SMART CARDS

PUC-CAMPINAS Grupo 5 Helder Carnetta Nelson Relvas Wagner Ricardo

História dos Cartões Plásticos

● Inicialmente utilizados para identificação ● Uso para pagamentos em 1950 – Diners Club ● Segurança contra fraudes: - Caracteres em relevo e senha Hologramas e micro impressão Desenhos invisíveis – fibras fluorescentes - Assinatura

Cartões com tarja magnética

● Dados escritos eletronicamente ● Trilhas com dados diferenciados ● Inversões de fluxo correspondem a dados ● Aproximadamente 140 bytes armazenados ● Dados podem ser perdidos ● Segurança baixa

História dos Smart Cards

● 1974: Primeira patente – Roland Moreno ● 1981: Bull e Philips produzem cartão que atende as normas ISO ● Início dos anos 80: France Télecom usa cartões nos telefones públicos ● 1985: Cartões bancários são utilizados na França ● Desde 98 mais de 1 bilhão de cartões / ano

Smart Cards

● Vantagens sobre os magnéticos Maior espaço de memória Armazena informações secretas Inteligência própria - Elimina a necessidade de enviar dados confidenciais nas linhas de comunicação

Arquitetura de Hardware & Software

●

Tipos de Smart Card

–

Contato físico

–

Sem contato físico

Arquitetura de Hardware & Software

●

Por contato físico

– Inserção do cartão na leitora – Permitem a troca de dados entre ambos ●

Sem Contato físico

– Conexão através de ondas eletromagnéticas – – Economia de tempo Não desgaste dos terminais do cartão

Características dos Smart Cards

●

Custo

– Varia entre US$2.00 a US$10.00

●

Confiabilidade

– 10000 ciclos de leitura/escrita – – Atendem normas ISO Testes de torção, de flexibilidade, de desgaste, de concentração de carga, temperatura, umidade, eletricidade estática, ataque químico, ultravioleta, raios-x e testes de campo maginético

Características dos Smart Cards

●

Correção de erros

– Sistema operacional do chip (COS – Current Chip Operation Systems) realiza seu próprio algoritmo – O Sistema Operacional do terminal deve checar os 2 bytes de código de status que o COS retorna após receber o comando do terminal ( como definido na ISO 7816-4 e nos comandos proprietários

Características dos Smart Cards

●

Capacidade de armazenamento

– Memórias EEPROM ● Capacidade de 8K – 128Kbit ●

Segurança

– Altamente seguro – – Microprocessador e co-processador do chip suportam criptografia, autenticação e assinatura digital RSA 1024bits

Características dos Smart Cards

●

Capacidade de processamento

– Cartões mais antigos usavam um micro-controlador de 8-bits com clock de 16MHz – Cartões mais modernos utilizam um micro-controlador RISC de 32-bits, rodando a um clock de 25 a 32 MHz

Smart Cards Microprocessados

●

Possui os principais elementos de um computador

– Sistema de Memórias ● ● ● ROM EEPROM RAM – – CPU ● ● ● Criptografia exige mais tempo de processamento.

Canal de saída ● RISC de 32bits Manipulam endereços de memória e registradores de entrada e saída Serial e unidirecional ● 115200 bps

Elementos de um Smart Card

VCC RST CLK GND VPP I/O RFU Fornece a energia ao Chip Ponto usado para enviar um sinal de reset ao microprocessador Fornecer o sinal de Clock externo, a partir do qual sinal interno de Clock e de Clock é derivado Ponto usado como tensão de referência e o seu valor é considerado 0 volts Ponto Opcional usado unicamente em cartões antigos Ponto de contato usado para transferir dados e comandos entre o Cartão Inteligente e o mundo exterior, mas em modo Half- Duplex Ponto reservado para um uso futuro

Processo de fabricação do Smart Card

•

Processo de manufatura de um Smart Card em 8 etapas

– 1 Fabricação de milhares de chips em uma única pastilha de silício (wafer). Cada chip tem a forma de um quadrado de aproximadamente 5 mm de lado (25 mm2 de área, portanto). Esse modelo de chip é repetido até preencher toda a pastilha de silício (totalizando de 3000 a 4000 unidades por pastilha), num processo a vácuo, onde são depositados materiais extremamente puros no substrato de silício.

