Смарт - карта ( SC ), чип-карта или карта с интегральной схемой ( ICC или IC-карта ) — это карта, используемая для управления доступом к ресурсу. Обычно это пластиковая карта размером с кредитную карту со встроенным чипом интегральной схемы (IC). [1] Многие смарт-карты включают в себя схему металлических контактов для электрического соединения с внутренним чипом. Другие являются бесконтактными , а некоторые являются и тем, и другим. Смарт-карты могут обеспечивать персональную идентификацию, аутентификацию, хранение данных и обработку приложений. [2] Приложения включают идентификацию, финансы, общественный транспорт, компьютерную безопасность, школы и здравоохранение. Смарт-карты могут обеспечивать надежную аутентификацию безопасности для единого входа (SSO) в организациях. Многочисленные страны внедрили смарт-карты среди своего населения.
Универсальная карта с интегральной схемой (UICC) для мобильных телефонов, установленная как подключаемая SIM-карта или встроенная eSIM , также является типом смарт-карты. По состоянию на 2015 год ежегодно производится [обновлять]10,5 млрд чипов для смарт-карт, включая 5,44 млрд чипов для SIM-карт. [3]
Основой смарт-карты является кремниевая интегральная схема (ИС). [4] Она была изобретена Робертом Нойсом в Fairchild Semiconductor в 1959 году. Изобретение кремниевой интегральной схемы привело к идее ее встраивания в пластиковую карту в конце 1960-х годов. [4]
Идея встраивания интегральной схемы в пластиковую карту была впервые предложена немецким инженером Гельмутом Греттрупом . В феврале 1967 года Греттруп подал патенты DE1574074 [5] и DE1574075 [6] в Западной Германии на защищенный от несанкционированного доступа идентификационный переключатель на основе полупроводникового устройства и описал бесконтактную связь через индуктивную связь. [7] Его основное применение было направлено на предоставление индивидуальных защищенных от копирования ключей для разблокировки процесса нажатия на необслуживаемых заправочных станциях. В сентябре 1968 года Греттруп вместе с Юргеном Детлоффом в качестве инвестора подали дополнительные патенты на этот идентификационный переключатель, сначала в Австрии [8] , а в 1969 году в качестве последующих заявок в Соединенных Штатах, [9] [10] Великобритании, Западной Германии и других странах. [11]
Независимо от него Кунитака Аримура из Технологического института Аримуры в Японии разработал похожую идею встраивания интегральной схемы в пластиковую карту и подал заявку на патент смарт-карты в марте 1970 года. [4] [12] В следующем году Пол Каструччи из IBM подал заявку на американский патент под названием «Информационная карта» в мае 1971 года. [12]
В 1974 году Роланд Морено запатентовал защищенную карту памяти, позже названную «смарт-картой». [13] [14] В 1976 году Юрген Детлофф представил известный элемент (названный «секретом») для идентификации пользователя шлюза в соответствии с USP 4105156. [15]
В 1977 году Мишель Угон из Honeywell Bull изобрел первую микропроцессорную смарт-карту с двумя чипами : одним микропроцессором и одной памятью , а в 1978 году он запатентовал самопрограммируемый одночиповый микрокомпьютер (SPOM), который определяет необходимую архитектуру для программирования чипа. Три года спустя Motorola использовала этот патент в своем «CP8». На тот момент у Bull было 1200 патентов, связанных со смарт-картами. В 2001 году Bull продала свое подразделение CP8 вместе со своими патентами компании Schlumberger , которая впоследствии объединила свой внутренний отдел смарт-карт и CP8, чтобы создать Axalto . В 2006 году Axalto и Gemplus, на тот момент два крупнейших в мире производителя смарт-карт, объединились и стали Gemalto . В 2008 году компания Dexa Systems отделилась от Schlumberger и приобрела бизнес Enterprise Security Services, в который входило подразделение решений для смарт-карт, ответственное за развертывание первых крупномасштабных систем управления смарт-картами на основе инфраструктуры открытых ключей (PKI).
Первое массовое использование карт было в качестве телефонной карты для оплаты во французских таксофонах , начиная с 1983 года. [16]
После Télécarte в 1992 году во все французские дебетовые карты Carte Bleue были интегрированы микрочипы . Клиенты вставляли карту в терминал точки продажи (POS) продавца, затем вводили персональный идентификационный номер (PIN), прежде чем транзакция была принята. Только очень ограниченное количество транзакций (например, оплата небольших дорожных сборов ) обрабатываются без PIN-кода.
Системы « электронного кошелька » на основе смарт-карт хранят средства на карте, так что читателям не нужно подключение к сети. Они поступили на европейскую службу в середине 1990-х годов. Они были распространены в Германии ( Geldkarte ), Австрии ( Quick Wertkarte ), Бельгии ( Proton ), Франции ( Moneo [17] ), Нидерландах ( Chipknip Chipper (выведена из эксплуатации в 2015 году)), Швейцарии (« Cash »), Норвегии (« Mondex »), Испании (« Monedero 4B »), Швеции (« Cash », выведена из эксплуатации в 2004 году), Финляндии (« Avant »), Великобритании (« Mondex »), Дании (« Danmønt ») и Португалии (« Porta-moedas Multibanco »). Также были развернуты частные системы электронных кошельков, такие как Корпус морской пехоты США (USMC) на острове Пэррис, позволяющие совершать небольшие платежи в кафетерии.
С 1990-х годов смарт-карты стали модулями идентификации абонента (SIM-картами), используемыми в оборудовании мобильных телефонов GSM . Мобильные телефоны широко используются во всем мире, поэтому смарт-карты стали очень распространенными.
Карты и оборудование, совместимые с Europay MasterCard Visa (EMV), широко распространены, а их внедрение возглавляют европейские страны. Соединенные Штаты начали развертывать технологию EMV позже, в 2014 году, и в 2019 году развертывание все еще продолжалось. Обычно национальная платежная ассоциация страны совместно с MasterCard International, Visa International, American Express и Japan Credit Bureau (JCB) совместно планируют и внедряют системы EMV.
Исторически сложилось так, что в 1993 году несколько международных платежных компаний согласились разработать спецификации смарт-карт для дебетовых и кредитных карт. Первоначальными брендами были MasterCard, Visa и Europay . Первая версия системы EMV была выпущена в 1994 году. В 1998 году спецификации стали стабильными.
EMVCo поддерживает эти спецификации. Цель EMVco — гарантировать различным финансовым учреждениям и розничным торговцам, что спецификации сохраняют обратную совместимость с версией 1998 года. EMVco обновила спецификации в 2000 и 2004 годах. [18]
Карты, совместимые с EMV, впервые были приняты в Малайзии в 2005 году [19] , а затем в Соединенных Штатах в 2014 году. MasterCard была первой компанией, которой было разрешено использовать эту технологию в Соединенных Штатах. Соединенные Штаты почувствовали необходимость использовать эту технологию из-за увеличения случаев кражи личных данных . Информация о кредитных картах, украденная у Target в конце 2013 года, была одним из самых больших показателей того, что информация о кредитных картах в Америке небезопасна. 30 апреля 2014 года Target приняла решение, что попытается внедрить технологию смарт-чипов, чтобы защитить себя от будущей кражи личных данных кредитных карт.
