Tehnoloģijas

INFORMĀCIJA UN TEHNOLOĢIJAS

ADI Pieejas kontroles un servisa nodaļa  specializējas dažādu elektronikas un identifikācijas karšu pielietojumu projektēšanā, izstrādāšanā un realizācijā, kā arī realizēto projektu uzturēšanā un servisa apkalpošanā.

Šajā sadaļā ietverta papildus informācija par mūsu izmantotajiem produktiem un tehnoloģijām, kas var palīdzēt precīzāk noformulēt Klienta vēlmes un prasības Sistēmu izstrādei.

Sadaļā ietverti papildus paskaidrojumi par:

  • ID (identifikācijas) karšu izgatavošanu, dažādu mašīnlasāmo elementu izmantošanu
  • bezkontakta karšu un integrālo shēmu uzbūvi, iespējām un izmantošanu
  • kontakta viedkartēm un atmiņas kartēm

ADI ir pieredzējis partneris dažāda veida dokumentu izgatavošanas sistēmu izstrādē, nepieciešamās aparatūras komplektēšanā un piegādē, datu bāzu risinājumos un sistēmu uzturēšanā.

Šodien vairs nav ērti ievietot karti lasītāja spraugā. Daudz ērtāk ir to vienkārši tuvināt lasītājam. To veic bezkontakta kartes. Izmantojot drošu bezkontakta viedkarti Mifare® kā elektronisko maciņu, ir izveidota slēpotāju pacēlāju izmantošanas apmaksas sistēma, virkne citu sistēmu.

Droša klientu un bankas informācijas saglabāšana,  elektroniskā nauda un elektroniskais maciņš, elektroniskā identitāte, piekļuve datu bāzēm un e-paraksts – nekas no augstāk minētā  nav iedomājams bez plastikāta kartē iestrādātas integrālās shēmas – viedkartes.

KARŠU TEHNOLOĢIJAS

Sadaļā ietverti papildus informācija par plastikāta  kartēm un tajās izmantotajiem mašīnlasāmajiem elementiem.

Plastikāta karte tiek veidota salaminējot vienā nedalāmā veselumā apdrukātas un caurspīdīgas PVC vai cita polimēru materiāla loksnes pie temperatūras, kura ir tuva polimera plastifikācijas temperatūrai un pie liela spiediena ar rūpniecisku aparatūru. Pēc kartes izciršanas ID-1 formātā tā atbilst ISO/IEC 7810 un ISO 10373 izvirzītajām prasībām. Ieteiktais kartes "dzīves laiks" ir līdz 5 gadiem.

Plastikāta karšu ražošanā un personalizācijā  specializējas mūsu meitas kompānija  ADI Kartes.

PLASTIKĀTA KARTE

Plastikāta kartes  uzbūve

Plastikāta karšu ražošanā izmanto t.s. "sendviča" metodi - zināma izmēra un biezuma baltas vai apdrukātas plastikāta (patlaban vēl joprojām dominē PVC) loksnes salaminē kopā, izmantojot augstu spiedienu un temperatūru. No salaminētās loksnes izcērt kartes, izmantojot standarta izmēram atbilstošu izcirtēju. Ja kartei nav paredzēts uzdrukāt mainīgo informāciju - personas datus, numerāciju, skenētu fotogrāfiju, parakstu utml., tad karte ir gatava !

Ja nepieciešams uzdrukāt mainīgo informāciju, t.i., karti personalizēt, tad izcirstās kartes apdrukā ar karšu apdrukas printeriem.

Zemāk redzamajā zīmējumā ir parādīta "sendviča" shēma. "Sendvičs" sastāv no 5 loksnēm :

1. un 5. loksne ir caurspīdīgas (transparentas). Ja karte ir ar magnētisko joslu, tad uz 5. loksnes zināmos, standartam atbilstošos attālumos atrodas magnētiskā lente.

2. loksne ir PVC loksne, balta vai arī tipogrāfiski apdrukāta no vienas puses.

3. loksne ir PVC loksne ("starploksne"), kura ir viscaur balta. Šī loksne veido kartes vidu jeb serdi.

4. loksne ir PVC loksne, balta vai arī tipogrāfiski apdrukāta no vienas puses.

 

 Kartes uzbūve Kartes uzbūve

 

 

 

 

 

Plastikāta karšu materiāli

PVC kartes

PVC, polivinilhlorīds, ir visplašāk lietotais karšu materiāls, kaut gan pret to izmantošanu iebilst vidi aizsargājošās organizācijas. Pasaulē karšu ražošanā izlieto ~ 0,26% no kopējā patērētā PVC. Citās jomās PVC plaši izmanto arī citās jomās - logu profilu, cauruļu, kabeļu izolācijas, grīdas segumu ražošanai.

PVC kimija

Priekšrocības:

  • Viegla un laba laminēšana
  • Viegla apstrādāšana
  • Viegla personalizācija ar reljefo druku un krāsu sublimācijas printeriem
  • Plašs krāsu spektrs
  • Zema cena, salīdzinot ar citiem karšu materiāliem
  • 30 gadu izmantošanas pieredze (VISA, MC/EC, EC-čeki, lielākā daļa telefona karšu, veselības apdrošināšanas kartes u.c.)

Trūkumi:

  • Zema temperatūras stabilitāte, apmēram 700C-800C
  • Ierobežots kartes "dzīves laiks", apmēram 3 gadi (sākotnēji PVC tika ieviests kā banku karšu materiāls, kuras parasti tiek mainītas katru gadu vai ik pēc diviem gadiem). Karti lietojot ne ekstremālos apstākļos, tā kalpo 5 un vairāk gadus.
  • Uz kartēs iestrādātajām integrālajām shēmām nelabvēlīgi var iedarboties tuvumā esošais atomārais hlors, sevišķi, ja tās paredzētas ilglaicīgai lietošanai (lai arī mikroshēma vēl papildus ir aizsargāta ar speciālu kompaundu)
  • Materiāls var izdalīt dioksīnu un vinilhlorīda monomēru, kuras ir kancerogēnas vielas. Materiāla ražošanā tiek izmantoti smagie metāli (kā stabilizatori)

Pēdējā laikā ir radīti vairāki PVC kopolimeri, kuri uzlabo tā īpašības. Piemēram, polivinilacetāts PVA nodrošina augstu viskozitāti un ļauj samazināt laminēšanas laiku, kā arī nodrošina stiprāku sasaisti starp karšu slāņiem.

ABS kartes

Akrilnitril-butadiena-stirēns jeb ABS ir visbiežāk lietotais stirēnu grupas karšu materiāls, gadījumos, kad integrālā shēma tiek ievietota kartē, tajā izfrēzējot speciālu ligzdu.

ABS Kimija

Laba temperatūras stabilitāte. Ir problēmas izgatavot kartes, kurās ofseta apdruka ir aizsargāta ar caurspīdīgu slāni, jo nav iespējams izgatavot caurspīdīgu ABS loksni (caurspīdīgajā materiālā veidojas pienainākas vietas). Labi laminējas. Pieļaujamā temperatūra 90 - 1000C, laba izturība pret triecieniem. Materiāla pašizmaksa ~1,5 reizes augstāka par PVC. Ir materiāla modifikācijas - tādas kā MBS (metakrilnitril-butadiena-stirēns).

Citi pielietojumi: automobiļu plastmasas detaļas, mājsaimniecības priekšmeti, elektrisko iekārtu korpusi.

Priekšrocības:

  • Liels t0 diapazons
  • Laba mehāniskā izturība
  • Viegla ražošana

Trūkumi:

  • Ierobežotas modificēšanas iespējas
  • Ierobežots "dzīves laiks" ~ 3 gadi
  • Apstrādājot ABS, ir iespējama kancerogēnā benzola izdalīšanās
  • Vajadzīgas speciālas lentes, lai personalizētu ar krāsu sublimācijas printeriem

PC kartes

Polikarbonātam jeb PC ir augsta mehāniskā (triecienu) izturība, ilgs "dzīves laiks" , labas optiskās īpašības un termiskā izturība līdz 1500C. Lieto kompaktdisku ražošanā, autorūpniecībā caurspīdīgo detaļu izgatavošanā, medicīnas piederumu ražošanā, elektrisko ierīču ražošanā.

PC kartes kimija

Priekšrocības:

  • Plašs t0 diapazons un stabilitāte
  • Augsta mehāniskā izturība
  • Ilgs "dzīves laiks"
  • Labas optiskās īpašības

Trūkumi:

  • Slikta izturība pret laušanu
  • Mazs modifikāciju skaits
  • Praktiski nav iespējams veikt reljefo druku un veikt karstspiedi (arī hologrammu iestrādāšanu).
  • Dārgs materiāls (~7-10 reizes dārgāks par PVC)
  • Problemātiski saglabāt labu apdruku, jo ofseta krāsām jāiztur 2000C, kuri ir nepieciešami kartes slāņu laminēšanai
  • Nav personalizējamas ar krāsu sublimācijas printeriem, jo PC ir nepolārs materiāls. Personalizācijai izmanto lāzergravēšanu

PETP kartes

Poliesteru grupas materiāli, gan kristāliska, gan amorfa veida, tiek plaši lietoti karšu ražošanā. Kristāliskais poliesters (polietilēna teraftalāts) sevišķi izceļas ar labu mehānisko un termisko stabilitāti - līdz 2000C.

