SMART CARDS PUC-CAMPINAS Grupo 5 Helder Carnetta Nelson Relvas Wagner Ricardo

História dos Cartões Plásticos Inicialmente utilizados para identificação Uso para pagamentos em 1950 – Diners Club Segurança contra fraudes: - Caracteres em relevo e senha - Hologramas e micro impressão - Desenhos invisíveis – fibras fluorescentes - Assinatura

Cartões com tarja magnética Dados escritos eletronicamente Trilhas com dados diferenciados Inversões de fluxo correspondem a dados Aproximadamente 140 bytes armazenados Dados podem ser perdidos Segurança baixa

História dos Smart Cards 1974: Primeira patente – Roland Moreno 1981: Bull e Philips produzem cartão que atende as normas ISO Início dos anos 80: France Télecom usa cartões nos telefones públicos 1985: Cartões bancários são utilizados na França Desde 98 mais de 1 bilhão de cartões / ano

Smart Cards Vantagens sobre os magnéticos - Maior espaço de memória - Armazena informações secretas - Inteligência própria - Elimina a necessidade de enviar dados confidenciais nas linhas de comunicação

Arquitetura de Hardware & Software Tipos de Smart Card Contato físico Sem contato físico

Arquitetura de Hardware & Software Por contato físico Inserção do cartão na leitora Permitem a troca de dados entre ambos Sem Contato físico Conexão através de ondas eletromagnéticas Economia de tempo Não desgaste dos terminais do cartão

Características dos Smart Cards Custo Varia entre US$2.00 a US$10.00 Confiabilidade 10000 ciclos de leitura/escrita Atendem normas ISO Testes de torção, de flexibilidade, de desgaste, de concentração de carga, temperatura, umidade, eletricidade estática, ataque químico, ultravioleta, raios-x e testes de campo maginético

Características dos Smart Cards Correção de erros Sistema operacional do chip (COS – Current Chip Operation Systems) realiza seu próprio algoritmo O Sistema Operacional do terminal deve checar os 2 bytes de código de status que o COS retorna após receber o comando do terminal ( como definido na ISO 7816-4 e nos comandos proprietários

Características dos Smart Cards Capacidade de armazenamento Memórias EEPROM Capacidade de 8K – 128Kbit Segurança Altamente seguro Microprocessador e co-processador do chip suportam criptografia, autenticação e assinatura digital RSA 1024bits

Características dos Smart Cards Capacidade de processamento Cartões mais antigos usavam um micro-controlador de 8-bits com clock de 16MHz Cartões mais modernos utilizam um micro-controlador RISC de 32-bits, rodando a um clock de 25 a 32 MHz

Smart Cards Microprocessados Possui os principais elementos de um computador Sistema de Memórias ROM EEPROM RAM CPU RISC de 32bits Manipulam endereços de memória e registradores de entrada e saída Criptografia exige mais tempo de processamento. Canal de saída Serial e unidirecional 115200 bps

Elementos de um Smart Card VCC Fornece a energia ao Chip RST Ponto usado para enviar um sinal de reset ao microprocessador CLK Fornecer o sinal de Clock externo, a partir do qual sinal interno de Clock e de Clock é derivado GND Ponto usado como tensão de referência e o seu valor é considerado 0 volts VPP Ponto Opcional usado unicamente em cartões antigos I/O Ponto de contato usado para transferir  dados e comandos entre o Cartão  Inteligente e o mundo exterior, mas em modo Half- Duplex RFU Ponto reservado para um uso futuro

Processo de fabricação do Smart Card Processo de manufatura de um Smart Card em 8 etapas 1 Fabricação de milhares de chips em uma única pastilha de silício (wafer). Cada chip tem a forma de um quadrado de aproximadamente 5 mm de lado (25 mm2 de área, portanto). Esse modelo de chip é repetido até preencher toda a pastilha de silício (totalizando de 3000 a 4000 unidades por pastilha), num processo a vácuo, onde são depositados materiais extremamente puros no substrato de silício.