До 2014 года в Америке существовал консенсус, что мер безопасности достаточно, чтобы избежать кражи кредитных карт, и что смарт-чип не нужен. Стоимость технологии смарт-чипа была значительной, поэтому большинство корпораций не хотели платить за нее в Соединенных Штатах. Дебаты наконец закончились, когда Target разослала уведомление [20], в котором говорилось, что несанкционированный доступ к магнитным полосам [21], стоивший Target более 300 миллионов долларов, вместе с растущей стоимостью кражи онлайн-кредитов, был достаточным для того, чтобы Соединенные Штаты инвестировали в эту технологию. Адаптация EMV значительно усилилась в 2015 году , когда в октябре произошло изменение ответственности кредитных компаний. [ уточнить ] [ необходима цитата ]
Бесконтактные смарт-карты не требуют физического контакта между картой и считывателем. Они становятся все более популярными для оплаты и покупки билетов. Типичные области применения включают общественный транспорт и плату за проезд по автомагистралям. Visa и MasterCard внедрили версию, развернутую в 2004–2006 годах в США, с текущим предложением Visa под названием Visa Contactless . Большинство бесконтактных систем оплаты проезда несовместимы, хотя карта MIFARE Standard от NXP Semiconductors имеет значительную долю рынка в США и Европе.
Использование «бесконтактных» смарт-карт на транспорте также возросло за счет использования недорогих чипов NXP Mifare Ultralight и бумаги/карты/ПЭТ вместо ПВХ. Это снизило стоимость носителя, поэтому его можно использовать для недорогих билетов и краткосрочных транспортных проездных (обычно до 1 года). Стоимость обычно составляет 10% от стоимости смарт-карты из ПВХ с большей памятью. Они распространяются через торговые автоматы, билетные кассы и агентов. Использование бумаги/ПЭТ менее вредно для окружающей среды, чем использование традиционных карт из ПВХ.
Смарт-карты также вводятся для идентификации и предоставления прав региональными, национальными и международными организациями. К таким видам использования относятся карты граждан, водительские права и карты пациентов. В Малайзии обязательный национальный идентификатор MyKad поддерживает восемь приложений и имеет 18 миллионов пользователей. Бесконтактные смарт-карты являются частью биометрических паспортов ИКАО для повышения безопасности международных поездок.
Сложные карты — это смарт-карты, которые соответствуют стандарту ISO/IEC 7810 и включают компоненты в дополнение к тем, которые встречаются в традиционных смарт-картах с одним чипом. Сложные карты были изобретены Сирилом Лало и Филиппом Гийо в 1999 году, когда они разработали чиповую смарт-карту с дополнительными компонентами, основываясь на первоначальной концепции, состоящей из использования звуковых частот для передачи данных, запатентованной Аленом Бернаром. [22] Первый прототип сложной карты был разработан совместно Сирилом Лало и Филиппом Гийо, которые в то время работали в AudioSmartCard [23] , и Анри Бочча и Филиппом Патрисом, которые работали в Gemplus . Она соответствовала стандарту ISO 7810 и включала батарею, пьезоэлектрический зуммер, кнопку и обеспечивала звуковые функции, и все это в пределах карты толщиной 0,84 мм.
Пилот Complex Card, разработанный AudioSmartCard, был запущен в 2002 году французским финансовым учреждением Crédit Lyonnais . В этом пилоте в качестве средства аутентификации использовались акустические тоны. Хотя Complex Cards разрабатывались с момента зарождения индустрии смарт-карт, они достигли зрелости только после 2010 года.
Комплексные карты могут вмещать различные периферийные устройства, включая:
В то время как карты Complex Card первого поколения работали от батареек, второе поколение не имеет батареек и получает питание через обычный разъем карты и/или индукцию.
Звук, генерируемый зуммером, был предпочтительным средством общения для первых проектов с использованием сложных карт. Позже, с развитием дисплеев, визуальная коммуникация теперь присутствует почти во всех сложных картах.
Карты Complex Cards поддерживают все протоколы связи, присутствующие на обычных смарт-картах: контактный, благодаря контактной площадке, как определено стандартом ISO/IEC 7816 , бесконтактный в соответствии со стандартом ISO/IEC 14443 и магнитная полоса.
При разработке сложных карточек разработчики учитывают несколько потребностей:
Сложная карта может использоваться для вычисления криптографического значения, например одноразового пароля . Одноразовый пароль генерируется криптопроцессором, инкапсулированным в карту. Для реализации этой функции криптопроцессор должен быть инициализирован начальным значением, которое позволяет идентифицировать OTP, соответствующие каждой карте. Хэш начального значения должен надежно храниться на карте, чтобы предотвратить несанкционированное предсказание сгенерированных OTP.
Генерация одноразовых паролей основана либо на инкрементных значениях (на основе событий), либо на часах реального времени (на основе времени). Использование генерации одноразовых паролей на основе часов требует, чтобы сложная карта была оснащена часами реального времени .
Разработаны комплексные карты, используемые для генерации одноразового пароля:
Карта Complex Card с кнопками может отображать баланс одного или нескольких счетов, привязанных к карте. Обычно для отображения баланса используется либо одна кнопка в случае карты с одним счетом, либо, в случае карты, привязанной к нескольким счетам, используется комбинация кнопок для выбора баланса определенного счета.
Для дополнительной безопасности на сложную карту можно добавить такие функции, как требование к пользователю ввести идентификационные данные или защитное значение, например, ПИН-код .
Комплексные карты, используемые для предоставления информации по счету, были разработаны для:
Последнее поколение карт Complex без батареек и кнопок может отображать баланс или другую информацию без необходимости ввода данных со стороны держателя карты. Информация обновляется во время использования карты. Например, на транзитной карте может отображаться ключевая информация, такая как баланс денежной стоимости, количество оставшихся поездок или дата истечения срока действия транзитного проездного.
Карта Complex Card, используемая в качестве платежной карты, может быть оснащена возможностью обеспечения безопасности транзакций. Обычно онлайн-платежи защищены благодаря коду безопасности карты (CSC) , также известному как код проверки карты (CVC2) или значение проверки карты (CVV2). Код безопасности карты (CSC) представляет собой 3- или 4-значный номер, напечатанный на кредитной или дебетовой карте, используемый в качестве защитного элемента для транзакций по платежным картам без предъявления карты (CNP) для снижения случаев мошенничества.
Код безопасности карты (CSC) должен быть предоставлен продавцу держателем карты для завершения транзакции без предъявления карты. CSC передается вместе с другими данными транзакции и проверяется эмитентом карты. Стандарт безопасности данных индустрии платежных карт (PCI DSS) запрещает хранение CSC продавцом или любым заинтересованным лицом в цепочке платежей. Несмотря на то, что статический CSC был разработан как функция безопасности, он подвержен мошенничеству, поскольку его может легко запомнить продавец магазина, который затем может использовать его для мошеннических онлайн-транзакций или продаж в даркнете.
Эта уязвимость привела к тому, что отрасль разработала динамический код безопасности карты (DCSC), который можно менять через определенные промежутки времени или после каждой контактной или бесконтактной транзакции EMV. Этот динамический CSC обеспечивает значительно лучшую безопасность, чем статический CSC.
