Apropó: A Mûvelõdési
és Közoktatási Minisztérium által
1997. május 14-én a Közbeszerzési Értesítõben
- az új diákigazolványok szállítása
tárgyában - meghirdetett közbeszerzési
eljáráson a CompuWorx Kft sikeresen szerepelt. A
négy beérkezett ajánlat közül a
CompuWorx Kft és Állami Nyomda Rt közös
pályázatát hirdették ki nyertesnek.
A két cég legalább 2002-ig fogja szállítani
mind a közoktatási, mind a felsõoktatási
intelligens diákigazolványokat.
A lehetõségek adottak jelenlegi többnyire papír alapú világunk (különbözõ okmányok, pénz, kommunikáció) biztonságosabb, rövid távon megtérülõ, új alapokra helyezéséhez. Az eszköz az intelligens kártya (smart card)1.
A több, mint 20 éves találmány (születési évét az 1974-re teszik, amikor Roland Moreno bejelentette szabadalmát egy ilyen elven mûködõ kártyára) a technológiai fejlõdésnek köszönhetõen képességeiben, biztonságában és árában elérte azt a szintet, amikor egyre több rendszert helyeznek át ilyen alapokra.
A diák státusszal
együtt járó diákigazolvány, index,
kedvezményekre jogosító papírok és
a bankkártya is különbözõségük,
hamisíthatóságuk, gyenge biztonságuk,
valamint rövid életciklusuk miatt egyre kezelhetetlenebb
rendszer építõköveivé váltak.
Az egyetemi szférában elõször a pécsi hallgatók ismerhették meg széles körben az intelligens kártyát, amikor a CompuWorx (http://www.compuworx.hu) elkészítette a UniChip® rendszert.
Ez egy elektronikus diákigazolvány és hallgatói információs rendszer is egyben. Az 1997/98-as tanévvel együtt mintegy 15.000 mikroprocesszoros kártya lett kibocsátva a JPTE Közgazdaságtudományi-, Állam és Jogtudományi-, Bölcsészettudományi-, Természettudományi-, Mûszaki- és Mûvészeti Karán, valamint a Pécsi Orvostudományi Egyetem Általános Orvostudományi illetve Egészségügyi Fõiskolai Kar hallgatói számára.
A kártyához
kapcsolódó jelen és jövõbeli
alkalmazások skálája széles, de a
hallgatók leginkább azonosításra,
elektronikus beléptetésre, készpénzhelyettesítõként
használják, illetve a vizsgákra történõ
jelentkezéseket intézik a kártya segítségével.
A kártya elektronikus pénztárca funkciót
is tartalmaz, melynek köszönhetõen az ösztöndíj
vagy a jegyzettámogatás válik hozzáférhetõvé.
A helyi közlekedésben is szerepet kap a kártya,
a helyközi közlekedésben azonban a hallgatók
továbbra is a jelenlegi papír diákigazolvánnyal
igazolják jogosultságukat az utazási kedvezmények
igénybevételére.
Közcím:
A rendszer összetevõi és biztonságuk
A pécsi rendszert fõként Microsoft termékekre épül az operációs rendszertõl (Windows NT) a kártya alkalmazásain át (VisualBasic, Visual C++), a hálózati kommunikációs megoldásokig (Internet Explorer, ActiveX). Ez utóbbira többek között azért van szükség, hogy a számítógépre kötött kártyaolvasókat kezelni tudják az egyes alkalmazásokból.
A Microsoft megoldások, és ezen belül az ActiveX alkalmazások biztonságát2 ismerve (ld. http://www.ntua.gr/WWW/www-security-faq/wwwsf7.html és az innen elérhetõ Fred McLaine oldal) aggodalomnak adhatunk hangot, de fontos jól elkülöníteni az ActiveX biztonságát és az ActiveX-en keresztül megoldott alkalmazás biztonságát! A pécsi rendszerben a kiemelt fontosságú alkalmazásokban is többrétegû, elosztott, komponens alapú architektúrát alkalmaznak, COM (Common Object Methods) alapokra helyezve (ld. BYTE 1. szám: Schadt György: Objektumok után komponensek). Az alkalmazások minden COM objektuma megfelel az ActiveX specifikációnak, ezért nevezhetõk ActiveX alapúnak az alkalmazások, de biztonságát tekintve a rendszerben bizonyos alkalmazások között aláírás hitelesítéssel és ellenõrzéssel történik a kommunikáció.
Ezzel még közel sincs minden probléma megoldva, hiszen ez csak a felhasználótól védi a rendszert, de mi védi a felhasználót a rendszertõl?
