مروري بر کارت های هوشمند

مروري بر کارت های هوشمند

کارت هوشمند ، یکی از مهم ترین ابزارهاي تصدیق کاربر و ذخیره اطلاعات محرمانه است و در طراحی آن از الگوریتم هاي رمزنگاري استفاده میشود. امروزه در بسیاري از کاربرد هایی که نیاز به نگهداري و انتقال امن اطلاعات و داده ها، کنترل دسترسی به سیستم هاي رایانه اي و نیز کنترل دسترسی فیزیکی به محیط هاي خاص به عنوان کلید الکترونیکی وجود دارد ، از کارتهاي هوشمند استفاده میشود. مهمترین علل محبوبیت کارتهاي هوشمند اندازه کوچک ، مقاوم بودن در برابر دستکاري و قابل حمل بودن آنهاست.

مقدمه کارت هوشمند

تاریخچه استفاده از کارت هاي پلاستیکی براي شناسایی افراد به حدود سال 1950 بر میگردد. در آن زمان فقط از بدنه پلاستیکی کارت به سادگی براي نوشتن نام و مشخصات دارنده کارت به صورت حروف برجسته استفاده میشد و کارت نقشی شبیه به کارت هاي اعتباري امروزي ایفا میکرد. پیشرفت در زمینه استفاده از کارت ها ، با ایجاد نوار مغناطیسی برروي کارت که توسط ماشین مخصوصی قابل خواندن و نوشتن بود، سرعت گرفت و وارد مرحله جدیدي شد. با وجود محبوبیت این نوع کارت ها در صنعت بانکداري و امور مالی- اعتباري، سطح امنیتی ارائه شده توسط کارت هاي مغناطیسی پایین بود. در نتیجه با پیشرفت تکنولوژي نیمه هادي ، نسل سوم کارت ها یعنی کارت هاي هوشمند پا به عرصه وجود نهاد.

انواع کارتهاي هوشمند

 بر اساس نوع تراشه به کار رفته در کارت و نحوه ارتباط بین کارت و کارتخوان ، رده بندي هاي مختلفی براي کارت هوشمند وجود دارد.

الف) تقسیم بندي کارت ها بر حسب نوع تراشه

کارتهاي حافظه اي ( cards memory )   

در کارت هاي حافظه اي ، تراشه توانایی پردازش و مدیریت اطلاعات را ندارد و فقط داده ها ، از طریق پروتکل هاي همزمان با کارتخوان ، انتقال داده میشوند. کارت تلفن، کارت پارك اتومبیل ، کارت بلیط الکترونیکی مترو و اتوبوس و … نمونه هاي از کارت هاي حافظه اي هوشمند هستند.

کارت هاي ریزپردازنده (Cards Multifunction Microprocessor)

در این نوع از کارتهاي هوشمند ، تراشه توانایی پردازش و مدیریت اطلاعات را دارد. براي این کار یک تابع یا نرم افزار خاص در تراشه ریزپردازنده ، براي مدیریت 6 داده ها از طریق سیستم عامل کارت قرار میگیرد. کارت هاي بانکی، کارت سوخت و سیمکارت، نمونه هاي بارز از این کارتها هستند.

ب) تقسیم بندي کارتها بر حسب روش ارتباط بین کارت و کارتخوان

کارت هوشمند تماسی (Card Smart Contact)

  در این نوع کارتها، ارتباط کارت با کارتخوان از طریق اتصالات الکتریکی که روي بدنه کارت وجود دارد برقرار میشود. استاندارد هاي 7816 IEC/ISO و IEC7810/ISO استاندارد هاي 1 Smart Cards 2Tamper-Proof 3Embossed 4Magnetic Stripe 5Reader 6Card OS تدوین شده براي این نوع کارتها هستند. کارت سوخت، گواهینامه هاي هوشمند و سیمکارت نمونه اي از کارتهاي تماسی هستند.

کارت هوشمند غیرتماس (Card Smart Contactless)

در این نوع کارتها، سیگنال لازم و تغذیه تراشه کارت به جاي اینکه از اتصالات روي بدنه کارت تأمین شود با القاء سیگنالها از طریق امواج الکترومغناطیسی و رادیویی ( Radio RFID : Identification Frequency (به کارت صورت میگیرد و بین کارت و کارتخوان اتصال فیزیکی برقرار نمیشود. کارتهاي غیرتماسی اغلب از دو نوع استاندارد 14443/ISO و ISO693 استفاده میکنند و در کاربردهایی چون کنترل ترافیک در بزرگراه ها، پارکینگ ها و بلیط الکترونیکی اتوبوس و مترو به کار گرفته میشوند.

 استانداردهاي کارت هوشمند

  • استانداردهاي : IEC/ISO مهمترین استانداردها در زمینه کارت هوشمند توسط سازمان بین المللی استاندارد (ISO( با همکاري کمیسیون بین المللی صنایع الکترونیکی، IEC تدوین شده اند. استاندارهاي IEC/ISO موجود در مورد کارتهاي تماسی به طور خلاصه شامل بندهاي یکم الی شانزدهم استاندارد 7816 IEC/ISO بوده و در مورد کارتهاي .است ISO/IEC 15693 و ISO/IEC 14443 ،ISO/IEC 10536 استاندارد سه شامل غیرتماسی
  • استاندارد های CEN ( کمیته اروپایی استاندارد )
  • استاندارد های EMV
  • استاندارد های ETSI
  • استاندارد های GSM ( بیشتر مربوط به استانداردهای سیم کارت SIM )
  • استاندارد GLOBAL PLATFORM

 مباحث رمزنگاري

الف- زیرساخت کلید عمومی PKI

یکی از موارد بهره گیري از کارتهاي هوشمند، استفاده از آنها براي فعالسازي سازوکارهاي مرتبط با ارائه اعتماد مبتنی بر زیرساخت کلید عمومی در سازمان و نیز نگهداري زوج کلیدهاي کاربران است. از این رو، این دسته از کارتها باید امکانات مورد نیاز براي تولید کلیدهاي رمزنگاري، انجام فرایندهاي رمزنگاري، تولید امضاي دیجیتال و ارتباط با نرم افزارهاي مجهز به زیرساخت کلید عمومی را در اختیار کاربران قرار دهند.