PETP kartes kimija

Plaši lietots kā hologrammu pamatnes materiāls un kā magnētiskā materiāla nesējs magnētiskajās lentās. To praktiski nav iespējams laminēt un izgatavot daudzslāņu kartes. Koekstrudēts ar polietilēnu, tiek izmantots karšu vāciņu izgatavošanā.

Amorfais glikolizētais poliesteris, saukts PETG, kuru plaši pielieto pārtikas produktu iesaiņojumu izgatavošanai, arī tiek lietots karšu izgatavošanā. Eiropā kā karšu materiāls nav populārs. 

SVĪTRU KODA KARTES

Svītru kodi (Bar code), kuros zīmes ierakstam izmanto dažāda platuma svītru un tukšumu miju, tiek plaši pielietota preču marķēšanā. Svītru kodi tiek izmantoti arī lai identifikācijas kartes padarītu automatizēti nolasāmas. Lēta tehnoloģija, kur drošības apsvērumi nav dominējošie, piemēram, klienta identifikācijas programmās, darba laika uzskaites sistēmās u.c. parasti ir viegli kopējami. Ir vairāki svītru kodu veidi:

  • Lineārie kodi, kur visa informācija tiek ierakstīta vienā līnijā, piemēram, kods 2 no 5, kods 39, kods 128, EAN-13 utt.
  • Sakārtotie simbolu (stacked symbology) jeb vairākrindu (multi-row code) kodi, kuros ir vairāku lineāro svītru kodu sērija (jeb, var teikt arī, ka viena svītras vieta kodā, modulējot to pēc platuma, satur vairākas informācijas vienības). Lielāks ierakstāmās informācijas apjoms, bet sarežģītāka nolasīšana
  • Divu dimensiju svītru kodi, kuros viss koda aizņemtais laukums jāuztver kā viens vesels un tikai tad jāatšifrē. Nodrošina augstāku aizsardzības līmeni, jo bieži pats koda veidošanas algoritms ir slepens. Var ierakstīt vairākus kilobaitus informācijas. Piemēram, Latvijas Republikas pasēs  izmantotais PDF417 līdz ar tekstuālo informāciju  ļāva ierakstīt pases turētāja sejas attēlu

Lineāro kodu aizsardzībai bieži izmanto maskēšanu, kad kods tiek drukāts ar infrasarkanajos staros necaurspīdīgu krāsu un pēc tam pārklāts ar redzamā gaismā optiski necaurspīdīgu aizsargslāni, tādejādi novēršot iespēju to kopēt ar tradicionālajiem kopēšanas aparātiem. Lasītājs nozīmīgiem pielietojumiem - parasti infrasarkanās gaismas caurskata tipa. Vienkāršākiem pielietojumiem izmanto gaismas diožu (LED) vai lāzera apgaismojuma atstarotās gaismas lasītājus.

Lai arī arvien plašāku pielietojumu gūst EPC, svītru kodu kartes ir ērtas vietās, kurās izmanto preču svītru kodu lasīšanu.

STANDARTIZĀCIJA

Starptautiskie standarti, kas attiecas uz karšu izgatavošanu

ISO 7810 "Identification cards - Physical characteristics".

Starptautisks standarts, kas nosaka identifikācijas karšu fizikālos parametrus, ieskaitot kartes materiālu, konstrukciju, raksturlielumus un izmērus trijiem karšu veidiem (ID-1; ID-2; ID-3). Populārākais izmērs ir ID-1. Finansiālajiem pielietojumiem ID-1 kartes izmērs ir precizēts standartā ISO 7813.

ID-1 kartes izmēri:
Garums 85,47 mm - 85,72 mm
Platums 53,92 mm - 54,03 mm
Biezums 0,76 mm ± 0,08 mm
Stūra noapaļojuma rādiuss 3,18 mm

Standarts apraksta karšu fizikālo parametru pārbaudes metodes.

Jāpiebilst, ka attiecībā uz karšu izmēriem eksistē arī citi lokālas darbības standarti.

ISO 7811 "Identification cards - Recording techniques".

Standartā ir 6 sadaļas, un tas nosaka magnētiskās joslas pielietojumus un reljefo druku ("embossing" ) uz kartes.

  1. sadaļa - nosaka prasības reljefās drukas ("embossing") zīmēm, lai tās būtu piemērotas datu pārnesei un kopēšanai ar imprinteriem, vizuālai un automatizētai nolasīšanai.
  2. sadaļa - nosaka prasības magnētiskās joslas un celiņu novietojumam uz kartes, prasības pašai magnētiskajai joslai un zemas koercivitātes magnētiskajam materiālam, ieraksta tehnikai, ierakstāmo zīmju kopumam un ieraksta blīvumam tā, lai tie būtu piemēroti automatizētai nolasīšanai.
  3. sadaļa - nosaka reljefās drukas zīmju izvietojumu uz kartes; uz ID-1 kartes ir noteikti divu laukumu atrašanās vieta. Pirmais laukums ir paredzēts identifikācijas skaitlim, kas identificē kā kartes izdevēju, tā arī kartes turētāju. Otrais laukums paredzēts kartes turētāja datiem -, piemēram, vārdam, uzvārdam, adresei utt.
  4. sadaļa - nosaka 1.celiņa un 2.celiņa, kas pamatā ir paredzēti tikai nolasāmai informācijai, novietojumu uz kartes, ieraksta sākuma un beigu nosacījumus.
  5. sadaļa - nosaka 3.celiņa, kas paredzēts tikai nolasāmai un pārrakstāmai informācijai, novietojumu uz kartes, ieraksta sākuma un beigu nosacījumus.
  6. sadaļa - nosaka prasības augstas koercivitātes magnētiskajam materiālam.

ISO 7812 "Identification cards numbering system and registration procedure for issuer identifier".

Standarts nosaka ar kādiem nosacījumiem ir piešķirams un reģistrējams kartes identifikācijas numurs vai bankas konta numurs, ko veido 3 daļas: izdevēja identifikācijas numurs, individuālā konta identifikators un kontroles skaitlis.

ISO 7813 "Identification cards - financial transaction cards".

ISO 7816 "Identification cards -Integrated circuit(s) cards with contacts".

Standarts nosaka specifikāciju kartēm ar iebūvētu integrālo shēmu - čipkartēm, kuras elektriskie izvadi ir uz kartes virsmas. Ir vairākas sadaļas.

  1. sadaļa - nosaka kartes fizikālos parametrus un to pārbaudes metodes. Papildina un precizē ISO 7810 prasības, ja kartē tiek iebūvēta integrālā shēma. Kā papildus prasību piemērus var minēt:
    • izturību ultravioletajā gaismā
    • izturību pret rentgena starojumu
    • virsmas profilu pie kontaktiem
    • mehāniskās īpašības pie locīšanas
    • elektrisko kontaktu īpašības
    • elektrostatisko, magnētisko, elektromagnētisko lauku iedarbības sekas
  2. sadaļa - nosaka kontaktu novietojumu un izmērus.
  3. sadaļa - nosaka prasības elektriskajiem signāliem un datu pārraides protokoliem.
  4. sadaļa - definē vispārēja pielietojuma komandas datu apmaiņai starp karti un nolasītāju.
  5. sadaļa - nosaka karšu numurēšanas sistēmu un pielietojumu identifikācijas un reģistrēšanas procedūru.
  6. sadaļa - datu struktūru kartē.

ISO 10373 "Identification cards - Test methods".

Standarts nosaka fizikālo un citu parametru pārbaudes metodes.

ISO 10536 "Identification cards - Contactless integrated cirquit(s) cards".

Standarts nosaka karšu ar iebūvētu integrālo shēmu, kuras darbojas ar bezkontakta datu pārraides interfeisu, fizikālos parametrus , spoles izmērus un novietojumu, elektroniskos signālus un atgriešanas sākuma stāvoklī ("reset") procedūras.

ISO 11693, ISO 11694 "Identification cards - Optical memory cards".

Standarts definē optiskās kartes, to fizikālos parametrus, ieraksta metodes, optiskai nolasīšanai/ierakstīšanai paredzēto apgabalu novietojumu un izmērus, optiskās īpašības, loģisko datu struktūru.

ISO 14443 "Identification cards - Contactless integrated cirquit(s) cards".

Standarts papildina prasības bezkontakta darbības kartēm.

Ir vairāki standartu, kas arī attiecas uz identifikācijas kartēm to specifisku pielietojumu gadījumos, piemēram, banku kartēm, līdzīgi kā ISO 7813.

Standarti ir atrodami katrā nacionālajā standartizācijas iestādē. 

BEZKONTAKTA MAŠĪNLASĀMIE ELEMENTI

Sistēmas, kas izmanto no attāluma nolasāmas kartes – bezkontakta (contactless), "proximity" un NFC (Near Field Communications) kartes un attiecīgus lasītājus, ir ieguvušas popularitāti, galvenokārt, pateicoties lietošanas ērtībām. Karte nav jāievieto vai jāizvelk caur lasītāju, pietiek to tikai tuvināt lasītājam, turklāt tā var atrasties maciņā vai kabatā.

