Mestrado em Ciência da Informação
Segurança da Informação
Informação em Cartões Eletrónicos
Smart cards
Docente:
José Magalhães Cruz
Alunos:
Ana Sofia Pereira Gavina
Hugo Azevedo Oliveira
Porto, 11 de Dezembro de 2012
Ana Gavina
Hugo Oliveira
Smart Cards
Índice
1
Introdução ................................................................................... 4
2
Smart Cards .................................................................................. 5
3
2.1
Surgimento ............................................................................. 5
2.2
Tipos de smart cards .................................................................. 6
2.2.1
Cartões de Memória ............................................................. 6
2.2.2
Cartões de Microprocessador ................................................... 7
Segurança da Informação em Smart Cards .............................................. 9
3.1
Recursos de segurança ................................................................ 9
3.2
Princípios de Segurança .............................................................. 9
3.2.1
Política de Privacidade ......................................................... 10
3.2.2
Integridade ....................................................................... 11
3.2.3
Não repúdio ...................................................................... 12
3.2.4
Autenticação ..................................................................... 13
3.2.5
Verificação ....................................................................... 14
4
Normas regentes dos smart cards ....................................................... 17
5
Leitores de smart cards ................................................................... 20
6
Conclusão ................................................................................... 24
7
Referências Bibliográficas ................................................................ 25
Página 2 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
Índice de Figuras
Figura 1 - Arquitetura interna de um smart card ............................................ 7
Figura 2 - Criptografia Simétrica individual utilizando um algoritmo DES .............. 10
Figura 3 – Processo de assinatura digital ..................................................... 13
Figura 4 – Relação de tamanhos entre cartões SIM ......................................... 19
Figura 5 – Leitor de baixo custo ............................................................... 21
Figura 6 – Leitor conectado ao PC ............................................................ 21
Figura 7 – Leitor autónomo .................................................................... 22
Figura 8 – Leitor sem contacto ................................................................ 22
Figura 9 – Leitor eletrónico portátil .......................................................... 23
Página 3 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
1 Introdução
O presente relatório insere-se no âmbito da unidade curricular de Segurança
da Informação do Mestrado em Ciência da Informação, lecionada pelo docente José
Magalhães Cruz. O mesmo tem como intuito abordar o tema “Informação em Cartões
Eletrónicos”, de forma aprofundada e organizada. Pretende-se focar todos os aspetos
e características relacionadas com cartões eletrónicos, mais especificamente os
Smart Cards, bem como justificar o facto de serem uma das grandes inovações da
chamada Era Digital.
Pretende-se, inicialmente, abordar de um modo geral os smart cards e de
seguida focar mais especificamente todos os aspetos relacionados com estes, tais
como: a sua definição, o seu surgimento e os tipos existentes destes cartões. De
seguida abordamos a segurança da informação nos smart cards, onde detalhamos os
seus recursos e mais especificamente os princípios de segurança aplicados a este tipo
de cartão. Depois focamos alguns standards referentes aos smart cards que, na nossa
opinião, são os mais importantes e pertinentes para este trabalho, não descurando no
final deste trabalho uma abordagem aos leitores de smart cards, especificando
detalhadamente alguns dos mais importantes tipos de leitores, bem como as suas
principais áreas de aplicação.
Neste sentido iremos expor ao longo deste relatório todos estes aspetos
relacionados com a temática a que nos propusemos, de um modo organizado e
aprofundado.
Página 4 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
2 Smart Cards
O smart card, como é comumente conhecido, refere-se a um cartão de
plástico com o mesmo tamanho e forma de um cartão de crédito que contêm um
microprocessador integrado e uma memória. Estes dois componentes permitem o
