SMART CARDS
PUC-CAMPINAS
Grupo 5
Helder Carnetta
Nelson Relvas
Wagner Ricardo
História dos Cartões Plásticos
●
Inicialmente utilizados para identificação
●
Uso para pagamentos em 1950 – Diners Club
●
Segurança contra fraudes:
- Caracteres em relevo e senha
- Hologramas e micro impressão
- Desenhos invisíveis – fibras fluorescentes
- Assinatura
Cartões com tarja magnética
●
Dados escritos eletronicamente
●
Trilhas com dados diferenciados
●
Inversões de fluxo correspondem a dados
●
Aproximadamente 140 bytes armazenados
●
Dados podem ser perdidos
●
Segurança baixa
História dos Smart Cards
●
●
●
1974: Primeira patente – Roland Moreno
1981: Bull e Philips produzem cartão que atende as
normas ISO
Início dos anos 80: France Télecom usa cartões nos
telefones públicos
●
1985: Cartões bancários são utilizados na França
●
Desde 98 mais de 1 bilhão de cartões / ano
Smart Cards
●
Vantagens sobre os magnéticos
- Maior espaço de memória
- Armazena informações secretas
- Inteligência própria
- Elimina a necessidade de enviar dados
confidenciais nas linhas de comunicação
Arquitetura de Hardware & Software
●
Tipos de Smart Card
–
Contato físico
–
Sem contato físico
Arquitetura de Hardware & Software
●
Por contato físico
–
–
●
Inserção do cartão na leitora
Permitem a troca de dados entre ambos
Sem Contato físico
–
–
–
Conexão através de ondas eletromagnéticas
Economia de tempo
Não desgaste dos terminais do cartão
Características dos Smart Cards
●
Custo
–
●
Varia entre US$2.00 a US$10.00
Confiabilidade
–
–
–
10000 ciclos de leitura/escrita
Atendem normas ISO
Testes de torção, de flexibilidade, de desgaste, de
concentração de carga, temperatura, umidade, eletricidade
estática, ataque químico, ultravioleta, raios-x e testes de
campo maginético
Características dos Smart Cards
●
Correção de erros
–
Sistema operacional do chip (COS – Current Chip Operation
Systems) realiza seu próprio algoritmo
–
O Sistema Operacional do terminal deve checar os 2 bytes
de código de status que o COS retorna após receber o
comando do terminal ( como definido na ISO 7816-4 e nos
comandos proprietários
Características dos Smart Cards
●
Capacidade de armazenamento
–
●
Memórias EEPROM
● Capacidade de 8K – 128Kbit
Segurança
–
–
–
Altamente seguro
Microprocessador e co-processador do chip suportam
criptografia, autenticação e assinatura digital
RSA 1024bits
Características dos Smart Cards
●
Capacidade de processamento
–
Cartões mais antigos usavam um micro-controlador de 8-bits
com clock de 16MHz
–
Cartões mais modernos utilizam um micro-controlador RISC
de 32-bits, rodando a um clock de 25 a 32 MHz
Smart Cards Microprocessados
●
Possui os principais elementos de um computador
–
Sistema de Memórias
●
●
●
–
CPU
●
●
●
–
ROM
EEPROM
RAM
RISC de 32bits
Manipulam endereços de memória e registradores de entrada e
saída
Criptografia exige mais tempo de processamento.
Canal de saída
●
●
Serial e unidirecional
115200 bps
Elementos de um Smart Card
VCC
Fornece a energia ao Chip
RST
Ponto usado para enviar um sinal de reset ao
microprocessador
CLK
Fornecer o sinal de Clock externo, a partir do qual
sinal interno de Clock e de Clock é derivado
GND
Ponto usado como tensão de referência e o seu
valor é considerado 0 volts
VPP
Ponto Opcional usado unicamente em cartões
antigos
I/O
Ponto de contato usado para transferir dados e
comandos entre o Cartão Inteligente e o
mundo exterior, mas em modo Half- Duplex
RFU
Ponto reservado para um uso futuro
Processo de fabricação do Smart
Card
• Processo de manufatura de um Smart Card em 8 etapas
– 1 Fabricação de milhares de chips em uma única pastilha de silício (wafer). Cada chip tem
a forma de um quadrado de aproximadamente 5 mm de lado (25 mm2 de área, portanto).