Kartē ir iebūvēta mikroshēma un spolītes veida antena. Parasti, ievietojot karti nolasītāja elektromagnētiskajā laukā, mikroshēma saņem barošanu no lauka, un var sākties datu apmaiņas process. Darbības attālums var būt no dažiem centimetriem līdz dažiem metriem (vicinity) darba frekvencēm līdz 13,56 MHz, gandrīz līdz 10 m dažām speciāla izpildījuma kartēm augstākās frekvencēs un vairāki desmiti metru aktīviem tagiem ar barošanu. Parasti karte nosūta nolasītajam kodu, kas ir ierakstīts mikroshēmā un nav maināms, un to izmanto vienkāršākās sistēmās, tai skaitā pieejas kontrolē. Sarežģītākas sistēmas veido ar kartēm (tagiem, piekariņiem, diskiem utt.) kurās informācija ir pārrakstāma (var nebūt pieejams viss atmiņas saturs), drošības nodrošināšanai izmanto kriptogrāfiskos risinājumus un kartes/lasītāja savstarpējo autentifikāciju. Šādu karšu piemērs ir Mifare® saime, Calypso kartes, kuras izmanto Rīgas sabiedriskajā transportā un citas.

BEZKONTAKTA KARTES PRINCIPS

Pasīvās bezkontakta kartes, saņemot lasītāja elektromagnētiskā lauka enerģiju, pēc kartē iebūvētās likumības, maina lasītāja lauka parametrus tādējādi nodod informāciju par karti. Vienkāršākajām kartēm pati karte automātiski atbild ar tajā ierakstīto informāciju. Sarežģītākām kartēm process var būt divvirzienu un karte atbild uz konkrēto lasītāja "jautājumu".

Bezkontakta kartes princips

Lasītāja lauku maina kartes antenas/kondensatora veidotā svārstību kontūra parametru izmaiņa. Var būt vairāki veidi kā to darīt - pieslēdzot stabilitronu, rezistoru, kondensatoru. Lasītāja lauka izmaiņas ir ļoti nelielas - ja spriegums lasītāja kontūrā sasniedz 100 V, tad kartes radītās lauka izmaiņas ir ar kārtu 100 mV.

BEZKONTAKTA KARTES UZBŪVE

Bezkontakta radiofrekvenču identifikācijas mikroshēmas ir sastopamas daudzos dažādos konstruktīvos izpildījumos, zemāk parādīti piemēri:

bezkontaktu kartes uzbuve

Bezkontakta karte ar kodinātu antenu:

Bezkontaktu karte

Mifare Classic mikroshēma ar antenu atslēgas piekariņa izpildījumā, tīta antena:

Mifare Classic

Divu bezkontakta interfeisu: 125 kHz HID (iekšējā antena) un 13,56 MHz iClass (ārējā antena) mikroshēmas ar antenām identifikācijas kartes izpildījumā. 

Bezkontakta karsu interfeis

HID 125 kHz karte clamshell izpildījumā.

HID 125 kHz karte

HID ProxPass 125 kHz aktīvā karte (ar barošanu) palielinātam darbības attālumam, parasti izmanto transporta kontroles risinājumos.

VIEDKARTES UN ATMIŅAS KARTES

Modernās kriptogrāfijas izmantošana un jaudīgs interfeiss sakariem ar pārējo “pasauli” padara viedkarti par teicamu rīku dažādu sistēmu drošības garantēšanai. Var izdalīt 3 galvenos viedkaršu izmantošanas virzienus:

  • drošs datu nesējs aizsargājamai informācijai
  • identifikācija
  • elektronisko maciņu pielietojumi

Papildus jāpiemin viens no visplašākajiem viedkaršu pielietojumiem – GSM mobilo telefonu SIM (subscriber identification module) kartes, kas izmanto procesoru viedkartes, bet kartes operacionālās sistēmas nodrošina specifisku standartu izpildi.

Drošs datu nesējs

Viedkartēs izmantoto procesoru arhitektūra un kartes operacionālās sistēmas tiek speciāli veidotas, lai piekļūšanu aizsargājamiem datiem nodrošinātu tikai autorizētiem lietotājiem. Viedkartes ir ideāli piemērotas medicīniskās informācijas glabāšanai un citai informācijai, kura ir nepieciešama personīgai lietošanai, bet kuru nav paredzēts publiskot. Informācijas fails var tikt aizsargāts ar kriptogrāfijas metodēm, PIN kodiem, biometriskajiem datiem.

Viedkartes tiek plaši izmantotas ne tikai kā lietotāja konfigurējams fails, bet arī kā kādas izdevējiestādes, piemēram valsts iestādes, veidots fails, kura dati pēc kartes izdošanas tiek aizsargāti pret to falsifikāciju. Pasaulē aizvien plašāk nacionālās identifikācijas kartēs tiek izmantotas viedkartes, tā nodrošinot to ievērojami augstāku aizsardzību pret viltošanu.

Elektroniskā paraksta ieviešana un izmantošana prasa privātās atslēgas drošu saglabāšanu. Tikai tad var runāt par drošu elektronisko parakstu. Viedkarte ir ideāla vieta privātās atslēgas glabāšanai un paraksta operācijas veikšanai tieši kartē. Tādā gadījumā nav darbību, kuru rezultātā privātā atslēga parādās ārpus kartes. Standarts ISO7816-8 nosaka, ka ne tikai paraksta funkcijai, bet arī Hash funkcijas pēdējam ciklam ir jāizpildās tieši kartē. Elektroniskā paraksta izpilde tiek veikta tikai pēc lietotāja identifikācijas, parasti izmantojot PIN kodu.

Modernākās viedkartes, kuras satur speciālu kriptogrāfisko līdzprocesoru, veic atslēgu pāra ģenerēšanu tieši kartē, eksportējot atslēgas publisko daļu.

Identifikācija

Mūsdienu pasaulē, kur aizvien plašāk izmanto dažādus sakaru kanālus, tajā skaitā potenciāli nedrošus, partneru savstarpējā identifikācija ir ļoti aktuāla.

Karti var identificēt, izmantojot tās unikālos datus, bet dinamiskās autentifikācijas un kartē iebūvēto kriptogrāfijas funkciju izmantošana nodrošina visaugstāko ticamības līmeni. Iespējas izmantot dažādus identifikācijas līmeņus nodrošina plašu funkcionalitāti un vienlaicīgi arī sistēmas ātrdarbību. Šādi līmeņi var būt:

  • Kartes numura pārbaude masveida izmantošanai, piemēram, lai atļautu ieeju rūpnīcas teritorijā
  • Simetriskās autentifikācijas izmantošana, piemēram, lai iekļūtu biroja telpā
  • Asimetriskās dinamiskās autentifikācijas un lietotāja PIN koda pārbaude piekļūšanai serveriem.

Elektroniskā maciņa pielietojumi

Elektroniskā maciņa pielietojumi ir sarežģītāki par datu nesēju pielietojumiem, turklāt tie obligāti izmanto autentifikācijas funkciju. Elektroniskā maciņa kartes glabā norēķinu bilanci – naudas izteiksmē, kā arī vairākus pēdējos transakciju reģistrācijas failus. Kad banka ir uzlādējusi naudu kartē, tā ir gatava darbam. Tirgotājs var debetēt karti par pirkuma summu tikai pēc kartes un termināla savstarpējās autentifikācijas. Autentifikācijai izmanto kriptogrāfijas līdzekļus. Kartes bilance tiek izmainīta, transakcija saglabāta reģistrācijas failā, kas nav izmaināms no ārpuses. Tirgotājs, piestādot transakciju apstiprinājumu, saņem naudu no elektroniskā maciņa izdevējas bankas. Tipiska elektroniskā maciņa shēma izmanto speciālas tirgotāja viedkartes, kurās tiek uzkrāta saņemtā nauda un veikta transakciju reģistrācija, bet ne vienmēr parastās plastikāta kartes izskatā.

ATMIŅAS KARTE AR DROŠĪBAS MODULI

Identifikācijas karte ar atmiņas mikroshēmu SLE 4442

Kartē iestrādāta 256 baitu EEPROM ("Electrically Erasable Programmable Read-Only Memory") ar ieraksta aizsardzības funkciju, mikroshēmas (čipa) izgatavotājs Siemens, nosaukums SLE 4442 un uzlabotais variants SLE 5542

Mikroshēmas īpašības:

  • 256 x 8 bitu EEPROM atmiņas organizācija
  • baitu adresācija
  • nemaināma ieraksta aizsardzība jaunākajām 32 adresēm (baiti 0…31)
  • 32 x 1 bits aizsardzības atmiņas vadība
  • inicializācijas atbilde (ATR - "Answer To Reset") saskaņā ar ISO standartu 7816-3
  • baita programmēšanas laiks 2,5 m sek. (kopā dzēšanai un ierakstam)
  • ieraksta/dzēšanas cikli - 104 (minimums)
  • datu saglabāšana 10 gadi (minimums)
  • kontaktu konfigurācija un virknes interfeiss saskaņā ar ISO standartu 7816 sinhrono protokolu
  • datus var mainīt tikai ievadot pareizu 3-baitu Programmēšanas aizsardzības kodu (PSC - "Programmable Security Code").
  • PSC ievades kļūdu skaitītājs.

 

Atminas karte ar drosibas moduli

 Mikroshēma SLE 4442 sastāv no 256 x 8 bitu EEPROM pamatatmiņas datu glabāšanai, 32  bitu tikai ierakstāmas aizsardzības atmiņas (PROM) un drošības loģikas, kas vada ieraksta/dzēšanas darbības datu atmiņā.

Pamatatmiņa tiek nodzēsta un ierakstīta, adresējot baitu pēc baita.

Katrs no pirmajiem 32 baitiem var tikt aizsargāts pret datu izmaiņu, ierakstot tam atbilstošo bitu aizsardzības atmiņā PROM. Katrs datu baits šajā adresu daļā ir saistīts ar vienu bitu aizsardzības atmiņā un tam ir tāds pats kārtas numurs kā datu baitam pamatatmiņā. Vienreiz ierakstīts, šis bits aizsardzības atmiņā nevar tikt nodzēsts, tādējādi, dati nevar tikt pārrakstīti.