Для первого поколения карт Dynamic CSC, разработанных NagraID Security, требовалась батарея, кварц и часы реального времени (RTC), встроенные в карту для обеспечения вычислений новой карты Dynamic CSC после истечения запрограммированного периода.
Второе поколение карт Dynamic CSC, разработанных Ellipse World, Inc., не требует никакой батареи, кварца или RTC для вычисления и отображения нового динамического кода. Вместо этого карта получает питание либо через обычный разъем карты, либо посредством индукции во время каждой транзакции EMV с терминала Point of Sales (POS) или банкомата (ATM) для вычисления нового DCSC.
Динамический CSC, также называемый динамической криптограммой, продается несколькими компаниями под разными торговыми марками:
Преимущество динамического кода безопасности карты (DCSC) заключается в том, что новая информация передается вместе с платежными транзакциями, что делает ее бесполезной для потенциального мошенника, чтобы запомнить или сохранить ее. Транзакция с динамическим кодом безопасности карты выполняется точно так же, с теми же процессами и использованием параметров, что и транзакция со статическим кодом в транзакции без присутствия карты. Обновление до DCSC позволяет держателям карт и торговцам продолжать свои платежные привычки и процессы без помех.
Карты Complex Cards могут быть оснащены биометрическими датчиками, что обеспечивает более надежную аутентификацию пользователя. В типичном варианте использования датчики отпечатков пальцев интегрируются в платежную карту, чтобы обеспечить более высокий уровень аутентификации пользователя, чем PIN-код.
Для реализации аутентификации пользователя с использованием смарт-карты с функцией распознавания отпечатков пальцев пользователю необходимо пройти аутентификацию на карте с помощью отпечатка пальца перед началом платежной транзакции.
Несколько компаний [29] предлагают карты со сканерами отпечатков пальцев, в том числе:
Сложные карты могут включать в себя широкий спектр компонентов. Выбор компонентов определяет функциональность, влияет на стоимость, потребности в электропитании и сложность производства.
В зависимости от типов сложных карт были добавлены кнопки, позволяющие пользователю легко взаимодействовать с картой. Обычно эти кнопки используются для:
Хотя в ранних прототипах использовались отдельные клавиши , сейчас наиболее популярным решением являются емкостные клавиатуры, благодаря технологическим разработкам AudioSmartCard International SA. [30]
Взаимодействие с емкостной клавиатурой требует постоянного питания, поэтому для активации карты необходимы батарея и механическая кнопка.
Первые комплексные карты были оснащены зуммером, который позволял транслировать звук. Эта функция обычно использовалась по телефону для отправки идентификационных данных, таких как идентификатор и одноразовые пароли (OTP). Технологии, используемые для передачи звука, включают DTMF ( двухтональный многочастотный сигнал ) или FSK ( частотная манипуляция ).
Компании, предлагавшие карты со звонками, включают:
Отображение данных является неотъемлемой частью функциональных возможностей сложных карт. В зависимости от информации, которую необходимо отобразить, дисплеи могут быть цифровыми или буквенно-цифровыми и иметь различную длину. Дисплеи могут располагаться как на лицевой, так и на оборотной стороне карты. Передний дисплей является наиболее распространенным решением для отображения такой информации, как одноразовый пароль или баланс электронного кошелька. Задний дисплей чаще используется для отображения динамического кода безопасности карты (DCSC).
Дисплеи могут быть изготовлены с использованием двух технологий:
Если сложная смарт-карта предназначена для выполнения криптографических вычислений (например, генерации одноразового пароля), ей может потребоваться защищенный криптопроцессор .
Поскольку сложные карты содержат больше компонентов, чем традиционные смарт-карты, их энергопотребление необходимо тщательно контролировать.
Карты Complex Card первого поколения требуют источника питания даже в режиме ожидания. Поэтому разработчики продукта обычно включали батарею в свой дизайн. Включение батареи создает дополнительную нагрузку с точки зрения сложности, стоимости, пространства и гибкости в уже плотной конструкции. Включение батареи в карту Complex Card увеличивает сложность производственного процесса, поскольку батарея не может быть подвергнута горячему ламинированию.
Карты Complex второго поколения имеют конструкцию без батареи. Эти карты получают необходимую мощность от внешних источников; например, когда карта взаимодействует контактным или бесконтактным способом с платежной системой или смартфоном с поддержкой NFC. Использование бистабильного дисплея в конструкции карты гарантирует, что экран остается читаемым, даже когда карта Complex не подключена к источнику питания.
Методы производства сложных карт унаследованы от индустрии смарт-карт и индустрии монтажа электроники. Поскольку сложные карты включают в себя несколько компонентов, оставаясь при этом толщиной в пределах 0,8 мм и будучи гибкими, а также соответствовать стандартам ISO/IEC 7810 , ISO/IEC 7811 и ISO/IEC 7816 , их производство становится более сложным, чем производство стандартных смарт-карт.
Одним из самых популярных производственных процессов в индустрии смарт-карт является ламинирование. Этот процесс включает ламинирование вставки между двумя лицевыми сторонами карты. Вставка содержит необходимые электронные компоненты с антенной, напечатанной на инертной подложке.
Обычно для сложных карт с батарейным питанием требуется процесс холодного ламинирования. Этот процесс влияет на время производства и общую стоимость такой сложной карты.
Второе поколение, безбатарейные комплексные карты могут быть изготовлены с помощью существующего процесса горячего ламинирования. Этот автоматизированный процесс, унаследованный от традиционного производства смарт-карт, позволяет производить комплексные карты в больших количествах, сохраняя при этом контроль над расходами, что является необходимостью для перехода от нишевого к массовому рынку.
Как и стандартные смарт-карты, сложные карты проходят жизненный цикл, включающий следующие этапы:
Поскольку сложные карты предоставляют больше функций, чем стандартные смарт-карты, и из-за их сложности их персонализация может занять больше времени или потребовать больше входных данных. Наличие сложных карт, которые можно персонализировать с помощью тех же машин и тех же процессов, что и обычные смарт-карты, позволяет легче интегрировать их в существующие производственные цепочки и приложения.
Первое поколение сложных карт с батарейным питанием требует особых процессов переработки , предписанных различными регулирующими органами. Кроме того, хранение сложных карт с батарейным питанием в течение длительного времени может привести к снижению их производительности из-за старения батареи .
Безбатарейная технология второго поколения обеспечивает работу в течение всего срока службы карты, исключает саморазряд, обеспечивая более длительный срок хранения , а также является более экологичной.
С момента появления смарт-карт новаторы пытались добавить дополнительные функции. По мере развития технологий и их индустриализации несколько игроков индустрии смарт-карт были вовлечены в разработку сложных карт.
Концепция Complex Card началась в 1999 году, когда ее изобретатели Сирил Лало и Филипп Гийо впервые разработали смарт-карту с дополнительными компонентами. Первый прототип был разработан совместно Сирилом Лало, который в то время был генеральным директором AudioSmartCard, и Анри Бочча и Филиппом Патрисом из Gemplus. Прототип включал кнопку и аудиофункции на карте толщиной 0,84 мм, соответствующей стандарту ISO 7810.
С тех пор комплексные карты были массово внедрены, в первую очередь, компанией NagraID Security.