Processo de fabricação do Smart Card 2. Empacotamento dos chips individuais para inserção dentro do cartão. Quando a pastilha está completa, cada chip é testado para verificar se está operacional. Cada chip aprovado é identificado através de uma marca física antes de a pastilha ser particionada. Uma vez que isto acontece, o chip é preso a uma lâmina de contatos, que possui fios de baixíssima bitola que conectam os terminais do chip a regiões específicas da lâmina. O resultado dessa união é chamado tecnicamente de módulo.

Processo de fabricação do Smart Card 3. Fabricação do cartão. O cartão em si é feito em PVC (PolyVinyl Choride) ou em ABS (Acrylonitrile Butadiene Styrene). Em PVC é possível criar formas em alto-relevo, porém este material não é reciclável; o ABS não é modelável em alto-relevo mas é reciclável. O material do cartão é produzido em larga escala e em produções massivas para um determinado cliente, pode-se imprimir algo na superfície, como por exemplo logotipos.

Processo de fabricação do Smart Card 4. Inserção do chip no cartão. Preparados o chip e o molde de plástico, ambos são unidos através da cola do chip numa depressão feita no molde. Esta depressão é feita por desbaste ou derretimento do material e depois é embutida no módulo.

Processo de fabricação do Smart Card 5. Pré-personalização. A maioria das aplicações Smart Card requerem que certos programas ou arquivos sejam instalados em cada cartão, antes que o mesmo seja personalizado e entregue ao usuário. Isso é feito nesta etapa, na qual a preparação do software do cartão é feita através do conector de I/O na superfície do cartão. 6. Personalização. Este processo envolve a gravação de informações como nomes e números relacionados ao usuário. Isto usualmente também envolve a escrita do PIN (Personal Identification Number) na memória, número que identifica o usuário com o cartão. A personalização envolve ainda a manipulação física do cartão; figuras e informações como nome e endereço podem ser impressas em sua superfície. A impressão também pode ser feita em alto-relevo para permitir que a informação seja passada a outros tipos de mídia (por exemplo, impressão de recibos de cartão de crédito).

Processo de fabricação do Smart Card 7. Impressão no cartão. Esta etapa envolve a impressão gráfica e textual no Smart Card. A aparência do cartão geralmente reflete ambos estética e financeiramente o portador do cartão. Símbolos corporativos e logotipos constroem a imagem do portador e têm importante valor publicitário. Quando um cartão é utilizado na identificação pessoal, a foto da pessoa portadora juntamente com seu nome podem ser impressos. Em muitos cartões de propósito financeiro são impressos hologramas como mecanismos para evitar estelionato. Dependendo da informação a ser armazenada, vários processos de impressão podem ser empregados. Para cartões que possuem o mesmo design gráfico, como cartões telefônicos, a estampa pode ser feita antes da inserção do circuito integrado no molde; neste caso, a impressão é feita na manta plástica, antes de se extrair o molde. 8. Inicialização do programa contido no cartão. Finalmente são executados os programas que rodam no próprio cartão (se microprocessado), e, então, o Smart Card está disponível ao usuário final.

API – Application Programming Interface Especificação da plataforma Java Card 2.2.2  A tecnologia Java Card provê:   Ambiente seguro para aplicações Independência de fabricante do hardware Que múltiplos aplicativos estejam num só smart card Que dispositivos com limitações de memória e capacidade de processamento rodem aplicações complexas

API – Application Programming Interface Novas características no Java Card 2.2.2: APIs utilitária para TLV, BCD, short, int Gerenciamento de multiplas interfaces contact/contactless Suporte a mais de 20 portas lógicas Baseada na ISO7816 comprimento APDU suporte Adição dos algoritmos de criptografia: HMAC-MD5, HMAC-SHA1, SHA-256 e Korean Seed Assinatura com mensagem de recuperação Partial message digest API para acesso externo a memória

API – Application Programming Interface Características que continuaram da versão 2.2.1 Suporte aos antigos padrões de SIM cards Avançado gerenciamento de memória Fácil de projetar e desenvolver aplicações Completa compatibilidade com testes Últimos algoritmos de criptografica Compatibilidade com todas antigas versões

ISO 7816 ISO 7816 é a norma internacionalmente aceita para os cartões inteligentes. Ela é de uma família de padrões essencialmente para lidar com os aspectos de interoperabilidade de cartões inteligentes de comunicação características, propriedades físicas, aplicação e identificadores do chip implantado e dados. A família ISO 7816 inclui onze peças que estão em uma constante fluxo de estado como eles estão sujeitos a revisão e atualização.