Atmiņas dati, izņemot 3 PSC baitus, var tikt nolasīti. Tikai pēc pareiza PSC koda ievades tiek atļautas ieraksta/dzēšanas darbības (arī PSC) līdz barošanas atslēgšanai. Pēc trijām secīgām neveiksmīgām PSC ievadēm, kļūdu skaitītājs neatgriezeniski bloķē tālākos mēģinājumus un aizliedz jebkuru iespēju veikt datu ierakstu un dzēšanu. Ja kļūdu skaitītājs nav pārpildīts, pēc pareizas PSC ievades kļūdu skaitītājs atgriežas nulles stāvoklī.

Papildus aizsardzība - mikroshēmu izgatavotājs (Siemens), nosūtot mikroshēmas karšu izgatavotājam vai pielietojuma izstrādātājam, speciāli paredzētās vietās (pirmajos 32 baitos) ieraksta noteiktus kodus - ICM ("Integrated Circuit Manufacturer ID") un ICT ("Integrated Circuit Type"), kas raksturo mikroshēmas izgatavotāju un tipu, kā arī AID ("Aplication Identifier") - Pielietotāja reģistrācijas numuru.

Mikroshēmas darba temperatūras no - 400C līdz 1250C.

Barošanas spriegums 5 V, patērētā strāva 3 mA (max. 10 mA)

Karte ar mikroshēmu SLE 4442 uzskatāma par vienu no vienkāršākajiem automatizēti nolasāmajiem datu nesējiem. Ierakstāmo datu apjoms nav liels, lai gan ir lielāks nekā magnētiskās lentes lentes kartē. Tajā pašā laikā ierakstītie dati kartē ir aizsargāti pret pārrakstīšanu, ko parastā magnētiskās joslas karte nenodrošina. Tā kā mikroshēmas izmaksas ir nelielas (bet lielākas kā magnētiskās joslas kartēm), kā arī čipkartes nolasītāji ir ievērojami lētāki, salīdzinot ar magnētiskās lentes karšu nolasītājiem, un tajos ir viegli veikt ne tikai informācijas nolasīšanu, bet arī pārrakstīšanu, šādu karšu izmantošanai automatizētas informācijas nolasīšanas un apstrādes sistēmās ir priekšrocības, salīdzinot ar citiem datu nesējiem.

Kopējais lietotājam izmantojamo datu apjoms 1792 biti. Salīdzinājumam, kartē ar magnētisko lentu var ierakstīt 1288 bitus. Salīdzinot ierakstāmās burtzīmes, starpība vairs nav tik liela, jo magnētiskās joslas kartēs lieto specifiskas kodēšanas metodes, kas gan samazina iespējamo burtzīmju variantu skaitu, bet palielina ierakstāmo burtzīmju skaitu līdz 226. Mikroshēmā SLE 4442 atmiņas organizācija pa baitiem ir veidota tā, lai tas ir izdevīgi (bet ne obligāti) izmantot standarta kodu tabulu un iegūt vienā baitā 255 dažādas burtzīmes (tajā skaitā arī latviešu valodas burtus) un nodrošināt informācijas glabāšanas unifikāciju ar standarta PC, bet ierakstāmo burtzīmju skaits ir 224.

Lai palielinātu ierakstāmās informācijas apjomu, ļoti bieži var veikt informācijas formalizāciju. Piemērs formalizācijai - apdzīvoto vietu (līdz pagasta līmenim) kodi. Salīdzinājums, cik aizņem neformalizēts ieraksts un cik formalizēts:

Kods

Nosaukums

Līmenis

Nosaukuma baitu skaits

Koda baitu skaits

3200

AIZKRAUKLES

rajons

11

2

3201

AIZKRAUKLE

pilsēta

10

2

3207

JAUNJELGAVA

pilsēta

11

2

3213

PĻAVIŅAS

pilsēta

8

2

3242

AIVIEKSTES

pagasts

10

2

3244

AIZKRAUKLES

pagasts

11

2

3246

BEBRU

pagasts

5

2

Piezīme. Desmitnieka skaitīšanas sistēmas cipara attēlošanai bināri decimālajā kodā pietiek ar 4 bitiem (1/2 baita).

SLE 4428

Kartē iestrādāta 1024 baitu EEPROM ar ieraksta aizsardzības funkciju, mikroshēmas (čipa) izgatavotājs Siemens, nosaukums SLE 4428

Mikroshēmas īpašības:

  • 1024 x 8 bitu EEPROM atmiņas organizācija
  • baitu adresācija
  • jebkuru no 1024 baitiem iespējams neatgriezeniski aizsargāt pret pārrakstīšanu
  • inicializācijas atbilde (ATR) saskaņā ar ISO standartu 7816-3
  • baita programmēšanas laiks 5 msek. (kopā dzēšanai un ierakstam)
  • ieraksta/dzēšanas cikli - 104 (minimums)
  • datu saglabāšana 10 gadi (minimums)
  • kontaktu konfigurācija un virknes interfeiss saskaņā ar ISO standarta 7816 sinhrono protokolu
  • datus var izmainīt, ievadot pareizu 16-bitu (2 baitu) Programmēšanas aizsardzības kodu
  • PSC ievades kļūdu skaitītājs.

Pielietojumi

Identifikācijas kartes

Līdztekus kartes vizuālajai personalizācijai, čipā var tikt ierakstīta dublējoša informācija, kā arī papildus informācija. Nolasīt informāciju (izņemot PSC kodu) var praktiski jebkurš, izmainīt - tikai zinot PSC kodu. Tā kā ir tikai 3 mēģinājumi ieraksta atšifrēšanai (iespējamās kombinācijas: SLE 4428 - 65 536, SLE 4442 - 16 777 216), tad dati ir droši aizsargāti pret to nesankcionētu izmainīšanu.

Elektroniskā identifikācija

Kartes čipā ierakstītā informācija, kartes nelielās izmaksas (salīdzinot ar procesoru kartēm), lētie nolasītāji ļauj ideāli izmantot šādas kartes automatizētai identifikācijai un automatizētai datu apstrādei. Viens no plašākajiem pielietojumiem - Vācijas obligātās veselības apdrošināšanas kartes. Tajās tiek pielietota mikroshēma SLE4432 - tāda pati kā SLE 4442, tikai bez drošības loģikas. Kartē tiek ierakstīti pacienta administratīvi personīgie dati, valsts sociālās apdrošināšanas iestādes nosaukums un numurs, pacienta biedra kartes numurs. Galvenais ekonomiskais ieguvums - ievērojami samazināta papīra atskaišu plūsma, to aizpildīšanai patērētais darbs, paaugstināta datu ticamība.

Pieejas kontroles sistēmu kartes

Izmantojot mikroshēmā ierakstāmu informāciju un mikroshēmas izgatavotāja pirmajos 32 baitos ierakstīto informāciju (ICM, ICT, AID, ICCF) kartes var izmantot kā piekļuves koda nesēju pieejas kontroles sistēmās.

Elektroniskā maciņa kartes

Izmantojot īpašību, ka ieraksts mikroshēmā tiek atļauts tikai ar kodu, karti var izmantot elektronisku norēķinu veikšanai, kā vienreiz uzlādētu, tā arī atkārtoti uzlādējamu. Ņemot vērā kartes nelielo cenu, tā ir īpaši izdevīga nelielu maksājumu veikšanai. Plaši tiek lietota kā iepriekš apmaksāta karte auto stāvvietu pakalpojumu apmaksai.

Elektroniskās biļetes

Tāpat kā elektroniskā maciņa kartes, piemērotas daudzu vienveidīgu maksājumu veikšanai.

Abonenta kartes

Pastāv iespēja pārrakstīt (papildināt) kartē ierakstāmo informāciju, piemērotas dažāda veida abonementu apkalpošanai.

Biedru kartes

Identifikācijas kartes pielietojums kā dažādu organizāciju biedra karte, ar iespēju papildināt un izmainīt datus, automatizēt balsošanas procedūras utt.

Klientu piesaistes kartes

Viegli izveidot klientu piesaistes sistēmu, kuras pamatelements ir "bonus" punktu krāšana. Nav nepieciešams krāt punktus kopējā datu bāzē un veidot sakaru sistēmas datu apmaiņai, jo karte ir droši aizsargāta pret tās nesankcionētu pārrakstīšanu, un tādejādi, var izmantot "sadalītas datu bāzes principu", kad savāktie punkti vienmēr ir kopā ar klientu. Var veidot uz PC datora bāzētas sistēmas, kā arī sistēmas ar atsevišķi funkcionējošiem termināliem. 

VIEDKARTES ARHITEKTŪRA

Viedkartes funkcionalitāti nosaka iebūvētā mikroshēma. Ņemot vērā to, ka kartei ir jāiztur mehāniska locīšana, mikroshēmas kristāls nedrīkst būt lielāks par 5 x 5 mm jeb 25 mm2.  Kristāla izmērs lielā mērā ierobežo mikroshēmas sarežģītību, ko nosaka uz tā izvietoto elementu skaits.

