Smartcard Basic´s
Eine Smartcard enthält einen manipulationssicheren Computer-Chip. Wenn es für die Sicherheit verwendet wird, kann dieser Chip halten und zu schützen verschiedene Typen von Anmeldeinformationen, die der Träger für die Authentifizierung verwenden können. Smart Card-Authentifizierung erfordert einen Kartenleser.
Smartcards, wie Token, wurden für starke Zwei-Faktor-Authentifizierung entwickelt. So zusätzlich zu klauen die Karte, um das Eigentum an der Anmeldeinformationen auf ihr enthaltenen beweisen - etwas, was er hat - der Besitzer hat in der Regel zu einer PIN oder Passwort eingeben - etwas, das er kennt.
Die Infrastruktur auf Smartcards unterstützen, müssen unter anderem ein Verfahren zur sicheren schreiben die Anmeldeinformationen auf die Karte, in der Regel einen dedizierten Computer und eine Anwendung mit Administrator-Zugriff auf den Server. Administrator Zugang ist oft mit einem "Mutter-Karte" versorgt.
Der Vorteil, dass Chipkarten haben über Tokens ist, dass der Speicher-Chip kann mehr Informationen enthalten:
separate Anmeldeinformationen für mehrere Anwendungen oder für verschiedene Authentifizierungsmethoden.
Geschichte der Smartcard
In der Geschichte der Chipkarte prägten zwei Erfinder mit ihren Patenten die Entwicklung der Chipkarte in der heutigen Form. Als erster reicht am 10. September 1969 der deutsche Erfinder Jürgen Dethloff zusammen mit Helmut Gröttrup seine Idee, in einen „Identifikanden einen speziellen integrierten Kreis einzubauen“, zum Patent ein. Der zweite Erfinder ist der Franzose Roland Moreno, der sein Patent 1975 anmeldet. Auf der Webseite des US Patent and Trademark Office ist es unter dem Datum 30. Mai 1978 registriert. Er beschreibt darin ein „unabhängiges, elektronisches Objekt, entwickelt für die Speicherung von vertraulichen Daten“, das den Zugriff nach der Eingabe eines „geheimen Codes“ (PIN) freigibt.
Kurzufassung
Die Smartcards entsprechen der Beschreibung im ISO7816 Standard. Die Smartcard ist eine so genannte asynchrone Ausführung im Scheckkartenformat. Diese Karten besitzen einen Mikroprozessor sowie einen EEPROM als Datenspeicher. Asynchron bedeutet, dass auf die im EEPROM der Karte gespeicherten Daten nur über den Mikroprozessor zugegriffen werden kann. Durch diesen Kontrollmechanismus sind die sensiblen Daten auf dem EEPROM der Karte vor fremden Zugriffen geschützt. Der Mikroprozessor enthält Kryptographische RSA- und DES- Einheiten, mit deren Hilfe chiffrierte, per Steuercode eingehende Daten, insbesondere neue Schlüssel, entschlüsselt im EEPROM abgelegt werden. Die Smartcard dient im CA-System als Dekodierkarte für die in den Steuercodes enthaltenen Daten und enthält mehrere Schlüssel:
- einen signierten Plain Master Key (PMK). Mit Hilfe dieses Schlüssels dechiffriert die Smartcard neue
- Service Keys
Üblich sind bis zu zehn Service Keys im EEPROM der Smartcard. Mit Hilfe eines gültigen Service Keys entschlüsselt der Mikroprozessor auf der Smartcard das Control Word für den CSA-Descrambler. Warum aber zehn Schlüssel, wenn doch ein einziger Service Key zum Entschlüsseln des Control Words genügt? Die Service Keys stellen konkret die primäre Berechtigung für einzelne Services dar (Ein gültiger Schlüssel berechtigt grundsätzlich zum Empfang eines Services (zum Entschlüsseln des Control Words), deshalb der Ausdruck Service Key). Ein Service bedeutet konkret ein einzelnes Programm oder eine Gruppe von Programmen eines Anbieters. Gibt es nur einen generischen Service Key zum Entschlüsseln aller Control Words, wären also entweder alle Programme eines Anbieters empfangbar oder gar keins, wenn der Schlüssel ungültig ist. Z.B. eine Technik wie Pay per view lässt sich damit nicht sinnvoll umsetzen, da hier der Service Key nur zur Laufzeit der vorbestellten Sendung gültig sein darf. Die Vergabe verschiedener Service Keys ermöglicht dem Anbieter erst, Programm-Pakete mit unterschiedlichem Umfang (und Preisen!) dem Kunden zur Verfügung zu stellen.