Esse modelo de chip é repetido até preencher toda a pastilha de silício (totalizando de 3000
a 4000 unidades por pastilha), num processo a vácuo, onde são depositados materiais
extremamente puros no substrato de silício.
Processo de fabricação do Smart
Card
●
2. Empacotamento dos chips individuais para inserção dentro do cartão. Quando a pastilha está
completa, cada chip é testado para verificar se está operacional. Cada chip aprovado é
identificado através de uma marca física antes de a pastilha ser particionada. Uma vez que isto
acontece, o chip é preso a uma lâmina de contatos, que possui fios de baixíssima bitola que
conectam os terminais do chip a regiões específicas da lâmina. O resultado dessa união é
chamado tecnicamente de módulo.
Processo de fabricação do Smart
Card
●
3. Fabricação do cartão. O cartão em si é feito em PVC (PolyVinyl Choride) ou em ABS
(Acrylonitrile Butadiene Styrene). Em PVC é possível criar formas em alto-relevo, porém este
material não é reciclável; o ABS não é modelável em alto-relevo mas é reciclável. O material
do cartão é produzido em larga escala e em produções massivas para um determinado cliente,
pode-se imprimir algo na superfície, como por exemplo logotipos.
Processo de fabricação do Smart
Card
●
4. Inserção do chip no cartão. Preparados o chip e o molde de plástico, ambos são unidos
através da cola do chip numa depressão feita no molde. Esta depressão é feita por desbaste ou
derretimento do material e depois é embutida no módulo.
Processo de fabricação do Smart
Card
●
●
5. Pré-personalização. A maioria das aplicações Smart Card requerem que certos programas ou
arquivos sejam instalados em cada cartão, antes que o mesmo seja personalizado e entregue ao
usuário. Isso é feito nesta etapa, na qual a preparação do software do cartão é feita através do
conector de I/O na superfície do cartão.
6. Personalização. Este processo envolve a gravação de informações como nomes e números
relacionados ao usuário. Isto usualmente também envolve a escrita do PIN (Personal
Identification Number) na memória, número que identifica o usuário com o cartão. A
personalização envolve ainda a manipulação física do cartão; figuras e informações como
nome e endereço podem ser impressas em sua superfície. A impressão também pode ser feita
em alto-relevo para permitir que a informação seja passada a outros tipos de mídia (por
exemplo, impressão de recibos de cartão de crédito).
Processo de fabricação do Smart
Card
●
●
7. Impressão no cartão. Esta etapa envolve a impressão gráfica e textual no Smart Card. A
aparência do cartão geralmente reflete ambos estética e financeiramente o portador do cartão.
Símbolos corporativos e logotipos constroem a imagem do portador e têm importante valor
publicitário. Quando um cartão é utilizado na identificação pessoal, a foto da pessoa portadora
juntamente com seu nome podem ser impressos. Em muitos cartões de propósito financeiro
são impressos hologramas como mecanismos para evitar estelionato. Dependendo da
informação a ser armazenada, vários processos de impressão podem ser empregados. Para
cartões que possuem o mesmo design gráfico, como cartões telefônicos, a estampa pode ser
feita antes da inserção do circuito integrado no molde; neste caso, a impressão é feita na manta
plástica, antes de se extrair o molde.
8. Inicialização do programa contido no cartão. Finalmente são executados os programas que
rodam no próprio cartão (se microprocessado), e, então, o Smart Card está disponível ao
usuário final.
API – Application Programming
Interface
•
•
•
•
•
•
Especificação da plataforma Java Card 2.2.2
A tecnologia Java Card provê:
Ambiente seguro para aplicações
Independência de fabricante do hardware
Que múltiplos aplicativos estejam num só smart
card
Que dispositivos com limitações de memória e
capacidade de processamento rodem
aplicações complexas
API – Application Programming
Interface
•
•
•
•
•
•
•
•
•
Novas características no Java Card 2.2.2:
APIs utilitária para TLV, BCD, short, int
Gerenciamento de multiplas interfaces contact/contactless
Suporte a mais de 20 portas lógicas
Baseada na ISO7816 comprimento APDU suporte
Adição dos algoritmos de criptografia: HMAC-MD5, HMACSHA1, SHA-256 e Korean Seed
Assinatura com mensagem de recuperação
Partial message digest
API para acesso externo a memória
API – Application Programming
Interface
•
•
•
•
•
•
•
Características que continuaram da versão
2.2.1
Suporte aos antigos padrões de SIM cards
Avançado gerenciamento de memória
Fácil de projetar e desenvolver aplicações
Completa compatibilidade com testes
Últimos algoritmos de criptografica
Compatibilidade com todas antigas versões
ISO 7816
•
•
ISO 7816 é a norma internacionalmente aceita
para os cartões inteligentes. Ela é de uma família
de padrões essencialmente para lidar com os
aspectos de interoperabilidade de cartões
inteligentes de comunicação características,
propriedades físicas, aplicação e identificadores
do chip implantado e dados.