Компания AudioSmartCard International SA [33] сыграла важную роль в разработке первой комплексной карты, которая включала в себя батарею, пьезоэлектрический зуммер, кнопку и аудиофункции — все на карте толщиной 0,84 мм, совместимой со стандартом ISO 7810.
AudioSmartCard была основана в 1993 году и специализировалась на разработке и маркетинге акустических жетонов, включающих функции безопасности. Эти акустические жетоны обменивались данными в форме звуков, передаваемых по телефонной линии. В 1999 году AudioSmartCard перешла к новому руководству под руководством Сирила Лало и Филиппа Гийо, которые также стали основными акционерами. Они заставили AudioSmartCard развиваться в направлении мира смарт-карт. В 2003 году Prosodie, [34] дочерняя компания Capgemini , присоединилась к акционерам AudioSmartCard.
В 2004 году AudioSmartCard был переименован в nCryptone [35] .
CardLab Innovation, [36] зарегистрированная в 2006 году в Херлеве, Дания, специализируется на сложных картах, включающих коммутатор, биометрический считыватель, глушитель RFID и одну или несколько магнитных полос. Компания работает с производственными партнерами в Китае и Таиланде и владеет фабрикой по ламинированию карт в Таиланде.
Coin — американский стартап [37], основанный в 2012 году Канишком Парашаром. [38] Он разработал Complex Card, способный хранить данные нескольких кредитных и дебетовых карт. Прототип карты был оснащен дисплеем [39] [ полная цитата необходима ] и кнопкой, которая позволяла пользователю переключаться между различными картами. В 2015 году первоначальная концепция карты Coin превратилась в Coin 2.0, добавив бесконтактную связь к своей первоначальной эмуляции магнитной полосы. [40]
В мае 2016 года компания Fitbit приобрела Coin [41] , а в феврале 2017 года вся деятельность Coin была прекращена. [42]
Ellipse World, Inc. [43] была основана в 2017 году Сирилом Лало и Себастьеном Пошиком, признанными экспертами в области технологии сложных карт. Ellipse World, Inc. специализируется на технологии сложных карт без батареек.
Запатентованные технологии Ellipse позволяют производителям смарт-карт использовать существующий процесс производства платежных карт с двойным интерфейсом и цепочку поставок для создания безбатарейных комплексных карт второго поколения с возможностями отображения. Благодаря этой простоте интеграции поставщики смарт-карт могут работать на рынках банковских, транзитных и предоплаченных карт.
Компания EMue [44] Technologies со штаб-квартирой в Мельбурне, Австралия, проектировала и разрабатывала решения по аутентификации для сферы финансовых услуг с 2009 по 2015 год. [45] Флагманским продуктом компании, разработанным в сотрудничестве с Сирилом Лало и Филиппом Гийо, была карта eMue, кредитная карта Visa CodeSure [46] со встроенной клавиатурой, дисплеем и микропроцессором.
Feitian Technologies, китайская компания, созданная в 1998 году, предоставляет продукты и решения для кибербезопасности. Компания предлагает решения безопасности на основе смарт-карт, а также других устройств аутентификации. К ним относятся комплексные карты, которые включают дисплей, [47] клавиатуру [48] или датчик отпечатков пальцев. [49]
Fingerprint Cards AB (или Fingerprints [50] ) — шведская компания, специализирующаяся на биометрических решениях. Компания продает биометрические датчики и недавно представила платежные карты, включающие датчик отпечатков пальцев [51], такие как карта Zwipe [52] , биометрическая платежная карта с двойным интерфейсом, использующая интегрированный датчик от Fingerprints.
Giesecke & Devrient , также известная как G+D, [53] — немецкая компания со штаб-квартирой в Мюнхене, которая производит банкноты, защищенную печать, смарт-карты и системы обработки наличных. Ее портфолио смарт-карт включает в себя дисплейные карты, карты OTP, а также карты с динамическим CSC.
Gemalto , подразделение Thales Group , является крупным игроком в индустрии безопасных транзакций. Портфолио Complex Card компании включает карты с дисплеем [54] или датчиком отпечатков пальцев. [55] Эти карты могут отображать OTP [56] или Dynamic CSC. [57]
IDEMIA — продукт слияния Oberthur Technologies и Morpho в 2017 году [58] . Объединенная компания позиционирует себя как глобального поставщика финансовых карт, SIM-карт, биометрических устройств, а также решений для публичных и частных удостоверений личности. Благодаря приобретению Oberthur компании NagraID Security в 2014 году, предложения Idemia Complex Card включают биометрическую платежную карту F.CODE [59] , которая включает датчик отпечатков пальцев, и ее работающую от батареи карту Motion Code [60] , которая отображает динамический CSC.
IDEX Biometrics ASA, зарегистрированная в Норвегии, специализируется на технологиях идентификации отпечатков пальцев для персональной аутентификации. Компания предлагает датчики отпечатков пальцев [61] и модули [62] , готовые к встраиванию в карты. [63]
Основанная в 2002 году Аланом Финкельштейном, компания Innovative Card Technologies разработала и вывела на рынок усовершенствования для рынка смарт-карт. В 2006 году компания приобрела активы nCryptone [64] в области видеокарт. Innovative Card Technologies прекратила свою деятельность.
Nagra ID, теперь известная как NID, [65] была дочерней компанией Kudelski Group до 2014 года. NID может проследить свою историю с Complex Cards с 2003 года, когда она сотрудничала в разработке с nCryptone. Nagra ID сыграла важную роль в разработке процесса холодного ламинирования для производства Complex Cards.
Nagra ID производит сложные карты [66] , которые могут включать в себя батарею, кнопки, дисплеи или другие электронные компоненты.
Nagra ID Security начала свою деятельность в 2008 году как ответвление Nagra ID, чтобы сосредоточиться на разработке и производстве сложных карт. Компания принадлежала Kudelski Group (50%), Cyril Lalo (25%) и Philippe Guillaud (25%).
Компания NagraID Security быстро стала ведущим игроком на рынке внедрения сложных карт, во многом благодаря разработке карт MotionCode, оснащенных небольшим дисплеем для ввода кода безопасности карты (CVV2) .
NagraID Security был первым производителем Complex Cards, который разработал массовый рынок платежных карт с дисплеем. Среди их клиентов были:
Компания NagraID Security также поставляла карты одноразовых паролей таким компаниям, как:
В 2014 году NagraID Security была продана компании Oberthur Technologies (теперь IDEMIA ).
nCryptone появилась в 2004 году в результате переименования AudioSmartCard. Компанию nCryptone возглавили Сирил Лало и Филипп Гийо [68] , они разработали технологии для серверов и устройств аутентификации.
Активы видеокарт nCryptone были приобретены компанией Innovative Card Technologies в 2006 году. [69]
Oberthur Technologies , теперь IDEMIA , является одним из основных игроков в индустрии безопасных транзакций. В 2014 году компания приобрела бизнес NagraID Security. Затем Oberthur объединилась с Morpho, и в 2017 году объединенная компания была переименована в Idemia.