براي ارائه سطح مطلوب کارکردي و امنیتی در حوزه رمزنگاري مورد استفاده در زیر ساخت کلید عمومی ، استانداردهاي FIPS 2-140 و بخش پانزدهم 7816 IEC/ISO باید توسط کارتهاي هوشمند پشتیبانی شوند.

ب- الگوریتم هاي رمزنگاري

از طرفی براي رمزنگاري اطلاعات در کارت هاي هوشمند از الگوریتم هاي رمزنگاري از قبیل RSA ، DES ، AES و … که در آنها مولد هاي اعداد تصادفی و توابع یک طرفه چکیده ساز به کار گرفته شده است،استفاده میشود.

ج – حملات کانال جانبی

 پیاده سازي الگوریتم هاي رمزنگاري در سامانه هایی مانند کارت هوشمند، منجر به نشت اطلاعات حساسی از مقادیر میانی الگوریتم میشود. این اطلاعات حساس از طریق کمیت هاي فیزیکی موسوم به کانال جانبی نشت میکند و میتواند اطلاعات مخفی سامانه را آشکار سازد. کارت هوشمند و سایر سامانههاي رمزنگاري باید بهگونهاي طراحی شوند که در برابر این تحلیل ها مقاوم باشند. از انواع حملات کانال جانبی، میتوان به موارد زیر اشاره کرد :

  • حمله تحلیل خطا
  • حمله تحلیل زمانی
  • حمله تحلیل توان
  • حمله تحلیل تشعشعات مغناطیسی و …

چالشهاي استفاده از کارت هوشمند در کشور

با توجه به گسترش روز افزون استفاده از کارتهاي هوشمند در داخل کشور، تقریباً هر روز شاهد ارائه سرویس هاي جدید امنیتی مبتنی بر کارت هوشمند هستیم. اما آنچه که در حال حاضر، فرایند رشد و گسترش استفاده از کارتهاي هوشمند را مورد تهدید قرار میدهد ، عدم وجود نظارت نظام مند و سازمان یافته بر فرایند تولید، توزیع و رهگیري از این دسته محصولات است.

باید توجه داشت که براي اطمینان از ارائه سطح مطلوب امنیتی توسط کارت هاي هوشمند، علاوه بر انجام آزمون هاي فیزیکی و کارکردي، بایستی آزمون هاي امنیتی مختلفی نیز بر روي آنها انجام شود. از جمله آزمون هاي مهمی که باید بر روي کارت هاي هوشمند انجام شوند و هم اکنون هیچ مرجعی در کشور، متولی انجام آنها نیست عبارتند از :

  • آزمون هاي کارکرد کارت هوشمند مبتنی بر استانداردهاي IEC/ISO
  • آزمون هاي امنیت ماژولهاي رمزنگاري براي کارت هوشمند
  • آزمون ارزیابی امنیتی کارتهاي هوشمند
  • ارزیابی مقاومت کارتهاي هوشمند در برابر حملات کانال جانبی

در حال حاضر مرکز تحقیقات صنایع انفورماتیک ، به عنوان متولی تدوین شاخص هاي ارزیابی کارتهاي هوشمند و انجام آزمونهاي مزبور، آمادگی ارائه مشاوره هاي لازم براي نیل به سطح مطلوب امنیتی و کارکردي در حوزه کارتهاي هوشمند را به سازمانها و فعالان حوزه فناوري اطلاعات دارد.

نتیجه گیري کارتهاي هوشمند از جمله متداول ترین و در عین حال حساس ترین ابزارهاي تصدیق کاربر و ذخیره سازي اطلاعات سري هستند. استفاده از کارت هاي هوشمند در حوزه هاي بسیاري افزایش چشمگیري داشته است. سیمکارت و کارتهاي بانکی، نمونه هایی هستند که نشان میدهند تا چه حد این فناوري زندگی امروزه مردم جهان را تحت تأثیر قرار داده است. در این مقاله، به اختصار به معرفی کارت هاي هوشمند، دسته بندي، استانداردها و مباحث رمزنگاري مربوط به آن پرداختیم.

مراجع :

 م. ریحانی تبار، “حمله به کارتهاي هوشمند با استفاده از اطلاعات نشتی”، کارشناسی ارشد: دانشگاه صنعتی شریف، 1381. [

ج. باقر زاده، “تحلیل توانی کارت هوشمند”، کارشناسی ارشد: دانشگاه صنعتی شریف، 1391 .

 محقق و نویسنده : آقای علی محمودي

این مطلب را به اشتراک بگذارید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این قسمت نباید خالی باشد
این قسمت نباید خالی باشد
لطفاً یک نشانی ایمیل معتبر بنویسید.

keyboard_arrow_up