armazenamento e processamento de informação no cartão.
Perante esta tecnologia, é bastante importante não descurar o quão
importante é a segurança dos dados e informações contidos nestes cartões, no
sentido de assegurar que estes não sejam colocados em risco, mantendo a sua
integridade assim como a sua privacidade.
2.1
Surgimento
A primeira realidade formal de um smart card chegou através da patente de
um smart card elaborada por Roland Moreno em França no decorrer o ano de 1974.
Com esta patente, as indústrias de semicondutores foram capazes de fabricar e
fornecer os circuitos integrados necessários a um preço razoável. Neste sentido, em
1977, Michel Ugon da Honeywell Bull inventou o primeiro microprocessador para
smart cards.
O primeiro teste de campo foi realizado com sucesso pelos Correios e Serviços
de Telecomunicações franceses em 1984 quando testarem um cartão de telefone.
Em 2001, a Honeywell Bull vendeu a sua divisão de produção de smart cards
em conjunto com as suas patentes à empresa Schlumberger, que posteriormente
combinou o seu próprio departamento interno de produção de smart cards com a
divisão de produção de smart cards comprada, tendo em vista a criação da Axalto.
Em 2008, a Dexa Systems desmembrou-se da empresa Schlumberger e adquiriu
a Enterprise Security Business Services, que incluía a divisão de soluções de smart
cards, responsável pela implantação da primeira grande infraestrutura de chave
pública (PKI) baseados em sistemas de gestão de smart cards.
O uso de smart cards assume um papel cada vez mais abrangente, à medida
que se avança em termos temporais e consequentemente tecnológicos. Estes, são
adotados por vários áreas de negócio como uma boa solução, apesar de reqerer
diferentes adaptações dependendo do tipo de setor. Na indústria financeira, a
utilização de cartões bancários progrediu de uma forma muito mais lenta devido à
complexidade das infraestruturas existentes nos sistemas bancários. Outros setores,
Página 5 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
como a saúde, educação, telecomunicações e transportes começaram a utilizar smart
cards como parte de uma solução total.
2.2
Tipos de smart cards
Os smart cards podem ser de dois diferentes tipos, sendo que a característica
distintiva é a existência de um microprocessador (CPU) num dos tipos de cartões. Os
Cartões sem microprocessador são denominados de cartões de memória e aqueles
que contêm identificam-se por cartões de chip ou cartões de microprocessador. O
uso geral do termo smart card é vulgarmente utilizado para identificar os cartões
com um microprocessador (CPU).
Cada tipo de cartão tem características particulares que, por sua vez, estão
relacionadas com os custos, a simplicidade operacional ou superioridade funcional e
com a sua aplicação num determinado segmento de mercado.
2.2.1 Cartões de Memória
Os cartões de memória são utilizados para uma única função, têm um custo
baixo e normalmente estão associados a aplicações de cartões de telefone de prépagamento. O acesso aos dados é gerido por um módulo de segurança do chip que
protege contra o facto de os dados poderem ser apagados ou escritos. Este tipo de
cartões são produzidos a baixo custo e em grandes quantias, como já referimos,
devido ao facto de requerem uma tecnologia ligeiramente mais simples.
Inicialmente podem parecer um pretendente óbvio a passar para a tecnologia
dos smart card, no entanto é necessário um investimento adicional para ultrapassar
algumas incompatibilidades, nomeadamente em infraestruturas de terminais e
diferenças de programação.
A memória para armazenamento de dados deste cartão pode variar de
algumas centenas de bytes até 8 KB. Este tipo de cartão está também apto para a
verificação do PIN, contudo é muito limitado no que diz respeito à sua flexibilidade.
Áreas de aplicação: Telecomunicações, pré-pagamentos, máquinas de venda,
parques de estacionamento, transportes públicos.
Exemplos de aplicação: Cartões de telefone europeus, cartões de seguro de saúde.
Página 6 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
2.2.2 Cartões de Microprocessador
Os cartões de microprocessador são capazes de fornecer a função de
leitura/escrita, assim como uma segurança reforçada através de um CPU. Os seus
custos são naturalmente mais altos do que os cartões de memória, visto que estes
são dotados de mais características. Através dos cartões de microprocessador podese escrever e atualizar os dados, uma vez que são consideradas as condições de
acesso do cartão. A forma como a arquitetura interna de um cartão de
microprocessador é projetada tem uma notável semelhança com os computadores,
como se pode conferir na seguinte figura:
Figura 1 - Arquitetura interna de um smart card