Processo de fabricação do Smart Card

● 2. Empacotamento dos chips individuais para inserção dentro do cartão. Quando a pastilha está completa, cada chip é testado para verificar se está operacional. Cada chip aprovado é identificado através de uma marca física antes de a pastilha ser particionada. Uma vez que isto acontece, o chip é preso a uma lâmina de contatos, que possui fios de baixíssima bitola que conectam os terminais do chip a regiões específicas da lâmina. O resultado dessa união é chamado tecnicamente de módulo.

Processo de fabricação do Smart Card

● 3. Fabricação do cartão. O cartão em si é feito em PVC (PolyVinyl Choride) ou em ABS (Acrylonitrile Butadiene Styrene). Em PVC é possível criar formas em alto-relevo, porém este material não é reciclável; o ABS não é modelável em alto-relevo mas é reciclável. O material do cartão é produzido em larga escala e em produções massivas para um determinado cliente, pode-se imprimir algo na superfície, como por exemplo logotipos.

Processo de fabricação do Smart Card

● 4. Inserção do chip no cartão. Preparados o chip e o molde de plástico, ambos são unidos através da cola do chip numa depressão feita no molde. Esta depressão é feita por desbaste ou derretimento do material e depois é embutida no módulo.

Processo de fabricação do Smart Card

● 5. Pré-personalização. A maioria das aplicações Smart Card requerem que certos programas ou arquivos sejam instalados em cada cartão, antes que o mesmo seja personalizado e entregue ao usuário. Isso é feito nesta etapa, na qual a preparação do software do cartão é feita através do conector de I/O na superfície do cartão.

● 6. Personalização. Este processo envolve a gravação de informações como nomes e números relacionados ao usuário. Isto usualmente também envolve a escrita do PIN (Personal Identification Number) na memória, número que identifica o usuário com o cartão. A personalização envolve ainda a manipulação física do cartão; figuras e informações como nome e endereço podem ser impressas em sua superfície. A impressão também pode ser feita em alto-relevo para permitir que a informação seja passada a outros tipos de mídia (por exemplo, impressão de recibos de cartão de crédito).

Processo de fabricação do Smart Card

● 7. Impressão no cartão. Esta etapa envolve a impressão gráfica e textual no Smart Card. A aparência do cartão geralmente reflete ambos estética e financeiramente o portador do cartão. Símbolos corporativos e logotipos constroem a imagem do portador e têm importante valor publicitário. Quando um cartão é utilizado na identificação pessoal, a foto da pessoa portadora juntamente com seu nome podem ser impressos. Em muitos cartões de propósito financeiro são impressos hologramas como mecanismos para evitar estelionato. Dependendo da informação a ser armazenada, vários processos de impressão podem ser empregados. Para cartões que possuem o mesmo design gráfico, como cartões telefônicos, a estampa pode ser feita antes da inserção do circuito integrado no molde; neste caso, a impressão é feita na manta plástica, antes de se extrair o molde.

● 8. Inicialização do programa contido no cartão. Finalmente são executados os programas que rodam no próprio cartão (se microprocessado), e, então, o Smart Card está disponível ao usuário final.

API

–

Application Programming Interface

• Especificação da plataforma Java Card 2.2.2

• A tecnologia Java Card provê: • • • • Ambiente seguro para aplicações Independência de fabricante do hardware Que múltiplos aplicativos estejam num só smart card Que dispositivos com limitações de memória e capacidade de processamento rodem aplicações complexas

API

–

Application Programming Interface

•

Novas características no Java Card 2.2.2:

• • • • • • • • APIs utilitária para TLV, BCD, short, int Gerenciamento de multiplas interfaces contact/contactless Suporte a mais de 20 portas lógicas Baseada na ISO7816 comprimento APDU suporte Adição dos algoritmos de criptografia: HMAC-MD5, HMAC SHA1, SHA-256 e Korean Seed Assinatura com mensagem de recuperação Partial message digest API para acesso externo a memória

API

–

Application Programming Interface

•

Características que continuaram da versão 2.2.1

• • • • • • Suporte aos antigos padrões de SIM cards Avançado gerenciamento de memória Fácil de projetar e desenvolver aplicações Completa compatibilidade com testes Últimos algoritmos de criptografica Compatibilidade com todas antigas versões

ISO 7816

• • ISO 7816 é a norma internacionalmente aceita para os cartões inteligentes. Ela é de uma família de padrões essencialmente para lidar com os aspectos de interoperabilidade de cartões inteligentes de comunicação características, propriedades físicas, aplicação e identificadores do chip implantado e dados.

