SMARTCARD ALAPÚ AZONOSÍTÁS

Kincses Zoltán, kincses@ludens.elte.hu
ELTE-TTK Doktori Iskola - Informatika Program
témavezető: dr. Mezgár István, SZTAKI

Az ISO/IEC Integrated Circuit Cards csoportja kétféle kártyával foglalkozik: az egyik a memória-chip alapú kártyák, a másik a programozható CPU-val rendelkező mikroprocesszoros kártyák. Ez utóbbit nevezzük SmartCard-nak (továbbiakban SC), melyek felépítésüktől kezdve, méretükön át a biztonsági követelményekig megfelelnek az ISO 7816-os szabványának.
Az előadás címéből nem derül ki, hogy mi minden tartozik ebbe a témakörbe, ezért igyekszem a szükséges ismereteket ezen oldalakon megjeleníteni. Amennyiben szükséges részletes ismeretszerzés, úgy ajánlom az irodalomjegyzékben szereplő utalások megismerését, különös tekintettel a magyar nyelvű irodalomra. [1]

I. Rövid áttekintés a múlt-jelen-jövő hármasról


1972-ben Roland Moreno nevezetű francia mérnök jelentkezik egy memóriakártya szabadalommal, majd 1974-ben bemutatja a francia bankoknak találmányát. 1979-ben az ugyancsak francia Michel Ugon megalkotja az első funkciós mikroprocesszoros kártyát, amiért később a Francia Becsületrenddel jutalmazták.
Egy kis szakadás következik a kártyák valamint az olvasó/író eszközök viszonylag magas előállítási költsége miatt. A bankoknak is meggondolandó volt egy nagyobb befektetés végrehajtása.

1. Napjainkra a kártya illetve az azt kezelő eszközök előállítási költsége nagymértékben csökkent, és egyre több területen nyújt megoldást a SC használata. A SC technológia sokoldalú alkalmazhatóságát a világban lefutott illetve napjainkban is futó tesztek és éles alkalmazások igazolják.

2. Az értékes pénzt felváltó értéket képviselő pénz különböző járulékos költségei igen magasra szöktek. A pénz őrzés, szállítás, előállítás, rongálódás miatti cseréje (ide sorolhatnánk a pénznemek, feliratok, egységek cseréjét is) valamint a pénz validitásának meghatározása és a pénzhamisításból adódó többletköltségek, mind a pénzt helyettesítő megoldás felé terelik az utat. Jelenleg a SC technológia a legalkalmasabb a pénz helyettesítésére, és még annál is több eszköz helyettesítésére és összevonására.

Eleinte az óvatosság jellemezte a különböző bankkártyák bevezetését és azok felhasználási területeinek bővítését. Hamar megszokták az emberek, hogy záróra után is pénzt vehetnek fel számlájukról és a romló közbiztonság közepette nyugodtabbak voltak, hogy "csak" egy plasztik kártya lapult a zsebben pénz helyett. Később jött a vásárlási lehetőség itthon, majd külföldön is.
A megoldás jó, de az alkalmazott technológia nem. A fő gondok:
1. A mágneskártyák hamisíthatóak, így a nem on-line kapcsolattal rendelkező kereskedőknél ezekkel (vagy az egyszerűen csak lopott kártyákkal) vásárolni lehetett. Az aláírás minta egyeztetése sem jelentett megoldást ennek kiküszöbölésére. Remélem, hogy egyre biztosabban használhatom a múlt időt, és nem kell attól tartani, hogy kártyánk adatai illetéktelenek kezébe kerülnek, akik a minimális biztonsági követelmények hanyag ellenőrzését kihasználva kárt okoznak a jogos tulajdonosnak.
(A visszaélések többségénél kiderült, hogy az egyértelműen eltérő alaírások összevetésére sem került sor a kártya elfogadásakor!)