CPU
(Central
Processing
Unit)
–
O
CPU
é
normalmente
um
microprocessador de 8 bits com um barramento de endereços de 16 bits.
Isto faz com que seja possível tratar-se de um máximo de 64 KB, para
este tipo de cartões de microprocessador.

RAM (Random Access Memory) - A memória RAM é a memória volátil que
requer energia para manter os dados. Fornece armazenamento de
trabalho para o CPU. Normalmente, o tamanho da memória RAM é de
cerca de 256 bytes. A razão para este pequeno tamanho reside no facto
Página 7 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
de esta memória ocupar mais espaço por byte do que a memória ROM ou
EEPROM e é deliberadamente mantido pequeno para atender à
especificação dos chips dos smart cards, que são limitados num tamanho
total de 25 milímetros.

ROM (Read Only Memory) - A ROM contém o sistema operativo do smart
card e é carregada durante a produção de chips. O software carregado
tem o nome de ROM-mask. O tamanho da memória ROM pode variar de
alguns KB até cerca de 32 KB, dependendo da função do sistema
operativo.

EEPROM (Electrically erasable programmable read only memory) - Esta
é uma memória não volátil e é usada para armazenar todos os dados e
programas como no disco rígido de um PC. O sistema operativo fornece
proteção de arquivos ao restringir o acesso à EEPROM. Os tamanhos da
EEPROM podem variar, sendo esse tamanho normalmente selecionado
com base nas necessidades da aplicação.

I/O Port – As portas de entrada/saída servem para receber e passar
informação para fora, utilizando protocolos de comunicação e são usadas
para transferir os dados dispostos em série, bit por bit. A velocidade
padrão é de 9600 bits por segundo, sendo que alguns cartões suportam
velocidades mais altas.
Áreas de aplicação: Controlos de acesso, programas de fidelidade, dinheiro
eletrónico, bilhetes de companhias aéreas, cartões de crédito, cartões de
identificação.
Exemplos de aplicação: Cartão de estudante holandês, cartão de check-in em
algumas cadeias hoteleiras, cartão de assinatura digital.
Página 8 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
3 Segurança da Informação em Smart Cards
Sendo os smart cards utilizados principalmente em aplicações que exigem
uma alta e eficaz segurança, tais como facilidades de acesso, aplicações de
manipulação de informações sensíveis ou aplicações financeiras, é fundamental ter
especial atenção a este parâmetro. Sem a existência desta segurança seria possível
quebrar os controlos de segurança que são projetados num smart card e, desta
forma, possibilitar a utilização dos dados e informações contidas no cartão por
terceiros.
3.1
Recursos de segurança
Os smart cards têm na sua base uma forte capacidade de segurança que se
torna visível com a ajuda de importantes componentes na forma de recursos,
destacados de seguida. São eles:
3.2

Os recursos de segurança humanamente legíveis

Os recursos de segurança do chip do cartão

Os recursos de segurança do sistema operativo

Os recursos de segurança da rede
Princípios de Segurança
Existem várias razões para existir uma forte segurança num sistema de um
smart card. Os princípios aplicados são:

Política de Privacidade

Integridade

Não repúdio

Autenticação

Verificação
Os smart cards usam algoritmos de criptografia diferentes para aplicar estes
princípios. De seguida iremos descrever os mecanismos usados nos smart cards para
proceder à aplicação dos mesmos.
Página 9 de 25
Ana Gavina
Hugo Oliveira
3.2.1
Smart Cards
Política de Privacidade
Privacidade é o ato de assegurar, de uma possível intrusão de terceiros, a
confidencialidade de informações entre duas partes. Existem duas técnicas
criptográficas utilizadas para assegurar a privacidade: criptografia assimétrica e
criptografia simétrica, sendo que cada técnica criptográfica abrange diferentes
áreas de aplicação nos smart cards.
Criptografia Simétrica
A criptografia simétrica usa uma única chave para criptografar texto simples
em texto encriptado e voltar a desencriptar o texto encriptado em texto simples. É
denominada simétrica porque a mesma chave é usada para criptografar e
desencriptar a mensagem.
O algoritmo simétrico mais popular é o Data Encryption Standard (DES), pois é
rápido, razoavelmente seguro e simples de implementar em hardware.
Figura 2 - Criptografia Simétrica individual utilizando
um algoritmo DES
O algoritmo DES pode usar diferentes comprimentos de chave. Quanto mais
longa for a chave, mais difícil é para descodificá-la. Os dados são codificados em
blocos de 8 bytes, o que resulta num texto encriptado com o mesmo tamanho. É um
algoritmo "silencioso" porque o tamanho do texto encriptado e o tempo de
criptografia é constante e independente do tamanho do texto simples fornecido. Este
Página 10 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
algoritmo pode ser implementado no software do smart card, pelo facto de este ser
um algoritmo relativamente rápido.
A grande desvantagem da criptografia simétrica é que ambos os indivíduos
precisam de saber a chave para que se execute a transferência dos dados. A
transferência da chave de um indivíduo para o outro pode comprometer a segurança
que a própria encriptação fornece. Escrever uma chave DES no momento de
personalização do cartão é o método típico de transferência das chaves com
segurança para os portadores dos cartões.
Criptografia Assimétrica
A criptografia assimétrica usa duas chaves: uma para criptografar o texto
simples
e
outra
para
desencriptar
o
texto
encriptado.
As
chaves
são
matematicamente relacionadas, sendo que apenas as mensagens criptografadas com
uma chave podem ser decifradas com a outra chave. O algoritmo criptográfico
assimétrico mais conhecido é o RSA.
A criptografia assimétrica é usada em smart cards para fins de autenticação,
como as assinaturas digitais. Tal como acontece na criptografia simétrica, as chaves
podem ter comprimentos diferentes. Os três valores mais comuns são 512, 768 e 1024
bits, sendo os dois últimos valores considerados de criptografia robusta.
As criptografias simétricas e assimétricas geralmente complementam-se. A
criptografia assimétrica é muitas vezes utilizada para enviar a chave DES com
segurança de um indivíduo para o outro. Uma vez que ambos os indivíduos conheçam
a chave DES, os dados são encriptados simetricamente e transmitidos, melhorando
significativamente o desempenho.
3.2.2
Integridade
Algumas ligações de comunicações eletrónicas são propensas a erros, podendo
ocorrer distorção de dados. A chamada integridade de dados é uma técnica de
criptografia utilizada para garantir que o conteúdo dos dados se mantém íntegro e
sem alterações enquanto ocorre a transmissão a partir do seu autor para o respetivo
recetor.
Página 11 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
Código de autenticação de mensagens
Um código de autenticação de mensagem (CAM) é um valor de 8 bytes gerado
para uma mensagem em exclusivo, pois um algoritmo de criptografia unidirecional é
utilizado para gerar o valor. Um algoritmo de criptografia unidirecional é especial
porque não pode ser invertido e o texto original simples não pode ser recuperado a
partir do texto encriptado, visto que este é sempre garantido como único.
O CAM é anexado no final da mensagem de texto simples, antes de ser
enviado. Quando a mensagem é recebida, o recetor calcula o valor do código de
autenticação de mensagens a partir do conteúdo da mensagem e compara o
resultado com o CAM que acompanhou a mensagem. Ao mudar um caracter na
mensagem altera o código de autenticação de mensagens de uma forma imprevisível,
assim o destinatário pode ter certeza de que a mensagem não foi alterada após o
MAC ter sido gerado.
Assim sendo, podemos definir o código de autenticação de mensagens como
uma garantia de integridade, uma garantia de que a mensagem original não foi
alterada.
3.2.3
Não repúdio
Não-repúdio é a prova da integridade e da origem dos dados trocados na
transação. É a prevenção de uma possível falsificação, sendo que não deverá ser
possível ao emissor negar a autoria da mensagem.
Assinatura digital
A assinatura digital resulta do processo de criptografar um valor de
autenticação de mensagem com a chave RSA privada do seu criador. A principal
propriedade de uma assinatura é que apenas uma pessoa pode criar uma, isto é, uma