Основные рекомендации в сфере сложных карт включают:
Созданная в 2009 году, компания Plastc анонсировала единую карту, которая могла бы в цифровом виде хранить данные до 20 кредитных или дебетовых карт. Компании удалось собрать 9 миллионов долларов США с помощью предварительных заказов, но не удалось поставить ни одного продукта. [73] Затем в 2017 году Plastc была приобретена [74] Edge Mobile Payments, [75] финтех-компанией из Санта-Крус. Проект Plastc продолжается как карта Edge, [76] динамическая платежная карта, которая объединяет несколько платежных карт в одном устройстве. Карта оснащена батареей и экраном ePaper и может хранить данные до 50 кредитных, дебетовых, лояльных и подарочных карт.
Stratos [77] был создан в 2012 году в Энн-Арборе, штат Мичиган, США. В 2015 году Stratos разработала карту Stratos Bluetooth Connected Card [78] , которая была разработана для интеграции до трех кредитных и дебетовых карт в одном формате карты и имела приложение для смартфона, используемое для управления картой. Благодаря своей литий-ионной тонкопленочной батарее карта Stratos была оснащена светодиодами и взаимодействовала в бесконтактном режиме и в Bluetooth с низким энергопотреблением.
В 2017 году Stratos была приобретена [79] компанией CardLab Innovation, головной офис которой находится в Херлеве, Дания.
SWYP [80] — торговая марка карты, разработанной Qvivr, компанией, зарегистрированной в 2014 году во Фремонте, Калифорния. SWYP был представлен в 2015 году и назван первым в мире умным кошельком. SWYP была металлической картой с возможностью объединения более 25 кредитных, дебетовых, подарочных и карт лояльности. Карта работала совместно с приложением для смартфона, используемым для управления картами. Карта Swyp включала в себя батарею, кнопку и матричный дисплей, который показывал, какая карта используется. Компания зарегистрировала пользователей в своей программе бета-тестирования, но продукт так и не был отправлен в коммерческих масштабах.
Qvivr привлек 5 миллионов долларов США в январе 2017 года [81] и прекратил свою деятельность в ноябре 2017 года.
Комплексные карты были приняты многочисленными финансовыми учреждениями по всему миру. Они могут включать в себя различные функции, такие как платежные карты (кредитные, дебетовые, предоплаченные), одноразовый пароль , общественный транспорт и динамический код безопасности карты (CVV2) .
Технология Complex Card используется многочисленными финансовыми учреждениями, включая:
Смарт-карта может иметь следующие общие характеристики:
С апреля 2009 года японская компания производит многоразовые финансовые смарт-карты из бумаги. [98]
Как упоминалось выше, данные на смарт-карте могут храниться в файловой системе (FS). В файловых системах смарт-карт корневой каталог называется «главным файлом» («MF»), подкаталоги называются «выделенными файлами» («DF»), а обычные файлы называются «элементарными файлами» («EF»). [99]
Упомянутая выше файловая система хранится в EEPROM (хранилище или память) внутри смарт-карты. [99] В дополнение к EEPROM могут присутствовать и другие компоненты, в зависимости от типа смарт-карты. Большинство смарт-карт имеют одну из трех логических схем:
В картах с микропроцессорами микропроцессор находится между считывателем и другими компонентами. Операционная система, работающая на микропроцессоре, опосредует доступ считывателя к этим компонентам, чтобы предотвратить несанкционированный доступ. [99]
Контактные смарт-карты имеют контактную площадь около 1 квадратного сантиметра (0,16 кв. дюйма), состоящую из нескольких позолоченных контактных площадок . Эти площадки обеспечивают электрическое соединение при вставке в считыватель , [102] который используется в качестве средства связи между смарт-картой и хостом (например, компьютером, терминалом точки продажи) или мобильным телефоном. Карты не содержат батарей ; питание подается считывателем карт.
Серии стандартов ISO/IEC 7810 и ISO/IEC 7816 определяют:
Поскольку чипы в финансовых картах такие же, как и те, что используются в модулях идентификации абонентов (SIM-картах) в мобильных телефонах, запрограммированы по-другому и встроены в другой кусок ПВХ , производители чипов разрабатывают более требовательные стандарты GSM/3G. Так, например, хотя стандарт EMV позволяет чип-карте потреблять 50 мА от своего терминала, карты обычно значительно ниже предела в 6 мА, установленного в телефонной отрасли. Это позволяет создавать более мелкие и дешевые терминалы для финансовых карт.
Протоколы связи для контактных смарт-карт включают T=0 (протокол передачи на уровне символов, определенный в ISO/IEC 7816-3) и T=1 (протокол передачи на уровне блоков, определенный в ISO/IEC 7816-3).
Бесконтактные смарт-карты взаимодействуют со считывателями по протоколам, определенным в стандарте ISO/IEC 14443. Они поддерживают скорость передачи данных 106–848 кбит/с. Для связи этим картам требуется только близость к антенне. Как и смарт-карты с контактами, бесконтактные карты не имеют внутреннего источника питания. Вместо этого они используют катушку рамочной антенны для захвата части падающего радиочастотного сигнала опроса, выпрямляют его и используют для питания электроники карты. Бесконтактные смарт-носители могут быть изготовлены с ПВХ, бумагой/картой и ПЭТ-покрытием для соответствия различным требованиям к производительности, стоимости и долговечности.
Передача APDU по бесконтактному интерфейсу определена в стандарте ISO/IEC 14443-4 .
Гибридные карты реализуют бесконтактные и контактные интерфейсы на одной карте с неподключенными чипами, включая выделенные модули/хранилище и обработку.
Карты с двойным интерфейсом реализуют бесконтактные и контактные интерфейсы на одном чипе с некоторым общим хранилищем и обработкой. Примером может служить многофункциональная транспортная карта Porto под названием Andante , которая использует чип как с контактными, так и с бесконтактными (ISO/IEC 14443 Type B) интерфейсами. Многочисленные платежные карты по всему миру основаны на гибридной технологии карт, что позволяет им общаться как в бесконтактном, так и в контактном режимах.
CCID (Chip Card Interface Device) — это USB - протокол, который позволяет подключать смарт-карту к компьютеру с помощью устройства для чтения карт, имеющего стандартный USB-интерфейс. Это позволяет использовать смарт-карту в качестве токена безопасности для аутентификации и шифрования данных, например Bitlocker . Типичный CCID — это USB-ключ, который может содержать SIM-карту.
Различные смарт-карты реализуют один или несколько протоколов на стороне считывателя. Распространенные протоколы здесь включают CT-API и PC/SC . [99]
Операционные системы смарт-карт могут предоставлять интерфейсы прикладного программирования (API), чтобы разработчики могли писать программы («приложения») для запуска на смарт-карте. Некоторые такие API, такие как Java Card , позволяют загружать программы на карту без замены всей операционной системы карты. [99]
Смарт-карты служат в качестве кредитных или банкоматных карт , топливных карт , SIM-карт для мобильных телефонов , карт авторизации для платного телевидения, карт предоплаты за коммунальные услуги, высокозащищенных идентификационных карт и карт доступа , а также карт оплаты проезда на общественном транспорте и общественных телефонах.
Смарт-карты также могут использоваться в качестве электронных кошельков . Чип смарт-карты может быть «загружен» средствами для оплаты парковочных счетчиков, торговых автоматов или продавцов. Криптографические протоколы защищают обмен деньгами между смарт-картой и автоматом. Подключение к банку не требуется. Держатель карты может использовать ее, даже если он не является ее владельцем. Примерами являются Proton , Geldkarte , Chipknip и Moneo . Немецкая Geldkarte также используется для проверки возраста клиента в торговых автоматах по продаже сигарет.