2. A kártya sérülékeny, így a tévedések és hibás működések gyakoribbak. Ebből adódik, hogy az on-line olvasóval rendelkező pontokon is előfordul az olvashatatlan mágnescsíkos kártya egyszerű használata (ld. 1. pont)

3. A megnövekedett igényeket nem képes kiszolgálni. Ilyen a tárolókapacitás növelése, a különböző adatok felvitele, törlése és módosítása.

II. Ellenérvek ellenérvei...


1. "nagy kiadás az új rendszerre való átállás": folyamatos átállást kell megvalósítani, így a most meglevő mágneskártyák kiegészíthetőek chip-pel, vonalkóddal, hologrammal vagy fényképpel, így a régi rendszerek lecserélhetők a folyamatos felhasználás mellett.
A pénzkiadó automaták illetve a POS terminálok csak kisebb átalakítást igényelnek.

2. "nem biztos az emberek pozitív hozzáállása": a külföldi tesztek és éles alkalmazások nem ezt bizonyítják. Az egyik legismertebb éles alkalmazás az atlantai játékok idején volt, amikor a látogatók SC-ok segítségével használhattak különböző szolgáltatásokat. Hong-Kong városában a közlekedésben játszanak fontos szerepet jegy- és bérletként egyaránt. Több európai ország a munkanélküli segélyre illetve a betegellátásra jogosultak nyílvántartását oldja meg SC-al.
Természetesen végezhető hazai teszt is. Ha a telefonkártyának használt chip-es kártyákra gondolunk, akkor az első apró lépés megtörtént, bár ez még nem az igazi SC. A pécsi egyetemen bevezetésre került rendszer már jobban közelít az igazi SC-hoz, de az ottani bevezetést övező szervezés nem volt megfelelő, így a hallgatók beszámolói nem a reklámcikkek tudósításait erősítik meg.
Egy sokkal átfogóbb tesztnek már az adatait elemezhetnénk, ha nem maradt volna el az EXPO, ugyanis többek között a beléptető rendszer SC alapú megoldás lett volna...

3. van egy kimondatlanul is köztudott ellenérv, abból fakadóan, hogy a SC-ok között is lehet pénzátutalást végezni, tehát fizethetünk vagy "kölcsön" is kérhetünk pénzt kikerülve a bankot. Ebben az esetben a bankok elesnek bizonyos jutalékoktól, de talán fontosabb, hogy elvesztik azt a lehetőséget, hogy a pénzmozgások figyelemmel kísérésével különböző következtetéseket vonjanak le: ettől sem kell annyira tartani, hiszen a kártyán levő összeg nem kamatozik, tehát előbb-utóbb a bankba kerül a pénz.
A SC nem arra lett kitalálva, hogy milliókat tároljunk rajta, hiszen ha elveszítjük, akkor a bankban tárolt összeg ugyan elérhető, de a kártyán tárolt nem!
Az elveszett telefonkártya felhasználható más által, de itt mégsem erről van szó. A SC esetében más nem használhatja fel a kártyán levő összeget, de a tulajdonos sem, amíg az újra nem kerül birtokába. Ezért nem valószínű, hogy a nagy összegű pénzmozgások elkerülik majd a bankokat.

Megjegyzés: egy aggályt magam vetnék fel, mégpedig azt, hogy sokan nem tudnak használni egy SC rendszert, ha az nem rendelkezik kiegészítő megoldásokkal azok részére, akik valamilyen fogyatékossággal rendelkeznek. A vakok, végtagjaikat nem vagy korlátozottan használni tudók és más fogyatékossággal rendelkezők részére is kiegészítő és emberi méltóságukat tiszteletben tartó megoldásokat kell találni. Ez a témakör, a kutatási területek és a lehetséges megoldások tárgyalása egy külön előadást töltene ki. Megoldás létezik, az új ötletek publikációként való megjelenése folyamatban van.