assinatura digital é única para cada pessoa apesar de qualquer pessoa poder verificar
a assinatura digital.
Em vez de utilizar o algoritmo de código de autenticação de mensagens,
descrito anteriormente, a mensagem é passada através de um processo de
criptografia unidirecional denominado de algoritmo de hashing. Um popular
algoritmo de hash utilizado em smart cards é o Secure Hash Algorithm (SHA-1).
Fazendo um hash da mensagem de texto simples com SHA-1 e, em seguida,
criptografar o hash com uma chave RSA privada de um indivíduo, é possível criar a
Página 12 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
assinatura digital. A assinatura pode ser verificada com os criadores de chave RSA
pública.
Figura 3 – Processo de assinatura digital
Vamos supor que o indivíduo 1 quer assinar uma mensagem e enviá-la para o
indivíduo 2. Primeiro, ele corre o texto simples através do processo hashing SHA-1 e
produz um hash de comprimento fixo da mensagem. Depois, o indivíduo 1 criptografa
o hash usando a sua chave RSA privada para criar a assinatura única para essa
mensagem em particular. De seguida o indivíduo 1 envia a mensagem de texto e a
sua assinatura digital para o indivíduo 2. Este pode usar a chave pública do indivíduo
1 para decifrar a assinatura digital e recuperar o hash e depois gerar um hash para a
mensagem de texto simples recebida e, finalmente, comparar os dois hashes.
Devido à relação matemática entre as chaves, se o hash for decifrado e
verificado adequadamente o indivíduo 2 pode estar seguro que apenas o indivíduo 1
pode ter criado a mensagem e que nem a mensagem nem o hash foram alterados
durante o processo de transmissão.
3.2.4
Autenticação
Antes de duas partes realizarem qualquer tipo de negócios, é necessário que
cada uma tenha a certeza de que a outra parte está autenticada. Os certificados
proporcionam, por exemplo, que antes de o indivíduo 1 aceitar uma mensagem com a
assinatura digital do indivíduo 2, ele tenha a certeza de que a chave pública
pertence mesmo a esse indivíduo e não a alguém que se faça passar por ele.
Página 13 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
Certificados
Os certificados, por sua vez, têm a capacidade de inspecionar e confirmar a
identidade própria das pessoas envolvidas numa transação de dados ou de valores.
Um certificado é apenas uma mensagem assinada digitalmente que contém
informações sobre o possuidor do certificado, bem como uma cópia da chave pública
do titular.
Quando um smart card envia dados para um terminal do cartão, este vai
construir um canal encriptado que utiliza a chave pública do terminal do cartão.
Antes de um certificado ser emitido a uma pessoa, a autoridade emissora
exigirá uma prova vinculativa sobre a identidade dessa pessoa. Quanto maior for o
grau de certificado emitido, maior será a garantia de que o destinatário tenha a
certeza que a pessoa realmente é quem diz ser.
3.2.5
Verificação
Quer para o proprietário de um smart card quer para o seu emissor, é uma
mais-valia que a identidade do titular do cartão seja confirmada antes de o cartão
ser utilizado. Quando nos encontramos fisicamente, usamos pistas visuais e verbais
para nos ajudar a reconhecer a outra pessoa. Nas comunicações eletrónicas, usamos
a tecnologia da criptografia de uma forma inequívoca, a fim de verificar se a outra
pessoa é quem realmente diz ser.
Código Pin
Um código de identificação pessoal (PIN) é geralmente um número de quatro
ou cinco dígitos, que acompanha um smart card e que deve ser memorizado pelo
titular do cartão. O PIN é armazenado de forma segura dentro do smart card de uma
forma que nunca pode ser lido a partir exterior.
O PIN pode ser atribuído e armazenado no cartão durante a personalização. O
programa de aplicação pode fornecer o código PIN de duas maneiras diferentes. Se o
utilizador tiver um leitor de smart cards conectado (por exemplo, um leitor de smart
cards com um teclado e visor), a aplicação pode perguntar ao leitor de smart cards
para exibir o prompt (símbolo que aparece no monitor para indicar que o computador
está pronto para receber um input) da password e assim aceitar a entrada do
utilizador. Se o utilizador tiver um leitor de smart cards simples ligado, o código PIN
pode ser inserido a partir do próprio programa e enviado para o leitor de smart
cards.
Página 14 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
Com a proliferação de aplicações de smart cards, as pessoas são obrigadas a
lembrar-se de mais e mais números PIN, pelo que a recente ênfase sobre medidas de
segurança giram em torno de técnicas de medição biométricas como um meio mais
seguro e confiável de identificar uma pessoa.
Biometria
Biometria é a ciência e tecnologia de medição de características biológicas
humanas para identificar inequivocamente um indivíduo dentro de um grupo de
pessoas. Uma das forças por trás do desenvolvimento da tecnologia de identificação
da biométrica é a relutância na comunidade de utilizadores para memorizar
passwords e números de passwords para identificação.
Algumas das características biológicas que são únicas de uma pessoa e que
podem ser de certa forma medidas são:

Assinatura

Impressão Digital

Impressão de voz

A geometria da mão

Retina dos olhos

Reconhecimento Facial
A análise de impressões digitais é baseada em relações matemáticas na
direção de pontos de corte através da minúcia, as linhas em seu dedo. Uma base de
dados pré-compilada vetorial pode ser armazenada no smart card pois os dados
contidos ocupam muito pouco espaço, entre 300-800 bytes. A impressão digital
digitalizada na estação biométrica pode ser matematicamente comparada para a
referência e uma estatisticamente boa correspondência de um indivíduo.
A geometria da mão é uma técnica biométrica que utiliza características do
tamanho e forma da mão da pessoa de forma exclusiva, destacando essa pessoa a
partir de um grupo. A velocidade de reconhecimento é relativamente rápida.
Autenticação Mútua
A aplicação do smart card e o próprio smart card são capazes de verificar a
identidade um do outro automaticamente quando o smart card é inserido num leitor.
Esta verificação automática é realizada sem a participação explícita do utilizador,
mas envolve os mesmos conceitos discutidos acima acerca dos códigos PIN.
Página 15 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
O processo de autenticação mútua realiza-se do seguinte modo: antes de
indivíduo 1 enviar todas as mensagens para o indivíduo 2, este envia um número
aleatório para o indivíduo 2. O indivíduo 2 criptografa o número aleatório usando a
chave DES que tinha previamente armazenado e manda o texto encriptado de volta
para o indivíduo 1. Este desencripta o texto encriptado. Se o número aleatório que o
indivíduo 1 decifrar for o mesmo que o número que foi enviado para o indivíduo 2,
então este sabe que o indivíduo 2 compartilha a mesma chave DES.
Página 16 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
4 Normas regentes dos smart cards
As normas existentes para os smart cards abrangem maioritariamente as
propriedades físicas, as características de comunicação e os identificadores de
aplicação do chip incorporado. Quase todos os padrões de referência são referentes à
norma ISO 7816-1,2 e 3, sendo esta uma referência basilar.
International Organization for Standardization (ISO 7816)
A ISO 7816 é a norma internacional de cartões de circuitos integrados,
também conhecidos como smart cards, que utilizam contactos elétricos, de cartões
que comunicam com leitores e terminais sem contacto, como acontece com a
tecnologia de frequência de rádio (RF/sem contacto).
As propriedades específicas da aplicação estão a ser debatidas entre grandes
organizações e grupos que propõem as suas próprias normas. Neste sentido, a
interoperabilidade dos cartões de sistema aberto deverá ser aplicável a vários níveis:

Para o próprio cartão

Terminais de cartão (leitores)

Redes

Sistemas emissores de cartões próprios.
As principais normas para smart cards são :

ISO / IEC 7816 é um padrão internacional de múltiplas partes divididas
em 15 partes. As partes 1, 2 e 3 lidam apenas com os smart cards de
contacto, definem os vários aspetos do cartão e suas interfaces, incluindo
as dimensões físicas do cartão, a interface elétrica e os protocolos de
comunicação. As partes 4, 5, 6, 8, 9, 11, 13 e 15 são relevantes para
todos os tipos de smart cards, pois definem a estrutura lógica do cartão
(arquivos e elementos de dados), os vários comandos usados pela
interface de programação de aplicações para uma básica utilização,
gestão de aplicações, verificação biométrica e serviços de criptografia. A
parte 10 é utilizada por cartões de memória e a parte 7 define uma
abordagem segura de base de dados relacionais para smart cards com
base em interfaces SQL.
Página 17 de 25
Ana Gavina
Hugo Oliveira

Smart Cards
ISO / IEC 14443 é uma norma internacional que define as interfaces para
a "proximidade" de smart cards sem contacto, incluindo a interface de
frequência de rádio (RF), a interface elétrica e as comunicações e
protocolos de anti-colisão.

ISO / IEC 15693 descreve as normas para os cartões sem contacto. Esta
estabelece mais especificamente as normas para as características físicas,
energia de rádio frequência, interface de sinal, protocolo de anti-colisão
e transmissão para cartões de proximidade, que funcionam no raio
máximo de 1 metro.