Smartcard Aufbau
martcards haben einen eigenen Prozessor mit RAM, ROM und EEPROM, der von außen mit einem Taktsignal versorgt wird. Das ROM beherbergt das Betriebssystem wie CardOS, TCOS oder andere. Das EEPROM ist der löschbare Festspeicher, auf dem die Anwendungsdaten und die Verschlüsselungs-Algorithmen gespeichert werden. Die im Speicher der Smartcards gespeicherten Daten können über entsprechende Lesegeräte ausgelesen und an andere Kommunikationseinrichtungen übertragen werden. Die Kommunikation erfolgt dabei meistens über UART, der aber durch die USB-Schnittstelle ersetzt werden soll. Als Übertragungsprotokoll dient das ATR-Protokoll (Answer to Reset).
Eine Smartcard stellt eigene Dienste zur Verfügung, von der Datenspeicherung bis zur Verschlüsselung. Die Spezifikation der Smartcard sind in dem Standard ISO 7816 festgeschrieben. Die Kommunikation mit dem Smartcard-Lesegerät erfolgt über goldbeschichtete Kontaktfelder. Für die Datenübertragung zwischen Chipkarte und Terminal gibt es entsprechende Übertragungsprotokolle, wie das byteorientierte Halbduplex-Protokoll T=0 und das blockorientierte T=1-Protokoll.
Die acht Kontaktfelder dienen der Zuführung der Versorgungsspannung, der Masse, dem Taktsignal und dem Reset sowie der Datenübertragung und der Programmierspannung. Diese wird durch Spannungsvervielfachung aus der Versorgungsspannung gewonnen. Dadurch können Angriffe verhindert werden, bei denen der Schreibvorgang durch eine Änderung der Programmierspannung manipuliert wird. Die Versorgungsspannung selbst ist in Klassen eingeteilt. Früher lag sie bei 5 V, entsprechend Class A; sie wurde auf 3 V, Class B und später auf 1,8 V, Class C abgesenkt. Eine weitere Senkung auf 1,2 V ist in Vorbereitung. Die maximale Stromstärke beträgt 10 mA. Das Taktsignal wird extern zugeführt und liegt zwischen 1 MHz und 8 MHz. Intern arbeiten manche Smartcards mit Taktraten von bis zu 15 MHz. Die Asynchron-Übertragung findet im Halbduplex mit einer Datenrate von 9.600 Baud oder mit einem festen Teilerverhältnis des Systemtaktes statt. Smartcards werden vornehmlich in den Bereichen E-Business und E-Commerce eingesetzt. Darüber hinaus können sie Funktionen der Authentifizierung und der Autorisierung erfüllen und damit den Zugang zu Automaten, Rechnern und Kommunikationseinrichtungen schaffen, so beispielsweise als Identifizierungskarte im Internet. Sie können als RSA-Karte für die Erstellung digitaler Unterschriften oder als SIM-Karte für GSM-Handys eingesetzt werden. Der Begriff Smartcard ist ein eingetragenes Warenzeichen der kanadischen Firma Groupmark.
Welche Smartcards gibt es ?
- IC Logic Smartcards
- Prozessor - Smartcards
- Rubbelkarten
IC Logic Smartcards (Speicherkarten):
Diese Smartcards sind generell "dumme" Karten, sie verarbeiten nur das , was man ihr beigebracht hat. Sie besteht aus einem Logic Baustein, der alle Befehle verarbeitet und diese mittels RAM/Eeprom ausarbeitet.
Sie wird dort eingesetzt wo es um simple Aktionen, wie z.B Parkdecks oder Telefonkarten geht.
Beispiel Solarium Karte:
Man läd z.B. 10€ auf die Karte ein Zeigeber in dem Lesegerät an der Tür einer solchen Kabiene hat einen Zeitgeber der weiss 5 Minuten 3,00€. Nun rennt die Uhr .... ihr seit fertig und dieser Betrag von 3,00 wird automatisch abgezogen und das Lese/Schreibgerät öffnet mittels PIN CODE die Karte und sagt "Benutzer 5 Minuten =3,00 und schreibt als Ausgabe REST = 7,00€ Guthaben. Mehr kann so eine Karte im wesentlichen nicht, sind halt Logic Bausteine auf der Karte. Man kann diese Bausteine auch in Taschenrechnern finden. In dem z.B. steht. 1+1=2. Es kann halt nur Basis Wissen verarbeitet werden. Auch Krankenversicherrungskarten zählen zu einfachen Speicherkarten.