Вот самые известные платежные карты (классические пластиковые карты):
Развертывание началось в 2005 году в США, в Азии и Европе — в 2006 году. Бесконтактные (без ПИН-кода) транзакции охватывают диапазон платежей ~$5–50. Существует реализация PayPass ISO/IEC 14443. Некоторые, но не все, реализации PayPass соответствуют EMV.
Карты не-EMV работают как карты с магнитной полосой . Это распространено в США (PayPass Magstripe и Visa MSD). Карты не удерживают и не поддерживают баланс счета. Все платежи проходят без PIN-кода, обычно в автономном режиме. Безопасность такой транзакции не выше, чем при транзакции с использованием карты с магнитной полосой. [ требуется цитата ]
Карты EMV могут иметь как контактный, так и бесконтактный интерфейс. Они работают так, как если бы они были обычной картой EMV с контактным интерфейсом. Через бесконтактный интерфейс они работают несколько иначе, поскольку команды карты обеспечивают улучшенные функции, такие как более низкое энергопотребление и более короткое время транзакции. Стандарты EMV включают положения для контактной и бесконтактной связи. Обычно современные платежные карты основаны на гибридной технологии карт и поддерживают как контактный, так и бесконтактный режимы связи.
Модули идентификации абонента , используемые в системах мобильной связи, представляют собой смарт-карты уменьшенного размера, в остальном использующие идентичные технологии.
Смарт-карты могут аутентифицировать личность. Иногда они используют инфраструктуру открытых ключей (PKI). Карта хранит зашифрованный цифровой сертификат, выданный поставщиком PKI, вместе с другой соответствующей информацией. Примерами служат карта общего доступа (CAC ) Министерства обороны США и другие карты, используемые другими правительствами для своих граждан. Если они включают биометрические идентификационные данные, карты могут обеспечить превосходную двух- или трехфакторную аутентификацию.
Смарт-карты не всегда повышают конфиденциальность, поскольку субъект может нести на карте компрометирующую информацию. Бесконтактные смарт-карты, которые можно считать из кошелька или даже с одежды, упрощают аутентификацию; однако преступники могут получить доступ к данным с этих карт.
Криптографические смарт-карты часто используются для единого входа . Большинство современных смарт-карт включают специализированное криптографическое оборудование, которое использует такие алгоритмы, как RSA и алгоритм цифровой подписи (DSA). Современные криптографические смарт-карты генерируют пары ключей на борту, чтобы избежать риска наличия более одной копии ключа (поскольку по замыслу обычно нет способа извлечь закрытые ключи из смарт-карты). Такие смарт-карты в основном используются для цифровых подписей и безопасной идентификации.
Наиболее распространенным способом доступа к криптографическим функциям смарт-карт на компьютере является использование библиотеки PKCS#11 , предоставляемой поставщиком . [ необходима ссылка ] В Microsoft Windows также поддерживается API поставщика криптографических услуг (CSP ) .
Наиболее широко используемые криптографические алгоритмы в смарт-картах (исключая так называемый «криптоалгоритм» GSM) — это Triple DES и RSA . Набор ключей обычно загружается (DES) или генерируется (RSA) на карту на этапе персонализации.
Некоторые из этих смарт-карт также созданы с учетом поддержки стандарта Национального института стандартов и технологий (NIST) для проверки личности — FIPS 201 .
Турция внедрила первую систему водительских прав на основе смарт-карт в 1987 году. В Турции был высокий уровень дорожно-транспортных происшествий, и было принято решение разработать и использовать цифровые тахографы на большегрузных автомобилях вместо существующих механических, чтобы сократить нарушения скорости. С 1987 года профессиональные водительские права в Турции выдаются в виде смарт-карт. Профессиональный водитель должен вставить свои водительские права в цифровой тахограф перед началом вождения. Блок тахографа регистрирует нарушения скорости для каждого водителя и выдает печатный отчет. Часы вождения каждого водителя также отслеживаются и сообщаются. В 1990 году Европейский союз провел технико-экономическое обоснование с помощью BEVAC Consulting Engineers под названием «Технико-экономическое обоснование в отношении европейских электронных водительских прав (на основе смарт-карты) по поручению Генерального директората VII». В этом исследовании в главе семь описывается опыт Турции.
В аргентинской провинции Мендоса водительские права на основе смарт-карт начали использовать в 1995 году. В Мендосе также был высокий уровень дорожно-транспортных происшествий, нарушений правил вождения и плохая история взыскания штрафов. [ необходима цитата ] Смарт-права содержат актуальные записи о нарушениях правил вождения и неоплаченных штрафах. Они также хранят личную информацию, тип и номер водительских прав, а также фотографию. Экстренная медицинская информация, такая как группа крови, аллергии и биометрические данные (отпечатки пальцев), может быть сохранена на чипе, если владелец карты пожелает. Правительство Аргентины ожидает, что эта система поможет собирать более 10 миллионов долларов в год в виде штрафов.
В 1999 году Гуджарат стал первым индийским штатом, который ввел систему водительских прав с использованием смарт-карт. [103] По состоянию на 2005 год штат выдал своим гражданам 5 миллионов водительских прав с использованием смарт-карт. [104]
В 2002 году правительство Эстонии начало выпускать смарт-карты ID Kaart в качестве первичной идентификации для граждан, чтобы заменить обычный паспорт для использования внутри страны и в ЕС. По состоянию на 2010 год было выпущено около 1 миллиона смарт-карт (общая численность населения составляет около 1,3 миллиона человек), и они широко используются в интернет-банкинге, покупке билетов на общественный транспорт, авторизации на различных веб-сайтах и т. д.
К началу 2009 года все население Бельгии получило электронные удостоверения личности, которые используются для идентификации. Эти карты содержат два сертификата: один для аутентификации и один для подписи. Эта подпись имеет юридическую силу. Все больше и больше служб в Бельгии используют электронные удостоверения личности для авторизации . [105]
Испания начала выпускать национальные удостоверения личности (DNI) в виде смарт-карт в 2006 году и постепенно заменила все старые смарт-картами. Идея заключалась в том, что многие или большинство бюрократических действий можно было бы выполнить онлайн, но это был провал, потому что администрация не адаптировалась и по-прежнему в основном требует бумажных документов и личного присутствия. [106] [107] [108] [109]
14 августа 2012 года в Пакистане были заменены удостоверения личности . Смарт-карта — это документ третьего поколения на основе чипа , который производится в соответствии с международными стандартами и требованиями. Карта имеет более 36 физических элементов безопасности и имеет новейшие [ требуется разъяснение ] коды шифрования. Эта смарт-карта заменила NICOP (удостоверение личности для пакистанцев, проживающих за рубежом ).