ISO / IEC 7501 descreve os padrões para os documentos de viagem
legíveis por máquina e faz uma recomendação sobre a topologia de um
smart card.
Europay, MasterCard and Visa (EMV)
Esta norma é um conjunto de três documentos que abrangem os aspetos
acerca do design dos smart cards, terminais de smart cards e aplicações de
débito/crédito.
O primeiro documento desta norma fala sobre a especificação do cartão,
tendo algumas semelhanças com os dois primeiros padrões da ISO 7816. Esta norma e
as partes 1 e 2 da ISO / IEC 7816, definem as mesmas características de smart cards,
de modo a que estes estejam em conformidade com uma especificação e que sejam
compatíveis com especificações de outros.
A especificação dos detalhes obrigatórios dos terminais e os requisitos
opcionais para terminais de cartões utilizados para as operações de cartão de crédito
incluem: caixas automáticas (ATMs), terminais remotos, terminais ativados pelo
titular, caixas registadoras eletrónicas, computadores pessoais e pontos de venda.
Além disso, esta abarca requisitos para:

Características físicas do terminal de cartões

Arquitetura de software

Segurança

Interface do titular do cartão

Interface do adquirente
O terceiro e último documento aborda a especificação das aplicações, define
os procedimentos necessários para se efetuar uma transação num sistema de
Página 18 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
pagamento num ambiente de intercâmbio internacional. Estes procedimentos
incluem:

Mapeamento de elementos de dados para arquivos

Fluxo de Transação

Processamento de exceção

Codificação de objetos de dados específicos descritos na especificação de
cartão
GSM
O padrão GSM é escrito em duas partes. A primeira parte, o CEN prETS
300509, descreve as características funcionais gerais da rede GSM. A segunda parte,
o CEN prETS 300608, abrange a interface e a estrutura dos ficheiros lógicos do SIM do
smart card.
O formato ID-000 surgiu devido ao facto do grau de miniaturização na
indústria telecomunicações móveis ter progredido de tal forma que o formato ID-1
tornava-se muito grande para se inserir num telemóvel. Este formato foi concebido
para uma manipulação mínima em que o módulo deve ser inserido e não mais
mexido, sendo a dimensão e formato derivados do tamanho do cartão ID-1.
A seguinte figura mostra a relação de tamanhos entre os SIM’s ID-000, ID-00 e
ID-1.
Figura 4 – Relação de tamanhos entre cartões SIM
Página 19 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
5 Leitores de smart cards
Os leitores de smart cards podem ser de formas diferentes e ter
características distintas. Podem ser de baixo custo ou de custo elevado, dispositivos
simples ou mais sofisticados, dispositivos de alta segurança com chaves criptográficas
ou de baixa segurança e podem até ser ou não programáveis.
Derivado do facto de existir aplicações de smart cards em quase todos os
segmentos do mercado, estes leitores têm de se manter atualizados de forma a
responder às diferentes necessidades de cada segmento.
A função básica de um leitor de smart cards é fornecer energia e um sinal de
sincronia, chamado de clock, direcionado para o smart card a fim de estabelecer um
elo de comunicação entre o próprio cartão e a aplicação.
Depois de termos investigado sobre esta temática percebemos que existem
bastantes categorias de leitores para este tipo de cartões. Assim sendo, optamos por
apenas mencionar os que consideramos mais pertinentes para este trabalho, devido
ao seu uso e conhecimento mais comum:

Leitores de baixo-custo

Leitores integrados/conectados ao PC

Leitores autónomos de uso geral

Leitores sem contato (proximidade)