Viedkartēs (smart cards), atšķirībā no citām kartēm ar mikroshēmu, tiek izmantots mikrokontrolers ar maināmu programmatūru. Tā ir ierīce, kur uz viena kristāla atrodas centrālais procesors CPU, pamatsistēmas lasāmatmiņa ROM programmas kodu glabāšanai, operatīvā atmiņa RAM skaitļošanas starprezultātu uzglabāšanai un energoneatkarīga atmiņa EEPROM lietojumprogrammas koda un datu glabāšanai. Papildus uz tā paša kristāla var tikt izvietotas specializētas iekārtas kā kriptoprocesors specializētu operāciju veikšanai, iekārta ievades-izvades operāciju organizēšanai, atmiņas vadības iekārta un citas. Tas, ka visas iekārtas atrodas uz viena kristāla, ievērojami palielina viedkartes drošību, jo praktiski nav iespējams nolasīt mikrokontrollera iekšējos signālus. Sevišķi būtiski tas ir kriptogrāfisko operāciju izpildē, jo neļauj atklāt šifrēšanas atslēgas.

Mikrokontrollera svarīgākā sastāvdaļa ir centrālais procesors CPU (Central Processing Unit), kas nodrošina programmas kodu interpretāciju, izpilda saņemtās instrukcijas, vada pārējos blokus, veic datu loģisko un aritmētisko apstrādi.

Procesora īpašības nosaka tā izveidojums. Būtiski elementi, kas tos atšķir, ir:

  • datu kopnes platums. Pirmajos viedkartēs izmantotajos procesoros bija 8 bitu datu kopne, šodien visplašāk tiek lietoti procesori ar 16 bitu kopni, jaunākajos izstrādājumos izmanto 32 bitu kopni. Kopnes platums norāda, cik lielu datu apjomu – 1, 2 vai 4 baitus var apstrādāt vienā ciklā.
  • instrukciju izpildes kārtību. Pirmie viedkaršu procesori izmantoja CISC (Complex Instruction Set Computer) struktūru, kad vienas komandas izpilde var aizņemt vairākus ciklus, kā arī ir iespējami dažādi atmiņas adresācijas veidi. Šodien arvien plašāku pielietojumu gūst RISC (Reduced Instruction Set Computer) struktūra, kad visām instrukcijām ir vienāds formāts un tās tiek izpildītas vienā ciklā, tādejādi nodrošinot lielāku ātrdarbību.
  • takts frekvenci, ko nodrošina iekšējais takts ģenerators. Pirmo viedkaršu procesoru takts frekvence ir 3,5 MHz, modernāko – 60 MHz. Takts frekvence un taktu skaits vienā darba ciklā (vienā ciklā parasti izpilda vienu instrukciju) nosaka ātrdarbību. Neatkarīgi no takts frekvences, sakari ar ārpasauli caur ievades/izvades portiem (kontaktiem) ir standartizēti un notiek relatīvi lēni.
  • programmēšanas valodu. Procesors saprot un izpilda mašīnkodus, kad katrai kodu kombinācijai atbilst noteikta darbības instrukcija. Vistiešākais mašīnkodu pieraksts tiek veikts Asamblera valodā. Sākotnēji tika izmantoti procesori, kuros pilnībā vai daļēji izmantoja mašīnkodus no pasaulē populārākajām procesoru saimēm – 8051, oriģinālā Intel produkts, procesorus viedkartēm ražo Philips, Siemens u.c.; 6805, oriģinālā Motorola, procesorus viedkartēm ražo Motorola, SGS-Thompson u.c. Ir sastopami arī specifiski viedkaršu procesori, piemēram Hitachi izpildījumā. Sakarā ar pāreju uz RISC procesoriem, tiek izmantotas daudzas mašīnkodu sistēmas, bet pamatā viedkaršu procesori atkārto konkrētā ražotāja vispārēja pielietojuma procesoru saimes mašīnkodu sistēmas (ar viedkartēm specifiskiem izņēmumiem un/vai papildinājumiem).

Lasāmatmiņa ROM (Read Only Memory) ir ar fotolitogrāfisku masku programmējama atmiņa (pusvadītāja kristāla rūpnieciskās izgatavošanas laikā). ROM tiek ierakstīti kartes operacionālās sistēmas (COS) kodi: pārraides protokolu nodrošināšanai , ISO komandu izpildei, kriptogrāfisko operāciju funkciju izpildei, programmu bibliotēkas, – tie ir kopēji lielam skaitam mikroshēmu. ROM kodu maiņai (piemēram, funkcionalitātes maiņa vai atrastu kļūdu labošana) nepieciešama jaunas maskas izgatavošanu, kas prasa mēnešiem ilgu laiku.  Tādēļ pielietojumiem, kuros karšu skaits nav liels, ir izdevīgāk izmantot aprobētas ROM ierakstītas karšu operacionālās sistēmas ar daudzām apgrozībā esošām kartēm,  kurām jau ir izstrādātas un pārbaudītas daudzas lietojumprogrammas, piemēram GlobalPlatform specifikācijai atbilstošo Java Card.

ROM nesatur sistēmai vai lietojumprogrammai specifiskus datus, piemēram šifrēšanas atslēgas, kuras tiek glabātas energoneatkarīgā atmiņā. No otras puses, tā kā viena lasāmatmiņas šūna aizņem ļoti maz vietas uz kristāla, ir izdevīgi maksimāli daudz programmas kodu izvietot tieši ROM.

Operatīvā atmiņa RAM (Random Access Memory) ir ļoti ātra un paredzēta programmas kodu izpildes starprezultātu īslaicīgai uzglabāšanai. Ieraksts RAM ir 1000 un vairāk reizes ātrāks par ierakstu energoneatkarīgā atmiņā. Jo vairāk datu var uzglabāt RAM, jo procesors var ātrāk izpildīt lietojumprogrammas. RAM saturs pazūd, izslēdzot mikroshēmas barošanu. Viena RAM šūna (viena bita glabāšanai) aizņem ~16 reizes lielāku pusvadītāja kristāla laukumu nekā atbilstoša šūna ROM, laukuma ekonomijas nolūkā parasti atmiņas apjoms nav lielāks par 1 Kbaitu, tipiski 256 baiti.

Energoneatkarīgā atmiņa ir paredzēta pašas lietojumprogrammas un kartes datu glabāšanai, to skaitā, šifra atslēgu uzglabāšanai. Viedkartēs visplašāk tiek izmantota EEPROM (Electrically Erasable Programmable Read Only Memory), dažās tiek izmantota Flash EEPROM (digitālajos fotoaparātos visbiežāk lietotā atmiņa). Dati atmiņā saglabājas pēc barošanas izslēgšanas, tipiskais datu saglabāšanas laiks ir 10 gadi. EEPROM ir ierobežots dzēšanas/ieraksta ciklu skaits, parasti 100 000, bet tas ir pietiekošs normālam kartes dzīves laikam. EEPROM ierakstam ir nepieciešams paaugstināts barošanas spriegums (līdz pat 18 V), šodien visām viedkartēm programmēšanas spriegumu iegūst kartes iekšienē un tas nav jāpievada no ārpuses. EEPROM šūna aizņem ~4 reizes lielāku kristāla laukumu kā ROM šūna.

CPU, ROM, RAM un EEPROM ir jebkuras viedkartes mikrokontrollerī, bet papildus var būt ierīces, kuras nodrošina paaugstinātu drošību un lielāku ātrdarbību.

Piemērs - mikroshēma SLE88CX720P

Mikroshema SLE88CX720P

  • Mikroshēmas SLE88CX720P pamats ir 32 bitu datu kopnes RISC procesors, kas izgatavots 0.22 µm CMOS (Complementary Metal-Oxide Semiconductor) tehnoloģijā un satur atmiņas vadības un aizsardzības ierīci MMU (Memory Management Unit). MMU kalpo kā aparatūras veidā realizēta ugunsmūris un veic drošu lietojumprogrammu kodu un datu atdalīšanu. Kopējā virtuālā 4 Gbaitu adrešu telpa ir sadalīta 16 Mbaitu lielos apgabalos ar atsevišķi definējamiem pieejas nosacījumiem. MMU aparatūras veidā nodrošina iespēju ielādēt/aizvietot jaunas lietojumprogrammas pēc kartes sākotnējās personalizācijas. CPU speciāli konstruēts darbam vairāku lietojumprogrammu režīmā un aparatūras veidā pielāgots darbam ar virtuālās mašīnas valodām Java CardTM, MULTOSTM un WPSCTM. Procesors nodrošina papildus ierīču – UART, taimera ierosinātu pārtraukumu programmējamu apstrādi.
  • ROM apjoms ir 240 Kbaiti, no kuriem lietotājam ir pieejami 216 Kbaiti. Daļa atmiņas (arī RAM un EEPROM) izmantota tikai ražotājam pieejamam apgabalam – PSL (Platform Support Layer), kas nodrošina virtuālās mašīnas valodām kopēju programmas kodu un draiveru izpildi.
  • RAM apjoms ir 8 Kbaiti, no kuriem lietotājam ir pieejami 7 Kbaiti starprezultātiem, mainīgajiem, buferiem, stekiem.
  • EEPROM apjoms ir 80 Kbaiti, no kuriem lietotājam ir pieejami 72 Kbaiti programmas kodu un datu glabāšanai.
  • UART (Universal Asynchronous Receiver-Transmitter) nodrošina asinhronus kartes sakarus ar ārpasauli. Nodrošina divus ievades/izvades portus, pusdupleksa un pilna dupleksa datu pārraidi, atbalsta standartizētos viedkaršu protokolus T=0 un T=1.
  • CLK ir iekšējais takts ģenerators. Tā maksimālā frekvence ir 55 MHz, bet ģeneratora frekvence ir maināma, lai iegūtu konkrētajam pielietojumam optimālu attiecību veiktspēja/patērētā jauda.
  • Gadījuma skaitļu ģenerators nodrošina kriptogrāfijas funkcijām nepieciešamo gadījuma skaitļu ģenerēšanu.
  • DES aparatūra veic simetriskā DES un 3DES algoritma izpildi aparatūras veidā, turklāt var tikt veiktas paralēli ar citām darbībām. Nodrošina atslēgu pārvaldīšanu.
  • Kriptoprocesors paredzēts ātrai asimetrisko kriptogrāfisko algoritmu izpildei, speciāli optimizēts RSA un Eliptisko līkņu algoritmiem. Līdzprocesors izmanto sev īpaši atvēlēto 700 baitu RAM, var strādāt ar līdz 2048 bitu garām atslēgām. Līdzprocesora izmantošana ļauj iegūt RSA paraksta ar 1024 bitu atslēgu izpildes laiku pie 55 MHz takts frekvences mazāku par 100 ms (pie 5 MHz gandrīz sekunde), bet atslēgu ģenerēšana prasa 1,56 s (17 s pie 5 MHz). Salīdzinājumam tas pats ar 2048 bitu atslēgu prasa 4,1 un 44 sekundes, atslēgu ģenerēšana – 14,4 un 160 sekundes.
  • Taimeris sastāv no 3 atsevišķi vadāmiem 16 bitu taimeriem.
  • Mikroshēmā iebūvēti papildus sensori, kas novērš iespējas manipulēt ar karti nolūkā atklāt tās slepenos datus – augsta un zema sprieguma devējs, augstākās un zemākās frekvences devējs, taktēšanas pīķu filtrs, inicializācijas filtrs, temperatūras un gaismas devējs, pēkšņa bojājuma devējs.