Az adatvédelem mellett a veszélyek elkerülésének ismertetése és oktatása is fontos, hiszen sokan vannak a fiatalok között is, akik idegenkednek a technikai eszközöktõl, vagy az újdonságok megszokása okoz problémát. A felhasználók oktatása elõtt, a rendszer tervezésénél az adatvédelem és a biztonság kérdésével is foglalkozni kell.
Egyik részrõl az Adatvédelmi Biztos, míg másik részrõl hivatalos auditor szakvéleményét kell mérvadónak tekinteni a rendszer adatvédelmi biztonságát és egyenszilárdságát tekintve, hogy a rendszer felhasználói garanciákat kapjanak adataik védettségét és az alkalmazások hiteles mûködését illetõen. Az intelligens kártya rendelkezik olyan memóriaterületekkel, melyeket feloszthatunk az egyes alkalmazások részére, de egyben biztosítani kell ezen területek hozzáférés-karbantartását összhangban a többi alkalmazással.
Az új diákigazolványnak teljesítenie kell az ide vonatkozó törvényeket (ez a pályázók elõminõsítésekor az egyik szempont volt), és a CompuWorx Kft. nem zárkózik el attól, hogy az Adatvédelmi Biztos is véleményezze majd a leendõ országos rendszert.
Egyes esetekben a felhasználót önmagától is meg kell védeni, hiszen az alap PIN kód megváltoztatását sem szabad a felhasználóra bízni. A kártya kibocsátásakor '1234' a PIN kód, amelyet a kártyás eszközökön (beléptetõ- POS-, Információs terminál) biztonságosan meg lehet változtatni. A kártya elsõ használatakor ajánlott a gyárilag beállított alap kód megváltoztatása. Megfontolandó ennek kötelezõvé tétele, különben sokan megmaradnak az '1234' alap kód használatánál. Itt kell megjegyezni azt a véleményt, amit egy pécsi hallgató fogalmazott meg: "Itt van a password is, de minek ez, ha mindenkinek ugyanaz?" A PIN kód megváltoztatására van lehetõség. Ennek szükségességérõl és módjáról a kártyához mellékelt tájékoztatóban illetve az Információs terminálokon is tájékoztatva vannak a hallgatók, de nem egyszerû minden ismeretet eljtuttatni a felhasználókhoz. Sokszor nagyobb méretû egy felhasználói dokumentáció és több idõt igényel a felhasználók oktatása, mint a feladat elkészítése, az algoritmizálástól a telepítésig.
Az esetlges visszaélések elkerülése érdekében az MPCOS kártyák esetében 1-7 egymást követõ alkalommal lehet próbálkozni a helyes PIN kód megadásával, ha ekkor sem sikerül a jó PIN kódot megadni, a memória zárolódik, amelyet csak külön eljárással lehet feloldani.
A PIN kód másnak történõ kiadása, vagy a változtatás utáni elfelejtés ugyanúgy figyelembe veendõ, mint a kód elfelejtés elleni felírása. Ez sokszor azt jelenti, hogy a PIN kód a kártyával egy helyen található, ami a kártya és a kód együttes elvesztése esetén komoly gondokat okozhat.
A mai azonosítás többnyire az eszközt azonosítja, és nem az egyént. Attól, hogy valaki helyes PIN kódot ad meg, még nem biztos, hogy az illetõ jogosult használni az így elérhetõ szolgáltatásokat.
Ennek a problémának a kiküszöbölésére léteznek algoritmizált biometriai eljárások is, mint például az ujjlenyomat alapján történõ azonosítás és hitelesítés, mely 100 éve alkalmazott eljárás a bûnüldözésben. Az eljárás tudományos elveken alapszik, és a számítógépes alkalmazása is idõszerû. A széleskörû elterjedést akadályozza, hogy a kártyaelfogadó eszközök árát nagyságrenddel drágábbá teszi, ha a biometrikus rendszerû azonosításra is alkalmasnak kell lennie, bár az utóbbi idõben ezen a területen is tapasztalható az eszközök árának folyamatos csökkenése.
Ez az ágyúval
verébre vadászás képét idézheti
elõ, de ennek ellenére foglalkozni kell ezen technika
alkalmazásával.
Közcím:
A rendszert kezelõ eszközök
A TS (Touch Screen, érintés
érzékelõvel ellátott képernyõ)
eszközzel felszerelt végpont (terminál) egy
rongálásbiztos keretbe ültetett PC, melyen
WindowsNT operációs rendszer fut. A kártya
behelyezése és a PIN kód megadása
után érhetõk el a képernyõn
megjelenõ menükhöz rendelt szolgáltatások.