Leitores eletrónicos portáteis
Leitores de baixo custo
Estes cartões têm um baixo custo e vêm apenas com um cabo para que seja
possível a conexão a um PC. A sua função é básica e, geralmente, os leitores não têm
um teclado (para introduzir um PIN por exemplo) ou um visor. O leitor é dependente
de uma aplicação no computador para o tratamento de todas as comunicações com o
cartão.
Uso comum: Home banking, compras em casa pela internet.
Página 20 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
Figura 5 – Leitor de baixo custo
Leitores integrados/conectados ao PC
Estes leitores são compactos e arquitetados para serem conectados a um PC
portátil ou de secretária. Existem várias opções possíveis para a ligação ao PC. Para
os portáteis, os leitores estão preparados para serem introduzidos na porta USB. Para
os PC de secretária, podem comprar-se teclados com um slot próprio para o cartão.
Uso comum: Controlos de acesso e testes.
Figura 6 – Leitor conectado ao PC
Leitores autónomos de uso geral
Estes terminais de cartão operam offline e tem as aplicações e os módulos de
segurança carregados na memória programável do leitor. Eles podem ter o acesso
dial-in a um sistema host com vista à atualização da lista de cartões ou ao download
de atualizações de software.
Uso comum: controlo de acesso e saúde.
Página 21 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
Figura 7 – Leitor autónomo
Leitores sem contacto (por proximidade)
Leitores sem contacto são utilizados principalmente para aplicações que
necessitam de uma alta taxa de transferência, tais como pagamentos de tarifas nos
transportes públicos. O leitor permite que o cartão seja operado a partir de uma
distância de 1 mm até vários centímetros. Devido ao desenvolvimento da tecnologia
integrada com um determinado cartão sem contacto e falta de padrões, estes
leitores podem só funcionar com um cartão especial de um fabricante.
Uso comum: Embarque numa companhia aérea, cobrança de tarifas automatizada,
acesso a alguns edifícios e locais exclusivos.
Figura 8 – Leitor sem contacto
Leitores eletrónicos portáteis
Estes leitores são arquitetados para suportar diversas formas de pagamento
alternativas ao dinheiro “vivo”, incluindo transferências de cartão para cartão.
Podem funcionar como um terminal offline, transferindo automaticamente o valor do
smart card de um cliente para o leitor de smart card da loja armazenado dentro do
terminal SAM (Application Security Module). Por exemplo, os clientes de um
Página 22 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
restaurante podem pagar as contas sem ter de ficar sem o seu cartão. Outras funções
possíveis incluem geralmente uma exibição do saldo, bloqueio/desbloqueio do cartão
e ainda a exibição das últimas transações efetuadas.
Uso comum: Lojas, restaurantes, aeroportos, táxis, transportes públicos, quiosques.
Figura 9 – Leitor eletrónico portátil
Página 23 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
6 Conclusão
Em primeiro lugar e antes de continuarmos com as considerações finais
propriamente ditas, adquiridas com a realização deste trabalho, é de ressalvar o
proveito que tiramos ao realizar este trabalho, uma vez que é um tema com bastante
relevância nos dias de hoje.
Neste sentido, foi uma mais-valia para nós o aprofundamento do tema, pois
podemos perceber todos os seus aspetos envolventes, desde o seu surgimento, às
suas características, assim como a sua evolução, que mostram como estes cartões são
uma ferramenta quase indispensável para as mais variadas atividades do dia-a-dia.
Desta forma podemos perceber a verdadeira importância e toda a envolvência
destes simples cartões utilizados, no sentido em que é tão natural a sua utilização no
dia-a-dia, que nem nos apercebemos de todas as operações e funções técnicas que
lhes estão associados e que fazem com que seja possível serem de tão fácil
utilização.
Conseguimos de uma forma geral compreender que tipos destes cartões
existem e perceber a forma como são constituídos. Um ponto-chave e primordial
neste trabalho foi a parte da segurança da informação contida nos smart cards, pois
foi possível verificar como são aplicados os seus principais princípios. Na política da
privacidade foi importante entender como a criptografia é de extrema importância,
nomeadamente no facto de permitir a segurança na transferência dos dados
efetuados pelos utilizadores do cartão. Foi também importante a referência às
assinaturas digitais pois, pelo facto de ser tema abordado nas aulas ao explorarmos
esse ponto neste trabalho conseguimos compreender a real relevância destas
assinaturas, reconhecendo que são sem sombra de dúvidas uma importante forma de
confirmação, através de métodos criptográficos, que somos realmente a pessoa que
está a mandar a mensagem para outra e não alguém que está a tentar passar por nós.
Por fim, abordamos algumas das mais importantes normas associadas a este
tipo de cartão, smart card, ficando a conhecer melhor toda a parte mais burocrática
e técnica dos smart cards. No último ponto do trabalho focamos alguns dos mais
importantes tipos de leitores para estes cartões, tendo sido de facto bastante
interessante perceber o quão distintos podem ser, bem como a sua aplicação nas
mais diversas e díspares áreas.
Página 24 de 25
Ana Gavina
Hugo Oliveira
Smart Cards
7 Referências Bibliográficas

RANKL, W.; EFFING, W. Smart Card Handbook. 2nd ed. John Wiley & Sons,
2000.

FERRARI, J. [et al.]. Smart Cards: A Case Study. 1st ed. North Carolina:
International Business Machines Corporation. Cop. 1998.

Smart Cards. Disponível em:
<http://www.smartcardalliance.org/pages/smart-cards>. Consultado em 8 de
Outubro de 2012

Smart Card Overview. Disponível em:
<http://www.smartcardbasics.com/smart-card-overview.html>. Consultado
em 10 de Novembro de 2012

ISO/IEC 7816, 2006 Cards and personal identification.
Página 25 de 25