Информационные технологииStfw.Ru 🔍

Современные технологии аутентификации. Смарт‑карты

🕛 20.09.2009, 14:17
Смарт‑карты, подобно Memory‑картам, представляют собой пластиковые карты со встроенной микросхемой (ICC, integrated circuit card - карта с интегрированными электронными схемами). Однако смарт‑карты представляют собой более сложное устройство, содержащее микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт‑карты, как правило, обладают возможностью проводить криптографические вычисления.
Назначение смарт‑карт - одно‑и двухфакторная аутентификация пользователя, хранение информации и проведение криптографических операций в доверенной среде.
Напомню нашим читателям, что двухфакторная аутентификация подразумевает под собой использование двух атрибутов, удостоверяющих личность, например: пароль и отпечаток пальцев, смарт‑карта и сетчатка глаза и т. д.
Смарт‑карты находят все более широкое применение в различных областях - от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов и телефонов стандарта GSM.
В зависимости от встроенной микросхемы все смарт‑карты делятся на несколько основных типов, кардинально различающихся по выполняемым функциям:
- карты памяти;
- микропроцессорные карты;
- карты с криптографической логикой.
Карты памяти предназначены для хранения информации. Память на таких типах карт может быть свободной для доступа или содержать логику контроля доступа к памяти карты для ограничения операций чтения и записи данных.
Микропроцессорные карты предназначены и для хранения информации, но, в отличие от обычных, они содержат специальную программу или небольшую операционную систему, позволяющую преобразовывать данные по определенному алгоритму, защищать информацию, хранящуюся на карте, при передаче, чтении и записи.
Карты с криптографической логикой используются в системах защиты информации для принятия непосредственного участия в процессе шифрования данных или выработки криптографических ключей, электронных цифровых подписей и другой необходимой информации для работы системы.

Считыватели для смарт‑карт


Несмотря на название - устройство для чтения смарт‑карт, - большинство оконечных устройств, или устройств сопряжения (IFD, InterFace Device), способны как считывать, так и записывать, если позволяют возможности смарт‑карты и права доступа. Устройства для чтения смарт‑карт могут подключаться к компьютеру посредством последовательного порта, слота PCMCIA, последовательной шины USB. По методу считывания информации карты делятся на следующие:
- контактные;
- бесконтактные;
- со сдвоенным интерфейсом.
Контактные карты взаимодействуют со считывателем, соприкасаясь металлической контактной площадкой карты с контактами считывателя. Данный метод считывания просто реализуем, но повышает износ карты при частом использовании. Контактная смарт‑карта состоит из трех частей:
- контактная область:
- шесть или восемь контактов квадратной или овальной формы;
- позиции контактов выполнены в соответствии со стандартом ISO‑7816;
- чип (микропроцессор карты);
- пластиковая основа.
Устройства чтения смарт‑карт могут быть интегрированы в клавиатуру.
Некоторые производители выпускают другие виды аппаратных устройств, представляющие собой интеграцию контактной смарт‑карты с устройством чтения смарт‑карты. Они по свойствам памяти и вычислительным возможностям полностью аналогичны смарт‑картам. Наиболее популярны аппаратные "ключи", использующие порт USB. USB‑ключи привлекательны для некоторых организаций, поскольку USB становится стандартом, находящим все большее распространение в новых компьютерах: организации не нужно приобретать для пользователей какие бы то ни было считыватели.

Использование интеллектуальных устройств при аутентификации с открытым ключом


Смарт‑карты, USB‑ключи и другие интеллектуальные устройства могут повысить надежность служб PKI: смарт‑карта может использоваться для безопасного хранения закрытых ключей пользователя, а также для безопасного выполнения криптографических преобразований. Безусловно, интеллектуальные устройства аутентификации не обеспечивают абсолютную защиту, но их защита намного превосходит возможности обычного настольного компьютера.
Хранить и использовать закрытый ключ можно по‑разному, и разные разработчики используют различные подходы. Наиболее простой из них - использование интеллектуального устройства в качестве дискеты: при необходимости карта экспортирует закрытый ключ, и криптографические операции осуществляются на рабочей станции. Этот подход является не самым совершенным с точки зрения безопасности, зато относительно легко реализуемым и предъявляющим невысокие требования к интеллектуальному устройству. Два других подхода более безопасны, поскольку предполагают выполнение интеллектуальным устройством криптографических операций. При первом пользователь генерирует ключи на рабочей станции и сохраняет их в памяти устройства. При втором он генерирует ключи при помощи устройства. В обоих случаях после того как закрытый ключ сохранен, его нельзя извлечь из устройства и получить любым другим способом.
Генерирование ключевых пар. Генерирование ключа вне устройства.В этом случае пользователь может сделать резервную копию закрытого ключа. Если устройство выйдет из строя, будет потеряно, повреждено или уничтожено, пользователь сможет сохранить тот же закрытый ключ на новой карте. Это необходимо, если пользователю требуется расшифровать какие‑либо данные, сообщения и т. д., зашифрованные с помощью соответствующего открытого ключа, но это кратковременные проблемы в обеспечении аутентификации. Кроме того, при этом закрытый ключ пользователя подвергается риску быть похищенным.