ISO 7816-1 A norma ISO 7816-1 especifica as características físicas do cartão, que inclui:   Dimensões Radiação eletromagnética Estresse mecânico Localização do integrado IC no cartão Localização da pista magnética Resistência à eletricidade estática

ISO 7816-2 A norma ISO 7816-2 define a localização de contatos e dimensões. Ele também define o objetivo, localização e características elétricas dos contatos metálicos do cartão.

ISO 7816-3 A norma ISO 7816-3 é projetada para lidar com sinais eletrônicos e de transmissão protocolos. ISO 7816-3 específica os requisitos de tensão e de corrente elétrica a contatos que são os seguintes: Asynchronous half-duplex para transmissão protocolo (T = 0). Asynchronous meia duplex bloquear transmissão protocolo (T = 1). Cartões inteligentes que utilizam um protocolo proprietário para transmissão proceder à designação com ele. T = 14 inclui revisão do protocolo tipo de seleção.

ISO 7816-4 A norma ISO 7816-4 define o intercâmbio inter-comandos para a indústria do cartão de CPU.  Prevê a instalação de interoperabilidade entre os setores de prestação de segurança e de transmissão de dados dos cartões.   Define os comandos básicos para leitura, escrita e atualização do cartão de dados.

ISO 7816-5 A norma ISO 7816-5 trata de procedimento de registo Identificadores de Aplicação (AID) e o sistema de numeração. Define as normas para a Aplicação Identificadores que tem duas partes: Registrado Application Identifier Provider (RID), de cinco bytes que é único para o vendor. Um campo de tamanho variável de até 11 bytes EIRD que pode utilizar para identificar aplicações específicas.

ISO 7816-6 A norma ISO 7816-6 define o dispositivo de transferência física e dados operacionais.

ISO 7816-7 Structured Card Query Language (SCQL) específica o método padrão para manter e consultar o base de dados.

ISO 7816-8 Segurança, operação e comandos são padronizadas por este critério. ISO 7861-8 inclui os comandos para a gestão da segurança interna do cartão e podem incluir criptografia técnicas de gestão de segurança e outros métodos.

ISO 7816-9 A norma ISO 7816-9 inclui especificações para os comandos para o cartão de gestão. A seguir fornece o principal interesse desta norma: Descrição e codificação de atributos de segurança do cartão de objetos relacionados. Funções e sintaxe dos comandos adicionais inter-indústria. Descrição e codificação do ciclo de vida dos cartões e objetos relacionados. Elementos de dados associados com esses comandos. Mecanismo para o início de cartões de mensagens originado.

ISO 7816-10 A norma ISO 7816-10 foi concebida para resolver sinais elétricos e de sinais de reset síncrono de cartões. Ele inclui os seguintes: Sinal estruturas Potência Estrutura para a reposição do sinal que é enviado entre o CI e o cartão de interface dispositivo como um terminal

ISO 7816-11 A norma ISO 7816-11 se entende por identificação pessoal do utilizador. Ela pode utilizar métodos biométricos e de normas para a realização identificação pessoal.