A família ISO 7816 inclui onze peças que estão
em uma constante fluxo de estado como eles
estão sujeitos a revisão e atualização.
ISO 7816-1
•
•
•
•
•
•
•
A norma ISO 7816-1 especifica as
características físicas do cartão, que inclui:
Dimensões
Radiação eletromagnética
Estresse mecânico
Localização do integrado IC no cartão
Localização da pista magnética
Resistência à eletricidade estática
ISO 7816-2
•
A norma ISO 7816-2 define a localização de
contatos e dimensões. Ele também define o
objetivo, localização e características elétricas
dos contatos metálicos do cartão.
ISO 7816-3
•
•
•
•
•
A norma ISO 7816-3 é projetada para lidar com
sinais eletrônicos e de transmissão protocolos.
ISO 7816-3 específica os requisitos de tensão e de corrente
elétrica a contatos que são os seguintes:
Asynchronous half-duplex para transmissão protocolo (T = 0).
Asynchronous meia duplex bloquear transmissão protocolo (T =
1). Cartões inteligentes que utilizam um protocolo proprietário
para transmissão proceder à designação com ele.
T = 14 inclui revisão do protocolo tipo de seleção.
ISO 7816-4
•
•
•
A norma ISO 7816-4 define o intercâmbio intercomandos para a indústria do cartão de CPU.
Prevê a instalação de interoperabilidade entre os
setores de prestação de segurança e de transmissão
de dados dos cartões.
Define os comandos básicos para leitura, escrita e
atualização do cartão de dados.
ISO 7816-5
•
•
•
A norma ISO 7816-5 trata de procedimento de registo
Identificadores de Aplicação (AID) e o sistema de
numeração. Define as normas para a Aplicação
Identificadores que tem duas partes:
Registrado Application Identifier Provider (RID), de
cinco bytes que é único para o vendor.
Um campo de tamanho variável de até 11 bytes EIRD
que pode utilizar para identificar aplicações
específicas.
ISO 7816-6
•
A norma ISO 7816-6 define o dispositivo de
transferência física e dados operacionais.
ISO 7816-7
•
Structured Card Query Language (SCQL)
específica o método padrão para manter e
consultar o base de dados.
ISO 7816-8
•
Segurança, operação e comandos são
padronizadas por este critério. ISO 7861-8 inclui
os comandos para a gestão da segurança
interna do cartão e podem incluir criptografia
técnicas de gestão de segurança e outros
métodos.
ISO 7816-9
•
•
•
•
•
•
A norma ISO 7816-9 inclui especificações para os
comandos para o cartão de gestão. A seguir fornece
o principal interesse desta norma:
Descrição e codificação de atributos de segurança do
cartão de objetos relacionados.
Funções e sintaxe dos comandos adicionais interindústria.
Descrição e codificação do ciclo de vida dos cartões
e objetos relacionados.
Elementos de dados associados com esses
comandos.
Mecanismo para o início de cartões de mensagens
originado.
ISO 7816-10
•
•
•
•
A norma ISO 7816-10 foi concebida para
resolver sinais elétricos e de sinais de reset
síncrono de cartões. Ele inclui os seguintes:
Sinal estruturas
Potência
Estrutura para a reposição do sinal que é
enviado entre o CI e o cartão de interface
dispositivo como um terminal
ISO 7816-11
•
A norma ISO 7816-11 se entende por
identificação pessoal do utilizador. Ela pode
utilizar métodos biométricos e de normas para a
realização identificação pessoal.