A família ISO 7816 inclui onze peças que estão em uma constante fluxo de estado como eles estão sujeitos a revisão e atualização.

ISO 7816-1

•

A norma ISO 7816-1 especifica as características físicas do cartão, que inclui:

• • • • • • Dimensões Radiação eletromagnética Estresse mecânico Localização do integrado IC no cartão Localização da pista magnética Resistência à eletricidade estática

ISO 7816-2

• A norma ISO 7816 2 define a localização de contatos e dimensões. Ele também define o objetivo, localização e características elétricas dos contatos metálicos do cartão.

ISO 7816-3

• • • • •

A norma ISO 7816 3 é projetada para lidar com sinais eletrônicos e de transmissão protocolos.

ISO 7816 3 específica os requisitos de tensão e de corrente elétrica a contatos que são os seguintes: Asynchronous half duplex para transmissão protocolo (T = 0). Asynchronous meia duplex bloquear transmissão protocolo (T = 1). Cartões inteligentes que utilizam um protocolo proprietário para transmissão proceder à designação com ele.

T = 14 inclui revisão do protocolo tipo de seleção.

ISO 7816-4

• • • A norma ISO 7816 4 define o intercâmbio inter comandos para a indústria do cartão de CPU.

Prevê a instalação de interoperabilidade entre os setores de prestação de segurança e de transmissão de dados dos cartões. Define os comandos básicos para leitura, escrita e atualização do cartão de dados.

ISO 7816-5

• • • A norma ISO 7816-5 trata de procedimento de registo Identificadores de Aplicação (AID) e o sistema de numeração. Define as normas para a Aplicação Identificadores que tem duas partes: Registrado Application Identifier Provider (RID), de cinco bytes que é único para o vendor.

Um campo de tamanho variável de até 11 bytes EIRD que pode utilizar para identificar aplicações específicas.

ISO 7816-6

• A norma ISO 7816-6 define o dispositivo de transferência física e dados operacionais.

ISO 7816-7

• Structured Card Query Language (SCQL) específica o método padrão para manter e consultar o base de dados.

ISO 7816-8

• Segurança, operação e comandos são padronizadas por este critério. ISO 7861-8 inclui os comandos para a gestão da segurança interna do cartão e podem incluir criptografia técnicas de gestão de segurança e outros métodos.

ISO 7816-9

• • • • • •

A norma ISO 7816 9 inclui especificações para os comandos para o cartão de gestão. A seguir fornece o principal interesse desta norma:

Descrição e codificação de atributos de segurança do cartão de objetos relacionados. Funções e sintaxe dos comandos adicionais inter indústria. Descrição e codificação do ciclo de vida dos cartões e objetos relacionados. Elementos de dados associados com esses comandos. Mecanismo para o início de cartões de mensagens originado.

ISO 7816-10

• A norma ISO 7816-10 foi concebida para resolver sinais elétricos e de sinais de reset síncrono de cartões. Ele inclui os seguintes: • • • Sinal estruturas Potência Estrutura para a reposição do sinal que é enviado entre o CI e o cartão de interface dispositivo como um terminal

ISO 7816-11

• A norma ISO 7816-11 se entende por identificação pessoal do utilizador. Ela pode utilizar métodos biométricos e de normas para a realização identificação pessoal.