Papildus ir vērts pieminēt, ka mikroshēma strādā ar barošanas spriegumiem no 1.62 V līdz  5.5 V, temperatūru diapazonā no –25OC līdz +85OC. Mikroshēmai ir optimizēta patērētā jauda, kas atļauj to izmantot gan kā ar kontaktu, tā arī bezkontaktu interfeisu. Katrai mikroshēmai ir unikāls identifikācijas numurs.

 

KRIPTOGRĀFIJA VIEDKARTĒS

Mūsdienu viedkartes funkcionalitāte nav iedomājama bez plašas kriptogrāfijas pielietošanas. Kriptogrāfijas uzdevums ir nodrošināt informācijas slepenību, kā arī autentificēt komunikāciju partneru “īstumu”.

Kriptogrāfiskie algoritmi dalās simetriskajos un asimetriskajos. Simetriskie algoritmi šifrēšanai un atšifrēšanai izmanto vienu un to pašu atslēgu. Asimetriskie algoritmi izmanto atšķirīgas atslēgas  šifrēšanai un atšifrēšanai. Parasti simetriskie algoritmi prasa daudzkārt mazāku skaitļošanas jaudu un laiku par asimetriskajiem. Asimetrisko algoritmu ideju 1976. gadā izvirzīja Whitfield Diffie un Martin E. Hellman.

Mūsdienu viedkartēs izmantotie kriptogrāfiskie algoritmi balstās uz Auguste Kerckhoff principu. Tas nosaka, ka algoritms pats par sevi nav būtisks slepenības nodrošināšanai, bet būtiskas ir tajā izmantotās atslēgas. Tādejādi to var tikt izmantoti vispārzināmi algoritmi,  daudzi ir pat standartizēti, kas paver plašas iespējas izmantot kriptogrāfiju atvērtās sistēmās. Algoritmiem, kuri paši par sevi nav slepeni, ir jābūt lielam skaitam izmantojamo atslēgu. Viens no šifrētās informācijas “uzlaušanas”  paņēmieniem ir brutāla visu iespējamo atslēgu izmēģināšana, jo vairāk atslēgu, jo ilgāks laiks nepieciešams rezultāta iegūšanai. 

Ar kriptogrāfiju tieši saistīta ir kriptoanalīze, zinātne, kuras uzdevums ir “uzlauzt” esošās kriptogrāfiskās sistēmas, nepārlasot visas iespējamās atslēgas. Analīzes metodes ir dažādas, sākot no matemātiskās analīzes un beidzot ar šifrēšanai/atšifrēšanai nepieciešamā laika mērījumiem un analīzi.  Vispārzināmu algoritmu kriptoanalīze nodrošina kriptogrāfisko sistēmu drošību, jo atklāj to potenciāli vājos punktus.

Viedkartēs ir  būtiski, lai algoritma izpildes laiks nebūtu atkarīgs no sākuma teksta, atslēgas un kriptogrammas.

Veidojot kriptogrāfiskās sistēmas, ir jāņem vērā, ka sistēma nebūs droša ilgstoši (ja iebrucējam ir pietiekoši ilgs laiks – gadi, pietiekošas skaitļošanas jaudas un neierobežots mēģinājumu skaits), bet tā jāveido tā, lai atslēgu “dzīves laiks” būtu īss un brutāla sistēmas uzlaušana nedod rezultātu izmantošanai nākotnē. 

Simetriskie algoritmi

DES

DES (arī DEA – data encryption algorithm, par DES - data encryption standard tas kļuva pēc standartizācijas, lieto abus apzīmējumus) ir viens no pazīstamākajiem un visplašāk lietotajiem simetriskajiem algoritmiem. Algoritmu izstrādāja IBM sadarbībā ar ASV Nacionālo Standartizācijas biroju un tas tika publicēts kā ASV standarts (FIPS pub 46) 1977. gadā. Sākotnēji algoritms tika radīts, lai to realizētu aparatūras veidā, programmas  realizācija ir sarežģītāka. Algoritms līdz šim nav uzlauzts, vienīgais veids, kā var atšifrēt kriptogrammu nezinot šifra atslēgu, ir pārlasot iespējamās atslēgas. Šodien, sakarā ar to, ka ir pieejama speciāla atslēgu pārlasīšanas aparatūra, DES tiek aizvietots ar 3DES un AES.

DES ir simetriska datu bloku šifrēšanas metode, kas apstrādā datus, sadalītus 64 bitu (8 baitu) blokos. Šifrēšanas rezultātā iegūtā kriptogramma arī ir 64 bitus garš bloks. Lai atšifrētu kriptogrammu, ir jāizmanto atšifrēšanas algoritms un tā pati šifra atslēga. Atslēgas garums ir 64 biti, lai gan reāli tiek izmantoti 56 biti – katra baita jaunākais bits kalpo paritātes kontrolei un šifrēšanas operācijā tiek ignorēts. 

Atslēga var būt jebkurš 56 bitu garš gadījuma skaitlis, ir neliels skaits “vāju” atslēgu, bet to izmantošanu var viegli ierobežot. Algoritma slepenība ir bāzēta uz šifra atslēgām.

DES izmanto tikai vienkāršas aritmētiskās un loģiskās operācijas, tāpēc algoritmu ir viegli realizēt aparatūras veidā. Sarežģītāk to ir realizēt programmā, kas prasa vairāk laika šifrēšanas operācijai. Lai DES algoritma programmu realizētu viedkartē, ir nepieciešams ~ 1 Kbaits atmiņas programmas koda glabāšanai, kā arī pēc iespējas lielāka operatīvā atmiņa (RAM), protams viedkartes mērogos.

DES princips balstās uz šifrēšanas  pamattehnoloģiju – datu sajaukšanu (confusion) un izkliedēšanu (diffusion). Datu sajaukšana nozīmē, ka kriptogrammas statistika ir saistīta ar sākuma teksta statistiku tik sarežģītā veidā, ka uzbrucējs nevar gūt no tā noderīgu informāciju. Datu izkliedēšana nozīmē, ka katrs sākuma teksta bits un katrs atslēgas bits var veidot tik daudz kombināciju, cik vispār ir iespējamo bitu.

Algoritma realizācijas shēma redzama zīmējumā. DES pamatā – DES aplis veidojas, sākuma tekstam pielietoto pārmainīšanu, kurai seko aizvietošana, šīs operācijas vada subatslēga. DES izmanto 16 apļus (round) – tas nozīmē, ka katram sākuma tekstam viena un tā pati operācija tiek veikta 16 reizes. Katrā aplī izmanto savu subatslēgu Ki.

DES aplu struktura

DES apļu struktūra.

DES algoritma izpildes pirmā fāze ir sākotnējā permutācija. Izmantojot zināmu datu pārmainīšanas tabulu, sākuma teksta bloka biti tiek samainīti vietām – piemēram 58. bits kļūst par pirmo, 50. bits par otro, 42. bits par trešo utt. Sākotnējā permutācija IP (initial permutation) un beigu permutācija IP-1, tas pats apgrieztā secībā pēc visu DES apļu pabeigšanas, praktiski neiespaido algoritma drošību un pamatā ir veidots, lai atvieglotu datu ielādi specializētās mikroshēmās. Šīs permutācijas ir neērti un laikietilpīgi veikt programmā ,bet vienkārši aparatūras risinājumos. Virkne DES programmas realizāciju to neizmanto. Šādu realizāciju nedrīkstētu saukt par DES, jo algoritms ir standartizēts.

Pēc sākotnējās permutācijas, izejas bloks tiek sadalīts divās 32 bitu garās  daļās – labajā (R) un kreisajā (L). Tās tiek izmantotas pirmajā DES aplī. Funkcijas f rezultāts ar XOR tiek kombinēts ar kreisās puses 32 bitiem un tā rezultāts kļūst par labās puses izejas datiem nākošajā aplī, labās puses dati Ri nākošajā aplī kļūst par kreisās puses L­­­­i+1 datiem. Šāda operācija tiek atkārtota 16 reizes, veidojot 16 DES apļus. Atšifrēšanas algoritms praktiski ir tāds pats, tikai mainās subatslēgu K­pielietošanas kārtība.