Speicherplatz bis zu 256kb und mehr, je nach Hersteller, Kostenpunkt ab 2-20 Euro.
Sicherheit: Fast keine wird durch PKS gesichert (PIN EINGABE oder PASSWORTFUNKTION)
Prozessorkarten:
Sie unterscheiden sich wesentlich von Speicherkarten, da diese eine eigene CPU haben (MCU) die selbs Behfele verarbeiten kann und diese auch durch Cryptoprozessoren jagen kann und weiterverarbeiten kann.
Prozessorkarten haben ein I/O wie auch die Speicherkarten ein ROM ein RAM und einen Eeprom. Diese unterscheiden sich je nach Hersteller, es gibt diese ohne ROM oder mal mit ROM und ohne Eeprom.
Alle Daten werden über die CPU geleitet und dort schon meist verschlüsselt weiter gegeben. Auch die CPU selbst hat wesentlich mehr Befehle an Board wie eine Speicherkarte. Wärend man auf einer Speicherkarte 8-16 Befehle verarbeiten kann ist diese CPU sehr flexible, so das mehr als 8-16 Befehle verarbeitet werden können und das schneller als bei einer Logik- Schaltung.
Was interessant ist bei so einer Chipkarte kann man nicht direkt auf den Speicher zugreifen, alles wird durch die CPU geregelt, das heisst z.B. bei einer Firewall erstmal eine richtige Abfrage kommt, ob der Benutzer überhaupt berechtigt ist diese zu nutzen. Dafür kommt auch hier das PKCS (PIN) zum Einsatz. Vergleichweise ist eine Prozessorkarte nichts anderes als euer Heimischer PC, nur das euer Betriessystem Fenster heisst und das einer Smartkarte COS.
wie auch bei EUCH , gibt es hier auch verschiedene Systeme wie z.B. ACS was viel von dem Anbieter Irdeto genutzt wird. Man errinnere Betacrypt ACS1.6 - 3.4, heute ist es ACS 4.1 oder höher.
Zur Sicherheit so einer Prozessor Karte gehören von Haus aus schon DES - ECC - RSA und andere Applikationen für die Sicherheit.
Als kleinen Bonus haben viele deswegen einen Cryptoprozessor der es möglich macht die CPU selbst zu entlasten. Auch bei manchen gibt es einen Rundom Number Generator auf deutsch : Zahlengenerator der auch z.B. für die RSA System Schlüsselerzeugen kann.
Was haben die Karten gemeinsam?
Alle Karten haben die ISO 7816. Diese ISO Norm sagt uns um welchen Typen Karte es sich handelt.
ID1= 85,60 × 53,98 mm die normale Größe. ID000= Das klassische SIM Karten Format.
ISO 7816 sagt uns aber auch welche Protokolle verwendet werden. T1 ist das Block Protokoll. T0 ist das Byte Protokoll und und und..... PKSC Protokoll PKCS ? Wikipedia
Smartcard pairing
Unter Smartcard-Receiver-Verheiratung (engl. Pairing für Paarung) versteht man ein Festsetzen von einer bestimmten Smartcard zu einem bestimmten Empfangsgerät (Receiver). Nach der »Verheiratung« können die mit der Smartcard freischaltbaren Programme nur noch in Kombination mit dem jeweiligen Receiver empfangen werden und eine Benutzung der Smartcard mit weiteren Receivern ist nicht mehr möglich. Diese Methode wird unter anderem vom deutschen Bezahlfernsehsender Premiere bei den Abonnenten im Hotelgewerbe angewendet, um einen Diebstahl der Karten durch die Hotelgäste oder Personal zu verhindern. Des Weiteren ist ein Einsatz beim zukünftigen VoD-Dienst Premiere Direkt Plus vorgesehen, damit heruntergeladene und freigeschaltete Filme nicht an Dritte weitergegeben werden können und ein Überspielen auf den Computer nicht ermöglicht wird.