III. Ami még mellette szól


A teszt valamint a valós alkalmazások bemutatásánál látható, hogy a SC rendszerek mennyivel nyitottabbak az alkalmazások minél szélesebb skálájának kitöltésére. A SC életciklusa hosszabb, köszönhetően fizikai felépítésének és újraprogramozhatóságának. Biztonságos, ami felhasználását illeti, köszönhetően a korszerű kódolási és azonosítási eljárásoknak.
Az SC-ok programozhatósága a szélesebb körű felhasználást és a kártya kötetlenebb menedzselését teszi lehetővé. [2]

A SC értéket is tárolhat, tehát nemcsak azonosít, mint a mágneskártya. Ebben az esetben valóban nincs szükség on-line kapcsolatra, hiszen a végponton levő olvasó leveszi a megfelelő egységet és a kereskedőnek jóváírja. Ebben az esetben az anonimitás is biztosított, tehát nem lehet tudni, hogy ki vásárolt. Nagyobb összegek esetén van rá mód, hogy a vevő digitális úton "aláírja" az átadott pénzösszeget, amit a kereskedő bármikor igénylésként nyújthat be a bank felé. A digitális aláírásról a későbbiekben lesz szó.

Az egyéb előnyök pedig a már említett pénzalapú rendszerek magas költségének nagymértékű leszorításában egyértelműen jelentkeznek. E mellett nem elhanyagolandó a "pénz marad, csak a zseb változik" elvből következő ellenőrizhetőség, mely nagyban segítené a fekete gazdaság elleni harcot és az adókötelezettségek betartatását. Ez a dominó eldöntené a magas adózást fenntartó dominót. A nagyobb adóbevételek és a fekete gazdaság visszaszorításának köszönhető többletbevételek az adók mérséklését hozhatja, így az állampolgárok is támogatnák a rendszert. Ezen keresztül már az egyenlő teherviselés elve is tartalmat nyerhetne.

A praktikussága is fontos tényező, hiszen a mai irathalmazainkat egyesíthetnénk egy SC-ban. Személyi igazolvány, útlevél, jogosítvány, bankkártya, betegbiztosítási kártya, munkahelyi belépő, bérlet, parkolókártya, telefonkártya, és az igényektől függően még sok más szerepet kaphatna egy SC, amin nemcsak a betegbiztosítási azonosítónk, de eddigi betegségeink és kezeléseink adatai ugyanúgy elférnek, mint életünk során elkészült röntgenképeink.
A kártyán szerepelhet az illető minden adata, ami alapján a segély megállapítása vagy a kórházi kezelés egyaránt meghatározható. Nem kell attól tartani, hogy illetéktelenek hozzáférnek adatainkhoz (pl. leendő munkáltató nem nézheti meg a kártyán tárolt kórlapunkat, de eddigi munkahelyeinket vagy önéletrajzunkat olvashatja a kártyáról).
Az elképzelhető megoldások sokasága miatt is szükséges egy olyan szabvány megalkotása, melyben olyan szakemberek vennének részt, akik az érdekeltek csoportjait lefedik, és szakmai tudásukkal a leendő megoldás tökéletesítésén tudnak dolgozni. A főbb csoportok: informatikusok, fizikusok, közgazdászok, Adatvédelmi Hivatal, szociológusok, jogászok! Egy ilyen "csapat" felállítása állami szintről végezhető el. Fontos megjegyezni, hogy az EU-ban látható törekvések is azt jelzik, hogy a jövőben nemcsak lokális megoldások lesznek. A nemzetköziség szelleme nem merül ki a külföldön is használható bankkártyákban vagy az EURO pénz létrehozásában, hanem a SC rendszerben is ez a várható jövő! Hollandia, Németország, Nagy-Britannia, Franciaország Spanyolország és a Skandináv országok is nagy méretű és nagy tömegeket érintő alkalmazásokról számolhatnak be és terveik igen merésznek tűnnek itthoni szemszögből nézve őket.
Ezen Európához való csatlakozási törekvéseink közepette figyelemmel kell kísérni a külföldön folyó szabványosítási törekvéseket, és párhuzamosan a hazai rendszerhez való illesztésének lehetőségét.

IV. A megoldandó négyes a következő:


-praktikusság
-biztonság
-hitelesség
-nyitottság/függetlenség

A praktikusságról már volt szó és ez talán magától is érthető. A biztonság és a hitelesség a korszerű adatátviteli technikákkal és az adatok titkosításával valamint korszerű biometriai azonosítási technikákkal valósítható meg.