A keretbe beépíthetõ rongálásjelzõ
riasztó is. Pécsett jelenleg két ilyen eszköz
üzemel az egyetem területén. Az eszköz funkcionálisan
helyettesíthetõ PC-hez illeszthetõ kártyaolvasóval
ellátott számítógéppel is.
Ezeken kívül több olyan kártyakezelõ
eszköz is üzemben van, melyek egy második személy
jelenlétéhez kötöttek, például
a félévre való beiratkozás mûveleténél
az ügyintézõ chipkártya leolvasója
a kártyán is rögzíti a beiratkozás
tényét, így az egyetemi funkciókat
a következõ félévben csak a beiratkozott
hallgatók vehetik igénybe. További lényeges
eszközök a elektronikus pénztárcákkal
való vásárlásra alkalmas POS terminál
és a beléptetést vezérló beléptetõ
terminál.
Elsõ alkalommal ingyen kapják meg a hallgatók a kártyát, de a pótlás 2600 Ft-ba kerül a hallgatónak. Egy hallgató tanulmányai során a kártya pótlására vagy cseréjére csak annak elvesztése vagy rongálása esetén kerülhet sor, mivel a kártya 100.000 tranzakcióra van hitelesítve.
A kártya típusát tekintve a francia Gemplus3 termékskálájából a pécsi rendszer bevezetésekor a PCOS (Payment Chip Operation System) kártyákat választották. Ezek a kártyák 1 Kbyte EEPROM memóriával rendelkeznek. Az új diákigazolvány az MPCOS család tagja, amely EMV (Europay-MasterCard-Visa) szabványú elektronikus pénztárcák használatára nyújt lehetõséget.
A kártya alkalmas kriptológiai funkciók ellátására. A használt titkosító algoritmus a 112 bites 3DES. A pécsi kártyákon 6 elkülönülten kezelhetõ pénztárca számára alakítanak ki helyet, de jelenleg ezek közül kettõ használata (jegyzetbon, elektronikus vásárlási utalvány) ellátja a szükséges funkciókat. A jegyzetbon elektronikus pénztárca kibocsátója a felsõoktatási intézmény, fedezetét a jegyzettámogatási keret hallgatói része biztosítja, és beváltani csak az erre kijelölt tíz könyvesboltban lehet jegyzet és szakkönyv vásárlásra. A chipkártyás jegyzetbon rendszer évi forgalma mintegy 40 millió Ft.
Az eszközök egyszerû
használatának és folyamatos rendelkezésre
állásának köszönhetõen adatokkal
alátámasztható a rendszer kihasználtsága
és a tanulmányi osztály dolgozóinak
tehermentesítése. Jelentõs a vizsgajelentkezések
módosítása, melyeket nem csak a Tanulmányi
Osztály illetve a tanszéki titkárságok
nyitvatartása alatt, hanem akár hétvégeken
is meg lehet oldani.
A kártya megszemélyesítése és annak technológiája korszerû módon történik. Az eljárás lényege, hogy a kártya felszínén található ábrákat és feliratokat thermodiffúziós eljárással a kártya anyagában helyezik el, és ezek után kerül fel egy átlátszó mûanyag réteg. Ez az eljárás biztosítja a kártya felületén található adatok módosíthatatlanságát. A fólia eltávolítása és az adatok módosítása maradandó fizikai sérüléseket okoznak a kártyán és annak felületében.
A leendõ diákigazolvány
esetében a kártya felületén található
adatok a még nagyobb biztonságot jelentõ
lézergravírozással kerülnek a
kártyára, azaz a kártyába, ugyanis
a lézergravírozás során ezek az adatok
fizikailag a kártya felületébe vannak égetve.
Ennek köszönhetõen a fénykép sem
cserélhetõ ki a kártya nagymértékû
és szabad szemmel is észrevehetõ fizikai
rongálódása nélkül.
Közcím:
Pénz, pénz, pénz
Mennyibe kerül mindez és kinek, kérdezheti joggal az adófizetõ állampolgár! Sokan megkérdezik, hogy miért kell annyi pénzt "kidobni", amikor annyi más megoldandó probléma van? Egyes felmérések szerint az államnak évente milliárdos nagyságrendû a hamis diákigazolványok okozta kár, így érthetõ, hogy a diákigazolványok cseréje mennyire fontos az államnak, és milyen sok "érdeket sért" a hamis igazolványok piacán.