JCRMI
Aplicações
●
Identificação
- Controle de acesso
- Controle de ponto
- Acesso à áreas restritas
-Mais de 1 milhão de universitários nos Estados
Unidos
Aplicações
●
Saúde
- Alemanha: 80 milhões de cartões emitidos (todo
cidadão tem direito)
- França: projeto Sésam Vitale espera emitir 10
milhões de cartões
- Itália: Alzheimer Card controla os portadores do mal
de Alzheimer
- Comitê Europeu de Padronização de informações de
saúde
Sésam Vitale
●
Programa Nacional Francês
●
Usado para:
- Registrar os atendimentos
- Autorizar os pagamentos dos honorários
médicos
- Solicitar exames
Cartão Saúde
●
●
●
Repositório de dados relativos à saúde dos pacientes,
e ferramenta para automatizar o atendimento
ambulatorial
Cartão do paciente
- Identificação, registro de atendimentos, solicitação de
exames, prescrição de receitas, registro de exames,
entre outros
Cartão do médico
- Pode ler e gravar dados no cartão do paciente,
através de identificação e chave de acesso e registrar
o histórico dos relacionamentos com os pacientes.
Aplicações
●
Telefonia
- GSM: Cartão SIM, permite transferir dados nos
telefones, armazenar agendas, mensagens, créditos
●
Trânsito
- Transporte público
- Pagamento de pedágio
- Estacionamento
Instituto Nacional de Tecnologia
da Informação - ITI
●
Chaveiro Eletrônico
- Sistema que permite que o usuário assine e
cifre e-mails e mensagens enviadas pelo
correio eletrônico, além de possibilitar o acesso
a funcionalidades dos navegadores de Internet,
principalmente o Mozilla, quando esses
demandarem serviços com certificação
Segurança
Sistema simples de clonagem de cartões
- Falhas de segurança
- Quebra do sistema criptográfico
●
●
●
Equipamentos
- Hardware do chip
- Caros
- Pessoas especializadas
DPA (Differential Power Analysis)
- Através da análise da atividade elétrica do próprio chip
Cartão SIM
- Mais fácil de clonar
- Na Ásia existem sistemas completos à venda
“Carders”
●
●
●
Criminosos especializados em fraudes com
cartões
Sistemas e técnicas que capturam as senhas
no momento que o usuário digita ou em
sistemas onde possam estar armazenadas
Atualmente o mecanismo mais utilizado é
conhecido como “chupa-cabra”
Chupa-cabra
●
●
●
Leitor de cartões feito artesanalmente
Possui memória interna
Armazena os dados das contas corrente
Operação Pen Drive
●
●
●
●
Primeira vez no país que os “carders”
conseguiram clonar os chips de segurança
Técnica criada por um engenheiro no Paraná
Chips são instalados nas máquinas
- Recolhe informações dos cartões
Os chips são recolhidos, e com as informações
coletadas, os cartões são clonados
Bibliografia
●
●
●
●
●
●
http://www.tech-faq.com/lang/pt/smart-card.shtml&usg=ALkJrhjmhCJnjmI9RjOKn7glLbuK6pKHfg acessado
dia 20/08/2008 às 12:00
http://www.slideshare.net/igormedeiros/introduo-plataforma-java-card-presentation/ acessado dia 21/08/2008
às 12:00
http://books.google.com/books?hl=ptBR&lr=&id=4WDj4H6pT50C&oi=fnd&pg=PR17&dq=java+card&ots=6jSh7Stj6d&sig=F3WGMHNY0wKG4FdaX
k9k4-MAJV8#PPR19,M1 acessado dia 22/08/2008 às 20:00
http://developers.sun.com/learning/javaoneonline/2006/mobility/TS-9764.pdf acessado dia 01/09/2008 às
00:00
http://developers.sun.com/learning/javaoneonline/2008/pdf/TS-5940.pdf acessado dia 06/09/2008 às 00:00
http://www.igormedeiros.com.br/dev/Ambiente_Dev_Java_Card_Opensource.pdf acessado dia 15/09/2008 às
23:00
●
http://eletronicos.hsw.uol.com.br/joias-digitais3.htm acessado dia 20/09/2008 às 22:00
●
http://www.scribd.com/doc/2476981/Smart-Cards-a-Case-Study acessado dia 28/09/2008 às 12:00
●
http://www.javanoroeste.com.br/artigos/javacard.html acessado dia 28/09/2008 às 19:40
●
http://www.javanoroeste.com.br/artigos/iniciando_java_card_hello_world.html acessado dia 28/09/2008 às
19:30
●
http://www.javanoroeste.com.br/artigos/javacard_mercado_bra_rfid.pdf acessado dia 29/09/2008 às 20:00
●
http://www.gta.ufrj.br/grad/04_2/smartcard/ acessado dia 29/09/2008 às 20:00