A matematikailag is bizonyított RSA alapú nyílvános-kulcsú titkosírással az adatátvitel jelenleg biztosított. A kódoláshoz használt kulcsok hossza körül jelenleg komoly viták folynak. Az AE kormánya azt szeretné elérni, hogy a kódolt üzenetekhez hozzáférjen, ha azok az üzenetek vélhetően az állam biztonságát veszélyeztetik. A 40 és a 48 bit kulcshosszúságú kódokat az úgynevezett "brute-force" algoritmusokkal és a párhuzamos programozás segítségével hálózatba kötött számítógépeken már fel tudják törni. Az 56 bites kulcs feltörése ezen sorok írásakor még tart. [3] Jelenleg a legtöbb kereskedelmi szoftver csak ilyen kódolást használ, azonban ezen feltörések sikerének köszönhetően vélhetően hosszabb kulcsokat szeretne használni a kereskedelmi- és a magánszféra is. Megjegyzendő, hogy a személyes levelezésben az ismert PGP szoftvert használva az 1024 bit hosszúságú kulcs használatos amellyel egy kódolt szöveg megfejtése a Föld jelenlegi számítógépes kapacitásával sem végezhető el egy emberöltő alatt, ugyanakkor elfogadható idő alatt lehet az így kódolt üzeneteket megoldani a szükséges kulcs ismeretében. [4]

Az ujjlenyomat alapú azonosítás közel 100 éves, és mára algoritmizált számítógépes eljárások léteznek, melyekkel 1 mp-en belül elvégezhető két ujjlenyomat egyezőségének vizsgálata. Történetesen egy magyar termék is a piacon van, mely piacon szinte egyedülállóan tudományos alapokat használnak fel az alkalmazásban [5]. A dactyloszkópiai eljárásokon alapuló rendszer 100%-os biztonsággal azonosítja az élő ujj lenyomatait. Ez a hitelesség legbiztosabb meghatározása. Léteznek más biometriai eljárások is, mint pl. a szem írisz vagy ajakminta alapján történő meghatározások, de ezen eljárások nem praktikusak és nem 100%-os a biztonságos felismerés. Az ujjlenyomat leolvasására egyszerű eszközök léteznek, melyek olyan kis méretűek is lehetnek, hogy egy számítógépbe is beépíthetőek, így mindenki saját PC-jét is védheti a jogosulatlan felhasználóktól.
A rendszer beállítható, hogy csak egy ujj lenyomatát fogadja el, míg bármelyik másik ujj esetén a rendszer kifelé ugyanúgy viselkedik, de az illetékesek felé riaszt. Ezzel meghiusítható a fenyegetettség alatt álló személyen keresztül elkövetett jogosulatlan hozzáférés.
Az ujjlenyomat a SC-on is tárolható, megfelelő módon védve a jogosulatlan hozzféréstől, így a megfelelő olvasókkal felszerelt helyeken egyértelműen megállapítható a kártya tulajdonosának és használójának egyezősége.

A függetlenség alatt egyrészt platformfüggetlenséget másrészt gyártófüggetlenséget kell érteni. Fontos, hogy ne legyenek egymástól teljesen eltérő SC-ok. A platformfüggetlenséget a Java nyelven írt alkalmazások biztosíthatják. Megjegyzendő, hogy létezik olyan SC, mely a JavaCard nevet viseli, és Java nyelven írt programokkal menedzselhető.
A gyártófüggetlenséget a nemzetközileg megalkotott szabványok biztosíthatják.