A felsõoktatásban résztvevõ 200.000 hallgató diákigazolványa 1000 Ft/db, míg az 1,6 millió többi diák chip nélküli igazolványa 200 Ft/db alatti ÁFA-s árban van maximálva. Ez az összeg nem éri el a már említett éves veszteséget, ugyanakkor a kártya alkalmas a minimum 4 éves használatra.
A leendõ felsõoktatási diákigazolvány egy korszerû intelligens kártya, ugyanakkor a területen tapasztalható fejlõdés irama miatt fontos, hogy mindig a legkorszerûbb kártyát alkalmazzák széles körben és hosszû távú elképzeléseknél.
A tervek szerint 1998-2002 között évente további 250.000 diákigazolvány és 60.000 felsõoktatási intelligens kártya kerül kiadásra. Ezen tervek teljesítése hatalmas feladatot jelent.
Az intelligens felsõoktatási
diákigazolvány nem csak Magyarország elsõ
országos intelligens kártya alkalmazása,
hanem a világon az elsõ olyan projekt, amelyben
országos szinten hivatalos igazolványként
(B kategóriás biztonsági okmány) használnak
mikroprocesszoros kártyát.
Közcím:
Az alkalmazási területek
A mûködõ és a lehetséges alkalmazások felsorolásakor láthatjuk, hogy a lehetõségek száma nagyobb, mivel a széles körben történõ felhasználhatósághoz szükség van az együttmûködés (interoperabilitás) biztosítására.
Erre jó példa az utazási kedvezmények kezelése. Az intelligens kártya alkalmas arra, hogy a chip-ben tárolja a bérlet meglétét, azonban amíg az ellenõrök nem rendelkeznek olyan eszközzel, ami ezt ellenõrizni tudná, addig marad a vizuális ellenõrzés. Pécsett a kártya felületére egy hologram kerül, ami nem szedhetõ le a kártyáról anélkül, hogy ne sérülne. Ennél a vizuális ellenõrzést biztosító eszköznél megfelelõbb az elektronikus elllenõrzés. A leendõ diákigazolvány esetében elképzelhetõ egy összefogás a tömegközlekedési vállalatokkal, melynek keretén belül az ellenõrök fel lennének szerelve az egyébként kulcstartó méretû és olcsó kártyaolvasó eszközzel. Ebbe az eszközbe helyezve a diákigazolványt, a kijelzõn megjeleníthetõ az érvényességet igazoló kiírás. Kapus rendszerek esetében nincs szükség ilyen szinten sem az emberi tényezõ jelenlétére.
Az MKM pályázati kiírása szerint a leendõ diákigazolványnak minden létezõ egyetemi rendszerrel együtt kell tudnia mûködni. Ezt a feladatot az egyetemek és felsõoktatási intézmények bevonásával együtt kell megoldani.
A különbözõ lehetõségek egyes megoldásait számba véve érdekes és szép feladat egy ilyen rendszer komplex felépítése. A felmerülõ kérdések az érdekeltek közötti egyeztetésekkel megválaszolhatók egy erre a célra felállított egyeztetõ fórum keretein belül. Egy ilyen fórum léte nélkülözhetetlen lesz a jövõben, ezért is üdvözlendõ hír az IKF (Intelligens Kártya Fórum - ld. http://www.njszt.iif.hu/ikf/) megalakulása, hisz ezen a szervezeten belül a szervezet tagjai könnyebben férhetnek hozzá a szükséges információkhoz, megismerik a területen érdekelt szereplõket, és ennek köszönhetõen a leendõ magyar szabványok kialakításában is óriási szerepük van.
A pécsi rendszer egyes
elemeit kiemelve és közben a leendõ diákigazolványról
szóló összehasonlítással szándékunkban
állt a figyelem felkeltése is ezen terület
iránt. Amennyiben az intelligens kártya alapú
új diákigazolványok hozzák az elvárt
sikereket, úgy a családokon keresztül a szülõk
is megismerik ennek a technológiának az elõnyeit,
és a leendõ okmánycsere idõpontjában
már ismerõs lesz a smart card fogalma!
Kincses Zoltán
IKF - koordinátor
kincses@ludens.elte.hu
Nincs az angolhoz hasonló rövid, tömör és mindenki által egységesen alkalmazott definíció elfogadva. Ennek is köszönhetõ, hogy egyes "szaklapokban" is lehet olyan tévedéseket olvasni, miszerint a smartcard hasonló a telefonkártyához, hisz azon is chip van. Ez nem igaz, és ezt nem lehet elégszer hangsúlyozni a telefonkártyák terén történt visszaélések okozta bizalmatlanság kialakulása miatt! Kinézetre hasonlítanak egymáshoz, de felépítésükben már nagy a különbség közöttük!