Генерирование ключа с помощью устройства


В этом случае закрытый ключ не появляется в открытом виде и нет риска, что злоумышленник украдет его резервную копию. Единственный способ использования закрытого ключа - данное обладание интеллектуальным устройством. Являясь наиболее безопасным, это решение выдвигает высокие требования к возможностям интеллектуального устройства: оно должно генерировать ключи и осуществлять криптографические преобразования. Это решение также предполагает, что закрытый ключ не может быть восстановлен в случае выхода устройства из строя и т. п. Об этом необходимо беспокоиться при использовании закрытого ключа для шифрования, но не там, где он используется для аутентификации, или в других службах, где используется цифровая подпись.
Для смарт‑карт существует несколько международных стандартов, определяющих практически все свойства карт, начиная от размеров, свойств и типов пластика и заканчивая содержанием информации на карте, протоколов работы и форматов данных.
- Стандарт ISO‑7816 "Идентификационные карты - карты с микросхемой с контактами". Состоит из шести частей, регламентирующих физические характеристики, размер и расположение контактов, сигналы и протоколы, структуру файлов, адресацию и команды обмена.
- Стандарт EMV (Europay, MasterCard & Visa). Первая и вторая части базируются на ISO‑7816, в последующих частях добавлены определения обработки транзакций, спецификации терминалов и т. д.

«Страшная анатомия» смарт - возможен ли взлом?

Согласно объективной статистике, в 2002 году по всему миру было продано почти 2 млрд интеллектуальных карточек со встроенным микрочипом, и в ближайшие годы ожидается рост продаж подобных устройств.
В чем заключается такая популярность смарт‑карт? Вероятно, в том, что область применения этих "девайсов" все время расширяется: от банковской и телефонной карты до цифрового паспорта‑идентификатора. Массовая экспансия смарт‑карт потребовала от производителей чего‑то большего, чем просто заверения о безопасности технологии "smart".
А можно ли взломать смарт‑карту, и если да, то как это сделать?
Можно. Согласно шокирующей объективной статистике, уже примерно с 1994 года практически все (включая европейские, а затем американские и азиатские) из известных на то время смарт‑карточных чипов, применявшихся в системах платного телевидения, были успешно взломаны при помощи методов обратной инженерии. А вы думаете, откуда на прилавках популярных рынков появились системы для просмотра закрытых ТВ‑каналов? Если кому‑то из читателей вдруг покажется, что взлом банковской смарт‑карты сродни фантастике, смеем вас уверить, что это не так. Все дело в том, что и без того закрытые сведения подобного рода просто‑напросто стараются не разглашать, дабы не нарушить репутацию обслуживающих банковских структур.
Рассмотрим некоторые из методов, применяемых в настоящее время для вскрытия. Отметим, что профессиональный взлом, как правило, подразумевает совместное использование нескольких методик.
Анализ информации из побочных каналовподразумевает, что взломщик с помощью специализированной аппаратуры снимает электромагнитную картину побочного излучения в питании, интерфейсных соединениях, в схемах процессора и других узлах, прямым или косвенным образом задействованных в генерации, преобразовании или передаче рабочего сигнала.
Программные атакиподразумевают использование самого обычного интерфейса взаимодействия с процессором смарт‑карты. Как правило, в этом случае взлом возможен благодаря наличию явных уязвимостей средств защиты протоколов или криптографических алгоритмов.
Технологии внедрения, или микрозондирование.При этом используется микроскоп, и с помощью микроманипулятора атакующий получает доступ непосредственно к рабочей зоне чипа, где пошагово (побитно) регистрируется прохождение информации.
Технологии индуцированных сбоевподразумевают создание внештатных условий работы чипа, чтобы открыть потенциальные каналы доступа к защищенной информации. Например, в конце сентября 1996 года научный коллектив из Bellcore (научно‑исследовательский центр американской компании Bell) сообщил о том, что обнаружена серьезная потенциальная слабость общего характера в защищенных криптографических устройствах, в частности в смарт‑картах для электронных платежей (D. Boneh, R.A. DeMillo, R.J. Lipton «On the Importance of Checking Cryptographic Protocols for Faults»; www.demiLLo.com/PDF/smart.pdf).Авторы назвали свой метод вскрытия «криптоанализом при сбоях оборудования» (Cryptanalysis in the Presence of Hardware Faults). Суть же метода заключается в том, что искусственно вызванная с помощью ионизации или микроволнового облучения ошибка в работе электронной схемы позволяет сравнить сбойные значения на выходе устройства с заведомо правильными значениями, тем самым восстанавливая криптографическую информацию, хранящуюся в смарт‑карте.

Защити свой компьютер от вирусов   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