Látható, hogy a megoldandó négyes lassan összeépül és az idén várható a nagy nemzetközi összefogással, az Internet hálózaton történő vitával, éles alkalmazásokkal tesztelt szabvány végleges változatának megjelenése is. Ez a szabvány a Secure Electronic Transaction (SET). Fontos kiemelni, hogy olyan óriások fogtak össze egy _közös_ megoldás létrehozásáért, mint a Europay, a Mastercard és a Visa (ezért szokták EMV szabványnak is nevezni a SET-et), hogy csak a hitelkártya kibocsátókat említsük, nem feledkezve meg a világ vezető szoftvercégeiről és hardware gyártóiról sem! [6]

Az ISO 7816-os szabványa részletesen leírja a SC-okkal szemben támasztott alapkövetelményeket. Ezekre lehet építeni a különböző megoldásokat. Fontos, hogy a leendő megoldás nyitott legyen a jövőbeni fejlesztésekre, és tesztelése valamint minőségbiztosítása is megfelelő módon legyen végrehajtva.
Ebben az esetben előnyei mellett szolgáltatásszerű működése is biztosítva lenne, így minden SC megoldást alkalmazó ember könnyebben éli majd át a hagyományos papíralapú azonosítás forradalmi változását.


Melléklet: A SC szabványa, felépítése, operációs rendszere [7]


Az elején említésre került az ISO 7816-es szabvány. Ez több alegységre osztható, így például az ISO 7816-3 a személyazonosításra vonatkozó szabványokkal foglalkozik.

A 8 lábbal ellátott chip felépítése:
-2 láb fenntartva jövőbeni alkalmazásokhoz, fejlesztésekhez
-clock (órajel)
-reset (törlőjel)
-0 V (GND, vagyis föld)
-5 V (tápfeszültség)
-25 V (programozáshoz)
-I/O (az adatjelek közlekedéséhez)

A processzorhoz co-processzor is csatolható.
A tárolókapacitás széles skálán mozog a 256 bit-es telefonkártyától a 16 KByte-os kártyákig. Megemlítendő, hogy vannak olyan eszközök is, melyeken akár több MByte információ is elfér, de ezek már nem SC alapúak.

A SC kártya rendelkezik saját operációs rendszerrel, melynek olyan alap utasításai vannak (ISO 7816-4), mint a select file, binary read/write/erase/update állományműveletek, vagy az azonosításra alkalmazott internal és external authenticate műveletek.
A JavaCard ennél többre is képes, hiszen programozható a felhasználó által is. Nem minden területhez férhet hozzá a programozó, így nem áll fenn annak a veszélye, hogy ilyen módon egy kártya személyazonosító része megváltoztatható.
A JavaCard jelenleg egy 8 Kbyte-os operációs rendszerrel rendelkezik és néhány utasítással. Boolean, byte és short adattípusokat ismer, de a jövőben várható a 32 és a 64 bit-es adatok használata is.


Irodalomjegyzék:


[1] Allaga - Avar - Dr. Nándor - Melis - Rónai - Sárkány: Kártyás rendszerek, Prím Kiadó - ISBN 963 04 7789 0

[2] A JavaCard-ról a http://www.javasoft.com/products/commerce/ lapon található több információ.

[3] A http://www.ee.ethz.ch/~rsa_clng/ lapon olvashatunk az eddigi kódfeltörésekről és a folyamatban levőkről.

[4] Simson Garfinkel & Gene Spafford: Practical Unix Security, O'Reilly & Assoc. - ISBN 0 937175 72 2
Ebben a könyvben többek között a különböző kódolásokról és azok erősségéről olvashatunk.

[5] A magyar cég terméke egy hazai banknál és egy svájci állami intzéménynél már éles alkalmazásban van. Az azonosításhoz a szükséges 10-12 pontos (minuciás) azonosítás helyett a 16 pontost használják a biztosnál is biztosabb azonosítás érdekében.
Az élő újj megállapítására ismeretesek a vérkeringést figyelő úgynevezett fotopletizmográfiai eljárások, melyek az élettelen újjal történő próbálkozásokat szűrik ki.

[6] a SET-et támogató fontosabb tagok: IBM, MicroSoft, Netscape, SAIC, Terisa Sys, Verisign és a sor napról napra gyarapodik.

[7] A http://caesar.elte.hu/~kincses/konf/mell.htm lapon az érdeklődők több információt is olvashatnak a SC technikai paramétereiről.