A smart card egy plasztik lapka testû és ebbe a testbe ágyazott mikroprocesszort tartalmazó kártya, ezért szokták kis számítógépnek is nevezni. Az IC kártya (IC=Integrated Circuit, vagyis integrált áramkör) kifejezés is használatos. Az ISO 7816-os szabványa részletesen meghatározza a smart card követelményeket.
A magyar terminológiában
az intelligens kártya (IK) elnevezést igyekszik
elterjeszteni a nemrég alakult IKF (Intelligens Kártya
Fórum). A Neumann János Számítógép-tudományi
Társaságon belül alakult nonprofit szervezet
célul tûzte ki az IK honi elterjedésének
elõsegítését, és a technológia
valamint a felhasználási területeken folyó
munkálatok koordinálását, az érdekeltek
és szakemberek egy szervezetbe való integrálását
a jobb információcsere és kooperáció
érdekében.
2Egy rendszerben az egyes kiskapuk lehetnek véletlenül elkövetett hibák is, de a szándékosan beépített és nem dokumentált tulajdonságokról már könyveket is kiadtak [1]. Ezeknek egy része csak mulatságos rejtett tulajdonság, de ha lehet ilyen a rendszerben, akkor honnan tudható, hogy nincs rosszindulatú elem is elrejtve? A nemrégen kirobbant Pentium processzor hiba nagy vihart kavart, hiszen a világ több tízezer számítógépe vált potenciális áldozattá egy pár soros C nyelvû programmal szemben, mely szintén nem dokumentált hibából eredt.
Újabban a Windows95,
de a Netscape is a fókuszban van, az elõbbi a shell32.dll
nem dokumentált tulajdonságai miatt, míg
az utóbbi a beépíthetõ Plug-In-ek
mûködését leíró dokumentációk
hiánya miatt. Ld. még:
3Gemplus
A francia cég a világ legnagyobb intelligens kártya gyártója, de más kártyatípusok gyártásában is részt vesz. Nemrég érték el az 1 milliárd legyártott példányt a telefonkártyák terén. A Gemplus élen jár a JavaCard alkalmazások fejlesztésében, melynek köszönhetõen kiküszöbölhetõvé válik a platfomrfüggõség problémája, hiszen a JavaCard a platformfüggetlen Java nyelv segítségével programozható. Ennek köszönhetõen a különbözõ operációs rendszerekre, és a különbözõ módon megírt alkalmazásokhoz illesztve lehet elkészíteni a kártyás alkalmazásokat.
Az õszi párizsi CARTES'97 konferencián és kiállításon mutaták be a GemXPresso névre keresztelt Java alapú kártyát, mely elnyerte a rendezvény különdíját is.
A cégrõl részletesebben
a http://www.gemplus.com
címen lehet olvasni.
képek: stat2.jpg, stat4.jpg //a rendszer kihasználtságát mutató grafikonok
grayc.gif //egy sima alap kártya a cikk háttérrajzához?!
moreno.gif //Roland Moreno, az 1974-es szabadalom szerzõje
kulcs.gif, olvaso.gif //egyszerû kártyaolvasók
vagy az sk100.bmp //a CompuWorx-tõl kapott kép
pdiak.gif //egy mintakártya
a pécsi diákigazolványról
Állami Nyomda Rt.
1102 Budapest, Halom u. 5.
Tel.: (+36-1) 260-1535/417
Fax.: (+36-1) 262-5430
http://www.lang.hu/allami.nyomda
CompuWorx Kft.
7621 Pécs, Rákóczi út 46.
Tel./Fax.: (+06-72) 232-343
Tel.: (+06-1) 461-0111
http://www.compuworx.hu
Gemplus - World Headquarters
BP 100 - 13881 Gémenos Cedex
France
Tel.: +33 (0)4 42 36 50 00
Fax.: +33 (0)4 42 36 50 90
http://www.gemplus.com
Mûvelõdési és Közoktatási Minisztérium Kabinetiroda
Tel.: (+36-1) 302-0600/1400, 1870; (+36-1) 312-1478
http://www.mkm.hu
Neumann János Számítógép-tudományi Társaság
1054 Budapest, Báthori u. 16.
Tel.: (+36-1) 33 293 90; (+36-1) 33 293 49
Fax: (+36-1) 13 181 40
http://www.njszt.iif.hu/
- Intelligens Kártya Fórum
Tel.: (+36-1) 176-4840
http://www.njszt.iif.hu/ikf