзакции только в том случае, если она также находится в пределах досягаемости другого устройства, например мобильного телефона с уникальным сопряжением. Это может существенно повысить безопасность смарт-карты.
Правительства и региональные власти экономят деньги благодаря повышению безопасности, улучшению качества данных и снижению затрат на обработку. Эта экономия помогает сократить государственные бюджеты или улучшить государственные услуги. В Великобритании существует множество примеров, многие из которых используют общую открытую спецификацию LASSeO.
Физические лица получают большую безопасность и больше удобства при использовании смарт-карт, которые выполняют несколько услуг. Например, им нужно заменить только одну карту, если их кошелек потерян или украден. Хранение данных на карте может уменьшить дублирование и даже предоставить экстренную медицинскую информацию.
Первым основным преимуществом смарт-карт является их гибкость. Смарт-карты имеют несколько функций, которые одновременно могут быть удостоверением личности, кредитной картой, денежной картой с сохраненной стоимостью и хранилищем личной информации, такой как номера телефонов или история болезни. Карту можно легко заменить в случае утери, а требование PIN-кода (или другой формы безопасности) обеспечивает дополнительную защиту от несанкционированного доступа к информации другими лицами. При первой же попытке незаконного использования карта будет деактивирована самим картридером.
Второе главное преимущество – безопасность. Смарт-карты могут представлять собой электронные брелоки, дающие владельцу возможность доступа к информации и физическим местам без необходимости подключения к Интернету. Это устройства шифрования, позволяющие пользователю шифровать и расшифровывать информацию, не полагаясь на неизвестные и, следовательно, потенциально ненадежные устройства, такие как банкоматы. Смарт-карты очень гибки в обеспечении аутентификации на разных уровнях предъявителя и контрагента. Наконец, благодаря информации о пользователе, которую смарт-карты могут предоставить другим сторонам, они являются полезными устройствами для настройки продуктов и услуг.
Другие общие преимущества смарт-карт:
Смарт-карты можно использовать в электронной коммерции через Интернет, хотя бизнес-модель, используемая в текущих приложениях электронной коммерции, по-прежнему не может использовать полный набор функций электронной среды. Преимуществом смарт-карт для электронной коммерции является возможность их настройки. Например, чтобы поставщик услуг мог предоставить индивидуализированную услугу, пользователю может потребоваться предоставить каждому поставщику его профиль, а это скучное и трудоемкое занятие. Смарт-карта может содержать незашифрованный профиль носителя, так что пользователь может получать индивидуальные услуги даже без предварительного контакта с поставщиком.
Пластиковая или бумажная карта, в которую встроен чип, достаточно гибкая. Чем больше чип, тем выше вероятность того, что обычное использование может его повредить. Карты часто носят в кошельках или карманах, что является суровой средой для чипа и антенны бесконтактных карт. Карты из ПВХ могут треснуть или сломаться при чрезмерном изгибе. Однако в крупных банковских системах затраты на устранение сбоев могут быть более чем компенсированы сокращением случаев мошенничества. [ нужна цитата ]
Известно, что производство, использование и утилизация ПВХ-пластика более вредны для окружающей среды, чем другие пластики. [128] Для некоторых интеллектуальных применений доступны альтернативные материалы, включая пластик и бумагу, не содержащие хлора.
Если на компьютере владельца учетной записи установлено вредоносное ПО , модель безопасности смарт-карты может быть нарушена. Вредоносное ПО может блокировать связь (как ввод с клавиатуры, так и вывод через экран приложения) между пользователем и приложением. Вредоносное ПО «человек в браузере» (например, троян Silentbanker ) может изменить транзакцию незаметно для пользователя. Такие банки, как Fortis и Belfius в Бельгии и Rabobank («случайное считывание») в Нидерландах, комбинируют смарт-карту с несвязанным устройством считывания карт, чтобы избежать этой проблемы. Клиент вводит в считыватель запрос, полученный с сайта банка, ПИН-код и сумму транзакции. Считыватель возвращает 8-значную подпись. Эта подпись вручную вводится в персональный компьютер и проверяется банком, что не позволяет вредоносному ПО в точках продаж изменить сумму транзакции.
Смарт-карты также становились объектами атак на системы безопасности. Эти атаки варьируются от физического вторжения в электронику карты до неинвазивных атак, использующих слабые места в программном или аппаратном обеспечении карты. Обычная цель — раскрыть частные ключи шифрования, а затем прочитать и манипулировать защищенными данными, такими как денежные средства. Как только злоумышленник разрабатывает неинвазивную атаку для конкретной модели смарт-карты, он или она обычно могут выполнить атаку на другие карты этой модели за считанные секунды, часто используя оборудование, которое можно замаскировать под обычное устройство чтения смарт-карт. [129] Хотя производители могут разрабатывать новые модели карт с дополнительной защитой информации , для пользователей обновление уязвимых систем может оказаться дорогостоящим или неудобным. Функции защиты от несанкционированного доступа и аудита в системе смарт-карт помогают управлять рисками взлома карт.
Другая проблема — отсутствие стандартов функциональности и безопасности. Чтобы решить эту проблему, Берлинская группа запустила проект ERIDANE, чтобы предложить «новую функциональную структуру и систему безопасности для оборудования точки взаимодействия (POI) на основе смарт-карт». [130]
{{cite web}}
: Проверить |url=
значение ( помощь )ОТКАЗ ЭЛЕКТРОННОГО ИДЕНТИФИКАЦИИ
Электронный ДНР умер: да здравствует ДНР 3.0!
В последние годы были разработаны стандарты и опубликованы директивы, касающиеся безопасности и конфиденциальности в системах EHR. Однако необходимо провести дополнительную работу по принятию этих правил и развертыванию безопасных систем ЭМК.