Katrā aplī izmanto savu 48 bitu subatslēgu K­0 … K15. Subatslēgas ģenerē no šifra atslēgas nobīdot tās 56 bitus pēc algoritma.

Funkcijas f realizācija parādīta  zīmējumā. Sākumā R pielieto paplašinošo pārmainīšanu, pārveidojot to par 48 bitu skaitli. Rezultātam izmantojot izslēdzošais VAI (XOR) loģisko operāciju ar 48 bitu subatslēgu iegūstam 48 bitu rezultātu. To sadala 6 bitu blokos un veic S0…S­­7 aizvietošanu, kopā 8 S bloki, iegūstot 32 bitu rezultātu. Pēc P – pārmainīšanas  funkcija f ir izpildīta un XOR ar L­i sagatavo datus nākošajam DES aplim. Gan paplašinošā pārmainīšana, gan S - aizvietošanas bloki un P - pārmainīšanas bloks ir standartizētas tabulas, kas nosaka katram ieejošajam bitam atbilstošo izejošā bita vietu.

Zīmējuma  labajā pusē attēlots subatslēgu Ki iegūšanas algoritms.  Šifra atslēgas 56 bitus sadala uz pusēm un veic to nobīdi. Nobīdes lielums katram DES aplim ir atšķirīgs. Pēc saspiedošās pārmainīšanas pielietošanas iegūstam 48 bitu subatslēgu Ki. Līdzīgi kā iepriekš arī saspiedošā pārmainīšana ir standarta tabula.  

DES funkcijas struktura  

DES funkcijas struktūra.

Šifrējot sākuma tekstu kurš ir garāks par vienu šifrēšanas bloku, var tikt lietoti dažādi paņēmieni – metodes. Lai būtu iespējams kriptogrammu atšifrēt standartizētas ir arī tās.   Saskaņā ar standartu FIPS pub 81, DES, tāpat kā citi bloku šifrēšanas algoritmi, var tikt izmantots 4 dažādos veidos (mode): ECB (electronic code book), CBC (cipher block chaining), OFB (output feedback) un CFB (cipher feedback). Pēdējos divus viedkaršu sistēmās pielieto reti.

ECB katrs izejas teksta bloks neatkarīgi no citiem tiek šifrēts ar vienu un to pašu atslēgu. Tas ir vienkāršākais DES lietošanas veids.

ECB bloku sifresana

ECB darba veids bloku šifrēšanas algoritmiem.

CBC veidā šifrēšanas rezultāts var tikt izmantots tikai kā viens vesels, nevis kā atsevišķi bloki un kriptogrammā  pat pilnīgi vienādi sākuma teksta bloki dod pilnīgi atšķirīgu rezultātu. Pirms šifrēšanas, pirmajam sākuma teksta blokam tiek veikta XOR loģiskā operācija ar inicializācijas vektoru, sākuma teksta nākošajam blokam veic XOR ar iepriekšējā bloka kriptogrammu utt.. Parasti sākuma vektors ir nullvektors, bet lieto arī gadījuma skaitļus.

CBC bloku sifresana

CBC darba veids bloku šifrēšanas algoritmiem.

DES algoritma izpilde viedkartē ar 3,5 MHz takts frekvenci aizņem 17 ms vienam 8 baitu blokam, ar 4,9 MHz takti – 12 ms. DES realizēts aparatūras veidā veic viena bloka šifrēšanu 64 ns.

1.1.1.1    Trīskāršais DES (3-DES).

3-DES ievērojami palielina DES algoritma drošību un palielina atslēgu telpu, izmantojot trīs DES šifrēšanas operācijas  pēc kārtas. Sākuma teksts tiek šifrēts ar 1. atslēgu, pēc tam atšifrēts ar 2. atslēgu un vēlreiz šifrēts ar 1. atslēgu. Atšifrēšana notiek samainot vietām operācijas.

Triskarsa DES struktura

Trīskāršā DES struktūra.

Ja visas atslēgas ir identiskas, tad šifrēšanas rezultāts ir tāds pats kā vienkāršā DES gadījumā. 3‑DES, kurā mijas šifrēšana un atšifrēšana, ir daudz drošāks par divkāršu šifrēšanu, lai gan kopējais atslēgas garums ir tāds pats. Pie tam 3‑DES ir savietojams ar vienkāršo DES šifrēšanu un prasa mazāk laika nekā citu algoritmu, kuros izmanto tik pat garas atslēgas, izpilde. Tāpēc šodien viedkartēs pārsvarā izmanto 3‑DES DES vietā.

Ir diezgan daudz simetrisko algoritmu, bet viedkartēs bez DES vēl ir sastopams algoritms IDEA.

Šodien arvien vairāk, un ne tikai viedkartēs, izmanto AES šifrēšanas sistēmu (sākotnēji publicēta kā Rijndael algoritms un kuru izstrādājuši Beļģu kriptogrāfi Rijmen un Daemen), kura ir standartizēta un akceptēta daudzās valstīs (arī ASV) un nodrošina daudz plašāku atslēgu telpu (izmanto 128, 192 vai 256 bitu atslēgas).

Asimetriskie algoritmi

Asimetriskie algoritmi šifrēšanai -  atšifrēšanai izmanto divas dažādas atslēgas- atslēgu pāri. Viena no tām ir publiska – vispārzināma, otra, privātā – slepena.

Asimetriska sifresana

Zīmējums 3.1‑6. Asimetriskās šifrēšanas princips.

Sākuma tekstu var šifrēt ar vispārzināmu publisko atslēgu un tikai adresāts, kuram ir atslēgu pāra otra puse – privātā atslēga, varēs to izlasīt. Asimetriskās šifrēšanas gadījumā atkrīt problēmas, kas ir saistītas ar drošu un slepenu simetrisko atslēgu izplatīšanu. Asimetriskā kriptogrāfija rada elektroniskā paraksta iespējas, kad tā patiesumu var pārbaudīt ikviens.

1.1.2.1    RSA algoritms.

RSA ir populārākais asimetriskās šifrēšanas algoritms, nosaukts tā izstrādātāju: Ronald L. Rivest, Adi Shamir un Leonard Adleman vārdā. Algoritms balstās uz lielu pirmskaitļu aritmētiku. Ir relatīvi viegli sareizināt divus lielus pirmskaitļus, bet ir ļoti grūti reizinājumu sadalīt pirmreizinātājos, jo vēl līdz šim tādam nolūkam nav izstrādāts efektīvs algoritms. Latvijā izmantotā drošā elektroniskā paraksta sistēma (Latvijas Pasts, LVRTC) izmanto 2048 bitu RSA atslēgas. Atslēgas garuma palielinājums par 15 bitiem dubulto laiku, kas nepieciešams rezultāta iegūšanai.  

Viedkartēs izmantoto procesoru operatīvās atmiņas apjoms ir neliels un nepietiekams lielo starprezultātu glabāšanai. Tomēr ir metode, ko sauc par moduļa eksponencēšanu, kad starprezultāts nav garāks kā modulis. Tā ir metodes priekšrocība, kas ļauj realizēt algoritmu ar mazāku soļu skaitu un mazāku starprezultātu apjomu. Algoritma drošību tas neiespaido.

Algoritma priekšrocība ir iespēja variēt atslēgu garumus – ja ir nepieciešama lielāka drošība – var izvēlēties garāku atslēgu. Plaši lietotas tiek lietotas 1024 un 2048 bitu atslēgas. Modernākie viedkaršu procesori jau var izmanto 4096 bitu atslēgas. Tomēr šifrēšanas operācija ir pietiekoši darbietilpīga, 3,5 MHz takts frekvences procesoram tam nepieciešamas 2-3 sekundes 1024 bitu atslēgai. Viedkarte ar specializētu kriptoprocesoru, kas ir speciāli paredzēts ātrai eksponencēšanai, to paveiks ātrāk. Arī   lietojumprogrammas aizņemtais atmiņas apjoms  būs mazāks.

Citi asimetriskie algoritmi

ASV ir elektroniskā paraksta standarts DSS – digital signature standard (FIPS pub 186), kas nosaka, ka ziņojumu parakstīšanai ir jāizmanto algoritms DSA - digital signature algorithm. Eiropas Savienības elektroniskā paraksta tehniskā specifikācija pieļauj divu algoritmu izmantošanu – RSA un DSA.

DSA drošība balstās uz lielu skaitļu diskrētu logaritmēšanu. DSA realizācija ir ievērojami sarežģītāka un daudz grūtāk realizējama viedkartēs.

Daudzi viedkaršu kriptoprocesori lieto asimetrisko kriptogrāfiju, kas izmanto eliptiskās līknes. To priekšrocība ir iespēja izveidot ātras publisko atslēgu sistēmas ar nelieliem atslēgu garumiem 130 – 200 bitu.

Hash algoritmi

Asimetriskās kriptogrāfijas sarežģītības un laika patēriņa dēļ nav reāli šifrēt visu ziņojumu kopumā. Asimetrisko kriptogrāfiju izmanto, lai slepeni nosūtītu otrai pusei simetriskās sesijas šifrēšanas atslēgas, jo tās ir salīdzinoši īsas: 64 –256 biti. Asimetrisko kriptogrāfiju izmanto autentifikācijai, kad šifrēts tiek datora nosūtītais gadījuma skaitlis. Citos gadījumos tiek izmantots elektroniskā paraksta princips – izejas ziņojums tiek reducēts līdz fiksētam garumam izmantojot Hash funkcijas.