Смарт-карты могут идентифицировать спасателей и их навыки. Такие карты позволяют спасателям обходить организационную документацию и больше времени уделять разрешению чрезвычайной ситуации. В 2004 году Альянс смарт-карт выразил потребности: «повысить безопасность, повысить эффективность правительства, сократить мошенничество с идентификацией и защитить личную конфиденциальность путем установления обязательного общегосударственного стандарта для безопасных и надежных форм идентификации». [110] Сотрудники экстренных служб могут носить эти карты, чтобы быть положительно идентифицированными в чрезвычайных ситуациях. Корпорация WidePoint , поставщик смарт-карт для FEMA , выпускает карты, которые содержат дополнительную личную информацию, такую как медицинские записи и наборы навыков.
В 2007 году Open Mobile Alliance (OMA) предложил новый стандарт, определяющий V1.0 веб-сервера смарт-карт (SCWS), HTTP-сервера, встроенного в SIM-карту, предназначенную для пользователя смартфона . [111] Некоммерческая торговая ассоциация SIMalliance продвигает разработку и принятие SCWS. SIMalliance заявляет, что SCWS предлагает конечным пользователям знакомый, независимый от ОС , основанный на браузере интерфейс для защиты персональных данных SIM. По состоянию на середину 2010 года SIMalliance не сообщал о широком принятии SCWS в отрасли. [112] OMA поддерживает стандарт, одобрив V1.1 стандарта в мае 2009 года, а V1.2, как ожидается, будет одобрен в октябре 2012 года. [113]
Смарт-карты также используются для идентификации учетных записей пользователей на игровых автоматах. [114]
Смарт-карты, используемые в качестве проездных и интегрированных билетов , используются многими операторами общественного транспорта. Пользователи карт также могут совершать небольшие покупки с помощью карт. Некоторые операторы предлагают баллы за использование, обмениваемые в розничных магазинах или на другие преимущества. [115] Примерами являются сингапурская CEPAS , малайзийская Touch n Go , карта Presto в Онтарио , гонконгская Octopus , карты Suica и PASMO в Токио , лондонская Oyster , ирландская Leap Card , брюссельская MoBIB , квебекская Opus карта , бостонская CharlieCard , карта Clipper в Сан-Франциско , вашингтонская SmarTrip , оклендская AT Hop , брисбенская go card , пертская SmartRider , сиднейская Opal card и викторинская myki . Однако они представляют риск для конфиденциальности , поскольку позволяют оператору общественного транспорта (и правительству) отслеживать перемещения человека. В Финляндии, например, омбудсмен по защите данных запретил транспортному оператору Helsinki Metropolitan Area Council (YTV) собирать такую информацию, несмотря на аргумент YTV о том, что владелец карты имеет право на список поездок, оплаченных с помощью карты. Ранее такая информация использовалась в расследовании взрыва в Мюрманни . [ необходима цитата ]
Департамент транспорта Великобритании поручил смарт-картам администрировать проездные права для пожилых и инвалидов. Эти схемы позволяют жителям использовать карты не только для проездных на автобусы. Их также можно использовать для такси и других льготных видов транспорта. Одним из примеров является схема «Smartcare go», предоставляемая Ecebs. [116] Системы Великобритании используют спецификацию ITSO Ltd. Другие схемы в Великобритании включают проездные на определенный период, книжки билетов или дневные проездные и сохраненную стоимость, которая может быть использована для оплаты поездок. Поддерживаются также другие льготы для школьников, студентов и соискателей работы. Они в основном основаны на спецификации ITSO Ltd.
Многие схемы интеллектуального транспорта включают использование недорогих интеллектуальных билетов для простых поездок, дневных проездных и гостевых проездных. Примерами являются метрополитен Глазго SPT . Эти интеллектуальные билеты изготавливаются из бумаги или ПЭТ, которые тоньше, чем смарт-карта из ПВХ, например, смарт-носитель Confidex. [117] Интеллектуальные билеты могут поставляться предварительно напечатанными и напечатанными поверх или напечатанными по требованию.
В Швеции с 2018–19 годов старая система смарт-карт SL Access начала постепенно выходить из эксплуатации и заменяться приложениями для смартфонов . Приложения для телефонов обходятся дешевле, по крайней мере, для операторов общественного транспорта, которым не нужно электронное оборудование (его предоставляют пассажиры). Пассажиры могут покупать билеты в любом месте и им не нужно загружать деньги на смарт-карты. Новые смарт-карты NFC все еще будут использоваться в обозримом будущем (по состоянию на 2024 год).
В японских игровых автоматах бесконтактные смарт-карты (обычно называемые «IC-картами») используются производителями игр в качестве метода для игроков, чтобы получить доступ к внутриигровым функциям (как онлайн, как Konami E-Amusement и Sega ALL.Net , так и офлайн) и в качестве поддержки памяти для сохранения игрового прогресса. В зависимости от конкретного случая, автоматы могут использовать игровую карту или «универсальную», используемую на нескольких автоматах от одного производителя/издателя. Среди наиболее широко используемых — Banapassport от Bandai Namco , E-amusement pass от Konami , Aime от Sega и Nesica от Taito .
В 2018 году, стремясь сделать аркадные игровые IC-карты более удобными для пользователя, [118] Konami, Bandai Namco и Sega договорились о единой системе карт под названием Amusement IC . Благодаря этому соглашению три компании теперь используют единый считыватель карт в своих игровых автоматах, так что игроки могут использовать свою карту, независимо от того, Banapassport, e-Amusement Pass или Aime, с аппаратными и идентификационными услугами всех трех производителей. Был создан общий логотип для карт Amusement IC , и теперь он отображается на совместимых картах всех трех компаний. В январе 2019 года Taito объявила [119] , что их карта Nesica также присоединяется к соглашению Amusement IC с другими тремя компаниями.
Смарт-карты могут использоваться в качестве токенов безопасности .
Веб-браузер Firefox от Mozilla может использовать смарт-карты для хранения сертификатов , используемых для безопасного просмотра веб-страниц. [120]
Некоторые системы шифрования дисков , такие как VeraCrypt и BitLocker от Microsoft , могут использовать смарт-карты для безопасного хранения ключей шифрования, а также для добавления еще одного уровня шифрования к критически важным частям защищенного диска.
GnuPG , известный набор для шифрования, также поддерживает хранение ключей на смарт-карте. [121]
Смарт-карты также используются для единого входа в систему компьютеров.
Смарт-карты предоставляются учащимся некоторых школ и колледжей. [122] [123] [124] Их можно использовать в следующих целях:
Смарт-карты здоровья могут повысить безопасность и конфиденциальность информации о пациентах, обеспечить безопасный носитель для переносимых медицинских записей , сократить мошенничество в сфере здравоохранения , поддерживать новые процессы для переносимых медицинских записей, обеспечивать безопасный доступ к экстренной медицинской информации, обеспечивать соответствие государственным инициативам (например, донорство органов ) и предписаниям, а также предоставлять платформу для внедрения других приложений по мере необходимости в организации здравоохранения . [125] [126]
Смарт-карты широко используются для шифрования цифровых телевизионных потоков. VideoGuard — это конкретный пример того, как работает защита с помощью смарт-карт.