JCRMI

Aplicações

● Identificação - Controle de acesso - Controle de ponto Acesso à áreas restritas Mais de 1 milhão de universitários nos Estados Unidos

Aplicações

● Saúde Alemanha: 80 milhões de cartões emitidos (todo cidadão tem direito) França: projeto Sésam Vitale espera emitir 10 milhões de cartões Itália: Alzheimer Card controla os portadores do mal de Alzheimer Comitê Europeu de Padronização de informações de saúde

Sésam Vitale

● Programa Nacional Francês ● Usado para: - Registrar os atendimentos Autorizar os pagamentos dos honorários médicos - Solicitar exames

Cartão Saúde

● Repositório de dados relativos à saúde dos pacientes, e ferramenta para automatizar o atendimento ambulatorial ● Cartão do paciente Identificação, registro de atendimentos, solicitação de exames, prescrição de receitas, registro de exames, entre outros ● Cartão do médico Pode ler e gravar dados no cartão do paciente, através de identificação e chave de acesso e registrar o histórico dos relacionamentos com os pacientes.

Aplicações

● Telefonia GSM: Cartão SIM, permite transferir dados nos telefones, armazenar agendas, mensagens, créditos ● Trânsito Transporte público Pagamento de pedágio - Estacionamento

Instituto Nacional de Tecnologia da Informação - ITI

● Chaveiro Eletrônico Sistema que permite que o usuário assine e cifre e-mails e mensagens enviadas pelo correio eletrônico, além de possibilitar o acesso a funcionalidades dos navegadores de Internet, principalmente o Mozilla, quando esses demandarem serviços com certificação

Segurança

Sistema simples de clonagem de cartões Falhas de segurança Quebra do sistema criptográfico ● Equipamentos - Hardware do chip - Caros - Pessoas especializadas ● ● DPA (Differential Power Analysis) Através da análise da atividade elétrica do próprio chip Cartão SIM Mais fácil de clonar Na Ásia existem sistemas completos à venda

“Carders”

● Criminosos especializados em fraudes com cartões ● Sistemas e técnicas que capturam as senhas no momento que o usuário digita ou em sistemas onde possam estar armazenadas ● Atualmente o mecanismo mais utilizado é conhecido como “chupa-cabra”

Chupa-cabra

● ● ● Leitor de cartões feito artesanalmente Possui memória interna Armazena os dados das contas corrente

Operação Pen Drive

● Primeira vez no país que os “carders” conseguiram clonar os chips de segurança ● Técnica criada por um engenheiro no Paraná ● Chips são instalados nas máquinas Recolhe informações dos cartões ● Os chips são recolhidos, e com as informações coletadas, os cartões são clonados

Bibliografia

● ● ● ● ● ● ● ● ● ● ● ● http://www.tech-faq.com/lang/pt/smart-card.shtml&usg=ALkJrhjmhCJnjmI9RjOKn7glLbuK6pKHfg acessado dia 20/08/2008 às 12:00 http://www.slideshare.net/igormedeiros/introduo-plataforma-java-card-presentation/ acessado dia 21/08/2008 às 12:00 http://books.google.com/books?hl=pt BR&lr=&id=4WDj4H6pT50C&oi=fnd&pg=PR17&dq=java+card&ots=6jSh7Stj6d&sig=F3WGMHNY0wKG4FdaX k9k4 MAJV8#PPR19,M1 acessado dia 22/08/2008 às 20:00 http://developers.sun.com/learning/javaoneonline/2006/mobility/TS 9764.pdf acessado dia 01/09/2008 às 00:00 http://developers.sun.com/learning/javaoneonline/2008/pdf/TS 5940.pdf acessado dia 06/09/2008 às 00:00 http://www.igormedeiros.com.br/dev/Ambiente_Dev_Java_Card_Opensource.pdf acessado dia 15/09/2008 às 23:00 http://eletronicos.hsw.uol.com.br/joias digitais3.htm acessado dia 20/09/2008 às 22:00 http://www.scribd.com/doc/2476981/Smart-Cards-a-Case Study acessado dia 28/09/2008 às 12:00 http://www.javanoroeste.com.br/artigos/javacard.html acessado dia 28/09/2008 às 19:40 http://www.javanoroeste.com.br/artigos/iniciando_java_card_hello_world.html acessado dia 28/09/2008 às 19:30 http://www.javanoroeste.com.br/artigos/javacard_mercado_bra_rfid.pdf acessado dia 29/09/2008 às 20:00 http://www.gta.ufrj.br/grad/04_2/smartcard/ acessado dia 29/09/2008 às 20:00