Hash funkcija ir viena virziena funkcija, kas iegūst fiksēta garuma izejas vērtību no brīva garuma sākotnējās vērtības kompresētā un neatgriezeniskā formā. Neatgriezeniskums nozīmē, ka no rezultāta nav iespējams iegūt sākotnējo vērtību. Hash funkcija pamatā tiek izmantota elektroniskā paraksta sistēmās, lai iegūtu dokumenta daidžestu, jeb kontrolskaitli , ko pēc tam šifrē ar parakstītāja privāto atslēgu. Hash funkcijām ir nepieciešamas sekojošas īpašības:

  • fiksēts rezultāta garums, kas ļauj optimizēt elektroniskā paraksta funkciju,
  • Hash funkcijai jābūt ātrai, jo ieejas vērtības lielums pieļauj plašas izmaiņas,
  • nepastāv iespēja, ka no rezultāta var iegūt sākotnējo vērtību,
  • tai ir jābūt kolīziju noturīgai – t.i. nav iespējams atrast citu sākotnējo vērtību, kas dod tādu pašu rezultātu,
  • pietiekoši garai, lai nevarētu būt divas sākotnējās vērtības, kas dod vienādu rezultātu (vismaz 128 biti).

Ir zināmas daudzas Hash funkcijas, plašāk lietotās ir SHA-1, kas ir noteikta kā ASV elektroniskajam parakstam izmantojamais daidžesta algoritms un ir standartizēts (FIPS pub 180-1) un MD5.  Abu algoritmu izmantošana ir atļauta Eiropas Savienības elektroniskā paraksta tehniskā specifikācijā.

 Atslēgu pārvalde

Kriptogrāfisko atslēgu pārvaldes mērķis ir novērst vai ierobežot iespēju, ka viedkartes Sistēma tiek izpostīta, ja viena vai vairākas atslēgas kļūst vispārzināmas.

Viena no iespējām kā paaugstināt sistēmas drošību, ir izmantot lielāku atslēgu skaitu, sadalīt autentifikācijas procesus pa karšu pielietojumiem, mainīt Sistēmā izmantotās atslēgas. Protams, tas prasa viedkartes atmiņas papildus resursus.

Sekundārās atslēgas

Viedkarte, atšķirībā no termināla, ir brīvā apgrozībā un jebkurš var to mēģināt analizēt un uzlauzt. Ja karte nesatur galvenās atslēgas, bet tikai atslēgas, kas var tikt iegūtas no kartes datiem, tad datu neautorizētas nolasīšanas un izmainīšanas varbūtība ir minimāla.

Sekundārās atslēgas tiek iegūtas izmantojot kriptogrāfijas algoritmus. Parasti tas ir DES (modificēts kā viena virziena algoritms) vai 3DES. Izmantojot galveno atslēgu un kartes individuālos datus iegūst vienu (un tikai vienu) individuālu, kartei piesaistītu atslēgu.

Atslēgu sadalīšana

Lai samazinātu risku, ka visa sistēma kopumā tiek izpostīta, tiek plaši izmantots, ka katram kartes pielietojumam ir sava atslēga  - piemēram, autentifikācijai, drošu transakciju apstiprinājumam, sakaru kanāla šifrēšanai. Tas parasti notiek izmantojot katra uzdevuma individuālās atslēgas iegūšanai  savu galveno atslēgu.

Atslēgu versijas

Ir nepareizi apgādāt viedkarti ar vienu atslēgu komplektu visam kartes dzīves laikam. Pieņemot iespējamību, ka galvenā atslēga tiek izskaitļota vai arī kļūst citādi atklāta, tad visa Sistēmas infrastruktūra ir jāaptur, karšu izdevējam ir jāatsauc visas kartes. Atsevišķos gadījumos tas pat nav izdarāms. Šodienas sistēmās tiek veidotas iespējas, lai varētu pārslēgties uz jaunu atslēgu paaudzi. Šāda pārslēgšanas var tikt realizēta piespiedu kārtā vai arī pēc noteikta (mainīga) grafika. Tā kā galvenās atslēgas atrodas tikai terminālos, tad tikai tie ir jāapgādā ar jaunām, slepenām galvenajām atslēgām.

Dinamiskās atslēgas

Dažos pielietojumos, galvenokārt slepenu datu pārraidei un elektroniskajiem maksājumiem, izmanto dinamiskās jeb sesiju atslēgas. Viena no pusēm ģenerē gadījuma skaitli, dara to zināmu otrai pusei, un, izmantojot sekundārās atslēgas tiek iegūta sesijas simetriskā atslēga (katrā pusē atsevišķi). Šīs atslēgas tālāk tiek izmantotas datu apmaiņas sesijas sakaru šifrēšanai.

Ir iespējams arī sarežģītāks  sesijas atslēgu iegūšanas veids (specificēts X9.17).  Tam ir nepieciešams kāds sesijas vai laika atkarīgs skaitlis Ti, atslēga, kas tiek lietota tikai šim mērķim KGEN. Jebkura no pusēm var izveidot sesijai nepieciešamo atslēgu no sākuma atslēgas Ki. Viedkaršu lietojumprogrammu sesijas atslēgas tiek lietotas ļoti īsu brīdi – no dažiem simtiem ms līdz dažām sekundēm, pēc tam tās tiek izdzēstas.

Ziņojumu integritāte

Jebkurā datu pārraidē ir nepieciešama pārbaude, vai pārraidītie dati un uztvertie dati sakrīt un tie nav nejauši vai apzināti izmainīti datu pārraides kanālā. Ziņojumu integritātes pārbaudei tiek izmantoti dažādi veidi, sākot no vienkāršiem kļūdu detektēšanas kodiem ECC (Error Detection Code) līdz ziņojumu autentifikācijas kodiem MAC (Message Authentication Code), pēdējie izmanto kriptogrāfijas līdzekļus ziņojuma autentiskuma nodrošināšanai.

Visvienkāršākais un plaši lietotais ir paritātes bita pievienošana katram ziņojuma baitam. Paritātes bits tiek pievienots datu baitam atkarībā no vieninieku skaita datu baitā (pāris vai nepāris). Ja pārsūtīšanas laikā baitā rodas kļūda vienā bitā, tad mainās vieninieku skaits, ko viegli atklāj paritātes bits. Tā kā datu apmaiņa un uzglabāšana parasti tiek organizēta baitos, tad papildus bita pievienošana prasa papildus vietu. Paritātes bita izmantošana ir izdevīga, ja datu elements ir 7 biti.

Viedkartēs plašāk tiek lietota XOR (izslēdzošā VAI) kontrolsumma, bieži saukta par longitudinālās redundances pārbaudi (LRC – Longitudinal Redundancy Check) un cikliskās redundances pārbaude (CRC – Cyclic Redundancy Check).

LRC veido pirmajam datu baitam veicot XOR ar otro baitu, rezultātam atkal veic XOR ar trešo baitu utt. Iegūtā kontrolsumma tiek pievienota datu masīvam. Ja vēlreiz veic analoģisku operāciju datu masīvam kopā ar kontrolsummu, rezultāts būs 0.

CRC tiek iegūta cikliskā 8 vai16 bitu bīdes reģistrā, kura atgriezenisko saiti vada polinoms. Matemātiski tas nozīmē, ka datu masīvs tiek uzskatīts par lielu skaitli un dalīts ar polinomu. Atlikums ir kontrolsumma. Efektīvi metode ir pielietojama datu masīviem līdz 4 Kbaitiem. Lai veiktu pārbaudi, ir jāzina polinoms un bīdes reģistra parametri. Tā kā operācija tiek veikta bitu līmenī, metode ļauj atklāt bitu savstarpējās secības izmaiņas baitā, kā arī baitu secības izmaiņas.

LRC un CRC ļauj noteikt, vai saņemtie dati sakrīt ar nosūtītajiem, bet neļauj pārliecināties par to autentiskumu – to, ka izsūtītie dati nav aizvietoti ar citiem. Ļoti bieži pārliecība par datu autentiskumu un integritāti (pārliecību, ka dati nav netīši bojāti vai ļaunprātīgi pārveidoti) ir svarīgāka par datu konfidencialitāti. Metode datu integritātes nodrošināšanai ir MAC (Message Authentication Code) pievienošana ziņojumam. MAC veidošanai izmanto kriptogrāfijas algoritmus ar slepenām atslēgām, kuras ir zināmas tikai abām pusēm.

MAC veidošanai var izmantot jebkuru algoritmu un pēc būtības tas ir līdzīgs ziņojuma elektroniskajam parakstam, tomēr praksē bieži tiek izmantots DES. Simetriskā šifrēšanas algoritma izmantošana nodrošina lielu operācijas izpildes ātrumu un MAC pārbaude tiek veikta tikai divpusēji,  nevis daudzpusēji. Līdz ar to var izmantot tikai abām pusēm zināmu slepenu atslēgu.

MAC procedura

MAC procedūra 

DES šifrēšana CBC veidā  sasaista visus blokus vienā ķēdē, jo nākošā bloka kriptogramma ir atkarīga no iepriekšējā rezultāta. Tāpēc kā MAC var izmantot tikai DES šifrēšanas rezultāta pēdējo bloku, tā samazinot pārraidāmo datu apjomu. Pats ziņojuma teksts tiek pārraidīts atklātā veidā.