Правительство Малайзии продвигает MyKad как единую систему для всех приложений смарт-карт. MyKad начинался как удостоверения личности, которые носили все граждане и неграждане-резиденты. Доступные приложения теперь включают удостоверение личности, проездные документы, водительские права, медицинскую информацию, электронный кошелек, банковскую карту ATM, общественные платежи за платные дороги и транзит, а также инфраструктуру шифрования с открытым ключом. Персональную информацию внутри карты MYKAD можно прочитать с помощью специальных команд APDU. [127]
Смарт-карты рекламируются как подходящие для задач персональной идентификации, поскольку они разработаны с целью защиты от несанкционированного доступа . Чип обычно реализует некоторый криптографический алгоритм. Однако существует несколько методов восстановления части внутреннего состояния алгоритма.
Анализ дифференциальной мощности включает измерение точного времени и электрического тока, необходимых для определенных операций шифрования или дешифрования. Это может вывести закрытый ключ на чипе, используемый алгоритмами открытого ключа, такими как RSA . Некоторые реализации симметричных шифров также могут быть уязвимы для атак по времени или мощности .
Смарт-карты можно физически разобрать, используя кислоту, абразивы, растворители или некоторые другие методы, чтобы получить неограниченный доступ к встроенному микропроцессору. Хотя такие методы могут быть связаны с риском постоянного повреждения чипа, они позволяют извлечь гораздо более подробную информацию (например, микрофотографии оборудования для шифрования).
Преимущества смарт-карт напрямую связаны с объемом информации и приложений, которые запрограммированы для использования на карте. Одна контактная/бесконтактная смарт-карта может быть запрограммирована с несколькими банковскими учетными данными, медицинскими правами, водительскими правами/правами на общественный транспорт, программами лояльности и членством в клубах, и это лишь некоторые из них. Многофакторная и бесконтактная аутентификация может быть встроена и была встроена в смарт-карты для повышения безопасности всех услуг на карте. Например, смарт-карту можно запрограммировать так, чтобы она позволяла бесконтактную транзакцию только в том случае, если она также находится в зоне действия другого устройства, например, уникально сопряженного мобильного телефона. Это может значительно повысить безопасность смарт-карты.
Правительства и региональные власти экономят деньги за счет улучшения безопасности, лучших данных и снижения затрат на обработку. Эта экономия помогает сократить государственные бюджеты или улучшить государственные услуги. В Великобритании есть много примеров, многие из которых используют общую открытую спецификацию LASSeO.
У людей больше безопасности и больше удобства при использовании смарт-карт, которые выполняют несколько функций. Например, им нужно заменить только одну карту, если их кошелек потерян или украден. Хранение данных на карте может уменьшить дублирование и даже предоставить экстренную медицинскую информацию.
Первое главное преимущество смарт-карт — их гибкость. Смарт-карты имеют множество функций, которые одновременно могут быть удостоверением личности, кредитной картой, картой с сохраненной стоимостью и хранилищем личной информации, такой как номера телефонов или история болезни. Карту можно легко заменить в случае утери, а требование PIN-кода (или другой формы безопасности) обеспечивает дополнительную защиту от несанкционированного доступа к информации со стороны других лиц. При первой попытке ее незаконного использования карта будет деактивирована самим считывателем карт.
Второе главное преимущество — безопасность. Смарт-карты могут быть электронными брелоками, предоставляя владельцу возможность доступа к информации и физическим местам без необходимости подключения к сети. Они являются устройствами шифрования, так что пользователь может шифровать и расшифровывать информацию, не полагаясь на неизвестные и, следовательно, потенциально ненадежные устройства, такие как банкоматы. Смарт-карты очень гибки в обеспечении аутентификации на разных уровнях владельца и контрагента. Наконец, с информацией о пользователе, которую смарт-карты могут предоставить другим сторонам, они являются полезными устройствами для настройки продуктов и услуг.
Другие общие преимущества смарт-карт:
Смарт-карты могут использоваться в электронной коммерции через Интернет, хотя бизнес-модель, используемая в современных приложениях электронной коммерции, по-прежнему не может использовать полный набор функций электронной среды. Преимуществом смарт-карт для электронной коммерции является их использование для настройки услуг. Например, для того, чтобы поставщик услуг мог предоставить настроенную услугу, пользователю может потребоваться предоставить каждому поставщику свой профиль, что является скучным и отнимающим много времени занятием. Смарт-карта может содержать незашифрованный профиль предъявителя, так что пользователь может получить настроенные услуги даже без предыдущих контактов с поставщиком.
Пластиковая или бумажная карта, в которую встроен чип, довольно гибкая. Чем больше чип, тем выше вероятность того, что обычное использование может его повредить. Карты часто носят в кошельках или карманах, что является суровой средой для чипа и антенны в бесконтактных картах. Карты из ПВХ могут треснуть или сломаться, если их чрезмерно согнуть/согнуть. Однако для крупных банковских систем расходы на управление отказами могут быть более чем компенсированы сокращением случаев мошенничества. [ необходима цитата ]
Известно, что производство, использование и утилизация ПВХ-пластика наносит больший вред окружающей среде, чем другие виды пластика. [128] Для некоторых интеллектуальных приложений доступны альтернативные материалы, включая не содержащие хлора пластики и бумагу.
Если на компьютере владельца счета размещено вредоносное ПО , модель безопасности смарт-карт может быть нарушена. Вредоносное ПО может переопределять связь (как ввод с клавиатуры, так и вывод через экран приложения) между пользователем и приложением. Вредоносное ПО Man-in-the-browser (например, троян Silentbanker ) может изменять транзакцию незаметно для пользователя. Такие банки, как Fortis и Belfius в Бельгии и Rabobank («случайный считыватель») в Нидерландах, объединяют смарт-карту с неподключенным считывателем карт, чтобы избежать этой проблемы. Клиент вводит запрос, полученный с веб-сайта банка, PIN-код и сумму транзакции в считыватель. Считыватель возвращает 8-значную подпись. Эта подпись вручную вводится в персональный компьютер и проверяется банком, не позволяя вредоносному ПО для точек продаж изменять сумму транзакции.
Смарт-карты также были целями атак безопасности. Эти атаки варьируются от физического вторжения в электронику карты до неинвазивных атак, которые используют слабые места в программном обеспечении или оборудовании карты. Обычной целью является раскрытие закрытых ключей шифрования, а затем чтение и манипулирование защищенными данными, такими как средства. Как только злоумышленник разрабатывает неинвазивную атаку для определенной модели смарт-карты, он или она, как правило, может выполнить атаку на другие карты этой модели за считанные секунды, часто используя оборудование, которое можно замаскировать под обычный считыватель смарт-карт. [129] Хотя производители могут разрабатывать новые модели карт с дополнительной информационной безопасностью , для пользователей может быть дорогостоящим или неудобным обновлять уязвимые системы. Функции контроля несанкционированного доступа и аудита в системе смарт-карт помогают управлять рисками скомпрометированных карт.
Еще одной проблемой является отсутствие стандартов функциональности и безопасности. Чтобы решить эту проблему, Берлинская группа запустила проект ERIDANE, чтобы предложить «новую функциональную и безопасную структуру для оборудования точек взаимодействия (POI) на основе смарт-карт». [130]
ОТКАЗ ЭЛЕКТРОННОГО ИДЕНТИФИКАТОРА
Электронный ДНР умер: да здравствует ДНР 3.0!
В последние годы были разработаны стандарты и приняты директивы, касающиеся безопасности и конфиденциальности в системах EHR. Однако необходимо проделать большую работу по принятию этих правил и развертыванию защищенных систем EHR.