JCRMI

Aplicações Identificação - Controle de acesso - Controle de ponto - Acesso à áreas restritas -Mais de 1 milhão de universitários nos Estados Unidos

Aplicações Saúde - Alemanha: 80 milhões de cartões emitidos (todo cidadão tem direito) - França: projeto Sésam Vitale espera emitir 10 milhões de cartões - Itália: Alzheimer Card controla os portadores do mal de Alzheimer - Comitê Europeu de Padronização de informações de saúde

Sésam Vitale Programa Nacional Francês Usado para: - Registrar os atendimentos - Autorizar os pagamentos dos honorários médicos - Solicitar exames

Cartão Saúde Repositório de dados relativos à saúde dos pacientes, e ferramenta para automatizar o atendimento ambulatorial Cartão do paciente - Identificação, registro de atendimentos, solicitação de exames, prescrição de receitas, registro de exames, entre outros Cartão do médico - Pode ler e gravar dados no cartão do paciente, através de identificação e chave de acesso e registrar o histórico dos relacionamentos com os pacientes.

Aplicações Telefonia - GSM: Cartão SIM, permite transferir dados nos telefones, armazenar agendas, mensagens, créditos Trânsito - Transporte público - Pagamento de pedágio - Estacionamento

Instituto Nacional de Tecnologia da Informação - ITI Chaveiro Eletrônico - Sistema que permite que o usuário assine e cifre e-mails e mensagens enviadas pelo correio eletrônico, além de possibilitar o acesso a funcionalidades dos navegadores de Internet, principalmente o Mozilla, quando esses demandarem serviços com certificação

Segurança Sistema simples de clonagem de cartões - Falhas de segurança - Quebra do sistema criptográfico Equipamentos - Hardware do chip - Caros - Pessoas especializadas DPA (Differential Power Analysis) - Através da análise da atividade elétrica do próprio chip Cartão SIM - Mais fácil de clonar - Na Ásia existem sistemas completos à venda

“Carders” Criminosos especializados em fraudes com cartões Sistemas e técnicas que capturam as senhas no momento que o usuário digita ou em sistemas onde possam estar armazenadas Atualmente o mecanismo mais utilizado é conhecido como “chupa-cabra”

Chupa-cabra Leitor de cartões feito artesanalmente Possui memória interna Armazena os dados das contas corrente

Operação Pen Drive Primeira vez no país que os “carders” conseguiram clonar os chips de segurança Técnica criada por um engenheiro no Paraná Chips são instalados nas máquinas - Recolhe informações dos cartões Os chips são recolhidos, e com as informações coletadas, os cartões são clonados

Bibliografia http://www.tech-faq.com/lang/pt/smart-card.shtml&usg=ALkJrhjmhCJnjmI9RjOKn7glLbuK6pKHfg acessado dia 20/08/2008 às 12:00 http://www.slideshare.net/igormedeiros/introduo-plataforma-java-card-presentation/ acessado dia 21/08/2008 às 12:00 http://books.google.com/books?hl=pt-BR&lr=&id=4WDj4H6pT50C&oi=fnd&pg=PR17&dq=java+card&ots=6jSh7Stj6d&sig=F3WGMHNY0wKG4FdaXk9k4-MAJV8#PPR19,M1 acessado dia 22/08/2008 às 20:00 http://developers.sun.com/learning/javaoneonline/2006/mobility/TS-9764.pdf acessado dia 01/09/2008 às 00:00 http://developers.sun.com/learning/javaoneonline/2008/pdf/TS-5940.pdf acessado dia 06/09/2008 às 00:00 http://www.igormedeiros.com.br/dev/Ambiente_Dev_Java_Card_Opensource.pdf acessado dia 15/09/2008 às 23:00 http://eletronicos.hsw.uol.com.br/joias-digitais3.htm acessado dia 20/09/2008 às 22:00 http://www.scribd.com/doc/2476981/Smart-Cards-a-Case-Study acessado dia 28/09/2008 às 12:00 http://www.javanoroeste.com.br/artigos/javacard.html acessado dia 28/09/2008 às 19:40 http://www.javanoroeste.com.br/artigos/iniciando_java_card_hello_world.html acessado dia 28/09/2008 às 19:30 http://www.javanoroeste.com.br/artigos/javacard_mercado_bra_rfid.pdf acessado dia 29/09/2008 às 20:00 http://www.gta.ufrj.br/grad/04_2/smartcard/ acessado dia 29/09/2008 às 20:00